运维操作管理系统 堡垒机 解决方案 浙江齐治科技有限公司 2013年 8月 Copyright 2005 2012 齐治科技 第2页 声明 本文件所有权和解释权归齐治科技所有 未经齐治科技书面许可 不得复制或向第三方公开 修订历史记录 版本控制 版本号 作者 审核人 文档类型 保密级别 完成日期 V1 0 0 DX Brian AD A 2011 1 21 V2 1 0 DX Brian AD A 2011 5 18 V3 2 0 DX Joe AD A 2012 1 17 V3 3 0 DX Joe AD A 2013 8 8 文档类型 A 内部归档类 D 外部交付类 保密级别 A 公开 B 有选择公开 C 不公开 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第1页 目 录 1 现状分析 2 2 解决方案 4 3 功能实现 11 4 方案优势 25 5 客户收益 27 6 成功案例 28 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第2页 1 现状分析 1 1 运维管理现状 客户的维护部门主要负责应用系统以及信息系统基础平台的建设和维护 以及局内网络的建设和维护 现有数十台各种各样的服务器 其日常运维过程 中都普遍存在以下现状 用户的访问方式以内部直接远程访问为主 其中运维操作的远程访问方式 又以 SSH Telnet RDP VNC X window http https FTP SFTP为主 设备数 量比较多 维护人员较多 并且部分设备的维护交由第三方维护厂商完成 维护操作 比较分散 权限变更复杂 使用设备上的共享系统账号进行认证与授权 无法有效落实定期修改设备密码的规定 用户的运维操作无审计 需要定期接受等保 SOX ISO27001 等法律法规标准的检查 1 2 存在问题 维护方式不统一 共享账号难控制 操作行为难约束 设备密码难管理 运维操作无审计 法律法规难遵从 1 3 问题分析 出现以上问题的主要原因在于 运维操作不规范 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第3页 运维操作不透明 运维操作风险不可控 1 4 带来的后果 违规操作可能会导致设备 服务异常或者宕机 恶意操作可能会导致系统上敏感数据 信息被篡改 被破坏 当发生故障的时候 无法快速定位故障原因或者责任人 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第4页 2 解决方案 2 1 实现目标 通过 Shterm的部署 可以有效的解决运维部门当前运维过程中存在的各种 问题 以堡垒方式 形成统一的运维入口 实现运维操作的唯一路径 引入主从帐号管理概念 使用户认证与系统授权分开 从而有效解决系统 帐号共享使用 带来的身份不唯一的问题 基于用户 设备 系统帐号 协议类型 登录规则的严格访问控制设置 有效规避了非授权访问带来的问题 密码托管和自动改密 使得密码管理规范能有效落地 避免了因人员的流 动还会导致设备密码存在外泄的风险 能完整记录运维人员的操作过程 当系统因人为操作导致故障的时候 能 够快速定位故障原因和责任人 可以满足等保 SOX ISO270001 BS7799 等安全规范对运维操作管理的 要求 2 2 具体设计 2 2 1 总设计思路 因为操作的风险来源于各个方面 所以必须要从能够影响到操作的各个层 面去降低风险 齐治运维操作管理系统 Shterm 采用操作代理 网关 方式 实现集中管理 对身份 访问 审计 自动化操作等统一进行有效管理 真正 帮助用户最小化运维操作风险 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第5页 集中管理是前提 只有集中以后才能够实现统一管理 只有集中管理才能 把复杂问题简单化 分散是无法谈得上管理的 集中是运维管理发展的必然趋 势 也是唯一的选择 身份管理是基础 身份管理解决的是维护操作者的身份问题 身份是用来 识别和确认操作者的 因为所有的操作都是用户发起的 如果我们连操作的用 户身份都无法确认 那么不管我们怎么控制 怎么审计都无法准确的定位操作 责任人 所以身份管理是基础 访问控制是手段 操作者身份确定后 下一个问题就是他能访问什么资源 你能在目标资源上做什么操作 如果操作者可以随心所欲访问任何资源 在资 源上做任何操作 就等于没了控制 所以需要通过访问控制这种手段去限制合 法操作者合法访问资源 有效降低未授权访问所带来的风险 操作审计是保证 操作审计要保证在出了事故以后快速定位操作者和事故 原因 还原事故现场和举证 另外一个方面操作审计做为一种验证机制 验证 和保证集中管理 身份管理 访问控制 权限控制策略的有效性 自动运维是目标 操作自动化是运维操作管理的终极目标 通过让该功能 可让堡垒机自动帮助运维人员执行各种常规操作 从而达到降低运维复杂度 提高运维效率的目的 2 2 2 操作网关方式部署 集中管理是实现运维操作安全管理的首要前提 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第6页 针对当前核心设备分散管理的现状 集中管理倡导的是一种统一管理的理 念 集中管理是未来运维操作安全管理的必然趋势 实现集中管理 关键点在于对用户原有的运维环境不造成任何影响 综合 各种部署方案 我们采用了 操作堡垒机 的部署方式 2 2 3 用好共享账号 在当前的运维环境中 普遍存在操作者身份无法识别的安全隐患 这主要 是由操作者共享使用核心设备上的系统账号造成的 设备数量达到一定规模 必然会使用到共享账号 共享账号就是多人共同 使用同一个存在于设备上的系统账号 使用共享账号会让整体账号的数量最少 但是仅仅依赖系统上的单一系统账号 无法既能区分用户身份 又能完成工作 角色的定位 如何准确的区分用户身份和工作角色 进而实现操作者和具体的操作过程 一一对应 Shterm将账号的用户身份确认和系统工作角色功能分离 在 Shterm上增 加了用户账号 完成用户的身份确认 原来系统上的账号依然存在 但是作用 只是完成工作角色授权的工作账号 用户登录 Shterm是采用唯一的用户账号 然后根据工作角色的需要 转换 成系统账号登录到被管理设备上 这样既能够保证整体账号数量最少 管理方 便 同时又能够实现对用户 工作角色的双重定位 当用户加入 离职或岗位变动 当代维人员和原厂商进行维护的时候 只 需要在 Shterm上变更该用户账号即可 对系统上的系统账号没有任何影响 代维人员维护系统并不需要知道用户系统的最高权限的系统帐号密码 这 样大大降低了管理风险 原厂商进行临时维护的时候只需要临时分配一个用户账号 当使用结束后 该账号会自动回收 减少了账号管理的成本 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第7页 2 2 4 访问控制规则 目前 用户只要知道用户名和密码就可以任意访问任意设备 这种现状必然 会带来 未授权访问的安全风险 部署了 Shterm后 情况就发生了变化 Shterm 逻辑上成为了用户登录的 唯一入口 因为入口唯一 访问控制很容易配置了 相同工作任务的集合可以放置在一个访问规则组里 当用户岗位 职责改 变时 对用户相关联的组 系统权限 可访问设备通过 Web的勾选 很容易调 整 根据工作内容的需要 可以配置不同的许可或禁止的登录策略 既可以设 定固定日期的登录策略 也可以设定固定时间间隔的策略 还可以设定一天中 指定时间段的策略 并且能够针对具体的地址段进行控制 Shterm的访问控制列表可以让用户一目了然的知道某台设备上允许哪些用 户登录 某台设备上的系统账号有多少个用户可以使用 另一方面 从安全运维的角度分析 权限控制策略是从操作的层面上 降 低高危操作所带来的安全风险 对于使用 Telnet SSH等协议进行远程管理的设备 各种网络设备和 Unix 服务器 操作权限的多少取决于用户可以执行的命令 所以 针对操作指令 的控制才是核心 对于服务器设备操作 Shterm 可以对服务器的超级用户 root操作权限进 行控制 即使是 root用户 权限也是受限制的 可以限制 root用户只能执行 某些操作 白名单 和无法执行某些操作 黑名单 当多人同时使用一个 root账号时 Shterm 可以对同一个系统账号进行操 作权限再分配 保证使用同一个 root账号的不同用户拥有不同的操作指令权限 彻底解决了共享 root账号权限一致的情况 真正实现细粒度的操作权限控制 对于网络设备操作 Shterm 可以保证即使多个用户在进入 enable状态的 时候 提供高于网络设备系统更好级别的控制力度 保证每一个用户的操作指 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第8页 令都能严格受到控制 对于操作权限的控制意味着我们从被动接受用户输入到了主动控制 对于用户的操作可以有 3种执行状态 允许执行 拒绝执行 禁止执行 对于高危命令 删除 重起 关机等 可以实时告警 一旦高危操作触发 会立即给相关人员发送告警邮件 保证用户在第一时间内知道高危操作是否对 系统造成了影响 2 2 5 完整操作审计 运维操作审计是整个 Shterm解决方案的重要组成部分 管理员确定了以操 作网关方式来部署 解决了之前共享账号的问题 配置了访问规则 明确了操 作权限 那么最后也是最重要的就是操作和操作审计 Shterm支持的运维操作方式和相应的操作审计基本涵盖了目前企业日常运 维所涉及到的绝大部分操作模式 包括字符会话 图形会话 Web Client 会话 文件传输等等 对不同会话采用不同的审计方式针对字符会话 Shterm 的审计功能会完全 记录所有会话内的输入输出 并可以使用模式方式对这些输入输出进行查询以 定位操作时间节点和操作内容 对于图形会话要采用全程的录像和键盘鼠标操 作的记录 并在图形会话回放的过程中同步的显示出来 对于 Web Client方式 的操作会话 也是目前非常主流的一种操作模式 Shterm 可以利用对于图形会 话的审计方式来审计 Web Client方式的会话 即 既包括了图形录像也包括了 键盘鼠标记录 并且可以如图形会话一样 键盘输入信息可以进行完全的检索 以便快速定位一个较长的审计录像 针对文件传输 FTP SFTP 之类的上传下 载 Shterm 支持全部的信息记录 包含时间 人员 IP 等等信息 此外 Shterm 对审计人员本身也有严格要求 一方面 对审计人员的审计 操作 Shterm 有严格的记录 审计管理员何时查阅了某个会话操作都要有明确 记录 另一方面 Shterm 支持非全局性的操作审计 即 审计人员也没有权利 审计所有的会话信息 因为会话中可能包含了非常敏感甚至机密的企业信息 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第9页 2 2 6 运维自动化 日常运维中经常需要对一些操作进行重复性动作 例如每天去执行一些脚 本 检测一些状态等 重复繁琐的工作容易令人出现操作的失误 如果能通过 一些技术手段 替代用户的重复操作 使用户从重复繁琐的工作中释放出来 可以让用户有更多的时间去专注于更多技术领域 操作自动化是运维操作管理的终极目标 通过 Shterm的自动脚本功能 可 让堡垒机自动帮助运维人员执行各种常规操作 从而达到降低运维复杂度 提 高运维效率的目的 2 3 产品部署 在当前运维环境中部署了 shterm 齐治运维操作管理系统 亦称齐治运维 堡垒机 之后 拓扑结构如下 部署说明 支持双机 HA部署 部署方式是物理旁路 逻辑串接 部署唯一条件是 Shterm与被管理的设备之间 IP可达 协议可访问 在部署过程中 不需要调整任何网络架构 不需要安装任何代理程序 集中管理的一个标志就是入口唯一 Shterm 是用户操作的唯一入口 目标设备登录过程 用户用唯一的用户帐号登录到 shterm上 然后 Shterm会根据配置管理员预先设置好的访问控制规则 列出用户选择 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第10页 可以访问的目标设备和相应系统帐号 用户选择完成后会自动登录到目 标设备 应用程序登录过程 用户用唯一的用户帐号登录到 shterm上 然后 Shterm会根据配置管理员预先设置好的访问控制规则 列出用户选择 可以访问的应用程序 如 PL sql 用户点击该程序即可马上打开 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第11页 3 功能实现 3 1 集中管理 部署了 Shterm之后 所有用户对后台设备的操作 都要先登录 Shterm的 WEB管理界面 Shterm 作为后台设备访问的唯一入口 实现单点登录 然后 再根据 Shterm管理员预先设置好的访问控制规则 自动登录到后台目标设备上 去 具体方式如下 普通用户按照登录流程 首先登录到 Shterm的 WEB页面 然后可以在 设 备访问 项里面 看到可访问的设备列表 选择好系统账号 并点击相应设备 后面的 图形 服务 即可自动登录到图形管理界面上去进行任何操作 同理 点击 字符 服务 即可自动登录到字符管理界面上去进行任何操作 3 2 部门管理 Shterm可以将不同的用户 目标设备分配到不同的部门 部门之间彼此隔 离 不同部门的用户只能管理自己部门内的目标设备 策略 操作的审计 控 制等 同时 Shterm 还支持树状结构部门管理 上级部门可以管理下级部门的资 源 包括资源调整 统计报表等 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第12页 3 3 账号管理 Shterm为每个用户分配了独一无二的用户账号 设备上的系统账号不变 通过把多个用户账号和单个系统账号做关联 用户账号完成身份认证 系统账号 完成系统授权 可以在不同的用户使用相同的系统帐号访问目标设备的时候 Shterm依然可以准确识别用户的身份 让用户的身份和具体的操作一一对应起 来 从而实现用户实名制管理 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第13页 3 4 身份认证 Shterm支持的认证方式包括 本地静态认证 第三方 AD域 LDAP radius iso8583 认证和内置 totp time based one time passwd 认 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第14页 证 其中 totp认证 是动态令牌认证 Shterm 已经内置了 totp认证服务器 只需要再部署相应的令牌即可 3 5 访问控制 Shterm可以根据用户 用户组 设备 设备组 系统帐号和时间来设置详细 的访问控制规则 设置完成后 用户只能按照规则设置来访问相应资源 彻底 杜绝了非授权访问所带来的问题 3 6 权限控制 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第15页 对于 Unix设备来说 权限的多少取决于用户可以执行的命令 所以 针对 操作指令的控制才是核心 Shterm可以针对超级用户 root 做操作权限的控制 当多人同时使用一 个系统账号时 Shterm 可以对同一个系统账号进行权限再分配 保证使用同一 个系统账号的不同用户拥有不同的权限 这就彻底解决了共享账号和 root用户 权限的问题 真正实现细粒度的操作权限控制 对于操作权限的控制意味着我们从被动接受用户输入到了主动控制 对于 用户的操作可以有 3种状态 允许 拒绝 禁止 对于高危命令 删除 重起 关机等 可以实时告警 一旦高危操作触发 会立即给相关人员发送告警邮件 保证用户在第一时间内知道高危操作是否对 系统有影响 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第16页 3 7 金库模式 3 7 1 实时监控与阻断 对于普通用户登录到目标设备上正在进行的操作 审计管理员可以再 Shterm的 WEB 界面做到实时监控 做到边操作边审计 真正实现实现操作透明 同时对于用户的违规操作 审计管理员还可以做到实时切断 具体如下图 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第17页 3 7 2 双人授权访问 Shterm具备核心设备登录时候的双人授权功能 针对不同的访问控制策略 分配不同的双人授权人 普通用户如想登录该设备 必须经过相关管理人员 的授权才行 3 7 3 双人复核操作 Shterm对于在核心设备上的敏感指令操作 需要经过第二个人复核后 才能被执行 3 8 会话共享 Shterm具有图形操作会话共享功能 可让多位运维人员对同一个会话进行 共享操作 例如用户 A在设备登录的过程中需要用户 B输入后半段的密码 这 时用户 A可以在 WEB界直接申请 B 收到申请后就可以登录同一台设备完成分 段密码输入的工作 并不需要两人同在一个地方 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第18页 3 9 密码托管 3 9 1 单点登录 对于目标设备的访问账号密码 可以由 Shterm进行集中托管 只要配置管 理员在相应设备的密码管理中将目标设备的账号密码添加上去即可 使用了密码托管功能后 用户以后访问目标设备时 只需要记住自己的 Shterm上的账号和密码 即可通过 Shterm自动登录目标设备 3 9 2 自动改密 Shterm可以灵活配置目标设备密码的修改策略 实现密码的批量定期自动 修改 修改后的结果可以以加密邮件方式发送给密码保管员 从而实现密码的 集中管理 同时密码保管员也可以随时在系统的 WEB界面打包备份设备的密码 到本地 提高改密功能可用性 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第19页 3 10自动运维 3 10 1网络设备配置自动备份 Shterm具备网络设备配置自动备份功能 管理员通过在 shterm上配置相 应策略 可在指定的时间 自动备份指定的网络设备上的配置文件 3 10 2Unix 系统脚本自动执行 Shterm具备 UNIX系统脚本自动执行功能 管理员通过在 shterm上配置相 应策略 可在指定的时间 自动到指定的 UNIX服务器上执行指定的脚本 实现 自动巡检等日常工作 3 10 3自动发现目标设备 Shterm具有自动发现目标设备功能 可以根据管理指定的时间 对指定 IP 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第20页 地址段的设备做自动扫描 并把设备的 IP 类型 编码等内容 供配置管理员 修改导入 3 11应用发布 Shterm可以通过 Web管理界面 直接发布安装在某台 windows服务器上的 各类客户端 应用程序 如 citrix客户端 sqlplus secureCRT toad 等 此外 Shterm 还支持部分客户端工具的密码自动代填 实现客户端密码的 集中管理 3 12操作审计 Shterm不仅能记录用户在目标设备上进行的 Telnet SSH RDP VNC X Windows Http Https FTP SFTP SCP 等协议的所有操作行为 此外还能完美审计第三方客户端工具的操作 如 citrix客户端 PL SQL SQLPLUS TOAD 等工具 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第21页 3 12 1命令操作审计 文本方式记录 基于 命令精准识别 的专利技术 唯一可以确保对各种常规和非常规操 作行为的准确识别 对于字符命令操作的日志回放支持 在 Web界面直接回放操作过程 智能输入输出分离 展现在用户面前的只是输入命令 展开后可查 看命令输出结果 支持任意点回放 支持 上下箭头 TAB命令补全 等输入操作回放 点击即可回放 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第22页 3 12 2图形操作审计 录像方式记录 在录像方式记录用户操作过程的同时 还可以文本方式完整记录用户的键 盘鼠标敲击 复制粘贴操作 并能对操作界面进行问题模糊识别 对于图形化操作日志的回放支持 不须加载 无延时拖拉回放 支持多倍速回放 自动过滤屏幕静止操作 根据时间点直接定位回放 针对任意一个审计画面可以抓屏 保存成一个图片文件 回放时可显示键盘和鼠标操作内容 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第23页 3 13操作搜索 针对字符操作记录 都可以按照时间 用户账号 目标设备 系统账号 命令关键字进行搜索 在最短的时间内找到相关日志内容 实现快速定位 针对图形操作记录 可以根据键盘输入 剪贴板操作 模糊识别的内容 URL地址为关键字进行查询定位 针对数据库操作记录 可以根据 SQL语句的内容为关键字进行查询定位 所有查询的结果可以和图形操作过程关联回放 鼠标状态点 回放的时候可以在这里查看到在 相应时间点键盘输入的内容 命令操作查询 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第24页 3 14统计报表 Shterm支持情况总览 会话报表 报表模板 自动报表 命令报表 配置 报表等统计报表功能 图形操作查询 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第25页 4 方案优势 4 1 成熟稳定 齐治公司从 2005年成立 自主研发的堡垒机系统 自 2005年被阿里巴巴 选中后 为其旗下的 25000余台服务器提供着运维操作安全服务 其服务器数 量 维护人员数量等硬指标在全国首屈一指 是完全可以信赖的优秀产品 至今 在国内 齐治公司是 唯一专注于运维操作管理领域的厂商 在运营商 金融 互联网 电力 政府 烟草和海关等多个高端行业得 到大规模使用 唯一在单个用户超过 2 300个并发用户环境成功部署 唯一在单个用户超过 10 000台服务器环境成功部署 唯一在单个用户超过 2 000台网络设备环境成功部署 4 2 安全可靠 Shterm是以安全性为基础构建坚实的运维堡垒 是业内唯一不存在中高级 安全漏洞 对外不开放非安全端口的产品 只开放 4个端口 22 443 3389 和 5899 彻底杜绝 telnet ftp 等 非安全服务端口开放 使用 SSL SSH 封装传输过程 唯一同时拥有国家保密局和中国国家信息安全产品认证的 4 3 技术先进 品质的保障在于点滴细节 齐治堡垒机系统在核心功能上面拥有独家的技 术 可以最大程度降低运维操作风险 以确保后台设备系统的稳健运行 其领 先性主要体现在以下几点 唯一在该领域具备发明专利 可确保 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第26页 对各种常规和非常规命令操作的 100 识别和控制 实现数据库操作 sql语句的 100 识别 唯一可保证目标设备密码修改安全性 唯一实现图形会话关键字 键盘输入 剪贴板 模糊识别内容 文本记 录和图文关联检索 唯一支持运维自动化 唯一真正实现堡垒机方式的数据库审计 100 记录所有 sql语句 并实 现 sql与图形审计关联 的产品 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第27页 5 客户收益 5 1 规范操作管理 实现操作透明化 增强操作可控性 提高操作管理效率 5 2 规避操作风险 法律规范遵从 有效监管代维厂商 完善责任认定体系 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第28页 6 成功案例 6 1 政府行业 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第29页 6 2 运营商行业 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第30页 6 3 银行行业 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第31页 6 4 小金融行业 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第32页 6 5 互联网行业 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第33页 6 6 电力行业 浙江齐治科技有限公司 Copyright 2005 2012 齐治科技 第34页 6 7 企业行业 。