UMA1500V统一运维审计产品技术白皮书.docx
《UMA1500V统一运维审计产品技术白皮书.docx》由会员分享,可在线阅读,更多相关《UMA1500V统一运维审计产品技术白皮书.docx(11页珍藏版)》请在冰点文库上搜索。
UMA1500V统一运维审计产品技术白皮书
华为UMA1500-V运维审计平台
技术白皮书
华为UMA1500-V技术白皮书
关键词:
UMA
摘要:
本文详细介绍常见运维风险、华为UMA功能特点和部署模式。
名称缩写
完整拼写
中文解释
UMA
UnifiedMaintenanceandAudit
统一运维审计
1概述
随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强,信息安全问题受到普遍关注。
由于信息化建设、业务不断扩展等因素,在各信息系统中的服务器及各种网络设备的不断增加,对目标主机的管理必须经过各种认证和登录过程。
在某个主机及账户被多个管理人员共同使用的情况下,引发了如帐号管理混乱、授权关系不清晰、越权操作、数据泄漏等各类安全问题,并加大了IT内控审计的难度。
2常见运维风险
2.1来源身份定位难
每个管理人员都需要对主机资源进行运维操作,对管理者来说无法确定是谁在操作、是谁做了操作等;一旦发生事故,无法确定责任人。
2.2操作过程不透明
每天都有不同的人在操作和维护主机。
但是现状是无法得知运维人员在主机中具体做了什么操作、是否有违规和误操作,更加无法实时监控外部人员的操作过程。
2.3系统账户共享
主机资源越多,系统账户也越多,而且面临着一个主机有很多的账户;可能一个账户被不同的人使用、一个人使用不同的账户、不同的人交叉使用不同的账户等等。
对管理层来说无法集中梳理账户与自然人员的关系,甚至担心临时账户的存在造成数据的泄露。
2.4运维工作效率低
随着主机账户不断增加,密码的管理和修改也成为一个管理员的难题,既要保证密码的复杂度,又要确保每隔一段时间进行修改,手工修改只会增加工作量。
主机类型多了,造成了登录繁琐;linux/unix需要使用字符客户端工具,windows需要使用远程桌面连接工具,web系统需要使用浏览器,数据库需要使用数据库客户端工具等等。
2.5缺乏集中的控制手段
操作人员可能会因为无意操作造成数据丢失、业务故障等,黑客也可能远程进入主机之后进行有意的数据窃取、数据篡改等;如果想要做精确控制,需要管理人员在很多主机中做各种精细化的策略才有可能控制有意或无意的操作行为。
2.6如何满足合规要求
目前国内、国际的很多标准、法案法规都要求相关组织单位建设安全管理的审计系统,并确保审计信息是安全、完整、可查及唯一的:
•信息安全等保要求用户身份识别、权限隔离、数据审计、日志记录、审计报表等。
•ISO27001标准要求记录用户访问、意外和信息安全事件的日志,以便为安全事件调查取证等。
•SOX法案要求组织设计和执行了适当的控制,以确保财务报表数据的可靠、可信等。
•企业内控规范要求企业严格执行规范要求,以加强和规范内部控制、提高风险防范能力等。
3UMA产品介绍
华为UMA统一运维审计系统(简称:
UMA)是华为在多年运维安全管理的理论和实践经验积累的基础上,结合各类法律法规(如等级保护、赛班斯法案SOX、PCI、企业内控管理、分级保护、ISO/IEC27001等)对运维审计的要求,采用B/S架构,集“身份认证(Authentication)、账户管理(Account)、控制权限(Authorization)、日志审计(Audit)”于一体,支持多种字符终端协议、文件传输协议、图形终端协议、远程应用协议的安全监控与历史查询,具备全方位运维风险控制能力的统一安全管理与审计产品。
。
3.1用户分权
UMA支持多种用户角色:
超级管理员、部门管理员、配置管理员、审计管理员、运维员、审计员、系统管理员、密码管理员,每种用户角色的权限都不同,为用设立不同的角色提供了选择。
3.2集中授权
UMA通过集中授权,帮助客户梳理用户与主机直接的关系,并且提供一对一、一对多、多对一、多对多的灵活授权模式。
3.3单点登录
UMA支持托管主机的账户和密码,运维人员直接点击<登录>即可成功自动登录到目标主机中进行运维操作,无需输入主机的账户和密码。
3.4统一审计
UMA对所有的操作进行详细记录,并提供综合查询功能;审计日志可以在线播放也可以离线播放,所有的审计日志支持自动备份和自动归档。
3.5自动运维
对运维人员来说,需要定期手工执行命令;对网管人员来说,需要定期手工备份网络设备的配置信息。
通过UMA的自动化运维功能,实现自动化的运维任务并将执行结果通知相关人员。
3.6命令控制
UMA提供了集中的命令控制策略功能,实现基于不同的主机、不同的用户设置不同的命令控制策略,策略提供命令阻断、命令黑名单、命令白名单、命令审核四种动作条件。
3.7系统自审
UMA作为审计类产品,不光要实现对操作行为进行审计,还要做到对系统自身变化信息进行审计,并且形成系统报表分析。
4功能特点
4.1支持手机APP、动态令牌等多种双因子认证
为了提高来源身份的可靠性,防止身份冒用;UMA可以利用以下认证机制实现:
●内置了手机APP认证(谷歌动态口令验证)、OTP动态令牌、USBkey双因素认证引擎
●提供了短信认证、AD、LDAP、RADIUS认证的接口
●支持多种认证方式同时使用、多种认证方式组合使用
4.2覆盖最全的运维协议,让运维安全无死角
支持管理linux/unix服务器、windows服务器、网络设备、文件服务器、web系统、数据库服务器、虚拟服务器、远程管理服务器等等。
UMA兼容的运维协议更全面,实现“统一管理”的要求。
字符运维
图形运维
文件传输
Web运维
数据库运维
其他应用运维
SSH
telnetSSH公私钥
RDPVNC
SFTPFTPSCP
RDP磁盘映射
RDP粘贴板
rz/sz
HTTPHTTPS
IE代填
SQLserverOracleMySQLDB2
……
VMwarevSphereClientPcAnywhere
AS400
自定义扩展
4.3运维方式丰富多样,适用自动化运维等复杂场景
UMA适应不同的运维人员的运维习惯,兼容多种客户端工具(如Xshell、SecureCRT、mstsc、VNCViewer、Putty、winscp、flashFXP、SecureFX、OpenSSH等)和更加灵活的运维方式:
•Web登录运维,适用于习惯从Web页面登录目标主机的运维人员
•客户端登录运维,适用于习惯使用本地客户端工具登录UMA再登录目标主机的运维人员
•批量自动登录运维,适用于习惯一次性登录多台目标主机的运维人员
•网关透明登录运维,适用于习惯使用本地客户端工具直接登录目标主机的运维人员
•Openssh代理登录运维,适用于习惯用苹果系统、linux/unix的PC终端登录目标主机的运维人员,以及自动化运维等复杂场景
4.4浏览器客户端运维
基于H5技术,实现浏览器客户端运维,无需安装本地工具,直接支持浏览器打开运维界面操作,支持ssh、telnet、rlogin、rdp、vnc协议的web客户端运维。
4.5自动学习、自动授权,大大减轻管理员的配置工作
UMA支持自动收集主机的IP、协议、端口号、账户、密码等信息,并且可以学习到运维人员的权限关系,进一步实自动授权。
特别适用与前期对授权关系不清晰、资产信息不完整的场景。
运维人员只需通过UMA成功登录一次目标主机即可自动录入主机信息,这大大减轻了管理员配置主机信息、用户与主机关系的工作量。
4.6灵活、可靠的自动改密,保障密码安全
对运维人员来说,修改主机的密码和记住主机的密码是最重要的任务。
一旦发生密码遗失和泄露,将带来的风险无法估量。
UMA提供了完善的自动改密功能,可以实现:
•自动修改SSH、telnet、RDP、SFTP、FTP协议的主机密码,无需安装改密客户端、无需开启特殊端口
•可以指定修改密码、自动生成随机密码、上传密码文件、密码复杂度等方式生成新密码;可以制定自动改密任务周期、手工执行、自定义改密脚本等任务计划
•通过SFTP、FTP、邮件方式保存密码文件,做到改密前自动备份、发送失败不改密、改密后自动备份,防止密码丢失
•提供密码手工验证、自动恢复的容错机制,确保密码修改失败之后恢复到正确的密码
•密码文件加密保存,须运维管理员和密码管理员同时解密才能查看到主机的密码。
4.7文件传输审计,让数据窃取行为无藏身之地
作为运维审计系统,审计是最终目标;审计内容的完整体现了产品的审计能力。
不仅实现了对所有操作会话的在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容(如对文件的上传、下载、删除、修改等操作等)等行为记录。
还实现了对SFTP/FTP/SCP/RDP/RZ/SZ传输的文件完整备份在UMA中,为上传恶意文件、拖库、窃取数据等危险行为起到了查询依据。
4.8部署模式
4.8.1单机部署
部署说明:
1)部署模式:
在核心交换机上旁路部署一套UMA(统一运维审计系统)硬件设备,通过防火墙或者交换机上的ACL策略,切断用户原有运维访问通道。
2)部署条件:
保证业务服务器与UMA之间的路由可达,保证运维终端与UMA之间的路由可达;
3)登录过程:
集中管理的标志就是入口唯一,UMA(统一运维审计系统)是用户操作的唯一入口。
用户通过唯一的自然人ID登录到统一运维审计系统上,然后系统会根据配置管理员预先设置好的访问控制规则,提示用户选择可以访问的目标设备和相应系统登录账户,用户选择完成后会自动登录到目标设备,实现单点登录。
4.8.2双机部署
部署说明:
1)部署模式:
在核心交换机上旁路部署两套UMA(统一运维审计系统)硬件设备,采用双机热备方式进行部署,提供高可用性,主机出现故障,备机可立即进行服务托管,保证服务的连续性和可靠性。
通过防火墙或者交换机上的ACL策略,切断用户原有运维访问通道。
2)部署条件:
保证业务服务器与UMA之间的路由可达,保证运维终端与UMA之间的路由可达;
3)登录过程:
集中管理的标志就是入口唯一,UMA(统一运维审计系统)是用户操作的唯一入口。
用户通过唯一的自然人ID登录到统一运维审计系统上,然后系统会根据配置管理员预先设置好的访问控制规则,提示用户选择可以访问的目标设备和相应系统登录账户,用户选择完成后会自动登录到目标设备,实现单点登录。
4.8.3集群部署
集群部署方案特点:
1、实现用户和资源的集中管理:
UMA对运维用户和资源进行了集中统一的管理体制,大大提升了管理人员的工作效率,实现对信息的有序集中管理。
2、日志分散存储,集中审计:
所有日志分散存储在主节点及从节点中,充分利用所有存储空间,且实现日志的集中审计,审计人员通过管理中心查看所有审计信息,方便事件定位追踪。
3、不影响现有用户环境:
采用物理旁路部署,不改变用户网络拓扑,不用在服务器端安装引擎,对业务系统无影响。
4、可靠性高,可扩展性强:
采用集群模式,主节点支持采用热备模式部署,提供高可靠性,集群模式可提供高负载的能力,对大并发的运维操作进行支撑,支撑管理1000以上的服务器资产,可通过增加节点的数量进行负载扩容。