一條策略實現堡壘機防繞過
堡壘機想必大家都很熟悉,許多大型數據中心均使用堡壘機進行單點登錄及安全審計,也有部分用戶使用跳板機的方式實現了部分堡壘機的能力。
但現實和夢想總是有差距,想像中有了堡壘機,大家訪問伺服器應該是這樣的:
現實中是這樣的:
解決思路無非是訪問控制——所有伺服器的遠程連接服務只允許堡壘機進行訪問。(嗯,給全體人員發郵件進行宣傳教育是個好方法…)
解決思路有了,剩下的就是解決方案了:
解決方案一:防火牆
防火牆從誕生之日起就是為瞭解決訪問控制問題的,目前用戶最常用的方式是在辦公區和生產區之間通過防火牆限制員工直接訪問生產區伺服器的遠程連接服務。
想像中大家應該是這樣的:
現實中是這樣的:
解決方案二:多用幾臺防火牆
能想到縱深防禦,安全就又進了一步。在數據中心中根據業務系統、重要級別劃分多個安全域,用防火牆進行域間隔離,不僅可以限制堡壘機繞過後的行走範圍,也同樣減少了內部其他橫向移動的範圍。
例如某航空客戶,其5000多臺虛擬機、100多個業務系統,內部採用40多臺防火牆進行隔離。這可能是基於現有技術能想到的最好方案,雖然每個區域內仍然有100多臺可以橫向移動,但40臺防火牆每天調整80多條安全策略已經是安全部門能承擔的上限了。
而且用過防火牆的都知道,時間一長幾千上萬條防火牆策略運維起來是很可怕的(當然也不是所有客戶都有策略數太多的困擾——根據客戶的吐槽,某國內大廠的某型號防火牆,只能有1700條策略,一多就崩,這也讓客戶保持了逼自己精簡安全策略的習慣…)
好像有點跑題,多用幾臺防火牆解決堡壘機防繞過的缺點是什麼:
01
每個防火牆都需要配置至少一條安全策略,有任何變化調整起來也是累心。
02
大型數據中心域內仍然存在較大可橫移範圍。
還有一種技術是安全組,安全組主要是公有雲廠家提供的一種能力,各家的實現邏輯也不盡相同。以阿里雲為例,「同一安全組內的實例之間默認私網網路互通,不同安全組的實例之間默認私網不通。」當安全組內存在多臺虛擬機時,類似於防火牆域間隔離的作用。但除此之外,安全組最大問題可能是很多私有雲並不支持。
解決方案三:主機防火牆
當每臺虛擬機一個安全組時和主機防火牆就有些類似了,區別主要是一個控制點在外,一個控制點在內。主機防火牆的確能夠將內部橫向移動範圍最小化,但缺點也很明確——太麻煩!50臺虛擬機以下還能考慮,但在幾百上千臺虛擬機環境下,每一臺通過iptables配置互相訪問的策略根本無法想像。
解決方案四:使用薔薇靈動蜂巢自適應微隔離安全平臺
一條策略實現堡壘機防繞過
完整視頻如下(1分45秒,6.52MB):
第一步,產品管理界面搜索堡壘機,紅色代表存在不合規訪問
第二步,建立一條堡壘機全局策略集。
第三步,設置策略範圍。策略範圍選擇「所有、所有、所有」,表示這個策略集中所有策略的生效範圍是所有的工作組。
第四步,新增一條安全策略。指定服務者(被訪問者)是所有角色,可被訪問的服務是ssh服務,訪問者是堡壘機。
產品利用標籤標識工作負載(指承載業務的主機),改變原防火牆基於IP的策略管理方式,即簡化安全策略的配置過程,又大大減少了安全策略的總數。而且在後續運維中,如果增加了工作負載,產品可以自動將此條策略配置到新工作負載上,無需人工調整。
第五步,查看拓撲圖,堡壘機訪問其他主機ssh服務的連接變為綠色。若存在windows主機,還可在拓撲圖快速添加安全策略。
第六步,對策略進行發布,策略同步到工作負載並生效。
文章來源於薔薇靈動
推薦閱讀:
