摘 要：在信息化社會(huì)，企事業(yè)單位業(yè)務(wù)對(duì)信息系統(tǒng)高度依賴，而信息系統(tǒng)維護(hù)人員往往擁有系統(tǒng)最高管理權(quán)限，其操作行為必須得到有效監(jiān)管與審計(jì)。作為運(yùn)維操作審計(jì)最佳解決方案的堡壘機(jī)通常會(huì)給人一種神秘莫測(cè)的感覺(jué)，為了讓大家更清楚的了解堡壘機(jī)和運(yùn)維操作審計(jì)，本文對(duì)堡壘機(jī)的概念及主要工作原理進(jìn)行簡(jiǎn)要分析。

　　關(guān)鍵詞：堡壘機(jī)、運(yùn)維操作審計(jì)、堡壘機(jī)工作原理

　　1 前言

　　當(dāng)今的時(shí)代是一個(gè)信息化社會(huì)，信息系統(tǒng)已成為各企事業(yè)單位業(yè)務(wù)運(yùn)營(yíng)的基礎(chǔ),由于信息系統(tǒng)運(yùn)維人員掌握著信息系統(tǒng)的最高權(quán)限，一旦運(yùn)維操作出現(xiàn)安全問(wèn)題將會(huì)給企業(yè)或單位帶來(lái)巨大的損失。因此,加強(qiáng)對(duì)運(yùn)維人員操作行為的監(jiān)管與審計(jì)是信息安全發(fā)展的必然趨勢(shì)。在此背景之下,針對(duì)運(yùn)維操作管理與審計(jì)的堡壘機(jī)應(yīng)運(yùn)而生。堡壘機(jī)提供了一套多維度的運(yùn)維操作控管控與審計(jì)解決方案，使得管理人員可以全面對(duì)各種資源(如網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備和數(shù)據(jù)庫(kù)等)進(jìn)行集中賬號(hào)管理、細(xì)粒度的權(quán)限管理和訪問(wèn)審計(jì)，幫助企業(yè)提升內(nèi)部風(fēng)險(xiǎn)控制水平。

　　2 堡壘機(jī)的概念和種類

　　“堡壘”一詞的含義是指用于防守的堅(jiān)固建筑物或比喻難于攻破的事物，因此從字面的意思來(lái)看“堡壘機(jī)”是指用于防御***的計(jì)算機(jī)。在實(shí)際應(yīng)用中堡壘機(jī)又被稱為“堡壘主機(jī)”，是一個(gè)主機(jī)系統(tǒng)，其自身通常經(jīng)過(guò)了一定的加固，具有較高的安全性，可抵御一定的***，其作用主要是將需要保護(hù)的信息系統(tǒng)資源與安全威脅的來(lái)源進(jìn)行隔離，從而在被保護(hù)的資源前面形成一個(gè)堅(jiān)固的“堡壘”，并且在抵御威脅的同時(shí)又不影響普通用戶對(duì)資源的正常訪問(wèn)。

　　基于其應(yīng)用場(chǎng)景，堡壘機(jī)可分為兩種類型：

　　2.1 網(wǎng)關(guān)型堡壘機(jī)

　　網(wǎng)關(guān)型的堡壘機(jī)被部署在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間，其本身不直接向外部提供服務(wù)而是作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，用于提供對(duì)內(nèi)部網(wǎng)絡(luò)特定資源的安全訪問(wèn)控制。這類堡壘機(jī)不提供路由功能，將內(nèi)外網(wǎng)從網(wǎng)絡(luò)層隔離開(kāi)來(lái)，因此除非授權(quán)訪問(wèn)外還可以過(guò)濾掉一些針對(duì)內(nèi)網(wǎng)的來(lái)自應(yīng)用層以下的***，為內(nèi)部網(wǎng)絡(luò)資源提供了一道安全屏障。但由于此類堡壘機(jī)需要處理應(yīng)用層的數(shù)據(jù)內(nèi)容，性能消耗很大，所以隨著網(wǎng)絡(luò)進(jìn)出口處流量越來(lái)越大，部署在網(wǎng)關(guān)位置的堡壘機(jī)逐漸成為了性能瓶頸，因此網(wǎng)關(guān)型的堡壘機(jī)逐漸被日趨成熟的防火墻、UTM、IPS、網(wǎng)閘等安全產(chǎn)品所取代。

　　2.2 運(yùn)維審計(jì)型堡壘機(jī)

　　第二種類型的堡壘機(jī)是審計(jì)型堡壘機(jī)，有時(shí)也被稱作“內(nèi)控堡壘機(jī)”，這種類型的堡壘機(jī)也是當(dāng)前應(yīng)用最為普遍的一種。

　　運(yùn)維審計(jì)型堡壘機(jī)的原理與網(wǎng)關(guān)型堡壘機(jī)類似，但其部署位置與應(yīng)用場(chǎng)景不同且更為復(fù)雜。運(yùn)維審計(jì)型堡壘機(jī)被部署在內(nèi)網(wǎng)中的服務(wù)器和網(wǎng)絡(luò)設(shè)備等核心資源的前面，對(duì)運(yùn)維人員的操作權(quán)限進(jìn)行控制和操作行為審計(jì);運(yùn)維審計(jì)型堡壘機(jī)即解決了運(yùn)維人員權(quán)限難以控制混亂局面，又可對(duì)違規(guī)操作行為進(jìn)行控制和審計(jì)，而且由于運(yùn)維操作本身不會(huì)產(chǎn)生大規(guī)模的流量，堡壘機(jī)不會(huì)成為性能的瓶頸，所以堡壘機(jī)作為運(yùn)維操作審計(jì)的手段得到了快速發(fā)展。

　　最早將堡壘機(jī)用于運(yùn)維操作審計(jì)的是金融、運(yùn)營(yíng)商等高端行業(yè)的用戶，由于這些用戶的信息化水平相對(duì)較高發(fā)展也比較快，隨著信息系統(tǒng)安全建設(shè)發(fā)展其對(duì)運(yùn)維操作審計(jì)的需求表現(xiàn)也更為突出，而且這些用戶更容易受到 “信息系統(tǒng)等級(jí)保護(hù)”、“薩班斯法案”等法規(guī)政策的約束，因此基于堡壘機(jī)作為運(yùn)維操作審計(jì)手段的上述特點(diǎn)，這些高端行業(yè)用戶率先將堡壘機(jī)應(yīng)用于運(yùn)維操作審計(jì)。

　　3 堡壘機(jī)運(yùn)維操作審計(jì)的工作原理

　　作為運(yùn)維操作審計(jì)手段的堡壘機(jī)的核心功能是用于實(shí)現(xiàn)對(duì)運(yùn)維操作人員的權(quán)限控制與操作行為審計(jì)。

　　3.1 主要技術(shù)思路

　　如何實(shí)現(xiàn)對(duì)運(yùn)維人員的權(quán)限控制與審計(jì)呢？堡壘機(jī)必須能夠截獲運(yùn)維人員的操作，并能夠分析出其操作的內(nèi)容。堡壘機(jī)的部署方式，確保它能夠截獲運(yùn)維人員的所有操作行為，分析出其中的操作內(nèi)容以實(shí)現(xiàn)權(quán)限控制和行為審計(jì)的目的，同時(shí)堡壘機(jī)還采用了應(yīng)用代理的技術(shù)。運(yùn)維審計(jì)型堡壘機(jī)對(duì)于運(yùn)維操作人員相當(dāng)于一臺(tái)代理服務(wù)器(Proxy Server)，其工作流程如下圖所示：


　　圖1. 堡壘機(jī)工作流程示意圖

　　1) 運(yùn)維人員在操作過(guò)程中首先連接到堡壘機(jī)，然后向堡壘機(jī)提交操作請(qǐng)求;

　　2) 該請(qǐng)求通過(guò)堡壘機(jī)的權(quán)限檢查后，堡壘機(jī)的應(yīng)用代理模塊將代替用戶連接到目標(biāo)設(shè)備完成該操作，之后目標(biāo)設(shè)備將操作結(jié)果返回給堡壘機(jī)，最后堡壘機(jī)再將操作結(jié)果返回給運(yùn)維操作人員。

　　通過(guò)這種方式，堡壘機(jī)邏輯上將運(yùn)維人員與目標(biāo)設(shè)備隔離開(kāi)來(lái)，建立了從“運(yùn)維人員->堡壘機(jī)用戶賬號(hào)->授權(quán)->目標(biāo)設(shè)備賬號(hào)->目標(biāo)設(shè)備”的管理模式，解決操作權(quán)限控制和行為審計(jì)問(wèn)題的同時(shí)，也解決了加密協(xié)議和圖形協(xié)議等無(wú)法通過(guò)協(xié)議還原進(jìn)行審計(jì)的問(wèn)題。

　　3.2 工作原理簡(jiǎn)介

　　下面就簡(jiǎn)單介紹一下堡壘機(jī)運(yùn)維操作審計(jì)的工作原理，其工作原理示意圖如下：


　　圖2. 堡壘機(jī)工作原理示意圖

　　在實(shí)際使用場(chǎng)景中堡壘機(jī)的使用人員通常可分為管理人員、運(yùn)維操作人員、審計(jì)人員三類用戶。

　　管理員最重要的職責(zé)是根據(jù)相應(yīng)的安全策略和運(yùn)維人員應(yīng)有的操作權(quán)限來(lái)配置堡壘機(jī)的安全策略。堡壘機(jī)管理員登錄堡壘機(jī)后，在堡壘機(jī)內(nèi)部，“策略管理”組件負(fù)責(zé)與管理員進(jìn)行交互，并將管理員輸入的安全策略存儲(chǔ)到堡壘機(jī)內(nèi)部的策略配置庫(kù)中。

　　“應(yīng)用代理”組件是堡壘機(jī)的核心，負(fù)責(zé)中轉(zhuǎn)運(yùn)維操作用戶的操作并與堡壘機(jī)內(nèi)部其他組件進(jìn)行交互。“應(yīng)用代理”組件收到運(yùn)維人員的操作請(qǐng)求后調(diào)用“策略管理”組件對(duì)該操作行為進(jìn)行核查，核查依據(jù)便是管理員已經(jīng)配置好的策略配置庫(kù)，如此次操作不符合安全策略“應(yīng)用代理”組件將拒絕該操作行為的執(zhí)行。

　　運(yùn)維人員的操作行為通過(guò)“策略管理”組件的核查之后“應(yīng)用代理”組件則代替運(yùn)維人員連接目標(biāo)設(shè)備完成相應(yīng)操作，并將操作返回結(jié)果返回給對(duì)應(yīng)的運(yùn)維操作人員;同時(shí)此次操作過(guò)程被提交給堡壘機(jī)內(nèi)部的“審計(jì)模塊”，然后此次操作過(guò)程被記錄到審計(jì)日志數(shù)據(jù)庫(kù)中。

　　最后當(dāng)需要調(diào)查運(yùn)維人員的歷史操作記錄時(shí)，由審計(jì)員登錄堡壘機(jī)進(jìn)行查詢，然后“審計(jì)模塊”從審計(jì)日志數(shù)據(jù)庫(kù)中讀取相應(yīng)日志記錄并展示在審計(jì)員交互界面上。

　　4 如何選擇一款好的堡壘機(jī)產(chǎn)品

　　對(duì)于信息系統(tǒng)的管理者來(lái)說(shuō)除了工作原理以外可能更關(guān)心如何選擇一款好的運(yùn)維審計(jì)堡壘機(jī)產(chǎn)品。一個(gè)好的運(yùn)維審計(jì)堡壘機(jī)產(chǎn)品應(yīng)實(shí)現(xiàn)對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等核心資產(chǎn)的運(yùn)維管理賬號(hào)的集中賬號(hào)管理、集中認(rèn)證和授權(quán)，通過(guò)單點(diǎn)登錄，提供對(duì)操作行為的精細(xì)化管理和審計(jì)，達(dá)到運(yùn)維管理簡(jiǎn)單、方便、可靠的目的。

　　4.1 管理方便

　　應(yīng)提供一套簡(jiǎn)單直觀的賬號(hào)管理、授權(quán)管理策略，管理員可快速方便地查找某個(gè)用戶，查詢修改訪問(wèn)權(quán)限;同時(shí)用戶能夠方便的通過(guò)登錄堡壘機(jī)對(duì)自己的基本信息進(jìn)行管理，包括賬號(hào)、口令等進(jìn)行修改更新。

　　4.2 可擴(kuò)展性

　　當(dāng)進(jìn)行新系統(tǒng)建設(shè)或擴(kuò)容時(shí)，需要增加新的設(shè)備到堡壘機(jī)時(shí)，系統(tǒng)應(yīng)能方便的增加設(shè)備數(shù)量和設(shè)備種類。

　　4.3 精細(xì)審計(jì)

　　針對(duì)傳統(tǒng)網(wǎng)絡(luò)安全審計(jì)產(chǎn)品無(wú)法對(duì)通過(guò)加密、圖形運(yùn)維操作協(xié)議進(jìn)行為審計(jì)的缺陷，系統(tǒng)應(yīng)能實(shí)現(xiàn)對(duì)RDP、VNC、X-Window、SSH、SFTP、HTTPS等協(xié)議進(jìn)行集中審計(jì)，提供對(duì)各種操作的精細(xì)授權(quán)管理和實(shí)時(shí)監(jiān)控審計(jì)。

　　4.4 審計(jì)可查

　　可實(shí)時(shí)監(jiān)控和完整審計(jì)記錄所有維護(hù)人員的操作行為;并能根據(jù)需求，方便快速的查找到用戶的操作行為日志，以便追查取證。

　　4.5 安全性

　　堡壘機(jī)自身需具備較高的安全性，須有冗余、備份措施，如日志自動(dòng)備份等。

　　4.6 部署方便

　　系統(tǒng)采用物理旁路，邏輯串聯(lián)的模式，不需要改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，不需要在終端安裝客戶端軟件，不改變管理員、運(yùn)維人員的操作習(xí)慣，也不影響正常業(yè)務(wù)運(yùn)行。

　　5 結(jié)束語(yǔ)

　　本文簡(jiǎn)要分析了堡壘機(jī)的概念以及其運(yùn)維操作審計(jì)的主要工作原理。隨著信息安全的快速發(fā)展，來(lái)自內(nèi)部的安全威脅日益增多，綜合防護(hù)、內(nèi)部威脅防護(hù)等思想越來(lái)越受到重視，而各個(gè)層面的政策合規(guī)，如“薩班斯法案”、“信息系統(tǒng)等級(jí)保護(hù)”等等也紛紛對(duì)運(yùn)維人員的操作行為審計(jì)提出明確要求。堡壘機(jī)作為運(yùn)維安全審計(jì)產(chǎn)品將成為信息系統(tǒng)安全的最后一道防線，其作用也將越來(lái)越重要，應(yīng)用范圍勢(shì)必會(huì)快速擴(kuò)展到各個(gè)行業(yè)的信息系統(tǒng)。因此在當(dāng)前的形勢(shì)之下，讓大家更加清楚的了解堡壘機(jī)也就十分必要了。（NsFocus：趙永 熊華根）

?

轉(zhuǎn)載于:https://blog.51cto.com/qingsto/765108

總結(jié)

以上是生活随笔為你收集整理的浅析堡垒机概念及工作原理（转）的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。