当前,随着企业内网信息化水平的提升,作为对企业内网系统核心设备提供高审计的保护,和对企业内部信息系统高权限人员提供高效率辅助的内网安全产品,内控堡垒主机(以下简称:“堡垒机”)日益成为内网安全市场的“香饽饽”。
复杂严格而又迫切的用户需求,促进了内控堡垒主机技术高速更新换代、完善升级,也缔造了堡垒机“井喷”的市场。由此也催生出一大批国内优秀的堡垒机品牌明星产品,例如,方正安全、绿盟科技、极地安全等研发的堡垒机,便是其中的“佼佼者”,代表了目前国内最高水平,并且在某些技术参数上,已经成为国际领先的产品。
那么,当前堡垒机最新的技术创新趋势有哪些呢?在近日举行的RSA国际安全论坛现场,多位专家及用户代表进行了热烈的讨论,归纳出满足未来需求的新一代堡垒六大功能发展趋势和七个领域的主流技术。
堡垒机六大功能趋势
功能趋势一,堡垒机自身的应用成熟度和安全性。
堡垒主机,又常被具体称为“内控堡垒主机”,它综合了运维管理和安全性的融合,切断了终端计算机对网络和服务器资源的直接访问,而是采用协议代理的方式,接管了终端计算机对网络和服务器的访问。因此,堡垒机的基本功能就是单点登录、账号管理、账号认证、资源授权、访问管理,运维审计等,这些标准功能的应用便捷程度,以及堡垒机自身的安全性,将是堡垒机产品当前及未来竞争的核心。以国内最早开始堡垒机技术产品研发的安全公司极地安全为例,极地安全一直专注于企业内网系统安全,其研发的极地内控堡垒主机脱胎于国内最早的4A项目:黑龙江移动运维支撑平台集中身份和认证管理系统。并在中国移动的全国范围做了多年的部署实施,对于运营商的实际需求满足充分。研发过程中,极地堡垒机技术团队严格按照中国移动通信企业标准QB-W-002-2005《中国移动支撑系统集中账号管理、认证、授权与审计(4A)技术要求 》的要求开发完成。在运营商行业有长达6年的使用实践,最多管理省级运维网络高达3000多台设备,性能卓越。同时,极地内控堡垒主机系统运用了先进的加密、过滤、备份、数字签名与身份认证、权限管理等安全手段,建立健全的系统安全机制,保证了用户的合法性和数据不被非法盗取,从而保证产品的安全性。古诗有云,千锤百炼出深山,烈火焚烧若等闲。也正是在这样的专注、专业和专精的打造下,曾经名不见经传的内网安全企业——极地安全公司(www.jidisec.com),能够凭着自己堡垒机这“一招鲜”,借着堡垒机市场井喷的东风,迅速成为堡垒机市场单一产品的知名品牌。
▲
功能趋势二,智能运维:
在运维过程中,对于定时执行或者群集执行的一些操作,最新一代堡垒机则实现了“智能运维”功能,即对运维操作、会话,形成会话脚本的形式,经堡垒机智能分析后,定期、批量自动执行,并汇总展示执行结果。
这样的功能是未来堡垒机发展趋势,其优势不仅在于自身功能操作的智能化发展,而且从实际情况中,也能解决很多非技术问题。例如代维人员或者厂家人员,如果需要授权他们操作关键设备,可以改为让他们提交操作脚本,由业主单位的管理人员审核后付诸实施。这样就避免了外来技术人员进入单位机房进行相应操作,可能引起的隐患或者繁琐流程。同样,对于本单位基层操作人员和实习人员,也可以改为提交脚本,由领导审核后提交运行。
▲
功能趋势三,运维管理终端的安全检查:
堡垒机作为内网重要信息系统的核心安全管控枢纽,其作为各种重要系统单点登录平台,堡垒机保存着系统帐号并具有访问重要资源的网络权限,因此堡垒机系统自身的安全性显得非常重要。在堡垒机安全防护中只注重防护堡垒机本身而不关注运维终端的安全防护,往往会造成运维安全上的短板。通过在使用单点登录运维前对使用者的终端做安全合规检查是排查安全隐患、降低安全风险的重要手段。
目前国外先进堡垒机产品和国内领先的几家堡垒机产品(例如方正安全、极地安全等),已经在堡垒机上实现了这项自身安全性高防护功能。该功能提供支持使用单点登录前做安全合规检查,包括防病毒、补丁等,并能够针对问题进行相应修复。
举一个简单的例子说明,木马程序可通过Windows的mstsc将远程主机ctrl+c拷贝的内容通过剪贴板复制到本机,此功能可能造成信息泄密,因此可以通过防病毒软件开启检测、禁止剪贴板功能、禁止本地磁盘映射增加单点登录的保密性。新版堡垒机进行单点登录时禁止剪贴板、禁止本地磁盘映射,可以有效地防止信息泄露。
▲
功能趋势四,组态报表
堡垒主机作为核心运维审计设备,承载并记录着每天几十到上百条的运维操作记录。如何降低堡垒主机实施复杂度?如何找到运维活跃的用户?找到运维频率最高的设备?找到行为异常的运维操作?如何灵活有效的分析,合理的规划日常运维工作?靠古老的检索功能进行人工挖掘信息,从时效性、准确性及成本考虑都得不偿失。
组态报表系统通过丰富的预置模板、快捷的配置方式、灵活丰富的展现形式,准确的自动关联分析技术,将反馈信息直观的展现给运维管理人员。
通过精心预置的大量报表模板,减少堡垒主机实施的过程复杂度,使运维管理人员“拿来即用”。并可通过模板复制功能方便用户“微调”现有模板,以达到快速适应自身业务需求的目的。组态报表在大量预置模板中包含了专业的运维统计分析模板,可直观的通过报表或各类图表展现复杂的信息及关联分析结果的排名、概率情况。在数据量爆炸的时代,组态报表已经成为必备功能,也是成熟产品的重要标志。
▲
功能趋势五,堡垒主机级联管理
随着堡垒主机日趋广泛的应用,大规模部署带来的集中管控问题日趋紧迫。极地安全内控堡垒主机应用级联技术,将大规模部署中的运维节点进行级联,形成以中心节点为主控的集中、半集中管理层级结构。实现用户、策略、授权的级联集中管理与日志审计。
通过级联功能,中心节点可统一定制密码策略、账号认证策略并统一下发给下级堡垒主机节点,规范统一的密码强度、账号失败锁定次数及认证方式。对影响大、范围广的关键业务资源,中心节点可集中进行单点登录的授权,并全程监控其所有运维记录。
通过堡垒主机级联功能,整合了当前大规模部署堡垒机带来的“各自为政”、“松散管理”的弊病,通过集中管控的方式有效实现了关键资源的安全管理及灵活授权的新体系模式。
▲
功能趋势六,智能负载均衡
功能再强大,也需要性能的保障,而内控堡垒主机最重要的性能,就是需要其在满足自身对网络核心资源进行通畅管理的同时,不能对网络资源造成负载影响,也即不能影响内网信息系统正常应用的进行。否则,再强大的功能,也等于零。
由于内网信息资源会越来越多,内网信息化应用会日益频繁,于是,堡垒机对于自身运行效率的负载优化,成为新一代堡垒机最基础的发展方向。在运维管理大型网络时,当被管资源数量巨大,网络数据链路较为集中的情况下,如何使运维管理不影响正常业务的资源访问,成为新一代堡垒机要解决的核心问题。以国内领先的极地内控堡垒主机为例,其提供了“分布部署,集中管理”的负载均衡模式,对当前的运维管理所需的网络资源占用进行智能化分配调度,实现了对运维管理的负载均衡。
▲
堡垒机七大主流创新技术
而从技术的角度看,目前主流的内控堡垒主机所应用的主要技术包括:逻辑命令自动识别技术、分布式处理技术、图形协议代理、多进程/线程与同步技术、数据加密技术等。
其一,逻辑命令自动识别技术。
逻辑命令自动识别技术是指自动识别当前操作终端,对当前终端的输入输出进行控制,组合输入输出流,自动识别逻辑语义命令。系统会根据输入输出上下文,确定逻辑命令编辑过程,进而自动捕获出用户使用的逻辑命令。该项技术解决了逻辑命令自动捕获功能,在传统键盘捕获与控制领域取得新的突破,可以更加准确的控制用户意图。该技术能自动识别命令状态和编辑状态以及私有工作状态,准确捕获逻辑命令。
其二,分布式处理技术。
分布式处理技术是指内控堡垒主机采用分布式处理架构进行处理,启用命令捕获引擎机制,通过策略服务器完成策略审计,通过日志服务器存储操作审计日志,并通过实时监视中心,实时察看用户在服务器上行为。这种分体式设计有利于策略的正确执行和操作记录日志的安全。同时,各组件之间采用安全连接进行通信,防止策略和日志被篡改。各组件可以独立工作,可以分布于不同的服务器上,亦可所有组件安装于一台服务器。
其三,正则表达式匹配技术。
正则表达式匹配技术是指内控堡垒主机采用正则表达式匹配技术,将正则表达式组合入树型可遗传策略结构,实现控制命令的自动匹配与控制。树型可遗传策略适合现代企业事业架构,对于服务器的分层分级管理与控制,相当有用。
其四,图形协议代理技术。
图形协议代理是指为了对图形终端操作行为进行审计和监控,内控堡垒主机对图形终端使用的协议进行代理,实现多平台的多种图形终端操作的审计,例如Windows平台的RDP方式图形终端操作,Linux/Unix平台的XWindow方式图形终端操作。
其五,多进程/线程与同步技术。
多进程/线程与同步技术是指内控堡垒主机主体采用多进程/线程技术实现,利用独特的通信和数据同步技术,准确控制程序行为。多进程/线程方式逻辑处理准确,事务处理不会发生干扰,这有利于保证系统的稳定性、健壮性。
其六,数据加密技术。
数据加密功能是指内控堡垒主机在处理用户数据时都采用相应的数据加密技术来保护用户通信的安全性和数据的完整性。防止恶意用户截获和篡改数据。充分保护用户在操作过程中不被恶意破坏。
其七,操作还原技术。
操作还原技术是指将用户在系统中的操作行为以真实的环境模拟显现出来,审计管理员可以根据操作还原技术还原出真实的操作,以判定问题出在哪里。目前,绿盟科技、极地安全、方正安全等国内主流内控堡垒主机采用操作还原技术能够将用户的操作流程自动地展现出来,能够监控用户的每一次行为,判定用户的行为是否对企业内部网络安全性造成危害。