可信运维：国路安堡垒机消除云端运维“三大短板”

来源：畅享网

2013/12/20 15:10:04

许多企业在云计算平台实施之后，IT运维管理自身的安全性并没有因为云得以改善，“账号、权限、审计”三大问题渐渐成为了云中风险最大的运维隐患。

“与协议无关”解难题 “隔离、阻断、回放”围绕数据安全

为此，单位网络安全负责人对市场上的网络安全审计系统和运维软件进行了深入的调查。他发现：传统的网络安全审计系统无法对维护人员经常使用的SSH、RDP等加密、图形操作协议进行内容审计；并且，大部分的运维管理软件都未能包含审计和权限分配功能，运维人员的权利仍然“高高在上”。

偶然的机会，在一次网络安全研讨会上，他了解到了国路安推出的GLA天玑安全运维审计系统很“特别”，与协议无关。而针对传统运维管理中的技术架构和审计缺陷，GLA天玑安全运维审计系统可实现运维终端通过RDP协议连接到堡垒机，再由堡垒机发起对资源的运维请求，形成了运维终端与运维资源逻辑隔离，并在全程审计中实现了集中管控。随后，双方还在GLA“云纵深防御”架构的沟通中再次“碰撞出火花”，因为这款堡垒机产品不但可以有效控制系统内部众多敏感信息的泄漏问题，还可以避免因管理员终端被病毒和木马控制后，引发更严重的泄密事件发生。

最终，该单位以“云纵深防御”结构为基础，部属了GLA天玑安全运维审计系统，对现有的云计算模式形成了全新的安全运维架构。实施效果如下：

逻辑上将运维人员与目标设备安全分离，防止由终端传入病毒/木马或人为原因导致的数据泄露；

基于角色或岗位进行统一集中管理，实现系统的安全授权和认证；

依据最小权限分配原则，最大限度保护资源安全，通过可执行命令或不可执行命令集合来实时阻断运维用户的非法操作；

通过统一的安全管理平台对该单位信息系统中的安全设备、主机或软件进行安全管理，保证安全管理过程的合法合规；

提供基于Web接口的单点登录，定期自动更新账户口令，使得繁杂的账号和口令不再依托个人“记忆”，使运维工作更便捷；

对所有的管理动作进行全程的审计和监控，保证整个系统中运维管理操作上的可追溯性。

单位网络安全负责人表示：“之前，我们在内网安全软件、防毒软件和身份审计方面投入巨大，但收效甚微。而GLA天玑安全运维审计系统，可以有效地杜绝网络管理人员直接访问涉密资源的情况，其全程监控和录制的功能更形成了具有震慑性和实操性的可信平台。”安全有效、灵活管理、简便运维、运维活动全纪录是可信运维管控的基础，目前该单位的运维工作也已经开始引入国际上标准化的运维流程，服务水平大幅提升。

责编：王雅京