云计算是IT产业的第三次变革,架构的创新不只带来了降本增效、弹性扩展等技术层面的价值,更已成为企业加速形成差异化,保持竞争优势的关键。然而,许多企业在云计算平台实施之后,IT运维管理自身的安全性并没有因为云得以改善,“账号、权限、审计”三大问题渐渐成为了云中风险最大的运维隐患。
而以下这家单位的情况却十分不同,他们与国内领先的应用安全解决方案与服务商国路安联手,在部署GLA天玑安全运维审计系统之后,其可信的运维管理平台不但确保了云端数据的安全,更在服务水平上步步提升。
云端存在“三大”安全短板 运维管理危机重重
“自从云计算技术在我们这里‘安家’之后,大力推动了战略性变革,实现了更精准的决策,并在协作方面获得了更深入的竞争优势。”——以上是某单位在云计算全新应用体系架构实现后,对其在办公应用、项目管理及项目申报应用工作总结时,该单位领导对云计算的评价。
云计算不仅可以提高信息系统资源利用率、减少系统建设和运维成本、提高系统集中管控能力,而且它们在系统高可靠性、高性能和高可扩展性等方面的保证也有着极大的优势。然而,与传统计算模式不同,在云计算模式下,业务应用都运行在抽象的资源平台之上,而不是直接运行在物理硬件平台上,而这种变化带来的问题是:传统的信息安全机制和技术可能会失去部分或全部安全功效,从而需要引入新的安全技术和管理机制,而整个安全体制中,一个非常重要的环节,就是运维安全。
通过对云计算平台进行安全风险评估之后发现,日趋复杂的IT系统与不同背景的运维人员的行为造成了三处风险短板,具体表现为:“账号、权限、审计”。
- 账号问题:同一工作组多人共用一个账号,一旦有安全事故发生,不仅难以定位账号的实际使用者和责任人,而且无法对账号的使用范围进行有效控制,存在较大安全风险和隐患。而一个维护人员,使用多个账号也是普遍现象,这导致运维人员在日常的工作中,需记忆多套口令同时在多套主机系统、网络设备之间切换,增加了工作的复杂度,工作效率不高。
- 权限问题:由于缺少统一的权限管理平台,而且维护人员的权限多数大于实际工作需要,无法基于“最小权限原则”分配用户权限,难以实现更细粒度的命令级权限控制,IT特权滥用、误操作等事件时有发生。
- 审计问题:各网络设备、主机系统、数据库各自采用了独立的审计系统,由于没有统一审计策略,并且各系统自身审计日志内容深浅不一,难以及时通过系统自身审计发现违规操作行为和追查取证。
“与协议无关”解难题 “隔离、阻断、回放”围绕数据安全
为此,单位网络安全负责人对市场上的网络安全审计系统和运维软件进行了深入的调查。他发现:传统的网络安全审计系统无法对维护人员经常使用的SSH、RDP等加密、图形操作协议进行内容审计;并且,大部分的运维管理软件都未能包含审计和权限分配功能,运维人员的权利仍然“高高在上”。
偶然的机会,在一次网络安全研讨会上,他了解到了国路安推出的GLA天玑安全运维审计系统很“特别”,与协议无关。而针对传统运维管理中的技术架构和审计缺陷,GLA天玑安全运维审计系统可实现运维终端通过RDP协议连接到堡垒机,再由堡垒机发起对资源的运维请求,形成了运维终端与运维资源逻辑隔离,并在全程审计中实现了集中管控。随后,双方还在GLA“云纵深防御”架构的沟通中再次“碰撞出火花”,因为这款堡垒机产品不但可以有效控制系统内部众多敏感信息的泄漏问题,还可以避免因管理员终端被病毒和木马控制后,引发更严重的泄密事件发生。
最终,该单位以“云纵深防御”结构为基础,部属了GLA天玑安全运维审计系统,对现有的云计算模式形成了全新的安全运维架构。实施效果如下:
- 逻辑上将运维人员与目标设备安全分离,防止由终端传入病毒/木马或人为原因导致的数据泄露;
- 基于角色或岗位进行统一集中管理,实现系统的安全授权和认证;
- 依据最小权限分配原则,最大限度保护资源安全,通过可执行命令或不可执行命令集合来实时阻断运维用户的非法操作;
- 通过统一的安全管理平台对该单位信息系统中的安全设备、主机或软件进行安全管理,保证安全管理过程的合法合规;
- 提供基于Web接口的单点登录,定期自动更新账户口令,使得繁杂的账号和口令不再依托个人“记忆”,使运维工作更便捷;
- 对所有的管理动作进行全程的审计和监控,保证整个系统中运维管理操作上的可追溯性。
单位网络安全负责人表示:“之前,我们在内网安全软件、防毒软件和身份审计方面投入巨大,但收效甚微。而GLA天玑安全运维审计系统,可以有效地杜绝网络管理人员直接访问涉密资源的情况,其全程监控和录制的功能更形成了具有震慑性和实操性的可信平台。”安全有效、灵活管理、简便运维、运维活动全纪录是可信运维管控的基础,目前该单位的运维工作也已经开始引入国际上标准化的运维流程,服务水平大幅提升。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
正确配置资源以减少云安全威胁
我们都知道,亚马逊S3数据泄露事件曾占据头条新闻,但导致该数据泄露的错误配置安全控制并非亚马逊独有的问题。事实 […]
-
云安全产品井喷时代 东软NCSS如何“笑傲江湖”?
云计算并非十全十美,越来越多将业务迁移到公有云或私有云的用户不得不面对云计算带来的安全问题……
-
技术追踪:山石网科和VMware碰撞出了什么火花?
网络安全提供商山石网科与云基础架构和移动商务解决方案提供商VMware于前不久在京召开“云中行走 格保安全”战略发布,那么这一次,双方碰撞出了什么火花?
-
在云中添加安全管理控制层
企业战略集团(Enterprise Strategy Group)分析师Jon Oltsik认为,许多网络安全专业人员在自己网络上安装管理服务器,以避免出现破坏性配置错误。