藍Auditor服務器安全審計監(jiān)控

 

目前，隨著企事業(yè)單位IT系統(tǒng)的不斷發(fā)展，網(wǎng)絡規(guī)模和設備數(shù)量迅速擴大，日趨復雜的IT系統(tǒng)與不同背景的運維人員的行為給信息系統(tǒng)安全帶來較大風險，主要表現(xiàn)在：

1.多個用戶使用同一個賬號。這種情況主要出現(xiàn)在同一工作組中，由于工作需要，同時系統(tǒng)管理賬號，因此只能多用戶共享同一賬號。如果發(fā)生安全事故，不僅難以定位賬號的實際使用者和責任人，而且無法對賬號的使用范圍進行有效控制，存在較大安全風險和隱患。
2.一個用戶使用多個賬號。目前，一個維護人員使用多個賬號是較為普遍的情況，用戶需要記憶多套口令同時在多套主機系統(tǒng)、網(wǎng)絡設備之間切換，降低工作效率，增加工作復雜度。如下圖所示：

用戶與賬號的關(guān)系現(xiàn)狀
3.缺少統(tǒng)一的權(quán)限管理平臺，權(quán)限管理日趨繁重和無序；而且維護人員的權(quán)限大多是粗放管理，無法基于小權(quán)限分配原則的用戶權(quán)限管理，難以實現(xiàn)更細粒度的命令級權(quán)限控制，系統(tǒng)安全性無法充分保證。
4.無法制定統(tǒng)一的訪問審計策略，審計粒度粗。各網(wǎng)絡設備、主機系統(tǒng)、數(shù)據(jù)庫是分別單審計記錄訪問行為，由于沒有統(tǒng)一審計策略，并且各系統(tǒng)自身審計日志內(nèi)容深淺不一，難以及時通過系統(tǒng)自身審計發(fā)現(xiàn)違規(guī)操作行為和追查取證。
5. 傳統(tǒng)的網(wǎng)絡安全審計系統(tǒng)無法對維護人員經(jīng)常使用的SSH、RDP等加密、圖形操作協(xié)議進行內(nèi)容審計。
如何解決上述風險帶來的各種安全隱患和審計監(jiān)管問題？北京藍浚SSA給我們提供一套運維管理解決方案，使得管理人員可以對各種資源（包括網(wǎng)絡設備、主機、安全設備和數(shù)據(jù)庫）進行集中賬號管理、細粒度的權(quán)限管理和審計，幫助企業(yè)提升風險內(nèi)控水平。

一、SSA核心功能：

1、單點登錄功能
支持對X11、linux、unix、數(shù)據(jù)庫、網(wǎng)絡設備、安全設備等一系列授權(quán)賬號進行密碼的自動化周期更改，簡化密碼管理，讓使用者無需記憶眾多系統(tǒng)密碼，即可實現(xiàn)自動登錄目標設備，便捷安全；
2、賬號管理
設備支持統(tǒng)一賬戶管理策略，能夠?qū)崿F(xiàn)對所有服務器、網(wǎng)絡設備、安全設備等賬號進行集中管理，完成對賬號整個生命周期的監(jiān)控，并且可以對設備進行特殊角色設置如：審計巡檢員、運維操作員、設備管理員等自定義設置，以滿足審計需求 ；
3、身份認證
設備提供統(tǒng)一的認證接口，對用戶進行認證，支持身份認證模式包括 動態(tài)口令、靜態(tài)密碼、硬件key 、生物特征等多種認證方式，設備具有靈活的定制接口，可以與其他第三方認證服務器之間結(jié)合；安全的認證模式，有效提高了認證的安全性和可靠性；
4、資源授權(quán)
設備提供基于用戶、目標設備、時間、協(xié)議類型 IP、行為等要素實現(xiàn)細粒度的操作授權(quán)，大限度保護用戶資源的安全；
5、訪問控制
設備支持對不同用戶進行不同策略的制定，細粒度的訪問控制能夠大限度的保護用戶資源的安全，嚴防非法、越權(quán)訪問事件的發(fā)生；
6、操作審計
設備能夠?qū)ψ址?、圖形、文件傳輸、數(shù)據(jù)庫等全程操作行為審計；通過設備錄像方式實時監(jiān)控運維人員對操作系統(tǒng)、安全設備、網(wǎng)絡設備、數(shù)據(jù)庫等進行的各種操作，對違規(guī)行為進行事中控制。對終端指令信息能夠進行精確搜索，進行錄像精確定位。

二、系統(tǒng)架構(gòu)

堡壘機管理平臺由系統(tǒng)監(jiān)控管理模塊、平臺管理配置模塊和平臺會話日志管理模塊構(gòu)成，在“平臺模塊”的基礎(chǔ)之上，展現(xiàn)堡壘機的功能模塊，功能模塊主要由賬號管理、認證管理、權(quán)限分配、審計管理和報表管理組成。堡壘機總體架構(gòu)如下圖所示：

1、監(jiān)管人員與監(jiān)管設備
堡壘機支持對所有的運維人員、第三方支持人員和代維人員的審計監(jiān)控
堡壘機支持對目前市場主流的服務器、安全設備、網(wǎng)絡設備、數(shù)據(jù)庫的監(jiān)控審計
2、功能管理模塊
提供賬戶管理功能、認證管理功能、權(quán)限管理功能和審計管理功能以及報表管理功能。
下面分別說明賬號管理、認證管理、權(quán)限管理和審計管理模塊的功能。
賬號管理
賬號管理主要負責集中維護包括運維賬號、設備賬號、堡壘機自身管理賬號以及對賬號密碼的管理。
運維賬號的范圍包括設備管理員、維護人員、第三方代維人員。
運維賬號是登錄堡壘機，獲取目標設備訪問權(quán)利的賬號，與實際用戶身份一一對應，每個用戶一個主賬號，每個主賬號只屬于一個用戶。
認證管理
系統(tǒng)可通過本地認證、外部認證（如LDAP、RADIUS）等認證方式，對用戶賬號進行統(tǒng)一認證鑒權(quán)，并實現(xiàn)單點登陸。
·單點登錄（SSO）
單點登錄是用戶完成主賬號登錄后，訪問具有權(quán)限的所有目標設備時，均不需要再輸入賬號口令，堡壘機自動代為登錄，因此不需要用戶記錄多套賬號口令、重復登錄，提高工作效率。
權(quán)限管理
授權(quán)管理包括設備管理和授權(quán)、賬號授權(quán)。
· 設備管理和授權(quán)
系統(tǒng)將需要管理的設備錄入，設備信息包括設備名稱、版本、IP地址、連接協(xié)議等。設備可按照組織結(jié)構(gòu)或地域組織。
· 賬號授權(quán)
系統(tǒng)提供用戶對目標設備（即運維賬號到設備賬號）訪問的授權(quán)，對于訪問授權(quán)可以具體到命令級。
審計管理
堡壘機的審計范圍包括審計用戶對被管理設備的所有敏感關(guān)鍵操作、對堡壘機自身的配置管理行為進行審計。
·用戶操作行為審計內(nèi)容
提供對通過SSH、RDP、VNC、X-Window、Telnet、Rlogin、FTP等協(xié)議的訪問行為進行內(nèi)容審計，會話回放
·堡壘機自身配置管理審計
提供對堡壘機賬號分配、賬號授權(quán)、登錄堡壘機過程、認證管理、授權(quán)管理的行為審計。
報表管理
堡壘機提供豐富完善的報表功能，可以對審計信息進行報表統(tǒng)計、分析
審計報表可以通過折線、圓餅、柱狀圖等方式展現(xiàn)

三、目標與價值

1、目標
SSA的核心思路是邏輯上將人與目標設備分離，建立“人-〉賬號（堡壘機用戶賬號）-〉授權(quán)->審計的模式;在這種模式下，基于身份標識，通過 集中管控安全策略的賬號管理、授權(quán)管理和審計，建立針對維護人員的“主賬號-〉登錄-〉訪問操作-〉退出”的全過程完整審計管理，實現(xiàn)對各種運維加密/非 加密、圖形操作協(xié)議的命令級審計。
SSA核心思路
2、系統(tǒng)價值
堡壘機的作用主要體現(xiàn)在下述幾個方面：
企業(yè)角度
通過細粒度的安全管控策略，保證企業(yè)的服務器、網(wǎng)絡設備、數(shù)據(jù)庫、安全設備等安全可靠運行，降低人為安全風險，避免安全損失，保障企業(yè)效益。
管理員角度
所有運維賬號的管理在一個平臺上進行管理，賬號管理更加簡單有序；
通過建立用戶與賬號的對應關(guān)系，確保用戶擁有的權(quán)限是完成任務所需的小權(quán)限；
直觀方便的監(jiān)控各種訪問行為，能夠及時發(fā)現(xiàn)違規(guī)操作、權(quán)限濫用等。
普通用戶角度
運維人員只需記憶一個賬號和口令，一次登錄，便可實現(xiàn)對其所維護的多臺設備的訪問，無須記憶多個賬號和口令，提高了工作效率，降低工作復雜度。