堡垒机
运维安全面临两大挑战
随着企事业单位IT系统的不断发展,网络规模、设备数量迅速扩大,IT系统日益复杂,不同背景的运维人员行为给信息系统安全带来了极大风险,主要表现在:
缺乏统一的权限管理平台,权限管理日趋繁琐无序,且运维人员的权限大多属于粗放式管理,无法基于最小权限分配原则对用户权限进行管理,难以实现更加细粒度的命令级权限控制,系统的安全性无法得到充分保障。无法制定统一的访问审计策略,审计粒度较粗,各个网络设备、主机系统、数据库对于访问行为分别进行审计记录。由于缺乏统一的审计策略,各个系统的审计日志深度不一,很难通过系统自身的审计及时发现非法操作并进行溯源取证。什么是堡垒主机?
堡垒机是一种利用各种技术手段,实时采集和监控特定网络环境中各个组件的系统状态、安全事件和网络活动,保护网络和数据不受来自内外部用户的入侵和破坏的服务器,实现集中报警、及时处理、审计追责,有效解决运维安全两大难题。
堡垒主机本质上可以看作是一台用来防御攻击的计算机,又称“堡垒主机”。堡垒主机是一种通常经过一定程度加固,安全性较高,能抵御一定攻击的主机系统。堡垒主机将需要保护的信息系统资源与安全威胁源隔离开来,从而在受保护的资源前形成一道坚固的“堡垒”,在抵御威胁的同时,不影响普通用户对资源的正常访问。堡垒主机还集成了行为审计和权限控制,从而加强了对操作和安全的控制。
堡垒主机分类
根据实际使用场景和业务需求,堡垒机主要分为网关堡垒机和运维审计堡垒机。
网关堡垒机 网关堡垒机主要部署在外部网络与内部网络之间,它并不直接对外提供服务,而是作为进入内部网络的检查站,为内部网络中的特定资源提供安全的访问控制。
网关型堡垒主机不提供路由功能,在网络层上隔离内外网,除了授权访问外,还可以从应用层以下过滤掉一些针对内网的攻击,为内网资源提供安全屏障。但由于该类堡垒主机需要处理应用层的数据内容,性能消耗很大,因此随着网络进出口流量的增大,部署在网关位置的堡垒主机逐渐成为性能瓶颈,因此网关型堡垒主机逐渐被防火墙、UTM、IPS、网闸等日趋成熟的安全产品所取代。
运维审计堡垒机 运维审计堡垒机又称“内控堡垒机”,是最常用的一种堡垒机类型,部署在内网服务器、网络设备等核心资源的前端,控制运维人员的操作权限,审计运维人员的操作行为。
运维审计型堡垒主机解决了运维人员权限难以把控、混乱局面的问题,还可以对违规操作进行管控和审计。而且由于运维操作本身不会产生大规模流量,堡垒主机不会成为性能瓶颈。因此堡垒主机作为运维操作审计的手段得到了迅速发展。
堡垒机运维审计工作原理
堡垒机运维审计工作原理示意图如下:
堡垒机的用户通常包括三类用户:管理人员、运维人员、审计人员。
管理员根据相应的安全策略以及运维人员应具备的操作权限配置堡垒主机的安全策略。堡垒主机管理员登录堡垒主机后,【策略管理】组件负责与堡垒主机内部的管理员进行交互,并将管理员录入的安全策略存储在堡垒主机内部的策略配置库中。【应用代理】组件是堡垒主机的核心,负责调解运维用户的操作,并与堡垒主机内部其他组件进行交互。【应用代理】组件接收到运维人员的操作请求后,调用【策略管理】组件对操作行为进行验证,验证依据是管理员配置好的策略配置库,如果此操作不符合安全策略,【应用代理】组件将拒绝执行该操作行为。 运维人员的操作行为通过【策略管理】组件验证之后,由【应用代理】组件代表运维人员连接目标设备完成相应操作,并将操作返回结果返回给相应的运维操作员;同时将此操作过程提交给堡垒机内部的【审计模块】,进而将此操作过程记录到审计日志数据库中。最后当需要调查运维人员的历史操作记录时,审计人员登录堡垒机进行查询,然后【审计模块】从审计日志数据库中读取相应的日志记录并展示在审计人员的交互界面上。
运维审计堡垒机对于运维人员来说,相当于一个代理服务器,工作流程图如下:
在操作过程中,运维人员首先连接到堡垒主机,然后向堡垒主机提交操作请求,请求通过堡垒主机的权限检查后,堡垒主机的应用代理模块会代替用户连接到目标设备完成操作,目标设备再将操作结果返回给堡垒主机,最后堡垒主机将操作结果返回给运维人员。
这样,堡垒机在逻辑上将运维人员与目标设备隔离,建立从“运维人员->堡垒机用户账户->授权->目标设备账户->目标设备”的管理模式,在解决操作权限控制、行为审计问题的同时,通过协议还原解决了加密协议、图形协议无法审计的问题。
堡垒主机角色
堡垒机作为集中访问入口和操作审计的保障,提供了一整套多维度的运维权限管理及审计解决方案,让管理者可以对各类资源(如网络设备、服务器、安全设备、数据库等)进行集中账号管理、细粒度的权限管理和访问审计,帮助企业提高内部风险管控水平。
目前网站被黑客入侵的现象时有发生,特别是一些企业网站、政府网站、教育网站等,常常成为恶意黑客攻击的目标。为了避免经济损失和恶意影响,各网站不断加强安全防护。其中网页防篡改系统最为常见,可以保护网站代码文件不被篡改,是得到一致认可的有效手段。
网页防篡改系统
什么是网络防篡改系统?
网页防篡改系统是为了保护网站安全,防止黑客入侵,以及对网站进行篡改的网站保护设备。
网页防篡改保护如何发挥作用?
一般情况下一个完整的系统应该由以下几个部分组成:发布服务器程序、同步服务器程序、交互页面远程控制台,还可以选择配置防篡改模块。各部分主要功能如下:
发布服务器程序(更新端)安装在内网的独立服务器上,它的远程访问一般限制在某些指定IP的机器上,负责通过安全通讯将合法的网页文件发送到WEB服务器,也是系统的管理中心。
发布服务器程序需能自动发现网站文件发布文件夹中更新的文件;传输本地修改的文件及对方请求的文件;更新、上传合法文件的水印信息;记录上传、更新、篡改、恢复等日志信息;并发送报警邮件。
同步服务器程序(监测端)安装在WEB服务器上,负责接收发布服务器发送的合法网页改变、保存其数字水印、监测本机上非法的文件改变并请求服务器恢复改变的文件。
同步服务器必须能够周期性地监测受保护文件的变化,当当前文件计算的水印与保存的水印不一致时,向发布服务器请求重传;并自动更新接收文件的水印信息。
远程控制台(管理端)运行在管理员桌面上,提供发布服务器的远程管理、日志内容查看等功能。
在IIS WEB服务器软件中嵌入了防篡改模块(IIS Filter),对所有的网页文件请求进行合法性检查,并对所有发送的网页进行数字水印比对。
在内容保护过程中,防篡改模块检查浏览器的网页浏览请求的头信息,以及请求的文件是否在监视列表中,若在监视列表中,则将文件的数字水印与数据库中存储的有效水印进行比对,若一致则允许访问,否则拒绝访问。
同步服务器请求发布服务器重传恢复其监控到的非法文件改变,文件恢复后WEB服务器向浏览器发送正确的网页内容。
防止网页被篡改的三大技术
外部轮询技术是利用网页读取检测程序,以轮询的方式读取需要监控的网页,并与真实网页进行比较,判断网页内容的完整性,对被篡改的网页进行报警和恢复。
核心的内嵌技术是将篡改检测模块嵌入到Web服务器软件中,对每个网页在流出前进行完整性检查,实时阻断对被篡改网页的访问,并进行报警和恢复。
事件触发技术利用操作系统的文件系统或驱动接口,在网页文件被修改时进行合法性检查,对非法操作进行报警、恢复。
三种技术的比较我们可以把 Web 服务器想象成一个艺术画廊大楼,目录就是大楼的楼层和房间,每个网页文件就是挂在房间里的一幅画。这些画每天都由工作人员不断更新,每天通过借阅端口借出和阅读这些画作的借阅者也有成千上万。网页防篡改系统的目标是确保人们看到的是真实的画作,而不是假货甚至是反动宣传。三种技术的比较如下:
【外部轮询技术】:大楼配备一名检查员进行检查,他以普通借阅者的身份不断在借阅处检索每个房间的每一幅画,与手中的真画进行对比,发现可疑物品即报警。这种方法的显著弱点是,当大楼很大,房间多,画作多的时候,他会忙不过来。对于特定的一幅画,两次检查的时间间隔会很长,犯罪分子有机会更换画作,对借阅者造成严重影响。【事件触发技术】:大楼在正门配备一名检查员,他检查每一幅进入的画作,发现可疑物品即报警。这种方法的显著优点是防范成本很低,但缺点是美术馆建筑结构非常复杂,犯罪分子通常不会选择从正门进入,他们会从天花板、下水道挖洞,甚至利用建筑薄弱的结构进入,新的途径会不断被发现。 可见,守住入口的策略并非万无一失,另外,一旦非法画作混入大楼,安检将毫无机会。【核心嵌入式技术】:大楼在借阅入口配备检查员,对每一幅被叫出的画作进行检查,并阻止任何可疑画作流出。此方法的显著优点是每一幅画作在流出前都会经过检查,因此不存在可疑画作被借阅者看到的可能性;相应的弱点是由于检查程序,画作的流出会受到延迟。网页防篡改系统的三种技术各有优缺点,各厂商在设计和实施网页防篡改系统时,都利用技术手段,最大限度地发挥各种技术的优势,弥补或减少其缺点的影响,实现高效、实时、准确的防护功能。
