【产品技术】云堡垒机:共读技术白皮书(上)

举报
懒宅君 发表于 2020/06/27 14:44:41 2020/06/27
【摘要】 随着信息化的发展,政府部门、企事业单位、金融机构等组织的信息系统不断发展,对信息系统的依赖程度也日益增强。信息系统的发展伴随网络规模迅速扩大和设备数量快速增长,组织机构建设信息系统的重点已经从网络平台建设,转向深化应用、提升效益的阶段。同时,运维行业经历了初始起步、专业化、工具化、平台化、云化和智能化过程,从手动运维阶段过渡到规模化阶段,再到现在向云化、智能化阶段的趋势发展,运维与安全正逐渐...

随着信息化的发展,政府部门、企事业单位、金融机构等组织的信息系统不断发展,对信息系统的依赖程度也日益增强。信息系统的发展伴随网络规模迅速扩大和设备数量快速增长,组织机构建设信息系统的重点已经从网络平台建设,转向深化应用、提升效益的阶段。同时,运维行业经历了初始起步、专业化、工具化、平台化、云化和智能化过程,从手动运维阶段过渡到规模化阶段,再到现在向云化、智能化阶段的趋势发展,运维与安全正逐渐走向融合。

信息系统的安全运行直接关系企业效益,构建一个强健的信息运维安全管理体系,对企业信息化的发展至关重要,同时对运维的安全性也提出了更高要求。

用户身份难以定位

在同一团队中,由于工作需要,经常存在多用户共享同一账号的情况。对管理者来说无法确定是谁在操作或是谁做了操作等问题。不仅在发生安全事故的时候难以定位从账号的实际使用者和责任人,而且无法对从账号的使用范围进行有效控制,存在较大的安全隐患。

运维操作缺乏审计

在运维工作中,每天都有不同的人在操作和维护主机,无法得知运维人员在资源中具体做了什么操作、是否有违规或误操作。即便有基础的审计,大多也是通过网络设备和操作系统的系统日志进行监控审计。由于各系统自身审计日志分散,且内容粒度深浅不一,因此,难以通过系统自身审计及时发现违规操作并进行追查取证,更加无法实时监控外部人员的操作过程。

权限管理粗放混乱

大多数组织机构的信息系统运维均采用设备和操作系统自身的授权系统,授权功能分散在各设备和系统之中。管理员的权限大多是粗放式管理,由于缺少统一的访问授权策略,授权粒度粗,无法基于最小权限分配原则管理用户权限,难以与业务管理要求相协调。因此,出现运维人员权限过大或内部操作权限滥用等诸多问题,如果不及时解决,信息系统的安全性难以充分保证。

运维工作效率低下

一个运维人员使用多个从账号是较为普遍的情况,用户需要记忆多套密码,在多台主机系统或网络设备之间进行切换。由于既要保障密码强度,又要定期对密码进行更改以满足安全性要求,所以设备及信息系统的密码安全管理成为一个难题。如果设备数量达到几十甚至上百台时,那么运维人员进行一项简单的配置工作,就需要逐一登录相关设备,其工作量和复杂度成倍增加,直接导致的后果是工作效率低下、管理繁琐甚至出现误操作,影响系统正常运行。

资源访问缺乏控制

运维人员可能会因为误操作造成数据丢失或业务故障等问题,黑客也可能远程进入主机之后进行恶意的数据窃取或数据篡改等。如果想要做到精确控制,需要管理人员在很多主机中做各种精细化的策略,才有可能控制有意或无意的误操作行为。

法规遵从面临压力

为加强信息系统风险管理,政府、金融、运营商等陆续发布了信息系统管理规范和要求,例如“网络安全法”、“信息安全等级保护”、“商业银行信息科技风险管理指引”、“企业内部控制基本规范”等均要求具备信息系统风险内控与审计的功能,但组织机构自身却缺乏行之有效的技术手段。

设计理念

通过逻辑上将用户与目标设备分离,建立“用户→主账户(云堡垒机用户账户)→访问控制策略→从账户(目标设备账户)→目标设备”的管理模式。在此模式下,通过基于唯一身份标识的用户账户管理与访问控制策略,精细化的角色权限控制,与各服务器、网络设备、安全设备、数据库、应用系统等无缝连接,实现集中精细化的运维操作管理与审计。

image.png                                    

 


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

举报
请填写举报理由
0/200