運維操作管理系統 堡壘機 運維操作管理系統 堡壘機 解決方案解決方案 浙江齊治科技有限公司浙江齊治科技有限公司 20132013 年年 8 8 月月 VER3 3 0 Copyright 2005 2012 齊治科技 第2頁 聲明聲明 本文件所有權和解釋權歸齊治科技所有 未經齊治科技書面許可 不得復制或向第三方公開 修訂歷史記錄 版本控制 修訂歷史記錄 版本控制 版本號版本號作者作者審核人審核人文檔類型文檔類型保密級別保密級別完成日期完成日期 V1 0 0DXBrianADA2011 1 21 V2 1 0DXBrianADA2011 5 18 V3 2 0DXJoeADA2012 1 17 V3 3 0DXJoeADA2013 8 8 文檔類型 A 內部歸檔類 D 外部交付類 保密級別 A 公開 B 有選擇公開 C 不公開 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第1頁 目目 錄錄 1現狀分析現狀分析 2 2解決方案解決方案 4 3功能實現功能實現 11 4方案優勢方案優勢 25 5客戶收益客戶收益 27 6成功案例成功案例 28 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第2頁 1 1現狀分析現狀分析 1 11 1 運維管理現狀運維管理現狀 客戶的維護部門主要負責應用系統以及信息系統基礎平臺的建設和維護 以及局內網絡的建設和維護 現有數十臺各種各樣的服務器 其日常運維過程 中都普遍存在以下現狀 用戶的訪問方式以內部直接遠程訪問為主 其中運維操作的遠程訪問方式 又以 SSH Telnet RDP VNC X window http https FTP SFTP 為主 設備數 量比較多 維護人員較多 并且部分設備的維護交由第三方維護廠商完成 維護操作 比較分散 權限變更復雜 使用設備上的共享系統賬號進行認證與授權 無法有效落實定期修改設備密碼的規定 用戶的運維操作無審計 需要定期接受等保 SOX ISO27001 等法律法規標準的檢查 1 21 2存在問題存在問題 維護方式不統一 共享賬號難控制 操作行為難約束 設備密碼難管理 運維操作無審計 法律法規難遵從 1 31 3問題分析問題分析 出現以上問題的主要原因在于 運維操作不規范 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第3頁 運維操作不透明 運維操作風險不可控 1 41 4帶來的后果帶來的后果 違規操作可能會導致設備 服務異?；蛘咤礄C 惡意操作可能會導致系統上敏感數據 信息被篡改 被破壞 當發生故障的時候 無法快速定位故障原因或者責任人 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第4頁 2 2解決方案解決方案 2 12 1 實現目標實現目標 通過 Shterm 的部署 可以有效的解決運維部門當前運維過程中存在的各種 問題 以堡壘方式 形成統一的運維入口 實現運維操作的唯一路徑 引入主從帳號管理概念 使用戶認證與系統授權分開 從而有效解決系統 帳號共享使用 帶來的身份不唯一的問題 基于用戶 設備 系統帳號 協議類型 登錄規則的嚴格訪問控制設置 有效規避了非授權訪問帶來的問題 密碼托管和自動改密 使得密碼管理規范能有效落地 避免了因人員的流 動還會導致設備密碼存在外泄的風險 能完整記錄運維人員的操作過程 當系統因人為操作導致故障的時候 能 夠快速定位故障原因和責任人 可以滿足等保 SOX ISO270001 BS7799 等安全規范對運維操作管理的 要求 2 22 2 具體設計具體設計 2 2 1 總設計思路總設計思路 因為操作的風險來源于各個方面 所以必須要從能夠影響到操作的各個層 面去降低風險 齊治運維操作管理系統 Shterm 采用操作代理 網關 方式 實現集中管理 對身份 訪問 審計 自動化操作等統一進行有效管理 真正 幫助用戶最小化運維操作風險 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第5頁 集中管理是前提 集中管理是前提 只有集中以后才能夠實現統一管理 只有集中管理才能 把復雜問題簡單化 分散是無法談得上管理的 集中是運維管理發展的必然趨 勢 也是唯一的選擇 身份管理是基礎 身份管理是基礎 身份管理解決的是維護操作者的身份問題 身份是用來 識別和確認操作者的 因為所有的操作都是用戶發起的 如果我們連操作的用 戶身份都無法確認 那么不管我們怎么控制 怎么審計都無法準確的定位操作 責任人 所以身份管理是基礎 訪問控制是手段 訪問控制是手段 操作者身份確定后 下一個問題就是他能訪問什么資源 你能在目標資源上做什么操作 如果操作者可以隨心所欲訪問任何資源 在資 源上做任何操作 就等于沒了控制 所以需要通過訪問控制這種手段去限制合 法操作者合法訪問資源 有效降低未授權訪問所帶來的風險 操作審計是保證 操作審計是保證 操作審計要保證在出了事故以后快速定位操作者和事故 原因 還原事故現場和舉證 另外一個方面操作審計做為一種驗證機制 驗證 和保證集中管理 身份管理 訪問控制 權限控制策略的有效性 自動運維是目標 自動運維是目標 操作自動化是運維操作管理的終極目標 通過讓該功能 可讓堡壘機自動幫助運維人員執行各種常規操作 從而達到降低運維復雜度 提高運維效率的目的 2 2 2 操作網關方式部署操作網關方式部署 集中管理是實現運維操作安全管理的首要前提 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第6頁 針對當前核心設備分散管理的現狀 集中管理倡導的是一種統一管理的理 念 集中管理是未來運維操作安全管理的必然趨勢 實現集中管理 關鍵點在于對用戶原有的運維環境不造成任何影響 綜合 各種部署方案 我們采用了 操作堡壘機 的部署方式 2 2 3 用好共享賬號用好共享賬號 在當前的運維環境中 普遍存在操作者身份無法識別的安全隱患 這主要 是由操作者共享使用核心設備上的系統賬號造成的 設備數量達到一定規模 必然會使用到共享賬號 共享賬號就是多人共同 使用同一個存在于設備上的系統賬號 使用共享賬號會讓整體賬號的數量最少 但是僅僅依賴系統上的單一系統賬號 無法既能區分用戶身份 又能完成工作 角色的定位 如何準確的區分用戶身份和工作角色 進而實現操作者和具體的操作過程 一一對應 Shterm 將賬號的用戶身份確認和系統工作角色功能分離 在 Shterm 上增 加了用戶賬號 完成用戶的身份確認 原來系統上的賬號依然存在 但是作用 只是完成工作角色授權的工作賬號 用戶登錄 Shterm 是采用唯一的用戶賬號 然后根據工作角色的需要 轉換 成系統賬號登錄到被管理設備上 這樣既能夠保證整體賬號數量最少 管理方 便 同時又能夠實現對用戶 工作角色的雙重定位 當用戶加入 離職或崗位變動 當代維人員和原廠商進行維護的時候 只 需要在 Shterm 上變更該用戶賬號即可 對系統上的系統賬號沒有任何影響 代維人員維護系統并不需要知道用戶系統的最高權限的系統帳號密碼 這 樣大大降低了管理風險 原廠商進行臨時維護的時候只需要臨時分配一個用戶賬號 當使用結束后 該賬號會自動回收 減少了賬號管理的成本 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第7頁 2 2 4 訪問控制規則訪問控制規則 目前 用戶只要知道用戶名和密碼就可以任意訪問任意設備 這種現狀必然 會帶來 未授權訪問的安全風險 部署了 Shterm 后 情況就發生了變化 Shterm 邏輯上成為了用戶登錄的 唯一入口 因為入口唯一 訪問控制很容易配置了 相同工作任務的集合可以放置在一個訪問規則組里 當用戶崗位 職責改 變時 對用戶相關聯的組 系統權限 可訪問設備通過 Web 的勾選 很容易調 整 根據工作內容的需要 可以配置不同的許可或禁止的登錄策略 既可以設 定固定日期的登錄策略 也可以設定固定時間間隔的策略 還可以設定一天中 指定時間段的策略 并且能夠針對具體的地址段進行控制 Shterm 的訪問控制列表可以讓用戶一目了然的知道某臺設備上允許哪些用 戶登錄 某臺設備上的系統賬號有多少個用戶可以使用 另一方面 從安全運維的角度分析 權限控制策略是從操作的層面上 降 低高危操作所帶來的安全風險 對于使用 Telnet SSH 等協議進行遠程管理的設備 各種網絡設備和 Unix 服務器 操作權限的多少取決于用戶可以執行的命令 所以 針對操作指令 的控制才是核心 對于服務器設備操作 Shterm 可以對服務器的超級用戶 root 操作權限進 行控制 即使是 root 用戶 權限也是受限制的 可以限制 root 用戶只能執行 某些操作 白名單 和無法執行某些操作 黑名單 當多人同時使用一個 root 賬號時 Shterm 可以對同一個系統賬號進行操 作權限再分配 保證使用同一個 root 賬號的不同用戶擁有不同的操作指令權限 徹底解決了共享 root 賬號權限一致的情況 真正實現細粒度的操作權限控制 對于網絡設備操作 Shterm 可以保證即使多個用戶在進入 enable 狀態的 時候 提供高于網絡設備系統更好級別的控制力度 保證每一個用戶的操作指 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第8頁 令都能嚴格受到控制 對于操作權限的控制意味著我們從被動接受用戶輸入到了主動控制 對于用戶的操作可以有 3 種執行狀態 允許執行 拒絕執行 禁止執行 對于高危命令 刪除 重起 關機等 可以實時告警 一旦高危操作觸發 會立即給相關人員發送告警郵件 保證用戶在第一時間內知道高危操作是否對 系統造成了影響 2 2 5 完整操作審計完整操作審計 運維操作審計是整個 Shterm 解決方案的重要組成部分 管理員確定了以操 作網關方式來部署 解決了之前共享賬號的問題 配置了訪問規則 明確了操 作權限 那么最后也是最重要的就是操作和操作審計 Shterm 支持的運維操作方式和相應的操作審計基本涵蓋了目前企業日常運 維所涉及到的絕大部分操作模式 包括字符會話 圖形會話 Web Client 會話 文件傳輸等等 對不同會話采用不同的審計方式針對字符會話 Shterm 的審計功能會完全 記錄所有會話內的輸入輸出 并可以使用模式方式對這些輸入輸出進行查詢以 定位操作時間節點和操作內容 對于圖形會話要采用全程的錄像和鍵盤鼠標操 作的記錄 并在圖形會話回放的過程中同步的顯示出來 對于 Web Client 方式 的操作會話 也是目前非常主流的一種操作模式 Shterm 可以利用對于圖形會 話的審計方式來審計 Web Client 方式的會話 即 既包括了圖形錄像也包括了 鍵盤鼠標記錄 并且可以如圖形會話一樣 鍵盤輸入信息可以進行完全的檢索 以便快速定位一個較長的審計錄像 針對文件傳輸 FTP SFTP 之類的上傳下 載 Shterm 支持全部的信息記錄 包含時間 人員 IP 等等信息 此外 Shterm 對審計人員本身也有嚴格要求 一方面 對審計人員的審計 操作 Shterm 有嚴格的記錄 審計管理員何時查閱了某個會話操作都要有明確 記錄 另一方面 Shterm 支持非全局性的操作審計 即 審計人員也沒有權利 審計所有的會話信息 因為會話中可能包含了非常敏感甚至機密的企業信息 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第9頁 2 2 6 運維自動化運維自動化 日常運維中經常需要對一些操作進行重復性動作 例如每天去執行一些腳 本 檢測一些狀態等 重復繁瑣的工作容易令人出現操作的失誤 如果能通過 一些技術手段 替代用戶的重復操作 使用戶從重復繁瑣的工作中釋放出來 可以讓用戶有更多的時間去專注于更多技術領域 操作自動化是運維操作管理的終極目標 通過 Shterm 的自動腳本功能 可 讓堡壘機自動幫助運維人員執行各種常規操作 從而達到降低運維復雜度 提 高運維效率的目的 2 32 3 產品部署產品部署 在當前運維環境中部署了 shterm 齊治運維操作管理系統 亦稱齊治運維 堡壘機 之后 拓撲結構如下 部署說明部署說明 支持雙機 HA 部署 部署方式是物理旁路 邏輯串接 部署唯一條件是 Shterm 與被管理的設備之間 IP 可達 協議可訪問 在部署過程中 不需要調整任何網絡架構 不需要安裝任何代理程序 集中管理的一個標志就是入口唯一 Shterm 是用戶操作的唯一入口 目標設備登錄過程 用戶用唯一的用戶帳號登錄到 shterm 上 然后 Shterm 會根據配置管理員預先設置好的訪問控制規則 列出用戶選擇 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第10頁 可以訪問的目標設備和相應系統帳號 用戶選擇完成后會自動登錄到目 標設備 應用程序登錄過程 用戶用唯一的用戶帳號登錄到 shterm 上 然后 Shterm 會根據配置管理員預先設置好的訪問控制規則 列出用戶選擇 可以訪問的應用程序 如 PL sql 用戶點擊該程序即可馬上打開 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第11頁 3 3功能實現功能實現 3 13 1 集中管理集中管理 部署了 Shterm 之后 所有用戶對后臺設備的操作 都要先登錄 Shterm 的 WEB 管理界面 Shterm 作為后臺設備訪問的唯一入口 實現單點登錄 然后 再根據 Shterm 管理員預先設置好的訪問控制規則 自動登錄到后臺目標設備上 去 具體方式如下 普通用戶按照登錄流程 首先登錄到 Shterm 的 WEB 頁面 然后可以在 設 備訪問 項里面 看到可訪問的設備列表 選擇好系統賬號 并點擊相應設備 后面的 圖形 服務 即可自動登錄到圖形管理界面上去進行任何操作 同理 點擊 字符 服務 即可自動登錄到字符管理界面上去進行任何操作 3 23 2 部門管理部門管理 Shterm 可以將不同的用戶 目標設備分配到不同的部門 部門之間彼此隔 離 不同部門的用戶只能管理自己部門內的目標設備 策略 操作的審計 控 制等 同時 Shterm 還支持樹狀結構部門管理 上級部門可以管理下級部門的資 源 包括資源調整 統計報表等 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第12頁 3 33 3 賬號管理賬號管理 Shterm 為每個用戶分配了獨一無二的用戶賬號 設備上的系統賬號不變 通過把多個用戶賬號和單個系統賬號做關聯 用戶賬號完成身份認證 系統賬號 完成系統授權 可以在不同的用戶使用相同的系統帳號訪問目標設備的時候 Shterm 依然可以準確識別用戶的身份 讓用戶的身份和具體的操作一一對應起 來 從而實現用戶實名制管理 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第13頁 3 43 4 身份認證身份認證 Shterm 支持的認證方式包括 本地靜態認證 第三方 AD 域 LDAP radius iso8583 認證和內置 totp time based one time passwd 認 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第14頁 證 其中 totp 認證 是動態令牌認證 Shterm 已經內置了 totp 認證服務器 只需要再部署相應的令牌即可 3 53 5 訪問控制訪問控制 Shterm 可以根據用戶 用戶組 設備 設備組 系統帳號和時間來設置詳細 的訪問控制規則 設置完成后 用戶只能按照規則設置來訪問相應資源 徹底 杜絕了非授權訪問所帶來的問題 3 63 6 權限控制權限控制 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第15頁 對于 Unix 設備來說 權限的多少取決于用戶可以執行的命令 所以 針對 操作指令的控制才是核心 Shterm 可以針對超級用戶 root 做操作權限的控制 當多人同時使用一 個系統賬號時 Shterm 可以對同一個系統賬號進行權限再分配 保證使用同一 個系統賬號的不同用戶擁有不同的權限 這就徹底解決了共享賬號和 root 用戶 權限的問題 真正實現細粒度的操作權限控制 對于操作權限的控制意味著我們從被動接受用戶輸入到了主動控制 對于 用戶的操作可以有 3 種狀態 允許 拒絕 禁止 對于高危命令 刪除 重起 關機等 可以實時告警 一旦高危操作觸發 會立即給相關人員發送告警郵件 保證用戶在第一時間內知道高危操作是否對 系統有影響 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第16頁 3 73 7 金庫模式金庫模式 3 7 1 實時監控與阻斷實時監控與阻斷 對于普通用戶登錄到目標設備上正在進行的操作 審計管理員可以再 Shterm 的 WEB 界面做到實時監控 做到邊操作邊審計 真正實現實現操作透明 同時對于用戶的違規操作 審計管理員還可以做到實時切斷 具體如下圖 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第17頁 3 7 2 雙人授權訪問雙人授權訪問 Shterm 具備核心設備登錄時候的雙人授權功能 針對不同的訪問控制策略 分配不同的雙人授權人 普通用戶如想登錄該設備 必須經過相關管理人員 的授權才行 3 7 3 雙人復核操作雙人復核操作 Shterm 對于在核心設備上的敏感指令操作 需要經過第二個人復核后 才能被執行 3 83 8 會話共享會話共享 Shterm 具有圖形操作會話共享功能 可讓多位運維人員對同一個會話進行 共享操作 例如用戶 A 在設備登錄的過程中需要用戶 B 輸入后半段的密碼 這 時用戶 A 可以在 WEB 界直接申請 B 收到申請后就可以登錄同一臺設備完成分 段密碼輸入的工作 并不需要兩人同在一個地方 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第18頁 3 93 9 密碼托管密碼托管 3 9 1 單點登錄單點登錄 對于目標設備的訪問賬號密碼 可以由 Shterm 進行集中托管 只要配置管 理員在相應設備的密碼管理中將目標設備的賬號密碼添加上去即可 使用了密碼托管功能后 用戶以后訪問目標設備時 只需要記住自己的 Shterm 上的賬號和密碼 即可通過 Shterm 自動登錄目標設備 3 9 2 自動改密自動改密 Shterm 可以靈活配置目標設備密碼的修改策略 實現密碼的批量定期自動 修改 修改后的結果可以以加密郵件方式發送給密碼保管員 從而實現密碼的 集中管理 同時密碼保管員也可以隨時在系統的 WEB 界面打包備份設備的密碼 到本地 提高改密功能可用性 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第19頁 3 103 10自動運維自動運維 3 10 1網絡設備配置自動備份網絡設備配置自動備份 Shterm 具備網絡設備配置自動備份功能 管理員通過在 shterm 上配置相 應策略 可在指定的時間 自動備份指定的網絡設備上的配置文件 3 10 2Unix 系統腳本自動執行系統腳本自動執行 Shterm 具備 UNIX 系統腳本自動執行功能 管理員通過在 shterm 上配置相 應策略 可在指定的時間 自動到指定的 UNIX 服務器上執行指定的腳本 實現 自動巡檢等日常工作 3 10 3自動發現目標設備自動發現目標設備 Shterm 具有自動發現目標設備功能 可以根據管理指定的時間 對指定 IP 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第20頁 地址段的設備做自動掃描 并把設備的 IP 類型 編碼等內容 供配置管理員 修改導入 3 113 11應用發布應用發布 Shterm 可以通過 Web 管理界面 直接發布安裝在某臺 windows 服務器上的 各類客戶端 應用程序 如 citrix 客戶端 sqlplus secureCRT toad 等 此外 Shterm 還支持部分客戶端工具的密碼自動代填 實現客戶端密碼的 集中管理 3 123 12操作審計操作審計 Shterm 不僅能記錄用戶在目標設備上進行的 Telnet SSH RDP VNC X Windows Http Https FTP SFTP SCP 等協議的所有操作行為 此外還能完美審計第三方客戶端工具的操作 如 citrix 客戶端 PL SQL SQLPLUS TOAD 等工具 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第21頁 3 12 1命令操作審計命令操作審計 文本方式記錄 基于 命令精準識別 的專利技術 唯一可以確保對各種常規和非常規操 作行為的準確識別 對于字符命令操作的日志回放支持 在 Web 界面直接回放操作過程 智能輸入輸出分離 展現在用戶面前的只是輸入命令 展開后可查 看命令輸出結果 支持任意點回放 支持 上下箭頭 TAB 命令補全 等輸入操作回放 點擊即可回放 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第22頁 3 12 2圖形操作審計圖形操作審計 錄像方式記錄 在錄像方式記錄用戶操作過程的同時 還可以文本方式完整記錄用戶的鍵 盤鼠標敲擊 復制粘貼操作 并能對操作界面進行問題模糊識別 對于圖形化操作日志的回放支持 不須加載 無延時在線拖拉回放 支持多倍速回放 自動過濾屏幕靜止操作 根據時間點直接定位回放 針對任意一個審計畫面可以抓屏 保存成一個圖片文件 回放時可顯示鍵盤和鼠標操作內容 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第23頁 3 133 13操作搜索操作搜索 針對字符操作記錄 都可以按照時間 用戶賬號 目標設備 系統賬號 命令關鍵字進行搜索 在最短的時間內找到相關日志內容 實現快速定位 針對圖形操作記錄 可以根據鍵盤輸入 剪貼板操作 模糊識別的內容 URL 地址為關鍵字進行查詢定位 針對數據庫操作記錄 可以根據 SQL 語句的內容為關鍵字進行查詢定位 所有查詢的結果可以和圖形操作過程關聯回放 鼠標狀態點 回放的時候可以在這里查看到在 相應時間點鍵盤輸入的內容 命令操作查詢 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第24頁 3 143 14統計報表統計報表 Shterm 支持情況總覽 會話報表 報表模板 自動報表 命令報表 配置 報表等統計報表功能 圖形操作查詢 浙江齊治科技有限公司 Copyright 2005 2012 齊治科技 第25頁 4 4方案優勢方案優勢 4 14 1 成熟穩定成熟穩定 齊治公司從 2005 年成立 自主研發的堡壘機系統 自 2005 年被阿里巴巴 選中后 為其旗下的 25000 余臺服務器提供著運維操作安全服務 其服務器數 量 在線維護人員數量等硬指標在全國首屈一指 是完全可以信賴的優秀產品 至今 在國內 齊治公司是 唯一專注于運維操作管理領域的廠商 在運營商 金融 互聯網 電力 政府 煙草和海關等多個高端行業得 到大規模使用 唯一在單個用戶超過 2 300 個并發用戶環境成功部署 唯一在單個用戶超過 10 000 臺服務器環境成功部署 唯一在單個用戶超