前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >【基础安全】堡垒机的自动化功能实践2

【基础安全】堡垒机的自动化功能实践2

作者头像
aerfa
发布2019-03-06 17:27:21
9660
发布2019-03-06 17:27:21
举报
文章被收录于专栏:我的安全视界观

上一章节,介绍了人工受理堡垒机申请的繁琐与业务场景需求分析。

本章节将从繁琐的实际业务场景中,提取出必需的功能,进一步细化当初的需求与业务功能实现流程。

01

统一入口

在用户申请的前端入口,使用wizard(向导)模式,内容覆盖申请人员信息、服务器信息、申请的账户与协议、授权期限以及申请说明:

1)申请人员信息(必填项)

申请人员必须使用工号登录管理平台,保证了申请人员信息的准确性,避免产生无效的堡垒机申请。

2)服务器信息检查

用户填入合法的ip或者hostname时,后台基于cmdb中的数据,对ip或者hostname做强制性合法检查。

3)系统账户与协议

实现可以根据用户填写的服务器信息,做出相应的改变。比如windows系统无法选择ssh协议,避免操作系统与服务协议不一致导致自动化流程出错。

4)授权期限

用户需填写授权期限,为后期的授权期满,撤回提供数据支持。

5)申请说明

专门用于特殊情况root权限的申请,管理员可依据进行审核。

02

创建标准

统一资源创建的标准,并为资源打上标签进行链路跟踪。

1)资源标签

由于不再是人工创建,便可以通过调用堡垒机API创建资源,并添加更多的说明。比如在创建服务器时,添加工单号等来源信息。

2)创建规则标准化

在调用API创建规则时,按照统一的标准创建规则id,轻松实现整个链路的跟踪。

03

简化审核

管理员在内、外网的情况下,通过邮件进行工单处理,简化审核工作。

1)内网处理工单

当用户提交申请后,管理员将收到一封邮件(管理员也可以登录系统从web页面进行人工审核),邮件中包含一个链接(需添加安全检查,例加密链接),此时只需点击此链接,即可完成审核。

2)外网处理工单

由于该平台在设计为仅对内网开放,如果管理员下班或者无法连接到公司内网时,我们希望管理员也可以只通过邮件,就可以完成审核。管理员按照指定的格式,回复邮件,后台就可以检测到管理员对此申请做出的审核动作。

04

数据入库

所有数据(包括自定义部分)按照标准化流程生成,直接写入自己设计的数据库进行存储与归档,堡垒机紧密相关的三要素(人、机、规则)则写入堡垒机的数据库,突破传统堡垒机固有的数据存储格式。

此外,新建数据库可对外提供数据支持,比如进行多维度的数据统计,实现各项统计指标,促进自动化管理。可以解决的实际业务场景包括:

1)统计某位员工历史申请资源情况与开通权限;

2)计算审核人员工作量,评估安全运维岗位工作强度;

3)审核人员疏忽或申请信息错误等特殊情况,撤回已授权…

下一章节,将介绍实现过程中的架构选型与设计方案。


本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-01-13,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 我的安全视界观 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
运维安全中心(堡垒机)
腾讯云运维安全中心(堡垒机)(Operation and Maintenance Security Center (Bastion Host))可为您的 IT 资产提供代理访问以及智能操作审计服务,为客户构建一套完善的事前预防、事中监控、事后审计安全管理体系,助力企业顺利通过等保测评。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档