堡壘機在運維管理工作中的應用

隨著新技術的發展和應用，網絡在給人們帶來極大便捷的同時，網絡威脅也無處不在，企業信息、商業機密隨時都面臨著泄露風險，于是網絡安全已成為人們日益關注的焦點。在企業信息系統運維管理中，通過在運維人員和設備之間架設一臺堡壘機，通過堡壘機登錄目標資源，可以對用戶的真實身份和目標資源進行統一管理，并可以在一定程度上實現訪問控制。

一、應用背景

目前，隨著新技術的發展和應用，各類協同辦公系統、信息系統等給人們的工作帶來了極大的方便，極大的提升了企業的工作效率，但與此同時，網絡威脅已無處不在，企業信息、商業機密等隨時都面臨著泄露和攻擊的風險。

根據《信息安全技術——網絡安全等級保護基本要求》即等保2.0標準，我們發現在運維管理工作中我們面臨著許多風險：1）賬號管理混亂的風險：多個用戶使用同一賬號、一個用戶使用多個賬號、臨時賬號等導致難以定位賬號的實際責任人。2）粗放式權限管理的風險：缺少統一的運維操作授權策略、授權粗粒度等導致的內部操作權限濫用。3）第三方代維帶來安全隱患：代維人員流動性大、缺少行為監控導致機密數據泄漏。4）設備自身日志及傳統審計粗粒度的風險：設備自身日志分散、內容深淺不一，且傳統網絡安全審計無法審計加密協議、遠程桌面內容基本只能基于IP審計導致審計盲區。基于以上風險，可以在運維人員和目標設備之間架設一臺堡壘機。運維人員必須通過堡壘機登錄目標資源，從而統一管理用戶，對目標資源到用戶的權限映射進行管理（即授權管理）。因為運維人員的完整運維流程都是由堡壘機代理的，所以堡壘機可以通過視頻錄像的方式完整的記錄用戶運維行為的全過程，并可以在一定程度上實現訪問控制。

二、堡壘機的主要功能和部署收益

堡壘機可以進行事前規劃、事中控制和事后審計。在事前規劃過程中，其可以進行身份鑒別、訪問授權和操作授權；在事中控制過程中，其可以進行單點登錄、實時監控和告警阻斷；在事后審計過程中，其可提供檢索、報表和回放功能。部署堡壘機之后，可以降低管理成本、簡化操作流程、減輕管理壓力、符合訪問安全，并使其符合安全規范。

三、堡壘機的部署方式和規劃

（一）堡壘機的部署方式

對于資源相對集中的用戶（多數設備在同一區域內），堡壘主機通常與被管理設備部署在同一區域，訪問控制策略設定在該區域接入交換機（或防火墻）上。對于用戶資源相對比較分散，分布在各區域內的用戶，通常將堡壘主機部署在核心交換機上，便于訪問網絡中各個位置。訪問控制策略設定在核心交換機（或防火墻）以及各區域的接入交換機（或防火墻上）。堡壘機部署架構圖如圖1所示。

其中，核心組件CORE是Jumpserver堡壘機的管理后臺，Luna是Web Terminal前端，用戶通過Luna界面登錄資產，KoKo組件支持以SSH和telnet協議連接資產，Lion組件支持以RDP和VNC協議的方式連接資產，OmniDB組件用來登錄數據庫資產，Magnus組件為本地數據庫客戶端連接數據庫提供支持，RDP組件為本地RDP客戶端連接資產提供支持。

（二）部署資源規劃與準備

以JumpServer堡壘機V3.8為例，首先要進行部署服務器準備、服務器端口開通準備和平臺登錄信息規劃，部署資源準備完成后并將該堡壘機接入到核心交換機上。其中部署服務器分為主節點服務器和應用發布服務器，按照使用需求準備硬件、軟件配置匹配的服務器資源。然后進行相應服務器端口開通，包括遠程訪問、http連接、RDP客戶端連接、Redis服務端口等，如2222、22、80、443、3389、6379等。平臺登錄信息規劃包括Web界面登陸和服務器登錄的地址、用戶名和密碼。

四、堡壘機的功能性測試

將堡壘機接入到核心交換機上之后，便可以通過網頁對被管理設備進行管理，在使用堡壘機前，需要對控制臺、審計臺、工作臺、工單管理和系統管理等五個部分的功能測試進行測試，從而對運維風險的控制能力進行評估。

（1） 控制臺部分功能測試。控制臺部分包括用戶管理、資產管理、賬號管理和權限管理，其中用戶管理主要是為了創建本地用戶，對用戶進行分組、角色分配等。資產管理是對自動化系統涉及的主機、網絡設備進行靈活管理。賬號管理是為了對賬號進行托管、切換、推送、備份、改密等。權限管理主要是為了對資產進行授權、登陸和對高危命令進行攔截及復核等。

（2） 審計臺部分功能測試。審計臺部分包括會話審計和日志審計，其中會話審計是為了便于審計管理員能夠對用戶的各項操作進行管理。日志審計是為了審計管理員能夠對用戶的登陸、操作、改密和作業等所產生的日志進行查看。

（3） 工作臺部分功能測試。工作臺部分包括資產連接和作業中心兩部分，其中資產連接是為了以可視化的方式為用戶展現可訪問的信息資產并通過瀏覽器、客戶端和web等方式訪問資產，并支持快速訪問、多人協同等功能。作業中心是為了對用戶需要進行的操作進行快捷、多批量和模板化的執行并記錄執行歷史。

（4） 工單管理功能測試。工單管理是為了方便用戶對資產的操作權限進行申請、審批及遠程審批等。

（5） 系統管理功能測試。系統管理部分包括登錄認證設置、消息訂閱、終端設置、遠程應用、組織管理、安全策略和通用配置七個部分。其中認證設置是為了滿足不同的安全需求對單點登錄、多因子認證登錄及掃碼登陸進行設置。消息訂閱是為了對系統所產生的消息以多種方式進行通知。終端設置是為了對組件進行控制和對錄像及命令進行存儲。組織管理是為了對不同部門和業務組建不同的組織，從而實現用戶、資產和權限的物理隔離。安全策略是為了滿足不同的安全需求對會話進行管理和對登錄規則進行限制，包括會話空閑超時管理、會話水印管理、組合登錄認證、異地登陸保護、用戶登錄限制及密碼規則。通用配置包括分布式策略、系統公告板、日志清理策略和自定義界面等基本的設置項。

五、結語

在運維工作中，接入堡壘機并通過堡壘機登錄目標資源，可以對用戶的真實身份和目標資源進行統一管理，并可以在一定程度上實現訪問控制。此方法可以降低運維風險，從而進一步提高網絡安全。

作者單位：北京無線電計量測試研究所