堡垒机工作原理.docx

1 前言　　当今的时代是一个信息化社会，信息系统已成为各企事业单位业务运营的基础,由于信息系统运维人员掌握着信息系统的最高权限，一旦运维操作出现安全问题将会给企业或单位带来巨大的损失。因此,加强对运维人员操作行为的监管与审计是信息安全发展的必然趋势。在此背景之下,针对运维操作管理与审计的堡垒机应运而生。堡垒机提供了一套多维度的运维操作控管控与审计解决方案，使得管理人员可以全面对各种资源(如网络设备、服务器、安全设备和数据库等)进行集中账号管理、细粒度的权限管理和访问审计，帮助企业提升内部风险控制水平。　　2 堡垒机的概念和种类　　“堡垒”一词的含义是指用于防守的坚固建筑物或比喻难于攻破的事物，因此从字面的意思来看“堡垒机”是指用于防御攻击的计算机。在实际应用中堡垒机又被称为“堡垒主机”，是一个主机系统，其自身通常经过了一定的加固，具有较高的安全性，可抵御一定的攻击，其作用主要是将需要保护的信息系统资源与安全威胁的来源进行隔离，从而在被保护的资源前面形成一个坚固的“堡垒”，并且在抵御威胁的同时又不影响普通用户对资源的正常访问。　　基于其应用场景，堡垒机可分为两种类型：　　2.1 网关型堡垒机　　网关型的堡垒机被部署在外部网络和内部网络之间，其本身不直接向外部提供服务而是作为进入内部网络的一个检查点，用于提供对内部网络特定资源的安全访问控制。这类堡垒机不提供路由功能，将内外网从网络层隔离开来，因此除非授权访问外还可以过滤掉一些针对内网的来自应用层以下的攻击，为内部网络资源提供了一道安全屏障。但由于此类堡垒机需要处理应用层的数据内容，性能消耗很大，所以随着网络进出口处流量越来越大，部署在网关位置的堡垒机逐渐成为了性能瓶颈，因此网关型的堡垒机逐渐被日趋成熟的防火墙、UTM、IPS、网闸等安全产品所取代。　　2.2 运维审计型堡垒机　　第二种类型的堡垒机是审计型堡垒机，有时也被称作“内控堡垒机”，这种类型的堡垒机也是当前应用最为普遍的一种。　　运维审计型堡垒机的原理与网关型堡垒机类似，但其部署位置与应用场景不同且更为复杂。运维审计型堡垒机被部署在内网中的服务器和网络设备等核心资源的前面，对运维人员的操作权限进行控制和操作行为审计;运维审计型堡垒机即解决了运维人员权限难以控制混乱局面，又可对违规操作行为进行控制和审计，而且由于运维操作本身不会产生大规模的流量，堡垒机不会成为性能的瓶颈，所以堡垒机作为运维操作审计的手段得到了快速发展。　　最早将堡垒机用于运维操作审计的是金融、运营商等高端行业的用户，由于这些用户的信息化水平相对较高发展也比较快，随着信息系统安全建设发展其对运维操作审计的需求表现也更为突出，而且这些用户更容易受到“信息系统等级保护”、“萨班斯法案”等法规政策的约束，因此基于堡垒机作为运维操作审计手段的上述特点，这些高端行业用户率先将堡垒机应用于运维操作审计。　　3 堡垒机运维操作审计的工作原理　　作为运维操作审计手段的堡垒机的核心功能是用于实现对运维操作人员的权限控制与操作行为审计。　　3.1 主要技术思路　　如何实现对运维人员的权限控制与审计呢？堡垒机必须能够截获运维人员的操作，并能够分析出其操作的内容。堡垒机的部署方式，确保它能够截获运维人员的所有操作行为，分析出其中的操作内容以实现权限控制和行为审计的目的，同时堡垒机还采用了应用代理的技术。运维审计型堡垒机对于运维操作人员相当于一台代理服务器(Proxy Server)，其工作流程如下图所示：　　1) 运维人员在操作过程中首先连接到堡垒机，然后向堡垒机提交操作请求;　　2) 该请求通过堡垒机的权限检查后，堡垒机的应用代理模块将代替用户连接到目标设备完成该操作，之后目标设备将操作结果返回给堡垒机，最后堡垒机再将操作结果返回给运维操作人员。　　通过这种方式，堡垒机逻辑上将运维人员与目标设备隔离开来，建立了从“运维人员-堡垒机用户账号-授权-目标设备账号-目标设备”的管理模式，解决操作权限控制和行为审计问题的同时，也解决了加密协议和图形协议等无法通过协议还原进行审计的问题。　　3.2 工作原理简介　　下面就简单介绍一下堡垒机运维操作审计的工作原理，其工作原理示意图如下：　　在实际使用场景中堡垒机的使用人员通常可分为管理人员、运维操作人员、审计人员三类用户。　　管理员最重要的职责是根据相应的安全策略和运维人员应有的操作权限来配置堡垒机的安全策略。堡垒机管理员登录堡垒机后，在堡垒机内部，“策略管理”组件负责与管理员进行交互，并将管理员输入的安全策略存储到堡垒机内部的策略配置库中。　　“应用代理”组件是堡垒机的核心，负责中转运维操作用户的操作并与堡垒机内部其他组件进行交互。“应用代理”组件收到运维人员的操作请求后调用“策略管理”组件对该操作行为进行核查，核查依据便是管理员已经配置好的