<samp id="wauki"></samp>
<samp id="wauki"><noscript id="wauki"></noscript></samp>

2019年嘮嗑企業安全之堡壘機(二)

2019-03-11 48883人圍觀 企業安全

*本文原創作者:Mark2019,本文屬于FreeBuf原創獎勵計劃,未經許可禁止轉載

因為這段時間mark參加了一些培訓和考試,所以文章隔著么久才發第二篇,第二篇打算跟大家聊聊一些細節—————堡壘機,歡迎大家批評指正。

第一篇鏈接:傳送門

雖然做安全的大家對這個設備再熟悉不過,這里mark還是嘮叨兩句,堡壘機俗稱跳板機,安全屆的同仁也捧其為小4A,故名思義,這個設別能幫助我們實現Authentication(認證)、Account(賬號)、Authorization(授權)、Audit(審計)。在堡壘機的眾多功能中,MARK選出最有價值top5的話為:1、資產管理 2、賬號管理 3、雙因素認證 4、操作審計 5、軟件發布。

對于堡壘機,這些價值到底可以體現多大,還是看公司的需求及現狀而定,有些公司使用堡壘機只為滿足一些合規要求,比如自身行業監管對其業務系統等保三級的認證要求,用以實現等保三要求的雙因素認證和操作審計等,只為合規而合規;當然也有公司真正把這個設備物盡其用,比如每個團隊一個堡壘機,當然我們公司雖然沒夸張到一個團隊一臺,但也相對用的比較深,這里跟大家嘮嘮細節。

簡單先從堡壘機幾大核心點及對應技術上要實現的效果做羅列說明:

1、用戶賬號

一階:手動倒入堡壘機新增用戶賬號;

二階:通過Api推送新增用戶賬號;

三階:與內部統一登錄平臺或AD域對接,自動化新增和回收用戶賬號。

2、認證

一階:靜態賬號密碼認證;

二階:靜態口令+短信、靜態口令+googleauth、靜態口令+硬件key;

3、設備

一階:手動倒入目標設備;

二階:與公司內部CMDB對接,API自動同步設備。

3、權限

一階:通過郵件發起權限的申請和變更,需直接領導及相關人員審批;

二階:通過內部OA發起權限的申請和變更,需直接領導及相關人員審批(此處優勢在于便于外審、it審計等的數據提供);

補充:人員活水涉及到的權限變更,我采用的是開發腳本實時監控內部人力資源的接口,如識別到人員組織結構調整,自動化發送郵件給對應的人員進行二次權限確認。

4、系統賬號的密碼&密鑰

一階:普通用戶登錄訪問目標設備,手動輸入賬號密碼登錄;

二階:所有設備由管理員統一批量代填,并安全需求分配給對應用戶,并通過堡壘機自身密碼修改功能定期修改;

補充:此處的密碼管理員采用雙人負責,一人負責靜態密碼,一人負責綁定動態密碼,兩人共同操作密碼的備份和批量修改工作。

5、審計

一階:通過日常抽查、報表模版、命令報表等進行審計;

二階:通過api定制化開發報表,例:監控堡壘機上的所有配置變更(人員設備的增刪改茶、權限的變更)形成報表,并作可視化展現等。

6、rdpapp發布

一階:放棄此項功能;

二階:部分人員使用此項功能,但為保證效率大量圖形化操作依然通過其他方式訪問實現;

三階:全部通過此項功能訪問。

補充說明:此處并非追求盲目的一刀切,部分資源雖然部署在生產網,但因其自身安全性較高且數據價值較低,可以選擇放開網絡至允許辦公網絡直接訪問,安全組進行重點監控。

上述都是單純從技術層面做的介紹,3分技術,7分管理,可以說一切可以用技術實現的問題都不是問題,但是一旦涉及到人,就需要我們有自己的套路、打法和管理手段來搞定,也是一個項目如何建設、推廣、運營好的關鍵。

簡單跟大家聊聊我司堡壘機的建設推廣運營過程:

一、項目目標:

堡壘機作為公司員工訪問生產網的唯一途徑。

二、產品選型和測試:

挑選了全國最好的4家堡壘機廠商做部署測試,測試重點在于各個廠商對于應用發布的能力上,如何實現百人級別的圖形化并發和用戶彼此之間的數據隔離。

三、項目建設

1.現狀及需求

公司生產網存在3000臺左右機器,700人左右的用戶訪問,訪問需求包括Linux的ssh訪問,windows的rdp訪問,數據庫、相關分析平臺及管理后臺的rdpapp訪問。

2.設備部署

堡壘機雙擊HA部署,發布服務器(高內存、cpu和獨立的顯卡很重要)起虛擬化,網絡層面部署在安全管理區,只允許辦公網訪問,辦公網到機房存在單獨的物理專線。

3.需求調研&試運行

跟各個對生產網又需求的團隊人員溝通訪問生產網所需的圖形化工具,并協調公司對生產網訪問需求最復雜的團隊配合訪問測試,團隊如:IT運維團隊、安全團隊、DBA、MA、BA。訪問方式包括ssh、rdp、rdpapp。重點放在rdpapp這種圖形化工具方面,適配包括Chrome等10幾款工具。

4.分階段推廣

推廣期是最難的時候,意味著大量的人要陸續放棄使用便捷快速的openvpn變換到一個登錄麻煩、訪問受限、操作被審計的堡壘機場景,就像本來大家吃著鍋唱著歌,突然就被安全團隊給“劫”了。

劫.jpeg

那如何讓大家心甘情愿被安全組“劫”呢,方法如下:

a、準備充足,彈藥充分

提前搭建好需求調研階段用戶所需的所有環境,準備好操作手冊、操作視屏錄像、試運行階段的共識記錄等。在公司內部年會、技術總結會中站臺,分享安全已經做的和即將做的工作,由CEO、CTO等配合站臺,為以后的安全工作推廣埋下伏筆。

b、分階段推廣,先對自己人“下手”

推廣第一階段是對跟安全團隊同屬于CTO直管的所有業務技術支撐團隊,項目的第一槍必須打響,且必須有個成功案例來證明和推動后面難啃的業務方。

c、溝通、共識、協調

溝通是拉近人與人之間最快的手段,不斷與各相關團隊的PO(敏捷文化)、技術總監、VP等溝通堡壘機的意義、重要性和推廣安排,達成共識,協調本團隊人員配合提交個人訪問需求,完成堡壘機的推廣工作

d、過程和結果同樣重要

每個推廣階段都進行多次的使用培訓、問題答疑、維護駐場,一個推廣階段完成會形成總結報告群發相關人及領導告知,不僅是對工作的記錄總結,也是變相對相關人員的督促。

5.監控

在防火墻、主機防護產品中添加策略,如出現異常登錄訪問進行告警,防止個人通過非堡壘機訪問訪問生產網的相關資源。

6.運維

通過如zabbix等方式對設備進行實時監控,保證sla在4個9以上;

定期對賬號、權限、操作、日志等進行檢查,日常報告至少周報一份,正常報告至少每季度一份(外審、IT審計等都會用的上);

其他運維內容可根據公司文化自行設計,如技術中提到的定制化的可視化監控等。

四、項目制度和方案

管理層面建議有如下但不僅限于內容:

《堡壘機使用管理制度》

《堡壘機權限管理規定》

《堡壘機應急方案》截取自己寫方案中的一段內容作為分享:

如果堡壘機設備出現故障導致無法登錄時,要盡快啟動應急預案,降低對運維操作的影響。具體流程如下:

當堡壘機故障無法登錄時,需要運維人員為相關人員開通sslvpn權限,相關人員可以通過vpn直接登錄目標設備;

如運維通過堡壘機密碼托管方式訪問業務,當運維堡壘機故障無法登錄時,需要密碼保管員在第一時間將設備密碼交付給相關運維人員,運維人員憑借密碼保管員提供的密碼可以直接登錄目標設備;

OK,堡壘機的內容我們就結束了,上述內容皆為個人親力親為親感受,僅供參考,大家可能也有其他的好的方案歡迎大家留言指導和交流。后面大家想看企業安全(一)中的哪些細節內容也歡迎留言告知,事無巨細,愿為各位撰寫溝通。

*本文原創作者:Mark2019,本文屬于FreeBuf原創獎勵計劃,未經許可禁止轉載

取消
Loading...
css.php 江苏11选5网上购买