堡垒机使用培训

帕拉迪统一安全管理与综合审计系统产品培训追溯运维安全事件源头降低核心操作系统风险培训内容介绍用户环境问题分析堡垒机部署架构和体系堡垒机部署收益核心功能和模块介绍使用和实施流程用户环境问题分析用户环境问题分析IT运维现状1☞多点登录、分散管理各网点各地市分支机构代维厂商中心运维管理服务器资源IT运维现状2☞交叉异构、帐号共享第三方厂家开发人员管理人员系统帐号IT运维现状3☞人为操作风险，责任无法追溯来自企业内部的非法威胁高权限操作风险不透明违规操作导致敏感信息泄露误操作导致服务异常甚至宕机来自企业外部的非法威胁操作风险不可控黑客盗用帐号实施恶意攻击无法有效监管操作、无法有效取证/举证内部用户外部用户资源设备权限滥用恶意访问误操作权力限用系统管理员网管员安全管理员软件系统开发人员黑客代维厂商合作伙伴企业临时用户•用户身份信息分散于各个系统，形成身份信息的孤岛•维护人员同时对多个系统进行维护，工作复杂度会成倍增加独立的用户数据库身份信息孤岛•用户权限无法集中管理，越权事件时有发生缺乏集中统一的资源授权管理平台•身份的混乱，帐号多人共用，难于确定帐号的实际使用者，难于对帐号的扩散范围进行控制，容易造成安全漏洞自然人身份和业务系统帐号重叠•切换系统登录时，都需要输入用户名和口令进行登录。给工作带来不便，影响了工作效率自然人对多系统的访问频繁切换•无法对支撑系统进行综合分析，不能及时发现入侵行为进行安全预警和数据责任追踪，增加操作风险独立的审计，缺乏关联分析问题分析堡垒机部署架构和体系堡垒机部署架构和体系操作管理统一化☞统一操作管理平台理念构建数据库管理人员开发人员操作代维人员服务器统一认证统一授权统一审计网络设备管理流程规范化☞规范管理流程的实行1.实时监控2.操作记录3.操作回放4.操作搜索5.统计报表1.角色划分2.帐号管理3.密码管理4.权限管理5.访问控制1.帐号管理2.密码定期自动修改人的管理操作管理设备管理操作风险最小化☞最小化操作风险来源于管理模式集中管理模式你做了什么？你能做什么？你去哪？你是谁？访问控制管理帐号授权管理资产帐号管理统一身份管理安全审计管理可用帐号？运维审计方案支持体系2020/1/22字符终端运维管理审计图形终端运维管理审计数据库运维管理审计文件传输操作审计应用终端操作审计KVM终端操作审计命令行：Telnet、SSH文本菜单：HP的SAM、IBM的SMIT，LINUX的SETUP等OracleInformixDB2SybaseSQLServer等基于WEB操作,如：HTTP、HTTPS基于C/S应用终端操作，如：AS400RDPX11VNCFTPSFTPRDP磁盘通道、剪贴板等文件传输Avocent管理终端DSR、DSVIEW力登管理终端：RARITAN、RARITAN_CC覆盖了所有的运维方式，满足数据中心运维管理的需求网络设备数据库系统应用系统主机系统SAPECM内部门户LotusNotesMESORACLEH3CLinuxUNIXWindows字符管理模式2020/1/22命令分析及回放字符终端运维管理审计命令行：Telnet、SSH文本菜单：HP的SAM、IBM的SMIT，LINUX的SETUP等网络设备主机系统H3CLinuxUNIX命令分析：区分指令的输入和输出；并支持从特定的命令进行定位播放；帮助用户快速定位到关注的事件图形管理模式图形终端运维管理审计RDPX11VNC主机系统LinuxUNIXWindows实时监控界面用户操作界面1.完整支持原有客户端，用户可直接使用MSTSC工具进行连接，不改变其使用习惯；2.支持磁盘映射和智能卡远程调用，并提供开关控制，实现数据不落地，有效保障数据安全2020/1/22数据库管理模式2020/1/22数据库运维管理审计OracleInformixDB2SybaseSQLServer等SQL操作语句展现：可捕获底层SQL操作语句，用户行为无法逃避，提供数据检索，快速定位事故现场数据库系统ORACLE数据库操作审计回放SQL操作语句展现DB2Sybaseinformix应用系统管理模式2020/1/22录像回放应用终端运维管理审计基于WEB操作,如：HTTP、HTTPS基于C/S应用终端操作，如：AS400应用系统SAPECM内部门户LotusNotesMES支持应用系统账户密码代填，实现单点登录部署方式外网用户内网用户UTM安全审计管理WindowsHP_UnixAIXLinuxSolaris安全设备网络设备存储设备运维登录流程:1.不加装任何客户端程序2.不加装任何服务器端引擎3.不影响任何网络拓扑4.不影响任何业务数据流5.支持双机热备6.支持集中管理分级部署PLDSECSMSUTM防火墙堡垒机部署收益堡垒机部署收益价值总结统一访问入口，集中权限控制，实现运维操作的规范化管理。规范运维管理满足合规要求完善责任认定降低资源风险有效防止了误操作、滥操作以及越权访问对核心业务系统造成的破坏。快速的故障定位，提高故障处理效率；提供精准的责任鉴定和事件追溯。完善组织的内控与审计体系，从而满足合规性要求，使组织能够顺利通过IT审计。共享帐号的责任认定移动办公合作伙伴运维外包Internet内部运维人员核心业务服务器Root帐号MickeHz_yangDw_wangEcho部署前：所有人员包括移动办公人员、合作伙伴、运维外包人员、内部运维人员共同使用root帐号直接登录核心业务服务器进行各种操作，当核心业务数据被非法修改，或是执行了其他非法命令等，在现有环境上很难定位到人，无法进行责任的认定和故障分析。安全监控、审计部署后：每个自然人都对应一个主帐号（审计平台帐号），登录到核心业务服务器的从帐号root（目标主机帐号），两个帐号存在唯一对应关系，审计人员可以很方便的从平台中查出是谁在什么时间登录哪台服务器做了什么操作，产生什么样的结果，很方便的实现责任认定和故障分析。第三方运维管理合作伙伴运维外包核心业务服务器Root帐号Hz_yangDw_wang创建帐号，授权控制内部管理人员为其创建临时帐号，授予完成维护需要的最小化权限，对高危操作命令进行控制和告警。安全监控、审计保留所有运维操作过程对该阶段的运维操作进行全部记录并保存，作为审计的依据，内部人员还可以实时对其进行监控，发现有违规操作，可以立即进行阻断。Internet业务系统运维需求业务系统的维护、更新升级、故障处理需要合作伙伴或是运维外包人员登录系统进行各种操作。满足第三方审计机构对运维操作的审计报表展现根据用户行业的要求，提供完善的报表展现，满足用户所在行业对合规性的需求。操作原始日志保存了全年的包括内部人员、合作伙伴、外包代维人员对核心业务服务器运维的原始操作日志。第三方审计机构核心功能和模块介绍核心功能和模块介绍核心模块说明用户管理认证管理设备管理授权管理与访问控制审计管理用户管理子模块功能点功能说明用户权限分级用户权限分级自然人用户账号根据权限不同，分为“超级用户”、“资产管理员”、“权限管理员”、“密码管理员”、“审计管理员”、“普通用户”六大类。超级用户最高权限用户角色，可进行所有系统配置、用户管理、权限授权以及操作审计等权限管理员拥有用户管理、授权管理权限，能够添加删除用户，能完成用户/用户组、设备/设备组关联授权。资产管理员拥有资产添加编辑权限，包括添加、编辑、删除权限。审计管理员拥有审计权限，能够审计所有用户运维操作结果。密码管理员拥有账号密码管理权限，只有密码管理员才能管理账号密码。普通用户拥有访问被授权管理设备权限和自身信息修改及自身密码修改权限。用户账号生命周期管理用户状态管理用户账号状态分为“未激活”、“激活”、“锁定”、“禁用”；用户账号有效期支持设置用户账号有效期限用户信息管理用户信息管理支持设置用户信息：真实姓名、邮件地址、邮件附件密码、所属部门、直属领导、联系电话用户组用户分组管理支持用户分组管理，简化授权批量导入用户账号批量导入支持以规定格式文件的用户账号批量导入建立网关用户单击“安全策略管理”》“网关用户管理”网关用户举例认证管理功能点功能说明开放可扩展认证体系采用开放灵活、可扩展的认证体系结构，支持本地静态口令认证，及外部第三方认证机制：Radius、动态令牌卡、PKI、AD域。支持本地认证和第三方认证体系混合使用。本地静态口令认证默认使用本地静态口令认证。Radius认证接口支持第三方Radius认证动态令牌认证接口支持第三方动态令牌认证接口AD域认证接口支持第三方AD域认证（双域）PKI认证接口支持第三方CA服务器与PKI认证设备管理设备管理设备添加、删除添加、删除设备资产设备组管理设备分组管理支持设备分组管理，简化授权。账号管理设备账号添加删除添加、删除设备账号设备账号密码推送（linux/unix/Windows）支持设备账号远程推送修改，支持一下修改策略及其组合1、单次修改2、定期修改3、指定新密码4、自动生成新密码设备账号密码导出支持设备账号以证书加密方式导出批量导入设备批量导入支持以规定格式文件的设备批量导入帕拉迪统一安全管理与综合审计系统总结多年安全审计项目经验，实现了一套创新的账号管理模式（帕拉迪统一账号管理），其具有如下特点：支持账号集中管理模式。支持账号分散管理模式。统一了集中管理模式与分散管理模式。对任意资产，可以使用任意一种管理模式，或两种模式的组合。提供了极大的管理灵活性。授权管理功能模块子模块功能点功能说明授权管理授权管理授权管理以[设备IP、协议类型、账号密码]三元组为单位，对用户授权组授权组授权支持以设备组、用户组方式进行批量授权访问控制字符终端访问控制字符终端ACL支持基于[用户][设备IP][登录IP][设备账号][日期][时间][命令集][空闲时间]任意逻辑组合的访问控制策略控制策略条件:用户支持以[用户]作为控制策略条件控制策略条件:设备IP支持以[设备IP]作为控制策略条件控制策略条件:登录IP支持以[登录IP]作为控制策略条件控制策略条件:设备账号支持以[设备账号]作为控制策略条件控制策略条件:日期支持以[日期]作为控制策略条件控制策略条件:星期支持以[星期]作为控制策略条件控制策略条件:时间支持以[用户]作为控制策略条件控制策略条件:空闲时间支持以[空闲时间]作为控制策略条件控制策略条件:命令集支持以[命令集]作为控制策略条件命令集可包含多条命令,每条命令可使用命令模式或参数模式命令控制支持多平台对FTP命令，SQL命令等命令能够做到准确识别并且可控字符终端扩展命令扩展命令扩展命令是用户登录目标设备后,自动执行的一系列命令基于扩展命令功能可实现命令自动执行功能,自动跳转功能,自动enable等图形传输控制图形传输控制针对图形终端系统,支持[文件传输,剪贴板]功能的开启或关闭权限分配列表审计管理1.实时监控2.操作记录3.操作回放4.操作搜索5.统计报表操作管理子模块功能点功能说明审计管理审计日志回放所有审计日志以连接会话为单位，支持完整回放连接会话实时监控，实时切断任何类型终端交互或应用交付连接会话，支持实时监控，实时切断审计日志搜索定位Syslog输出支持以Syslog方式将审计日志输出至第三方日志中心全面覆盖字符终端审计命令，录像，分析，监控图形终端审计录像，键盘命令，监控文件传输审计录像，文件传输备份应用发布审计录像，SQL捕获，监控实施和使用流程实施和使用流程用户环境的调研1、主要管理设备的分类和管理数量2、用户网络拓扑的了解3、产品部署的位置和分配的IP地址前期准备工作实施流程系统的组网拓扑图如下（插入用户实际网络拓扑图及产品部署位置）实施流程地址规划系统安装调试系统安装PLDSMS系统由杭州帕拉迪网络科技有限公司预装，无需现场安装。系统配置配置系统地址。配置系统其他基本设置。添加用户（批量导入用户统计表格）添加设备资产（批量导入资产统计表格）设定授权（按照授权表格进行授权）系统试运行1，系统部署后，进入系统试运行阶段，通过管理手段要求用户