堡垒机的自动化功能实践2

上一章节,介绍了人工受理堡垒机申请的繁琐与业务场景需求分析。

本章节将从繁琐的实际业务场景中,提取出必需的功能,进一步细化当初的需求与业务功能实现流程。

01

统一入口

在用户申请的前端入口,使用wizard(向导)模式,内容覆盖申请人员信息、服务器信息、申请的账户与协议、授权期限以及申请说明:

1)申请人员信息(必填项)

申请人员必须使用工号登录管理平台,保证了申请人员信息的准确性,避免产生无效的堡垒机申请。

2)服务器信息检查

用户填入合法的ip或者hostname时,后台基于cmdb中的数据,对ip或者hostname做强制性合法检查。

3)系统账户与协议

实现可以根据用户填写的服务器信息,做出相应的改变。比如windows系统无法选择ssh协议,避免操作系统与服务协议不一致导致自动化流程出错。

4)授权期限

用户需填写授权期限,为后期的授权期满,撤回提供数据支持。

5)申请说明

专门用于特殊情况root权限的申请,管理员可依据进行审核。

02

创建标准

统一资源创建的标准,并为资源打上标签进行链路跟踪。

1)资源标签

由于不再是人工创建,便可以通过调用堡垒机API创建资源,并添加更多的说明。比如在创建服务器时,添加工单号等来源信息。

2)创建规则标准化

在调用API创建规则时,按照统一的标准创建规则id,轻松实现整个链路的跟踪。

03

简化审核

管理员在内、外网的情况下,通过邮件进行工单处理,简化审核工作。

1)内网处理工单

当用户提交申请后,管理员将收到一封邮件(管理员也可以登录系统从web页面进行人工审核),邮件中包含一个链接(需添加安全检查,例加密链接),此时只需点击此链接,即可完成审核。

2)外网处理工单

由于该平台在设计为仅对内网开放,如果管理员下班或者无法连接到公司内网时,我们希望管理员也可以只通过邮件,就可以完成审核。管理员按照指定的格式,回复邮件,后台就可以检测到管理员对此申请做出的审核动作。

04

数据入库

所有数据(包括自定义部分)按照标准化流程生成,直接写入自己设计的数据库进行存储与归档,堡垒机紧密相关的三要素(人、机、规则)则写入堡垒机的数据库,突破传统堡垒机固有的数据存储格式。

此外,新建数据库可对外提供数据支持,比如进行多维度的数据统计,实现各项统计指标,促进自动化管理。可以解决的实际业务场景包括:

1)统计某位员工历史申请资源情况与开通权限;

2)计算审核人员工作量,评估安全运维岗位工作强度;

3)审核人员疏忽或申请信息错误等特殊情况,撤回已授权…

下一章节,将介绍实现过程中的架构选型与设计方案。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190113G0YTPE00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券