齐治运维操作管理解决方案.doc

运维操作管理系统（堡垒机）运维操作管理系统（堡垒机） 解决方案解决方案 浙江齐治科技有限公司浙江齐治科技有限公司 20132013 年年 8 8 月月 3.3.0 Copyright 2005-2012 齐治科技 第2页 声明声明 本文件所有权和解释权归齐治科技所有，未经齐治科技书面许可， 不得复制或向第三方公开。 修订历史记录（版本控制）修订历史记录（版本控制） 版本号版本号作者作者审核人审核人文档类型文档类型保密级别保密级别完成日期完成日期 V1.0.0DXBrianADA2011-1-21 V2.1.0DXBrianADA2011-5-18 V3.2.0DXJoeADA2012-1-17 V3.3.0DXJoeADA2013-8-8 （文档类型 A-内部归档类， D-外部交付类） （保密级别 A-公开，B-有选择公开，C-不公开） 浙江齐治科技有限公司 Copyright 2005-2012 齐治科技 第1页 目目 录录 1现状分析现状分析.2 2解决方案解决方案.4 3功能实现功能实现.11 4方案优势方案优势.25 5客户收益客户收益.27 6成功案例成功案例.28 浙江齐治科技有限公司 Copyright 2005-2012 齐治科技 第2页 1 1现状分析现状分析 1.11.1 运维管理现状运维管理现状 客户的维护部门主要负责应用系统以及信息系统基础平台的建设和维护， 以及局内网络的建设和维护。现有数十台各种各样的服务器，其日常运维过程 中都普遍存在以下现状： 用户的访问方式以内部直接远程访问为主。其中运维操作的远程访问方式 又以 SSH/Telnet/RDP/VNC/X-window/http/https/FTP/SFTP 为主，设备数 量比较多； 维护人员较多，并且部分设备的维护交由第三方维护厂商完成，维护操作 比较分散，权限变更复杂； 使用设备上的共享系统账号进行认证与授权； 无法有效落实定期修改设备密码的规定； 用户的运维操作无审计； 需要定期接受等保、SOX、ISO27001 等法律法规标准的检查。 1.21.2存在问题存在问题 维护方式不统一； 共享账号难控制； 操作行为难约束； 设备密码难管理； 运维操作无审计； 法律法规难遵从； 1.31.3问题分析问题分析 出现以上问题的主要原因在于： 运维操作不规范； 浙江齐治科技有限公司 Copyright 2005-2012 齐治科技 第3页 运维操作不透明； 运维操作风险不可控； 1.41.4带来的后果带来的后果 违规操作可能会导致设备/服务异常或者宕机； 恶意操作可能会导致系统上敏感数据/信息被篡改、被破坏； 当发生故障的时候，无法快速定位故障原因或者责任人； 浙江齐治科技有限公司 Copyright 2005-2012 齐治科技 第4页 2 2解决方案解决方案 2.12.1 实现目标实现目标 通过 Shterm 的部署，可以有效的解决运维部门当前运维过程中存在的各种 问题： 以堡垒方式，形成统一的运维入口，实现运维操作的唯一路径； 引入主从帐号管理概念，使用户认证与系统授权分开，从而有效解决系统 帐号共享使用，带来的身份不唯一的问题； 基于用户、设备、系统帐号、协议类型、登录规则的严格访问控制设置， 有效规避了非授权访问带来的问题； 密码托管和自动改密，使得密码管理规范能有效落地，避免了因人员的流 动还会导致设备密码存在外泄的风险； 能完整记录运维人员的操作过程，当系统因人为操作导致故障的时候，能 够快速定位故障原因和责任人； 可以满足等保、SOX、ISO270001、BS7799 等安全规范对运维操作管理的 要求。 2.22.2 具体设计具体设计 2.2.1 总设计思路总设计思路 因为操作的风险来源于各个方面，所以必须要从能够影响到操作的各个层 面去降低风险。齐治运维操作管理系统（Shterm）采用操作代理（网关）方式 实现集中管理，对身份、访问、审计、自动化操作等统一进行有效管理，真正 帮助用户最小化运维操作风险。 浙江齐治科技有限公司 Copyright 2005-2012 齐治科技 第5页 集中管理是前提：集中管理是前提：只有集中以后才能够实现统一管理，只有集中管理才能 把复杂问题简单化，分散是无法谈得上管理的，集中是运维管理发展的必然趋 势，也是唯一的选择。 身份管理是基础：身份管理是基础：身份管理解决的是维护操作者的身份问题。身份是用来 识别和确认操作者的，因为所有的操作都是用户发起的，如果我们连操作的用 户身份都无法确认，那么不管我们怎么控制，怎么审计都无法准确的定位操作 责任人。所以身份管理是基础。 访问控制是手段：访问控制是手段：操作者身份确定后，下一个问题就是他能访问什么资源、 你能在目标资源上做什么操作。如果操作者可以随心所欲访问任何资源、在资 源上做任何操作，就等于没了控制，所以需要通过访问控制这种手段去限制合 法操作者合法访问资源，有效降低未授权访问所带来的风险。 操作审计是保证：操作审计是保证：操作审计要保证在出了事故以后快速定位操作者和事故 原因，还原事故现场和举证。另外一个方面操作审计做为一种验证机制，验证 和保证集中管理，身份管理，访问控制，权限控制策略的有效性。 自动运维是目标：自动运维是目标：操作自动化是运维操作管理的终极目标，通过让该功能， 可让堡垒机自动帮助运维人员执行各种常规操作，从而达到降低运维复杂度、 提高运维效率的目的。 2.2.2 操作网关方式部署操作网关方式部署 集中管理是实现运维操作安全管理的首要前提。 浙江齐治科技有限公司 Copyright 2005-2012 齐治科技 第6页 针对当前核心设备分散管理的现状，集中管理倡导的是一种统一管理的理 念。集中管理是未来运维操作安全管理的必然趋势。 实现集中管理，关键点在于对用户原有的运维环境不造成任何影响。综合 各种部署方案，我们采用了“操作堡垒机”的部署方式。 2.2.3 用好共享账号用好共享账号 在当前的运维环境中，普遍存在操作者身份无法识别的安全隐患。这主要 是由操作者共享使用核心设备上的系统账号造成的。 设备数量达到一定规模，必然会使用到共享账号。共享账号就是多人共同 使用同一个存在于设备上的系统账号，使用共享账号会让整体账号的数量最少。 但是仅仅依赖系统上的单一系统账号，无法既能区分用户身份，又能完成工作 角色的定位。 如何准确的区分用户身份和工作角色，进而实现操作者和具体的操作过程 一一对应？ Shterm 将账号的用户身份确认和系统工作角色功能分离，在 Shterm 上增 加了用户账号，完成用户的身份确认。原来系统上的账号依然存在，但是作用 只是完成工作角色授权的工作账号。 用户登录 Shterm 是采用唯一的用户账号，然后根据工作角色的需要，转换 成系统账号登录到被管理设备上。这样既能够保证整体账号数量最少，管理方 便；同时又能够实现对用户、工作角色的双重定位。 当用户加入、离职或岗位变动，当代维人员和原厂商进行维护的时候，只 需要在 Shterm 上变更该用户账号即可，对系统上的系统账号没有任何影响。 代维人员维护系统并不需要知道用户系统的最高权限的系统帐号密码，这 样大大降低了管理风险。 原厂商进行临时维护的时候只需要临时分配一个用户账号，当使用结束后 该账号会自动回收，减少了账号管理的成本。 浙江齐治科技有限公司 Copyright 2005-2012 齐治科技 第7页 2.2.4 访问控制规则访问控制规则 目前，用户只要知道用户名和密码就可以任意访问任意设备,这种现状必然 会带来“未授权访问的安全风险”。 部署了 Shterm 后，情况就发生了变化。Shterm 逻辑上成为了用户登录的 唯一入口，因为入口唯一，访问控制很容易配置了。 相同工作任务的集合可以放置在一个访问规则组里，当用户岗位、职责改 变时，对用户相关联的组、系统权限、可访问设备通过 Web 的勾选，很容易调 整。 根据工作内容的需要，可以配置不同的许可或禁止的登录策略。既可以设 定固定日期的登录策略，也可以设定固定时间间隔的策略，还可以设定一天中 指定时间段的策略，并且能够针对具体的地址段进行控制。 Shterm 的访问控制列表可以让用户一目了然的知道某台设备上允许哪些用 户登录。某台设备上的系统账号有多少个用户可以使用。 另一方面，从安全运维的角度分析，权限控制策略是从操作的层面上，降 低高危操作所带来的安全风险： 对于使用 Telnet/SSH 等协议进行远程管理的设备（各种网络设备和 Unix 服务器），操作权限的多少取决于用户可以执行的命令。所以，针对操作指令 的控制才是核心。 对于服务器设备操作，Shterm 可以对服务器的超级用户 root 操作权限进 行控制，即使是 root 用户，权限也是受限制的，可以限制 root 用户只能执行 某些操作（白名单）和无法执行某些操作（黑名单）。 当多人同时使用一个 root 账号时，Shterm 可以对同一个系统账号进行操 作权限再分配，保证使用同一个 root 账号的不同用户拥有不同的操作指令权限， 彻底解决了共享 root 账号权限一致的情况，真正实现细粒度的操作权限控制。 对于网络设备操作，Shterm 可以保证即使多个用户在进入 enable 状态的 时候，提供高于网络设备系统更好级别的控制力度，保证每一个用户的操作指 浙江齐治科技有限公司 Copyright 2005-2012 齐治科技 第8页 令都能严格受到控制。 对于操作权限的控制意味着我们从被动接受用户输入到了主动控制。 对于用户的操作可以有 3 种执行状态：允许执行，拒绝执行，禁止执行。 对于高危命令（删除，重起，关机等）可以实时告警，一旦高危操作触发， 会立即给相关人员发送告警邮件，保证用户在第一时间内知道高危操作是否对 系统造成了影响。 2.2.5 完整操作审计完整操作审计 运维操作审计是整个 Shterm 解决方案的重要组成部分。管理员确定了以操 作网关方式来部署，解决了之前共享账号的问题，配置了访问规则，明确了操 作权限，那么最后也是最重要的就是操作和操作审计。 Shterm 支持的运维操作方式和相应的操作审计基本涵盖了目前企业日常运 维所涉及到的绝大部分操作模式，包括字符会话、图形会话、Web Client 会话、 文件传输等等。 对不同会话采用不同的审计方式针对字符会话，Shterm 的审计功能会完全 记录所有会话内的输入输出，并可以使用模式方式对这些输入输出进行查询以 定位操作时间节点和操作内容。对于图形会话要采用全程的录像和键盘鼠标操 作的记录，并在图形会话回放的过程中同步的显示出来。对于 Web Client 方式 的操作会话，也是目前非常主流的一种操作模式，Shterm 可以利用对于图形会 话的审计方式来审计 Web Client 方式的会话，即，既包括了图形录像也包括了 键盘鼠标记录，并且可以如图形会话一样，键盘输入信息可以进行完全的检索 以便快速定位一个较长的审计录像。针对文件传输，FTP、SFTP 之类的上传下 载，Shterm 支持全部的信息记录，包含时间，人员，IP 等等信息。 此外，Shterm 对审计人员本身也有严格要求，一方面，对审计人员的审计 操作，Shterm 有严格的记录，审计管理员何时查阅了某个会话操作都要有明确 记录。另一方面，Shterm 支持非全局性的操作审计，即，审计人员也没有权利 审计所有的会话信息，因为会话中可能包含了非常敏感甚至机密的企业信息。 浙江齐治科技有限公司 Copyright 2005-2012 齐治科技 第9页 2.2.6 运维自动化运维自动化 日常运维中经常需要对一些操作进行重复性动作，例如每天去执行一些脚 本、检测一些状态等，重复繁琐的工作容易令人出现操作的失误。如果能通过 一些技术手段，替代用户的重复操作，使用户从重复繁琐的工作中释放出来， 可以让用户有更多的时间去专注于更多技术领域。 操作自动化是运维操作管理的终极目标，通过 Shterm 的自动脚本功能，可 让堡垒机自动帮助运维人员执行各种常规操作，从而达到降低运维复杂度、提 高运维效率的目的。 2.32.3 产品部署产品部署 在当前运维环境中部署了 shterm（齐治运维操作管理系统，亦称齐治运维 堡垒机）之后，拓扑结构如下： 部署说明部署说明 支持双机 HA 部署； 部署方式是物理旁路，逻辑串接； 部署唯一条件是 Shterm 与被管理的设备之间 IP 可达，协议可访问； 在部署过程中，不需要调整任何网络架构，不需要安装任何代理程序； 集中管理的一个标志就是入口唯一，Shterm 是用户操作的唯一入口； 目标设备登录过程：用户用唯一的用户帐号登录到 shterm 上，然后 Shterm 会根据配置管理员预先设置好的访问控制规则，列出用户选择 浙江齐治科技有限公司 Copyright 2005-2012 齐治科技 第10页 可以访问的目标设备和相应系统帐号，用户选择完成后会自动登录到目 标设备； 应用程序登录过程：用户用唯一的用户帐号登录到 shterm 上，然后 Shterm 会根据配置管理员预先设置好的访问控制规则，列出用户选择 可以访问的应用程序（如 PL/sql） ，用户点击该程序即可马上打开。 浙江齐治科技有限公司 Copyright 2005-2012 齐治科技 第11页 3 3功能实现功能实现 3.13.1 集中管理集中管理 部署了 Shterm 之后，所有用户对后台设备的操作，都要先登录 Shterm 的 WEB 管理界面（Shterm 作为后台设备访问的唯一入口，实现单点登录），然后 再根据 Shterm 管理员预先设置好的访问控制规则，自动登录到后台目标设备上 去。具体方式如下： 普通用户按照登录流程，首先登录到 Shterm 的 WEB 页面，然后可以在“设 备访问”项里面，看到可访问的设备列表。选择好系统账号，并点击相应设备 后面的“图形”服务，即可自动登录到图形管理界面上去进行任何操作，同理， 点击“字符”服务，即可自动登录到字符管理界面上去进行任何操作。 3.23.2 部门管理部门管理 Shterm 可以将不同的用户、目标设备分配到不同的部门；部门之间彼此隔 离；不同部门的用户只能管理自己部门内的目标设备、策略、操作的审计、控 制等； 同时，Shterm 还支持树状结构部门管理，上级部门可以管理下级部门的资 源，包括资源调整、统计报表等。 浙江齐治科技有限公司 Copyright 2005-2012 齐治科技 第12页 3.33.3 账号管理账号管理 Shterm 为每个用户分配了独一无二的用户账号，设备上的系统账号不变， 通过把多个用户账号和单个系统账号做关联(用户账号完成身份认证，系统账号 完成系统授权)，可以在不同的用户使用相同的系统帐号访问目标设备的时候， Shterm 依然可以准确识别用户的身份，让用户的身份和具体的操作一一对应起 来，从而实现用户实名制管理。 浙江齐治科技有限公司 Copyright 2005-2012 齐治科技 第13页 3.43.4 身份认证身份认证 Shterm 支持的认证方式包括：本地静态认证，第三方 AD 域、 LDAP、radius、iso8583 认证和内置 totp（time-based-one-time-passwd）认 浙江齐治科技有限公司 Copyright 2005-2012 齐治科技 第14页 证。 其中 totp 认证，是动态令牌认证。Shterm 已经内置了 totp 认证服务器， 只需要再部署相应的令牌即可： 3.53.5 访问控制访问控制 Shterm 可以根据用户/用户组、设备/设备组、系统帐号和时间来设置详细 的访问控制规则，设置完成后，用户只能按照规则设置来访问相应资源，彻底 杜绝了非授权访问所带来的问题。 3.63.6 权限控制权限控制 浙江齐治科技有限公司 Copyright 2005-2012 齐治科技 第15页 对于 Unix 设备来说，权限的多少取决于用户可以执行的命令。所以，针对 操作指令的控制才是核心。 Shterm 可以针对超级用户（root）做操作权限的控制，当多人同时使用一 个系统账号时，Shterm 可以对同一个系统账号进行权限再分配，保证使用同一 个系统账号的不同用户拥有不同的权限，这就彻底解决了共享账号和 root 用户 权限的问题，真正实现细粒度的操作权限控制。 对于操作权限的控制意味着我们从被动接受用户输入到了主动控制。对于 用户的操作可以有 3 种状态：允许，拒绝，禁止。 对于高危命令（删除，重起，关机等）可以实时告警，一旦高危操作触发， 会立即给相关人员发送告警邮件，保证用户在第一时间内知道高危操作是否对 系统有影响。 浙江齐治科技有限公司 Copyright 2005-2012 齐治科技 第16页 3.73.7 金库模式金库模式 3.7.1 实时监控与阻断实时监控与阻断 对于普通用户登录到目标设备上正在进行的操作，审计管理员可以再 Shterm 的 WEB 界面做到实时监控，做到边操作边审计，真正实现实现操作透明； 同时对于用户的违规操作，审计管理员还可以做到实时切断。 具体如下图： 浙江齐治科技有限公司 Copyright 2005-2012 齐治科技 第17页 3.7.2 双人授权访问双人授权访问 Shterm 具备核心设备登录时候的双人授权功能（针对不同的访问控制策略 分配不同的双人授权人）。普通用户如想登录该设备，必须经过相关管理人员 的授权才行。 3.7.3 双人复核操作双人复核操作 Shterm 对于在核心设备上的敏感指令操作，需要经过第二个人复核后， 才能被执行。 3.83.8 会话共享会话共享 Shterm 具有图形操作会话共享功能，可让多位运维人员对同一个会话进行 共享操作，例如用户 A 在设备登录的过程中需要用户 B 输入后半段的密码，这 时用户 A 可以在 WEB 界直接申请，B 收到申请后就可以登录同一台设备完成分 段密码输入的工作，并不需要两人同在一个地方。 浙江齐治科技有限公司 Copyright 2005-2012 齐治科技 第18页 3.93.9 密码托管密码托管 3.9.1 单点登录单点登录 对于目标设备的访问账号密码，可以由 Shterm 进行集中托管，只要配置管 理员在相应设备的密码管理中将目标设备的账号密码添加上去即可； 使用了密码托管功能后，用户以后访问目标设备时，只需要记住自己的 Shterm 上的账号和密码，即可通过 Shterm 自动登录目标设备。 3.9.2 自动改密自动改密 Shterm 可以灵活配置目标设备密码的修改策略，实现密码的批量定期自动 修改，修改后的结果可以以加密邮件方式发送给密码保管员，从而实现密码的 集中管理，同时密码保管员也可以随时在系统的 WEB 界面打包备份设备的密码 到本地，提高改密功能可用性。 浙江齐治科技有限公司 Copyright 2005-2012 齐治科技 第19页 3.103.10自动运维自动运维 3.10.1网络设备配置自动备份网络设备配置自动备份 Shterm 具备网络设备配置自动备份功能。管理员通过在 shterm 上配置相 应策略，可在指定的时间，自动备份指定的网络设备上的配置文件。 3.10.2Unix 系统脚本自动执行系统脚本自动执行 Shterm 具备 UNIX 系统脚本自动执行功能。管理员通过在 shterm 上配置相 应策略，可在指定的时间，自动到指定的 UNIX 服务器上执行指定的脚本；实现 自动巡检等日常工作。 3.10.3自动发现目标设备自动发现目标设备 Shterm 具有自动发现目标设备功能，可以根据管理指定的时间，对指定 IP 浙江齐治科技有限公司 Copyright 2005-2012 齐治科技 第20页 地址段的设备做自动扫描，并把设备的 IP、类型、编码等内容，供配置管理员 修改导入。 3.113.11应用发布应用发布 Shterm 可以通过 Web 管理界面，直接发布安装在某台 windows 服务器上的 各类客户端/应用程序，如 citrix 客户端、sqlplus、secureCRT、toad 等； 此外，Shterm 还支持部分客户端工具的密码自动代填，实现客户端密码的 集中管理； 3.123.12操作审计操作审计 Shterm 不仅能记录用户在目标设备上进行的 Telnet、SSH、RDP、VNC、X- Windows、Http、Https、FTP、SFTP、SCP 等协议的所有操作行为； 此外还能完美审计第三方客户端工具的操作，如 citrix 客户端、 PL/SQL、SQLPLUS、TOAD 等工具； 浙江齐治科技有限公司 Copyright 2005-2012 齐治科技 第21页 3.12.1命令操作审计命令操作审计 文本方式记录； 基于“命令精准识别”的专利技术，唯一可以确保对各种常规和非常规操 作行为的准确识别； 对于字符命令操作的日志回放支持： 在 Web 界面直接回放操作过程 智能输入输出分离，展现在用户面前的只是输入命令，展开后可查 看命令输出结果 支持任意点回放 支持“上下箭头” 、 “TAB 命令补全”等输入操作回放； 点击即可回放 浙江齐治科技有限公司 Copyright 2005-2012 齐治科技 第22页 3.12.2图形操作审计图形操作审计 录像方式记录； 在录像方式记录用户操作过程的同时，还可以文本方式完整记录用户的键 盘鼠标敲击、复制粘贴操作，并能对操作界面进行问题模糊识别； 对于图形化操作日志的回放支持： 不须加载、无延时在线拖拉回放 支持多倍速回放 自动过滤屏幕静止操作 根据时间点直接定位回放 针对任意一个审计画面可以抓屏，保存成一个图片文件 回放时可显示键盘和鼠标操作内容 浙江齐治科技有限公司 Copyright 2005-2012 齐治科技 第23页 3.133.13操作搜索操作搜索 针对字符操作记录，都可以按照时间、用户账号、目标设备、系统账号、 命令关键字进行搜索，在最短的时间内找到相关日志内容，实现快速定位； 针对图形操作记录，可以根据键盘输入、剪贴板操作、模糊识别的内容、 URL 地址为关键字进行查询定位； 针对数据库操作记录，可以根据 SQL 语句的内容为关键字进行查询定位； 所有查询的结果可以和图形操作过程关联回放； 鼠标状态点 回放的时候可以在这里查看到在 相应时间点键盘输入的内容 命令操作查询 浙江齐治科技有限公司 Copyright 2005-2012 齐治科技 第24页 3.143.14统计报表统计报表 Shterm 支持情况总览、会话报表、报表模板、自动报表、命令报表、配置 报表等统计报表功能。 图形操作查询 浙江齐治科技有限公司 Copyright 2005-2012 齐治科技 第25页 4 4方案优势方案优势 4.14.1 成熟稳定成熟稳定 齐治公司从 2005 年成立，自主研发的堡垒机系统。自 2005 年被阿里巴巴 选中后，为其旗下的 25000 余台服务器提供着运维操作安全服务，其服务器数 量、在线维护人员数量等硬指标在全国首屈一指，是完全可以信赖的优秀产品。 至今，在国内，齐治公司是： 唯一专注于运维操作管理领域的厂商 在运营商、金融、互联网、电力、政府、烟草和海关等多个高端行业得 到大规模使用 唯一在单个用户超过 2,300 个并发用户环境成功部署 唯一在单个用户超过 10,000 台服务器环境成功部署 唯一在