新時代、新運維、新堡壘
責編:gltian |2019-02-21 16:02:51堡壘機,即統一運維審計產品,具有中國特色的信息安全產品,從誕生之初就注定了他的不一樣。
隨著國內等級保護制度及運維管理的需求,已成為了最為基礎的標配安全產品之一。成為身份與訪問安全最為方便落地的產品,對企業內部運維人員的權限進行了有效的管理,推動了傳統的以賬號管理為中心向以人為核心緯度的管理方式的發展,為運維側的安全管理提供了行之有效的管理工具,也一定程度上影響了圍繞運維端的相關產品的發展。國外類似產品以CyberArk為代表。國內則是百花齊放,據不完全統計有近50家的堡壘機品牌。以下是安全牛全景圖列出的較為代表性的幾家。
從國內堡壘機的定義可以明顯看出其與國外的差別。統一運帷審計:即堡壘機,切斷終端計算機對網絡設備、服務器、數據庫及業務軟件等目標資產的直接訪問,采用協議代理的方式接管了終端計算機對網絡設備、服務器、數據庫及業務軟件等目標資產的訪問,攔截非法訪問和惡意攻擊,對不合法命令進行命令阻斷,過濾掉所有對目標設備的非法訪問行為,記錄終端計算機對網絡設備、服務器、數據庫及業務軟件等的訪問的整個過程。
一句話,堡壘機采用的是“Outside(外掛式)”的方式,主要是根據終端訪問的方式的變化以代理的方式圍繞“C”端來解決問題。而國外的產品,以CyberArk為例,則是多采用“Inside(內置式&入侵式)”方式。即主要通過在服務器端安裝代理或者系統插件,圍繞“S”端的變化提供相應的解決方案。
隨著信息化發展的浪潮推進,信息化的基礎設備種類日趨增多,數量日趨增大,運維方式多種多樣。面對越來越復雜的業務層面和多樣化的用戶需求,要求企業不斷擴展信息應用需要,開發越來越合理的模式來保障運維服務能靈活便捷、安全穩定地持續保障。
從初期的幾臺服務器發展到龐大的數據中心,單靠傳統的人工運維已經無法滿足在技術、業務、管理等方面的要求。標準化、自動化、架構優化、過程優化等降低運維服務成本的因素越來越被人們所重視。其中,自動化運維作為代替人工操的最佳實踐方案正逐步的得到客戶的認可和落地。
隨著DevOps&AIOps日益盛行,推動運維從人工運維時代向自動化運維時代邁進,運維的“C”端從人工操作向自動化運維軟件、運維機器人的轉變,從人機交互正走向機機交互。傳統意義上的堡壘機已無法滿足自動化運維時代的運維審計需求。自動化運維時代需要新的堡壘機。
一、采用更加便捷的數據流通方式,提供可編程環境通道, 為數據中心提供訪問基礎設施的賬號管理及通道控制服務
可編程環境通道又分為兩類:一類是其它運維平臺與堡壘機自身底層之間的交付聯動,如ITSM、CMDB之類平臺在變更和使用權限的時候與堡壘機聯動配合,這類配合主要是通過API接口或Webservice接口通信完成;
另一類則是各類自動化平臺通過堡壘機提供的安全通道與目標主機通信交付,這里堡壘機提供的可編程環境通道起到目標主機賬號的授權管理和行為審計的作用,所有的特權賬號的生命周期管理都在堡壘機上進行,自動化運維平臺需要使用任何權限都向堡壘機請求,以達到任意自動化平臺的交付都是安全可管可控可追溯的,這類配合主要是通過SSH、SCP、RDP、FTP/SFTP等協議穿透技術完成。
目前,堡壘機提供數據流的API接口一般是固定的,數據格式固定、調用方式固定、調用模式固定。數據單向反饋,數據分散,各API直接無法進行關聯通信。一個小的功能調用,一般需要近十個API接口對后續的維護造成了很大的麻煩。特別是AIOps要保證數據能夠順暢地從多個數據源流入一個大的數據平臺中,堡壘機是集賬號、認證、授權、審計為一身的核心數據源,如何更方便的打通數據的流通是一個關鍵。
堡壘機的數據流通對接方案必須具備智能的、便捷的數據流通對接方案:
1. 統一的對接接口,可視化、可編程化;如同統一的運維交互界面一樣,提供智能可編程的數據對接操作界面,對需要的數據可見、可得。
2. 可根據業務場景進行數據應用,而不依賴于堡壘機指定的API接口,大大減少了對API接口的調用的數量,簡化了開發工作量及維護成本。
3. 打破對編程語言的的限定;基于業務場景的數據應用需求,打破了API接口的限制,就可根據數據需求平臺的不同或者開發者編程語言的不同,提供多種可選的編程語言。
4. 提供可編程環境通道后;特權身份的調用和使用不再是法外之地,自動化運維平臺或者其他管理平臺的運維操作不再難以管理和審計,也能滿足合規合法要求。
5. 對任何平臺或客戶端通過SCP、RDP和FTP/SFTP傳輸的腳本及內容可以透明審計;且對數據流的傳輸通道可以單向控制,以滿足數據防泄密安全管理需求。
二、高可靠,高擴展,能夠支持異地災備和多分支機構環境實現統一管理
隨著堡壘機在數據中心的應用越來越廣泛,已成為數據中心日常安全運維的核心業務系統,高可用和高并發已成為大型數據中心新的挑戰,能否支持集群和分級部署已成為了堡壘機是否可“大用”的一個關鍵性指標了。
高可靠和高擴展應當滿足以下條件:
1. 實現多活集群,配置及審計日志達到實時同步,且支持任意節點變更配置同步至所有節點;
2. 可無縫支持快速橫向擴展,性能不足時,擴展一臺機器,立馬生效,且不影響當前運維;
3. 審計日志可支持集中式存儲和分布式存儲兩種方式以應對不同數據中心架構,且分布式存儲方式支持無論登錄哪個節點,均可看見所有中心和節點上的運維日志列表,點擊日志播放的時候會跳轉到存儲節點播放;
4. 支持自帶基于會話的負載均衡應對大并發環境,也可支持第三方的負載均衡設備。
三、對資產變化具有感知能力,特別是對IP、賬號等具備實時發現,定期巡檢的能力
目前,堡壘機對資產的IP、賬號等均通過人工梳理收集等方式進行輸入。資產數量眾多難免會有疏漏,人工干預勢必存在泄密隱患。現在,CMDB常常被認為是構建其運維平臺的基礎而優先考慮,堡壘機必須對CMDB有很好的協作能力。
1. CMDB建設初期,堡壘機作為一個已有的核心資產信息的輸出平臺,通過智能接口平臺為新CMDB平臺提供基礎數據源,如IP、系統類型等。
2. CMDB為了更好的收集系統信息,必須要進行客戶端軟件的安裝。CMDB根據已收集的IP、系統類型等系統,通過堡壘機提供目標資產權限,對目標資產實現自動化客戶端軟件安裝。
3. 堡壘機必須具備自動發現賬號的能力,根據策略對資產賬號定期的巡檢,對僵尸賬號、幽靈賬號等非法賬號進行及時預警。
4. 堡壘機需要和CMDB對資產相應的信息變化進行及時的自動化更新,如IP修改、資產報廢、資產停用等情況進行及時對自身數據進行跟新。
四、適應移動時代的發展需要,由移動運維走向移動管理
隨著5G技術的應用,移動時代已經到來。移動時代勢必會推動新興應用發展,帶來新的管理模式。從傳統的移動運維到移動管理勢在必行。BYOD時代,如何安全、智能、高效的運維,成為廣大信息化管理人員共同思索的目標。
1. 專有移動端APP以適應移動操作系統的版本變化,并保障連接通路、操作過程的安全可靠。
2. 通過移動端對重大風險事件進行實時掌控,及時便捷的應急運維操作。
3. 通過移動端對運維流程的審批、管理等。特別是對核心敏感資產的運維動作,結合內部運維管理制度,制定運維流程,可以通過移動端進行申請和審批,方便、安全、快捷。
五、具備自動化風險分析與評估,及時發現與管理風險
堡壘機一直來是作為一款運維工具發揮其作用,如何更有效的發揮其管理功效,是堡壘機發展的重要目標。更好的適配不斷變換的“C”端僅是基礎,如何對堡壘機自身的數據進行發現、挖掘、分析才是發揮管理功能的關鍵。
堡壘機基本存儲了目標資產的所有賬號,通過以賬號維度的分析,可以發現僵尸賬號、幽靈賬號、繞行登入等存在安全隱患的問題。對賬號進行有效的安全評估,有助于賬號的安全管理。
同時堡壘機又是所有運維人員的賬號中心、權限中心,通過對用戶行為、運維行為等分析與評估,異常登錄、異常會話、異常操作、敏感操作等行為有效的安全評估與威脅分析。對分析結果進行標準化輸出,通過SOC、SIEM或態勢感知等平臺的綜合處理,與相關事件關聯分析,及時準確的追溯分析安全事件成因。
總之,堡壘機通過十幾年的發展,本身又為方案創新型產品,日趨成熟。如何更好的適應新的信息化環境、融合新的運維工具是持續不變的探索目標。
堡壘機將會發展為獨立、統一以賬號為中心的安全管理平臺。包含賬號的生命周期,賬號的訪問控制矩陣,提供統一的人機界面與編程界面。為自動化軟件、自動化設備提供賬號管理及通道服務,將會掌管數據中心基礎設施的賬號及訪問控制,成為未來數據中心的核心管理平臺。
新技術推動堡壘機的發展,同時也推進了新的運維管理工具或平臺的改變。