堡垒机-麒麟开源堡垒机银行行业 设计方案
1 文档说明
1.1方案概述
随着银行范围和营业网点的不断延伸扩大,各类特色业务系统和基础网络设备随之上线运行,切实有效的保障了各分行业务的稳定性、安全性和灵活性。但与此同时,随着业务系统应用范围越来越广、数据越来越多,所需日常维护的系统和设备也在日益增长,科技运维部门面临的网络、系统安全稳定运行的压力也随之增加。
当前运维管理中存在的主要问题是,技术人员和维护人员的日常管理和维护都是直接登录业务系统、设备进行操作,没有针对运维操作进行统一管理、统一审计、统一分析的系统,造成运维操作没有办法进行监控分析,进而造成内部数据信息泄露、违规操作、恶意操作、密码外泄等一系列重大安全隐患。
随着监管对于日常运维工作审计记录的监管需求以及银行本身运维规范化管理的需求,实现分行骨干设备的运维操作的审计需求迫在眉睫。
1.2 银行行业运维操作现状一般银行行业都部署有AAA设备,实现了网络帐号统一管理、权限控制、及命令记录功能。但因为缺少专业的运维管理系统,对于运维操作的监控,还存在一定的盲区,主要表现为:
Ø 运维操作方式多样、分散,缺乏有效集中管理;
Ø 运维操作缺乏技术手段来约束;
Ø 对运维操作行为的审计方式不直观;
Ø 共享账号的情况普遍,给访问者定位带来难题。
2 需求分析2.1 需求分析
为改善银行分行运维审计的现状,落实监管需求,强化运维操作管理,部署一套运维审计平台成为解决这些问题的最优方案。
运维审计平台需要能满足如下功能:
Ø 提供集中、有效的运维操作管理;
Ø 具备技术手段来实现对运维操作的约束;
Ø 提供可视化的运维操作行为的审计方式;
Ø 通过审计信息来完善账号的操作管理;
Ø 运维审计记录保存一年以上。
2.2 实施范围
Ø 一级分行本部内网网络设备
Ø 二级分行内网网络设备
Ø 支行内网网络设备
Ø 社区银行内网网络设备
Ø 自助银行网络设备
Ø 基础服务器
Ø 其他服务器及设备(按需)
3 项目目标通过建设统一的运维管理平台,实现对人员、设备、操作的统一管理,及运维管理的白盒透明化,实现认证、权限、审计、口令的集中管理,最终形成一个完整安全的运维环境,有效防止信息泄露、密码丢失、恶意及误操作、不按规范操作等安全事件的产生。同时将各项运维管理规章制度,能以可监控的方式进行管理落地。
3.1 集中帐号管理n 实现对用户帐号的统一管理和维护
在实现集中帐号管理前,每一个新上线应用系统均需要建立一套新的用户帐号管理系统,并且分别由各自的管理员负责维护和管理。这种相对独立的帐号管理系统不仅建设前期投入成本较高,而且后期管理维护成本也会成倍增加。而通过堡垒主机的集中帐号管理,可实现对IT系统所需的帐号基础信息(包括用户身份信息、机构部门信息、其他公司相关信息,以及生命周期信息等)进行标准化的管理,能够为各IT系统提供基础的用户信息源。通过统一用户信息维护入口,保证各系统的用户帐号信息的唯一性和同步更新。
n 解决用户帐号共享问题
主机、数据库、网络设备中存在大量的共享帐号,当发生安全事故时,难于确定帐号的实际使用者,通过部署内控堡垒主机系统,可以解决共享帐号问题。
n 解决帐号锁定问题
用户登录失败五次,应对帐号进行锁定。网络设备、主机、应用系统等大都不支持帐号锁定功能。通过部署内控堡垒主机系统,可以实现用户帐号锁定、一键删除等功能。
3.2 集中身份认证和访问控制n 提供集中身份认证服务
实现用户访问IT系统的认证入口集中化和统一化,并实现高强度的认证方式,使整个IT系统的登录和认证行为可控制及可管理,从而提升业务连续性和系统安全性。
n 实现用户密码管理,满足SOX法案内控管理的要求
多数企业对主机、网络设备、数据库的访问都是基于“用户名+静态密码”访问,密码长期不更换,密码重复尝试的次数也没有限制,这些都不能满足SOX法案内控管理的需求。仅通过制度要求用户在密码更换、密码设定等方面满足SOX相关要求,无法在具体执行过程中对用户进行有效监督和检查。内控堡垒主机系统通过建设集中的认证系统,并结合集中帐号管理的相关功能,实现用户密码管理,密码自动变更,提高系统认证的安全性。
n 实现对用户的统一接入访问控制功能
部署堡垒主机前,维护人员接入IT系统进行维护操作具有接入方式多样、接入点分散的特点。而维护人员中很多是代维人员,这些代维人员来自于各集成商或设备供应商,人员参差不齐,流动性大。由于维护人员对系统拥有过大权限,缺乏对其进行访问控制和行为审计的手段,存在极大的安全隐患。内控堡垒主机系统统一维护人员访问系统和设备的入口,提供访问控制功能,有效的解决运维人员的操作问题,降低相关IT系统的安全风险。
3.3 集中授权管理n 实现统一的授权管理
各应用系统分别管理所属的资源,并为本系统的用户分配权限,若没有集中统一的资源授权管理平台,授权管理任务随着用户数量及应用系统数量的增加越来越重,系统的安全性也无法得到充分保证。内控堡垒主机系统实现统一的授权管理,对所有被管应用系统的授权信息进行标准化的管理,减轻管理员的管理工作,提升系统安全性。
n 授权流程化管理
通过内控堡垒主机系统,管理层可容易地对用户权限进行审查,并确保用户的权限中不能有不兼容职责,用户只能拥有与身份相符的权限,授权也有相应的工作流审批。
3.4 单点登录n 单点登录
内控堡垒主机提供了基于B/S的单点登录系统,用户通过一次登录系统后,就可以无需认证的访问包括被授权的多种基于B/S和C/S的应用系统。单点登录为具有多帐号的用户提供了方便快捷的访问途经,使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问来提高生产效率。同时,单点登录可以实现与用户授权管理的无缝连接,这样可以通过对用户、角色、行为和资源的授权,增加对资源的保护,和对用户行为的监控及审计。
n 规范操作流程
规范操作人员和第三方代维厂商的操作行为。通过内控堡垒主机系统的部署,所有系统管理人员,第三方系统维护人员,都必须通过内控堡垒主机系统来实施网络管理和服务器维护。对所有操作行为做到可控制、可审计、可追踪。审计人员定期对维护人员的操作进行审计,以提高维护人员的操作规范性。
内控堡垒主机系统规范了运维操作的工作流程,将管理员从繁琐的密码管理工作中解放出来,投入到其他工作上,对第三方代维厂商的维护操作也不再需要专门陪同,从而有效提高了运维管理效率。
3.5 实名运维审计n 实现集中的日志审计功能
各应用系统相互独立的日志审计,无法进行综合日志分析,很难通过日志审计发现异常或违规行为。内控堡垒主机系统提供集中的日志审计,能关联用户的操作行为,对非法登录和非法操作快速发现、分析、定位和响应,为安全审计和追踪提供依据。
n 辅助审查
通过集中的日志审计,可以收集用户访问网络设备、主机、数据库的操作日志记录,并对日志记录需要定期进行审查,满足内部控制规范中关于日志审计的需求,真正实现关联到自然人的日志审计。
4 应用部署规划4.1 访问流程
堡垒机接入方式为物理旁路、连接串行方式,堡垒机上线后,为了实现审计功能,要求所有的运维人员的运维操作都必须经过堡垒机跳转,因此,运维人员操作方式会有所改变,从原来的运维终端直接登录管理设备改为从运维终端通过堡垒机跳转登录。
接入堡垒机以后,ssh、telnet、rdp等运维操作改由PC运维终端先连接到堡垒机,在从堡垒机跳转到业务服务器,https、http、数据库等应用协议,改为由PC运维终端先通过堡垒机连接到应用发布服务器,在应用发布服务器上打开IE、数据库客户端等连接到业务服务器。
运维人员使用堡垒机方式主要包括WebPortal方式和工具直接登录方式二种。
WebPortal方式,用户希望进行运维操作时,需要先使用IE,在URL里输入:
https://堡垒机IP
打开堡垒机界面,输入主帐号用户名,密码为堡垒机主帐号密码+令牌产生的6位动态密码后打开WebPortal,在WebPortal中可以列出用户可以登录的所有设备,用户点击设备后面的工具时即可以直接登录到目标系统。
工具直接登录方式,用户通过WEB登录到堡垒机后,在设备管理-列表导出里,点击后面的提交按钮,可以将制作好的Session文件下载,并且导入相应的运维工具中,用户使用时,不需要修改过去的运维习惯,只需要打开运维工具,在运维工具中点击希望登录的设备后,输入堡垒机用户名,密码为堡垒机主帐号密码+令牌产生的6位动态密码即可以登录到目标系统。
工具登录方式sessions导入界面如下:
4.2 设备组分级
分行设备组采用树状分级至上而下为一级、二级、三级、四级、五级,整体设备组分级图如下:
4.3 账户分级4.3.1 账户分类
Ø 主账号:用于登陆堡垒机,即堡垒机的登陆账号
Ø 从账号:用于登陆账号使用,即网络设备及服务器的登陆账号
4.3.2 主账号分类运维堡垒机设置了五个用户角色:超级管理员、审计管理员、配置管理员、分组管理员、和普通用户,各角色具体权限如下表所示:
用户角色说明
用户权限说明
Ø 账号管理:用于添加、删除、编辑主帐号
Ø 资产管理:添加、删除、编辑设备和从帐号
Ø 系统配置管理:设置堡垒机自身的管理配置,比如监控参数、SYSLOG、服务起停、存储备份、网络配置等
Ø 运维审计策略配置:可登录来源IP、时间列表、运行命令黑白名单等
Ø 运维操作审计:查看审计运维人员操作过程
Ø 设备运维:通过堡垒机主帐号,登录运维设备从帐号进行运维操作
4.3.3 普通用户分组
[table=510]
序号
[td=1,1,221]组名
[td=1,1,386]可管理设备
1
[td=1,1,221]总行附属及海外机构运维中心
[td=1,1,386]全部分行网络设备、总行管理的基础服务器
2
[td=1,1,221]分行管理员组
[td=1,1,386]所辖所有网络设备
3
[td=1,1,221]二级分行管理员组
[td=1,1,386]所辖所有网络网络设备(除上联)
4
[td=1,1,221]分行监控组
[td=1,1,386]所辖所有网络设备
5
[td=1,1,221]总行合作公司运维组
[td=1,1,386]全部分行网络设备、总行管理的基础服务器
6
[td=1,1,221]分行外包运维组
[td=1,1,386]所辖社区银行网络设备
7
[td=1,1,221]总行网管组
[td=1,1,386]二台网管服务器
8
[td=1,1,221]服务器运维分行人员组
[td=1,1,386]基础服务器、生产服务器、开发服务器、办公服务器
9
[td=1,1,221]服务器运维总行人员组
[td=1,1,386]总行管理的基础服务器
4.4 认证方式
主账号采用双因素认证的方式,本次主要采用以下方式:
Ø 方式一: 实名帐号,密码+硬件令牌动态口令:
Ø 方式二: 实名帐号,密码+手机令牌动态口令:
堡垒机上线会自带200个手机令牌(支持安卓和IOS系统)和5个USBKEY硬件令牌,处于方便性考虑,建议优先使用手机令牌,如果遇到特殊情况在使用硬件令牌。
4.5 密码规则Œ用户必须更改首次登录的初始密码
用户密码符合复杂度要求(8~32 个字符,含大小写字符,特殊字符和数字)
Ž用户密码有效期设置为强制90天更改,80天后提醒修改
用户密码不能包含4个以上连续的相同字符
用户密码不能和之前设置的5次历史密码相同
‘用户密码恶意尝试3次后账户将自动禁用
4.6 目标设备管理1.堡垒机对于设备帐号的管理方式:
堡垒机对于设备帐号的管理方式主要包括托管方式和空用户方式,要求使用空用户方式。
托管方式是指将目标设备上的帐号和密码都录入到堡垒机上,运维人员通过堡垒机登录设备时,由堡垒机代替填写目标设备上的账号和密码,直接登录到系统。
空用户方式是指不把目标设备的帐号和密码录入到堡垒机,只是在堡垒机上为设备建立一个空用户的从帐号,运维人员通过堡垒机登录设备时,需要自己手工输入目标设备上的帐号和密码才能登录
空用户方式相比托管方式,安全性要高,堡垒机上不需要存贮用户名和密码,但是使用起来较托管方式麻烦。
2.堡垒机支持的设备类型:
堡垒机支持telnet/ftp/sftp/ssh/rdp/vnc/x11协议,只要使用这些协议进行远程登录的系统,都可以使用堡垒机进行管理。
对于一些使用B/S和C/S进行管理的应用,需要使用应用发布服务器,即将C/S安装在应用发布服务器后,当运维人员想登录系统进行操作时,先通过远程桌面连接到应用发布服务器,从应用发布服务器上打开相应B/S或C/S程序连接到系统进行操作。因此,对于应用的支持,如果应用可以安装在2008R2 64位系统上,即可使用。
4.7 数据留存策略
1.需要将日志留存策略设置为1年
2.同时需要使用外接存贮进行日志备份。堡垒机可以使用ftp或SFTP的方式将日志外发到外接存贮上,外发方式为增量备份,每天凌晨2点将前一天的审计数据上发到外接存贮上。
3.堡垒机具有FTP/SFTP上传下载文件审计(记录功能)为了不至堡垒机被FTP/SFTP审计文件占光存储,FTP/SFTP上传下载文件记录设置为10M以内,即,只记录10M以内的上传下载文件,10M以上的只记录文件名,不保存文件。
4.如果硬盘已满,将策略设置为覆盖旧文件(当系统空间满了以后,系统会自动删除文件,将系统硬盘留出5%的空间进行记录)
注:堡垒机系统内置2T的存储空间,通常情况下,可以保存25个运维人员一年的操作记录(以每个运维人员一天工作8小时计算),计算公式如下:
系统大约需要留500G做为系统使用,其余1.5T用于存贮审计日志。
每个人使用运维系统一小时平均大约占20M左右的空间,因此 20*8*365*25=1.46T
4.8 配置备份1.配置备份分为手工备份和自动备份二种方式,自动备份可以备份在分行提供的外接存贮服务器上,使用SFTP或FTP协议,手工备份由堡垒机管理员登录到前台,在堡垒机界面上进行配置备份。
2.自动配置备份要求每天备份一次,时间为每天凌晨2点。
3.手工配置备份要求每周备份一次。
4.9 访问策略
由于运维审计设备需要与网络设备、服务器等设备进行交流,因此需要在相关防火墙上开通如下访问策略:
4.10 开发环境策略规划
开发环境主要为了保证代码安全,因此开发环境帐号需要做如下策略:
1.采用跳板机方式,即为分行开发人员建立若干Windows服务器做为跳板机,开发人员登录到跳板机进行开发
2.开发人员登录到跳板机时,不允许使用RDP剪切板、不允许使用RDP磁盘映射
3.如果开发人员还有运维权限,为开发人员建立二个帐号,一个用于运维,一个用于开发,以避免误操作
4.以保证代码安全,另外应用发布服务器因为涉及对象并不针对代码保护,因此开发人员不要将代码保存在应用发布服务器上。
5.跳板机上需要安装杀毒软件,以避免病毒传递
4.11 访问控制堡垒机上线正式运行后,需要屏蔽运维人员直接访问目标设备。访问运维目标设备时,必须通过堡垒机跳转登录,因此,需要对运维人员的访问进行策略限制。
1. 网络设备使用ACS 对运维人员登录的来源IP进行限制,只允许堡垒机和应用发布IP来源才能登录网络设备
2.飞塔防火墙采用VTY限制方式,只允许堡垒机和应用发布IP才能访问飞塔防火墙进行管理运维
3.服务器管理通过防火墙策略限制,只允许堡垒机、应用发布服务器IP才能进行运维管理
访问策略完成后,运维人员必须通过堡垒机才能进行运维操作。
4.12 集中管理规划
1.部署模式:
集中管理服务器共计二台,部署在总部,用于监管和管理各分行堡垒机,二台集中管理服务器采用HA模式,二台之间相互备份,采用VRRP协议,当主用服务器出问题时,从服务器将启动服务IP接替主服务器提供服务。
部署图如下:
2.使用人员
集中管理服务器使用人员为总行维护和管理人员,总行管理人员通过集中管理服务器可以监控各分行的堡垒机的状态,并且生成各堡垒机的报表,也可以设置堡垒机上的权限。
总行运维人员可以通过集中管理服务器直接到各分行堡垒机上进行运维,不需要再次登录各分行的堡垒机。
3.集中管理服务器主要功能
集中管理服务器可以对分行堡垒机进行集中管理、单点登录、密码策略设置、监控堡垒机状态监控、统一生成各堡垒机的分析报表。
集中管理功能:
l 集中管理功能主要是总行管理人员管理各分行堡垒机,主要包括如下功能列表为:
l 堡垒机帐号管理:可以在各分行堡垒机上添加、修改、删除主帐号,修改主帐号密码、锁定和解锁主帐号;
l 服务器资源管理:可以在各分行堡垒机上添加、修改、删除服务器及从帐号
l 堡垒机权限管理:可以设置各堡垒机上的权限,进行权限绑定、解锁,并且可以设置权限上的授权列表,比如来源IP、黑白名单名单等
l 系统管理:可以对堡垒机的服务、认证模式、网络、证书等配置进行设置,可对堡垒进行配置备份和恢复
l 策略管理:可以设置各堡垒机的主帐号密码策略、监控策略等
l 集中权限管理:可以设置集中管理服务器上的用户具有哪些堡垒机上的用户的权限,经过将各堡垒机上的帐号映射给集中管理服务器上的帐号,集中管理服务器上的帐号就可以得到堡垒机上的相应权限
单点登录功能:
通过将若干分行堡垒机用户映射给相应的集中管理平台帐号,使用集中管理平台帐号登录时,即可以直接使用已经给予映射的堡垒机帐号权限,运维人员不再需要登录到各台堡垒机上进行操作,实现了堡垒机的单点登录。
密码策略设置:
集中管理平台上可以对堡垒机的主帐号密码进行密码策略设置,并且可以设置分行堡垒机是否可以修改密码策略,本次将设置分行可以对本地堡垒机进行策略修改,本次集中管理服务器上设置的堡垒机密码策略如下:
l 用户必须更改首次登录的初始密码
l 用户密码符合复杂度要求(8~32 个字符,含大小写字符,特殊字符和数字)
l 用户密码有效期设置为强制90天更改,80天后提醒修改
l 用户密码不能包含4个以上连续的相同字符
l 用户密码不能和之前设置的5次历史密码相同
l 用户密码恶意尝试3次后账户将自动禁用
报表功能:
集中管理服务器上可以实现报表打印,报表打印功能只能生成不同堡垒机上的报表,不能生成多个堡垒机的联合报表。报表输出格式包括堡垒机上所有的报表格式。
集中监控:
集中管理服务器还可以监控堡垒机、应用发布服务器当前状态,并且设置阀值,当系统超过阀值时,进行告警,设置阀值如下:
CPU 80%
内存 85%
硬盘 85%
SWAP 70%
SSH并发 600个
RDP并发 500个
或堡垒机、应用发布不能监控
当系统运行时,如果某项指标超过上述阀值将进行告警。
监控告警方式采用邮件方式,需要开通分行堡垒机到邮件服务器的TCP 25端口策略。
4.13 双机部署规划
双机部署模式说明:
双机模式中,二台堡垒机一台主机一台备机,二台机器的配置数据和审计录相实时自动同步,二台堡垒机使用VRRP协议监听一个热备份IP,默认情况下,热备份IP在主服务器上,当主服务器出现软、硬件问题时,热备份IP会自动切到从机上,从机接替主机进行服务。
双机模式可以共同使用同一台或多台应用发布服务器。
双机模式逻辑拓朴图如下:
环境要求:
主、从堡垒机需要在同一个网段,共计需要三个IP,主堡垒机管理IP一个、从堡垒机管理IP一个、浮动IP一个,主从之间通过VRRP协议进行监控
同步参数:
主帐号、主帐号口令、主帐号所有信息、设备信息、从帐号、从帐号口令、权限绑定关系、各种策略为实时同步,即修改一台堡垒机后立即同步到另一台
审计录相 每5分钟同步一次
同步模式为主、从双向,即无论配置主服务器、从服务器,都会立即同步到对端
支持延迟同步,即当二台服务器之间网络不通,当网络恢复后,会立即同步网络不通时期的配置数据和审计数据
切换参数:
切换时间:当一台主机出现问题时,切换时间不超过1秒
切换状态:二台主机不支持sessions同步,当发生切换时,所有的连接都会断开,需要重新连接
切换条件:当从机在VRRP中找不到主机时会启动切换、主机重要服务down机时会发生切换
抢占配置:系统默认为抢占模式,即主机下线修理恢复后,上线时会自动将主用抢占回来
堡垒机位置:
为了尽量减少单点故障,因此双机模式堡垒机位置需要尽可能多考虑冗余。
如果灾备机房与主机房之间可以实现同一个VLAN接入,并且两边带宽较高或可以波分带宽,则主堡垒机安装在主机房,从堡垒机安装在灾备机房
如果灾备机房没有安装条件,则从堡垒机与主堡垒机同时安装在主机房,但是必须安装在不同的交换机上。
主从堡垒机进行录相同步时,最多可能占用网络带宽为12M,如果采用灾备机房安装模式,需要考虑堡垒机录相同步占用带宽是否会影响业务,如果录相同步时流量可能影响业务,则需要在交换机接口设置CAR进行限速,前提以堡垒机同步流量不会影响业务为准。
5 物理部署规划
5.1 设备硬件信息
运维审计系统包括堡垒机和应用发布服务器两台设备,物理参数如下:
5.2 软件信息[table=406]
设备
[td=1,1,184]软件系统
[td=1,1,151]软件版本
堡垒机服务器
[td=1,1,184]麒麟堡垒机
[td=1,1,151]V1.1
应用发布服务器
[td=1,1,184]麒麟应用发布
[td=1,1,151]V1.3
5.3 系统LOGO
堡垒机LOGO在安装时,都已经被设置为银行运维审计平台,以与其它系统进行区分。
5.4 地址规划参照分行部署规范,运维审计堡垒机及应用发布平台,需要分行分配在基础服务器区域,分配【177.XX.XX.XX】的地址,两台设备分别需要分配IP地址,且两个地址需要在一个子网。
示例如下
5.5 部署规划
n 堡垒机、应用发布平台各需要2U的机柜空间位置
n 堡垒机、应用发布平台需要部署在基础服务器接入区
n 堡垒机、应用发布平台个需要2*10A电源