开源堡垒机或者运维安全审计系统


堡垒机有以下两个至关重要的功能:

权限管理

当你公司的服务器变的越来越多后,需要操作这些服务器的人就肯定不只是一个运维人员,同时也可能包括多个开发人员,那么这么多的人操作业务系统,如果权限分配不当就会存在很大的安全风险,举几个场景例子:

  1. 设想你们公司有300Linux服务器,A开发人员需要登录其中5WEB服务器查看日志或进行问题追踪等事务,同时对另外10hadoop服务器有root权限,在有300台服务器规模的网络中,按常理来讲你是已经使用了ldap权限统一认证的,你如何使这个开发人员只能以普通用户的身份登录5web服务器,并且同时允许他以管理员的身份登录另外10hadoop服务器呢?并且同时他对其它剩下的200多台服务器没有访问权限

  2. 目前据我了解,很多公司的运维团队为了方面,整个运维团队的运维人员还是共享同一套root密码,这样内部信任机制虽然使大家的工作方便了,但同时存在着极大的安全隐患,很多情况下,一个运维人员只需要管理固定数量的服务器,毕竟公司分为不同的业务线,不同的运维人员管理的业务线也不同,但如果共享一套root密码,其实就等于无限放大了每个运维人员的权限,也就是说,如果某个运维人员想干坏事的话,他可以在几分钟内把整个公司的业务停转,甚至数据都给删除掉。为了降低风险,于是有人想到,把不同业务线的root密码改掉就ok了么,也就是每个业务线的运维人员只知道自己的密码,这当然是最简单有效的方式,但问题是如果你同时用了ldap,这样做又比较麻烦,即使你设置了root不通过ldap认证,那新问题就是,每次有运维人员离职,他所在的业务线的密码都需要重新改一次。

其实上面的问题,我觉得可以很简单的通过堡垒机来实现,收回所有人员的直接登录服务器的权限,所有的登录动作都通过堡垒机授权,运维人员或开发人员不知道远程服务器的密码,这些远程机器的用户信息都绑定在了堡垒机上,堡垒机用户只能看到他能用什么权限访问哪些远程服务器。


在回收了运维或开发人员直接登录远程服务器的权限后,其实就等于你们公司生产系统的所有认证过程都通过堡垒机来完成了,堡垒机等于成了你们生产系统SSO(single sign on)模块了。你只需要在堡垒机上添加几条规则就能实现以下权限控制了:

  1. 允许A开发人员通过普通用户登录5web服务器,通过root权限登录10hadoop服务器,但对其余的服务器无任务访问权限

  2. 多个运维人员可以共享一个root账户,但是依然能分辨出分别是谁在哪些服务器上操作了哪些命令,因为堡垒机账户是每个人独有的,也就是说虽然所有运维人员共享了一同一个远程root账户,但由于他们用的堡垒账户都是自己独有的,因此依然可以通过堡垒机控制每个运维人员访问不同的机器。

审计管理

审计管理其实很简单,就是把用户的所有操作都纪录下来,以备日后的审计或者事故后的追责。在纪录用户操作的过程中有一个问题要注意,就是这个纪录对于操作用户来讲是不可见的,什么意思?就是指,无论用户愿不愿意,他的操作都会被纪录下来,并且,他自己如果不想操作被纪录下来,或想删除已纪录的内容,这些都是他做不到的,这就要求操作日志对用户来讲是不可见和不可访问的,通过堡垒机就可以很好的实现。


前面说了这么多,接下来就给大家推荐几个堡垒机软件,各位可根据自己的业务需求进行选择。

【开源堡垒机或者运维安全审计系统】

1.Jumpserver *
2.CrazyEye *
3.麒麟开源堡垒机 *
4.开源堡垒机GateOne
5.堡垒机xrdp: 
an open source RDP server http://www.xrdp.org/  https://github.com/neutrinolabs/xrdp
6.集中安全运维堡垒机  http://www.itosas.com/


附:大致的云堡垒机的功能:权限控制,集中管理,运维友好,脚本管理,实时操作审计。——一键云

*商业堡垒机与麒麟开源堡垒机功能比较列表-泡泡产品论坛 http://bbs.pcpop.com/thread-11042104-1-1.html
*云安宝-云匣子|云加密|云堡垒机|云平台运维审计|云安全 http://www.yunanbao.com.cn/ (推荐)
*安恒云堡垒机  https://market.aliyun.com/products/56844019/cmjj006239.html (推荐)
*奇智堡垒机——国内最早做堡垒机的,商业产品,功能强大,支持对Windows和Linux设备的审计,当然价格也不便宜,据我了解,
应该是一套产品20万左右。
*堡垒机软件——碉堡品牌|服务器网络运维操作管理审计系统|系统运维安全管理审计专家  http://www.baoleiji.com/
*GitHub - triaquae/CrazyEye: OpenSource IT Automation Software https://github.com/triaquae/CrazyEye
*齐智、江南科友的堡垒机的功能开发   
*运维安全审计堡垒机 * 昂楷科技堡垒机  *风信子运维安全审计系统 http://www.fultrust.com/products/baoleiji.htm


【附录参考】云堡垒机的市场前景和用户接受程度? http://www.zhihu.com/question/26776785

相关内容推荐