堡壘機安全設(shè)備為網(wǎng)絡(luò)安全保駕護航

時間：2020-05-12 12:12:01

關(guān)鍵字：網(wǎng)絡(luò)安全控制隔離信息系統(tǒng)

手機看文章

掃描二維碼
隨時隨地手機看文章

[導(dǎo)讀] （文章來源：樂山網(wǎng)警巡查執(zhí)法）隨著企事業(yè)單位IT系統(tǒng)的不斷發(fā)展，網(wǎng)絡(luò)規(guī)模和設(shè)備數(shù)量迅速擴大，IT系統(tǒng)日趨復(fù)雜，不同背景運維人員的行為給信息系統(tǒng)安全帶來較大風(fēng)險。缺少統(tǒng)一的權(quán)限

（文章來源：樂山網(wǎng)警巡查執(zhí)法）

隨著企事業(yè)單位IT系統(tǒng)的不斷發(fā)展，網(wǎng)絡(luò)規(guī)模和設(shè)備數(shù)量迅速擴大，IT系統(tǒng)日趨復(fù)雜，不同背景運維人員的行為給信息系統(tǒng)安全帶來較大風(fēng)險。

缺少統(tǒng)一的權(quán)限管理平臺，權(quán)限管理日趨繁重和無序;而且維護人員的權(quán)限大多是粗放管理，無法基于最小權(quán)限分配原則的用戶權(quán)限管理，難以實現(xiàn)更細(xì)粒度的命令級權(quán)限控制，系統(tǒng)安全性無法充分保證。無法制定統(tǒng)一的訪問審計策略，審計粒度粗。各網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫是分別單獨審計記錄訪問行為，由于沒有統(tǒng)一審計策略，并且各系統(tǒng)自身審計日志內(nèi)容深淺不一，難以及時通過系統(tǒng)自身審計發(fā)現(xiàn)違規(guī)操作行為和追查取證。

堡壘機是在一個特定的網(wǎng)絡(luò)環(huán)境下，為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來自外部和內(nèi)部用戶的入侵和破壞，而運用各種技術(shù)手段實時收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡(luò)活動，以便集中報警、及時處理及審計定責(zé)，有效解決了運維安全兩大難題。

堡壘機本質(zhì)上可以看作用于防御攻擊的計算機，又被稱為"堡壘主機"。堡壘機是一個主機系統(tǒng)，其自身通常經(jīng)過了一定的加固，具有較高的安全性，可抵御一定的攻擊。堡壘機將需要保護的信息系統(tǒng)資源與安全威脅的來源進行隔離，從而在被保護的資源前面形成一個堅固的"堡壘"，并且在抵御威脅的同時又不影響普通用戶對資源的正常訪問，堡壘機還集成了行為審計和權(quán)限控制，從而加強了對操作和安全的控制。

根據(jù)實際使用場景的不同和業(yè)務(wù)需要，堡壘機主要分為網(wǎng)關(guān)型堡壘機和運維審計型堡壘機。網(wǎng)關(guān)型堡壘機網(wǎng)關(guān)型堡壘機主要部署在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間，本身不直接向外部提供服務(wù)，而是作為進入內(nèi)部網(wǎng)絡(luò)的一個檢查點，用于提供對內(nèi)部網(wǎng)絡(luò)特定資源的安全訪問控制。

網(wǎng)關(guān)型堡壘機不提供路由功能，將內(nèi)外網(wǎng)從網(wǎng)絡(luò)層隔離開來，除授權(quán)訪問外，還可以過濾掉一些針對內(nèi)網(wǎng)的、來自應(yīng)用層以下的攻擊，為內(nèi)部網(wǎng)絡(luò)資源提供了一道安全屏障。但由于此類堡壘機需要處理應(yīng)用層的數(shù)據(jù)內(nèi)容，性能消耗很大，所以隨著網(wǎng)絡(luò)進出口處流量越來越大，部署在網(wǎng)關(guān)位置的堡壘機逐漸成為了性能瓶頸，因此，網(wǎng)關(guān)型的堡壘機逐漸被日趨成熟的防火墻、UTM、IPS、網(wǎng)閘等安全產(chǎn)品所取代。

運維審計型堡壘機運維審計型堡壘機，也被稱作"內(nèi)控堡壘機"，這類堡壘機也是當(dāng)前應(yīng)用最為普遍的一種。運維審計型堡壘機被部署在內(nèi)網(wǎng)中服務(wù)器和網(wǎng)絡(luò)設(shè)備等核心資源的前面，對運維人員的操作權(quán)限進行控制和操作行為審計。運維審計型堡壘機即解決了運維人員權(quán)限難以控制混亂局面，又可對違規(guī)操作行為進行控制和審計，而且由于運維操作本身不會產(chǎn)生大規(guī)模的流量，堡壘機不會成為性能的瓶頸，所以堡壘機作為運維操作審計的手段得到了快速發(fā)展。

運維人員在操作過程中首先連接到堡壘機，然后向堡壘機提交操作請求，該請求通過堡壘機的權(quán)限檢查后，堡壘機的應(yīng)用代理模塊將代替用戶連接到目標(biāo)設(shè)備完成該操作，之后目標(biāo)設(shè)備將操作結(jié)果返回給堡壘機，最后堡壘機再將操作結(jié)果返回給運維操作人員。

通過這種方式，堡壘機邏輯上將運維人員與目標(biāo)設(shè)備隔離開來，建立了從“運維人員->堡壘機用戶賬號->授權(quán)->目標(biāo)設(shè)備賬號->目標(biāo)設(shè)備”的管理模式，解決操作權(quán)限控制和行為審計問題的同時，也解決了加密協(xié)議和圖形協(xié)議等無法通過協(xié)議還原進行審計的問題。

堡壘機作為集中訪問入口和操作審計的保障，提供了一套多維度的運維操作權(quán)限管理與審計解決方案，使得管理人員可以全面對各種資源(如網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備和數(shù)據(jù)庫等)進行集中賬號管理、細(xì)粒度的權(quán)限管理和訪問審計，幫助企業(yè)提升內(nèi)部風(fēng)險控制水平。
? ? ? ?