背景介紹: 現有數據中心的運維管理工作,主要面臨如下幾個方面的問題:運維管理復雜度高、共享賬號存在安全隱患、誤操作造成嚴重損失、訪問控制策略不完善、審計用戶操作困難。 
圖 管理現狀 運維管理復雜度高 隨著數據中心規模的擴大,網絡設備的多樣化,運維管理人員也相應的增多;由于運維用戶角色及設備的多樣性,數據中心會存在同一個運維管理人員同時管理多臺設備的情況,也會存在同一臺設備被多個運維管理人員共同管理的情況。另外,對于管理大量數據中心設備的運維管理人員來說,如何安全有效的管理好大量的設備賬戶和密碼,也是一項復雜、繁瑣的工作。 共享賬號存在安全隱患 由于運維工作的需要,數據中心往往存在多個運維管理人員同時管理設備上同一個賬號的情況。多人共用賬號為運維管理人員帶來工作便利的同時,也帶來了一定的安全風險。設備上共用賬號執行的操作,無法唯一性確定到運維管理人員身上。另外,如果其中任何一個人離職或者將賬號告訴其他無關人員,也會使這個賬號面臨安全隱患。 誤操作造成嚴重損失 復雜繁重的運維管理工作難免會造成運維管理人員的誤操作,這些誤操作一旦涉及到敏感的操作命令或核心數據,就有可能造成網絡中斷從而影響業務系統運行,甚至可能導致核心數據的修改和刪除,給政府、企業造成不可挽回的經濟損失,并給其聲譽帶來嚴重影響。 訪問控制策略不完善 一直以來,數據中心實現訪問控制的手段,一是通過內外網隔離,二是通過添加路由器、交換機訪問控制列表實現。內外網隔離從物理層上保障了數據中心的安全,但是,對于一些外網訪問的需要,也帶來了不便。設置路由器、交換機訪問控制列表,可以嚴格控制對數據中心和關鍵設備的訪問,但是需要運維管理人員非常專業的操作技能,而且,由于配置復雜、工作量大,稍有操作不慎,就會影響數據中心業務的正常運行。 審計用戶操作困難 當前數據中心在審計用戶操作方面遇到很多困難和瓶頸。一是,無法對運維用戶操作期間的行為進行實時的監控、管理,一般是出現安全事故后才去排查操作的問題;二是,出現安全事故后,審計用戶操作的手段單一,主要依靠系統日志和歷史命令文件。例如Linux系統上,需要去查看、分析大量的系統日志文件,以及歷史命令文件,但是,擁有root權限的用戶卻可以刪除這些日志文件和歷史命令文件,這就會造成審計無據可循。另外,就算在海量的日志文件中找到了違規操作日志,也無法定位到運維管理人員。 解決方案介紹: 浪潮運維安全管控系統(簡稱“浪潮SSC”)是浪潮針對政府、財稅、金融、證券、電信、大中型企業等行業數據中心研發的業界領先的運維安全審計產品。產品采用協議代理、協議解碼、命令識別等多種業內先進技術,為用戶提供軟硬件一體化的解決方案,通過嚴格、細致的訪問控制策略,在確保數據中心設備訪問安全的同時,實現對服務器、數據庫和網絡設備的集中訪問管理,并對運維人員的字符終端、圖形終端訪問進行實時監控和事后追溯審計,滿足對數據中心核心資源的集中管理、安全訪問和監控審計的要求。 
圖 系統架構 賬號集中管理 賬號集中管理是指對運維用戶賬號和服務器、數據庫、網絡設備賬號進行集中統一管理。 賬號集中管理是浪潮運維安全管控系統(浪潮SSC)實現集中授權、訪問控制、身份認證和安全審計的基礎。通過賬號集中管理,不僅方便對大量用戶賬號的管理和授權,還能夠對賬號設置安全的密碼策略,此外,通過賬號與運維用戶的綁定,真正實現針對運維用戶的行為審計。 身份認證 浪潮運維安全管控系統(浪潮SSC)為用戶提供統一的安全認證接口,并且支持多種安全認證模式,包括靜態口令認證、USBKey證書認證、POP3認證、Windows AD域認證、Radius認證等。采用統一的安全認證接口,不僅便于對用戶認證的管理,而且,能夠采用安全的認證模式,提高用戶認證的安全性和可靠性。 授權管理 浪潮SSC提供基于運維用戶、設備、設備賬號的細粒度訪問授權機制,最大限度保護設備資源的安全。 通過資源授權界面,可以對數據中心資源和資源賬號進行管理,針對運維用戶進行資源賬號的訪問授權,并通過設置訪問控制策略,限制運維用戶的訪問行為。資源授權列表以“運維用戶(組)——資源(組)——資源賬號”的形式,不僅完成了資源賬號到運維用戶的綁定,而且為數據中心資源的訪問控制管理帶來了極大便利。 單點登錄 浪潮運維安全管控系統(浪潮SSC)提供單點登錄功能,系統管理員為運維用戶設置可以訪問的資源、賬號和密碼后,運維用戶只需要通過B/S方式登錄系統,就能夠以設置好的賬號訪問資源,無須再次輸入賬號和密碼。 單點登錄為管理大量不同類型資源的運維用戶提供了方便快捷的運維方式。運維用戶無需打開多種管理工具,也無需多次輸入用戶名和密碼,極大地提高了運維管理效率。同時,系統提供了多種安全認證模式,保證運維賬號的安全性。 安全審計 針對運維用戶的字符終端和圖形終端訪問,浪潮運維安全管控系統(浪潮SSC)提供了系統、全面的事中審計、事后審計兩種審計模式。 事中審計可以方便系統管理員實時監控運維用戶的字符終端、圖形終端訪問,并及時切斷高危訪問連接。事后審計為系統管理員提供了全面的審計記錄,包括運維用戶的字符終端、圖形終端訪問的完整操作回放、命令記錄和命令內容。 事中審計和事后審計結合,可以為數據中心提供基于運維用戶的、全面的系統運維審計記錄,并且,審計記錄支持多種查詢模式,方便審計管理員快速、精確定位運維人員操作點。 產品部署 浪潮運維安全管控系統(浪潮SSC)采用單臂部署模式,部署在被管理設備的訪問路徑上,通過路由器或者交換機的訪問控制策略限定只能由SSC直接訪問設備的遠程維護端口。運維人員管理設備時,首先以WEB方式登錄SSC,然后通過系統展現的訪問資源列表直接訪問授權設備。 邏輯部署示意圖如圖7-1所示:  圖 產品邏輯部署示意圖 客戶收益: 集中管理,降低管理成本 傳統的數據中心管理方式,存在運維人員與設備賬號一對多、多對一的問題,首先是運維人員、設備賬號數量眾多造成管理復雜,其次,當數據中心增加設備時,需要建立一套新的賬號管理系統,可擴展性差。而通過浪潮運維安全管控系統(浪潮SSC)的集中賬號管理,可以實現對數據中心賬號基礎信息進行標準化管理,能夠為數據中心各設備資源提供基礎的用戶信息源,并保證各設備資源的運維用戶信息唯一性和同步更新。 單點登錄,提高運維管理效率 浪潮運維安全管控系統(浪潮SSC)在對運維人員進行資源授權后,運維人員登錄系統,即可看到自己管理的所有設備資源。由于資源授權具體到設備資源的賬號、密碼,因此,運維人員只需點擊資源列表中相應的資源即可管理設備,無需再次輸入賬號、密碼,極大的提高了運維管理效率。 多種安全策略相結合,提高設備訪問安全 浪潮運維安全管控系統(浪潮SSC)擁有完善的安全訪問策略,可以通過添加IP地址策略限制運維人員登錄系統的IP地址;可以設置運維人員可訪問系統的工作時間段策略;也可以設置運維人員訪問設備資源時的命令策略,禁用高危系統命令,并進行郵件告警;還可以設置二次授權,對運維人員操作核心服務器和數據庫時進行登錄審批。通過一系列的安全訪問策略,保證客戶數據中心設備資源的訪問安全。 安全審計,提供完善的審計體系 針對字符終端和圖形終端訪問,浪潮運維安全管控系統(浪潮SSC)提供了事中審計和事后審計兩種審計模式。事中審計可以方便審計管理員實時監控運維用戶的操作,一旦發現高危操作,可以及時阻斷用戶的訪問連接;事后審計可以提供完整的運維用戶操作錄像、命令記錄等內容,完整再現運維用戶的操作過程。另外,系統提供的報表功能,可以更加形象化地展示用戶訪問、管理操作等內容,這些都為數據中心提供了非常完善的審計體系。
|