需求分析
隨著企業信息化進程不斷深入,企業的IT系統變得日益復雜,不同背景的運維人員違規操作導致的安全問題變得日益突出起來,主要表現在:內部人員操作的安全隱患、第三方維護人員安全隱患、高權限賬號濫用風險、系統共享賬號安全隱患、違規行為無法控制的風險。
運維操作過程是導致安全事件頻發的主要環節,所以對運維操作過程的安全管控就顯得極為重要。而防火墻、防病毒、入侵檢測系統等常規的安全產品可以解決一部分安全問題,但對于運維人員的違規操作卻無能為力。如何轉換運維安全管控模式,降低人為安全風險,滿足企業要求,是當下所面臨的迫切需求。
產品簡介
產品簡介
天玥運維安全網關,俗稱堡壘機,能夠對運維人員維護過程進行全面跟蹤、控制、記錄、回放;支持細粒度配置運維人員的訪問權限,實時阻斷違規、越權的訪問行為,同時提供維護人員操作的全過程的記錄與報告;系統支持對加密與圖形協議進行審計,消除了傳統行為審計系統中的審計盲點,是IT系統內部控制最有力的支撐平臺。運維過程三個階段進行嚴格管控:
事前預防:建立“自然人-資源-資源賬號”關系,實現統一認證和授權
事中控制:建立“自然人-操作-資源”關系,實現操作審計和控制
事后審計:建立“自然人-資源-審計日志”關系,實現事后溯源和責任界定
功能特點
-
?部署方式靈活性:
天玥運維安全網關支持單機、雙機、分布式部署多種部署方式,并支持NAT和網口聚合方式,適應多變業務場景。
-
?操作使用便捷性:
天玥運維安全網關提供多種運維方式、C/S運維客戶端、資源批量登錄、命令批量執行、設備自動改密等多種功能以保證運維過程的自動和快捷性。
-
?管控方式嚴格性:
天玥運維安全網關提供命令限制與復核、應用發布防跳轉、運維賬號IP、MAC限制等。嚴格的管控方式以保證運維過程的規范性。
-
?審計效果精細化:
數據庫協議深度解析、數據庫返回行數記錄、Oracle數據庫變量綁定解析。
-
?認證方式多樣性:
天玥運維安全網關包括多樣認證方式,支持對不同用戶設置不同認證方式組合的雙因素認證,更具靈活性。
-
?運維協議全面性:
天玥運維安全網關支持多種運維訪問協議,能夠充分滿足日常運維需要。
技術優勢
-
堡壘機分身
虛化出多臺堡壘機,適用于分權分域的用戶管理場景。
-
虛擬化部署
支持VMware、VirtualBox、KVM和Xen(HVM)虛擬化環境部署。
-
運維操作防跳轉
防止通過應用發布服務器進行跳轉登錄未授權資源。web頁面防跳轉功能,進行http/https訪問過程時運維人員僅允許訪問授權地址。
-
雙重審計
實現數據庫協議、字符協議、文件傳輸協議命令和錄像的雙重審計。實現命令審計和錄像審計的關聯檢索和回放。
-
命令限制與復核
對于高危命令實現實時告警或阻斷。對于特別重要的命令實現多人審核。
-
數據庫深度解析
數據庫協議級審計。數據庫返回行數記錄。Oracle數據庫變量綁定解析。
-
敏感數據管控
運維人員擁有高權限系統賬號,會接觸到重要敏感數據。對運維人員上傳、下載、流轉重要敏感數據進行控制和記錄。
典型應用
單雙機部署:
天玥運維安全網關旁路方式部署于網絡中,無需對網絡結構進行任何調整。
運維人員直接訪問天玥運維安全網關的對應端口,建立安全加密的數據通道,然后發起到服務器對應服務的訪問,無需直接訪問服務器,從而進一步加強內部服務器的安全性。
支持HA雙機熱備部署,以避免單點故障隱患,最大程度滿足運維的可靠性和連續性。
分布式部署:
支持添加多臺堡壘機作為協議代理服務器,分擔主堡壘機性能壓力,擴展運維能力。
多協議代理服務器節點可訪問相同資源時實現自動負載均衡。
主堡壘機集中管理配置和日志信息。
大規模應用
某省電信網管中心部署堡壘機集群32臺,接入資源7000多個,發布運維工具60多個、編輯工具6個、專用工具9個。
運維用戶同時在線5520人,并發7800多個會話的壓力下,用戶體驗依然良好。
云合作模式
與某電子政務云服務商合作,由云服務商以增值服務的方式向他們的租戶推廣我們的云堡壘機。
我們為云服務商提供云堡壘機軟件和授權,并且按照授權中云資產管理數量每年向云服務商收取相應的授權費用。
參數列表
指標項 | OSM-6600系列 |
設備形態 | 標準機架式硬件設備 |
性能規格 | 冗余雙電源 |
設備標配6個千兆電口、4個SFP千兆光口 | |
2個接口擴展槽位 | |
最大字符并發會話數:1200,最大圖形并發會話數:400 | |
硬盤容量2T | |
資源授權 | 可選100/200/300等資源授權,用戶授權不限 |
部署方式 | 物理旁路,邏輯串聯模式,不影響現有網絡結構 |
單機部署、雙機熱備部署 | |
協議審計 | 支持字符協議SSHv1、SSHv2、TELNET、RLOGIN和文件傳輸協議FTP、SFTP的協議審計,審計詳細的操作語句和操作語句的執行結果 |
支持RDP、VNC圖形操作過程中鍵盤輸入操作記錄和鼠標點擊行為記錄,并支持開啟或關閉鍵盤輸入審計功能 | |
支持Oracle、Postgresql、Sybase、MySQL、SQL server等數據庫協議審計 | |
支持通過應用發布實現數據庫操作的命令級審計和圖形審計的雙重審計效果,命令級審計便于重現真實的完整操作命令,圖形審計便于直觀的查看到真實的操作行為,并支持通過搜索操作語句關鍵字定位審計回放 | |
支持通過應用發布進行協議擴展,支持http/https協議、X11協議、VMware vSphere Client、Radmin等第三方客戶端工具,并支持賬號密碼代填登錄;應用發布調用只能推送應用工具窗口,不得推送windows桌面,以提升用戶體驗 | |
身份認證 | 業務管理組:分屬不同業務管理組的業務管理員只能管理所在業務管理組內的用戶、資源、策略和審計管理,適用于不同的管理部門有獨立的管理員,運維人員,資源和審計管理要求的場景 |
用戶賬號命名字母區分大小寫、賬號支持中文,賬號長度最大支持256位字節 | |
用戶密碼策略包括:最小密碼長度、密碼復雜度、密碼周期、歷史比對和登錄鎖定,用戶多次登錄失敗自動鎖定帳號或IP | |
訪問控制 | 訪問策略基于用戶、用戶組、資源、資源組、系統帳號、協議類型、生效時間范圍、IP地址限制等進行設置 |
支持基于時間集合、IP集合、命令集合設置訪問策略或命令策略 | |
支持管理員下發工單,授權運維人員有權限在指定時間內訪問指定的資源 | |
命令策略中對違規或高危指令支持正則表達式設置匹配規則,命令策略對TELNET、SSH、FTP、SFTP和數據庫的違規或高危操作的指令(黑白名單)進行日志提醒、忽略命令、阻斷會話或二次審批 | |
管理功能 | 支持WEB在線視頻回放方式對數據庫、字符、文件、圖形等協議的操作進行回放 |
支持通過搜索操作關鍵字定位回放 | |
會話協議回放空閑時間過濾,應用發布圖像操作回放支持操作空閑過濾(可設置無操作多長時間開始過濾) | |
支持周期性改密計劃功能,支持改密結果自動發送到制定改密計劃的管理員郵箱;密碼文件加密保存,需要專用查看工具查看,以保證安全性 | |
支持改密的資源包括:Linux、Unix、Windows(采用RPC方式)、AIX以及數據庫Oracle、SqlServer、PostgreSQL、MySql、DB2、Informix 、SYBASE | |
兼容性 | 支持安全管理平臺通過標準SNMP協議或Syslog日志格式等方式采集數據進行統一管理 |
京公網安備11010802024551號