1、 堡垒机产品由来?
堡垒机产品源于单位对管理理念和对网络安全的不断认知提升的过程,从2000年开始,随着软件成熟化不断推动,单位对安全的认识也从边界到内部,而且越来越关注内部数据和内部人员运维过程的重要性。堡垒机也就在这样过程中诞生并进行了不断延伸,从“跳板机”到“堡垒机”,从“堡垒机”到“运维安全网关”,从“运维安全网关”在根据各厂商认知以及规划进行了不断细分,比如云堡垒机,4A,比如堡垒机、数据库审计,日志审计组合成的综合运维审计系统等。这些不断的变化也是结合国家政策,市场,最主要是需求的不断延伸。
备注百科:
跳板机:可以单点登录,批量操作远程设备的网络设备。
堡垒机: 可以单点登录和对运维过程进行安全审计。
运维安全(审计)网关:可以单点登录和对运维过程进行安全审计,运维过程风险控制,权限细节分配,密码改密等。合规性更全面。
云堡垒机:在私有云或公有云上部署云堡垒机产品,产品实现形态和普通版本基本一致,主要改变为镜像方式以虚拟化形态部署在云平台管理平面。售卖方式一般可租可买断方式。
4A:细化了运维安全(审计)网关具备的功能,同时面向对象针对人员账户进行全生命周期管理,加强了控制和实用力度,一般需要和业务进行配合。
综合运维审计系统:网络审计,数据库审计,日志审计、运维安全(审计)网关结合产品。
2、 堡垒机产品基础功能都应该有什么?
堡垒机产品应用市场已经很长时间,基础功能各厂商满足情况大同小异,主要能实现的功能为:
单点登录:运维用户只需经过一次认证,就可以直接访问多种目标设备。
身份认证:登录资源时可以双因子认证。
访问授权:根据人员情况特性进行访问授权,包括IP,登录名,时间等因素。
操作审计:操作过程记录,包括字符协议,文件传输协议,数据库协议,图形协议等。
实时监控:实现操作过程同步监视。
二次审批:根据需求对特殊指令操作进行二次审批功能。
告警阻断:检测日常运维过程中发生的越权访问、违规操作等安全事件进行告警阻断。
密码管理:对密码进行自动改密,定期改密等。
报表管理:多样化报表满足实际应用。
3、 堡垒机产品合规性有哪些?
堡垒机产品对应到合规政策层面一般为网络安全等级保护要求以及评测等,涉及到美国《萨班斯法案》本次不作为涉及介绍,针对等级保护要求对应个人整理情况如下:
3.1、身份鉴别:
3.1.1、应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
3.1.2、应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。
3.1.3、当进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。
3.1.4、应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
3.2、访问控制:
3.2.1、应对登录的用户分配账户和权限。
3.2.2、修改默认账户的默认口令。
3.2.3、应及时删除或停用多余的、过期的账户,避免共享账户的存在。
3.2.4、应授予管理用户所需的最小权限,实现管理用户的权限分离。
3.2.5、应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则。
3.2.6、访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级。
3.3、安全审计:
3.3.1、应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
3.3.2、应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
3.3.3、应对审计进程进行保护,防止未经授权的中断。
3.4、数据备份恢复
3.4.1、 应提供重要数据的本地数据备份与恢复功能。
3.4.2、 应提供重要数据处理系统的热冗余,保证系统的高可用性
3.5、 其它要求
3.5.1、应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。
3.5.2、 应对审计管理员进行身份鉴别、只允许通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计。
3.5.3、 应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间复合法律法规要求。
3.5.4、 应禁止未授权访问和非法使用用户个人信息。
3.5.5、 应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限。
4、 堡垒机产品一般哪些易用性和安全性是需要的?
4.1、堡垒机B/S,C/S客户端都应该具备,便于不改变使用习惯。
4.2、二次授权或金库模式是必须的,可以预防单个负责人危险性操作。
5、 堡垒机产品怎么选?
市面上厂家报价是根据字符并发和图形并发来计算需要的设备性能,设备和被管理数量,存储来作为参考因素。因此单位在选择堡垒机的第一件事就是对单位进行资产普查,明晰需要被管理资源的性质,数量以及常用访问方式或者协议。通过资产普查可以评估后续堡垒机设备性能情况,同时也明确了被管理数量。这样对于厂商来说已经可以报价了。同时单位应当从合规性和易用性综合考虑,而且根据本单位实际对运维的标准以及习惯,明确自己要能达到的要求。同时软件著作权,销售许可证,3C证书等证书可以保障产品基础安全性。
备注:
图形并发数(RDP、VNC等):通过图形协议同时打开应用的数量。
字符并发数(SSH、TELNET等):通过字符协议同时打开应用的数量。
举例:单位50台网络设备作为被管理资源,运维人员5人,以及日常应用习惯来估算,最大估算为图形并发数80,字符并发数为250.
6、 堡垒机产品建议怎么部署?
基本部署方式为旁路部署,无需对网络结构进行任何调整,给设备1个IP地址,后续所有设备通过此设备IP地址进行访问各类被管理资产,强制性使用可以通过核心交换机进行对管理地址限定或管理端口限制等方式指定被管理资产必须通过堡垒机才能访问。
7、 堡垒机产品主流厂商有哪些?
本次提供的厂商为个人情况评估仅供参考,厂商包括齐治科技、帕拉迪、网御星云、建恒信安、圣博润、深信服、安恒、绿盟、齐安信、天融信、江南科友等每个厂商主要功能大同小异,其特性功能不一一列举,主要区别功能点如:自动化运维程度,VPN模块,应用发布器是否内置,金库模式细节度,文件传输特性,报表多样性等。
8、 堡垒机价格参考?
一般价位在5-15万,此价格参考源于对2019年招标网站涉及堡垒机产品成交价情况,大部分成交价在7-10万。
9、 堡垒机在哪买?
加微信:一零八八三二一七四五四;菜哥助你安选网络安全产品。哪些描述不清楚可及时沟通更新。网络安全为人民,网络安全靠人民。
