堡垒机，让运维人员不再做“黑锅侠”

发布时间：2021-01-08 14:01 所属栏目：53 来源：网络整理

导读：《堡垒机，让运维人员不再做“黑锅侠”》要点：本文介绍了堡垒机，让运维人员不再做“黑锅侠”，希望对您有用。如果有疑问，可以联系我们。由于来源身份不明、越权操作、密码泄露、数据被窃、违规操作等因素,都可能会使运营的业务系统面临严重威胁.一旦发

《堡垒机，让运维人员不再做“黑锅侠”》要点：
本文介绍了堡垒机，让运维人员不再做“黑锅侠”，希望对您有用。如果有疑问，可以联系我们。

由于来源身份不明、越权操作、密码泄露、数据被窃、违规操作等因素,都可能会使运营的业务系统面临严重威胁.一旦发生事故,如果不能快速定位事故原因,运维人员往往就会背黑锅.

几种常见的背黑锅场景

1、由于不明身份利用远程运维通道攻击服务器造成业务系统出现异常.但是运维人员无法明确攻击来源,那么领导很生气、后果很严重.

2、只有张三能管理的服务器,被李四登录过并且做了违规操作.但是没有证据是李四登录的,那么张三只能背黑锅了.

3、运维人员不小心泄露了服务器的密码.一旦发生安全事故,那么后果不堪设想.

4、某服务器的重要数据被窃.但是数据文件无法挽回,那么面临的是无法估量的经济损失.

其实运维工作,出现各种问题是在所难免的.不仅要有很好的分析处理能力,而且还要避免问题再次发生.要清楚认识到出现问题的真实原因：

1、没有规范管理,人与服务器之间的界限不清晰

2、没有实名机制,登录服务器前没有实名验证

3、没有密码托管,服务器的密码太多,很难做到定期修改,自己保管怕丢失

4、没有操作预警,对高危、敏感的操作无法做到事前防御

5、没有传输控制,对重要服务器无法控制文件传输6、没有回溯过程,不能完整还原运维过程

作为运维人员,如何摆脱以上背黑锅的尴尬局面呢?也许堡垒机是一个破解此局面的必杀技.

提供统一入口,所有运维人员只能登录堡垒机才能访问服务器,梳理“人与服务器”之间的关系,防止越权登录.

采用手机APP动态口令、OTP动态令牌、USBKEY、短信口令等双因素身份实名鉴别机制,防止密码被暴力破解,解决访问身份模糊的问题.

通过堡垒机定期自动修改服务器的密码,解决手工修改密码、密码泄露和记住密码的烦恼.

1、可自动修改Windows、Linux、Unix、网络设备等操作系统的密码

2、可以设置周期或指定时间执行改密任务

3、可设定密码的复杂度、随机密码、指定密码、固定密码格式等

4、可通过邮件、SFTP、FTP方式自动发送密码文件给管理员

5、提供密码容错机制：改密前自动备份、备份失败不改密、改密后自动备份、自动恢复密码等

作为运维人员,如何摆脱以上背黑锅的尴尬局面呢?也许堡垒机是一个破解此局面的必杀技.

1、通过命令控制策略,拦截高危、敏感的命令

2、通过命令审核策略,审批需要执行但又不能随意执行的命令

3、通过文件传输控制策略,防止数据、文件的泄露

堡垒机要做到文件记录、视频回放等精细化完整审计,快速定位运维过程：

1、不仅要对所有操作会话的在线监控、实时阻断、日志回放、起止时间、来源用户、来源地址、目标地址、协议、命令、操作(如对文件的上传、下载、删除、修改等操作等)等行为记录.

2、还要能保存SFTP/FTP/SCP/RDP/RZ/SZ传输的文件,为上传恶意文件、拖库、窃取数据等危险行为起到了追踪依据.

文章出处：运维审计

（编辑：ASP站长网）