技术指南

标签: 堡垒机

  • 齐治堡垒机数据中心运维安全管理:容易出错的TOP10问题

    关于数据中心的运维安全管理,客户最关心哪些问题?齐治客服(400电话、在线服务)将过去一年中被问及最多的10个堡垒机相关问题及解答进行整理,与客户、合作伙伴分享。

    1. MAC升级至13.0无法调起accessclient。
    解决方法:
    • 安装3311-sp6版本以上的accessclient插件;
    • 在terminal终端执行“xcode-select –install” ,重新安装xcode。
    2.Web页面告警提示:当前节点后台root账号仍使用默认密钥,请及时修改。
    解决方法:
    •登录堡垒机Web界面,确保系统设置 > 系统状态处,sshd外部访问参数已开启,并获取用户登录RIS的默认私钥;
    •打开Xshell或其他支持SSH协议的工具,设置协议为SSH,主机为RIS IP,端口为8022,方法选择Public Key,用户名为root,用户密钥选择已获取的私钥,点击连接,输入console的登录密码后按回车,即可进入console主菜单;
    •在主菜单输入S并按下回车键,进入SSHD Management,输入2并按回车,进入Generate root key;
    •在收到Enter passphrase (empty for no passphrase):提示后,输入该密钥的密码并按回车,如果不设置密码,直接按回车,再次输入passphrase值并按回车,如果不设置密码,直接按回车;
    •输入2并按回车,执行Download root key,下载登录私钥;
    •输入3,执行Delete root key并按回车,删除旧的密钥;
    •再次登录并刷新堡垒机Web界面,告警消失,后续系统管理员只能通过新生成的私钥登录Console控制台。
    3.使用文件传输功能传输某一文件报错:资产认证超时。
    解决方法:
    检查目标资产的/etc/ssh/sshd_config中的UseDNS设置,可以尝试设置成NO,并重启sshd服务。
    4.更换堡垒机IP地址需要重新做授权吗?
    回答:
    软件部署的授权是通过IP控制的,如果更换IP需要重新申请授权。
    5.如何配置本地密码+手机令牌方式登录堡垒机Web?
    回答:
    • 使用超级管理员登录堡垒机Web,点击右上角账号选择“系统设置”,点击登录认证选择双因素;
    • 定义双因素名称为xxx,第一重选择本地密码,第二重选择手机令牌;
    • 编辑对应用户,选择身份验证方式为刚定义过的双因素名称xxx;
    • 用户在微信关注小程序“TOTP动态验证”,登录堡垒机Web输入第一重本地密码后,会弹出二维码,用小程序扫码完成后单击“完成绑定”,在RIS输入手机令牌(6位数字),单击提交即可登录进Web界面。

    6.MAC13访问字符会话报错:add ‘HostkeyAlgorithms+ssh-dss’to ~/.ssh/config。
    解决方法:
    在terminal终端”~/.ssh/config”文件中添加”HostkeyAlgorithms +ssh-dss”字段,注意需加到首行,若加到末尾会导致不生效。
    7.发布Firefox闪退。
    解决方法:
    • 确认appserver中Firefox的路径是否拖入正确,正确路径为“WebDriver安装路径\bin\rdpapp.bat”;
    • 安装对应的Firefox版本,RIS3311-SP及以下版本支持 55-59版本,RIS3311-F及3312以上支持88版本。
    8.使用sftp协议传输文件,超过1GB后无法正常传输。
    解决方法:
    编辑规则模板,调整SFTP上传单文件限制值,可调整范围为1-50G。

    9.如何更换字符会话访问方式?
    回答:
    • 全局:超级管理员登录web界面,点击右上角账号,下拉选中“系统设置”,在访问设置处,修改字符终端的访问方式;
    • 个人:用户登录web界面,点击右上角账号,下拉选中“账号管理”,在会话访问处,修改字符终端的访问方式。
    10.如何使用用户自己的安全证书?
    回答:
    •通过知名CA或者自建CA为RIS生成SSL证书;
    •使用超级管理员登录堡垒机web界面,点击右上角账号选择“系统设置”,选择安全证书,上传的证书私钥对应的密码,无密码则留空,上传扩展名为crt的RIS服务器证书及扩展名为key的服务器证书对应的私钥;
    •重启RIS,使系统可以正常运行 (注意:HA部署模式下,需分别重启主、备节点)。

  • 兴业银行利用齐治PAM+堡垒机搭建账号密码统一安全管理平台

    兴业银行是全国性股份制商业银行,营业网点超千家。兴业银行在上海有两个数据中心——主数据中心和同城数据中心,账号管理主要分散在三个不同的部门负责:主机由生产运行部门负责,网络设备由网络管理部门负责,数据库由系统管理部门负责,账号的分散管理衍生出来诸多安全的风险,其中包括:

    1. 检查不合规问题。账号密码管理过程中,人工参与环节较多,技术管控能力不足。

    2. 管理不集中问题。账号密码管理使用了不同的平台,无法控制管理成本和后期维护成本。

    3. 密码未定期修改。密码未按照规章制度和要求进行定期修改。

    4. 密码保管不完善。密码通过密码信封保管过程中,依赖管理员人工参与进行密码备份和存储。

    为了解决账号管理方面的风险,兴业银行启动了账号密码统一安全管理项目,实现对主机、网络设备、数据库账号密码的统一、集中、安全管理。

    账号密码统一安全管理方案

    针对兴业银行账号密码管理所带来的安全风险,齐治科技设计了一套完整的账号安全管理方案,涵盖了如下的实际场景:

    1. 密码集中管理,一套系统统管主机、网络设备、数据库的密码并定期改密。

    2. 建立密码使用流程,实现明文密码线上申请、发放、回收等全流程统一管理。

    3. 账号密码安全存储,采用硬件级别的国密加密存储技术,安全存储账号密码。

    通过齐治堡垒机+齐治特权账号管理系统+密码保险箱实现账号密码的统一管理,部署完成之后Z银行具备了如下能力:

    1. 实现了针对主机、网络设备、数据库资产的定期自动改密能力。具备针对Windows、Linux、AIX等操作系统的定期改密,包含root级别的特权账号和运维账号;具备针对所有网络设备、数据库的定期自动改密能力。

    2. 实现了对明文密码申请、获取、使用、回收全流程的线上闭环管理。建立了明文密码的申请、使用、回收制度,保障了明文密码的管理与使用安全。

    3. 实现了密码集中安全统一的管理。通过硬件级别的密码保险箱,实现密码的统一安全存储,密码保险箱采用独立硬件、独立安全系统、精简服务的方式提升安全性;通过硬件加密卡对数据进行国密算法的加密存储,进一步提升密码存储的安全性。

    账号密码统一安全管理收益

    系统实施后,Z银行取得了如下收益。

    1.减少管理成本,提升管理效率。账号密码管理由原先三套系统分散管理的方式,升级为集中安全管理的方式,减少了管理人员的投入和各部门平台的维护成本。

    2. 密码电子化保管,降低泄露风险。由原先密码管理过程中人工参与,升级为密码电子化全流程自动化管理,降低密码泄露的风险。

    3. 满足专项审计,管理章程合规。账号密码的统一管理与流程平台结合,符合了Z银行对密码使用的专项审计要求,为进一步合规管理提供了必要的基础平台。

  • 堡垒机:如何回收员工/运维的数据库账号密码?

    最近数据安全的话题在安全圈非常火热,有客户说数据安全话题有点大,他就关心一个问题:怎么样才能把员工手里的数据库账号和密码收回来?这个问题都解决不了,如何谈数据安全?
    确实,很多数据因为数据库账号问题在裸奔。数据库的账号用在三个场景:
    1.应用系统访问数据库用的应用账号。
    2.DBA(数据库管理员)运维用的账号。
    3.应用运维用的账号。
    这三类账号,都可能散布到员工、外包人员手中,甚至是外部入侵者手中。要回收这些账号,还是要从管理上入手,看一下齐治科技的解决方案建议。
    优化数据库运维管理机制

    通常,我们通过传统堡垒机来进行数据库的运维,DBA、应用运维的数据库运维都有数据库访问权限,传统堡垒机可以通过代填的方式,避免数据库账号密码被人为掌握。
    然而实际情况很难杜绝员工用数据库账号密码通过堡垒机访问数据库,原因是:
    1.有些客户端工具的账号密码代填,很难用堡垒机实现;
    2.员工知道应用系统的账号和密码后,可以通过堡垒机的应用发布客户端访问数据库。
    在不影响IT业务运行的前提下,唯一的方法就是找到某种效率与安全平衡的机制。我们建议从人员的安全性角度思考:DBA是专业的数据库人员,风险可控,让其最大限度地减少数据库账号密码的使用;而应用运维人员,则必须从专用的数据库堡垒机上免密登录访问数据库。
     

    过渡方案

    然而,对于有些客户来说,数据库账号密码本来就是掌握在应用运维人员手中,甚至包括开发、外包,回收难、工作量大,这种情况我们的建议设置回收过渡方案:
    1.关闭堡垒机上的数据库资产权限;
    2.允许在数据库堡垒机中自建数据库连接,SQL指令权限严格控制,按需自助提权;
    3.逐步回收账号密码,托管在数据库堡垒机上之后,授予应用运维所需的SQL指令、库表权限。
    这种机制下,即使应用运维人员掌握数据库账号密码,但是由于数据库堡垒机仅授权最低的SQL操作权限,降低了很大一部分风险。
    最终方案

    回收所有运维账号之后,通过使用数据库堡垒机,便可以形成以下管理机制:

    1.数据库受限通道:托管应用运维账号,应用运维人员有权访问,权限控制到SQL增删改查指令和库表,进行日常的数据库访问操作。真正意义上实现了用户与数据库的“操作”隔离:用户的操作先提交给数据库堡垒机,数据库堡垒机进行SQL语义解析与安全检查后,再连接真实的数据库进行安全的操作,这些操作都是被管控和审计的。
    2.数据库特权通道:托管DBA运维账号,DBA人员有权访问,同时作为应用运维人员在特殊情况下的应急访问通道。加了数据库堡垒机之后,DBA原来的权限和工具都是不变的。
    这种机制下,应用运维人员只有最低的SQL指令、库表访问权限,进一步降低了数据安全风险。数据库堡垒机从身份认证、权限管控、数据库操作、数据保护(动态脱敏和数据导出控制)、操作审计等多个维度控制人的数据库操作行为。
    此时,可以部署齐治特权账号管理系统PAM对应用运维账号、DBA运维账号、应用系统账号进行分阶段的改密回收,从而系统性消除数据库账号密码安全隐患。

    齐治的传统堡垒机,结合数据库专用堡垒机DSG、特权账号管理系统PAM,能够支持客户优化现有的数据库账号密码管理机制,最大限度减少人为的数据库账号暴露面,为客户的数据安全提供最基础的支撑。

    手机铃声响后提示忙音:对不起,您拨打的电话正在通话中?8个原因

  • 齐治特权账号管理:如何建立一个全量的账号安全台账?

    齐治特权账号管理系统(Privileged Account Management, PAM),齐治特权账号管理PAM经过超过五年的开发、应用与实践,紧紧抓住“账号”这个关键,通过建立账号安全台账,实时、动态帮助用户实现数据中心的账号管理。
    在账号安全台账的建设和管理过程中,首先要做的是,将所有账号及数据全部纳入,并进行安全、高效、合理的管理、分析,也就是建立全量的账号安全台账。
    全量账号安全台账的前提

    ——搞清楚账号都在哪,什么数量级

    要想做账号安全台账,先要搞清楚数据中心的账号都在哪,有哪些类别,大概是个什么数量级。

    1.账号都在哪?
    数据中心账号众多,存放及管理的设备也很多,包括主机内部的本地账号,集中在目录服务器或者域控(AD)的账号,应用或中间件的代码及配置文件内也有相应账号,第三方工具(比如监控、自动化)等都有账号。这些账号,通过本地文件、数据库或者目录服务等形式进行存放。
    2.账号分哪些类?
    账号并不是按照一种维度分类的,其实它分类方式有很多。
    按使用主体来分:人、设备或者应用。一个账号,是管理员或者普通使用者用的,还是主机、网络、存储等设备用的,或者是OA、ERP、CRM等应用系统用的,不同使用者的管理方式并不完全相同。
    按用途来分:不同账号的用途不一样,一个账号是超级管理员,还是用来日常维护,亦或是做应用服务、API访问、自动化等等的。
    按平台来分:这个比较好理解,账号是在哪个平台上使用的——主机、数据库、网络、虚拟机甚至是云等。
    3. 账号规模有多大?
    用户在全量管理账号前,先有大概一个概念,到底数据中心有多少账号。
    如果按照资产的规模统计,一台新装的Linux,默认出厂就有10-15个账号,加上日常维护、服务、应用运行等实际生产场景会新增更多的账号。可以说,账号数量是资产规模的几十倍,是常见现象。
    如果按照应用统计,应用与应用、应用与数据库之间通讯可能都会用到账号凭据,按照应用数量乘以一定系数也可大致估算出应用账号的规模。
    齐治科技拥有超过17年的数据中心管理经验,最近十年来,在账号管理方面,与超大规模客户持续探讨,齐治特权账号管理PAM把账号台账的支撑数量级定位在千万级别,基本上能够涵盖绝大多数客户生产环境内的全部账号。

     

    建立全量账号安全台账的三个能力要素

     

    账号安全台账的核心就是找到、整合以及分析账号相关数据,这就是账号管理系统建立全量安全台账的三个能力。
    1.数据的获取能力
    数据获取的广度。账号管理系统是否能够在最大范围内获取账号及相关数据,一方面账号数量多,另一方面,不同资产和不同业务场景下,账号数据来源各不相同,有的是在脚本中出现,有的是在过程中出现,账号管理系统需要从大量的系统、资产中找到这些账号和数据,并将之纳管。
    数据获取的深度。和账号安全管理有关的数据,采集的越丰富越频繁,越能帮助用户及早发现问题,不同类型的账号数据可能不一样,采集方式也不一样。
    2.数据的整合能力
    归档分类。几万甚至几十万数量级的账号,几十种账号类型,每个账号里还有那么多相关的数据,不做分层分类管理,只简单堆在一起,杂乱无章,基本没法用。
    查询检索。账号管理系统需要提供不同维度的查询能力,而且支持批量操作和自动化统计。
    3. 数据的分析能力
    管理的维度。用户进行账号统一管理之后,必然会出台相应的管理规范,那么,通过分析数据、总结原因,就可以观察到这些规范是否被有效执行,规范是否需要持续改进,如何改进等等。
    攻防的维度。通过分析账号数据,可以抽取“可疑”账号,看这些账号是否有被恶意利用的风险,或者已经被恶意利用。
    建立大规模全量账号安全台账的挑战

     

    量变决定质变,管理几百个账号和管理几百万个账号所用到的思想、工具、技术完全不一样,管理的复杂度也有着天壤之别。
    在建立全量账号安全台账的过程中,有三点必须考虑。
    安全性。账号密码这种高敏感信息数据做集中存放,一定要把安全放到第一位考虑。齐治特权账号管理PAM有密码保险箱功能,存放账号密码,让别有用心者看不到、取不出、拿不走。

     

    并发性。如何高效地去海量资产(比如1万+资产)上采集账号数据,也是账号管理系统要考虑的关键点。齐治特权账号管理PAM支持多并发,也支持总分、多站点等各种应用场景,满足用户的多并发需求。
    冗余性。账号台账需要作为生产者为其他业务或者管理系统提供账号数据,所以业务的稳定性极其重要,不能因为自身故障等问题影响业务。齐治特权账号管理支持高可用、两地三中心多种部署方式,全方位保障用户账号资产的安全可靠。
    实践出真知,实践也是检验理论的最好标准。齐治特权账号管理PAM推出5年来,在500+大型客户处进行应用、提升,在某银行的10万+资产、96万+账号中,实现了统一高效管理,得到了用户的充分认可和好评。

    手机铃声响后提示忙音:对不起,您拨打的电话正在通话中?8个原因

  • 数据中心运维安全管理TOP10问题——堡垒机特权账号管理PAM篇

    关于数据中心的运维安全管理,客户最关心哪些问题?齐治客服(400电话、在线服务)将过去一年中被问及最多的10个PAM相关问题及解答进行整理,与客户、合作伙伴分享。

    1. Windows使用RPC方式改密报错“wait arm timeout”。
    解决方法:
    • 目标资产上已打开TCP的135、139和445端口,且防火墙允许PAM访问这些端口;
    • 在Windows资产的服务列表,查看Remote Procedure Call是否处于运行中;
    • 在Windows资产的进程列表,查看是否存在lsass.exe进程。
    2.如何消除僵尸账号?
    回答:
    •托管到 PAM 的账号,实际超过90天未登录,巡检后会标记为僵尸账号;
    •若要消除僵尸账号,则需要纳管这些账号,并修改白名单重新触发巡检,或者针对这些僵尸账号触发登录,或者确认不需要,在目标资产上清理这些账号。
    3.删除账号提示:该资产被应用身份关联,请解除绑定后再编辑。
    解决方法:
    台账>应用身份,在应用配置中取消关联账号变更禁用选项。

    4.台账账号维护的分项统计显示为空。
    解决方法:
    该功能依赖资产属性,若不配置资产属性,则无法正常显示。
    5.一个资产托管多个特权账号,改密逻辑是什么?
    回答:
    针对一个资产托管多个特权账号,改密时会根据特权账号的创建时间顺序,依次尝试使用各个特权账号进行改密。
    6.改密提示“没有可改密的条目”。
    解决方法:
    •  查看账号是否存在可改密属性;
    • 查看是否在账号管理页面进行密码登录测试;
    • 尝试删除重建账号;
    • 确认是否存在历史密码失败记录。
    7.执行改密后进行巡检,仍然提示账号超过3个月未改密。
    解决方法:
    在账号巡检,编辑任务明确,确认巡检任务是否勾选了账号信息收集,如果未勾选不会更新异常信息。
    8.部分资产登录过程很长,通过 PAM 登录提示 timeout when matching xxx。
    解决方法:
    • 先尝试后台手工登录目标资产,预估实际登录需要的时间;
    •  登录堡垒机Web界面,根据实际登录需要的时间,在“资产适配”处调大交互超时时间。
    9.使用API接口申请密码工单,请求提示 404 错误。
    解决方法:
    404 代表请求地址不存在,确认请求方法是否为 POST及API地址是否正确。
    10.配置PAM从RIS同步后,RIS侧的数据未同步或未完全同步至PAM侧。
    解决方法:

    •使用超级管理员身份登录PAM的Web界面,在系统设置>系统>基本设置>第三方,检查以下配置项:

    ①检查配置的第三方名称是否和PAM后台插件中config.ini文件的ServerName一致;

    ②检查配置的第三方IP地址与端口是否正确;

    ③检查配置的插件信息分别在PAM后台的/var/lib/sync/$ServerName和/usr/lib/systemd/system目录下是否存在,其中$ServerName为第三方系统名称。
    •检查 PAM 后台配置文件 config.ini 中的 aca.token 与 ACA 后台 /etc/shterm/api_tokens 中的是否一致。
    •检查 ACA 后台配置文件 /etc/shterm/api_tokens 中的允许地址是否为正确的 PAM 端地址,HA或多站等场景,请将所有实地址以及虚地址都进行配置,多个地址之间使用逗号分隔。
    •ACA 后台配置完成后,需要重启 tomcat 服务,才能使该静态 token 生效,允许 PAM 端通过该 token 进行数据请求。

  • 齐治堡垒机运维安全:授权和访问控制的区别与关联

    作为从事运维安全管理18年的老兵,齐治科技在数据中心运维安全管理领域不仅拥有堡垒机、特权账号管理等产品,更重要的是,拥有运维安全管理的全盘理念、全面思考、技术聚焦及应用实践。在3000+大型用户的充分调研、实践及优化中,齐治对于整个数据中心运维如何高效、安全运转,有着独特的见解。

     

    在齐治的设计思想和实践操作中,运维安全管理的核心就是权限最小化。所谓的最小化,即是在访问路径中的每个端点处都要做到权限的细分和管控。比如,在桌面端对来源进行识别和管控,在网关侧对会话进行连接和控制,在服务端对账号做统一纳管和监控。
    那么,对于用户来说——最小化意味着,授权要给到正确的人,正确的权限,而访问控制则是控制和核验这个人是否在权限内做事情。授权和访问控制有什么区别和关联呢?
    授权和访问控制发生在不同阶段 
    授权,字面意思就是给予权利,属于事前。比如张三要访问某一台服务器server1,就必须提前有访问服务器server1的权限,于是他要申请这条权限并注明事由。管理员得到批复后再帮他完成授权的过程后,张三就获得了这条权限——此时,张三还未访问,但权限已经生效了。

     

    访问控制, 意义在于访问的过程中进行控制,属于事中。张三在获得server1的权限后进行了访问,但误执行了重启操作,导致一批业务受到了影响。这时,就需要访问控制了。虽然张三有访问server1的权限,但在访问过程中执行重启操作是不被允许的。

     

    总结来说,授权是事前对主体和权限内容进行约束, 访问控制是对事中的风险动作进行有效阻拦。

     

    有驾照能开车上路,但仍要遵守交通规则,

    这就像“授权”和“访问控制”的关系。

     

    授权和访问控制有节奏区别  
    可以看到,授权和访问控制发生在不同的阶段。

    授权,是操作开始前的准备工作。授权的重点在于事前规划,事情发生前先规定好谁,能做什么。把所有的用户、账号全部事先划分好他们的责权利,并将所有的责权利统一管理起来。可以说,授权就是一张大表,用户和账号只能按表索骥,做表里允许他们做的事情。当然,授权是可以变更的,同一个账号,可能因为业务的需要,更改了权限。
    而访问控制发生在操作进行中。用户或账号已经登录,开始“干活”了,进行实际操作,在这个过程中,访问控制实时监控账号操作,发现非授权操作,或者非法操作,则进行警告或制止。
    授权和访问控制有密切关联  
    二者的关联其实是组合。在不同阶段做了权限控制的事情,既有事前,又有事中,组合在一起帮助用户做好细粒度管控,如果再加上事后的审计,就形成了运维管理的闭环。
    有策略的是,不同的用户场景,可以使用不同的授权。齐治科技堡垒机提供不同授权方式,既灵活又高效。比如,按规则批量进行动态权限配置,极大简化权限配置的工作量。再比如,基于流程的授权模式适合管理员未配置权限时申请访问某资源的场景,基于会话的授权模式适合访问核心资产或执行高危命令时严格管控的场景。
    访问控制尽管是事中控制,齐治科技也根据不同场景提供了不同的方式。网盘式的文件传输,可方便、快捷控制上传、下载、分享传输文件;会话共享功能可实现协同会诊、故障快速诊断。齐治科技充分尊重用户的使用习惯,支持Web插件、本地工具访问、HTML5运维等多种访问形式。
    全新、多样化的权限管理手段,加上高效、安全的访问控制策略,二者相辅相成,互相制约,互相作用,帮助用户实现了权限最小化。
    数据中心运维管理的权限最小化不是几个字那么简单,需要在多年的实践经验中,根据用户的使用场景,给出最优化、最安全的整体解决方案。17年来,齐治专注于为高端客户解决复杂运维管理问题,并将这些问题的解决方案融入到产品的更新换代中,从而为更多的用户提供一体化、安全的解决方案。

  • 齐治堡垒机与ITSM集成,运维自动化管控变更流程

    堡垒机是企业数据中心管理的网关系统,通过身份认证、授权、访问控制以及审计四大功能,对运维操作进行合理、合规管控。

    而ITSM则是企业管理流程方法论,企业通过ITSM平台,将ITSM在内部落地与实践,保证项目、变更等的流程完整性。
    简单来说,在企业管理中,ITSM提供的是一套流程图,这套流程图会详细分解,一项工作应该如何一步步由谁、什么时候、如何、什么质量完成。很显然,数据中心内部管理也要符合ITSM流程,这其中,每次新流程的生成、旧流程的调整和变更,都绕不过堡垒机这个数据中心的网关系统。
    ITSM和堡垒机对接 各司其职

    数据中心属于高敏感地带,因此数据中心内部管理的变更,必须有严格规范的流程审批制度。ITSM平台提供了企业级的流程审批工具,其中就包括数据中心运维审批流程。
    堡垒机如果实现了和ITSM平台的对接,即可以按标准、按流程实现有效的IT运维权限管控。这其中,ITSM平台负责对运维人员的操作对象、操作权限、操作内容进行审批,堡垒机负责实现对应的权限管控。
    总结来说,ITSM是标准,是流程,是结果,而堡垒机是数据中心落实这个结果的工具,两者各司其职,互相配合。
    齐治堡垒机强大API 实现与ITSM平台的对接

    齐治堡垒机提供了功能强大的临时授权API,其内容涵盖了:有效时间,可并发提交的权限主体,比如申请人、资产、账号、协议等。
    如果需要变更数据中心内部流程,用户只需在ITSM平台中提交变更申请,审批完成后,更改后的流程通过API推送至堡垒机,堡垒机自动完成新流程的变更与同步,并同时更改对应的权限管控。
    如果数据中心需要创建临时流程,用户在ITSM平台中提交临时权限申请,审批完成后,临时流程将对应人员、设备、时间等信息通过API接口推送至堡垒机,生成临时访问权限。
    这样,ITSM平台和堡垒机自动对接,实现了数据中心一体化管理的闭环。
    成功案例分析

    齐治科技帮助众多用户实现了ITSM平台与堡垒机的对接。
    以某大型车企为例,通过ITSM平台与堡垒机的对接,实现了200+人员(运维、开发、外协)对4000+资产的运维管控,对接实现了以下便捷工作:
    01
    无缝集成:ITSM审批与齐治堡垒机无缝集成,用户在ITSM页面可以完成资源申请、审批、资源访问所有操作,同时堡垒机中审计记录与ITSM工单关联,确保所有操作记录一事一申请;

    02
    弹性授权:基于齐治堡垒机强大丰富的接口,用户一改传统的预授权模式,所有的权限均需申请、审批,自动化弹性进行;

    03
    审计合规:ITSM与齐治堡垒机集成后,可确保每一条操作与一条完成的审批流程对应,能做到责任人、审批人、操作原因有迹可查。

    齐治堡垒机与ITSM平台的自动化对接,不只是节约了运维人员的时间,更重要的是,闭环完成了数据中心内部创建、变更等流程的统一管理,规避风险,提高效率。

  • 堡垒机和IAM(身份识别与访问管理)集成实现统一身份认证

    堡垒机作为数据中心运维安全管理的重要工具,在实际应用过程中,经常会需要和其他管理类产品或系统进行业务对接,以此来满足用户对运维安全的集中管控目的,实现统一的身份认证。这其中,最常见的对接系统之一就是IAM。
    IAM(身份识别与访问管理)是业务管理软件,通过对员工个人账号的统一安全及权限管理,方便员工简单、顺利、安全地访问业务系统。针对员工从入职、日常工作、转换部门、离职的各个流程中,对个人账号进行验证、授权、权限稽核、个人风险、权限回收,实现企业内部所有员工对于业务系统内部用户、权限和资源的集中统一管理。很显然,IAM一方面可以统一员工的身份安全,另一方面员工不用在多套业务系统上建立账号和密码,而是通过IAM一个入口,访问所有有权限的业务系统,提高了管理效率。
    堡垒机可以和IAM无缝对接

    堡垒机自带身份认证模块,也具有双因子认证等强身份认证方式,但这些认证只对使用堡垒机访问数据中心的用户和账号有效,其身份认证的范围并不能扩大到OA、CRM、财务等其他业务系统。而IAM恰恰是对业务系统的统一身份认证管理,两者正好互为补充,解决统一身份认证的问题。
    自然人(也就是员工)通过IAM开设访问业务系统的账号并认证完成后,IAM将结果通知给堡垒机,堡垒机识别账号之后自动对该账号开放其相应功能页面,实现无缝对接。IAM识别员工在前,堡垒机在后对自然人实现授权和访问控制。
    堡垒机和IAM的三种主流集成方式

    方式一:堡垒机-IAM-堡垒机
    用户先访问堡垒机,堡垒机自动跳转至IAM的认证页面,用户完成认证之后再自动单点登录回堡垒机。
    方式二:IAM-堡垒机
    用户访问IAM的统一认证页面,完成认证之后选择对应产品(堡垒机),单点登录至堡垒机继续后面操作。
    方式三:堡垒机-IAM
    用户访问堡垒机,直接在堡垒机的认证页面输入用户名、密码,堡垒机将认证信息传递至IAM完成校验。
    案例剖析

    在南洋**银行的案例中,齐治科技将堡垒机与IAM实现了无缝集成。堡垒机支持IAM本地静态密码认证(密码应有健壮性要求,包括长度、复杂度、有效期等),完全满足IAM 系统针对不同的IAM 用户灵活配置密码复杂度。
    在*港集团的案例中,齐治堡垒机采用RADIUS方式,与IAM身份认证与访问管理平台对接以统一身份认证

  • 齐治堡垒机PAM特权账号管理教你如何避坑明文账号和密码

    数据中心几乎无时无刻不在使用密码:初始化、登录、维护,运维管理员敲键盘如飞地在各个设备上操作,在各个系统间切换。同时,不断有各种临时需求向运维管理员发来:某位同事临时需要申请一个账号和密码以访问某系统,某个领导临时需要调取一个数据库里的表单,部门同事需要临时对中间件配置进行连接等等。

    面对这些临时的、突发的申请和需求,运维管理员最简单的做法当然临时调一个账号和密码用一下,等临时任务关闭后,再取消这个账号,或者变更密码。可是这个“临时”意味着明文账号+明文密码,为系统的管理留下了隐患,而齐治PAM特权账号管理系统,既满足“临时”需求,又保证明文账号和密码的安全可靠。
    广为存在的明文账号和密码

    在数据中心使用过程中,大部分运维操作都通过了“单点登录”,即人直接访问具有权限的系统,而不需要输入账号密码,账号密码由堡垒机来自动完成登录过程。 而运维场景的多样化,导致“单点登录”无法全部覆盖所有场景,有些时候必须申请和使用明文密码,比如,系统的初始化配置, 通过控制台进行硬件或网络变更等等。 
    这些明文密码缺少技术来加以规范和实施落地,导致整个过程中存在明文密码泄露的安全风险。其实,如果管理手段合理,是可以避免的。比如,申请时有科学合理的审批;要求明文密码发送过程中加密,让密码不可视、不可查、不可猜;再比如,密码使用结束后,还有合理的自动化流程,回收相应的账号和密码,防止外泄。但是,恰恰在数据中心内部管理过程中,出现了各种问题,才层层防线失守,最终以明文账号和密码的形态裸奔。
    很显然,如果没有任何安全防护措施,明文账号和密码就像在系统里裸奔一样,是最危险的因素之一,一旦被“神对手”或者“猪队友”用到,不可避免地就会产生安全隐患甚至发生安全问题。

    如何避免入坑明文账号和密码

    很显然,明文密码的使用不可避免,那么就要从管理角度消灭明文密码。如前文所说,在明文密码生成、传递方式和路径,以及回收的全流程,进行管理和防范。
    首先,明文密码的申请过程中,所有申请人、申请理由、审批情况、使用时长、审批人都记录在案,严格管理好“申请”这个源头,让不当的人、不当的行为、不当的审批被扼杀在“出发”之前。
    其次,正常、完整的审批流程结束后,就转向传输和使用阶段。在传输和使用过程中,密码必须加密,不得以明文的形式存在。在更重要、更严格的情况下,甚至可以采取AB角的方式管理密码——A和B各掌握一半密码,使用时A和B必须同时在场才可以——谍战片的既视感。
    最后,账号和密码使用完毕后,必须马上更改,不能让已经公开或半公开的密码存在。所有明文账号,都必须使用新的密码,保证整个系统运营的安全可靠。
    齐治PAM保证明文账号和密码的使用安全

    齐治PAM特权账号管理从账号和密码的全生命周期管理入手,在各个阶段进行安全防护。

    首先,明文账号和密码需要在使用前通过PAM系统进行申请,在初始阶段就会最小化审批该账号和密码的权限,让它只能在规定时间、规定范围内进行规定操作。

    其次,PAM实现过程全跟踪。账号和密码提供给使用者的过程中,PAM可以将明文密码加密,这个加密包括加密发放、传输加密、存储加密、内存加密等多种手段,使得明文密码在从运维管理员到使用者的过程中,不再明文。在有的应用场景下,用户可以使用密码信封的方式进行线下明文密码传递,保障密码安全。

    PAM管理明文密码全生命周期

    在账号和密码按照权限规定到使用期限后,PAM可以自动回收账号及权限,该账号和密码不能在系统中使用,限制了该账号的可能被利用的非法功能。同时,账号回收后,密码重新初始化,PAM立即将该密码改密,保证了账号和密码的安全性。

     

    特别需要一提的是,PAM对账号具有审计功能,该账号和密码被发放后,PAM会形成发放日志,记录该账号和密码的动作,以便事后审计所用。
    齐治PAM特权账号管理系统,针对明文账号和明文密码,实现了安全、可靠的全流程管理,保证了整个数据中心的账号安全和密码安全,提高运维管理效率,提升运维管理安全性。实际上,PAM针对数据中心系统内所有账号和密码都有严格的管理流程和管理方法,全面保障用户的内控安全。 

  • 齐治堡垒机PAM特权账号管理系统怎么梳理几十万账号?

    你的数据中心有多少账号,这些账号都是什么权限,有多少幽灵账号、僵尸账号,同一个账号是否能访问不同资产,如果更改了会不会有影响?

    要想管理数据中心的账号,首先要摸家底,也就是把目前有多少账号,账号状态、账号权限,可管理资产等等一网打尽。
    不同用户的应用场景不同,账号梳理的难度、重点也不同,齐治PAM特权账号管理系统,帮助用户梳理账号、厘清账号,为账号的统一管理打下良好基础。
    场景一:账号清单分散 难收集

    庞大的数据中心账号,管理员众多,使用者也众多。开发、运维、安全等等部门都在数据中心开设有账号及相应权限。如果想把这些账号摸清楚,收上来,是一件难事。
    首先,收集账号的沟通成本高。手工线下收集,需要挨个找管理员整理核对上报。大的数据中心,部门多,人多,只沟通这些数据就占据大量的时间和精力,成本高。
    第二,账号收集不全不准。账号数量多,人工维护需要的人力也多,数据中心人员难免流动,存在离职、调岗等等,即使工作交接时有excel表,也没法一一核对,遗漏、遗失、错行、错字、误录入在所难免,时间一长,账号无人知道,密码丢失,用起来才发现excel里记错了时有发生,给后期的系统维护留下了隐患。
    第三,账号变化快。数据中心里频繁有或大或小的资产调整,比如新设备上架,老设备下架,系统迁移,虚拟化重新配置、合并或拆分,这些大大小小的调整,无一不在挑战原本就脆弱的账号管理。之前的老账号还没厘清,又面临频繁的资产变更,注销老账号、产生新账号等等,新的账号体系里到底增加了谁,取消了谁,权限是怎样变动的,就算是每次都手工记录,也会有信息不完整、不及时,甚至出现错误的时候。 
    PAM解决之道
    第一招:自动发现

    齐治PAM特权账号管理具有账号梳理功能。针对沟通成本高、账号收集不全不准的问题,PAM提供自动发现+账号工单有限发现相辅相成的服务,能够将漏报账号、漏报资产从系统上自动确认,并一键移交给管理员。

    针对账号变化快的问题,齐治PAM提供自动巡检功能,发现有问题的账号,比如无法登录、权限被篡改、网络不通等问题,统一及时汇总给管理员,实现随时发现,随时处理。

    场景二:账号依赖关系错综复杂  难梳理

    数据中心的任何一台设备、一套系统都不是绝对独立存在的,必然会和其他设备或系统有或强或弱的耦合关系,比如几台服务器组成一个集群,集群统一管理的账号和密码,势必涉及到单台服务器。
    系统管理中,“不敢乱动”是管理员的紧箍咒,设备、系统之间的耦合关系,牵一发而动全身的可能性,让不清楚情况、不了解实际的变更如履薄冰。
    账号管理中,如果以为仅仅是变更了一台设备的账号、密码和权限,不会有什么问题,那就大错特错了。资产之间的耦合关系,让账号和密码在跨资产时也有耦合,登录A设备的密码,与登录B设备的是一套,变更了A忘记了B,等到想登录B时,发现上不去了。值得庆幸的情况是,管理员记得A和B的耦合关系,更改A时就顺便更改了B。但更多情况是,ABCF……等等都耦合,管理员记得了其中几个,忘记了另外几个,等到用时发现已经无法顺利管理资产了。
    PAM解决之道
    第二招:等价关联

    PAM的解决方案是支持等价资产,配置等价账号,梳理各种账号同步关系。

    当多个账号的密码需要同步时,PAM支持配置等价账号高级功能。例如资产部署的集群,管理员将集群中所有节点加入到PAM,可以将这些节点的账号设置为等价账号。如果其中某个节点的资产账号修改了密码,则密码将同步到其他节点的资产账号。需要专门指出的是,在相同账号名且以密码类型登录的前提下,等价账号可以跨资产类型。

    场景三:账号权限合规难核查

    数据中心有多少种账号?恐怕管理员也仅仅能分个大类。比如从是否可写的角度说,分为可读可写的账号,只能读不能写的账号。从级别高低说,分为高级别、畅通无阻哪都能去的特权账号,低级别仅在某几台设备上可用的普通账号。从使用者角度来说,分为设备自动读取访问的机用账号,数据中心工作人员使用的人用账号等等。
    这么多类别的账号,开通、配置、修改、关闭时,既可能更改属性,又可能更改权限,如果纯手工劳动,就只能请出excel表来做详细记录,开通时如何配置的,中间是否有变更,是否到期,该什么时候关闭。时间一长,工作量一大,这几乎是个难以准确完成的任务。
    PAM解决之道
    第三招:自动巡检

    不同用户的不同账号有特殊的管理诉求,PAM可以通过各种账号属性的配置来满足这些管理诉求。
    在具体配置中,PAM包含了账号类型、是否可改密、切换来源、私钥、互备账号等配置选项,来满足账号管理的个性化需求。以账号类型为例,分为特权账号(权限最高的账号,比如Linux中的root、Windows中的Administrator),以及普通账号(特权账号以外的账号)。再比如为应用内嵌账号管理准备的互备账号功能,具有同样权限的两个账号,应用通过其中任意一个账号登录资产(例如数据库),都能正常执行操作(例如查询数据库)。
    通过账号高级属性进行标识,方便了管理员的日常管理和统计。
    在以上三个场景之外,PAM还提供标准的restful API接口对接用户的各种第三方管理系统,自动同步现有的资产信息库。同时,尊重管理员的工作习惯,PAM提供excel模版的导入和导出,以便管理员日常统一整理和收集账号信息。
    特权账号是进入数据中心各个资产的钥匙,钥匙很多,功能各不相同,权限各不相同。齐治PAM特权账号管理系统,可以详细分析各场景下管理员遇到的实际困难,用全面、安全、自动化的手段,实现管理的标准化、流程化,不仅大大解放管理员的手工操作,还实现了管理的准确化和个性化。
    超过5年500+客户验证,齐治PAM特权账号管理系统在单一客户处实现了96万+账号的统一管理,安全性、准确性、权威性均在业内前列。

  • shterm齐治堡垒机RIS常见问题及解决方法

    shterm齐治堡垒机RIS常见问题及解决方法

    一、Linux会话如何上传下载文件
    解决方法
    1、对于2GB以内的小文件可以在ssh会话中通过rz和sz命令进行文件上传和下载
    2、对于大文件可以通过sftp的方式进行文件的上传和下载

    二、RDP访问时,无法使用剪切板或磁盘映射失败
    解决方法
    1、检查访问权限的规则模板,确认是否允许使用剪切板和磁盘映射
    2、检查目标资产是否禁用了驱动器或剪切板
    3、更换客户端PC再次尝试,确认是否客户端环境问题

    三、RIS windows访问报错:”the error code from connect is UNDEFINEDCONNECTERROR”
    解决方法
    1、测试堡垒机到目标设备的IP和端口是否可达
    2、登录访问时选择的系统账号是否为托管密码
    3、在目标资产中设置组策略
    4、查看目标设备远程桌面授权是否正常

    四、shterm MAC终端无法正常运行
    解决方法
    将补丁升级为最新版本

    五、shterm 调用filezilla时报错:“认证失败”
    解决方法
    1、是否托管对应账号密码,sftp访问时,未托管系统账号需要选择any账号,手动输入服务器用户名密码后访问
    2、通过ssh登录,测试堡垒机到目标设备的网络端口是否放通,使用的服务器密码是否正确
    3、访问sftp协议,调出filezilla后设置filezilla客户端超时秒数为0,并清除客户端缓存
    4、堡垒机后台设置SFTP超时时间
    5、确认不通过堡垒机访问是否正常

    以上为常见题型答题步骤,如有其他疑问,请关注「齐治科技」微信公众号,与售后服务团队取得联系,我们将第一时间为您答疑解惑。

  • 检查齐治堡垒机RIS 10个关键项,消除堡垒机安全隐患

    没有什么比安全产品的安全性更重要。是时候检查一下你的堡垒机(针对新堡垒机RIS)的安全性了!请逐一对照下文10个关键项,按照建议检查和安全强化,我们一起“灭灭灭”堡垒机隐患。
    1、部署
    堡垒机通常部署在内网,若需要通过互联网访问,建议通过威必恩访问;
    没有威必恩建议仅开通SSH(22)和RDP(3389)端口,禁止直接通过公网访问Web界面。
    2、网络策略
    只对访问客户端开通必要的端口:443(Web)、3389(图形)、22(字符);
    只向特定的管理员终端开通控制台访问端口:8022(console控制台)。
    3、补丁
    确保堡垒机标准版的版本为最新;
    确保补丁版本为最新。
    4、密码
    确保密码设置足够复杂(参考下图设置);
    确保密码定期修改。


    5、认证
    若有第三方认证系统,可通过AD、LDAP、RADIU、X.509方式对接;
    若已购买动态令牌或USBKEY,务必启用;若无其他认证方式,务必启用手机令牌;
    为所有用户启用双因素身份认证,API用户使用本地密码。
    6、登录控制
    在系统设置中,设置全局的登录控制,限制用户的来源IP及IP范围,同时对管理员用户进行更细致的来源IP地址限制;
    对单个用户启用登录控制,建议填写IP地址、IP段,条件选择“不满足”,动作选择“拒绝”。
    7、API调用
    不建议直接使用超级管理员admin进行身份验证,新建一个配置管理员api_user专门用于调用API时的身份验证;
    设置身份验证为“本地密码”,满足密码复杂度要求;
    启用“用户登录控制”,设置调用API服务器的来源IP地址或范围。
    8、SSH外部访问
    建议关闭系统的SSH外部访问。
    9、root账号
    产品部署完后,应修改root账号默认秘钥,修改后的秘钥由用户保密存储,不可在堡垒机中托管;
    确保root账号的默认shell为console。
    10、IPMI安全
    如果已配置IPMI,启用IPMI管理口后,修改默认用户名、密码,密码符合复杂度要求;
    禁止IPMI的80、22、161端口;启用Web SSL-443端口;
    “在IPMI管理页面设置IP访问控制”限制访问来源IP地址,建议只允许固定终端访问IPMI服务。

    针对以上堡垒机安全使用检查的10个关键项,想要获取更详细的具体操作指南/手册,请关注九边。