集中授权式服务器运维审计系统设计与部署
张飞 张连杰
安徽日报报业集团信息技术中心
摘要:随着报业集团业务系统不断增多,机房里的设备越来越多,网络环境越来越复杂,网络安全威胁越来越高,给日常运维管理带来许多问题。本文通过安徽日报报业集团运维管理和审计系统的设计和部署,提出一种基于操作代理(网关)的集中授权式服务器运维审计方案,加强服务器系统密码控制,用于规避和解决实际工作中存在的问题。关键词:网络安全 集中授权 密码控制 运维审计1背景分析
1.1当前整体网络安全背景概述中国接入国际互联网已经二十多年,随着互联网的不断发展,网络安全问题越来越得到国家层面的高度重视,放眼世界,各国都在大力加强网络安全建设。2014年2月,中央网络安全与信息化领导小组成立,并由中共中央总书记、国家主席、中央军委主席习近平亲自担任组长,显示出中国在保障网络安全、维护国家利益、全力推进信息化发展的决心。随着网络空间急速膨胀并渗透到生产和生活的各个领域,网络依赖性不断增强,而伴生出的各种网络威胁亦令人堪忧。当前木马僵尸网络,钓鱼网站等传统网络安全威胁有增无减,分布式拒绝服务(DDOS攻击)、高级持续威胁(APT攻击)等新型网络攻击也频繁发生,信息系统安全面临前所未有的严峻挑战。 1.2 安徽日报报业集团网络安全环境现状目前,安徽日报报社集团网络系统,采用接入层、汇聚层和核心层的三层架构模式。有2台万兆核心,260台接入交换机,终端点数1000多个,中心机房内服务器数量大约230台。对外出口由五条百兆专网构成,边界安全系统部署了入侵防御系统(IPS)、虚拟专用网(VPN)系统、双备防火墙系统、上网行为管理与审计系统、应用虚拟化系统;内网安全部署了网络版杀毒系统、智能桌面终端管理系统、无线网准入管控等系统。各种服务器、网络设备、安全设备加一起数量庞大,日常运维任务繁琐而复杂。 1.3 运维中存在的问题及原因分析1.3.1 存在的问题随着各种服务器、网络设备不断增加,各系统、各设备的运维人员也不断增加。一人管理多台设备,多人管理同一设备的情况逐渐增多。由于管理员身份不唯一,用户登录设备管理时,使用共享账号(root、administrator、admin等)访问,从而无法准确识别用户身份,同时,也缺乏严格的访问控制,难以限制用户登录到后台设备后的操作权限,也无法知道当前的运维情况,缺乏有效的技术手段来监管代维 人员的操作,这样在实际操作中会出现下面的问题:1)违规操作导致设备、服务器异常或者宕机;2)恶意操作可能会使系统内敏感数据、信息被篡改、破坏甚至丢失;3)发生故障的时候无法快速定位故障原因,无法找到当时操作服务器的直接责任人等。1.3.2原因分析出现以上问题的主要原因在于:1) 运维操作人员不唯一,共享帐号难控制;2) 运维操作不够规范,运维操作不透明、操作行为难约束;3) 运维过程中无有效监审手段,操作风险不可控。 1.4 运维中安全管理和审计的需求通过分析,我们希望通过引入一种运维管理和审计系统,实现以下目的:1)引入用户帐号概念,实现管理账号密码和服务器账号密码分离,有效解决因为系统管理帐号共享使用导致运维身份不唯一的问题;2)基于用户、设备、系统帐号、协议类型、登录规则的严格访问控制,规避非授权访问带来的问题;3)密码托管和自动改密,避免因人员流动导致密码存在外泄的风险;4)实时监控和切断,使运维管理处在透明状态,管理员可以随时知道用户当前操作状态,看到高位操作可以随时阻断;5)操作审计。对管控服务器的操作痕迹保留,以备事后审计。2 服务器运维管理和审计系统设计
2.1 服务器运维管理和审计系统工作原理运维管理和审计系统在管理中着重解决以下问题:你是谁?你能做什么?你做了什么?可不可以用机器代替你?即身份管理、访问控制、操作审计和自动化操作。这种运维管理和审计系统采用密码代填+单点登录方式实现集中授权管理,对身份、访问、权限、审计统一进行认证管理,实现最小化运维操作风险。针对B/S结构中管理员和普通用户都是从同一个WEB入口进入的情况,我们设计为密码代填和单点登录,即由密码管理员随机生成密码,然后通过应用发布服务器将登录页面发布,利用密码代填做成单点登录。通过密码控制,运维人员就不知道服务器或者应用系统帐号的密码,而只能通过运维管理和审计系统的单点登录来管理自己的服务器,从而使得运维系统管理无盲点。为了避免因运维管理和审计系统宕机而造成各系统管理员无法接管服务器的情况,我们需要一个“逃生”通道,在运维管理和审计系统宕机的情况下可以通过通道来管理服务器。 2.2 主要涉及的网络协议2.2.1 RDP协议RDP,远程显示协议(Remote Display Protocol )简称RDP协议,是一个多通道(multi-channel)的协议,让用户(客户端或称“本地电脑”)连上提供微软终端机服务的电脑(服务器端或称“远程电脑”)。 其他操作系统也有这些客户端软件,例如Linux、Mac OS X等。通过TCP3389端口传送数据。2.2.2 SSH协议SSH为 Secure Shell 的缩写,是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。通过使用SSH,可以把所有传输的数据进行加密,能够防止DNS欺骗和IP欺骗,有效防止远程管理过程中的信息泄露问题.使用SSH,还有一个额外的好处就是传输的数据是经过压缩,可以加快传输的速度。SSH客户端适用于多种平台。2.2.3 Telnet协议Telnet协议是TCP/IP协议族中的一员,是Internet远程登陆服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。Telnet是常用的远程控制Web服务器的方法。3 服务器运维管理和审计系统部署
3.1 网络环境部署在当前网络环境中用单机部署,部署方式是物理旁路,逻辑串接,好处是即便运维管理和审计系统出了故障或者宕机,也不会影响用户正常的网络访问,通过调整防火墙和交换机的访问规则,将运维管理和审计系统作为用户操作的唯一入口。图1:网络拓扑图
图2:物理部署图
3.2 服务器运维管理和审计系统部署3.2.1集中认证管理部署了运维管理和审计系统之后,所有用户对后台设备的操作,都要先登录运维管理和审计系统(运维管理和审计系统作为后台设备访问的唯一入口,实现单点登录),然后再根据运维管理和审计系统管理员预先设置好的访问控制规则,登录到后台目标设备上去。3.2.2集中帐号管理运维管理和审计系统为每个用户分配了独一无二的用户账号,设备上的系统账号不变,通过把多个用户账号(实名认证)和单个设备系统账号做关联(用户账号完成身份认证,系统账号完成系统授权),可以在不同的用户使用相同的系统帐号访问目标设备的时候,运维管理和审计系统依然可以准确识别用户的身份,让用户的身份和具体的操作一一对应起来,从而实现集中帐号管理。 3.2.3集中授权管理我们把用户帐号分成以下几个组:普通用户(一般运维人员),密码管理员(管理服务器与各应用系统管理员的密码,不参与运维),审计人员,配置管理员(在系统中只可增加、配置人员及设备信息,不能删除),超级管理员,其中密码管理员、配置管理员、超级管理员只设一名。超级管理员的帐号我们摒弃了常见的admin、administrator、root等,由我们自行设定,避免被暴力破解密码造成安全隐患。运维管理和审计系统可以根据用户/用户组、设备/设备组、系统帐号和时间来设置详细的访问控制规则,对各组人员的权限分别授权,各司其职。设置完成后,用户只能按照规则设置来访问相应资源。运维管理和审计系统具备核心设备登录时候的双人授权功能(针对不同的访问控制策略分配不同的双人授权人)。普通用户如想登录该设备,必须经过相关管理人员的授权才行。彻底杜绝了非授权访问所带来的问题。对于操作权限的控制意味着我们从被动接受用户输入到了主动控制。对于用户的操作可以有3种状态:允许,拒绝,禁止。对于高危命令(删除,重启,关机等)可以实时阻断并告警,会立即给相关人员发送告警邮件、信息等,保证相关人员在第一时间内知道高危操作是否对系统有影响,除非获得授权,否则高危命令不能运行。3.2.4集中审计管理1)运维操作审计,实现完整记录以文本方式完整记录用户的键盘鼠标敲击、复制粘贴操作,包括且不限于“上下箭头”、“TAB命令补全”等,基于“命令精准识别”技术,可以确保对各种常规和非常规操作行为的准确识别;在图形录像的方式记录用户操作过程,并能对操作界面进行问题模糊识别。2)运维操作搜索,实现快速查询定位针对字符操作记录,可以按照时间、用户账号、目标设备、系统账号、命令关键字进行搜索,在最短的时间内找到相关日志内容,实现快速定位;针对图形操作记录,可以根据键盘输入、剪贴板操作、模糊识别的内容、URL地址为关键字进行查询定位;针对数据库操作记录,可以根据SQL语句的内容为关键字进行查询定位。3)运维操作录像回放所有的操作录像都可以直接在WEB界面回放操作过程,可以根据键盘输入的字符快速定位回放;可以根据时间点回放;可以实时抓帧截图;查询数据库时所有查询的结果可以和图形操作过程关联回放。4)运维操作统计报表针对操作行为,审计人员可根据时间、用户、用户组、设备、设备组等灵活定制相关报表,并提供HTML、Excel、PDF等格式下载与查阅;同时,审计人员可以定义小时、日、周、月、年及总体报表,自动或手动定期生成相关报表并发送相关人员。
评论 点击评论