はじめに:
インターネットの発達に伴い、ユーザーベースとネットワークの規模/デバイス数はますます大きくなり、ますます複雑化する動作環境とさまざまな運用および保守担当者の行動により、システムに大きなセキュリティリスクがもたらされています。 / springboardマシンが誕生しました
1.コンセプト
要塞機とも呼ばれるジャンプサーバー(ジャンプサーバー)は、その名のとおり、元の機器を操作するための踏み台(バッチ)として使用できるネットワーク機器の一種であり、システム管理者または運用および保守担当者。
2.目的
ネットワークとデータを外部および内部ユーザーからの侵入と破壊から保護するために、さまざまな技術的手段を使用して、サーバー、ネットワーク機器、セキュリティ機器、データベース、およびネットワーク内の他の機器に対する運用および保守担当者の操作を監視および記録します。一元化されたアラーム、タイムリーな処理および監査の責任を促進するため
三、機能
- 最も重要なことは、コアシステムの運用と保守およびセキュリティ監査の管理と制御の2つの主要な機能を統合することです。
- 技術的な観点からは、端末コンピューターのネットワークおよびサーバーリソースへの直接アクセスを遮断しますが、プロトコルプロキシを使用して端末コンピューターのネットワークおよびサーバーへのアクセスを引き継ぎます。
- 簡単に言えば、端末コンピュータのターゲットへのアクセスは、運用および保守のセキュリティ監査によって変換される必要があります。運用および保守のセキュリティ監査は、セキュリティジョブのようなものであり、ドアを保護し、すべてのネットワーク機器とサーバーの要求が必要です。パススルーセキュリティで守られたドア
- したがって、運用および保守のセキュリティ監査は、不正アクセスおよび悪意のある攻撃を傍受し、不正コマンドを直接ブロックし、すべての不正アクセス動作を除外し、内部担当者による誤操作および不正操作(rm -rf)を実行する可能性があります。後で責任を負う(Sicongがライブラリを削除して逃げた)
4.目標値
1.目標:
- 要塞ホストのコアアイデアは、ターゲットデバイスから人を論理的に分離し、「人->マスターアカウント(要塞ホストユーザーアカウント)->承認->スレーブアカウント(ターゲットデバイスアカウント)」のモデルを確立することです
- このモードでは、IDに基づいて、セキュリティポリシーアカウント管理、承認管理、監査の集中管理と制御を通じて、「マスターアカウント->ログイン->アクセス操作->起動」のプロセス全体の完全な監査管理を確立します。 "運用および保守担当者向け
- 最後に、さまざまな操作および保守の暗号化/非暗号化、グラフィックス操作プロトコルのコマンドレベルの監査を実現します
2.システム値
エンタープライズの視点:
通过细粒度的安全管控策略,保证企业的服务器、网络设备、数据库、安全设备等安全可靠运行
降低人为安全风险,避免安全损失,保障企业效益
管理者の視点
所有运维账号的管理在一个平台上进行管理,账号管理更加简单有序
通过建立用户与账号的对应关系,确保用户拥有的权限是完成任务所需的最小权限
直观方便的监控各种访问行为,能够及时发现违规操作、权限滥用等
鉴于多账号同时使用超管进行的操作,便于实名制的认证和自然人的关联
通常のユーザーの視点
运维人员只需记忆一个账号和口令,一次登录,便可实现对其所维护的多台设备的访问,无须记忆多个账号和口令
提高了工作效率,降低工作复杂度