编辑: ACcyL | 2019-06-29 |
2018 绿盟科技 密级:完全公开 -
4 - 绿盟堡垒机产品通过逻辑上将人与目标设备分离,建立 人->
主账号(堡垒机用户账号) ->
授权->
从账号(目标设备账号)->
目标设备 的管理模式;
在此模式下,通过基于唯一身份 标识的集中账号与访问控制策略,与各服务器、网络设备、安全设备、数据库服务器等无缝 连接,实现集中精细化运维操作管控与审计. 图2.1 核心思路 2.3 应用场景 ? 堡垒机产品主要应用于以下场景: IT 运维的责任认定,远程接入办公/服务平台;
远程接入办公/服务平台;
第三方审计机构对运维行为审计;
企业整体应用交付;
数据库敏感数据防范;
运营商 4A 方案 ? 管理对象 设备管理员、运维人员、第三方代维人员、审计员等. 服务器(Windows/Linux/UNIX)、网络设备、安全设备、数据库、WEB 服务器等. ? 管理范围 集中授权管控人员和设备,实时监控运维操作行为,事后审计管理操作. ? 可支持的协议/应用类型 SSH、Telnet、RDP、VNC、FTP、SFTP、HTTP、HTTPS、X
11、KVM 等. 各类数据库客户端、浏览器、专有客户端工具等. ? 部署方式 绿盟运维安全管理系统产品白皮书 ?
2018 绿盟科技 密级:完全公开 -
5 - 堡垒机采用 物理旁路,逻辑串联 的部署思路,主要通过两步实现: 1) 通过配置交换机或目标设备的访问控制策略,只允许堡垒机的 IP 访问目标设备的运 维、管理服务. 2) 将堡垒机连接到对应交换机,确保所有维护人员到堡垒机 IP 可达. ? 达成效果 ? 建立智能可靠的设备托管平台,自动发现运维环境中的目标设备,智能管理被托管 设备和设备账号,支持自动定期更新设备账号密码等操作,提高运维环境中目标设 备管理效率,降低被托管设备非法访问风险;
? 建立基于唯一身份标识的实名制管理机制,灵活多样的身份管理策略,实现跨平台 管理,消灭管理孤岛. ? 通过集中访问控制与授权,实现单点登录(SSO)和细粒度的命令级访问授权. ? 基于用户的审计,审计到人,实现从登录到退出的全程操作行为审计,满足合规管 理和审计要求. 下面分别从堡垒机的运维管理员和普通用户的角度,介绍实现流程与效果: 2.3.1 管理员制定运维管理策略 图2.2 运维管理员制定策略 1. 添加设备 绿盟运维安全管理系统产品白皮书 ?
2018 绿盟科技 密级:完全公开 -
6 - 运维管理员添加需要管理的设备.设备包括服务器、网络设备、安全设备、前置机、数 据库服务器等维护对象,支持编辑相关设备信息包括设备类型、所属部门、设备名称、IP 地址、协议类型、应用程序等. 2. 添加从账号 管理员添加与设备对应的从账号(即设备的系统账号、数据库账号或 WEB 登录账号), 包括账号名、口令等;
其中口令可由堡垒机定期自动更新. 3. 添加主账号 管理员添加主账号(即普通运维用户账号).主账号是登录堡垒机,获取目标设备访问 权的唯一账号,与实际用户身份一一对应,每个用户一个主账号,每个主账号只属于一个用 户. 4. 建立主账号到设备的访问控制与审计策略 基于访问权限策略,运维管理员建立基于 时间+主账号+目标设备+从账号+权限+审计 等要素的关联管理策略. 5. 管理员配置行为全程审计 堡垒机自动记录管理员的设备管理、账号管理和权限管理等所有行为日志,以便审计员 监控. 2.3.2 普通运维用户访问目标设备 普通用户登录堡垒机后,可以实现下述功能: ? 支持个性化参数配置和相关运维工具下载;