一�、需求與挑戰(zhàn)
現(xiàn)有數(shù)據(jù)中心的運(yùn)維管理工作����,主要面臨如下幾個(gè)方面的問題:運(yùn)維管理復(fù)雜度高、共享賬號存在安全隱患��、誤操作造成嚴(yán)重?fù)p失、訪問控制策略不完善��、審計(jì)用戶操作困難���。
圖 管理現(xiàn)狀
運(yùn)維管理復(fù)雜度高
隨著數(shù)據(jù)中心規(guī)模的擴(kuò)大�,網(wǎng)絡(luò)設(shè)備的多樣化����,運(yùn)維管理人員也相應(yīng)的增多;由于運(yùn)維用戶角色及設(shè)備的多樣性��,數(shù)據(jù)中心會(huì)存在同一個(gè)運(yùn)維管理人員同時(shí)管理多臺設(shè)備的情況�,也會(huì)存在同一臺設(shè)備被多個(gè)運(yùn)維管理人員共同管理的情況。另外����,對于管理大量數(shù)據(jù)中心設(shè)備的運(yùn)維管理人員來說,如何安全有效的管理好大量的設(shè)備賬戶和密碼��,也是一項(xiàng)復(fù)雜��、繁瑣的工作�。
共享賬號存在安全隱患
由于運(yùn)維工作的需要,數(shù)據(jù)中心往往存在多個(gè)運(yùn)維管理人員同時(shí)管理設(shè)備上同一個(gè)賬號的情況。多人共用賬號為運(yùn)維管理人員帶來工作便利的同時(shí)�����,也帶來了一定的安全風(fēng)險(xiǎn)��。設(shè)備上共用賬號執(zhí)行的操作��,無法唯一性確定到運(yùn)維管理人員身上����。另外,如果其中任何一個(gè)人離職或者將賬號告訴其他無關(guān)人員����,也會(huì)使這個(gè)賬號面臨安全隱患。
誤操作造成嚴(yán)重?fù)p失
復(fù)雜繁重的運(yùn)維管理工作難免會(huì)造成運(yùn)維管理人員的誤操作����,這些誤操作一旦涉及到敏感的操作命令或核心數(shù)據(jù)����,就有可能造成網(wǎng)絡(luò)中斷從而影響業(yè)務(wù)系統(tǒng)運(yùn)行,甚至可能導(dǎo)致核心數(shù)據(jù)的修改和刪除���,給政府�����、企業(yè)造成不可挽回的經(jīng)濟(jì)損失��,并給其聲譽(yù)帶來嚴(yán)重影響�。
訪問控制策略不完善
一直以來,數(shù)據(jù)中心實(shí)現(xiàn)訪問控制的手段��,一是通過內(nèi)外網(wǎng)隔離�����,二是通過添加路由器�����、交換機(jī)訪問控制列表實(shí)現(xiàn)��。內(nèi)外網(wǎng)隔離從物理層上保障了數(shù)據(jù)中心的安全���,但是����,對于一些外網(wǎng)訪問的需要,也帶來了不便�����。設(shè)置路由器��、交換機(jī)訪問控制列表�����,可以嚴(yán)格控制對數(shù)據(jù)中心和關(guān)鍵設(shè)備的訪問�����,但是需要運(yùn)維管理人員非常專業(yè)的操作技能��,而且����,由于配置復(fù)雜、工作量大����,稍有操作不慎���,就會(huì)影響數(shù)據(jù)中心業(yè)務(wù)的正常運(yùn)行���。
審計(jì)用戶操作困難
當(dāng)前數(shù)據(jù)中心在審計(jì)用戶操作方面遇到很多困難和瓶頸����。一是���,無法對運(yùn)維用戶操作期間的行為進(jìn)行實(shí)時(shí)的監(jiān)控�����、管理����,一般是出現(xiàn)安全事故后才去排查操作的問題��;二是�,出現(xiàn)安全事故后,審計(jì)用戶操作的手段單一�����,主要依靠系統(tǒng)日志和歷史命令文件�。例如Linux系統(tǒng)上���,需要去查看、分析大量的系統(tǒng)日志文件�����,以及歷史命令文件���,但是�����,擁有root權(quán)限的用戶卻可以刪除這些日志文件和歷史命令文件�,這就會(huì)造成審計(jì)無據(jù)可循���。另外�,就算在海量的日志文件中找到了違規(guī)操作日志�����,也無法定位到運(yùn)維管理人員����。
二、浪潮數(shù)據(jù)中心運(yùn)維安全解決方案
浪潮運(yùn)維安全管控系統(tǒng)(簡稱“浪潮SSC”)是浪潮針對政府��、財(cái)稅��、金融��、證券����、電信、大中型企業(yè)等行業(yè)數(shù)據(jù)中心研發(fā)的業(yè)界領(lǐng)先的運(yùn)維安全審計(jì)產(chǎn)品�。產(chǎn)品采用協(xié)議代理、協(xié)議解碼����、命令識別等多種業(yè)內(nèi)先進(jìn)技術(shù),為用戶提供軟硬件一體化的解決方案���,通過嚴(yán)格���、細(xì)致的訪問控制策略,在確保數(shù)據(jù)中心設(shè)備訪問安全的同時(shí)��,實(shí)現(xiàn)對服務(wù)器���、數(shù)據(jù)庫和網(wǎng)絡(luò)設(shè)備的集中訪問管理���,并對運(yùn)維人員的字符終端���、圖形終端訪問進(jìn)行實(shí)時(shí)監(jiān)控和事后追溯審計(jì),滿足對數(shù)據(jù)中心核心資源的集中管理��、安全訪問和監(jiān)控審計(jì)的要求�。
圖 系統(tǒng)架構(gòu)
賬號集中管理
賬號集中管理是指對運(yùn)維用戶賬號和服務(wù)器、數(shù)據(jù)庫����、網(wǎng)絡(luò)設(shè)備賬號進(jìn)行集中統(tǒng)一管理。
賬號集中管理是浪潮運(yùn)維安全管控系統(tǒng)(浪潮SSC)實(shí)現(xiàn)集中授權(quán)���、訪問控制�����、身份認(rèn)證和安全審計(jì)的基礎(chǔ)����。通過賬號集中管理,不僅方便對大量用戶賬號的管理和授權(quán)���,還能夠?qū)~號設(shè)置安全的密碼策略���,此外�����,通過賬號與運(yùn)維用戶的綁定�,真正實(shí)現(xiàn)針對運(yùn)維用戶的行為審計(jì)。
身份認(rèn)證
浪潮運(yùn)維安全管控系統(tǒng)(浪潮SSC)為用戶提供統(tǒng)一的安全認(rèn)證接口�����,并且支持多種安全認(rèn)證模式�,包括靜態(tài)口令認(rèn)證、USBKey證書認(rèn)證�����、POP3認(rèn)證��、Windows AD域認(rèn)證�����、Radius認(rèn)證等。采用統(tǒng)一的安全認(rèn)證接口�����,不僅便于對用戶認(rèn)證的管理�����,而且�����,能夠采用安全的認(rèn)證模式�����,提高用戶認(rèn)證的安全性和可靠性�����。
授權(quán)管理
浪潮SSC提供基于運(yùn)維用戶����、設(shè)備、設(shè)備賬號的細(xì)粒度訪問授權(quán)機(jī)制,最大限度保護(hù)設(shè)備資源的安全�����。
通過資源授權(quán)界面�����,可以對數(shù)據(jù)中心資源和資源賬號進(jìn)行管理���,針對運(yùn)維用戶進(jìn)行資源賬號的訪問授權(quán),并通過設(shè)置訪問控制策略��,限制運(yùn)維用戶的訪問行為����。資源授權(quán)列表以“運(yùn)維用戶(組)——資源(組)——資源賬號”的形式,不僅完成了資源賬號到運(yùn)維用戶的綁定���,而且為數(shù)據(jù)中心資源的訪問控制管理帶來了極大便利���。
單點(diǎn)登錄
浪潮運(yùn)維安全管控系統(tǒng)(浪潮SSC)提供單點(diǎn)登錄功能,系統(tǒng)管理員為運(yùn)維用戶設(shè)置可以訪問的資源��、賬號和密碼后,運(yùn)維用戶只需要通過B/S方式登錄系統(tǒng)��,就能夠以設(shè)置好的賬號訪問資源�����,無須再次輸入賬號和密碼����。
單點(diǎn)登錄為管理大量不同類型資源的運(yùn)維用戶提供了方便快捷的運(yùn)維方式。運(yùn)維用戶無需打開多種管理工具�����,也無需多次輸入用戶名和密碼����,極大地提高了運(yùn)維管理效率。同時(shí)����,系統(tǒng)提供了多種安全認(rèn)證模式,保證運(yùn)維賬號的安全性��。
安全審計(jì)
針對運(yùn)維用戶的字符終端和圖形終端訪問��,浪潮運(yùn)維安全管控系統(tǒng)(浪潮SSC)提供了系統(tǒng)、全面的事中審計(jì)�����、事后審計(jì)兩種審計(jì)模式��。
事中審計(jì)可以方便系統(tǒng)管理員實(shí)時(shí)監(jiān)控運(yùn)維用戶的字符終端���、圖形終端訪問����,并及時(shí)切斷高危訪問連接��。事后審計(jì)為系統(tǒng)管理員提供了全面的審計(jì)記錄����,包括運(yùn)維用戶的字符終端�����、圖形終端訪問的完整操作回放�����、命令記錄和命令內(nèi)容。
事中審計(jì)和事后審計(jì)結(jié)合����,可以為數(shù)據(jù)中心提供基于運(yùn)維用戶的、全面的系統(tǒng)運(yùn)維審計(jì)記錄���,并且�����,審計(jì)記錄支持多種查詢模式�����,方便審計(jì)管理員快速����、精確定位運(yùn)維人員操作點(diǎn)��。
產(chǎn)品部署
浪潮運(yùn)維安全管控系統(tǒng)(浪潮SSC)采用單臂部署模式�����,部署在被管理設(shè)備的訪問路徑上��,通過路由器或者交換機(jī)的訪問控制策略限定只能由SSC直接訪問設(shè)備的遠(yuǎn)程維護(hù)端口。運(yùn)維人員管理設(shè)備時(shí)�����,首先以WEB方式登錄SSC�,然后通過系統(tǒng)展現(xiàn)的訪問資源列表直接訪問授權(quán)設(shè)備。
邏輯部署示意圖如圖7-1所示:
圖 產(chǎn)品邏輯部署示意圖
三��、浪潮解決方案優(yōu)勢及價(jià)值
集中管理�����,降低管理成本
傳統(tǒng)的數(shù)據(jù)中心管理方式���,存在運(yùn)維人員與設(shè)備賬號一對多����、多對一的問題�,首先是運(yùn)維人員�����、設(shè)備賬號數(shù)量眾多造成管理復(fù)雜���,其次��,當(dāng)數(shù)據(jù)中心增加設(shè)備時(shí)���,需要建立一套新的賬號管理系統(tǒng)���,可擴(kuò)展性差。而通過浪潮運(yùn)維安全管控系統(tǒng)(浪潮SSC)的集中賬號管理��,可以實(shí)現(xiàn)對數(shù)據(jù)中心賬號基礎(chǔ)信息進(jìn)行標(biāo)準(zhǔn)化管理��,能夠?yàn)閿?shù)據(jù)中心各設(shè)備資源提供基礎(chǔ)的用戶信息源���,并保證各設(shè)備資源的運(yùn)維用戶信息唯一性和同步更新�����。
單點(diǎn)登錄���,提高運(yùn)維管理效率
浪潮運(yùn)維安全管控系統(tǒng)(浪潮SSC)在對運(yùn)維人員進(jìn)行資源授權(quán)后,運(yùn)維人員登錄系統(tǒng)���,即可看到自己管理的所有設(shè)備資源�����。由于資源授權(quán)具體到設(shè)備資源的賬號�����、密碼�����,因此����,運(yùn)維人員只需點(diǎn)擊資源列表中相應(yīng)的資源即可管理設(shè)備,無需再次輸入賬號����、密碼,極大的提高了運(yùn)維管理效率��。
多種安全策略相結(jié)合��,提高設(shè)備訪問安全
浪潮運(yùn)維安全管控系統(tǒng)(浪潮SSC)擁有完善的安全訪問策略���,可以通過添加IP地址策略限制運(yùn)維人員登錄系統(tǒng)的IP地址�;可以設(shè)置運(yùn)維人員可訪問系統(tǒng)的工作時(shí)間段策略��;也可以設(shè)置運(yùn)維人員訪問設(shè)備資源時(shí)的命令策略�����,禁用高危系統(tǒng)命令����,并進(jìn)行郵件告警;還可以設(shè)置二次授權(quán)�,對運(yùn)維人員操作核心服務(wù)器和數(shù)據(jù)庫時(shí)進(jìn)行登錄審批。通過一系列的安全訪問策略��,保證客戶數(shù)據(jù)中心設(shè)備資源的訪問安全��。
安全審計(jì)���,提供完善的審計(jì)體系
針對字符終端和圖形終端訪問�����,浪潮運(yùn)維安全管控系統(tǒng)(浪潮SSC)提供了事中審計(jì)和事后審計(jì)兩種審計(jì)模式�����。事中審計(jì)可以方便審計(jì)管理員實(shí)時(shí)監(jiān)控運(yùn)維用戶的操作��,一旦發(fā)現(xiàn)高危操作��,可以及時(shí)阻斷用戶的訪問連接�����;事后審計(jì)可以提供完整的運(yùn)維用戶操作錄像�����、命令記錄等內(nèi)容�����,完整再現(xiàn)運(yùn)維用戶的操作過程�。另外,系統(tǒng)提供的報(bào)表功能�,可以更加形象化地展示用戶訪問、管理操作等內(nèi)容����,這些都為數(shù)據(jù)中心提供了非常完善的審計(jì)體系。
