運維安全審計,走起!
隨著數(shù)據(jù)中心IT基礎(chǔ)設(shè)施規(guī)模的不斷擴(kuò)大,因系統(tǒng)或平臺的異構(gòu)性、運維手段的多樣性而產(chǎn)生的統(tǒng)一管理需求日益顯現(xiàn)。同時,因運維人員眾多、角色復(fù)雜、賬號共享和運維過程不透明而導(dǎo)致的運維風(fēng)險也不可忽視。
實際運維過程中,數(shù)據(jù)中心管理者一直在被以下問題困擾著:
☆管理員身份被惡意冒用,執(zhí)行非法操作,出現(xiàn)問題無法進(jìn)行身份確認(rèn)責(zé)任追查;
☆運維管理人員所管理的機器數(shù)量和帳號數(shù)量均異常眾多,往往導(dǎo)致密碼策略的實施流于形式;
☆對用戶名和密碼的授權(quán)方式不可控;
☆管理員的越權(quán)訪問、誤操作將導(dǎo)致業(yè)務(wù)系統(tǒng)工作中斷;
☆第三方代維人員在運維過程中一旦執(zhí)行危險操作或私自下載,將導(dǎo)致系統(tǒng)癱瘓和機密信息泄露;
☆事故發(fā)生后無法定位問題、追溯源由、緊急恢復(fù)和追查責(zé)任。
據(jù)統(tǒng)計,僅2011年至2012年期間,因數(shù)據(jù)中心內(nèi)部IT運維人員的誤操作或越權(quán)訪問,給數(shù)據(jù)中心管理者所帶來的損失就高達(dá)數(shù)百億元。
因此,數(shù)據(jù)中心運營管理者們,提出了以下風(fēng)險控管需求:
★解決數(shù)據(jù)中心分散的IT運維問題,提高運維管理效率;
★解決運維人員的帳號共享問題,實現(xiàn)人員與行為對應(yīng);
★解決多用戶角色密碼管理問題,提高密碼管理安全性;
★建立有效的運維監(jiān)管措施,防范潛在的運維操作風(fēng)險;
★建立完善的風(fēng)險控管體系,符合行業(yè)法規(guī)對安全需求。
針對數(shù)據(jù)中心用戶的業(yè)務(wù)需求及業(yè)務(wù)現(xiàn)狀,德訊科技提供了一套IT設(shè)施運維操作審計(堡壘主機)解決方案,采用“DCLive+ICS”聯(lián)合部署模式,為各地市級運維人員提供一個統(tǒng)一的操作平臺,突破地域、時空、時間的限制,基于WEB瀏覽器即可實現(xiàn)如字符型會話、圖形訪問、數(shù)據(jù)庫管理及其他應(yīng)用類運維操作等相關(guān)運維需求。
此外,方案為數(shù)據(jù)中心管理人員提供一個集中化的審計平臺:事中可實時監(jiān)視系統(tǒng)內(nèi)所有會話訪問與操作行為,事后第一時間可及時審查整個運維過程。該方案從技術(shù)上保障了電信行業(yè)數(shù)據(jù)中心“分布式運維操作,集中式監(jiān)控審計”的安全管理目標(biāo)。
本方案部署如圖1所示:
圖1 德訊科技運維操作審計(堡壘主機)解決方案部署圖
德訊科技IT設(shè)施運維操作審計(堡壘主機)解決方案具備以下五大部署特點:
1.利用原有網(wǎng)絡(luò)拓?fù)浼軜?gòu),安裝部署簡便,無需加裝任何客戶端代理,不影響任何業(yè)務(wù)數(shù)據(jù)流;
2.將ICS設(shè)備分布式部署于各地級市,實現(xiàn)本地化運維,獨立化操作,互不干擾;
3.部署兩臺ICS設(shè)備,共同分擔(dān)局域網(wǎng)內(nèi)并發(fā)會話的壓力,實現(xiàn)各分支網(wǎng)絡(luò)負(fù)載均衡;
4.將DCLive管理平臺部署于省級中心機房,實現(xiàn)對下級分支機構(gòu)所有運維過程的集中監(jiān)視、控制、管理與審計;
5.HA部署主備兩臺DCLive設(shè)備,以保障數(shù)據(jù)完整性以及整個系統(tǒng)的防災(zāi)恢復(fù)。
通過本方案的應(yīng)用,能夠?qū)崿F(xiàn)以下應(yīng)用價值:
一、為數(shù)據(jù)中心用戶提供了統(tǒng)一的運維平臺。
方案提供統(tǒng)一的WEB管理入口,對登陸用戶身份的合法性實施統(tǒng)一認(rèn)證;系統(tǒng)自帶字符類/圖形類/應(yīng)用類多種運維工具,無需運維客戶端即可自行安裝,避免運維過程中出現(xiàn)工具不全面,版本不兼容等問題;支持會話代理訪問通道的建立,改變原有本地客戶端直接發(fā)起會話的運維模式,實現(xiàn)對運維過程的有效監(jiān)控與審計。
二、實現(xiàn)雙人授權(quán)訪問控制,保障運維安全。
依據(jù)行業(yè)安全等級保護(hù)標(biāo)準(zhǔn),方案能夠?qū)崿F(xiàn)雙人授權(quán)訪問控制策略管理。權(quán)限范圍內(nèi)的任何一人登陸運維平臺,即使通過身份認(rèn)證,也不能獨自執(zhí)行會話操作,必須要得到策略內(nèi)另一用戶的授權(quán)。系統(tǒng)支持本地口令輸入及遠(yuǎn)程身份認(rèn)證兩種授權(quán)方式。主要通過提升授權(quán)管理的細(xì)粒度,保障核心設(shè)備、關(guān)鍵業(yè)務(wù)以及第三方運維操作的合規(guī)性、安全性。
三、提供事后全面審計,保證操作留痕。
方案提供網(wǎng)內(nèi)運維管理全生命周期的審計,即采用流媒體形式記錄運維人員登陸運維網(wǎng)關(guān)至登出運維網(wǎng)關(guān)的全過程,支持對字符、圖形、數(shù)據(jù)庫、WEB應(yīng)用等多種類型會話的全面審計。審計結(jié)果以操作日志及錄像相結(jié)合的形式呈現(xiàn),符合4W (When/Where/Who/What)原則。同時,支持錄像回放、SQL語句、關(guān)鍵字符與審計錄像關(guān)聯(lián)定位與檢索,實現(xiàn)運維操作過程的快速定位、精確跟蹤以及真實重現(xiàn),協(xié)助審計人員對非法運維操作節(jié)點的排查及故障責(zé)任的追溯,提升數(shù)據(jù)中心精細(xì)化、規(guī)范化的運維安全管理水平。
德訊科技運維操作審計(堡壘主機)解決方案在運維人員與IT設(shè)施之間設(shè)置了一道屏障,可以有效提高服務(wù)器等重要信息基礎(chǔ)架構(gòu)的安全級別,輔助對信息安全故障和安全事件的全面記錄和事后追溯定位,能夠有效幫助數(shù)據(jù)中心用戶彌補安全漏洞、完善系統(tǒng)安全防護(hù)體系,提高信息系統(tǒng)運行的安全性和事件的追溯能力。
2013年,全新的一年,全新的開始。為保障數(shù)據(jù)中心的運維安全,安全操作審計,走起!