云計(jì)算是IT產(chǎn)業(yè)的第三次變革，架構(gòu)的創(chuàng)新不只帶來了降本增效、彈性擴(kuò)展等技術(shù)層面的價(jià)值，更已成為企業(yè)加速形成差異化，保持競(jìng)爭(zhēng)優(yōu)勢(shì)的關(guān)鍵。然而，許多企業(yè)在云計(jì)算平臺(tái)實(shí)施之后，IT運(yùn)維管理自身的安全性并沒有因?yàn)樵频靡愿纳疲?ldquo;賬號(hào)、權(quán)限、審計(jì)”三大問題漸漸成為了云中風(fēng)險(xiǎn)***的運(yùn)維隱患。

而以下這家單位的情況卻十分不同，他們與國(guó)內(nèi)領(lǐng)先的應(yīng)用安全解決方案與服務(wù)商國(guó)路安聯(lián)手，在部署GLA天璣安全運(yùn)維審計(jì)系統(tǒng)之后，其可信的運(yùn)維管理平臺(tái)不但確保了云端數(shù)據(jù)的安全，更在服務(wù)水平上步步提升。

云端存在“三大”安全短板 運(yùn)維管理危機(jī)重重

“自從云計(jì)算技術(shù)在我們這里‘安家’之后，大力推動(dòng)了戰(zhàn)略性變革，實(shí)現(xiàn)了更精準(zhǔn)的決策，并在協(xié)作方面獲得了更深入的競(jìng)爭(zhēng)優(yōu)勢(shì)。”——以上是某單位在云計(jì)算全新應(yīng)用體系架構(gòu)實(shí)現(xiàn)后，對(duì)其在辦公應(yīng)用、項(xiàng)目管理及項(xiàng)目申報(bào)應(yīng)用工作總結(jié)時(shí)，該單位領(lǐng)導(dǎo)對(duì)云計(jì)算的評(píng)價(jià)。

云計(jì)算不僅可以提高信息系統(tǒng)資源利用率、減少系統(tǒng)建設(shè)和運(yùn)維成本、提高系統(tǒng)集中管控能力，而且它們?cè)谙到y(tǒng)高可靠性、高性能和高可擴(kuò)展性等方面的保證也有著極大的優(yōu)勢(shì)。然而，與傳統(tǒng)計(jì)算模式不同，在云計(jì)算模式下，業(yè)務(wù)應(yīng)用都運(yùn)行在抽象的資源平臺(tái)之上，而不是直接運(yùn)行在物理硬件平臺(tái)上，而這種變化帶來的問題是：傳統(tǒng)的信息安全機(jī)制和技術(shù)可能會(huì)失去部分或全部安全功效，從而需要引入新的安全技術(shù)和管理機(jī)制，而整個(gè)安全體制中，一個(gè)非常重要的環(huán)節(jié)，就是運(yùn)維安全。

通過對(duì)云計(jì)算平臺(tái)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估之后發(fā)現(xiàn)，日趨復(fù)雜的IT系統(tǒng)與不同背景的運(yùn)維人員的行為造成了三處風(fēng)險(xiǎn)短板，具體表現(xiàn)為：“賬號(hào)、權(quán)限、審計(jì)”。

◆賬號(hào)問題：同一工作組多人共用一個(gè)賬號(hào)，一旦有安全事故發(fā)生，不僅難以定位賬號(hào)的實(shí)際使用者和責(zé)任人，而且無法對(duì)賬號(hào)的使用范圍進(jìn)行有效控制，存在較大安全風(fēng)險(xiǎn)和隱患。而一個(gè)維護(hù)人員，使用多個(gè)賬號(hào)也是普遍現(xiàn)象，這導(dǎo)致運(yùn)維人員在日常的工作中，需記憶多套口令同時(shí)在多套主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備之間切換，增加了工作的復(fù)雜度，工作效率不高。

◆權(quán)限問題：由于缺少統(tǒng)一的權(quán)限管理平臺(tái)，而且維護(hù)人員的權(quán)限多數(shù)大于實(shí)際工作需要，無法基于“最小權(quán)限原則”分配用戶權(quán)限，難以實(shí)現(xiàn)更細(xì)粒度的命令級(jí)權(quán)限控制，IT特權(quán)濫用、誤操作等事件時(shí)有發(fā)生。

◆審計(jì)問題：各網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫(kù)各自采用了獨(dú)立的審計(jì)系統(tǒng)，由于沒有統(tǒng)一審計(jì)策略，并且各系統(tǒng)自身審計(jì)日志內(nèi)容深淺不一，難以及時(shí)通過系統(tǒng)自身審計(jì)發(fā)現(xiàn)違規(guī)操作行為和追查取證。

“與協(xié)議無關(guān)”解難題 “隔離、阻斷、回放”圍繞數(shù)據(jù)安全

為此，單位網(wǎng)絡(luò)安全負(fù)責(zé)人對(duì)市場(chǎng)上的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)和運(yùn)維軟件進(jìn)行了深入的調(diào)查。他發(fā)現(xiàn)：傳統(tǒng)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)無法對(duì)維護(hù)人員經(jīng)常使用的SSH、RDP等加密、圖形操作協(xié)議進(jìn)行內(nèi)容審計(jì);并且，大部分的運(yùn)維管理軟件都未能包含審計(jì)和權(quán)限分配功能，運(yùn)維人員的權(quán)利仍然“高高在上”。

偶然的機(jī)會(huì)，在一次網(wǎng)絡(luò)安全研討會(huì)上，他了解到了國(guó)路安推出的GLA天璣安全運(yùn)維審計(jì)系統(tǒng)很“特別”，與協(xié)議無關(guān)。而針對(duì)傳統(tǒng)運(yùn)維管理中的技術(shù)架構(gòu)和審計(jì)缺陷，GLA天璣安全運(yùn)維審計(jì)系統(tǒng)可實(shí)現(xiàn)運(yùn)維終端通過RDP協(xié)議連接到堡壘機(jī)，再由堡壘機(jī)發(fā)起對(duì)資源的運(yùn)維請(qǐng)求，形成了運(yùn)維終端與運(yùn)維資源邏輯隔離，并在全程審計(jì)中實(shí)現(xiàn)了集中管控。隨后，雙方還在GLA“云縱深防御”架構(gòu)的溝通中再次“碰撞出火花”，因?yàn)檫@款堡壘機(jī)產(chǎn)品不但可以有效控制系統(tǒng)內(nèi)部眾多敏感信息的泄漏問題，還可以避免因管理員終端被病毒和木馬控制后，引發(fā)更嚴(yán)重的泄密事件發(fā)生。

最終，該單位以“云縱深防御”結(jié)構(gòu)為基礎(chǔ)，部屬了GLA天璣安全運(yùn)維審計(jì)系統(tǒng)，對(duì)現(xiàn)有的云計(jì)算模式形成了全新的安全運(yùn)維架構(gòu)。實(shí)施效果如下：

◆邏輯上將運(yùn)維人員與目標(biāo)設(shè)備安全分離，防止由終端傳入病毒/木馬或人為原因?qū)е碌臄?shù)據(jù)泄露;

◆基于角色或崗位進(jìn)行統(tǒng)一集中管理，實(shí)現(xiàn)系統(tǒng)的安全授權(quán)和認(rèn)證;

◆依據(jù)最小權(quán)限分配原則，***限度保護(hù)資源安全，通過可執(zhí)行命令或不可執(zhí)行命令集合來實(shí)時(shí)阻斷運(yùn)維用戶的非法操作;

◆通過統(tǒng)一的安全管理平臺(tái)對(duì)該單位信息系統(tǒng)中的安全設(shè)備、主機(jī)或軟件進(jìn)行安全管理，保證安全管理過程的合法合規(guī);

◆提供基于Web接口的單點(diǎn)登錄，定期自動(dòng)更新賬戶口令，使得繁雜的賬號(hào)和口令不再依托個(gè)人“記憶”，使運(yùn)維工作更便捷;

◆對(duì)所有的管理動(dòng)作進(jìn)行全程的審計(jì)和監(jiān)控，保證整個(gè)系統(tǒng)中運(yùn)維管理操作上的可追溯性。

單位網(wǎng)絡(luò)安全負(fù)責(zé)人表示：“之前，我們?cè)趦?nèi)網(wǎng)安全軟件、防毒軟件和身份審計(jì)方面投入巨大，但收效甚微。而GLA天璣安全運(yùn)維審計(jì)系統(tǒng)，可以有效地杜絕網(wǎng)絡(luò)管理人員直接訪問涉密資源的情況，其全程監(jiān)控和錄制的功能更形成了具有震懾性和實(shí)操性的可信平臺(tái)。”安全有效、靈活管理、簡(jiǎn)便運(yùn)維、運(yùn)維活動(dòng)全紀(jì)錄是可信運(yùn)維管控的基礎(chǔ)，目前該單位的運(yùn)維工作也已經(jīng)開始引入國(guó)際上標(biāo)準(zhǔn)化的運(yùn)維流程，服務(wù)水平大幅提升。