堡垒机：重新定位运维安全审计

背景分析

目前，随着企事业单位IT系统的不断发展，网络规模和设备数量迅速扩大，日趋复杂的ＩＴ系统与不同背景的运维人员的行为给信息系统安全带来较大风险，主要表现在：

1. 多个用户使用同一个账号。这种情况主要出现在同一工作组中，由于工作需要，同时系统管理账号唯一，因此只能多用户共享同一账号。如果发生安全事故，不仅难以定位账号的实际使用者和责任人，而且无法对账号的使用范围进行有效控制，存在较大安全风险和隐患。
2. 一个用户使用多个账号。目前，一个维护人员使用多个账号是较为普遍的情况， 用户需要记忆多套口令同时在多套主机系统、网络设备之间切换，降低工作效率，增加工作复杂度。如下图所示：

用户与账号的关系现状

   3.  缺少统一的权限管理平台，权限管理日趋繁重和无序；而且维护人员的权限大多是粗放管理，无法基于最小权限分配原则的用户权限管理，难以实现更细粒度的命令级权限控制，系统安全性无法充分保证。

   4.  无法制定统一的访问审计策略，审计粒度粗。各网络设备、主机系统、数据库是分别单独审计记录访问行为，由于没有统一审计策略，并且各系统自身审计日志内容深浅不一，难以及时通过系统自身审计发现违规操作行为和追查取证。

   5. 传统的网络安全审计系统无法对维护人员经常使用的SSH、RDP等加密、图形操作协议进行内容审计。为了加强信息系统风险内控管理，一些企业部署网络安全审计系统；网络安全审计系统应用较为普遍，主要通过旁路镜像或分光方式，分析网络数据包进行审计；可对一些非加密的运维操作协议进行审计；但却无法对通过加密协议的操作内容进行审计，仍然难以解决对运维人员操作行为的监管问题。

如何解决上述风险带来的各种安全隐患和审计监管问题？运维安全审计系统给我们提供一套运维管理解决方案，使得管理人员可以全面对各种资源（包括网络设备、主机、安全设备和数据库）进行集中账号管理、细粒度的权限管理和审计，帮助企业提升风险内控水平。

目标与价值

2.1目标

    运维安全审计（即堡垒机，以下简称堡垒机）的核心思路是逻辑上将人与目标设备分离，建立“人-〉主账号（堡垒机用户账号）-〉授权—>从账号（目标设备账号）的模式;在这种模式下，基于唯一身份标识，通过集中管控安全策略的账号管理、授权管理和审计，建立针对维护人员的“主账号-〉登录—〉访问操作-〉退出”的全过程完整审计管理，实现对各种运维加密/非加密、图形操作协议的命令级审计。 

运维审计核心思路

2.2系统价值

堡垒机的作用主要体现在下述几个方面：

1. 企业角度

    通过细粒度的安全管控策略，保证企业的服务器、网络设备、数据库、安全设备等安全可靠运行，降低人为安全风险，避免安全损失，保障企业效益。

   2.  管理员角度

    所有运维账号的管理在一个平台上进行管理，账号管理更加简单有序；

    通过建立用户与账号的唯一对应关系，确保用户拥有的权限是完成任务所需的最小权限；

    直观方便的监控各种访问行为，能够及时发现违规操作、权限滥用等。

   3.  普通用户角度

    运维人员只需记忆一个账号和口令，一次登录，便可实现对其所维护的多台设备的访问，无须记忆多个账号和口令，提高了工作效率，降低工作复杂度。

2.3应用场景

堡垒机的典型应用场景如下图所示： 

典型应用场景

管理对象

管理员、运维人员、第三方代维人员

管理范围

服务器(Windows/linux/UNIX)、网络设备、安全设备、数据库

审计协议类型

SSH、TELNET、RDP、X-WINDOW、VNC、FTP、SFTP、Rlogin等

部署方式

堡垒机采用“物理旁路，逻辑串联”的部署思路，主要通过两步实现：

1. 通过配置交换机或需要管理设备的访问控制策略，只允许堡垒机的IP可以访问需要管理的设备。
2. 将堡垒机连接到对应交换机，确保所有维护人员到堡垒机IP可达。

实现效果

建立统一的集中运维管理平台 。

集中账号管理、集中授权,支持单点登录，实现运维行为的集中有序管理。

实现对运维加密协议、图形操作协议的审计，满足合规管理和审计要求。

下面分别从普通用户和管理员的角度，说明实现流程：

管理员制定策略

1、添加设备 
管理员添加需要管理的设备信息，包括设备名称、IP地址等。 
2、添加从账号 
管理员添加与设备对应的从账号（即设备的系统账号），包括账号名、口令等；其中口令可由堡垒机定期自动更新。 
3、添加主账号 
管理员添加主账号，主账号与实际维护人员是一对一的关系。 
4、建立主账号到设备的访问权限策略和审计策略 
基于访问权限策略，管理员建立“时间+主账号+目标设备+从账号+协议类型+权限+审计”等要素的关联管理策略。 
5、堡垒机对管理员策略配置行为全过程审计 
堡垒机自动记录管理员的设备管理、账号管理和权限管理的所有管理行为日志，以便审计员监控。

普通用户访问目标设备

 

1、登录请求 
用户在终端通过浏览器登录堡垒机，输入主账号和口令，发起访问请求。 
2、登录认证 
堡垒机的认证模块对用户的认证请求信息进行鉴别。 
3、检查主账号访问权限 
认证成功之后，堡垒机的权限管理模块通过分析主账号属性，包括可访问的目标设备、访问权限、协议类型等；显示主账号可访问的设备。 
4、访问目标设备 
用户选择需要访问的目标设备，进行操作维护。 
5、返回访问结果 
堡垒机将用户访问目标设备的所有操作执行结果，返回到用户的终端。 
6、用户访问行为全程审计 
堡垒机对用户从登录堡垒机到对目标设备的访问操作进行全程审计记录。

系统架构

堡垒机管理平台由功能管理模块、平台管理模块和平台接口构成，负责用户主从账号管理、认证管理、权限分配、审计信息搜集和管理。堡垒机总体架构如下图所示： 


系统架构

功能管理模块

提供账号管理功能、认证管理功能、权限管理功能和审计管理功能。

平台管理

提供对堡垒机平台自身管理，包括配置管理、系统监控和审计日志管理。

平台接口

提供对用户、设备的各种管理接口，包括账号接口、认证接口、访问接口。其中：

1. 账号接口：提供主从账号的同步和导入接口；
2. 认证接口：提供主从账号登录的认证接口；
3. 访问接口：提供主从账号与用户、设备的访问接口。

下面分别说明账号管理、认证管理、权限管理和审计管理模块的功能。

账号管理

账号管理主要负责集中维护包括主账号、从账号、堡垒机自身管理账号以及对账号密码的管理。

主账号

主账号的范围包括设备管理员、维护人员、第三方代维人员。 
主账号是登录堡垒机，获取目标设备访问权利的唯一账号，与实际用户身份一一对应，每个用户一个主账号，每个主账号只属于一个用户。

从账号

从账号的范围包括主机、网络设备、数据库、安全设备等。 
通过从账号，才能实现对目标设备的访问；从账号的维护和管理是通过堡垒机进行。

认证管理

系统可通过本地认证、外部认证（如LDAP、RADIUS）等认证方式，对用户账号进行统一认证鉴权，并实现单点登陆。

单点登录（SSO）

单点登录是用户完成主账号登录后，访问具有权限的所有目标设备时，均不需要再输入账号口令，堡垒机自动代为登录，因此不需要用户记录多套账号口令、重复登录，提高工作效率。

权限管理

授权管理包括设备管理和授权、账号授权。

设备管理和授权

系统将需要管理的设备录入，设备信息包括设备名称、版本、IP地址、连接协议等。设备可按照组织结构或地域组织。

账号授权

系统提供用户对目标设备（即主账号到从账号）访问的授权，对于访问授权可以具体到命令级。

审计管理

堡垒机的审计范围包括审计用户对被管理设备的所有敏感关键操作、对堡垒机自身的配置管理行为进行审计。

用户操作行为审计内容

提供对通过SSH、RDP、VNC、X-Window、Telnet、Rlogin、FTP等协议的访问行为进行内容审计，会话回放。

堡垒机自身配置管理审计

提供对堡垒机账号分配、账号授权、登录堡垒机过程、认证管理、授权管理的行为审计。

一套好的运维安全审计具备要素

集中的运维操作管理平台 
应实现对服务器、网络设备、数据库、安全设备的运维管理账号的集中账号管理、集中认证和授权，通过单点登录，提供对操作行为的精细化管理和审计，达到运维管理简单、方便、可靠的目的。

管理方便

应提供一套简单直观的账号管理、授权管理策略，管理员可快速方便地查找某个用户，查询修改访问权限；同时用户能够方便的通过登录堡垒机对自己的基本信息进行管理，包括账号、口令等进行修改更新。

可扩展性

当进行新系统建设或扩容时，需要增加新的设备到堡垒机时，系统应能方便的增加设备数量和设备种类。

精细审计

针对传统网络安全审计产品无法对通过加密、图形运维操作协议进行为审计的缺陷，系统应能实现对RDP、VNC、X-Window、SSH、SFTP等协议进行集中审计，提供对各种操作的精细授权管理和实时监控审计。

审计可查

可实时监控和完整审计记录所有维护人员的操作行为；并能根据需求，方便快速的查找到用户的操作行为日志，以便追查取证。

安全性

堡垒机须有冗余、备份措施，包括双机热备、负载均衡、异地数据备份等。

部署方便

系统采用物理旁路，逻辑串联的模式，不需要改变网络拓扑结构，不需要在终端安装客户端软件，不改变管理员、运维人员的操作习惯，也不影响正常业务运行。

参考书籍:
1、中国移动支撑系统集中账号管理、认证、授权与审计技术要求 
2、ISO 10181:1996 信息安全框架 信息技术开发放系统互连开放系统安全框架