堡垒机是一种用于运维审计和访问控制的系统,通过集中管理运维人员的身份验证、权限控制和操作行为审计,确保网络和数据安全。常见的堡垒机类型包括跳板机、网关型和运维审计型,其中运维审计型成为主流。堡垒机工作流程涉及身份验证、权限检查和操作代理,其部署方式包括单机、主备、双活和分布式等。此外,堡垒机支持多种身份认证方式和运维模式。选择堡垒机时,应考虑管理便利性、可扩展性、审计精细度和安全性等因素。
文章目录
1 堡垒机的定义
以操作网关的模式,对运维操作进行集中管理。实现对运维人员的身份鉴别,权限控制,操作行为审计。
堡垒机的核心是可控及审计。
可控是指权限可控、行为可控。
2 堡垒机的作用
保障网络和数据不被外部入侵&内部破坏,运用堡垒机来监控运维人员对资源(主机/网络设备/数据库/安全设备)的操作行为,以便集中报警,及时处理,审计定责。事先防范,事中控制,事后溯源。
- 运维人员身份鉴别
- 用户访问权限控制
- 操作过程记录审计
3 堡垒机的类型(按应用场景划分)
-
第一代 跳板机
-
第二代 网关型堡垒机
部署在内外网之间,不对外提供访问,作为进入内部网络的检查点,提供对内部特定资源的访问控制,会成为数据流量瓶颈,基本已淘汰。 -
第三代 运维审计型堡垒机(内控堡垒机)
部署在内网资源前面,目前通用堡垒机为核心交换机旁路接入模式,物理上旁路、逻辑上串行,用户想要运维时,必须通过堡垒机进行跳转登录。这种堡垒机为通用模式,因为不修改网络拓朴并且可以实现SSO(Single Sign On,单点登录)、应用发布等多种功能,已经成为国内堡垒机的主流模式。
4 堡垒机工作流程
堡垒机能截获运维人员的操作,并能够分析出其操作内容,对于运维操作人员相当于一台代理服务器(Proxy Server)。
- 运维人员在操作过程中首先连接到堡垒机,然后向堡垒机提交操作请求;
- 该请求通过堡垒机的权限检查后,堡垒机的应用代理模块将代替用户连接到目标设备完成该操作,之后目标设备将操作结果返回给堡垒机,最后堡垒机再将操作结果返回给运维操作人员。
逻辑上将运维人员与目标设备隔离开来,建立了从“运维人员 => 主账号(堡垒机用户账号) => 授权 => 从账号(目标设备账号) => 目标设备”的管理模式,运维操作审计系统(堡垒机)是用户操作目标设备的唯一入口。登录过程是用户用唯一的用户账号登录到运维操作审计系统,然后运维操作审计系统会根据配置管理员预先设置好的访问控制规则,提示用户选择可以访问的目标设备,用户选择完成后会自动登录到目标设备,解决操作权限控制和行为审计问题的同时,也解决了加密协议和图形协议等无法通过协议还原进行审计的问题。
5 堡垒机原理
在实际使用场景中,堡垒机的使用人员通常可分为管理人员、运维操作人员、审计人员三类用户。管理员最重要的职责是根据安全策略和运维人员应有的操作权限来配置堡垒机的安全策略。
“策略管理”组件
负责与管理员进行交互,并将管理员输入的安全策略存储到堡垒机内部的策略配置库中。
“应用代理”组件
是堡垒机系统的核心,负责中转运维操作用户的操作并与堡垒机内部其他组件进行交互。“应用代理”组件收到运维人员的操作请求后调用“策略管理”组件对该操作行为进行核查,核查依据便是管理员已经配置好的策略配置库,若操作不符合安全策略,“应用代理”组件将拒绝该操作行为的执行。运维人员的操作行为通过“策略管理”组件的核查之后“应用代理”组件则代替运维人员连接目标设备完成相应操作,并将操作返回结果返回给对应的运维操作人员;同时此次操作过程被提交给堡垒机内部的“审计模块”,然后此次操作过程被记录到审计日志数据库中。
“审计组件”
当需要调查运维人员的历史操作记录时,由审计员登录堡垒机进行查询,然后“审计模块”从审计日志数据库中读取相应日志记录并展示在审计员交互界面上。
6 堡垒机的部署方式
-
单机部署
旁路部署,旁挂在交换机旁边,只要能访问所有设备即可。
特点:
旁路部署,逻辑串联。
不影响现有网络结构。 -
单活(HA主备)部署
内部资产数量相对较少,单台堡垒机的性能就可以满足时就可以在客户网络中接入一台堡垒机进行审计。但是对于运维的连续性又有要求,不期望由于堡垒机的异常故障导致正常运维任务中断太长,可以部署热备保证系统的高可用性,避免单机故障引起的正常运维中断。。旁路部署两台堡垒机,中间有心跳线连接,同步数据。对外提供一个虚拟IP。
特点:
#两台硬件堡垒机,一主一备提供VIP。
#当主机出现故障时,备机自动接管服务。
#正在使用的运维审计系统在正常情况下的所有配置信息都会同步到热备机上面。当活动的运维审计系统突然发生故障,导致无法正常运维的时候,能够在很短的时间内立即切换到热备机,保证正常的运维工作。
设备数量:至少2台。
部署方式:物理旁路,逻辑网关。保证高可用,采用双机热备。
部署条件:保证两个运维审计系统网络与访问服务器可达,协议开放,两台使用一个虚IP,访问虚IP即可。 -
双活(主主)部署
部分使用运维审计系统的客户,有两台运维审计系统来做运维审计。不用做热备部署,因为热备同时只有一台在工作。可以使用集群的方式来实现,但光是两台运维审计系统使用集群会导致中心节点无法实现负载均衡,需要手动访问这两台运维审计系统。可以在原有的集群上再加上一套第三方负载均衡服务器对访问运维审计系统的流量进行负载。如开源的LVS负载或者商用的F5、A10等产品。
特点:
两台运维审计系统双活部署,管理中心如果故障,会导致审计节点5分钟不能使用,这样整套运维审计体系就不能使用。我们可以对管理中心做HA,保证管理中心故障能够及时切换正常,保证整个系统正常运行。
设备数量:至少2台。
部署方式:物理旁路,逻辑网关。通过负载均衡分流访问管理中心或是审计节点。
部署条件:运维审计系统、服务器和负载均衡网络可达,协议开放。 -
本地自带负载集群部署(分布式部署)
当需要管理的设备数量很多时,单台或少量的运维审计系统难以维持正常的运维工作,可以将n多台堡垒机进行集群部署。其中两台堡垒机一主一备,其他n-2台堡垒机作为集群审计节点,给主机上传同步数据,整个集群对外提供一个虚拟IP地址。集群中心对审计节点进行负载,审计节点做运维,集群中心对用户身份、设备账号、密码、权限及审计的统一管控。但是集群中心如果出现故障,会导致审计节点也无法工作。所以集群中心做HA,保证中心的高可用。
特点:
两台硬件堡垒机,一主一备、提供VIP
当主机出现故障时,备机自动接管服务。
设备数量:至少4台。
部署方式:物理旁路,逻辑网关。通过集群部署,能够对资产进行统一管理,实现集中授权、集中认证、集中审计,方便用户统一管理和便捷使用,且自身负载分摊运维流量,提高系统整体性能。
部署条件:运维审计系统与服务器网络可达,协议开放。 -
异地同步第三方负载集群部署:
客户如果体量比较大,在全国各地有多个数据中心机房。通过在多个数据中心部署多台堡垒机,堡垒机之间进行配置信息自动同步。当各地的网络通信比较良好的话,可以在总部的管理中心做集群和负载。这样部署有一个问题,所有审计的流量都需要先到总部进行负载,然后在分流到审计节点,当网络通信比较差的时候,会导致访问特别慢或是丢包,影响体验甚至无法正常服务。我们可以在各地数据中心使用第三方负载均衡设备对审计节点进行负载,管理中心在总部只对所有的运维审计系统的资产、配置信息等进行管理,实际的运维直接在本地进行负载后访问。同时中心的管理节点还是一样需要做HA,避免中心的单点故障。
特点:
多地部署,异地配置自动同步。
运维人员访问当地的堡垒机进行管理。
不受网络/带宽影响,同时起到灾备目的。
设备数量:至少6台(两地)
关于第三方负载均衡,可通过以下两种模式进行支持:
#配备单独的负载均衡产品(F5,A10)进行并发负载,将运维并发自动负载到节点设备,提供高性能支持。
#通过DNS智能解析的方式进行负载,将审计系统中心和节点的IP绑定到一个域名,通过域名智能解析实现负载效果,访问系统时通过域名进行访问即可进行自动负载。
部署方式:物理旁路,逻辑网关,中心与节点网络可达。通过集群中对所有审计节点的资产及配置进行统一管理。本地负载避免网络问题干扰,分摊运维流量,提高系统性能。
部署条件:运维审计系统与服务器网络可达,协议开放。
7 堡垒机的身份认证
堡垒机主要就是为了做统一运维入口,所以登录堡垒机必须支持灵活的身份认证方式,比如:
1、本地认证
本地账号密码认证,一般支持强密码策略
2、远程认证
一般可支持第三方AD/LDAP/Radius认证
3、双因子认证
UsbKey、动态令牌、短信网关、手机APP令牌等
4、第三方认证系统
OAuth2.0、CAS等。
8 堡垒机的常见运维方式
B/S运维:通过浏览器运维。
C/S运维:通过客户端软件运维,比如Xshell,CRT等。
H5运维:直接在网页上可以打开远程桌面,进行运维。无需安装本地运维工具,只要有浏览器就可以对常用协议进行运维操作,支持ssh、telnet、rlogin、rdp、vnc协议。
网关运维:采用SSH网关方式,实现代理直接登录目标主机,适用于运维自动化场景。
9 常见堡垒机的主要功能模块
1、运维平台
RDP/VNC运维;SSH/Telnet运维;SFTP/FTP运维;数据库运维;Web系统运维;远程应用运维;
2、管理平台
三权分立;身份鉴别;主机管理;密码托管;运维监控;电子工单;
3、自动化平台
自动改密;自动运维;自动收集;自动授权;自动备份;自动告警;
4、控制平台
IP防火墙;命令防火墙;访问控制;传输控制;会话阻断;运维审批;
5、审计平台
命令记录;文字记录;SQL记录;文件保存;全文检索;审计报表;
堡垒机的其他常见功能:
文件传输:一般都是登录堡垒机,通过堡垒机中转。使用RDP/SFTP/FTP/SCP/RZ/SZ等传输协议传输。
细粒度控制:可以对访问用户、命令、传输等进行精细化控制。
支持开放的API。
10 如何选择一款好的堡垒机产品
一个好的运维审计堡垒机产品应实现对服务器、网络设备、安全设备等核心资产的运维管理账号的集中账号管理、集中认证和授权,通过单点登录,提供对操作行为的精细化管理和审计,达到运维管理简单、方便、可靠的目的。
- 管理方便
应提供一套简单直观的账号管理、授权管理策略,管理员可快速方便地查找某个用户,查询修改访问权限;同时用户能够方便的通过登录堡垒机对自己的基本信息进行管理,包括账号、口令等进行修改更新。 - 可扩展性
当进行新系统建设或扩容时,需要增加新的设备到堡垒机时,系统应能方便的增加设备数量和设备种类。 - 精细审计
针对传统网络安全审计产品无法对通过加密、图形运维操作协议进行为审计的缺陷,系统应能实现对RDP、VNC、X-Window、SSH、SFTP、HTTPS等协议进行集中审计,提供对各种操作的精细授权管理和实时监控审计。 - 审计可查
可实时监控和完整审计记录所有维护人员的操作行为;并能根据需求,方便快速的查找到用户的操作行为日志,以便追查取证。 - 安全性
堡垒机自身需具备较高的安全性,须有冗余、备份措施,如日志自动备份等。 - 部署方便
系统采用物理旁路,逻辑串联的模式,不需要改变网络拓扑结构,不需要在终端安装客户端软件,不改变管理员、运维人员的操作习惯,也不影响正常业务运行。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
