堡壘機如何應對云計算和自動化運維的挑戰
原創如今互聯網時代說到安全防護,特別是在web應用安全、數據安全、審計、安全合規、安全評估等方面,企業現在主要關注的是堡壘機和云計算安全方面的工作。
為了更好的分析堡壘機和云計算,首先要了解什么是堡壘機?
簡單的說堡壘機是針對企業的運維人員、開發人員,還有企業所管理的設備,就是我們所謂的服務器、網絡設備、安全設備對他們的操作過程或者行為進行管理、控制和審計的工作。這個方面包括很多的內容。
比如說數據庫、RDS也好,包括一些虛機,包括物理服務器、網絡設備,就是要被管理的設備。那企業在做運維的時候,企業是要經常對系統進行調試,或者要登錄系統內部進行開發或者進行調試,那這個過程的話,是有一定的風險的,可能會導致數據的泄漏。那堡壘機的話,那就是架在運維人員和開發人員的中間,實現對這類人員的登陸服務器之前一個身份的核實和認證,然后對權限進行控制。也就是說登陸了堡壘機之后,才能執行什么命令,堡壘機是有控制的,不允許關機,或者不允許去刪除某個文件,堡壘機是可以進行控制。甚至它同樣還能夠控制到,個人進到堡壘機之后,能登陸哪幾臺服務器。或者是能登陸這個服務器里面的哪個賬號或者是哪個協議,它是能做這樣層次的控制的。
只有經過堡壘機合法授權的,才能夠登錄到服務器,否則行為就會被堡壘機所阻斷。這大概就是一個堡壘機的功能。以前登陸服務器的時候,直接就是SH或者RDB直接連接過去了,現在不行,必須先登錄到登陸機,然后在堡壘機里面才會看到有權限的設備,然后再進行操作,而且整個操作過程會被錄像下來。這是堡壘機控制的一個簡單的介紹。
云計算會對堡壘機的部署或者是實施會帶來什么問題?
云上的運維風險更高了。
企業在云上最近做了很多的一些工作、一些項目,企業會發現,跟很多用戶聊完之后,業務系統在云上的時候,客戶對堡壘機的需求非常大。為什么?后面聊完之后,大家可以很清楚的知道,就是它做攻擊的,一旦業務系統在云上,受攻擊的可能性會更高一些。特別是運維環境會帶來一些新的風險。
企業要做運維時,可能需要把企業的云服務器,公共IP或者是某個端口開放出來,讓維護人員進入,但另一方面可能企業的外包人員在這期間連接服務器,就可以把一些敏感的數據導出,甚至可以上傳一些木馬。這樣的話,以后的話哪怕企業更改了密碼,病毒也可以控制系統。這樣的話,企業的計算機病毒來源方可以隨時登陸,隨時去拿企業的數據,這是一種很典型的場景,也是很多系統上了云之后,企業最怕的一個點。
實際現在市場,就是在云上,就是堡壘機的話,基本上是成為一個必備的安全管理工具。現在目前,在阿里云上,包括在騰訊云上面,可以看到他們都有一個云安全市場。可以看到銷量排行前幾的,基本上是堡壘機、VPN或者是防火墻這種產品。也就是說現在堡壘機這塊,在云上的必要性還是比較高的。布了堡壘機的作用,它要達到的目的,所有的運維都必須經過堡壘機。布了堡壘機之后,所有的服務器端口就不需要對外開放了,只需要對允許堡壘機能夠防范這些端口就可以了,然后再把堡壘機對外放在企業公司,允許公司的人訪問就可以了。
部署堡壘機之后,堡壘機反而成為第一個攻擊目標了。堡壘機反而成為企業最重要的一個風險點,這又是云上的一個比較重要的變化,因為企業的運維,像以前堡壘機都放在自己內網里面的,它不會對外開放,所以說它就不存在,就不會擔心堡壘機被人攻陷或者怎么樣的,一般都不會有這個顧慮。但是放在云上的時候,就不能把堡壘機的公共IP開放出來,因為企業的人也是移動辦公或者怎么樣,到處要連到堡壘機里面。如果企業這個堡壘機被開放了之后,黑客會攻擊企業的堡壘機。但是黑客想入侵系統,必須要拿到服務器IP或者賬號、密碼這類信息才能進去并且黑客即使通過某臺機子入到內網,但不知道哪臺機子是干嘛的,所以偷企業的數據是很困難的事情。
堡壘機之后,這種東西就變得很簡單了。因為堡壘機它要去幫企業維護安全,它里面實際上可能會存儲了企業所有的服務器的IP地址信息、賬號信息,甚至包括個人的密碼信息,都在里面。所以說把堡壘機拿下之后,企業任何的服務器都是暢通無阻的,這是第一個。堡壘機里面,為了做管理,可能把某個服務器的功能都已經做了標識,這個是做財務系統的,這個是做客戶管理系統的,這個是做網站的,都會分好,不同的服務器歸類歸好。黑客就會利用這樣的信息,很精準的就找到數據,沒有辦法讓他走。所以這一塊也是在云上之后布的一個很重要的特點,以前可能沒那么重要,現在這個問題變得越來越突出了。因為本身堡壘機它自己可能就有漏洞,它也是個系統,它本身自己就有漏洞。那它有漏洞的情況之下,就會被人利用,他就直接入侵,利用企業的邏輯漏洞,直接進到企業堡壘里面。
那么堡壘機的安全到底該怎么保障呢?這個地方,這是一個比較空的,但是也是大家要考慮的,就是大家在選擇部署堡壘機的時候,大家一定要選擇至少在堡壘機廠家的安全經驗這一塊是要有的,不要是一個完全沒有安全經驗的廠家去做堡壘機,這個肯定是有風險的,風險更大一些。同時它也可以在烏云上面,或者是在補天漏洞平臺上面,哪些堡壘機的安全性相對出的事故比較多一些,這個可以做一個參考。
當然更多的是堡壘機的一些安全策略的問題,所以說企業如果去部署堡壘機之后,企業一定要重點把它當做保護對象,做一些規則測試。首先比如說通信的加密,那在選擇的時候,運維人員的PC機連到堡壘機的過程,檢查鏈路是不是全部加密的。還有就是密碼策略,因為剛剛講到過堡壘機有賬號體系,它的密碼會被人爆的,所以要保證這個堡壘機賬號是安全可靠的。還可以做一些端口的變形,讓其他人沒有那么容易識別掃除它是堡壘機,或者它所開放的端口。還可以做一些ERP的限制等等。這個是實際需要在云上去做的一些必須考慮的一點。
自動化運維
自動化運維也是大家可能很熟悉的一個點。那么自動化運維到底會帶來什么風險呢?其中一個很重要的方面,一般布了堡壘機之后,自動運維就干不了了。可能部分自動化運維就沒法做了。在沒有堡壘機的情況下企業是一個自動化服務器,可以直接連接所有的服務器,但是部署了堡壘機之后,堡壘機禁止掉了自動化服務器的鏈接,必須手動選擇要登錄的服務器,這是很多互聯網公司遇到的問題。
現在為了解決這個問題,建議在堡壘機里面做了一層SH的網關代理。可以通過第三方信息的傳遞去鏈接服務器。但并不是所有的堡壘機都可以完美的契合這一項,企業在選擇堡壘機時要考慮自動化的運用驗證。
