天玥网络安全审计系统(业务堡垒机)产品介绍
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1
• 现状与需求
• 原理与功能 • 典型部署 • 成功案例
传统运维工作
数据库管理员 系统管理员
三楼楼长
安全管理员
厂商代维人员
操作人员++
系统账号 系统账号
系统与设备++
3
关键问题
共享 帐号
访问 控制
关键 问题
权限 控制
操作 审计
4
关键问题-共享账号
共享账号
节约了帐号管 理成本 降低了本地溢 出的风险
32
操作审计-会话回放
33
操作审计-SFTP操作审计
• 可记录会话开始时间、登录用户名、源 IP地址,可查看sftp会话的细节(访问目 录、上传下载文件信息等)。
34
操作审计-精确检索
• 可按时间段、目标主机、系统账号、用 户和关键字为条件进行查询。支持通配 符。
35
操作审计-完美呈现
• 可按用户或分组进行报表展示,可显示 具体用户或分组的web登录次数、ssh登 录次数、sftp登录次数以及ssh命令数量。 • 可生成多种审计视图。
29
权限控制-创建命令防火墙策略
• 可按用户或分组创建命令防火墙策略; • 可调整防火墙策略的优先级; • 严格限制用户进入设备之后的命令执行。
30
权限控制-执行命令防火墙策略
31
操作审计-会话与命令审计
• 可显示会话的开始、结束时间、用户名、 源IP、会话状态,可查看该会话的命令、 命令输出,并对会话进行回放。 • 回放过程中可进行暂停、继续。 • 支持各种功能键(TAB,上下箭头,回 退等)扩展后的命令和输出结果。 • 可区分用户的输入命令和输出结果;输 入与输出分开,输出信息可以显示概要。 • 可对实时会话进行标识。
内部工作人员
内部维护人员 外包人员
业务人员
A地办公系统
B地IT支撑系统
C地业务系统
44
产品优势
一体化合归性解决方案 最佳实践
最广泛的UNIX平台支持 • 服务器:AIX、HPUX、 SUN、SCO UNIX、Linux • 网络设备:CISCO、 JUNIPER、华为 • 存储设备:Netapp 、 EMC等 • 交换传输设备:华为、 NOKIA、西门子等 完整清晰的操作记录 • 键盘输入命令和屏幕的输 出结果 • 多台机器间跳转操作的关 联记录 • 支持加密传输(SSH)的操 作记录 • 支持文本编辑软件(vi) 操作记录 • 支持各种交互式命令(SQL) 操作 • 支持各种功能键的扩展 ( TAB,ESC补齐,回退, 删除,上下箭头等) • 支持命令的粘贴 • 支持组合命令 精确的搜索与快速实施 • 命令的具体时间点和时间 段 • 用户账号,系统账号,服 务器 • 输入的命令与输出结果做 全文检索 • 不需要用户端安装代理软 件 • 不需要被管理设备上安装 代理软件 • 不需要调整用户网络 • 所有配置只在一台设备上 完成
26
访问控制
who----用户
where---可访问设备 account---设备权限
访 问 严 控 格 制 的 列 表
27
访问控制-创建访问控制列表
• 先创建分组,再选择分组内所管辖的用 户与资源账号。
28
访问控制-执行访问控制策略
• 用户使用自己的账号登录天玥IV时,天 玥IV只反馈给该用户所属分组范围内设 备。
帐号不具有唯 一性 密码难以管理 责任难以认定
5
关键问题-访问控制
username password
username password
6
关键问题-权限控制
ห้องสมุดไป่ตู้
root password
IP层的访问控制措施
rm -rf xx.xx telnet xx.xx.xx delete from xx ……
7
关键问题-操作审计
• 根据工作职能给用户分配角色;
– – – – 账号管理员 配置管理员 审计管理员 普通用户
• 真正实现三权分立。
19
集中管理-部门管理
• 完善的分级权限管理:根据人员、资源 所处部门(系统)的不同,实现二级部 门的分权限管理。二级部门内的管理员 只能管理本部门内的资源。
20
集中管理-自然人账号管理
– – – – –
42
电信运营商 金融 门户网站运营商 网络游戏服务提供商 。。。。。。
部署方式-单级部署
天玥IV单级部署示意图
核心服务器区
文件服务器 Web服务器 数据库系统 应用服务器
天玥IV-主
HA
天玥IV-备
Internet 用户终端
43
部署方式-分布式部署
天玥IV分布式部署示意图
集中监控平台
面 自
认证,身份识别 Web登录
会话浏览 会话回放 日志查询 报表展现
审 计 界 面
全局策略 密码策略 用户管理 设备管理 账号管理 部门管理 授权管理 权限控制
配 置 界 面
天玥IV
SSH客户端 登录
定期修改口令 Shell Portal 根据分组授权 显示设备列表 通过代填登录
堡垒机程序记录用户屏幕 操作
36
系统自管理-AD域账号同步
• 提供API接口,可以被其他管理平台调用; • 提供与LDAP账号数据库同步的接口。
37
系统自管理-SSH证书管理
• 针对ssh设备,可生成设备账号的ssh证书, 这样堡垒机与ssh设备可直接通过证书交 互完成二次认证,比密码认证更加安全。
38
系统自管理-双机热备与数据同步
10
• 现状与需求
• 原理与功能 • 典型部署 • 成功案例
设计原理-安全小区模型
垃圾筒
收 垃 圾
住 户
垃圾筒
花园
where/wha t
锄 草 工
草坪
name
who
住 户
12
name
园 丁
住 户
name
name
操作管理-核心要素与内容
各种角色的人
审计
权限控制
各种操作命令
访问控制 集中管理
各种资源
45
• 现状与需求
• 原理与功能 • 典型部署 • 成功案例
成功案例
• • • • • • • •
47
新疆移动(网管中心/新业务开发中心) 广东移动(省计费中心) 福建移动(省网管中心/信息中心) 佛山移动(网管中心/IDC) 珠海移动(网管中心) 广东电信(智能网) 广东网通(DCN) 河北网通(网管网)
• 设备账号口令管理:
– 新增设备账号时,需手工同步该账号的密码; – 然后即可按照不同级别的设备账号密码策略 进行定期修改,并以加密的方式发送给密码 保管员。
24
集中管理-密码策略管理
25
集中管理-数据的导入导出
• 可以对用户列表、设备列表、设备账号 列表、部门列表进行批量导入导出,节 省管理员管理成本; • 提供导入模版供下载参考。
• 通过HA保证系统的高可用性; • 主备系统之间可以进行手工与自动数据 同步。
39
系统自管理-邮件服务器配置
• 通过配置第三方的邮件服务器,可以给 普通用户发送口令密码,给密码保管员 发送设备账号修改后的密码。
40
• 现状与需求
• 原理与功能 • 典型部署 • 成功案例
适用场景
• 解决用户在维护大量Unix/Linux主机、网络设 备时面临的集中控制、帐号与口令的管理、操 作记录等问题,特别是针对加密协议SSH的记 录。 • 支持telnet和SSH设备,扩展支持命令行方式的 Oracle维护、图形化的sftp工具。 • 适用行业:
堡垒机模拟 telnet/SSH 终端,代填 IP1地址与 account1 账号的口令, 完成从账号 的登录。
Device1:IP1,telnet服务
SSH/telnet 设 备
17
集中管理-身份管理
用户帐号
+
身份认证 系统账号 系统认证 = 天玥IV 系统授权 系统帐号
+
+
系统授权
18
集中管理-角色管理
谢谢!
欢迎光临启明星辰大厦参观指导!
48
SSH/telnet设备
15
集中管理-集中登录
需要从网络层做访问控制,保证所有的用户只能通过天玥IV来访问所有的资源。
16
集中管理-二次登录
Device1:IP1 Device1:IP1 account1 account2 Device2:IP2 account3 Device3:IP3 ……
主账号登录 天玥IV
13
天玥IV型的主要功能
按部门分配资源 集中管理各种资源 按职能定义策略 集中管理账号口令 用户与资源对应
集中管理
执行访问控制策略
操 作 审 计
按条件进行检索
操作 管理
权限控制
访 问 控 制
按条件生成报表 按条件进行回放
选择用户或分组 按权限定义命令 选择响应方式
14
天玥IV工作原理
参数配置 服 务 口令修改 界
时间1 源IP1 源MAC1 系统账号1 commands
1.无法分析跳转行为; 2.无法实现操作日志 时间3 与用户身份的关联; 源IP3
源MAC3 系统账号3 commands
时间2 源IP2 源MAC2 系统账号2 commands
用户账单 被修改
8
需求描述-1
• 集中管理
– – – – – 集中管理用户、设备、系统账号; 集中管理用户、系统账号的密码; 所有用户集中登录、集中认证; 集中配置账号密码策略、访问控制策略; 集中管理所有用户操作记录;
• 为维护人员分配惟一标识其身份的账号; • 账号属性管理:
– – – – – – – 登录名 真实姓名 邮箱地址(接收初始化密码) 有效期限 所属部门 账号状态(活动/禁用) 角色
21
集中管理-设备管理
• 集中管理所有资源:
设备名称 IP地址 登录协议/端口 所属部门 设备类型 可定制化的自动登录脚本(用户堡垒机到设 备的二次登录) – 对跳转设备(Oracle/BSC等)的支持 – – – – – –
• 访问控制
– 根据用户角色设置分组访问控制策略; – 实现“用户-系统-系统账号”的对应关系; – 实现实体级的访问控制授权;
9
需求描述-2
• 权限控制
– 可设置以命令为基础的权限控制策略; – 实现命令级别的实体内授权;
• 操作审计
– 以用户身份为依据,真实完整的记录每个用 户的所有操作行为; – 精确到命令的审计机制; – 对用户的操作进行仿真回放; – 记录加密维护协议SSH数据。
22
集中管理-系统账号管理
• 集中管理所有设备内部的系统账号;
– 系统账号名称 – 系统账号密码(如果启用,可由堡垒机完成 到设备的二次登录) – 定期修改该账号的密码 – 所属设备 – 修改密码时采用的密码策略
23
集中管理-账号口令管理
• 用户口令管理:
– 创建用户时,可按用户密码策略给该用户生 成强壮的口令; – 该口令可以通过预设邮箱发送给用户,也可 以由管理员手工管理并通知该用户;
• 现状与需求
• 原理与功能 • 典型部署 • 成功案例
传统运维工作
数据库管理员 系统管理员
三楼楼长
安全管理员
厂商代维人员
操作人员++
系统账号 系统账号
系统与设备++
3
关键问题
共享 帐号
访问 控制
关键 问题
权限 控制
操作 审计
4
关键问题-共享账号
共享账号
节约了帐号管 理成本 降低了本地溢 出的风险
32
操作审计-会话回放
33
操作审计-SFTP操作审计
• 可记录会话开始时间、登录用户名、源 IP地址,可查看sftp会话的细节(访问目 录、上传下载文件信息等)。
34
操作审计-精确检索
• 可按时间段、目标主机、系统账号、用 户和关键字为条件进行查询。支持通配 符。
35
操作审计-完美呈现
• 可按用户或分组进行报表展示,可显示 具体用户或分组的web登录次数、ssh登 录次数、sftp登录次数以及ssh命令数量。 • 可生成多种审计视图。
29
权限控制-创建命令防火墙策略
• 可按用户或分组创建命令防火墙策略; • 可调整防火墙策略的优先级; • 严格限制用户进入设备之后的命令执行。
30
权限控制-执行命令防火墙策略
31
操作审计-会话与命令审计
• 可显示会话的开始、结束时间、用户名、 源IP、会话状态,可查看该会话的命令、 命令输出,并对会话进行回放。 • 回放过程中可进行暂停、继续。 • 支持各种功能键(TAB,上下箭头,回 退等)扩展后的命令和输出结果。 • 可区分用户的输入命令和输出结果;输 入与输出分开,输出信息可以显示概要。 • 可对实时会话进行标识。
内部工作人员
内部维护人员 外包人员
业务人员
A地办公系统
B地IT支撑系统
C地业务系统
44
产品优势
一体化合归性解决方案 最佳实践
最广泛的UNIX平台支持 • 服务器:AIX、HPUX、 SUN、SCO UNIX、Linux • 网络设备:CISCO、 JUNIPER、华为 • 存储设备:Netapp 、 EMC等 • 交换传输设备:华为、 NOKIA、西门子等 完整清晰的操作记录 • 键盘输入命令和屏幕的输 出结果 • 多台机器间跳转操作的关 联记录 • 支持加密传输(SSH)的操 作记录 • 支持文本编辑软件(vi) 操作记录 • 支持各种交互式命令(SQL) 操作 • 支持各种功能键的扩展 ( TAB,ESC补齐,回退, 删除,上下箭头等) • 支持命令的粘贴 • 支持组合命令 精确的搜索与快速实施 • 命令的具体时间点和时间 段 • 用户账号,系统账号,服 务器 • 输入的命令与输出结果做 全文检索 • 不需要用户端安装代理软 件 • 不需要被管理设备上安装 代理软件 • 不需要调整用户网络 • 所有配置只在一台设备上 完成
26
访问控制
who----用户
where---可访问设备 account---设备权限
访 问 严 控 格 制 的 列 表
27
访问控制-创建访问控制列表
• 先创建分组,再选择分组内所管辖的用 户与资源账号。
28
访问控制-执行访问控制策略
• 用户使用自己的账号登录天玥IV时,天 玥IV只反馈给该用户所属分组范围内设 备。
帐号不具有唯 一性 密码难以管理 责任难以认定
5
关键问题-访问控制
username password
username password
6
关键问题-权限控制
ห้องสมุดไป่ตู้
root password
IP层的访问控制措施
rm -rf xx.xx telnet xx.xx.xx delete from xx ……
7
关键问题-操作审计
• 根据工作职能给用户分配角色;
– – – – 账号管理员 配置管理员 审计管理员 普通用户
• 真正实现三权分立。
19
集中管理-部门管理
• 完善的分级权限管理:根据人员、资源 所处部门(系统)的不同,实现二级部 门的分权限管理。二级部门内的管理员 只能管理本部门内的资源。
20
集中管理-自然人账号管理
– – – – –
42
电信运营商 金融 门户网站运营商 网络游戏服务提供商 。。。。。。
部署方式-单级部署
天玥IV单级部署示意图
核心服务器区
文件服务器 Web服务器 数据库系统 应用服务器
天玥IV-主
HA
天玥IV-备
Internet 用户终端
43
部署方式-分布式部署
天玥IV分布式部署示意图
集中监控平台
面 自
认证,身份识别 Web登录
会话浏览 会话回放 日志查询 报表展现
审 计 界 面
全局策略 密码策略 用户管理 设备管理 账号管理 部门管理 授权管理 权限控制
配 置 界 面
天玥IV
SSH客户端 登录
定期修改口令 Shell Portal 根据分组授权 显示设备列表 通过代填登录
堡垒机程序记录用户屏幕 操作
36
系统自管理-AD域账号同步
• 提供API接口,可以被其他管理平台调用; • 提供与LDAP账号数据库同步的接口。
37
系统自管理-SSH证书管理
• 针对ssh设备,可生成设备账号的ssh证书, 这样堡垒机与ssh设备可直接通过证书交 互完成二次认证,比密码认证更加安全。
38
系统自管理-双机热备与数据同步
10
• 现状与需求
• 原理与功能 • 典型部署 • 成功案例
设计原理-安全小区模型
垃圾筒
收 垃 圾
住 户
垃圾筒
花园
where/wha t
锄 草 工
草坪
name
who
住 户
12
name
园 丁
住 户
name
name
操作管理-核心要素与内容
各种角色的人
审计
权限控制
各种操作命令
访问控制 集中管理
各种资源
45
• 现状与需求
• 原理与功能 • 典型部署 • 成功案例
成功案例
• • • • • • • •
47
新疆移动(网管中心/新业务开发中心) 广东移动(省计费中心) 福建移动(省网管中心/信息中心) 佛山移动(网管中心/IDC) 珠海移动(网管中心) 广东电信(智能网) 广东网通(DCN) 河北网通(网管网)
• 设备账号口令管理:
– 新增设备账号时,需手工同步该账号的密码; – 然后即可按照不同级别的设备账号密码策略 进行定期修改,并以加密的方式发送给密码 保管员。
24
集中管理-密码策略管理
25
集中管理-数据的导入导出
• 可以对用户列表、设备列表、设备账号 列表、部门列表进行批量导入导出,节 省管理员管理成本; • 提供导入模版供下载参考。
• 通过HA保证系统的高可用性; • 主备系统之间可以进行手工与自动数据 同步。
39
系统自管理-邮件服务器配置
• 通过配置第三方的邮件服务器,可以给 普通用户发送口令密码,给密码保管员 发送设备账号修改后的密码。
40
• 现状与需求
• 原理与功能 • 典型部署 • 成功案例
适用场景
• 解决用户在维护大量Unix/Linux主机、网络设 备时面临的集中控制、帐号与口令的管理、操 作记录等问题,特别是针对加密协议SSH的记 录。 • 支持telnet和SSH设备,扩展支持命令行方式的 Oracle维护、图形化的sftp工具。 • 适用行业:
堡垒机模拟 telnet/SSH 终端,代填 IP1地址与 account1 账号的口令, 完成从账号 的登录。
Device1:IP1,telnet服务
SSH/telnet 设 备
17
集中管理-身份管理
用户帐号
+
身份认证 系统账号 系统认证 = 天玥IV 系统授权 系统帐号
+
+
系统授权
18
集中管理-角色管理
谢谢!
欢迎光临启明星辰大厦参观指导!
48
SSH/telnet设备
15
集中管理-集中登录
需要从网络层做访问控制,保证所有的用户只能通过天玥IV来访问所有的资源。
16
集中管理-二次登录
Device1:IP1 Device1:IP1 account1 account2 Device2:IP2 account3 Device3:IP3 ……
主账号登录 天玥IV
13
天玥IV型的主要功能
按部门分配资源 集中管理各种资源 按职能定义策略 集中管理账号口令 用户与资源对应
集中管理
执行访问控制策略
操 作 审 计
按条件进行检索
操作 管理
权限控制
访 问 控 制
按条件生成报表 按条件进行回放
选择用户或分组 按权限定义命令 选择响应方式
14
天玥IV工作原理
参数配置 服 务 口令修改 界
时间1 源IP1 源MAC1 系统账号1 commands
1.无法分析跳转行为; 2.无法实现操作日志 时间3 与用户身份的关联; 源IP3
源MAC3 系统账号3 commands
时间2 源IP2 源MAC2 系统账号2 commands
用户账单 被修改
8
需求描述-1
• 集中管理
– – – – – 集中管理用户、设备、系统账号; 集中管理用户、系统账号的密码; 所有用户集中登录、集中认证; 集中配置账号密码策略、访问控制策略; 集中管理所有用户操作记录;
• 为维护人员分配惟一标识其身份的账号; • 账号属性管理:
– – – – – – – 登录名 真实姓名 邮箱地址(接收初始化密码) 有效期限 所属部门 账号状态(活动/禁用) 角色
21
集中管理-设备管理
• 集中管理所有资源:
设备名称 IP地址 登录协议/端口 所属部门 设备类型 可定制化的自动登录脚本(用户堡垒机到设 备的二次登录) – 对跳转设备(Oracle/BSC等)的支持 – – – – – –
• 访问控制
– 根据用户角色设置分组访问控制策略; – 实现“用户-系统-系统账号”的对应关系; – 实现实体级的访问控制授权;
9
需求描述-2
• 权限控制
– 可设置以命令为基础的权限控制策略; – 实现命令级别的实体内授权;
• 操作审计
– 以用户身份为依据,真实完整的记录每个用 户的所有操作行为; – 精确到命令的审计机制; – 对用户的操作进行仿真回放; – 记录加密维护协议SSH数据。
22
集中管理-系统账号管理
• 集中管理所有设备内部的系统账号;
– 系统账号名称 – 系统账号密码(如果启用,可由堡垒机完成 到设备的二次登录) – 定期修改该账号的密码 – 所属设备 – 修改密码时采用的密码策略
23
集中管理-账号口令管理
• 用户口令管理:
– 创建用户时,可按用户密码策略给该用户生 成强壮的口令; – 该口令可以通过预设邮箱发送给用户,也可 以由管理员手工管理并通知该用户;