6、云堡垒机

6.1 需求概述

      随着云内业务大量增加，云内资产数量快速增长，云内运维审计压力逐渐增大。运维审计风险问题愈发严重，对于云堡垒机能力的要求日渐严苛。由于云内主机与业务系统的特殊性，云内安全运维审计具有主机用户来源身份难以定位、资产使用情况难以统计、系统授权管理混乱、运维操作过程不透明、运维工作效率低下、数据泄露风险高等问题。因此，需要堡垒机从用户管理、身份认证、设备与数据库兼容性、日常运维、工单下发、系统管理与审计报表等多个角度解决上述问题。

6.2 功能概述

      堡垒机可对云计算资源进行运维、监管与审计，并实现账号集中管理、双因子认证、访问授权控制等功能，让企业内部人员、第三方代维人员的操作处于可见、可管、可控、可审的状态，规范运维的操作流程，避免误操作和非法授权带来的安全隐患，降低安全风险，满足合规性要求，并最终保障企业IT的安全、可持续运行。

6.3 功能说明

       为解决云上业务日常安全运维问题，云堡垒机需要具备以下功能模块：

6.3.1 用户管理

       堡垒机 支持多种客户角色：超级管理员、部门管理员、配置管理员、审计管理员、运维员、审计员、系统管理员、密码管理员，每种用户角色的权限都不同，为用户设立不同的角色提供了选择，并且满足合规对三权分立的要求，并提供灵活的角色自定义能力。支持多种方式登录如，AD域/LDAP用户，Radius认证用户，SAML单点登录认证用户。

       堡垒机通过接入AD域，从而可让AD域里的用户登录到堡垒机，并且根据LDAP协议将对应的域信息同步到堡垒机，并且完整的将AD域上的OU同步作为相关部门。

       AD 域服务（AD DS）的目录数据存储在域控制器（Domain Controller，DC）内。当用户在域内某台计算机登录时，会由其中一台域控制器根据其 Active Directory 内的账户数据，来审核用户输入的账户与密码是否正确。如果是正确的，用户就可以登录成功；反之，会被拒绝登录。域控制器是由服务器级别的额计算机来扮演的，例如 Windows Server 2012 和 Windows Server 2008 R2 等。

       LDAP（Lightweight Directory Access Protocol），轻量目录访问协议，是一种用来查询与更新 Active Directory 的目录服务通信协议。AD 域服务利用 LDAP 命名路径（LDAP naming path）来表示对象在 AD 内的位置，以便用它来访问 AD 内的对象。

6.3.2 登录认证

       堡垒机为确保用户账号安全，除高强度的密码约束外，还提供以下方式的双因子二次身份认证：

        USB Key

        手机短信验证码

        微信验证码

        手机动态令牌

       双因子认证可应用于登录门户、访问主机等重要操作，即便出现用户密码泄露这种重大安全事件，在面对堡垒机的二次认证这一道屏障，非法访问者仍然“无计可施”，最终保证数据安全。

6.3.3 设备运维

       堡垒机支持对多种类型的设备进行管理，包括服务器、网络设备、存储设备或其它网元设备，只要具备IP即可导入。在私有云中，以API的方式将OpenStack、VMware等私有云资源导入安全堡垒机中。

6.3.4 命令控制

       提供了集中的命令控制策略功能，支持字符协议及数据库协议的命令级策略控制，支持通配符和正则表达式两种方式，实现阻断会话、阻断命令、审批、直接放行4种动作。

       堡垒机的运维人员使用reboot、ls、rm、ps、kill等命令操作SSH、Telnet这类基于字符类型协议通信的主机是常见的运维场景。由于不同命令对资源主机运行状态和数据状态的影响都不一样，如果不能对运维人员的命令操作施加控制，以避免误操作、恶意操作等情况，可能导致重大损失。

       基于对通信协议SSH、Telnet的流量代理，可以获取到运维过程中输入主机资源的字符，如执行命令时使用的回车键（字符“\r”）。而将主机回送的流量导入终端（Terminal）则可以监测到回车前输入的命令。因此，堡垒机将通信协议之上的字符流量导入内部的Terminal用来获取待执行的内容，通过命令控制模块实时检测用户终端输入的内容，若检测到回车键则从Terminal解析出待执行的命令，然后和命令控制策略进行匹配，命中后执行对应的拒绝执行、断开连接等业务逻辑，实现命令控制。

6.3.5 设备巡检

       堡垒机为满足日常巡检需要，可对资产做安全的检查，包括主机、主机账户的发现，主机状态和主机账户状态的检查；支持手动、定期和周期性对数据中心内的资产进行整体的扫描检测。可发现自定义网段内未纳管设备的主机IP、操作系统，同时支持记录该设备发现时间；发现的主机可一键纳管至堡垒机。对已纳管的主机进行主机账号扫描，发现主机上未纳管到堡垒机的账号，同时记录相关账号名称、使用协议；发现的账号支持一键纳管至堡垒机中。对已纳管的主机进行连通性状态检查，可检验该设备与堡垒机的IP连通性与可连端口。对主机账号状态进行检查，记录账户、密码是否验证、是否托管、密码复杂度（可根据设置的密码检查策略判断是否为弱密码）、上次登陆时间、上次改密时间、账户过期时间等，并可将结果进行导出。

6.3.6 运维策略

       堡垒机提供了多人协同会诊等运维增强特性，企业可以用堡垒机来实现IT故障诊断、协同会诊等场景。

       在堡垒机中，任何一个远程桌面都可开启会话分享功能并形成一个分享链接，只需将此链接发送给您的好友，即可邀请好友进入同一个远程桌面。多人之间面对同一个工作场景，并自由切换操作控制权；协同过程中，用户免装软件、免交密码、全程审计。

       支持针对不同用户、不同的目标设备，定义不同的运维策略，用户可根据运维要求，定制多种场景的运维策略，满足各种个性化的应用场景。运维策略目前可支持以下策略：

        录像审计：设置是否强制对访问目标设备的过程进行全程录像，方便审计人员对运维操作进行回溯追踪。

        文件传输：设置是否允许用户在访问目标设备时，对主机进行文件上传、下载等传输操作。

        会话水印：为了避免运维人员对主机上的重要数据信息进行违规的截图或拍照，可开启会话背景水印，对会话的截图和拍照将带有会话创建者的信息，方便事后对泄露的信息进行源头追踪。

        运维时段：对目标设备的访问时段进行限制，避免在业务高峰期由于人为因素造成运维事故。可将运维时段设置为一天中的某几个小时，也能够按照工作日指定运维时段。

        登录事由：如果设置为强制填写，团队成员在创建目标设备会话时，将被要求强制填写主机登录事由，方便事后去追踪和了解每一次运维操作的原因和目的。

        双因子认证：设置在对目标设备进行操作时是否开启双因子认证，支持微信验证码、短信验证码、动态令牌等多种认证方式，运维人员在进行关键设备访问或执行某些敏感指令时均会要求进行二次身份认证。

        远程桌面剪切板：设置是否允许在RDP、VNC会话中使用系统剪切板，一旦禁止，运维人员将无法拷贝服务器上的数据，可以避免重要数据被窃取。

        IP限制：提供基于IP黑白名单的设备访问策略，限制运维人员只能从指定的IP来访问关键设备资源。

        登录审批：对于安全级别较高的主机，设置登录审批规则，只有经过相关人员授权审批后运维人员才可以访问这些主机。

        指令审计：提供基于黑、白名单的敏感指令审计规则，针对定义好的敏感指令可以进行阻断响应或触发审核操作，审核不通过的敏感指令将会被拦截，以实现安全监管的目的，保障运维操作的合规、安全、可控。

6.3.7 自动化运维

       堡垒机内置SaltStack 脚本库，并支持用户新建自定义脚本，能够批量对主机执行脚本、命令，以及将文件批量分发至目标主机、批量从多台主机采集文件，实现对多台主机的各种批量运维操作。

       同时，用户可以根据业务要求编排运维任务，设置各种触发条件，一旦触发后，系统能够自动执行相应的已编排好的任务，例如：云主机自动升级、应用自动部署等，完成企业用户对自动化运维的需求。

        命令控制台：提供了一种轻量化的批量执行命令的方法，可同时对多台主机批量执行命令。用户无需提前编写命令，而是可以随时对所选主机执行任何命令，并实时查看命令输出，主机输出界面更友好。

        脚本控制台：可以将预定义的脚本导入到安全堡垒机中的主机上执行，实现同时对多台主机批量执行指定脚本的功能，并支持脚本的自定义。

        文件分发与采集：将文件批量分发到指定主机，或将指定主机的文件采集到指定位置。

        任务编排与执行：将需要执行的作业流程化、模板化，并可指定规则按需执行。

6.3.8 安全策略

       堡垒机部署后，运维人员通过对目标设备进行访问、维护和管理，堡垒机成为了统一的运维管理通道，它的作用就是“运维中枢”。作为运维中枢，堡垒机从管理协议、管理工具、文件传输等各层面为用户提供了强有力的支撑，在不改变运维人员习惯的前提下，帮助用户高效的完成运维工作。

       堡垒机运维人员通过基于时间、IP/IP段、用户/用户组、主机组、主机账号、命令控制策略等组合访问控制策略，授权用户可访问的目标设备。对重要设备启用登录审核功能，运维人员须向管理员申请登录，管理员允许之后才可登录；并且管理员在审批时可以设置审批有效期，及在有效期内是否不限制登录次数。运维人员执行命令后，需等到管理员审批通过后才可执行成功。可选择性设置自定义时间内未审批，对命令自动放行。执行命令的运维人员在运维待审批命令时，可选择终止此命令。对于审批操作，可以设置审批人及该审批人有权限审批的资产。并将结果以邮件/FTP/SFTP的方式发送给相关管理员。

6.3.9 系统自审

       堡垒机既要实现对操作行为进行审计，又要做到对系统自身变化信息进行审计，并且形成系统报表分析。

       事前授权

       安全运维审计是一种基于团队协作的模式，通过权限控制可以约束运维人员行为，实现安全运维。堡垒机采用基于角色的访问控制模型（Role-Based Access Control）来实现权限控制，将授权模型划分为功能授权和资源授权两个维度，而这两种授权都是针对角色的，角色是功能权限和资源权限的载体。当团队中的成员被添加到某一角色，该成员便自动拥有了该角色所被授予的各项权限。

       事中监管

       堡垒机需要监管措施，来确保运维过程中，能够及时对危险操作进行拦截和阻断。

        管理者可实时监控远程会话，中断违规操作 堡垒机提供的会话实时监管的功能，允许管理者进入任何的活跃会话中，监管操作者当前正在进行的操作，一旦发现操作者有不当或违规的行为，可立即剥夺操作者的控制权，阻断风险。

        自动拦截高危指令，及时规避风险操作

       被动的实时监管并非有效的监管措施，堡垒机还提供了敏感指令拦截功能，管理者可预先定义好高危指令黑名单，一旦操作者在目标设备上执行的命令被黑名单规则命中，将自动触发拦截机制，阻止危险指令的执行。

       事后审计

       作为堡垒机的核心功能，运维审计将整个运维过程进行记录。一旦发生运维事故，将依靠审计记录来进行回溯，是明确责任人和重现事故现场的重要手段，以吸取事故教训，对日后建立严格规范的运维体系有着巨大的作用。

       安全堡垒机在审计方面具备强大的竞争力，主要包括以下内容：

        全程云端录像 整个运维过程将会被以录像的方式进行记录，录像存储在云端（服务器端），可避免数据被篡改。可根据操作记录定位回放或完整重现运维人员对目标设备的整个操作过程，从而真正实现对操作内容的完全审计，整个录像过程：

        可根据关键词进行全文检索及定位，并对关键搜索词进行圈红标记；

        支持倍速播放、拖动、暂停等播放控制功能；

        可下载录像文件进行离线播放。

        指令全程记录

       在对某些关键操作进行检索时，单纯的通过审计录像去逐帧播放是效率极低的方法，安全堡垒机能够支持Windows全系列操作系统、Linux/Unix操作系统、数据库SQL执行语句的操作指令进行分析并记录，在查找关键操作时，只需进行指令的全文检索即可准确定位。

        指令全文检索

       支持对指令集进行为全文检索，回溯追责时无需逐帧查看录像。

        指令实时定位

       支持对被检索指令的实时定位，并进行圈红标注。

6.3.10 工单流程

       操作人员向管理员申请需要访问的设备，申请时可以选择：设备IP、设备账户、运维有效期、备注事由等，并且运维工单以邮件方式通知管理员。管理员对运维工单进行审核之后以邮件方式通知给运维人员；如果允许，则运维人员才可访问；否则就无法访问。

       工单授权控制的实现原理，是用户首先创建访问授权工单，工单信息里有可运维时间段、文件传输选项、更多选项可编辑，达到了自定义运维的控制，编辑完工单信息，然后关联要运维的资源，点击确定，工单就此创建成功，工单及关联资源等信息落库到Mysql。在用户运维登录资源的时候，后端java服务会根据登录资源ID去Mysql查出相应的工单进行判断，若不存在有效的工单，在不考虑访问控制策略的场景下，则会登录失败。访问控制策略是除了工单授权控制，另一种赋予用户对资源的访问控制手段。工单优先于访问控制策略，若同时存在有效的授权控制工单和有效的访问控制策略，则以工单内容优先进行判断。