堡壘機如何應對云計算和自動化運維的挑戰(zhàn)
原創(chuàng)如今互聯(lián)網(wǎng)時代說到安全防護,特別是在web應用安全、數(shù)據(jù)安全、審計、安全合規(guī)、安全評估等方面,企業(yè)現(xiàn)在主要關注的是堡壘機和云計算安全方面的工作。
為了更好的分析堡壘機和云計算,首先要了解什么是堡壘機?
簡單的說堡壘機是針對企業(yè)的運維人員、開發(fā)人員,還有企業(yè)所管理的設備,就是我們所謂的服務器、網(wǎng)絡設備、安全設備對他們的操作過程或者行為進行管理、控制和審計的工作。這個方面包括很多的內(nèi)容。
比如說數(shù)據(jù)庫、RDS也好,包括一些虛機,包括物理服務器、網(wǎng)絡設備,就是要被管理的設備。那企業(yè)在做運維的時候,企業(yè)是要經(jīng)常對系統(tǒng)進行調(diào)試,或者要登錄系統(tǒng)內(nèi)部進行開發(fā)或者進行調(diào)試,那這個過程的話,是有一定的風險的,可能會導致數(shù)據(jù)的泄漏。那堡壘機的話,那就是架在運維人員和開發(fā)人員的中間,實現(xiàn)對這類人員的登陸服務器之前一個身份的核實和認證,然后對權限進行控制。也就是說登陸了堡壘機之后,才能執(zhí)行什么命令,堡壘機是有控制的,不允許關機,或者不允許去刪除某個文件,堡壘機是可以進行控制。甚至它同樣還能夠控制到,個人進到堡壘機之后,能登陸哪幾臺服務器。或者是能登陸這個服務器里面的哪個賬號或者是哪個協(xié)議,它是能做這樣層次的控制的。
只有經(jīng)過堡壘機合法授權的,才能夠登錄到服務器,否則行為就會被堡壘機所阻斷。這大概就是一個堡壘機的功能。以前登陸服務器的時候,直接就是SH或者RDB直接連接過去了,現(xiàn)在不行,必須先登錄到登陸機,然后在堡壘機里面才會看到有權限的設備,然后再進行操作,而且整個操作過程會被錄像下來。這是堡壘機控制的一個簡單的介紹。
云計算會對堡壘機的部署或者是實施會帶來什么問題?
云上的運維風險更高了。
企業(yè)在云上最近做了很多的一些工作、一些項目,企業(yè)會發(fā)現(xiàn),跟很多用戶聊完之后,業(yè)務系統(tǒng)在云上的時候,客戶對堡壘機的需求非常大。為什么?后面聊完之后,大家可以很清楚的知道,就是它做攻擊的,一旦業(yè)務系統(tǒng)在云上,受攻擊的可能性會更高一些。特別是運維環(huán)境會帶來一些新的風險。
企業(yè)要做運維時,可能需要把企業(yè)的云服務器,公共IP或者是某個端口開放出來,讓維護人員進入,但另一方面可能企業(yè)的外包人員在這期間連接服務器,就可以把一些敏感的數(shù)據(jù)導出,甚至可以上傳一些木馬。這樣的話,以后的話哪怕企業(yè)更改了密碼,病毒也可以控制系統(tǒng)。這樣的話,企業(yè)的計算機病毒來源方可以隨時登陸,隨時去拿企業(yè)的數(shù)據(jù),這是一種很典型的場景,也是很多系統(tǒng)上了云之后,企業(yè)最怕的一個點。
實際現(xiàn)在市場,就是在云上,就是堡壘機的話,基本上是成為一個必備的安全管理工具?,F(xiàn)在目前,在阿里云上,包括在騰訊云上面,可以看到他們都有一個云安全市場。可以看到銷量排行前幾的,基本上是堡壘機、VPN或者是防火墻這種產(chǎn)品。也就是說現(xiàn)在堡壘機這塊,在云上的必要性還是比較高的。布了堡壘機的作用,它要達到的目的,所有的運維都必須經(jīng)過堡壘機。布了堡壘機之后,所有的服務器端口就不需要對外開放了,只需要對允許堡壘機能夠防范這些端口就可以了,然后再把堡壘機對外放在企業(yè)公司,允許公司的人訪問就可以了。
部署堡壘機之后,堡壘機反而成為第一個攻擊目標了。堡壘機反而成為企業(yè)最重要的一個風險點,這又是云上的一個比較重要的變化,因為企業(yè)的運維,像以前堡壘機都放在自己內(nèi)網(wǎng)里面的,它不會對外開放,所以說它就不存在,就不會擔心堡壘機被人攻陷或者怎么樣的,一般都不會有這個顧慮。但是放在云上的時候,就不能把堡壘機的公共IP開放出來,因為企業(yè)的人也是移動辦公或者怎么樣,到處要連到堡壘機里面。如果企業(yè)這個堡壘機被開放了之后,黑客會攻擊企業(yè)的堡壘機。但是黑客想入侵系統(tǒng),必須要拿到服務器IP或者賬號、密碼這類信息才能進去并且黑客即使通過某臺機子入到內(nèi)網(wǎng),但不知道哪臺機子是干嘛的,所以偷企業(yè)的數(shù)據(jù)是很困難的事情。
堡壘機之后,這種東西就變得很簡單了。因為堡壘機它要去幫企業(yè)維護安全,它里面實際上可能會存儲了企業(yè)所有的服務器的IP地址信息、賬號信息,甚至包括個人的密碼信息,都在里面。所以說把堡壘機拿下之后,企業(yè)任何的服務器都是暢通無阻的,這是第一個。堡壘機里面,為了做管理,可能把某個服務器的功能都已經(jīng)做了標識,這個是做財務系統(tǒng)的,這個是做客戶管理系統(tǒng)的,這個是做網(wǎng)站的,都會分好,不同的服務器歸類歸好。黑客就會利用這樣的信息,很精準的就找到數(shù)據(jù),沒有辦法讓他走。所以這一塊也是在云上之后布的一個很重要的特點,以前可能沒那么重要,現(xiàn)在這個問題變得越來越突出了。因為本身堡壘機它自己可能就有漏洞,它也是個系統(tǒng),它本身自己就有漏洞。那它有漏洞的情況之下,就會被人利用,他就直接入侵,利用企業(yè)的邏輯漏洞,直接進到企業(yè)堡壘里面。
那么堡壘機的安全到底該怎么保障呢?這個地方,這是一個比較空的,但是也是大家要考慮的,就是大家在選擇部署堡壘機的時候,大家一定要選擇至少在堡壘機廠家的安全經(jīng)驗這一塊是要有的,不要是一個完全沒有安全經(jīng)驗的廠家去做堡壘機,這個肯定是有風險的,風險更大一些。同時它也可以在烏云上面,或者是在補天漏洞平臺上面,哪些堡壘機的安全性相對出的事故比較多一些,這個可以做一個參考。
當然更多的是堡壘機的一些安全策略的問題,所以說企業(yè)如果去部署堡壘機之后,企業(yè)一定要重點把它當做保護對象,做一些規(guī)則測試。首先比如說通信的加密,那在選擇的時候,運維人員的PC機連到堡壘機的過程,檢查鏈路是不是全部加密的。還有就是密碼策略,因為剛剛講到過堡壘機有賬號體系,它的密碼會被人爆的,所以要保證這個堡壘機賬號是安全可靠的。還可以做一些端口的變形,讓其他人沒有那么容易識別掃除它是堡壘機,或者它所開放的端口。還可以做一些ERP的限制等等。這個是實際需要在云上去做的一些必須考慮的一點。
自動化運維
自動化運維也是大家可能很熟悉的一個點。那么自動化運維到底會帶來什么風險呢?其中一個很重要的方面,一般布了堡壘機之后,自動運維就干不了了??赡懿糠肿詣踊\維就沒法做了。在沒有堡壘機的情況下企業(yè)是一個自動化服務器,可以直接連接所有的服務器,但是部署了堡壘機之后,堡壘機禁止掉了自動化服務器的鏈接,必須手動選擇要登錄的服務器,這是很多互聯(lián)網(wǎng)公司遇到的問題。
現(xiàn)在為了解決這個問題,建議在堡壘機里面做了一層SH的網(wǎng)關代理??梢酝ㄟ^第三方信息的傳遞去鏈接服務器。但并不是所有的堡壘機都可以完美的契合這一項,企業(yè)在選擇堡壘機時要考慮自動化的運用驗證。