堡垒机是什么?
现在的大多数行业往往都拥有大量服务器,如何安全并高效的管理这些服务器便成为每个系统运维或安全运维人员的必要工作。而比较常见的方案就是搭建堡垒机环境作为线上服务器的入口,所有服务器只能先通过堡垒机进行登陆再访问。
运维人员在维护的过程中,首先要统一登录到这台服务器上,然后从这台服务器再登录到目标设备进行维护。
堡垒机来防止绕过的方式是所有的服务器都只允许堡垒机这台主机的IP进行网络连接。那么我们就必须连接到这台堡垒机上,才能进行下一步连接服务器的操作。想要连接这台堡垒机,堡垒机就需要对外开放端口,对外开放端口了就一定会有风险。
那么我们如何才能发现堡垒机绕行事件呢?
南京聚铭网络科技有限公司旗下综合日志分析系统(简称SAS)的日志审计功能针对此类事件有着很统一精确的处理方式。审计系统能够实时不间断地采集汇聚企业中不同厂商不同种类的安全设备、网络设备、主机、操作系统以及用户业务系统的日志信息,协助用户进行安全分析及合规审计,及时、有效地发现异常安全事件和审计违规。
审计管理为审计人员、系统管理人员提供了一个统一的审计工具,减少人、财、物的投入,降低了综合审计成本,只需简单几步就可以查看到效果。
步骤一:用户需要通过SAS的资产管理功能维护所有重要资产,在维护资产的过程中,可以通过【开启智能绑定采集器】来快速的完成资产日志的准确接入。
步骤二:系统内置了丰富的关联、审计策略及模板,其中就包含了今天主角【堡垒机绕行策略】
由于每个客户部署的堡垒机地址都是不一样的,所以我们可以通过从【堡垒机绕行策略】模板复制一个策略,根据实际堡垒机地址进行配置。
假设某客户的堡垒机IP为172.16.0.112
接下来就是见证奇迹的时刻了
首先,我们通过堡垒机访问某资产,查看日志明细如下:
进入【告警监控】菜单,可以看到,此时并没有产生任何告警。
然后我们尝试绕行访问某资产,查看日志明细如下:
再次进入【告警监控】菜单,就可以看到相关告警已经产生。
堡垒机绕行行为审计,就是如此简单!
聚铭综合日志分析系统是聚铭网络以大数据、机器学习技术为核心研发的智能化综合日志分析系统。系统可通过三大网络日志分析引擎以及四种流量安全分析策略,为企业打造两大安全分析体系,满足企业对信息安全事件”可发现“、“可处理”、“可审计”、“可度量”的需求。