有一句名言:堡垒往往从内部攻破。在信息化社会,信息安全发展的进程,已经清晰地印证了这个道理。
如何加固组织机构内部网络的“内防体系”,有效防范打击“内鬼”,杜绝因为内部隐患而导致的信息遭窃密、数据被篡改、系统被破坏等严重后果,成为近年内国际信息安全业界在内网安全领域的新课题。
数据内控,也自然成为整个行业市场发展的大趋势之一。随着信息化程度的一日千里,信息数据日益成为各企事业组织机构的核心资产,利益的驱使下,各种信息数据失窃密、重要系统服务器运行遭破坏等事件飞速增长。在这样日益严峻的情况下,如何保护好存储了企业全部核心机密的系统后台设备,尤其是如何更好地防范与审计内部管理人员对这些设备的访问和操作,成为眼下内部网络信息安全和数据内控最根本的环节。
近年来,就是在这样的时代呼唤下,堡垒机(也称堡垒主机)技术,成为国际内网安全研究前沿迅速崛起的“新星”,相关系列产品更成为大型机构组织用户内网安全“标配”采购产品,据不完全统计,截至当前,全球500强企业,有近95%已经采购了相应堡垒机技术和设备,对内网安全进行加固。可以想见,在随着信息化的深入,中小型企业内网安全用户对堡垒机技术和产品的需求,也必将是大势所趋。
鉴于此,本文特地摘选编译相关国外资料,并采访国内知名企业的技术专家,从技术原理、功能透视的角度,为国内读者概要介绍堡垒机技术内涵全貌和发展趋势,为不熟悉的读者一揭堡垒机技术那层神秘的面纱。
概述:六大功能构筑内网堡垒
从国际信息安全业界通行称谓上看,所谓堡垒机,其全称为“内控堡垒主机”,其从功能上讲,它综合了核心系统运维和安全审计管控两大主干功能,从技术实现上讲,堡垒机通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问。形象地说,终端计算机对目标的访问,均需要经过堡垒主机的翻译。打了一个比方,内控堡垒主机扮演着看门者的工作,所有对网络设备和服务器的请求都要从这扇大门经过。因此堡垒机能够拦截非法访问,和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为。
堡垒机技术主要帮助内网信息系统管理者,实现六大方面智能化支撑和高安全性防护,这六方面的功能,也成为国际通行的堡垒机“标配”功能。其包括:单点登录、帐号管理、身份认证、资源授权、访问控制、操作审计。
第一基本功能——单点登录。
内控堡垒主机提供了基于B/S的单点登录系统,用户通过一次登录系统后,就可以无需认证的访问包括被授权的多种基于B/S和C/S的应用系统。单点登录为具有多帐号的用户提供了方便快捷的访问途经,使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高生产效率。同时,由于系统自身是采用强认证的系统,从而提高了用户认证环节的安全性。 单点登录可以实现与用户授权管理的无缝连接,这样可以通过对用户、角色、行为和资源的授权,增加对资源的保护,和对用户行为的监控及审计。
第二基本功能——帐号管理。
集中帐号管理包含对所有服务器、网络设备帐号的集中管理。帐号和资源的集中管理是集中授权、认证和审计的基础。集中帐号管理可以完成对帐号整个生命周期的监控和管理,而且还降低了企业管理大量用户帐号的难度和工作量。同时,通过统一的管理还能够发现帐号中存在的安全隐患,并且制定统一的、标准的用户帐号安全策略。 通过建立集中帐号管理,企业可以实现将帐号与具体的自然人相关联。通过这种关联,可以实现多级的用户管理和细粒度的用户授权。而且,还可以实现针对自然人的行为审计,以满足审计的需要。
第三基本功能——身份认证。
内控堡垒主机为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理,而且能够采用更加安全的认证模式,提高认证的安全性和可靠性。集中身份认证提供静态密码、Windows NT域、Windows Kerberos、双因素、一次性口令和生物特征等多种认证方式,而且系统具有灵活的定制接口,可以方便的与其它第三方认证服务器之间结合。
第四基本功能——资源授权。
内控堡垒主机系统提供统一的界面,对用户、角色及行为和资源进行授权,以达到对权限的细粒度控制,最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S、C/S对服务器主机、网络设备的访问进行审计和阻断。在集中访问授权里强调的“集中”是逻辑上的集中,而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能,管理员也由各自的归口管理部门委派,但是这些管理员在极地银河内控堡垒主机系统上,可以对各自的管理对象进行授权,而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权,对某些应用还可以限制用户的操作,以及在什么时间进行操作这样应用内部的细粒度授权。
第五基本功能——访问控制。
内控堡垒主机系统能够提供细粒度的访问控制,最大限度保护用户资源的安全。细粒度的命令策略是命令的集合,可以是一组可执行命令,也可以是一组非可执行的命令,该命令集合用来分配给具体的用户,来限制其系统行为,管理员会根据其自身的角色为其指定相应的控制策略来限定用户。访问控制策略是保护系统安全性的重要环节,制定良好的访问策略能够更好的提高系统的安全性。
第六基本功能——操作审计。
操作审计管理主要审计人员的帐号使用(登录、资源访问)情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的帐号、资源进行标识后,操作审计能更好地对帐号的完整使用过程进行追踪。内控堡垒主机系统通过系统自身的用户认证系统、用户授权系统,以及访问控制等详细记录整个会话过程中用户的全部行为日志。还可以将产生的日志传送给第三方产品。
在这些主干功能构筑的强大安全体系下,堡垒机技术比较完美地实现了对系统用户管理、对内网操作审计、对网络设备管理和对黑客行为防范等大型内网用户的迫切信息安全需求,逐步成为当前重要内网信息化管理部门的高效助手和钢铁卫士。
前瞻:堡垒机性能标杆十大趋势
随着行业信息化水平提升,各种新的系统设备和应用的飞速发展,使得堡垒机在各种复杂内网中的广泛应用过程中,不同的行业用户,对堡垒机技术和产品提出了很多功性能、适用性,甚至行业个性化等多种问题研究和实际需求。
这些问题和需求,也成为堡垒机行业技术发展的航标和趋势,根据国内堡垒机技术联合实验室,对2011年国内堡垒机市场的行业用户跟踪调研报告,以及记者对国内知名的堡垒机技术品牌企业的研发方向调研总结出以下十个当前用户迫切关注和需求的堡垒机技术性能,当然,毫无疑问这也是堡垒机未来技术发展趋势之所在。
趋势一:稳定高成熟性和安全性。
作为内网安全核心控制台的堡垒机,其本身的成熟稳定和安全性,不仅影响自身的性能,更对整个内网安全产生重大影响。因此,在系统的开发研制中,新一代堡垒机应当采用成熟的先进技术,对系统的关键技术在前期的工作中进行了大量实验和攻关及原型建立,在已开发并经广泛测试的产品中,上述的关键技术问题已解决。而且,选取的硬件平台和软件平台,是具有良好的技术支持和发展前途的成熟产品。系统运用了先进的加密、过滤、备份、数字签名与身份认证、权限管理等安全手段,建立健全的系统安全机制,保证了用户的合法性和数据不被非法盗取,从而保证产品的安全性。
趋势二:拓展良好的可扩展性。
未来数据内控堡垒机技术提供最便捷的4A项目集成方案。在程序结构上充分考虑到4A项目和非4A项目的使用场景,以先进的体系结构,清晰合理的模块划分实现多种用户场景的适用性。在4A项目中,新一代数据内控堡垒机放弃账号、认证、授权的集中管理,只提供执行单元,完成访问控制和操作审计功能;在非4A项目中堡垒机创新技术将4A的一些理念融合到数据内控堡垒机产品中,除提供基础的访问控制和操作审计功能外,还提供精简的账号、认证、授权集中管理功能。
趋势三:夯实全面的信息系统和数据监控及访问控制功能。
新一代数据内控堡垒机除了对服务器和数据库的监控,还能控制和管理交换换机、路由器,?防止假冒网络地址的窃取行为。在日常运行中,堡垒机能够提供细粒度的智能访问控制,最大限度保护用户资源的安全。细粒度的命令策略是命令的集合,可以是一组可执行命令,也可以是一组非可执行的命令,该命令集合用来分配给具体的用户,来限制其系统行为,管理员会根据其自身的角色为其指定相应的控制策略来限定用户。
趋势四:加强智能而强大的审计功能。
新一代数据内控堡垒机监控的都是人工操作, 也就是所以非正常操作都被监控, 不会有冗余的无效日志(数据库审计的冗余日志多大每天几万条)。同时,堡垒机精确记录用户操作时间。审计结果支持多种展现方式,让操作得以完整还原。审计结果可以录像回放,支持调节播放速度,并且回放过程中支持前后拖拽,方便快速定位问题操作。方便的审计查询功能,能够一次查询多条指令。
趋势五:实现绿色部署迅速上线,使用简单,适应各种应用。
新一代堡垒主机操作简单,不用设置复杂策略。尤其是对于操作不熟练的领导来说,只要分配下属的权限和看审计日志就行了。不增加操作和维护的复杂度,不改变用户的使用习惯,不影响被管理设备的运行。统一操作入口,统一登录界面,管理员和操作员都使用WEB方式操作,操作简单。可对所有UNIX类服务器、LINUX类服务器、Windows类服务器、网络\安全等重要设备的进行统一操作管理。统一运维工具,不需要用户安装SSHClient、Neteam、SecureCRT等运维工具,即可采用RDP、Telnet、FTP、SSH等常用运维方式对被管资源进行操作。物理旁路部署,不需要在被管理设备上安装代理程序;不改变原有的网络拓扑结构,不更改用户网络设备上的配置,不影响任何业务数据流,几分钟就可以部署完毕。
趋势六:确保运维命令的实时审计和拦截控制。
对于普通用户登录到目标设备上正在进行的操作,审计管理员可以通过极地数据内控堡垒机的WEB界面做到实时监控,做到边操作边审计,真正实现实现操作透明;同时对于用户的违规操作,审计管理员还可以做到实时切断。(相比传统的并行网络侦听审计而言)
趋势七:有效增强加密协议审计。
新一代数据内控堡垒机应当支持对SSH、SFTP等加密类协议,以及RDP、VNC、X11等图形协议进行全面审计。可以记录操作命令、操作过程中的键盘事件,同时可以对操作过程进行实时监控、录像、回放。
趋势八:丰富智能运维脚本等智能化操控功能。
堡垒机的各种操作,还是以一条一条功能性操作为主,据极地-北邮堡垒机实验室专家告诉记者,未来堡垒机的趋势之一,便是各种操控功能的智能化深度发展。以国内领先的JD-FORT堡垒机的智能运维脚本功能为例,IT运维常用的指令的集合,可以编写成脚本的形式,由堡垒主机定时自动执行。代维人员或者厂家人员,以前是需要授权他们操作设备的。现在可以改为由他们提交操作脚本,由业主单位的管理人员审核后付诸实施。对于基层操作人员和实习人员,也可以改为提交脚本,由领导审核后再提交运行。另外,包括运维工作站的安全自动检测、文件共享的智能动态管理等新的功能技术,也已经在一些业内领先的堡垒机产品上得到实现,帮助用户更智能、更便捷、更安全地进行内网设备系统的防护。
趋势九:提升单点登录等便捷功能。
由于信息化发展一日千里,对于大型企业内网来说,各种系统、设备和应用大量增长,因此,要便于堡垒机对核心系统和数据库的统一管理和防护,堡垒机的单点登录功能是其未来发展的瓶颈之一。目前的单点登录产品主要针对C/S、B/S应用系统、网络设备、主机操作系统做审计、控制,但对公用的资源没有做相应的审计、控制。未来新版内控堡垒主机支持对共享文件、文件夹、共享光驱进行单点登录,并做资源的访问审计,支持对共享打印机进行单点登录,并做打印审计。同时,一般内控堡垒主机的单点登录功能目前只能在硬件或者操作系统的使用上做控制、审计,不能针对远程主机上的某种程序做单点登录。未来的内控堡垒主机可以对远程主机上的某个软件进行单点登录,从而实现该程序的应用虚拟化。
趋势十:实现真正意义的智能负载均衡。
未来日益复杂的内网系统,需要内控堡垒主机支持分布部署,支持在运维管理过程中,实现对运维管理的负载均衡。在运维管理大型网络时,当被管资源数量巨大,网络数据链路较为集中的情况下,为了使运维管理不影响正常业务的资源访问,未来内控堡垒主机提供了“分布部署,集中管理”的负载均衡模式,对当前的运维管理所需的网络资源占用进行智能化分配调度。
解剖:堡垒机核心技术原理大透视
堡垒机产品,是多种网络信息技术糅合交叉而协调整合形成的。可以讲,堡垒机技术是一个看似简单,其实复杂而精细的系统技术群集。
如果从主干技术原理的角度概述的话,目前主流的内控堡垒机所应用的主要技术种类包括:逻辑命令自动识别技术、分布式处理技术、图形协议代理、多进程/线程与同步技术、数据加密技术等。下面摘其一二概要简述浅析之。
其中,逻辑命令自动识别技术是指自动识别当前操作终端,对当前终端的输入输出进行控制,组合输入输出流,自动识别逻辑语义命令。系统会根据输入输出上下文,确定逻辑命令编辑过程,进而自动捕获出用户使用的逻辑命令。该项技术解决了逻辑命令自动捕获功能,在传统键盘捕获与控制领域取得新的突破,可以更加准确的控制用户意图。该技术能自动识别命令状态和编辑状态以及私有工作状态,准确捕获逻辑命令。
分布式处理技术是指内控堡垒主机采用分布式处理架构进行处理,启用命令捕获引擎机制,通过策略服务器完成策略审计,通过日志服务器存储操作审计日志,并通过实时监视中心,实时察看用户在服务器上行为。这种分体式设计有利于策略的正确执行和操作记录日志的安全。同时,各组件之间采用安全连接进行通信,防止策略和日志被篡改。各组件可以独立工作,可以分布于不同的服务器上,亦可所有组件安装于一台服务器。
正则表达式匹配技术是指内控堡垒主机采用正则表达式匹配技术,将正则表达式组合入树型可遗传策略结构,实现控制命令的自动匹配与控制。树型可遗传策略适合现代企业事业架构,对于服务器的分层分级管理与控制,相当有用。
图形协议代理是指为了对图形终端操作行为进行审计和监控,内控堡垒主机对图形终端使用的协议进行代理,实现多平台的多种图形终端操作的审计,例如Windows平台的RDP方式图形终端操作,Linux/Unix平台的XWindow方式图形终端操作。
多进程/线程与同步技术是指内控堡垒主机主体采用多进程/线程技术实现,利用独特的通信和数据同步技术,准确控制程序行为。多进程/线程方式逻辑处理准确,事务处理不会发生干扰,这有利于保证系统的稳定性、健壮性。
数据加密功能是指内控堡垒主机在处理用户数据时都采用相应的数据加密技术来保护用户通信的安全性和数据的完整性。防止恶意用户截获和篡改数据。充分保护用户在操作过程中不被恶意破坏。
