安全管理是高校信息化日常管理中的重點任務(wù)�����,運維管理與安全管理是一個相互疊加交織的動態(tài)管理過程����,涉及校內(nèi)、校外的參與方眾多�,運維對象類型各異,且在主觀因素上����,運維人員技術(shù)素養(yǎng)的懸殊差別也可能導(dǎo)致各類問題。因此�,通過一套運維堡壘機來貫穿日常的技術(shù)運維顯得尤為重要。
運維保障工作面臨的主要挑戰(zhàn)集中在資產(chǎn)賬號管理與共享�����、授權(quán)分配與身份識別及操作過程監(jiān)督三個方面,堡壘機核心能力的定位也圍繞集中授權(quán)管理���,操作過程約束與規(guī)范���,審核安全行為這三個方面展開。
受管運維對象普遍被堡壘機命名為資產(chǎn)���,按照運維方式,可以分為命令行字符�、桌面圖形、指定客戶端應(yīng)用三個大類����。
以命令行字符方式進行運維的設(shè)備類型較為廣泛,網(wǎng)絡(luò)設(shè)備的交換機���、路由器�,服務(wù)器中的Linux��、UNIX都可以通過ssh進行遠程運維�����。
在這類受管資產(chǎn)的功能規(guī)劃中,需注意x11 forwarding(xdmcp)����、本地端口轉(zhuǎn)發(fā)及sftp支持的完備性,這些特性在實際運維過程中雖然不是必備����,但能為運維過程管理增添更多可塑性,并且對受管設(shè)備的文件傳輸����,Web頁面功能普遍不能做到文件夾下載和多文件上傳、下載���,相應(yīng)功能有賴sftp客戶端的支持來補足��。除此之外����,telnet會作為各個堡壘機的標(biāo)配協(xié)議�,但因為telnet的安全性較弱一般不推薦使用。
桌面圖形以Windows的RDP和Linux的VNC兩個大類為主開展運維。RDP協(xié)議的考察重點在網(wǎng)絡(luò)級身份驗證的支持���,這一加密特性對運維會話的安全性起到保護作用���,而VNC則需注意Linux桌面默認(rèn)啟用了屏保,若堡壘機代管了VNC密碼則需取消相應(yīng)設(shè)置以避免第二次進入VNC時無法代填密碼���。
指定的客戶端�,如navicat����、plsql、Toad等數(shù)據(jù)庫客戶端���、瀏覽器�,以及定制開發(fā)的C/S應(yīng)用客戶端��,這類應(yīng)用的分散性是日常運維監(jiān)管中的痛點�。
在堡壘機上的實現(xiàn)方式主要是虛擬應(yīng)用發(fā)布�����,該方式以屏幕變化量顯示在Windows運行的客戶端程序窗口界面��,從而實現(xiàn)客戶端應(yīng)用的遠程管理,運維用戶僅需堡壘機的插件���,無須安裝C/S應(yīng)用的客戶端����,根據(jù)堡壘機廠家的研發(fā)能力�����,還能進一步實現(xiàn)客戶端賬號的代填與賬號管控�����。
對運維工作而言��,基于角色的訪問控制無疑是對運維用戶最佳的權(quán)限管控模式�,超級管理員、配置管理員�����、審計管理員����、操作員等每種角色都可以按層級��、按部門或按人員類別實現(xiàn)分組授權(quán)與權(quán)限繼承����,該功能的重點在權(quán)限配置靈活性滿足了運維的各種場景���。
資產(chǎn)的訪問權(quán)限�,是堡壘機與其他基礎(chǔ)設(shè)施設(shè)備的突出區(qū)別�����,每個運維對象可以使用的登錄賬號及密碼由堡壘機集中管理�����,每個運維用戶針對每個資產(chǎn)允許使用的登錄賬號須一對一可配置�,才能從權(quán)限分配的角度實現(xiàn)管控的精細化。
作為安全設(shè)備���,審計功能是核心能力,圖形界面的錄屏���,命令行的指令與文本編輯����,數(shù)據(jù)庫SQL語句等每一個操作細節(jié),都需要完整記錄����,可追溯,可查詢����,可持久保存,相應(yīng)的日志和保存的記錄應(yīng)可同步到其他存儲空間��,在此基礎(chǔ)上��,可自定義高危操作命令以實現(xiàn)阻斷或操作復(fù)核���。
需要注意的是����,錄屏所選取的編碼壓縮方案對細節(jié)的丟失�,錄屏對切片間隔與基于起止時間搜索的優(yōu)化,以及圖形界面剪切板操作記錄便于回溯信息泄漏�。
運維關(guān)系到生產(chǎn)環(huán)境的穩(wěn)定性�、規(guī)范性和安全性�,等保2.0也對運維過程提出了“事前預(yù)防、事中控制����、事后審計”的明確要求?�;诖?�,我們在評測與選擇堡壘機時���,對其自身技術(shù)架構(gòu)的安全性��、合理性�����,以及從宏觀設(shè)計到微觀功能落地方式都有了更多考量����,下圖所示為堡壘機技術(shù)架構(gòu)示意圖��。
基礎(chǔ)設(shè)施服務(wù)是堡壘機自身運行不可或缺的支撐服務(wù)����,如NTP用于校準(zhǔn)時間并精確記錄日志,郵件服務(wù)發(fā)送各類交互信息��,DNS服務(wù)解析B/S應(yīng)用�����,LDAP/AD對接運維用戶身份認(rèn)證等����,它們是堡壘機技術(shù)架構(gòu)運行依賴的服務(wù)。
面向運維用戶��,堡壘機僅開放有限的端口�,包括SSH客戶端、RDP客戶端��、Web入口界面等運維對象的連接操作都以堡壘機的IP作為入口�。
暴露的端口越少,屏蔽運維對象的信息越多�,對安全的幫助越大,該入口可根據(jù)設(shè)備的健壯性和運維環(huán)境的要求����,發(fā)布在互聯(lián)網(wǎng)或通過VPN進行連接�����。
當(dāng)運維用戶發(fā)起的運維對象是RDP和SSH時��,堡壘機作為代理轉(zhuǎn)發(fā)請求到真實的運維對象相應(yīng)的端口�,這些運維對象僅需向堡壘機開放端口��。
應(yīng)用服務(wù)在安裝堡壘機專有插件后���,作為堡壘機能力的擴展����,以虛擬應(yīng)用的形式向運維用戶提供應(yīng)用程序的窗口界面����,這里的應(yīng)用程序指Windows上運行的B/S和C/S應(yīng)用程序,如瀏覽器�����,數(shù)據(jù)庫客戶端���,定制開發(fā)的應(yīng)用系統(tǒng)等�����,這些應(yīng)用都安裝并運行在應(yīng)用服務(wù)這個角色中���。
該角色本身部署了終端服務(wù)的Windows服務(wù)器,用戶一端接收和操作的只是窗口的屏幕變化量����,不用安裝對應(yīng)的B/S和C/S客戶端,所有真實的連接發(fā)生在應(yīng)用服務(wù)和運維對象之間��,運維對象僅需向堡壘機或應(yīng)用服務(wù)開放端口�����,同時堡壘機配置和約束B/S�����、C/S允許運維用戶訪問的URL�����、IP���、賬號等資產(chǎn)信息��。
B/S應(yīng)用最典型的莫過于各種設(shè)備帶外管理和系統(tǒng)的后臺管理等Web界面����,這些Web界面在防火墻防護策略中很難精準(zhǔn)對應(yīng)到運維人員,而堡壘機則解決了這一痛點���。
堡壘機實現(xiàn)了眾多運維管理的手段���,既是對運維操作行為的約束,也給運維活動帶來了較大依賴���。
基于此�,堡壘機要能經(jīng)得起各種攻擊手段的滲透和流量壓力,也要具備擴展為高可用的多機集群能力�,對托管的賬號密碼采用恰當(dāng)?shù)募用芗夹g(shù),特別是對堡壘機進行配置備份或配置遷移時�����,有完備的機制進行保護���。
在驗證方式上,還應(yīng)具備usbkey����、短信、令牌�、x.5O9證書等認(rèn)證模式,可設(shè)置條件的多因子認(rèn)證方式����,滿足復(fù)雜場景下的混合認(rèn)證需求。
運維對象的端口開放都限定在堡壘機和應(yīng)用服務(wù)角色����,極大縮小了受攻擊面���,但安全管理員須保持開放端口的警惕性,對于不同的網(wǎng)絡(luò)環(huán)境�����,應(yīng)用服務(wù)���、堡壘機和運維對象所處的網(wǎng)絡(luò)位置可能直接相連通�,也可能存在各種設(shè)備被阻斷���。
假設(shè)數(shù)據(jù)庫端口可以直接被應(yīng)用服務(wù)連接��,則以虛擬應(yīng)用打開的數(shù)據(jù)庫客戶端可自行填入連接信息����,繞開堡壘機的管控�,繼而造成安全“真空”地帶。
對于無須錄屏審計的B/S操作��,堡壘機應(yīng)具備到Web運維對象的代理訪問能力��,類似于WebVPN的使用效果,在堡壘機的權(quán)限控制體系下實現(xiàn)更加靈活的運維配置模式��。
應(yīng)用服務(wù)基于Windows部署��,一方面是因為Windows的短板帶來潛在的威脅�,另一方面是習(xí)慣各異的運維用戶基于Windows的能力做出隨意的操作,對應(yīng)用服務(wù)器的技術(shù)限制和常態(tài)化管理應(yīng)引起重視�。
首先是Windows的補丁、組策略等安全基線的加固�����;
其次是所部署的應(yīng)用軟件加固�,包括瀏覽器���、數(shù)據(jù)庫客戶端等軟件周期性更新和默認(rèn)配置檢查��,避免別有用心的運維用戶利用應(yīng)用軟件的漏洞����;
再次是瀏覽器作為B/S應(yīng)用的客戶端�,應(yīng)注意由運維用戶手動安裝的瀏覽器擴展,部分瀏覽器擴展插件可能使運維用戶獲得更大的權(quán)限和更多的操作空間�,繼而越權(quán),甚至演變?yōu)槿怆u;
最后是B/S和C/S普遍具有的打開對話框���,運維用戶可能在服務(wù)器磁盤和運維主機本地磁盤存在混淆���,通過應(yīng)用軟件產(chǎn)生的導(dǎo)入、導(dǎo)出文件對于應(yīng)用服務(wù)器就是垃圾文件���,還可能導(dǎo)致信息在不同運維用戶間泄漏�,一般推薦隱藏應(yīng)用服務(wù)器的本地磁盤����,將運維用戶的本地磁盤映射到虛擬應(yīng)用中實現(xiàn)文件的交互。
基于上述技術(shù)架構(gòu)分析���,堡壘機作為IT設(shè)施和系統(tǒng)的看門人��,日常管理的規(guī)范性和使用習(xí)慣需要“強迫癥”式的對待:
1.登錄賬號一對一配置�,不管運維用戶來自哪里�,均按人開設(shè)運維賬號,避免多用戶共用賬號�����;
2.將運維權(quán)限按資產(chǎn)的賬號精細化配置給運維用戶,這會增加權(quán)限管理的策略條目�����,但對操作監(jiān)管和行為審計更有效��,避免越權(quán)操作��;
3.充分利用多因子認(rèn)證的能力�,避免運維賬號被記錄在小本本、運維人員離職等導(dǎo)致的泄漏�;
4.設(shè)置運維賬號默認(rèn)有效期期限,密碼默認(rèn)強制復(fù)雜性規(guī)則�;
5.設(shè)置指令操作的黑名單,主動阻斷高危命令���;
6.盡量使用密碼代填替代用戶自行輸入密碼�,能使用密鑰驗證則不使用密碼�,盡量不使用從堡壘機上修改主機密碼的功能��;
7.周期性抽檢運維審計日志�����,周期性備份堡壘機的審計日志和主機日志。
毫無疑問��,做到上述細節(jié)不僅需要極大的管理魄力���,更離不開對所轄資產(chǎn)的準(zhǔn)確梳理��。在實踐中可以基于受管資產(chǎn)的規(guī)范程度和重要程度����,逐步完成到堡壘機的運維遷移��,最終實現(xiàn)所有運維行為的應(yīng)管盡管����。
除此之外,還要兼顧考慮受管設(shè)備或網(wǎng)絡(luò)出現(xiàn)嚴(yán)重故障時無法通過堡壘機處置的應(yīng)急手段�,繼而在制度上、措施上���,與技術(shù)手段���、技術(shù)工具構(gòu)成運維工作的有機體。
