1. 堡壘機的相關廠商
目前, 已經有相當多的廠商開始涉足這個領域,如:思福迪、帕拉迪、聖博潤、尚思卓越、綠盟、 科友、齊治、金萬維、極地、派拉等,這些都是目前行業里做的專業且受到企業用戶好評的廠商,但每家廠商的產品所關注的側重又有所差別。
以某運維安全審計產品為例,其產品更側重於運維安全管理,它集單點登錄、賬號管理、身份認證、資源授權、訪問控制和操作審計為一體的新一代運維安全審計產品,它能夠對操作系統、網路設備、安全設備、資料庫等操作過程進行有效的運維操作審計,使運維審計由事件審計提升為操作內容審計,通過系統平台的事前預防、事中控制和事後溯源來全面解決企業的運維安全問題,進而提高企業的IT運維管理水平。 1、身份認證及授權管理
健全的用戶管理機制和靈活的認證方式
為解決企業IT系統中普遍存在的因交叉運維而存在的無法定責的問題,堡壘機提出了採用「集中賬號管理「的解決辦法;集中帳號管理可以完成對帳號整個生命周期的監控和管理,而且還降低了企業管理大量用戶帳號的難度和工作量。同時,通過統一的管理還能夠發現帳號中存在的安全隱患,並且制定統一的、標準的用戶帳號安全策略。針對平台中創建的運維用戶可以支持靜態口令、動態口令、數字證書等多種認證方式;支持密碼強度、密碼有效期、口令嘗試死鎖、用戶激活等安全管理功能;支持用戶分組管理;支持用戶信息導入導出,方便批量處理。
細粒度、靈活的授權
系統提供基於用戶、運維協議、目標主機、運維時間段(年、月、日、周、時間)等組合的授權功能,實現細粒度授權功能,滿足用戶實際授權的需求。授權可基於:用戶到資源、用戶組到資源、用戶到資源組、用戶組到資源組。
單點登錄功能是運維人員通過堡壘機認證和授權後,堡壘機根據配置策略實現後台資源的自動登錄。保證運維人員到後台資源帳號的一種可控對應,同時實現了對後台資源帳號的口令統一保護與管理。系統提供運維用戶自動登錄後台資源的功能。堡壘機能夠自動獲取後台資源帳號信息並根據口令安全策略,定期自動修改後台資源帳號口令;根據管理員配置,實現運維用戶與後台資源帳號相對應,限制帳號的越權使用;運維用戶通過堡壘機認證和授權後,SSA根據分配的帳號實現自動登錄後台資源。 實時監控
監控正在運維的會話,信息包括運維用戶、運維客戶端地址、資源地址、協議、開始時間等:監控後台資源被訪問情況,提供在線運維操作的實時監控功能。針對命令交互性協議,可以實時監控正在運維的各種操作,其信息與運維客戶端所見完全一致。
違規操作實時告警與阻斷
針對運維過程中可能存在的潛在操作風險,SSA根據用戶配置的安全策略實施運維過程中的違規操作檢測,對違規操作提供實時告警和阻斷,從而達到降低操作風險及提高安全管理與控制的能力。對於非字元型協議的操作能夠實時阻斷;
字元型協議的操作可以通過用戶配置的命令行規則進行規則匹配,實現告警與阻斷。告警動作支持許可權提升、會話阻斷、郵件告警、簡訊告警等。 對常見協議能夠記錄完整的會話過程
堡壘機能夠對日常所見到的運維協議如SSH/FTP/Telnet/SFTP /Http/Https/RDP/X11/VNC等會話過程進行完整的記錄,以滿足日後審計的需求;審計結果可以錄像和日誌方式呈現,錄像信息包括運維用戶名稱、目標資源名稱、客戶端IP、客戶端計算機名稱、協議名、運維開始時間、結束時間、運維時長等信息
詳盡的會話審計與回放
運維人員操作錄像以會話為單位,能夠對用戶名、日期和內容進行單項查詢和組合式查詢定位。組合式查詢則按運維用戶、運維地址、後台資源地址、協議、起始時間、結束時間和操作內容中關鍵字等組合方式進行;針對命令字元串方式的協議,提供逐條命令及相關操作結果的顯示:提供圖像形式的回放,真實、直觀、可視地重現當時的操作過程;回放提供快放、慢放、拖拉等方式,針對檢索的鍵盤輸入的關鍵字能夠直接定位定位回放;針對RDP、X11、VNC協議,提供按時間進行定位回放的功能。
豐富的審計報表功能
堡壘機系統平台能夠對運維人員的日常操作、會話已經管理員對審計平台進行的操作配置或者是報警次數等做各種報表統計分析。報表包括:日常報表、會話報表、自審計操作報表、告警報表、綜合統計報表,並可根據個性需求設計和展現自定義報表。以上報表可以EXCEL格式輸出,並且可以以折線、柱狀、圓餅圖等圖形方式展現出來。
應用發布
針對用戶獨特的運維需求,堡壘機推出了業界虛擬桌面主機安全操作系統設備,通過其配合堡壘機進行審計能夠完全達到審計、控制、授權的要求,配合此產品,可實現對資料庫維護工具、pcAnywhere、DameWare等不同工具的運維操作進行監控和審計。
2. 資料庫安全審計系統的市場分析
1、以色列的Imperva,該系統功能還是滿強大的,通過IDP探針,串聯部署,阻斷資料庫數據安全威脅。但國內用戶使用由於全英文界面,加上配置資料庫安全策略很復雜,非專業資料庫DAB操作起來很困難。更重要的是國內使用該產品,其技術手段需要依靠合作的資料庫廠商來做支持。
2、IBM的Guardium:該系統強過國內的大部分產品,但由於其設計思路的原因,部署上需要在資料庫伺服器端安裝「S-TAP」 輕量級系統探針;分級部署時需在資料庫伺服器端安裝「S-GATE」,在總控伺服器安裝「Z-TAP」。該系統按照國外的審計需求,只針對滿足國外需求的審計數據進行審計。過濾了大部分可能對國內用戶有實用價值的審計信息。也是全英文界面,資料庫安全審計策略配置很復雜,非專業資料庫DAB操作起來很困難。
以上兩個產品是國外的主流產品,國內市場上基本數據高端專業客戶使用,價格很高。對國內絕大多數用戶來說,具有有用性,但缺乏實用性,操作維護困難。只記錄「關注」事件,逃避「IO」,失去「事後」追蹤有用性, 增加「事前」管理和使用難度。 國內資料庫產品主要廠商:
1、上訊信息——資料庫安全審計系統;
2、北京安信通——資料庫審計系統;
3、北京國都興業——慧眼資料庫審計系統;
4、深圳昂楷科技——資料庫多重審計系統AAS;
5、安華金和——資料庫監控與審計系統;
6、安恆信息——明御資料庫審計和風險控制系統;
7、北京天融信——網路衛士資料庫審計系統TopAudit-DB (簡稱 TA-DB)
8、北京啟明星辰——天玥網路安全審計系統
9、北京萊克斯科技——ClearNet DBA資料庫審計系統
10、杭州思福迪——LOGBASE業務資料庫審計系統
11、杭州帕拉迪——DBxpert資料庫審計系統
12、福建海峽信息——黑盾資料庫安全審計系統
主要分為:國內原先具有網路審計產品的廠商,在網路審計產品的基礎上經過簡單包裝,推出的資料庫審計產品;國內廠商專門針對資料庫通訊協議的特點,開發出專門的資料庫審計產品;國外的資料庫審計產品;OEM第三方的資料庫審計產品,OEM對象可能是國內的產品,也可能是國外的產品。
區分這些資料庫安全審計產品可以從幾個方面來測試:
1、雙向審計:只能實現單包返回狀態分析,不能實現對查詢結果進行分析。
2、長SQL語句漏審:超長SQL語句無法解析記錄,提供逃避審計通道;
3、完全協議解析:解析協議解碼不完全(無會話技術就不可能完全解碼);
4、參數值與SQL語句匹配:變數綁定不支持或不完整(審計素材有用性缺失);
5、海量數據分析:無法全部存儲分析審計數據,記錄之後,不能查詢;
6、海量存儲:無法記錄下原始數據包,缺乏最原始的審計依據;
7、及時警告:事後報警,做不到事前防範,事中報警;
8、多語句無法有效分割:長會話記錄分散記錄,審計困難;
9、客戶影響:部分產品需要改變網路拓撲,甚至需要在資料庫伺服器上安裝採集器,易造成安全漏洞。
10、應用用戶關聯:三層應用用戶關聯有20%以上會出現漏審和錯審,尤其在高並發下更是如此。
這里重點評價一下好的資料庫審計系統要求:能展現資料庫完整會話操作的系統。採用資料庫訪問協議完全解析技術,能實現對超過1460位元組長度的SQL語句完整解析。除了能解析資料庫綁定變數,還能解析該綁定變數的值。能完整記錄SQL語句的返回結果集。同時由於是國內廠家自主知識產權,技術支持也比國外產品更直接、更有效。
如果說好的資料庫審計系統的特徵如下:
1、能展現資料庫完整會話操作;
2、具備對超過1460位元組長度的SQL語句完整解析;
3、具備解析資料庫綁定變數和該綁定變數的值;
4、能完整記錄SELECT語句的返回結果集; 上市公司:薩班斯法案的要求
電信、軍工、煙草、電力等行業需求
等級保護、分級保護的要求
3. 目前堡壘機做的最強的是哪家公司,他們的產品有什麼優勢
回答轉自知乎:
有不少朋友讓我分享一些堡壘機的選取經驗,這是由於他們知道我從07年開始先後在多個公司任職IT運維部門的負責人,並為公司選取並部署過從傳統堡壘機到雲堡壘機的多款產品,積累了不少的經驗。
我們知道,堡壘機的主要功能是做一個IT系統的看門人,任何人都只能通過堡壘機作為門戶單點登錄系統。堡壘機不僅集中管理和分配全部賬號,更重要的是能對運維人員的運維操作進行嚴格審計和許可權控制,確保運維的安全合規和運維人士的最小化許可權管理,堡壘機出現可以解決許多切實的問題。
在沒有部署堡壘機以前,很多公司都會遇到不少安全運維問題,比如:
a)登錄賬號管理混亂,多個用戶使用一個賬號或者一個用戶使用多個賬號;
b)運維許可權劃分不明,越權操作頻頻發生;
c)認證方式過於簡單,無雙因子認證賬號容易丟失被盜;
d)對運維過程沒有監控措施,出現網路安全故障難以排查原因和准確追責。
而以上這些問題都可以通過堡壘機來解決,作為看門人的堡壘機其嚴格管控能力十分強大,能在很大程度上的攔截非法訪問,和惡意攻擊,對不合法命令進行命令阻斷,過濾掉所有對目標設備的非法訪問行為,並對內部人員誤操作和非法操作進行審計監控,以便事後責任追蹤。
市面上門門類類的堡壘機很多,那麼該如何選購呢?我主要根據自己的經驗,從幾個要點進行分析和比較,分享給大家參考。
首先說下傳統的堡壘機,多為軟硬體結合且價格昂貴,其管控能力十分強大,是銀行、國營大型企業IT運維團隊的首要選項。傳統堡壘機的缺點是,價格很高動輒數十上百萬,而且部署起來困難,需要專業的團隊統籌部署,維護成本高。同時對現有網路結構侵入大,軟體和硬體升級都不方便,並不怎麼適合中小型企業、一般創業企業。
隨著雲服務技術的廣泛普及,堡壘機的形態也在隨之演變,在傳統堡壘機的基礎上又出現了雲堡壘機。雲堡壘機相對靈活的多,其價格便宜、維護成本低(甚至不用維護),多為旁路部署,不改變現有網路結構,擴展能力強。基於這些優點雲堡壘機近兩年開始大受歡迎,是許多企業IT運維團隊的選購重點。目前市面上比較流行的雲堡壘機像安恆、行雲管家、碉堡、雲匣子等等,他們的主要功能基本相似,但優勢和側重點各有不同。
如果你的團隊規模不是超大型,伺服器的數量不是過萬台級別,那麼我主要建議大家選購雲堡壘機即可。在選購合適的雲堡壘級之前,首先分解一下雲堡壘機的主要選購指標。
1、侵入性:如果要每台主機安裝Agent,安全性不好保障,工作量也大。對於區域網主機而言,最好是只需要在網路內安裝一個代理軟體即可,保持其它主機的純凈和安全。如果是公有雲主機,最好是支持API導入,方便快捷;
2、審計方式:這點要特別注意,目前很多堡壘機只有錄像審計,事實上如果真要回溯追責,光靠錄像可是不夠的,誰會有那麼多時間去逐幀看錄像呢!所以最好是要有指令審計,比如追查是誰刪除了某個文件,只需輸入文件名即可檢索。還有一些堡壘機是不支持Windows指令審計的,如果您的主機包含了Windows,可一定要求具備Windows指令審計功能哦;
Windows伺服器指令檢索
3、安全性:要支持身份授權、訪問控制、雙因子認證等安全策略。同時還要有高危命令阻斷功能,要能夠設置命令的黑白名單,主動攔截高危命令;
雙因子驗證登錄
4、配套功能考慮:是否具備其它運維相關功能,比如主機監控、遠程協同、自動化運維。需要注意的是,堡壘機對於自動化運維的影響,如果堡壘機成為自動化運維的羈絆,那麼可就得不償失了;
5、部署難度:部署難度是否大,一般SaaS模式是無需部署的,免維護,這對於小團隊來說非常適用,能夠減少很大的人力成本;
6、產品更新頻率:既然是雲堡壘機,那麼產品的更新迭代頻率應該要快,不能像傳統堡壘機一樣幾年不更新,畢竟產業發展的速度是很快的;
7、價格:選擇雲堡壘機的用戶一般來說對價格較敏感,在能夠滿足需求的前提下,自然是越便宜越好。
以上這些指標基本涵蓋的雲堡壘機的主要選購點,您可以根據所在公司和自己團隊的實際需求情況來標示要點,根據這些要點對不同的雲堡壘機品牌進行比較,選出最合適的即可。
目前市場上的雲堡壘機品牌也較多,這里想以安恆雲堡壘機、行雲管家、碉堡雲三個產品來介紹,之所以選擇這三款產品,是因為它們屬於雲堡壘機領域做得不錯的產品,同時在很多方面又比較相似。
安恆堡壘機和碉堡雲其實都應該算是阿里系的產品,而行雲管家是一個完全第三方的產品,三者對現有網路體系和主機的侵入性都比較低,其中安恆只支持私有部署,不提供SaaS模式,價格也相對較高。
在審計方式層面,三者都支持指令審計,但只有行雲管家能夠支持全系列Windows的指令審計,碉堡雲只支持Linux,安恆無法支持Windows2012和2016。
安全性層面,行雲管家和安恆堡壘機能夠提供較豐富的安全策略,例如雙因子認證。
在產品定位上,安恆和碉堡雲專注做安全審計一點,沒有提供額外的其它功能,而行雲管家提供的是一個一站式的IT運維管理平台,除了堡壘機,還有主機監控、自動化運維、混合雲管理等相對較豐富的功能,基本上你想的到的功能都有。
另外值得一提的是,行雲管家產品更新頻率較快,大概一個月左右一個新版本,經常會推出一些新功能,其它兩款產品更新較少。
至於價格嘛,雲堡壘機應該都屬於大家能接受的范圍,相對傳統堡壘機來講,真的是非常實惠的。
總的來說,選購堡壘機並非越貴的就越好,而是要綜合考量各項指標與運維團隊本身的契合度,以及在實際應用中的真實需求。如果您所在的團隊是金融、政府等對安全性要求極高的組織,建議您考慮傳統堡壘機。但是對於一些互聯網企業、創業企業而言,我比較傾向於向大家推薦使用雲堡壘機,無論是從價格還是靈活性來說他都具備優勢。況且隨著雲計算市場的發展,上雲成為主流,未來的堡壘機發展趨勢也必然是偏向於雲堡壘機。
4. 哪個牌子的堡壘機效果最好
有建恆信安堡壘機、奇智、思福迪、帕拉迪等。奇智有自己的專業,但是比較貴,建恆的堡壘機性價比高