堡垒机审计方案

适用场景：

随着业务范围的不断扩大，各类业务系统不断上线运行。在业务系统应用范围越来越广、数据越来越多的同时，技术运维部门面临的确保系统安全稳定运行的压力也随之增加。目前，技术人员普遍采用共享的系统账号在后台设备上进行频繁的管理和维护操作，然而，复杂的人员结构和系统结构使得技术运维管理面临严峻的挑战。突出的管理难题包括：

u  共享账号难控制：操作人员使用共享账号的同时无法准确识别操作者的身份；

u  设备密码难管理：随着设备数量的增加，密码管理的难度越来越大。要求账号密码足够复杂和定期的修改系统账号密码；

u  操作行为难约束：无法对操作人员的操作行为进行事前主动的控制和约束；

u  操作过程不透明：无法清晰的展示每个操作者具体的操作过程；

同时国家及行业也相继出台了相关的法律法规及管理规范，要求系统运维在访问控制、操作审计等诸多方面做得更加全面有效的管理。

借助切实有效的技术手段，通过对运维环境中人员、设备、操作行为等诸多要素的统筹管理和策略定义，建立一个具有完备控制和审计功能的运维管理系统，为业务生产系统进一步的发展建立坚实基础。该方案需要在技术层面完成如下建设目标：

1.   实现单点登录：全部运维人员集中通过运维管理系统，来管理后台的服务器、网络设备等资源，同时对运维人员进行统一的身份认证；

2.   实现统一授权：统一部署访问控制和权限控制等策略，保证操作者对后台资源的合法使用，同时实现对高危操作过程的事中监控和实时告警；

3.   快速定位问题：必须对操作人员原始的操作过程进行完整的记录，并提供灵活的查询搜索机制，从而在操作故障发生时，快速的定位故障的原因，还原操作的现场；

4.   简化密码管理：实现账号密码的集中管理，在简化密码管理的同时提高账号密码的安全性；

兼容操作习惯：尽量不改变运维环境中已有的网络架构、对操作者原有的操作习惯不造成任何影响；

方案整体设计：

鉴于当前的运维现状和实际需求，用户需要的是对运维操作的事前、事中和事后进行统一管理的整体解决方案。运维操作管理解决方案的整体设计思路如下：

集中管理是前提：管理模式是首要因素，管理的模式决定了管理的高度。针对当前多种远程操作方式分散无序的现状，实现集中、统一的管理，是解决运维操作诸多问题的前提。集中管理是未来运维管理发展的必然趋势，也是唯一选择。

身份管理是基础：身份管理解决的是操作者的身份识别和工作角色的问题。因为所有的操作行为都是由操作者发起的，通过操作者的身份管理机制，是后续对操作者操作过程进行控制和审计的基础。

访问控制是手段：通过访问控制手段确保合法的操作者只能合法的访问资源，有效降低未授权访问的安全风险。

操作审计是保证：操作审计的意义在于当发生操作事故时，可以借助审计日志快速定位问题的原因，还原操作的现场，真正完善责任认定的体系。

    自动化操作是目标：自动化操作是运维操作管理发展的终极目标。通过这种机制，实现对日常运维操作过程的流程化、自动化，从而达到提高运维操作效率的目标。

方案详细设计：

操作网关模式，实现集中管理

部署说明：

1.  部署方式是物理旁路、逻辑串联；

2.  唯一的部署条件是齐治运维操作管理系统（以下简称SHterm系统）到被管理设备的IP可达，协议可访问；

3.  登录过程：用户用唯一的用户帐号登录到SHterm系统上，然后SHterm系统会根据配置管理员预先设置好的访问控制规则，提示用户选择可以访问的目标设备和相应系统帐号，用户选择后自动登录到目标设备；

4.  支持Active-Standby的双机热备部署模式。

关键技术问题：

集中管理的一个标志就是入口唯一，如何确保SHterm系统是未来运维操作的唯一入口？

目前，行业用户普遍采用如下两种技术手段解决入口唯一问题：

u  网络限制。在交换机/防火墙上设置访问控制策略，关闭操作人员到目标设备的运维访问端口，而只开放他们到SHterm系统所需的三个加密端口；

u  密码回收。回收目标设备的账号密码，操作人员通过SHterm系统登录设备时，SHterm通过密码代填功能实现对他们有权限到达的目标设备的自动登录过程。

身份管理机制，解决身份识别

我们这样来解决使用共享账号的操作者身份无法识别的问题：在SHterm系统上为每一个操作人员都分配了唯一的用户账号，通过这种主从账号相关联的机制确保以后操作者与具体的操作过程一一对应。即哪个人员，使用设备上什么账号，做了哪些操作就能够区分和对应起来。

在这种账号管理机制下，未来维护人员的变更对目标系统将不会造成影响。当维护人员加入、离职或岗位变更时，只需要在SHterm系统上变更该用户账号的权限即可，设备上的系统账号不会受到任何影响。

关键技术问题：

    用户账号除了采用静态口令的认证方式，是否支持与其他第三方身份验证系统相整合？

    SHterm系统支持多种身份验证方式，包括AD域、Ldap、Radius、SSH密钥认证、证书认证、内置TOTP动态双因素认证等。如下图所示：

权限控制手段，确保合法访问

SHterm系统的权限控制手段包括访问权限控制和命令权限控制。其中：

配置管理员可以基于用户/用户组、设备/设备组、系统帐号、协议类型、登录规则来灵活设置访问控制规则，确保操作人员只能登陆到他有权限访问的目标资源。如下图所示：

配置管理员可以基于用户/用户组、设备/设备组、系统帐号、时间、命令、动作来设定严格的权限控制策略，确保敏感指令的有效监管和控制。命令权限策略支持黑白名单和正则表达式的部署方式。如下图所示：

关键技术问题：

针对操作人员到核心系统的登陆过程，能否进一步实现双人授权机制，授权正确才允许登录？

SHterm系统提供针对核心系统的双人授权功能，从而进一步确保操作人员对核心设备的安全访问。当配置该功能后，操作人员在尝试登录这些设备时，将弹出双人授权窗口，输入正确的授权信息后才能登录设备。如下图所示：

操作审计功能，实现操作透明

对于操作人员登录到目标设备上正在进行的操作过程，审计管理员可以在SHterm的WEB界面实时监控和阻断，实现操作过程的彻底透明化。

对于已经完成的操作过程，完整记录操作人员在目标设备上进行的Telnet、SSH、RDP、XRDP、VNC、X-Windows、Xfwd、Http、Https、FTP、SFTP、SCP等协议的所有操作行为。

针对字符操作，独有“命令精准识别”的专利技术，确保对各种常规命令操作的准确识别；

针对图形会话，除了做到标准的屏幕录像之外，还支持对图形会话过程中的鼠标点击、键盘输入等内容的深度记录和同步显示。另外录像回放过程中自动过滤静止画面，具备日志量小的特点。

关键技术问题：

完整记录是基础，快速定位是关键。当问题出现时，如何从海量日志中快速定位到关注的内容？

    SHTerm系统允许审计管理员基于时间范围、用户账号、目标设备、系统账号、会话类型等因素进行多条件组合查询。

其中，命令操作的指令和输出结果均支持关键字搜索，搜索结果关键字高亮显示；

图形会话支持以键盘输入和屏幕输出为关键字进行文本搜索，搜索结果与操作录像直接关联定位。如下图所示：

图形会话多条件组合查询，基于键盘输入的关键字搜索功能

搜索结果与操作录像直接关联定位

自动化操作是目标

自动化操作是运维操作管理的发展目标，通过这种机制，可以实现重复的、频繁的运维过程流程化、自动化的执行，从而让操作人员从繁琐的运维工作中解脱出来，做更有意义的事情。目前，SHterm系统能够实现的自动化操作机制包括：

系统账号密码的定期自动修改

网络设备配置的自动备份

Unix脚本的自动执行

统计报表自动化机制等