公开运维操作管理解决方案齐治科技V320.docx
《公开运维操作管理解决方案齐治科技V320.docx》由会员分享,可在线阅读,更多相关《公开运维操作管理解决方案齐治科技V320.docx(32页珍藏版)》请在冰点文库上搜索。
公开运维操作管理解决方案齐治科技V320
运维操作管理系统(堡垒机)
解决方案
浙江齐治科技有限公司
2012年1月
声明
本文件所有权和解释权归齐治科技所有,未经齐治科技书面许可,不得复制或向第三方公开。
修订历史记录(版本控制)
版本号
作者
审核人
文档类型
保密级别
完成日期
V1.0.0
DX
Brian
AD
A
2011-1-21
V2.1.0
DX
Brian
AD
A
2011-5-18
V3.2.0
DX
Joe
AD
A
2012-1-17
(文档类型A-内部归档类,D-外部交付类)
(保密级别A-公开,B-有选择公开,C-不公开)
1现状分析
1.1运维管理现状
客户的维护部门主要负责应用系统以及信息系统基础平台的建设和维护,以及局内网络的建设和维护。
现有数百台各种各样的服务器,其日常运维过程中都普遍存在以下现状:
Ø用户的访问方式以内部直接远程访问为主。
其中运维操作的远程访问方式又以SSH/Telnet/RDP/VNC/X-window/http/https/FTP/SFTP为主,设备数量比较多;数据库维护操作则以PLSQL、SQLPLUS、TOAD等客户端工具为主;
Ø维护人员较多,并且部分设备的维护交由第三方维护厂商完成,维护操作比较分散,权限变更复杂;
Ø使用设备上的共享系统账号进行认证与授权;
Ø无法有效落实定期修改设备密码的规定;
Ø用户的运维操作无审计;
Ø需要定期接受等保、SOX、ISO27001等法律法规标准的检查。
1.2存在问题
Ø维护方式不统一;
Ø共享账号难控制;
Ø操作行为难约束;
Ø设备密码难管理;
Ø运维操作无审计;
Ø法律法规难遵从;
1.3问题分析
出现以上问题的主要原因在于:
Ø运维操作不规范;
Ø运维操作不透明;
Ø运维操作风险不可控;
1.4带来的后果
Ø违规操作可能会导致设备/服务异常或者宕机;
Ø恶意操作可能会导致系统上敏感数据/信息被篡改、被破坏;
Ø当发生故障的时候,无法快速定位故障原因或者责任人;
2解决方案
2.1实现目标
通过Shterm的部署,可以有效的解决运维部门当前运维过程中存在的各种问题:
Ø以堡垒方式,形成统一的运维入口,实现运维操作的唯一路径;
Ø引入主从帐号管理概念,使用户认证与系统授权分开,从而有效解决系统帐号共享使用,带来的身份不唯一的问题;
Ø基于用户、设备、系统帐号、协议类型、登录规则的严格访问控制设置,有效规避了非授权访问带来的问题;
Ø密码托管和自动改密,使得密码管理规范能有效落地,避免了因人员的流动还会导致设备密码存在外泄的风险;
Ø能完整记录运维人员的操作过程,当系统因人为操作导致故障的时候,能够快速定位故障原因和责任人;
Ø可以满足等保、SOX、ISO270001、BS7799等安全规范对运维操作管理的要求。
2.2具体设计
2.2.1总设计思路
因为操作的风险来源于各个方面,所以必须要从能够影响到操作的各个层面去降低风险。
齐治运维操作管理系统(Shterm)采用操作代理(网关)方式实现集中管理,对身份、访问、审计、自动化操作等统一进行有效管理,真正帮助用户最小化运维操作风险。
集中管理是前提:
只有集中以后才能够实现统一管理,只有集中管理才能把复杂问题简单化,分散是无法谈得上管理的,集中是运维管理发展的必然趋势,也是唯一的选择。
身份管理是基础:
身份管理解决的是维护操作者的身份问题。
身份是用来识别和确认操作者的,因为所有的操作都是用户发起的,如果我们连操作的用户身份都无法确认,那么不管我们怎么控制,怎么审计都无法准确的定位操作责任人。
所以身份管理是基础。
访问控制是手段:
操作者身份确定后,下一个问题就是他能访问什么资源、你能在目标资源上做什么操作。
如果操作者可以随心所欲访问任何资源、在资源上做任何操作,就等于没了控制,所以需要通过访问控制这种手段去限制合法操作者合法访问资源,有效降低未授权访问所带来的风险。
操作审计是保证:
操作审计要保证在出了事故以后快速定位操作者和事故原因,还原事故现场和举证。
另外一个方面操作审计做为一种验证机制,验证和保证集中管理,身份管理,访问控制,权限控制策略的有效性。
自动运维是目标:
操作自动化是运维操作管理的终极目标,通过让该功能,可让堡垒机自动帮助运维人员执行各种常规操作,从而达到降低运维复杂度、提高运维效率的目的。
2.2.2操作网关方式部署
集中管理是实现运维操作安全管理的首要前提。
针对当前核心设备分散管理的现状,集中管理倡导的是一种统一管理的理念。
集中管理是未来运维操作安全管理的必然趋势。
实现集中管理,关键点在于对用户原有的运维环境不造成任何影响。
综合各种部署方案,我们采用了“操作堡垒机”的部署方式。
2.2.3用好共享账号
在当前的运维环境中,普遍存在操作者身份无法识别的安全隐患。
这主要是由操作者共享使用核心设备上的系统账号造成的。
设备数量达到一定规模,必然会使用到共享账号。
共享账号就是多人共同使用同一个存在于设备上的系统账号,使用共享账号会让整体账号的数量最少。
但是仅仅依赖系统上的单一系统账号,无法既能区分用户身份,又能完成工作角色的定位。
如何准确的区分用户身份和工作角色,进而实现操作者和具体的操作过程一一对应?
Shterm将账号的用户身份确认和系统工作角色功能分离,在Shterm上增加了用户账号,完成用户的身份确认。
原来系统上的账号依然存在,但是作用只是完成工作角色授权的工作账号。
用户登录Shterm是采用唯一的用户账号,然后根据工作角色的需要,转换成系统账号登录到被管理设备上。
这样既能够保证整体账号数量最少,管理方便;同时又能够实现对用户、工作角色的双重定位。
当用户加入、离职或岗位变动,当代维人员和原厂商进行维护的时候,只需要在Shterm上变更该用户账号即可,对系统上的系统账号没有任何影响。
代维人员维护系统并不需要知道用户系统的最高权限的系统帐号密码,这样大大降低了管理风险。
原厂商进行临时维护的时候只需要临时分配一个用户账号,当使用结束后该账号会自动回收,减少了账号管理的成本。
2.2.4访问控制规则
目前,用户只要知道用户名和密码就可以任意访问任意设备,这种现状必然会带来“未授权访问的安全风险”。
部署了Shterm后,情况就发生了变化。
Shterm逻辑上成为了用户登录的唯一入口,因为入口唯一,访问控制很容易配置了。
相同工作任务的集合可以放置在一个访问规则组里,当用户岗位、职责改变时,对用户相关联的组、系统权限、可访问设备通过Web的勾选,很容易调整。
根据工作内容的需要,可以配置不同的许可或禁止的登录策略。
既可以设定固定日期的登录策略,也可以设定固定时间间隔的策略,还可以设定一天中指定时间段的策略,并且能够针对具体的地址段进行控制。
Shterm的访问控制列表可以让用户一目了然的知道某台设备上允许哪些用户登录。
某台设备上的系统账号有多少个用户可以使用。
另一方面,从安全运维的角度分析,权限控制策略是从操作的层面上,降低高危操作所带来的安全风险:
对于使用Telnet/SSH等协议进行远程管理的设备(各种网络设备和Unix服务器),操作权限的多少取决于用户可以执行的命令。
所以,针对操作指令的控制才是核心。
对于服务器设备操作,Shterm可以对服务器的超级用户root操作权限进行控制,即使是root用户,权限也是受限制的,可以限制root用户只能执行某些操作(白名单)和无法执行某些操作(黑名单)。
当多人同时使用一个root账号时,Shterm可以对同一个系统账号进行操作权限再分配,保证使用同一个root账号的不同用户拥有不同的操作指令权限,彻底解决了共享root账号权限一致的情况,真正实现细粒度的操作权限控制。
对于网络设备操作,Shterm可以保证即使多个用户在进入enable状态的时候,提供高于网络设备系统更好级别的控制力度,保证每一个用户的操作指令都能严格受到控制。
对于操作权限的控制意味着我们从被动接受用户输入到了主动控制。
对于用户的操作可以有3种执行状态:
允许执行,拒绝执行,禁止执行。
对于高危命令(删除,重起,关机等)可以实时告警,一旦高危操作触发,会立即给相关人员发送告警邮件,保证用户在第一时间内知道高危操作是否对系统造成了影响。
2.2.5完整操作审计
运维操作审计是整个Shterm解决方案的重要组成部分。
管理员确定了以操作网关方式来部署,解决了之前共享账号的问题,配置了访问规则,明确了操作权限,那么最后也是最重要的就是操作和操作审计。
Shterm支持的运维操作方式和相应的操作审计基本涵盖了目前企业日常运维所涉及到的绝大部分操作模式,包括字符会话、图形会话、WebClient会话、文件传输、Oracle数据库操作审计等等。
对不同会话采用不同的审计方式针对字符会话,Shterm的审计功能会完全记录所有会话内的输入输出,并可以使用模式方式对这些输入输出进行查询以定位操作时间节点和操作内容。
对于图形会话要采用全程的录像和键盘鼠标操作的记录,并在图形会话回放的过程中同步的显示出来。
对于WebClient方式的操作会话,也是目前非常主流的一种操作模式,Shterm可以利用对于图形会话的审计方式来审计WebClient方式的会话,即,既包括了图形录像也包括了键盘鼠标记录,并且可以如图形会话一样,键盘输入信息可以进行完全的检索以便快速定位一个较长的审计录像。
针对文件传输,FTP、SFTP之类的上传下载,Shterm支持全部的信息记录,包含时间,人员,IP等等信息。
对于Oracle数据库的操作审计,采用跳板机和应用发布的方式,能够把图形方式操作中的数据库语句全部完成的审计到Shterm平台内。
此外,Shterm对审计人员本身也有严格要求,一方面,对审计人员的审计操作,Shterm有严格的记录,审计管理员何时查阅了某个会话操作都要有明确记录。
另一方面,Shterm支持非全局性的操作审计,即,审计人员也没有权利审计所有的会话信息,因为会话中可能包含了非常敏感甚至机密的企业信息。
2.2.6运维自动化
日常运维中经常需要对一些操作进行重复性动作,例如每天去执行一些脚本、检测一些状态等,重复繁琐的工作容易令人出现操作的失误。
如果能通过一些技术手段,替代用户的重复操作,使用户从重复繁琐的工作中释放出来,可以让用户有更多的时间去专注于更多技术领域。
操作自动化是运维操作管理的终极目标,通过Shterm的自动脚本功能,可让堡垒机自动帮助运维人员执行各种常规操作,从而达到降低运维复杂度、提高运维效率的目的。
2.3产品部署
在当前运维环境中部署了shterm(齐治运维操作管理系统,亦称齐治运维堡垒机)之后,拓扑结构如下:
部署说明
Ø支持双机HA部署;
Ø部署方式是物理旁路,逻辑串接;
Ø部署唯一条件是Shterm与被管理的设备之间IP可达,协议可访问;
Ø在部署过程中,不需要调整任何网络架构,不需要安装任何代理程序;
Ø集中管理的一个标志就是入口唯一,Shterm是用户操作的唯一入口;
Ø目标设备登录过程:
用户用唯一的用户帐号登录到shterm上,然后Shterm会根据配置管理员预先设置好的访问控制规则,列出用户选择可以访问的目标设备和相应系统帐号,用户选择完成后会自动登录到目标设备;
Ø应用程序登录过程:
用户用唯一的用户帐号登录到shterm上,然后Shterm会根据配置管理员预先设置好的访问控制规则,列出用户选择可以访问的应用程序(如PL/sql),用户点击该程序即可马上打开。
3功能实现
3.1集中管理
部署了Shterm之后,所有用户对后台设备的操作,都要先登录Shterm的WEB管理界面(Shterm作为后台设备访问的唯一入口,实现单点登录),然后再根据Shterm管理员预先设置好的访问控制规则,自动登录到后台目标设备上去。
具体方式如下:
普通用户按照登录流程,首先登录到Shterm的WEB页面,然后可以在“设备访问”项里面,看到可访问的设备列表。
选择好系统账号,并点击相应设备后面的“图形”服务,即可自动登录到图形管理界面上去进行任何操作,同理,点击“字符”服务,即可自动登录到字符管理界面上去进行任何操作。
3.2部门管理
Shterm可以将不同的用户、目标设备分配到不同的部门;部门之间彼此隔离;不同部门的用户只能管理自己部门内的目标设备、策略、操作的审计、控制等;
同时,Shterm还支持树状结构部门管理,上级部门可以管理下级部门的资源,包括资源调整、统计报表等。
3.3账号管理
Shterm为每个用户分配了独一无二的用户账号,设备上的系统账号不变,通过把多个用户账号和单个系统账号做关联(用户账号完成身份认证,系统账号完成系统授权),可以在不同的用户使用相同的系统帐号访问目标设备的时候,Shterm依然可以准确识别用户的身份,让用户的身份和具体的操作一一对应起来,从而实现用户实名制管理。
3.4身份认证
Shterm支持的认证方式包括:
本地静态认证,第三方AD域、LDAP、radius、iso8583认证和内置totp(time-based-one-time-passwd)认证。
其中totp认证,是动态令牌认证。
Shterm已经内置了totp认证服务器,只需要再部署相应的令牌即可:
3.5访问控制
Shterm可以根据用户/用户组、设备/设备组、系统帐号和时间来设置详细的访问控制规则,设置完成后,用户只能按照规则设置来访问相应资源,彻底杜绝了非授权访问所带来的问题。
3.6权限控制
对于Unix设备来说,权限的多少取决于用户可以执行的命令。
所以,针对操作指令的控制才是核心。
Shterm可以针对超级用户(root)做操作权限的控制,当多人同时使用一个系统账号时,Shterm可以对同一个系统账号进行权限再分配,保证使用同一个系统账号的不同用户拥有不同的权限,这就彻底解决了共享账号和root用户权限的问题,真正实现细粒度的操作权限控制。
对于操作权限的控制意味着我们从被动接受用户输入到了主动控制。
对于用户的操作可以有3种状态:
允许,拒绝,禁止。
对于高危命令(删除,重起,关机等)可以实时告警,一旦高危操作触发,会立即给相关人员发送告警邮件,保证用户在第一时间内知道高危操作是否对系统有影响。
3.7金库模式
3.7.1实时监控与阻断
对于普通用户登录到目标设备上正在进行的操作,审计管理员可以再Shterm的WEB界面做到实时监控,做到边操作边审计,真正实现实现操作透明;
同时对于用户的违规操作,审计管理员还可以做到实时切断。
具体如下图:
3.7.2双人授权访问
Shterm具备核心设备登录时候的双人授权功能(针对不同的访问控制策略分配不同的双人授权人)。
普通用户如想登录该设备,必须经过相关管理人员的授权才行。
3.7.3双人复核操作
Shterm对于在核心设备上的敏感指令操作,需要经过第二个人复核后,才能被执行。
3.8会话共享
Shterm具有图形操作会话共享功能,可让多位运维人员对同一个会话进行共享操作,例如用户A在设备登录的过程中需要用户B输入后半段的密码,这时用户A可以在WEB界直接申请,B收到申请后就可以登录同一台设备完成分段密码输入的工作,并不需要两人同在一个地方。
3.9密码托管
3.9.1单点登录
对于目标设备的访问账号密码,可以由Shterm进行集中托管,只要配置管理员在相应设备的密码管理中将目标设备的账号密码添加上去即可;
使用了密码托管功能后,用户以后访问目标设备时,只需要记住自己的Shterm上的账号和密码,即可通过Shterm自动登录目标设备。
3.9.2自动改密
Shterm可以灵活配置目标设备密码的修改策略,实现密码的批量定期自动修改,修改后的结果可以以加密邮件方式发送给密码保管员,从而实现密码的集中管理,同时密码保管员也可以随时在系统的WEB界面打包备份设备的密码到本地,提高改密功能可用性。
3.10自动运维
3.10.1网络设备配置自动备份
Shterm具备网络设备配置自动备份功能。
管理员通过在shterm上配置相应策略,可在指定的时间,自动备份指定的网络设备上的配置文件。
3.10.2Unix系统脚本自动执行
Shterm具备UNIX系统脚本自动执行功能。
管理员通过在shterm上配置相应策略,可在指定的时间,自动到指定的UNIX服务器上执行指定的脚本;实现自动巡检等日常工作。
3.11应用发布
Shterm可以通过Web管理界面,直接发布安装在某台windows服务器上的各类客户端/应用程序,如citrix客户端、sqlplus、secureCRT、toad等;
此外,Shterm还支持部分客户端工具的密码自动代填,实现客户端密码的集中管理;
3.12操作审计
Shterm不仅能记录用户在目标设备上进行的Telnet、SSH、RDP、VNC、X-Windows、Http、Https、FTP、SFTP、SCP等协议的所有操作行为;
此外还能完美审计第三方客户端工具的操作,如citrix客户端、PL/SQL、SQLPLUS、TOAD等工具;
3.12.1命令操作审计
文本方式记录;
基于“命令精准识别”的专利技术,唯一可以确保对各种常规和非常规操作行为的准确识别;
对于字符命令操作的日志回放支持:
✓在Web界面直接回放操作过程
✓智能输入输出分离,展现在用户面前的只是输入命令,展开后可查看命令输出结果
✓支持任意点回放
✓支持“上下箭头”、“TAB命令补全”等输入操作回放;
3.12.2图形操作审计
录像方式记录;
在录像方式记录用户操作过程的同时,还可以文本方式完整记录用户的键盘鼠标敲击、复制粘贴操作,并能对操作界面进行问题模糊识别;
对于图形化操作日志的回放支持:
✓不须加载、无延时在线拖拉回放
✓支持多倍速回放
✓自动过滤屏幕静止操作
✓根据时间点直接定位回放
✓针对任意一个审计画面可以抓屏,保存成一个图片文件
✓回放时可显示键盘和鼠标操作内容
3.12.3数据库操作审计
Shterm支持以文本方式100%记录客户端操作对应的每条SQL语句;SQL语句跟图形审计结果关联回放。
3.13操作搜索
针对字符操作记录,都可以按照时间、用户账号、目标设备、系统账号、命令关键字进行搜索,在最短的时间内找到相关日志内容,实现快速定位;
针对图形操作记录,可以根据键盘输入、剪贴板操作、模糊识别的内容、URL地址为关键字进行查询定位;
针对数据库操作记录,可以根据SQL语句的内容为关键字进行查询定位;
所有查询的结果可以和图形操作过程关联回放;
3.14统计报表
Shterm支持情况总览、会话报表、报表模板、自动报表、命令报表、配置报表等统计报表功能。
4方案优势
4.1成熟稳定
齐治公司从2005年成立,自主研发的堡垒机系统。
自2005年被阿里巴巴选中后,为其旗下的25000余台服务器提供着运维操作安全服务,其服务器数量、在线维护人员数量等硬指标在全国首屈一指,是完全可以信赖的优秀产品。
至今,在国内,齐治公司是:
Ø唯一专注于运维操作管理领域的厂商
Ø在运营商、金融、互联网、电力、政府、烟草和海关等多个高端行业得到大规模使用
Ø唯一在单个用户超过2,300个并发用户环境成功部署
Ø唯一在单个用户超过10,000台服务器环境成功部署
Ø唯一在单个用户超过2,000台网络设备环境成功部署
4.2安全可靠
Shterm是以安全性为基础构建坚实的运维堡垒,是业内唯一不存在中高级安全漏洞、对外不开放非安全端口的产品。
Ø只开放4个端口(22、443、3389和5899),彻底杜绝telnet、ftp等非安全服务端口开放
Ø使用SSL、SSH封装传输过程;
Ø唯一同时拥有国家保密局和中国国家信息安全产品认证的;
4.3技术先进
品质的保障在于点滴细节,齐治堡垒机系统在核心功能上面拥有独家的技术,可以最大程度降低运维操作风险,以确保后台设备系统的稳健运行。
其领先性主要体现在以下几点:
Ø唯一在该领域具备发明专利,可确保:
>对各种常规和非常规命令操作的100%识别和控制;
>实现数据库操作sql语句的100%识别;
Ø唯一可保证目标设备密码修改安全性;
Ø唯一实现图形会话关键字(键盘输入、剪贴板、模糊识别内容)文本记录和图文关联检索;
Ø唯一支持运维自动化;
Ø唯一真正实现堡垒机方式的数据库审计(100%记录所有sql语句,并实现sql与图形审计关联)的产品;
5客户收益
5.1规范操作管理
Ø实现操作透明化
Ø增强操作可控性
Ø提高操作管理效率
5.2规避操作风险
Ø法律规范遵从
Ø有效监管代维厂商
Ø完善责任认定体系
6成功案例
6.1运营商行业
6.2银行行业
6.3小金融行业
6.4互联网行业
6.5电力行业
6.6政府行业
6.7企业行业
升级会员 