浅谈堡垒机 – 作者:minggege

堡垒机概念
堡垒机现身企业内控运维安全”终结者”。 堡垒机，即在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便集中报警、及时处理及审计定责。
堡垒机，听起来就是一个够酷的名字，听着名儿就觉着安全，就像大块头施瓦辛格一出现在电影镜头里就像终结者一样。那么，作为内网安全的”终结者”,堡垒机究竟是个什么摸样。所谓”堡垒主机”（简称”堡垒机”），就是一种被强化的可以防御进攻的计算机，具备很强安全防范能力。“堡垒主机”这个词是有专门含义的概念，最初由美国Marcus J.Ranum在Thinking About Firewalls V2.0:Beyond Perimeter Security一书中提出。他提出堡垒主机”是一个系统，作为网络安全的一个关键点，它由防火墙管理员来标识”,“堡垒主机需要格外的注意自己的安全性，需要定期的审核，并拥有经过修改的软件”.通常，堡垒主机是独立应用的主机。（这有点类似单用户的单机操作），它有极大的价值，可能蕴含着用户的敏感信息，经常提供重要的网络服务；大部分时候它被防火墙保护，有的则直接裸露在外部网络中。其所承担的服务大都极其重要，如银行、证券、政府单位用来实现业务、发布信息的平台。”堡垒主机”的工作特性要求达到高安全性。
主要的核心功能
登录功能：支持对X11、linux、unix、数据库、网络设备、安全设备等一系列授权账号进行密码的自动化周期更改，简化密码管理，让使用者无需记忆众多系统密码，即可实现自动登录目标设备，便捷安全。
折叠账号管理：设备支持统一账户管理策略，能够实现对所有服务器、网络设备、安全设备等账号进行集中管理，完成对账号整个生命周期的监控，并且可以对设备进行特殊角色设置如:审计巡检员、运维操作员、设备管理员等自定义设置，以满足审计需求
折叠身份认证：设备提供统一的认证接口，对用户进行认证，支持身份认证模式包括 动态口令、静态密码、硬件key 、生物特征等多种认证方式，设备具有灵活的定制接口，可以与其他第三方认证服务器之间结合;安全的认证模式，有效提高了认证的安全性和可靠性。折叠资源授权设备提供基于用户、目标设备、时间、协议类型IP、行为等要素实现细粒度的操作授权，最大限度保护用户资源的安全
折叠访问控制：设备支持对不同用户进行不同策略的制定，细粒度的访问控制能够最大限度的保护用户资源的安全，严防非法、越权访问事件的发生。
折叠操作审计：设备能够对字符串、图形、文件传输、数据库等全程操作行为审计;通过设备录像方式实时监控运维人员对操作系统、安全设备、网络设备、数据库等进行的各种操作，对违规行为进行事中控制。对终端指令信息能够进行精确搜索，进行录像精确定位。
早期堡垒主机，通常是指这样一类提供特定网络或应用服务的计算机设备，其自身相对安全并可以防御一定程度的攻击。作为安全但可公开访问的计算机，堡垒主机通常部署于外围网络（也称为DMZ、网络隔离区域或屏蔽子网）面向公众的一端。这类堡垒主机不受防火墙或过滤路由器的保护，因此它们完全暴露在攻击中。这类堡垒主机通常用作Web服务器、域名系统（DNS）服务器或文件传输（FTP）服务器等。通过将这些将必须开放的服务部署在堡垒主机而不是内部网络中，可以换取内部网络的安全。因为这些主机吸引了入侵者的注意力，也就相应地减少了内部网络遭受安全攻击的可能性和随之带来的风险。
堡垒主机自身安全性的强化通常是通过禁用或删除不必要的服务、协议、程序和网络接口来实现的。也就是说，堡垒主机往往仅提供极少的必要的服务，以期减少自身的安全漏洞。
另外一些可以提高自身安全性的手段则包括：采用安全操作系统、采取必要的身份认证和严格的权限控制技术等。
堡垒机目标价值
目标：堡垒机的核心思路是逻辑上将人与目标设备分离，建立”人-〉主账号(堡垒机用户账号)-〉授权->从账号(目标设备账号)的模式;在这种模式下，基于身份标识，通过集中管控安全策略的账号管理、授权管理和审计，建立针对维护人员的”主账号-〉登录-〉访问操作-〉退出”的全过程完整审计管理，实现对各种运维加密/非加密、图形操作协议的命令级审计。
系统价值：堡垒机的作用主要体现在下述几个方面:
企业角度：通过细粒度的安全管控策略，保证企业的服务器、网络设备、数据库、安全设备等安全可靠运行，降低人为安全风险，避免安全损失，保障企业效益。
管理员角度：所有运维账号的管理在一个平台上进行管理，账号管理更加简单有序;
通过建立用户与账号的对应关系，确保用户拥有的权限是完成任务所需的最小权限;直观方便的监控各种访问行为，能够及时发现违规操作、权限滥用等。鉴于多账号同时使用超管进行的操作，便于实名制的认证和自然人的关联。
普通用户角度：运维人员只需记忆一个账号和口令，一次登录，便可实现对其所维护的多台设备的访问，无须记忆多个账号和口令，提高了工作效率，降低工作复杂度。
堡垒机应用
一种用于单点登录的主机应用系统，电信、移动、联通三个运营商广泛采用堡垒机来完成单点登陆和萨班斯要求的审计。
在银行、证券等金融业机构也广泛采用堡垒机来完成对财务、会计操作的审计。在电力行业的双网改造项目后，采用堡垒机来完成双网隔离之后跨网访问的问题，能够很好的解决双网之间的访问的安全问题。

来源：freebuf.com 2020-09-04 15:15:33 by: minggege