数据库审计和堡垒机区别(「网络安全」安全设备篇(14)——堡垒机)

Posted

篇首语:如果学习只在于模仿,那么我们就不会有科学,也不会有技术。本文由小常识网(cha138.com)小编为大家整理,主要介绍了数据库审计和堡垒机区别(「网络安全」安全设备篇(14)——堡垒机)相关的知识,希望对你有一定的参考价值。

数据库审计和堡垒机区别(「网络安全」安全设备篇(14)——堡垒机)

运维安全两大难题

随着企事业单位IT系统的不断发展,网络规模和设备数量迅速扩大,IT系统日趋复杂,不同背景运维人员的行为给信息系统安全带来较大风险,主要表现在:

  • 缺少统一的权限管理平台,权限管理日趋繁重和无序;而且维护人员的权限大多是粗放管理,无法基于最小权限分配原则的用户权限管理,难以实现更细粒度的命令级权限控制,系统安全性无法充分保证。
  • 无法制定统一的访问审计策略,审计粒度粗。各网络设备、主机系统、数据库是分别单独审计记录访问行为,由于没有统一审计策略,并且各系统自身审计日志内容深浅不一,难以及时通过系统自身审计发现违规操作行为和追查取证。

什么是堡垒机

堡垒机是在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责,有效解决了运维安全两大难题。

堡垒机本质上可以看作用于防御攻击的计算机,又被称为"堡垒主机"。堡垒机是一个主机系统,其自身通常经过了一定的加固,具有较高的安全性,可抵御一定的攻击。堡垒机将需要保护的信息系统资源与安全威胁的来源进行隔离,从而在被保护的资源前面形成一个坚固的"堡垒",并且在抵御威胁的同时又不影响普通用户对资源的正常访问,堡垒机还集成了行为审计和权限控制,从而加强了对操作和安全的控制。

堡垒机分类

根据实际使用场景的不同和业务需要,堡垒机主要分为网关型堡垒机和运维审计型堡垒机。

  • 网关型堡垒机

网关型堡垒机主要部署在外部网络和内部网络之间,本身不直接向外部提供服务,而是作为进入内部网络的一个检查点,用于提供对内部网络特定资源的安全访问控制。

网关型堡垒机不提供路由功能,将内外网从网络层隔离开来,除授权访问外,还可以过滤掉一些针对内网的、来自应用层以下的攻击,为内部网络资源提供了一道安全屏障。但由于此类堡垒机需要处理应用层的数据内容,性能消耗很大,所以随着网络进出口处流量越来越大,部署在网关位置的堡垒机逐渐成为了性能瓶颈,因此,网关型的堡垒机逐渐被日趋成熟的防火墙、UTM、IPS、网闸等安全产品所取代。

  • 运维审计型堡垒机

运维审计型堡垒机,也被称作"内控堡垒机",这类堡垒机也是当前应用最为普遍的一种。运维审计型堡垒机被部署在内网中服务器和网络设备等核心资源的前面,对运维人员的操作权限进行控制和操作行为审计。

运维审计型堡垒机即解决了运维人员权限难以控制混乱局面,又可对违规操作行为进行控制和审计,而且由于运维操作本身不会产生大规模的流量,堡垒机不会成为性能的瓶颈,所以堡垒机作为运维操作审计的手段得到了快速发展。

堡垒机运维审计工作原理

堡垒机运维操作审计的工作原理示意图如下所示:

堡垒机的用户通常包括:管理人员、运维操作人员、审计人员三类用户。

  • 管理员根据相应的安全策略和运维人员应有的操作权限来配置堡垒机的安全策略。堡垒机管理员登录堡垒机后,在堡垒机内部,【策略管理】组件负责与管理员进行交互,并将管理员输入的安全策略存储到堡垒机内部的策略配置库中。
  • 【应用代理】组件是堡垒机的核心,负责中转运维操作用户的操作并与堡垒机内部其他组件进行交互。【应用代理】组件收到运维人员的操作请求后调用【策略管理】组件对该操作行为进行核查,核查依据便是管理员已经配置好的策略配置库,如此次操作不符合安全策略,【应用代理】组件将拒绝该操作行为的执行。
  • 运维人员的操作行为通过【策略管理】组件的核查验证之后,【应用代理】组件则代替运维人员连接目标设备完成相应操作,并将操作返回结果返回给对应的运维操作人员;同时,此次操作过程被提交给堡垒机内部的【审计模块】,然后此次操作过程被记录到审计日志数据库中。
  • 最后,当需要调查运维人员的历史操作记录时,由审计员登录堡垒机进行查询,然后【审计模块】从审计日志数据库中读取相应日志记录并展示在审计员交互界面上。

堡垒机运维审计工作流程

运维审计型堡垒机对于运维操作人员相当于一台代理服务器(Proxy Server),其工作流程示意图如下所示:

运维人员在操作过程中首先连接到堡垒机,然后向堡垒机提交操作请求,该请求通过堡垒机的权限检查后,堡垒机的应用代理模块将代替用户连接到目标设备完成该操作,之后目标设备将操作结果返回给堡垒机,最后堡垒机再将操作结果返回给运维操作人员。

通过这种方式,堡垒机逻辑上将运维人员与目标设备隔离开来,建立了从“运维人员->堡垒机用户账号->授权->目标设备账号->目标设备”的管理模式,解决操作权限控制和行为审计问题的同时,也解决了加密协议和图形协议等无法通过协议还原进行审计的问题。

堡垒机作用

堡垒机作为集中访问入口和操作审计的保障,提供了一套多维度的运维操作权限管理与审计解决方案,使得管理人员可以全面对各种资源(如网络设备、服务器、安全设备和数据库等)进行集中账号管理、细粒度的权限管理和访问审计,帮助企业提升内部风险控制水平。

相关参考

数据采集是啥(审计数据采集简介(知识普及篇))

审计数据采集是审计项目开展的重要环节。审计数据采集不仅会影响到对被审计单位的审计结论,还会影响审计项目资源的投入产出。审计数据采集也是实施大数据审计的基本条件。下面进行简要梳理:一、数据选择原则1.选择...

深信服上网行为审计(政务外网终端“一机两用”安全管控难?零信任给出答案)

政务服务数字化早已不是新鲜事儿,小到日常出行、核酸采集、电子证照,大到社区服务、医疗健康、人事资源,“互联网+政务服务”已无形中深入百姓生活。越来越多的政务人员需要接入政务外网进行办公,接入政务外网的...

深信服上网行为审计(政务外网终端“一机两用”安全管控难?零信任给出答案)

政务服务数字化早已不是新鲜事儿,小到日常出行、核酸采集、电子证照,大到社区服务、医疗健康、人事资源,“互联网+政务服务”已无形中深入百姓生活。越来越多的政务人员需要接入政务外网进行办公,接入政务外网的...

应用网关防火墙(网络安全」安全设备篇(1)——防火墙)

...不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可以通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全...

流量分流器(纤亿通——网络分流器(汇聚分流设备)介绍)

产品概述随着网络安全、网络管理的要求不断提高,需要越来越多的安全审计类设备和辅助分析类设备部署到网络中。我司结合市场需求,生产的网络分流设备(汇聚分流)能提供灵活高效的流量集、过滤、汇聚、分流、负载均...

流量分流器(纤亿通——网络分流器(汇聚分流设备)介绍)

产品概述随着网络安全、网络管理的要求不断提高,需要越来越多的安全审计类设备和辅助分析类设备部署到网络中。我司结合市场需求,生产的网络分流设备(汇聚分流)能提供灵活高效的流量集、过滤、汇聚、分流、负载均...

消除机(一文读懂市场操纵和预言机操纵的区别)

免责声明:本文旨在传递更多市场信息,不构成任何投资建议。文章仅代表作者观点,不代表MarsBit官方立场。小编:记得关注哦来源:Chainlink区块链预言机的安全性对于Web3来说至关重要,安全的预言机催生出了一系列丰富的去...

消除机(一文读懂市场操纵和预言机操纵的区别)

免责声明:本文旨在传递更多市场信息,不构成任何投资建议。文章仅代表作者观点,不代表MarsBit官方立场。小编:记得关注哦来源:Chainlink区块链预言机的安全性对于Web3来说至关重要,安全的预言机催生出了一系列丰富的去...

新手配置交换机详细教程(交换机的基础配置(教学篇))

...个VLAN(虚拟局域网),有效地分割广播域,提高网络的安全性和可靠性。■相关知识1、交换机的工作原理交换机是数据链路层设备,它能够读取数据包中的MAC(网卡)地址信息,并根据MAC来进行交换,如图1所示。图1交换机的...

江淮瑞风商务车用什么轮胎好(高强钢使用率超奥迪Q3、奔驰GLC,这样的瑞风S4就是移动堡垒)

近年来,随着国家经济水平和国民生活质量的提升,汽车已成为人们生活中上下班代步、自驾旅游等出行时不可或缺的交通工具。而随着汽车使用率的提升,人们对汽车安全性的要求也是越来越高,尤其是年轻消费者们对待汽车...