提示:以下是本篇文章正文内容,下面案例可供参考
一、堡垒机是什么?
堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。
二、堡垒机的工作原理
- 运维人员在操作过程中首先连接到堡垒机,然后向堡垒机提交操作请求;
- 该请求通过堡垒机的权限检查后,堡垒机的应用代理模块将代替用户连接到目标设备完成该操作,之后目标设备将操作结果返回给堡垒机,最后堡垒机再将操作结果返回给运维操作人员。
通过这种方式,堡垒机逻辑上将运维人员与目标设备隔离开来,建立了从“运维人员->堡垒机用户账号->授权->目标设备账号->目标设备”的管理模式,解决操作权限控制和行为审计问题的同时,也解决了加密协议和图形协议等无法通过协议还原进行审计的问题
三、堡垒机的功能
核心功能
堡垒机:也叫做运维安全审计系统,它的核心功能是4A:
身份验证 Authentication
账号管理 Account
授权控制 Authorization
安全审计 Audit
基础功能
身份认证:用户统一身份认证,支持外部AD,LDAP,Radius,支持动态口令卡,USkey等
角色授权:支持基于资源角色授权,授权用户,特权账户临时限制,授权时间规则,登陆规则,命令规则;
监控审计:实时监控所有的用户的运维操作,随时阻断高危会话运维操作完整审计,集中存储,异地备份
主要功能
运维平台:RDP/VNC运维;SSH/Telnet运维;SFTP/FTP运维;数据库运维;Web系统运维;远程应用运维;
管理平台:三权分立;身份鉴别;主机管理;密码托管;运维监控;电子工单;
自动化平台:自动改密;自动运维;自动收集;自动授权;自动备份;自动告警;
控制平台:IP防火墙;命令防火墙;访问控制;传输控制;会话阻断;运维审批;
审计平台:命令记录;文字记录;SQL记录;文件保存;全文检索;审计报表;
认证方式
堡垒机主要就是为了做统一运维入口,所以登录堡垒机就支持灵活的身份认证方式:
本地认证:本地账号密码认证,一般支持强密码策略
远程认证:一般可支持第三方AD/LDAP/Radius认证
双因子认证:UsbKey、动态令牌、短信网关、手机APP令牌等
第三方认证系统:OAuth2.0、CAS等。
四、堡垒机的部署方式
旁路部署
采用旁路部署、逻辑串联的部署方式,不改变用户网络结构,无需在服务器上安装插件;操作简单支持浏览器登录,支持用户端登录堡垒机;
双机热备
主备自动切换,设备状态实时监测,主机宕机之后运维业务试试切换到备机,保证业务的连续性;配置数据同步,配置数据同步更新.确保主机配置信息保持一致.避免备机切换时数据丢失;审计数据备份,运维日志定期同步.主机审计数据互为备份,避免主机宕机之后无法查看历史日志
负载均衡
代理管理支持扩展协议代理服务器部署在各个合适的网络节点提供协议代理运维通道;运维负载运维用户登陆堡垒机后,智能分配运维代理通道,实现运维业务的负载均衡;统一管理多台负载均衡堡垒机实现界面统一管理,权限集中管控、审计数据集中存储和展示
8096
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
