堡垒机的由来
堡垒机(全称:运维安全管理产品)是从跳板机的概念演变过来的。早在2000年左右的时候,一些中、大型企业为了能对运维人员的远程登录进行集中管理,会在机房部署一台linux/windows操作系统的跳板机,所有人员都需要先远程登录跳板机,然后从跳板机登录其他服务器中进行操作。随着技术和需求的发展,越来越多的客户需要对运维人员的操作进行审计。因此,堡垒机应运而生。
堡垒机定义
运维安全管理产品为运维用户提供统一的身份认证接口、多种远程运维管理方式,对资产及其账号等进行集中管理和授权,监控和审计运维操作过程,并对违规操作行为进行报警、阻断。该类产品保护的对象是服务器、网络设备、安全产品、数据库、应用系统等信息系统重要资产。此外,运维安全管理产品本身及其内部的重要数据也是受保护的对象。
——《GA/T 1394-2017信息安全技术 运维安全管理产品安全技术要求》
堡垒机发展历史
堡垒机的发展历程大致可分为以下三个阶段:
第一代堡垒机:堡垒机最初的理念起源于跳板机,但跳板机无法实现对运维人员操作行为进行控制和审计,一旦出现违规操作导致操作事故,很难快速定位原因和责任人。
第二代堡垒机:通过在跳板机的基础上进行改进,第二代堡垒机能实现对内网资源的安全访问,满足用户对常用的文本类和图形类运维协议进行控制和审计。
第三代堡垒机:随着用户对运维审计的需求越来越多,对堡垒机支持的协议种类需求也越来越多。第三代堡垒机接管了终端计算机对网络和服务器的访问,支持的协议相应增加了数据库协议、Web应用协议等。并且随着云计算的发展,部分企业已将众多的计算资源迁入“云端”,为了满足这些企业需求,云堡垒机也应运而生。
堡垒机产品分类
现如今,随着业务系统的迅速发展,各行业企业的网络规模迅速扩大,不同行业的需求、相关政策要求各不相同,针对不同行业的需求和应用场景衍生出不同类别的堡垒机产品,主要分为硬件堡垒机、软件堡垒机、云堡垒机、便携式堡垒机等。
1
硬件堡垒机
应用场景
随着信息技术的飞速发展,网络信息应用无处不在,金融、运营商、政府、能源、制造业、电力等行业企业在面对日趋复杂的网络信息化系统,由于运维人员对安全认知的程度不同,导致在运维过程中存在着较大的安全风险,如何提高系统运维管理水平,满足相关标准要求,跟踪服务器上用户行为,提供控制和审计依据,已经成为越来越困扰企业的问题。
此时,堡垒机应运而生。硬件堡垒机本地部署在企业内网,安全性强,不占用企业其他资源,对网络设备、主机、应用系统的运维进行访问控制、身份认证、行为审计等精细化管理,帮助企业在运维过程中建立全面的事前规划、事中控制,以及事后审计的安全管理体系。
典型部署
核心功能
用户身份认证
1、用户身份认证:堡垒机为企业每个运维人员创建唯一的账号(即主账号),此账号如同个人的身份证一样,与个人绑定。在运维过程中,主账号与其权限内的设备账号(从账号)进行关联,做到企业资源信息的实名制访问,并且为用户提供本地认证、Radius认证、CA认证、Ukey认证等多种认证方式。
2、访问授权管理:堡垒机通过授权管理功能对资源账号访问权限进行细粒度控制,来确保每个运维人员拥有最小访问权限,杜绝用户非法访问和越权访问资源,保障了系统中服务器、主机系统等资源的安全。
3、集中审计管理:堡垒机支持用户对各种资产的访问操作行为进行审计,支持图形审计的监控和回放,在出现安全事故时,可以故障定位责任追踪。
2
软件堡垒机
应用场景
随着企业的不断发展,企业内部资产爆炸式增长,庞大且快速增长的资产需要堡垒机在资产纳管方面更具可扩展性。硬件堡垒机由于自身硬件限制已无法满足扩展性需求。
此时,软件堡垒机成为客户的首选。软件堡垒机(也称私有部署堡垒机)不仅易于部署、维护、升级,还在扩容上更具灵活的优势,也省去了前期的布线、上架等操作,在需要扩容时,不需要考虑硬件的交付周期,客户只需要提供一台高性能虚拟机,即可实现分钟级的扩容。
典型部署
软件堡垒机部署
核心功能
1、身份认证:可对用户灵活的身份认证,包括本地账号密码认证、双因子认证、第三方认证系统,防止运维人员身份被盗用冒充,造成数据泄露。
2、权限管控:可设置内网不同资产账号管理权限,通过有序的权限管理降低内网资产运维安全风险。
3、行为审计:对所有内网资源操作提供实时的监控、记录和回放功能,一旦发生运维事故,将依靠审计记录来进行回溯,明确事故责任人以及找出事故原因。
3
云堡垒机
应用场景
随着数字化产业迅速迭代,越来越多用户选择将IT信息化建设逐步云化,多云战略也被广泛采纳,企业资产经常分布在不同云供应商的不同网络内,往往会呈现为多云架构,这就要求堡垒机能够适配多种云平台的API接口,降低平台资源管理的难度。同时企业需要堡垒机提供持续可用、快速容灾切换的能力,保障企业内部不间断的统一安全运维能力。软件堡垒机很少适配多种云平台的接口,且自身故障后无法提供快速切换的能力,所以软件堡垒机已无法适用云场景,此时云堡垒机应运而生。
云堡垒机是一个云资源集中管理平台,通过SAAS部署在云上能实现企业对多种品牌的云上资源(包括:公有云主机、私有云主机、云数据库等资源)运维过程的事前规划、事中控制和事后审计,提供持续可用、快速容灾切换的能力,有效支撑业务的持续运营,广泛应用于金融、教育、政府、医疗、传媒、互联网等众多领域,满足各行业监管要求,减少安全事故,帮助各行业企业长久稳定发展。
典型部署
云堡垒机部署
核心功能
1、支持多云资产运维:可同时运维管理分散在不同品牌云环境的主机资产,如阿里云、腾讯云、华为云、Azure等,提升运维效率。
2、身份认证:可对云上用户灵活的身份认证,包括本地账号密码认证、双因子认证(动态令牌、短信网关)、第三方认证系统,防止运维人员身份被盗用冒充,造成数据泄露。
3、权限管控:可设置不同云账号管理权限,通过有序的权限管理降低云上资产运维安全风险。
4、行为审计:对所有的云上资源操作提供实时的监控、记录和回放功能,一旦发生运维事故,将依靠审计记录来进行回溯,明确事故责任人以及找出事故原因。
4
便携式堡垒机
应用场景
工业控制系统作为国家最重要的关键基础设施,一旦遭受攻击就可能会造成社会生产瘫痪、人员伤亡等重大危害,因此加强工控系统内部网络安全防护显得尤为重要。在大多数工业控制系统的运维中,通常需要接入便携式电脑等运维终端,由于外接的运维终端来源复杂,因此安全管控十分困难,容易发生病毒传播及网络外联等高风险行为,而且,工业控制系统承载着大量重要信息,如果被运维人员非法带出会导致核心数据泄密。此外,由于无人值守场站众多且分布广泛,需要同一运维人员经常去不同的场站进行现场运维操作,针对以上困境,传统的运维堡垒机已无法适用,便携式堡垒机应运而生。
便携式堡垒机通过串接在运维终端与被运维对象之间,将运维成员、运维工具等外部要素与被运维对象等内部要素进行隔离,并对运维成员的敏感操作、违规行为进行实时监督管控,防止外部网络攻击、违规操作等行为等破坏系统;对运维工作全过程进行日志、屏幕录像等多维度记录,实现运维事前有防范、事中有监督、事后有审计的安全管理目标,可以广泛应用于电力、军工、交通、涉密等行业。
电力行业便携式堡垒机
典型部署
核心功能
1、高危指令拦截:便携式堡垒机具备运维行为的检测和过滤,拦截高危运维指令,确保整个运维过程中安全可控。
2、恶意代码查杀:便携式堡垒机支持FTP、移动存储介质等文件传输过程中的恶意代码查杀,可自动对恶意代码文件进行自动隔离、告警,防止恶意代码扩散到核心系统。
3、恶意攻击检测阻断:便携式堡垒机支持对端口扫描行为、ARP攻击、SYN Flood等恶意行为的检测和阻断,可确保运维过程中被运维设备免遭恶意攻击破坏。
堡垒机国密改造新要求
应用场景
密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段。国家密码主管部门及密码相关标准,对于密码应用的合规性、正确性、有效性,提出了明确要求。其中,合规性,是密码应用需解决的首要问题;同时,密码应用合规性,亦是密评实施过程中需关注的首要问题。
密评(全称:商用密码应用安全性评估)是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估的活动,“密评”的对象涉及国计民生和基础信息资源的重要信息系统:能源、教育、公安、交通、卫生、金融等信息系统。
相关政策要求
《密码法》指出:关键信息基础设施的运营者未按照要求使用商用密码,或者未按照要求开展密评,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,将处十万元以上一百万元以下罚款。
《网络数据安全管理条例》要求:第三级以上网络应当采用密码保护,并使用国家密码管理部门认可的密码技术、产品和服务。
《关键信息基础设施安全保护条例》中指出“关键信息基础设施中的密码使用和管理应符合相关法律法规”。
GB/T39786-2021《信息安全技术 信息系统密码应用基本要求》中明确阐明了密码应用的技术要求及管理要求。
GB/T39786-2021《信息安全技术 信息系统密码应用基本要求》
从法律法规,到相关政策出台,再到标准落地,一系列举措加速了推动国密改造的步伐,也进一步凸显了商用密码算法是网络安全建设过程中不可忽略的一部分。
如何对堡垒机进行国密改造?
堡垒机在关键信息基础设施和重要信息系统中有着广泛的应用,在对信息系统实施密评时,它是设备和计算安全层面中身份鉴别、远程管理通道安全等测评项的重要测评对象。在密评实施过程中,会针对堡垒机自身及其关联设备的密码应用进行安全性评估。主要测评内容包括:
堡垒机国密改造项
结语
上文简要分析了堡垒机的概念、发展历史、产品分类、国密改造新要求,帮助大家更加清楚的了解堡垒机。随着信息安全的快速发展,来自内部的安全威胁日益增多,综合防护、内部威胁防护等思想越来越受到重视,堡垒机将成为信息系统安全的最后一道防线,其作用也将越来越重要,应用范围势必会快速扩展到各个行业的信息系统,堡垒机功能、特性、应用场景也会根据不同行业需求得到进一步的发展。
1、《中华人民共和国数据安全法》的发布促进了数据安全重要性的迅速提升,未来堡垒机应融合数据库审计、数据防火墙等产品的功能,做到对数据库等资产进行应用级审计。
2、堡垒机应将企业资产、控制策略、运维数据、风险告警等信息可视化的清晰展现出来,对展示的数据进行智能多维分析,实现快速准确的运维问题诊断、根因定位,实现一体化协作运维,显著高企业运维的安全性、合规性、效率、灵活性和响应速度。
3、堡垒机还应从芯片、操作系统、应用组件等各方面实现全国产化的自主设计和采取零信任的访问模式,保障堡垒机自身绝对安全、自主可控。
威努特目前在运维安全领域有多年积累,具备卓越的创新能力和丰富的技术储备,产品广泛应用于电力、轨交、智能制造等行业。未来,威努特将继续深耕运维安全领域,从芯片、操作系统、应用组件、密码等方面对堡垒机产品进行全国产化的改造,实现运维自主可控;并且将堡垒机、数据库安全产品、态势感知等产品进行功能融合,打造一款可视化的智能安全运维平台,将运维数据进行统一采控、集中管理、统一展示与分析,将分析得出的结论通过不同的运维决策场景展现给运维管理人员,便于对问题进行处理,主动预测运维问题并快速处理问题,最终实现运维成本的全面优化、业务价值的最大化输出以及客户满意度的大幅提升。
Copyright © 2005-2021 网信安全世界版权所有