堡垒机的案例
发布网友
共2个回答
热心网友
客户现状及需求:
IT系统分散在总部以及全国各地的分支连锁酒店,每个酒店所在的地区都有相应的技术人员进行系统运维;总部也有运维人员,对全国IT系统的总的运维质量负最终责任。
酒店实体越来越多,总部的IT运维工作日益复杂,运维问题日益突出。一个最基础的场景是:当某酒店的IT系统出现问题,当地的IT运维人员无法解决时,就会向总部发起求助。而此时,总部的技术工程师根本无法获悉最原始的问题,因为原来的问题在经过分部的运维工程师的操作后,已经面目全非,还可能引入了新的问题,整个过程没有记录,没有管控,找不到解决问题的线索。所以总部工程师迫切希望知道,从一开始问题的表象,到分支机构的运维人员的运维操作,都是怎么一回事。除此之外,还有另外的一些运维问题列表如下:
1、运维人员管理手段落后,时无法定责,也无法对各方的运维工作本身的质量和数量进行有效考核和评估。
2、设备账户管理缺失,该连锁酒店的每一名运维人员都要负责多套信息系统的运维管理工作,同时,大多数情况下,某套信息系统往往要多个运维人员联合管理。在这种情况下,口令丢失、登录失败、密码被随便修改等情况就时有发生。并且对第三方代维人员来说,也没有更强的针对设备账号的监测机制和有效的生命周期管理机制;
解决之道:
来进行统一认证,认证成功后对其具有权限的IT设备进行运维操作。整个运维过程全程录像,并有危险操作的告警及阻断功能。
通过这种“跳板机”的解决方案,运维人员只需要记住一个口令就可以运维到被授权的设备,运维过程全程录像,且可以对应到运维人员。使用运维审计集中管理客户端软件,分散在全国各地的酒店IT系统的运维录像可以被总部的运维人员随时查询,还可以通过播放器进行远程的录像流畅播放。
客户收益:
运维安全审计堡垒平台之后,所有的运维人员都以统一的用户身份登入系统;所有的运维操作都被记录;操作对应到实际的自然人而不是设备账户。在出现问题后,可以迅速的调出运维操作录像进行查看,根据录像进行问题的追本溯源,直接定位问题根源所在,为解决IT系统的故障提供了宝贵的第一手资料。
在部署安全审计堡垒平台之后,问题的解决时间平均缩短到一到两个小时,数量级的提高了运维工作质量。另外,由于有录像可以学习,交流和借鉴,从一定程度上,提高了所有运维人员的运维经验。 客户现状及需求:
对内部的运维管理安全而言,原有的手工管理措施已不能满足目前及未来业务发展的要求。因此该银行方面,依照国家相关的法规要求,遵照银行业务系统自身的安全等级保护条例要求,提出建设服务器和设备访问安全管理系统,使得系统和安全管理人员可以对信息系统的用户和各种资源进行集中管理、集中权限分配、集中审计,从技术上保证信息系统安全策略的实施。具体而言,需要实现如下的功能需求:
1、账户的集中管理,并且对用户能够进行一定的权限划分管理;
2、权限控制,能够对用户进行细粒度的权限控制,针对欲运维的目标设备进行用户与设备关联;
3、能够在运维过程中,对违规信息提出告警、权限提升、阻断等操作,及实现事中的实时审计管理;
4、对事后的审计录像能够做到回放、复式检索、定位播放等便捷式操作;
解决之道:
该行选择了某品牌堡垒机作为其安全审计项目的承建方。
RBAC角色授权机制打造,在设备管理中进行用户的集中管理和用户权限的有效划分,如“三权”划分(系统管理员权限、运维管理员权限、审计管理员权限),通过用户和设备的关联管理实现对用户的运维权限细分;然后通过一些安全策略的设置来降低违规操作对资源的破坏,即使出现问题能够通过录像查询进行“事发现场”回放,从而实现防范、控制、审计一条龙;具体的说,在该行的运维管理项目中,实现了如下几点:
1、用户进行集中管理的同时,也进行了相应的权限划分,权限分明;
2、能够进行事前的防范,针对该行有大量第三方代维人员的情况,对其采取定制化的角色类型和访问策略;
3、对设备资源的违规操作实现权限的提升、告警,发现严重违规操作,直接阻断操作;(权限提升是指:某些指令需要更高级别角色的临时授权才能执行。)
4、实现事后审计的方便快捷性,通过组合式录像查询定位,直接找到问题点;
客户收益:
对内部运维人员的工作流程进行了相应的梳理,对其运维的IT系统和设备进行了责任的明确。事实上,这些约束和流程通过运维审计系统的约束,而变得更加明晰,业务数据的安全,以及IT系统的运维,有了一个明显的提升。
而且,由于堡垒机产品遵照国际上流行的RBAC角色授权机制,以及P2DR安全模型,4A身份认证等安全防范体系建设,使得该行的信息系统安全保护等级有了一个质的飞跃。 问题描述:
无法客观的支付报酬;不但如此更严重的是在软件开发的过程中,某软件外包商的开发人员的误操作导致证券机构的某些系统模块突然没有办法正常使用,时间长达10分钟之久,结果10分钟的时间损失上百万,而且造成了很严重的负面影响,因为没有证据证明是软件外包商所为,所以,后果只能自己承担;同时机构内部的运维管理也有一定的问题,如越权运维、误操作、账户共享等运维问题也频频出现,所以如何做到运维能审计的同时也做到运维能管理是该机构信息中心主管迫切要解决的问题?
解决之道:
在以后的证券机构开发的过程中,所有的运维、开发人员都必须经过一道“门”,这个“门”就是金万维运维安全审计系统,所有的人首先登录运维审计平台中,然后根据设置的权限进行对目标设备的运维,且运维过程全程录像;而且每个运维人员的每天、每周、每月的运维情况都可以通过报表、图表进行统计,审计的同时做到了运维的管理;
客户收益:
通过部署运维安全审计系统,使证券机构的运维人员和第三方机构的外包开发人员都做了统一账号管理,针对第三方开发人员的运维账号,进行“生命周期”自动管理,设定使用时间,过了使用时间之后第三方开发人员就无权再用此运维账户登录,不但如此针对危险操作行为证券机构也能够设置安全策略,尽量把已知危险降到最低;在以后的开发过程中证券机构可以通过运维报表中的统计数据进行薪酬支付,对“矛盾”问题进行录像回放,查找问题源;真正实现了运维审计的同时做到了运维管理,为证券机构信息化的建设做出了重大贡献; 问题描述:
北京某知名互联网IT企业一直致力于为客户提供数字媒体营销领域的尖端科技和卓越服务,如SEM/SEO/移动互联网广告、软件定制开发服务等随着业务的增长规模的扩大,除了北京研发中心外,在上海和广州也相继成立了对内和对外研发团队,公司运维的服务器有近百台之多。
随着研发人员的增多和服务器规模的增大,逐渐暴露了一些严峻的问题如账号管理分散、越权运维、对外进行软件定制开发过程无记录、出现问题找不到责任人、对研发人员的每天、周的工作效率无从考核等问题正在逐步影响到整个研发团队的工作进度和计划的安排;
解决之道:
北京某知名互联网IT企业找到我们之后,进行了现场交流分析,发现主要“症结”在于研发人员除了在公司外,还经常在家,在外地登录IT系统进行系统升级和维护,同时,登录账号管理混乱、运维权限划分不明、认证方式过于简单、对运维过程没有监控措施、对研发人员的运维次数没有合理的运维统计方式;“对症下药”通过部署运维安全审计系统平台后所有的研发人员都必须通过审计平台进行“过滤”,合规人员才能进行有效的开发维护工作,对主要研发人员通过配置如身份认证加密卡等方式进行身份强认证,用户操作在“过滤”的同时,都进行录像审计,录像内容一方面可以作为“纠错”来用,另一方面可以用来作为“教材”来使;通过部署运维审计系统使其症结问题迎刃而解,解决了研发人员不能解决的管理审计难题;
客户收益:
运维审计系统的部署着实提高了研发队伍的合规性,为有效研发、安全研发提供了坚实保障;审计录像作为教材录像、运维报表作为考核依据,为研发团队增加了新的培训和KPI管理方法。无论从合规性出发还是整体信息化运维正规化建设都能有效的提高管理和工作效率。
热心网友
笔者曾经在国内某ERP厂商担任过产品经理,现就职于某互联网公司担任运维主管,对堡垒机的选型及具体应用实践有一定的发言权,故形成此文,权当抛砖。
堡垒机是用来解决“运维混乱”的
堡垒机是用来干什么的?简而言之一句话,堡垒机是用于解决“运维混乱”的。何谓运维混乱?当公司的运维人员越来越多,当需要运维的设备越来越多,当参与运维的岗位越来越多样性,如果没有一套好的机制,就会产生运维混乱。具体而言,你很想知道“哪些人允许以哪些身份访问哪些设备“而不可得。
堡垒机让“运维混乱”变“运维有序”
于是乎,堡垒机便诞生了,它承担起了运维人员在运维过程中的唯一入口,通过精细化授权,可以明确“哪些人以哪些身份访问哪些设备”,从而让运维混乱变得有序起来。
堡垒机让“运维混乱”变“运维安全”
更重要的一点是:堡垒机不仅可以明确每一个运维人员的访问路径,还可以将每一次访问过程变得可“审计”,一旦出现问题,可追溯回源。
如何做到可审计?显而易见的方法是“全程录像”和“指令查询”。全程录像很好理解,那么何谓指令查询呢?所谓指令查询是指将运维操作指令化。举例而言,你家里在过去24小时内进小偷了,你有监控录像,但需要你翻阅这24小时的录像显然不是一个聪明的做法,如果这时系统能够帮助你把24小时录像中出现的所有人头像直接识别并罗列出来,你自然可以知道什么时间进来的小偷。“指令查询”也是如此,录像文件是你最后的保障,但通过指令查询可以帮助你快速的定位到录像文件的可疑位置。
有什么可以推荐的堡垒机品牌?
本想做一篇科普文,不由的披上了广告的嫌疑。但只是以笔者亲身经历为例,笔者所在公司的电商系统部署在的Win之上,有一个配置文件,不知被谁做了修订,导致当天订单全部失败。老板震怒,要求笔者立即定位是谁做的修订。该电商系统一周之前做的更新,针对配置文件所在服务器的运维录像共有83个,合计27个小时左右的时长,笔者需要在这83个视频文件中寻找到是谁对配置文件做了修订,笔者当时想小号的心都有。当在“行云管家”中通过检索此配置文件的名称,行云管家帮我定位到3个可疑的录像位置时,笔者不由得虎躯一震,菊花一紧......
广告做到底,行云管家堡垒机在线体验
