安全管理是高校信息化日常管理中的重點(diǎn)任務(wù),運(yùn)維管理與安全管理是一個(gè)相互疊加交織的動(dòng)態(tài)管理過(guò)程����,涉及校內(nèi)、校外的參與方眾多���,運(yùn)維對(duì)象類型各異����,且在主觀因素上�����,運(yùn)維人員技術(shù)素養(yǎng)的懸殊差別也可能導(dǎo)致各類問(wèn)題。因此���,通過(guò)一套運(yùn)維堡壘機(jī)來(lái)貫穿日常的技術(shù)運(yùn)維顯得尤為重要�����。
運(yùn)維保障工作面臨的主要挑戰(zhàn)集中在資產(chǎn)賬號(hào)管理與共享��、授權(quán)分配與身份識(shí)別及操作過(guò)程監(jiān)督三個(gè)方面����,堡壘機(jī)核心能力的定位也圍繞集中授權(quán)管理����,操作過(guò)程約束與規(guī)范,審核安全行為這三個(gè)方面展開(kāi)��。
受管運(yùn)維對(duì)象普遍被堡壘機(jī)命名為資產(chǎn)���,按照運(yùn)維方式���,可以分為命令行字符、桌面圖形、指定客戶端應(yīng)用三個(gè)大類��。
以命令行字符方式進(jìn)行運(yùn)維的設(shè)備類型較為廣泛��,網(wǎng)絡(luò)設(shè)備的交換機(jī)��、路由器��,服務(wù)器中的Linux�����、UNIX都可以通過(guò)ssh進(jìn)行遠(yuǎn)程運(yùn)維�。
在這類受管資產(chǎn)的功能規(guī)劃中���,需注意x11 forwarding(xdmcp)�、本地端口轉(zhuǎn)發(fā)及sftp支持的完備性�����,這些特性在實(shí)際運(yùn)維過(guò)程中雖然不是必備�,但能為運(yùn)維過(guò)程管理增添更多可塑性,并且對(duì)受管設(shè)備的文件傳輸��,Web頁(yè)面功能普遍不能做到文件夾下載和多文件上傳、下載�����,相應(yīng)功能有賴sftp客戶端的支持來(lái)補(bǔ)足�。除此之外,telnet會(huì)作為各個(gè)堡壘機(jī)的標(biāo)配協(xié)議�,但因?yàn)閠elnet的安全性較弱一般不推薦使用。
桌面圖形以Windows的RDP和Linux的VNC兩個(gè)大類為主開(kāi)展運(yùn)維���。RDP協(xié)議的考察重點(diǎn)在網(wǎng)絡(luò)級(jí)身份驗(yàn)證的支持����,這一加密特性對(duì)運(yùn)維會(huì)話的安全性起到保護(hù)作用�,而VNC則需注意Linux桌面默認(rèn)啟用了屏保,若堡壘機(jī)代管了VNC密碼則需取消相應(yīng)設(shè)置以避免第二次進(jìn)入VNC時(shí)無(wú)法代填密碼�。
指定的客戶端,如navicat���、plsql����、Toad等數(shù)據(jù)庫(kù)客戶端�、瀏覽器,以及定制開(kāi)發(fā)的C/S應(yīng)用客戶端,這類應(yīng)用的分散性是日常運(yùn)維監(jiān)管中的痛點(diǎn)�。
在堡壘機(jī)上的實(shí)現(xiàn)方式主要是虛擬應(yīng)用發(fā)布,該方式以屏幕變化量顯示在Windows運(yùn)行的客戶端程序窗口界面�����,從而實(shí)現(xiàn)客戶端應(yīng)用的遠(yuǎn)程管理�����,運(yùn)維用戶僅需堡壘機(jī)的插件�,無(wú)須安裝C/S應(yīng)用的客戶端,根據(jù)堡壘機(jī)廠家的研發(fā)能力���,還能進(jìn)一步實(shí)現(xiàn)客戶端賬號(hào)的代填與賬號(hào)管控����。
對(duì)運(yùn)維工作而言�����,基于角色的訪問(wèn)控制無(wú)疑是對(duì)運(yùn)維用戶最佳的權(quán)限管控模式�����,超級(jí)管理員�����、配置管理員�、審計(jì)管理員、操作員等每種角色都可以按層級(jí)���、按部門(mén)或按人員類別實(shí)現(xiàn)分組授權(quán)與權(quán)限繼承����,該功能的重點(diǎn)在權(quán)限配置靈活性滿足了運(yùn)維的各種場(chǎng)景����。
資產(chǎn)的訪問(wèn)權(quán)限,是堡壘機(jī)與其他基礎(chǔ)設(shè)施設(shè)備的突出區(qū)別�,每個(gè)運(yùn)維對(duì)象可以使用的登錄賬號(hào)及密碼由堡壘機(jī)集中管理,每個(gè)運(yùn)維用戶針對(duì)每個(gè)資產(chǎn)允許使用的登錄賬號(hào)須一對(duì)一可配置��,才能從權(quán)限分配的角度實(shí)現(xiàn)管控的精細(xì)化��。
作為安全設(shè)備��,審計(jì)功能是核心能力����,圖形界面的錄屏�,命令行的指令與文本編輯��,數(shù)據(jù)庫(kù)SQL語(yǔ)句等每一個(gè)操作細(xì)節(jié)���,都需要完整記錄�����,可追溯��,可查詢�,可持久保存�����,相應(yīng)的日志和保存的記錄應(yīng)可同步到其他存儲(chǔ)空間����,在此基礎(chǔ)上�����,可自定義高危操作命令以實(shí)現(xiàn)阻斷或操作復(fù)核。
需要注意的是���,錄屏所選取的編碼壓縮方案對(duì)細(xì)節(jié)的丟失�,錄屏對(duì)切片間隔與基于起止時(shí)間搜索的優(yōu)化���,以及圖形界面剪切板操作記錄便于回溯信息泄漏���。
運(yùn)維關(guān)系到生產(chǎn)環(huán)境的穩(wěn)定性、規(guī)范性和安全性���,等保2.0也對(duì)運(yùn)維過(guò)程提出了“事前預(yù)防�����、事中控制��、事后審計(jì)”的明確要求���。基于此����,我們?cè)谠u(píng)測(cè)與選擇堡壘機(jī)時(shí)�,對(duì)其自身技術(shù)架構(gòu)的安全性����、合理性,以及從宏觀設(shè)計(jì)到微觀功能落地方式都有了更多考量��,下圖所示為堡壘機(jī)技術(shù)架構(gòu)示意圖�。
普通運(yùn)維堡壘機(jī)技術(shù)架構(gòu)示意圖
基礎(chǔ)設(shè)施服務(wù)是堡壘機(jī)自身運(yùn)行不可或缺的支撐服務(wù)���,如NTP用于校準(zhǔn)時(shí)間并精確記錄日志����,郵件服務(wù)發(fā)送各類交互信息�����,DNS服務(wù)解析B/S應(yīng)用��,LDAP/AD對(duì)接運(yùn)維用戶身份認(rèn)證等�,它們是堡壘機(jī)技術(shù)架構(gòu)運(yùn)行依賴的服務(wù)。
面向運(yùn)維用戶�����,堡壘機(jī)僅開(kāi)放有限的端口�,包括SSH客戶端、RDP客戶端��、Web入口界面等運(yùn)維對(duì)象的連接操作都以堡壘機(jī)的IP作為入口���。
暴露的端口越少����,屏蔽運(yùn)維對(duì)象的信息越多�,對(duì)安全的幫助越大,該入口可根據(jù)設(shè)備的健壯性和運(yùn)維環(huán)境的要求����,發(fā)布在互聯(lián)網(wǎng)或通過(guò)VPN進(jìn)行連接。
當(dāng)運(yùn)維用戶發(fā)起的運(yùn)維對(duì)象是RDP和SSH時(shí)�,堡壘機(jī)作為代理轉(zhuǎn)發(fā)請(qǐng)求到真實(shí)的運(yùn)維對(duì)象相應(yīng)的端口,這些運(yùn)維對(duì)象僅需向堡壘機(jī)開(kāi)放端口����。
應(yīng)用服務(wù)在安裝堡壘機(jī)專有插件后,作為堡壘機(jī)能力的擴(kuò)展�����,以虛擬應(yīng)用的形式向運(yùn)維用戶提供應(yīng)用程序的窗口界面,這里的應(yīng)用程序指Windows上運(yùn)行的B/S和C/S應(yīng)用程序�,如瀏覽器,數(shù)據(jù)庫(kù)客戶端�,定制開(kāi)發(fā)的應(yīng)用系統(tǒng)等,這些應(yīng)用都安裝并運(yùn)行在應(yīng)用服務(wù)這個(gè)角色中�。
該角色本身部署了終端服務(wù)的Windows服務(wù)器,用戶一端接收和操作的只是窗口的屏幕變化量�,不用安裝對(duì)應(yīng)的B/S和C/S客戶端,所有真實(shí)的連接發(fā)生在應(yīng)用服務(wù)和運(yùn)維對(duì)象之間����,運(yùn)維對(duì)象僅需向堡壘機(jī)或應(yīng)用服務(wù)開(kāi)放端口,同時(shí)堡壘機(jī)配置和約束B(niǎo)/S�、C/S允許運(yùn)維用戶訪問(wèn)的URL、IP����、賬號(hào)等資產(chǎn)信息。
B/S應(yīng)用最典型的莫過(guò)于各種設(shè)備帶外管理和系統(tǒng)的后臺(tái)管理等Web界面����,這些Web界面在防火墻防護(hù)策略中很難精準(zhǔn)對(duì)應(yīng)到運(yùn)維人員,而堡壘機(jī)則解決了這一痛點(diǎn)��。
堡壘機(jī)實(shí)現(xiàn)了眾多運(yùn)維管理的手段,既是對(duì)運(yùn)維操作行為的約束���,也給運(yùn)維活動(dòng)帶來(lái)了較大依賴����。
基于此,堡壘機(jī)要能經(jīng)得起各種攻擊手段的滲透和流量壓力�,也要具備擴(kuò)展為高可用的多機(jī)集群能力,對(duì)托管的賬號(hào)密碼采用恰當(dāng)?shù)募用芗夹g(shù)����,特別是對(duì)堡壘機(jī)進(jìn)行配置備份或配置遷移時(shí)����,有完備的機(jī)制進(jìn)行保護(hù)���。
在驗(yàn)證方式上���,還應(yīng)具備usbkey、短信���、令牌����、x.5O9證書(shū)等認(rèn)證模式�����,可設(shè)置條件的多因子認(rèn)證方式��,滿足復(fù)雜場(chǎng)景下的混合認(rèn)證需求���。
運(yùn)維對(duì)象的端口開(kāi)放都限定在堡壘機(jī)和應(yīng)用服務(wù)角色����,極大縮小了受攻擊面,但安全管理員須保持開(kāi)放端口的警惕性���,對(duì)于不同的網(wǎng)絡(luò)環(huán)境�,應(yīng)用服務(wù)���、堡壘機(jī)和運(yùn)維對(duì)象所處的網(wǎng)絡(luò)位置可能直接相連通,也可能存在各種設(shè)備被阻斷�。
假設(shè)數(shù)據(jù)庫(kù)端口可以直接被應(yīng)用服務(wù)連接,則以虛擬應(yīng)用打開(kāi)的數(shù)據(jù)庫(kù)客戶端可自行填入連接信息�,繞開(kāi)堡壘機(jī)的管控,繼而造成安全“真空”地帶��。
對(duì)于無(wú)須錄屏審計(jì)的B/S操作���,堡壘機(jī)應(yīng)具備到Web運(yùn)維對(duì)象的代理訪問(wèn)能力�,類似于WebVPN的使用效果���,在堡壘機(jī)的權(quán)限控制體系下實(shí)現(xiàn)更加靈活的運(yùn)維配置模式�����。
應(yīng)用服務(wù)基于Windows部署����,一方面是因?yàn)閃indows的短板帶來(lái)潛在的威脅,另一方面是習(xí)慣各異的運(yùn)維用戶基于Windows的能力做出隨意的操作��,對(duì)應(yīng)用服務(wù)器的技術(shù)限制和常態(tài)化管理應(yīng)引起重視����。
首先是Windows的補(bǔ)丁、組策略等安全基線的加固����;
其次是所部署的應(yīng)用軟件加固,包括瀏覽器�、數(shù)據(jù)庫(kù)客戶端等軟件周期性更新和默認(rèn)配置檢查,避免別有用心的運(yùn)維用戶利用應(yīng)用軟件的漏洞�;
再次是瀏覽器作為B/S應(yīng)用的客戶端,應(yīng)注意由運(yùn)維用戶手動(dòng)安裝的瀏覽器擴(kuò)展��,部分瀏覽器擴(kuò)展插件可能使運(yùn)維用戶獲得更大的權(quán)限和更多的操作空間�,繼而越權(quán),甚至演變?yōu)槿怆u�����;
最后是B/S和C/S普遍具有的打開(kāi)對(duì)話框,運(yùn)維用戶可能在服務(wù)器磁盤(pán)和運(yùn)維主機(jī)本地磁盤(pán)存在混淆�����,通過(guò)應(yīng)用軟件產(chǎn)生的導(dǎo)入�、導(dǎo)出文件對(duì)于應(yīng)用服務(wù)器就是垃圾文件,還可能導(dǎo)致信息在不同運(yùn)維用戶間泄漏��,一般推薦隱藏應(yīng)用服務(wù)器的本地磁盤(pán)�����,將運(yùn)維用戶的本地磁盤(pán)映射到虛擬應(yīng)用中實(shí)現(xiàn)文件的交互�����。
基于上述技術(shù)架構(gòu)分析���,堡壘機(jī)作為IT設(shè)施和系統(tǒng)的看門(mén)人,日常管理的規(guī)范性和使用習(xí)慣需要“強(qiáng)迫癥”式的對(duì)待:
1.登錄賬號(hào)一對(duì)一配置��,不管運(yùn)維用戶來(lái)自哪里�����,均按人開(kāi)設(shè)運(yùn)維賬號(hào),避免多用戶共用賬號(hào)���;
2.將運(yùn)維權(quán)限按資產(chǎn)的賬號(hào)精細(xì)化配置給運(yùn)維用戶�����,這會(huì)增加權(quán)限管理的策略條目�,但對(duì)操作監(jiān)管和行為審計(jì)更有效����,避免越權(quán)操作;
3.充分利用多因子認(rèn)證的能力���,避免運(yùn)維賬號(hào)被記錄在小本本��、運(yùn)維人員離職等導(dǎo)致的泄漏���;
4.設(shè)置運(yùn)維賬號(hào)默認(rèn)有效期期限,密碼默認(rèn)強(qiáng)制復(fù)雜性規(guī)則�����;
5.設(shè)置指令操作的黑名單����,主動(dòng)阻斷高危命令����;
6.盡量使用密碼代填替代用戶自行輸入密碼�,能使用密鑰驗(yàn)證則不使用密碼,盡量不使用從堡壘機(jī)上修改主機(jī)密碼的功能����;
7.周期性抽檢運(yùn)維審計(jì)日志,周期性備份堡壘機(jī)的審計(jì)日志和主機(jī)日志����。
毫無(wú)疑問(wèn),做到上述細(xì)節(jié)不僅需要極大的管理魄力�����,更離不開(kāi)對(duì)所轄資產(chǎn)的準(zhǔn)確梳理�����。在實(shí)踐中可以基于受管資產(chǎn)的規(guī)范程度和重要程度��,逐步完成到堡壘機(jī)的運(yùn)維遷移�,最終實(shí)現(xiàn)所有運(yùn)維行為的應(yīng)管盡管。
除此之外���,還要兼顧考慮受管設(shè)備或網(wǎng)絡(luò)出現(xiàn)嚴(yán)重故障時(shí)無(wú)法通過(guò)堡壘機(jī)處置的應(yīng)急手段����,繼而在制度上��、措施上�,與技術(shù)手段、技術(shù)工具構(gòu)成運(yùn)維工作的有機(jī)體���。
