【基础安全】堡垒机的自动化功能实践2

上一章节，介绍了人工受理堡垒机申请的繁琐与业务场景需求分析。

本章节将从繁琐的实际业务场景中，提取出必需的功能，进一步细化当初的需求与业务功能实现流程。

01

—

统一入口

在用户申请的前端入口，使用wizard（向导）模式，内容覆盖申请人员信息、服务器信息、申请的账户与协议、授权期限以及申请说明：

1）申请人员信息（必填项）

申请人员必须使用工号登录管理平台，保证了申请人员信息的准确性，避免产生无效的堡垒机申请。

2）服务器信息检查

用户填入合法的ip或者hostname时，后台基于cmdb中的数据，对ip或者hostname做强制性合法检查。

3）系统账户与协议

实现可以根据用户填写的服务器信息，做出相应的改变。比如windows系统无法选择ssh协议，避免操作系统与服务协议不一致导致自动化流程出错。

4）授权期限

用户需填写授权期限，为后期的授权期满，撤回提供数据支持。

5）申请说明

专门用于特殊情况root权限的申请，管理员可依据进行审核。

02

—

创建标准

统一资源创建的标准，并为资源打上标签进行链路跟踪。

1）资源标签

由于不再是人工创建，便可以通过调用堡垒机API创建资源，并添加更多的说明。比如在创建服务器时，添加工单号等来源信息。

2）创建规则标准化

在调用API创建规则时，按照统一的标准创建规则id，轻松实现整个链路的跟踪。

03

—

简化审核

管理员在内、外网的情况下，通过邮件进行工单处理，简化审核工作。

1）内网处理工单

当用户提交申请后，管理员将收到一封邮件（管理员也可以登录系统从web页面进行人工审核），邮件中包含一个链接（需添加安全检查，例加密链接），此时只需点击此链接，即可完成审核。

2）外网处理工单

由于该平台在设计为仅对内网开放，如果管理员下班或者无法连接到公司内网时，我们希望管理员也可以只通过邮件，就可以完成审核。管理员按照指定的格式，回复邮件，后台就可以检测到管理员对此申请做出的审核动作。

04

—

数据入库

所有数据（包括自定义部分)按照标准化流程生成，直接写入自己设计的数据库进行存储与归档，堡垒机紧密相关的三要素（人、机、规则）则写入堡垒机的数据库，突破传统堡垒机固有的数据存储格式。

此外，新建数据库可对外提供数据支持，比如进行多维度的数据统计，实现各项统计指标，促进自动化管理。可以解决的实际业务场景包括：

1）统计某位员工历史申请资源情况与开通权限；

2）计算审核人员工作量，评估安全运维岗位工作强度；

3）审核人员疏忽或申请信息错误等特殊情况，撤回已授权…

下一章节，将介绍实现过程中的架构选型与设计方案。