中國軟件網:企業數據安全防護之堡壘機解決方案大揭秘
來源:中國軟件網 時間:2018-12-03 10:24

近日新聞爆料,臺灣一名女產品經理在被遣散時,趁其他人不注意,只花了15分鐘就將公司大量的研發成果刪除,雖然她最后受到了法律的懲治,但事故已經造成,如果被刪除的數據無法恢復,將會給企業帶來致命的打擊。這是一個很典型的企業內部數據安全管控問題,而類似的事件近些年我們已經見過太多次,它充分暴露出許多企業在數據安全領域的忽視已經到了很嚴重的地步。如何由內而外做好數據安全管控,已經成為當今企業普遍面臨的問題。

一、概述

1.0、數據丟失?;?/span>

毋庸置疑,數據是企業最大的資產,是21世紀的石油,用好數據不僅可以提高企業自己的產品和服務,也可以攫取大量利潤。一旦沒有守好數據,那么很有可能成為下一個負面信息的主角。最近沸沸揚揚的Facebook數據泄露?;?和此前亞馬遜因為程序員輸錯一個敏感指令而導致S3大規模宕機等就是最好的例證。數據已經成為每個企業生存的關鍵,如何更安全的確保數據安全性與可用性是每個企業都必須思考的問題。從跳板機到硬件堡壘機,從硬件堡壘機到軟件堡壘機、云堡壘機。在保障數據安全這條路上,我們都在不斷探索安全的邊緣。

 

  運維圈內有這么一句話:70%故障來自內部人員的操作失誤。

 

企業里的運維人員都掌握著數據應用服務器的最高權限,一旦運維操作出現安全問題,將為企業帶來巨大的損失。因此,加強對運維人員的操作監管、操作審計、事前嚴格控制,才能從源頭真正解決問題。在這種情況下,針對運維操作的管理與審計的堡壘機應運而生。提前設置好邊界、做好規則,將是企業發展中最重要的一步。

1.1、面臨的挑戰

在沒有部署堡壘機以前,很多公司都會遇到不少安全運維問題,比如:

 

  而以上這些問題都可以通過堡壘機來解決,作為IT系統看門人的堡壘機其嚴格管控能力十分強大,能在很大程度上的攔截非法訪問和惡意攻擊,對不合法命令進行命令阻斷,過濾掉所有對目標設備的非法訪問行為,并對內部人員誤操作和非法操作進行審計監控,以便事后責任追蹤。

 

不過審計是事后行為,審計可以發現問題,但是無法防止問題發生只有在事前嚴格控制,才能從源頭真正解決問題。

諸如任何人都只能通過堡壘機作為門戶單點登錄系統。堡壘機能集中管理和分配全部賬號,更重要的是能對運維人員的運維操作進行嚴格審計和權限控制,確保運維的安全合規和運維人員的最小化權限管理,堡壘機的出現能夠?;て笠低縞璞訃胺衿髯試吹陌踩?使得企業網絡管理合理化和專業化。

二、堡壘機的概念和種類

堡壘機從使用拓樸上說,分為網關型堡壘機和運維審計堡壘機二種,下面對這二種堡壘機進行說明。

2.0、網關型堡壘機

一般采用二層透明橋方式接入網絡,一般拓樸位置在運維人員前方,運維人員做運維時,流量通過網關堡壘機,堡壘機對用戶的操作進行審計。這種堡壘機在2012年前在國外的一些廠商曾經這樣設計,國內廠商很少有這樣設計。因為這種堡壘機上線需要修改網絡拓樸,并且難實現SSO(Single Sign On,單點登錄)、應用發布等功能,因此,目前已經非常少見,市場占有率不到1%。

2.1、運維審計型堡壘機

目前通用堡壘機為旁路接入模式,物理上旁路、邏輯上串行,用戶想要運維時,必須通過堡壘機進行跳轉登錄。這種堡壘機為通用模式,因為不修改網絡拓樸并且可以實現SO(Single Sign On,單點登錄)、應用發布等多種功能,已經成為國內堡壘機的主流模式。

2.1.1、主要功能

自動化操作:有效提高運維效率的關鍵,可以讓堡壘機自動幫助運維人員執行大量、重復的常規操作,提高運維效率。

操作審計:解決操作事故責任認定的問題,確保事故發生后,能快速定位操作者和事故原因,還原事故現場和舉證。

訪問控制:解決操作者合法訪問操作資源的問題,通過對訪問資源的嚴格控制,確保操作者在其賬號有效權限和期限內合法訪問操作資源,降低操作風險。

身份管理:解決操作者身份唯一的問題,身份唯一性的確定,是操作行為管理的基礎,將確保操作管理的各項內容成為有根之本。

集中管理:解決操作分散、無序的問題,管理的模式決定了管理的有效性,對操作進行集中統一的管理,是解決運維操作管理諸多問題的前提與基礎。

三、主流堡壘機解決方案

目前主流的堡壘機解決方案很多,那么該如何選擇適合我們的呢?我主要根據自己的經驗,從幾個要點進行分析和比較,分享給大家參考。

 

  3.0、使用開源堡壘機

 

目前的開源堡壘機方案有很多,目前做的較好的諸如有CrazyEye、Teleport、Jumpserver、GateOne、麒麟開源堡壘機等。

當我們公司選擇使用開源堡壘機時,便擁有初始投入少、使用靈活等特點。不過在管理成本、學習曲線和安全性方面很難得到,可能我們不曾考慮開源堡壘機需專人進行維護,大多開源堡壘機的功能相對簡單,能夠滿足最最基本的企業的安全需求。如果我們想更進一步的發揮堡壘機真正的價值或者說是用好堡壘機,那么根據公司業務進而定制開發就是必經之路。

而開發堡壘機這個人必須非常熟悉Linux、公司業務而且還要會玩Python(大多與運維相關的應用使用Python開發的較多,具備這樣能力的人薪資往往不低),當然我們也可以選擇開源堡壘機的商業支持服務,不過需支付高昂的技術支持服務費用,這本身就是一個運維成本。

3.1、內部自研

堡壘機是多種技術協調整合形成的??梢運?堡壘機技術是一個看似簡單,其實復雜而精細的分布式系統集群。

堡壘機對于運維操作人員相當于一臺代理服務器(Proxy Server),如果從主干技術原理的角度概述的話,目前主流的堡壘機所應用的主要技術包括:邏輯命令自動識別技術、分布式架構處理技術、圖形協議代理技術、多進程/線程與同步技術、數據加密技術等。下面摘其一二概要簡述淺析之。

 

  1、邏輯命令自動識別技術是指自動識別當前操作終端,對當前終端的輸入輸出進行控制,組合輸入輸出流,自動識別邏輯語義命令。系統會根據輸入輸出上下文,確定邏輯命令編輯過程,進而自動捕獲出用戶使用的邏輯命令。該項技術解決了邏輯命令自動捕獲功能,在傳統鍵盤捕獲與控制領域取得新的突破,可以更加準確的控制用戶意圖。該技術能自動識別命令狀態和編輯狀態以及私有工作狀態,準確捕獲邏輯命令。

 

2、分布式處理技術是指堡壘機采用分布式架構進行處理。

啟用命令捕獲引擎機制,通過策略??橥瓿剎唄隕蠹?通過日志??櫬媧⒉僮魃蠹迫罩?并通過實時監視中心???實時查看用戶在服務器上的行為。

每一個??樽榧梢遠懶⒐ぷ?可以分布于不同的服務器上,亦可所有??樽榧滄壩諞惶ǚ衿?。這種分布式架構設計有利于策略的正確執行和操作記錄日志的安全。同時,各??樽榧洳捎冒踩詠型ㄐ?防止策略和日志被篡改。

3、正則表達式匹配技術是指堡壘機采用正則表達式匹配技術,將正則表達式組合入樹形可遺傳策略結構,實現控制命令的自動匹配與控制。樹形可遺傳策略適合現代企業事業架構,對于服務器的分層分級管理與控制,相當有用。

4、圖形協議代理是指為了對圖形終端操作行為進行審計和監控,堡壘機對圖形終端使用的協議進行代理,實現多平臺的多種圖形終端操作的審計,例如Windows平臺的RDP方式圖形終端操作,Linux/Unix平臺的XWindow方式圖形終端操作。

5、多進程/線程與同步技術是指堡壘機主體采用多進程/線程技術實現,利用獨特的通信和數據同步技術,準確控制程序行為。多進程/線程方式邏輯處理準確,事務處理不會發生干擾,這有利于保證系統的穩定性、健壯性。

6、數據加密功能是指堡壘機在處理用戶數據時都采用相應的數據加密技術來?;び沒ㄐ諾陌踩院褪蕕耐暾?。防止惡意用戶截獲和篡改數據。充分?;び沒г誆僮鞴討脅槐歡褚餛蘋?。

7、操作還原技術是指將用戶在系統中的操作行為以真實的環境模擬顯現出來,審計管理員可以根據操作還原技術還原出真實的操作,以判定問題出在哪里。目前,綠盟科技、極地安全、方正安全等國內主流內控堡壘主機采用操作還原技術能夠將用戶的操作流程自動地展現出來,能夠監控用戶的每一次行為,判定用戶的行為是否對企業內部網絡安全性造成危害。

中小企業或創業公司其實并不推薦自己開發堡壘機。對于每個企業或創業者來說,保持專注是我們必備的品質,我們不可能什么都自己做。有些機遇注定是他人的機遇,我們要做的就是專注于自己的業務和選擇的道路,同時借助第三方的力量,做出一款了不起的產品。

內部研發堡壘機在性能和穩定性上都會有所欠缺,出問題后,同事不能登錄,影響很多團隊干活,尤其在處理業務故障的時候,突然發現某服務器進不去,別提多尷尬了,嚴重影響周圍團隊對運維團隊的滿意度。

運維本身是個服務性質的工作,盡量不要搞得周圍部門不滿意才好。

3.2、使用傳統硬件堡壘機

傳統堡壘機供應商諸如:齊治、網御神州、綠盟科技、極地安全、方正安全、捷成世紀等。

傳統堡壘機多為軟硬件結合且價格昂貴,其管控能力十分強大,是銀行、國營大型企業IT運維團隊的首要選項。

但傳統堡壘機的缺點是,價格很高動輒數十上百萬,而且部署起來困難,需要專業的團隊統籌部署,維護成本高。同時對現有網絡結構侵入大,軟件和硬件升級都不方便,并不怎么適合中小型企業、一般創業企業。

過去買傳統堡壘機,需要銷售人員多次上門介紹產品。簽訂合約之后,需要運輸、安裝、調試、配置……整個流程一般長達數月。但在云上,只需簡單三步就能搞定。

3.3、使用云堡壘機

現在云堡壘機產品在功能上比較成熟,借助云計算平臺,云堡壘機在資源的交互性、易用性、性價比、維護成本、產品自身安全性等方面又得到了進一步提升,尤其解決了以往的單點故障問題。云堡壘機提供了一套多維度運維操作管控與審計的解決方案,使得管理人員可以面對多種云資源進行集中管理與細粒度的權限管理和訪問審計,幫助企業提升內部風險控制水平。

云堡壘機還有許多特性,諸如免安裝、免維護、開箱即用,支持Windows、指令檢索、監控預警、自動化運維等。

這里需要注意的是,堡壘機對于自動化運維的影響甚大,因為我們使用了堡壘機實現了云環境下的統一運維管理,成為所有運維的唯一入口。那么堡壘機既會成為自動化運維的羈絆,那么可就得不償失了,所以我們選擇使用堡壘機時,也需對配套功能進行考慮(是否具備其它運維相關功能,比如主機監控、遠程協同、自動化運維等);

至于云堡壘機的價格,云堡壘機應該都屬于大家能接受的范圍,相對傳統堡壘機來講,真的是一個非常不錯的選擇。

總的來說,選購堡壘機并非越貴的就越好,而是要綜合考量各項指標與運維團隊本身的契合度,以及在實際應用中的真實需求。如果我們所在的團隊是金融、政府等對安全性要求極高的組織,建議考慮傳統堡壘機。但是對于一些互聯網企業、創業企業而言,我比較傾向于向大家推薦使用云堡壘機,無論是從價格還是靈活性來說他都具備優勢??鑾宜孀旁萍撲閌諧〉姆⒄?上云成為主流,未來的堡壘機發展趨勢也必然是偏向于云堡壘機。

四、主流云堡壘機

4.0、云堡壘機的主要選購指標

目前市面上比較流行的云堡壘機像安恒云、行云管家、云匣子等等,他們的主要功能基本相似,但優勢和側重點各有不同。

如果我們的團隊規模不是超大型,服務器的數量不是過萬臺級別,那么主要建議大家選購云堡壘機即可。在選購合適的云堡壘級之前,首先分解一下云堡壘機的主要選購指標。

 

  1、侵入性:如果每臺主機都必須安裝Agent,這樣對安全性不好保障,工作量也大。對于局域網主機而言,最好是只需要在網絡內安裝一個代理(Proxy)軟件即可,保持其它主機的純凈和安全。如果是公有云主機,最好是支持API導入,方便快捷;

 

2、審計方式:這點要特別注意,目前很多堡壘機只有錄像審計,事實上如果真要回溯追責,光靠錄像可是不夠的,誰會有那么多時間去逐幀看錄像呢!所以最好是要有指令審計,比如追查是誰刪除了某個文件,只需輸入文件名即可檢索?;褂幸恍┍だ莼遣恢С諻indows指令審計的,如果您的主機包含了Windows,可一定要求具備Windows指令審計功能哦;

3、安全性:要支持身份授權、訪問控制、雙因子認證等安全策略。同時還要有高危命令阻斷功能,要能夠設置命令的黑白名單,通過正則匹配的方式主動攔截高危命令;

4、配套功能考慮:是否具備其它運維相關功能,比如主機監控、遠程協同、自動化運維。需要注意的是,堡壘機對于自動化運維的影響,如果堡壘機成為自動化運維的羈絆,那么可就得不償失了;

5、部署難度:部署難度是否大,一般SaaS模式是無需部署的,免維護,這對于小團隊來說非常適用,能夠減少很大的人力成本;

6、產品更新頻率:既然是云堡壘機,那么產品的更新迭代頻率應該要快,不能像傳統堡壘機一樣幾年不更新,畢竟產業發展的速度是極快的;

7、價格:選擇云堡壘機的用戶一般來說對價格較敏感,在能夠滿足需求的前提下,自然是越便宜越好;

以上這些指標基本涵蓋的云堡壘機的主要選購點,我們可以根據所在公司和自己團隊的實際需求情況來標示要點,根據這些要點對不同的云堡壘機品牌進行比較,選出最合適的即可。

4.1、幾款主流“云堡壘機”橫向對比

目前市場上的云堡壘機品牌也較多,這里想以安恒云、云匣子、行云管家、三個產品來介紹,之所以選擇這三款產品,是因為它們屬于云堡壘機領域做得不錯的產品。

 

  這三者對現有網絡體系和主機的侵入性都比較低(都是旁路部署)。區別在于,安恒云和云匣子只支持私有部署(私有部署既需安裝在自己的服務器上或者重新購買一臺服務器用以部署云堡壘機服務),不提供SaaS模式,運維成本也相對較高(SaaS模式:軟件既服務,開箱既用不需額外的服務器來部署)。行云管家是一個完全第三方的產品,同時支持SaaS模式和私有部署模式(私有部署模式支持高可用),這樣也給我們有更多的選擇余地和解決不必要的運維成本開支,安全性和服務可用性也大大提高。

 

因為如果我們只能選擇私有部署模式,那么一定要考慮是否支持高可用,如果是私有部署不支持高可用,宕機了云堡壘機的服務也就停止了。

在審計方式層面,三者都支持指令審計,但只有行云管家能夠支持全系列Windows的指令審計,安恒云無法支持Windows2012和2016。

在產品定位上,安恒云專注做安全審計一點,沒有提供額外的其它功能,而行云管家提供的是一個一站式的IT運維管理平臺,除了堡壘機,還有主機監控、自動化運維、跨云統一管理、文件傳輸、遠程協同等相對較豐富的功能,基本上你想的到的功能都有。

另外值得一提的是,行云管家產品更新頻率較快,三周左右一個新版本,經?;嵬瞥鲆恍┬鹿δ?其它兩款產品更新較少。

至于價格嘛,云堡壘機應該都屬于大家能接受的范圍,相對傳統堡壘機來講,真的是非常實惠的。

總的來說,選購堡壘機并非越貴的就越好,而是要綜合考量各項指標與運維團隊本身的契合度,以及在實際應用中的真實需求。如果您所在的團隊是金融、政府等對安全性要求極高的組織,建議您考慮傳統堡壘機。但是對于一些互聯網企業、創業企業而言,我比較傾向于向大家推薦使用云堡壘機,無論是從價格還是靈活性來說他都具備優勢??鑾宜孀旁萍撲閌諧〉姆⒄?上云成為主流,未來的堡壘機發展趨勢也必然是偏向于云堡壘機。

關閉頁面