银行堡垒机实施计划方案.docx
《银行堡垒机实施计划方案.docx》由会员分享,可在线阅读,更多相关《银行堡垒机实施计划方案.docx(37页珍藏版)》请在冰豆网上搜索。
银行堡垒机实施计划方案
银行分行运维审计平台
实施方案
修订记录/ChangeHistory
日期
修订版本
描述
作者
2016-2-16
V1.0
独立实施方案,完善测试部分
麒麟
1文档说明
1.1麒麟开源堡垒机使用概述
随着我行业务围和营业网点的不断延伸扩大,各类特色业务系统和基础网络设备随之上线运行,切实有效的保障了各分行业务的稳定性、安全性和灵活性。
但与此同时,随着业务系统应用围越来越广、数据越来越多,所需日常维护的系统和设备也在日益增长,科技运维部门面临的网络、系统安全稳定运行的压力也随之增加。
当前运维管理中存在的主要问题是,技术人员和维护人员的日常管理和维护都是直接登录业务系统、设备进行操作,没有针对运维操作进行统一管理、统一审计、统一分析的系统,造成运维操作没有办法进行监控分析,进而造成部数据信息泄露、违规操作、恶意操作、密码外泄等一系列重大安全隐患。
随着监管对于日常运维工作审计记录的监管需求以及XX银行本身运维规化管理的需求,实现分行骨干设备的运维操作的审计需求迫在眉睫。
本次堡垒机项目使用麒麟开源堡垒机,麒麟开源堡垒机产品功能强大稳定性高,经过测试可以完全满足银行的使用需要。
1.2运维操作现状
当前分行均已部署了ACS设备,实现了网络统一管理、权限控制、及命令记录功能。
但因为缺少专业的运维管理系统,对于运维操作的监控,还存在一定的盲区,主要表现为:
Ø运维操作方式多样、分散,缺乏有效集中管理;
Ø运维操作缺乏技术手段来约束;
Ø对运维操作行为的审计方式不直观;
Ø共享账号的情况普遍,给访问者定位带来难题。
2物理部署规划
2.1设备硬件信息
运维审计系统包括堡垒机和应用发布服务器两台设备,物理参数如下:
设备
型号
硬件参数
堡垒机
麒麟开源堡垒机
CPU64位3G/16G存/2T硬盘/交流电/2U
应用发布服务器
麒麟应用发布模块
CPU64位3G/32G存/2T硬盘/交流电/2U
2.2软件信息
设备
操作系统
软件版本
Licenses数
堡垒机
Centos
V1.1
100000个
应用发布服务器
Windowsserver2008
V1.3
2.3系统LOGO
堡垒机LOGO在安装时,都已经被设置为XX银行运维审计平台,以与其它系统进行区分。
2.4地址规划
参照分行部署规,运维审计堡垒机及应用发布平台,需要分行分配在基础服务器区域,分配【199.XX.XX.XX】的地址,两台设备分别需要分配IP地址,且两个地址需要在一个子网。
示例如下
设备名称
所属区域
产品型号
IP
堡垒机
网
UOM-1000A
199.1.1.1
应用发布服务器
网
Modul-APP-RELEAS-HW
199.1.1.2
2.5部署规划
⏹堡垒机、应用发布平台各需要2U的机柜空间位置
⏹堡垒机、应用发布平台需要部署在基础服务器接入区
⏹堡垒机、应用发布平台个需要2*10A电源
3应用部署实施
3.1堡垒机上线说明
堡垒机在发往用户前,已经完成如下设置:
●设备IP地址、网关、应用发布连接
●设备、人员、权限关系、目录结构的前期调研和导入
●密码规则策略设置
●数据留存策略设置
堡垒机现场上线实施步骤包括:
●设备上架、加电
●网络连通性测试
●系统功能测试
●现场培训
注:
堡垒机出厂时,已经完成了数据导入、权限策略设置、应用发布设置和IP等环境设置,如果有实时时发生更改,请按下面相应描述章节进行修改
3.2设备初始化
⏹上架加电
⏹设置IP地址、网络掩码、网管
3.2.1上架加电
第一步、分别将堡垒机和应用发布服务器按照部署位置,将主机安装固定到机柜中。
第二步、将随机携带的电源线插到主机后面板的电源插座上。
第三步、将电源线的另一端插到机柜为主机提供交流电源的插座上。
3.2.2网络配置
发货前,堡垒机和应用发布IP默认已经按客户要求配置完毕,如果需要现场修改可以按如下步骤:
堡垒机和应用发布服务器网卡默认IP为:
设备名称
网卡名称
IP
访问方式
堡垒机
Eth0
分行提供的IP
https、ssh
堡垒机
Eth1
172.16.210.1/30
https、ssh
堡垒机
管理口
172.16.210.5/30
https
应用发布
Eth0
分行提供的IP
RDP
应用发布
Eth0
172.16.210.1/30
RDP
本次工程,堡垒机和应用发布都要求使用eth0口,修改堡垒机和应用发布IP时,使用eth1进行登录,以避免配置错误后无法登入,堡垒机的管理口为console,通过https访问可以得到键盘显示器的界面,如果堡垒机出现硬件故障或两个网卡都不通时,使用管理口登录。
完成上架加电操作后,打开堡垒机的电源按钮,堡垒机开机启动,等待两分钟,启动完成后,
使用笔记本通过网线连接堡垒机,笔记本IP地址配置为172.16.210.2/30后使用网线直接连接到堡垒机eth1口,然后使用浏览器打开https:
//172.16.210.1用户名输入admin密码12345678,进入堡垒机系统,在【系统配置】-【网络配置】中修改网卡的IP地址信息,更改为规划好的eth0IP地址。
应用发布IPeth1地址默认为172.16.210.1/30,可以直接使用mstscrdp到应用发布服务器对IP地址进行修改。
3.3堡垒机配置修改方式
堡垒机上线,已经完成项如下:
⏹目录树导入、设置
⏹堡垒机用户导入表,建立主
⏹设备、设备用户导入,建立从
⏹飞塔防火墙应用从导入
⏹设备授权设置
到现场,有可能会对某些设备进行相应的调整,调整方法如下:
3.3.1目录树调整
单击导航树中【资源管理】中的【资产管理】,选择“目录管理”页签,单击“增加新节点”;根据所要创建的组类型选择“所属目录”与“属性”;
系统已经默认安装了标准的目录结构,只需要对目录结构进行相应的修改即可以完成本步设置
图1
说明:
“节点名”输入节点的名称,“所属目录”新创建目录所属那个父组;设备组目录结构与分行ACS一致,目录树可以无限级目录,堡垒机配置前必须先将目录树配置完毕才能进行用户和设备的导入,用户和设备导入时,必须有配置好的目录树。
3.3.2设备类型添加及修改
设备类型配置,主要是加入分行有的,但堡垒机中不存在的设备类型,否则导入时无法写成正确的设备类型(为了方便管理,设备类型最好不要涉及型号,只设置厂商即可,比如Cisco的2960交换机、3950交换机,可以统一放在Cisco类型的设备中)
单击导航树中【资源管理】中的【资产管理】,选择“系统类型”页签,单击“增加”;
图2
说明:
“主机/网络”选项中,主机代表操作系统类型设备,网络代表路由交换类型设备,“系统类型”框中填写设备的类型,中文、英文都支持;
3.3.3堡垒机用户导入及用户配置
导入表格填写,将附件一.运维人员导入表格按如下要求进行填写
用户名:
运维人员登录堡垒机时的名称,要求唯一(必须填写)
密码:
运维人员登录堡垒机时的密码(必须填写)
真实:
运维人员的真实(必须填写)
电子:
运维人员的电子地址(选择填写)
用户权限:
统一配置为普通用户(必须填写)
组名:
目录结构中的资源组名称,如果出现同样名称的资源组,则导入时需要用组名(id)方式,比如出现重名的first组,如果你想在界面中这个组加入,则组名为first(221)
手机:
运维人员的手机(选择填写)
工作单位:
运维人员的工作单位(选择填写)
工作部门:
运维人员的工作部门(选择填写)
USBKEY:
为动态口令的令牌ID,如果用户需要动态令牌,则在动态令牌列表文件中选择一个未使用的动态令牌给用户
后面的其它选项:
一般不需要填写,所有的用户按模版复制即可
用户导入表确认无误后,使用admin用户登录前台,在资源管理-资产管理-用户管理菜单,点击右下方的导入按钮
在导入界面中,将加密的勾勾上,点击浏览按钮,选择找到需要导入的用户表后,点击提交按钮,即可以将所有的用户导入到堡垒机中
点入确定后,会给用户提示,表中哪些用户没有导入成功及未成功的理由
用户导入后,如果有个另的用户需要修改或添加,可以在用户管理菜单进行操作
单击导航树中【资源管理】中的【资产管理】,选择“用户管理”页签,单击“添加用户”,填写用户的基本信息、权限信息及其他信息;
图3
图4
3.3.4主机设备导入
主机设备导入前提与堡垒机导入前提一致,必须先做好目录树。
按附件二主机设备表中的要求收集分行的主机设备,并且填好,主机导入时,会自动创建主机
主机名:
主机的名称
IP主机的IP地址
服务器组:
服务器所属组的ID号,因为目录中允许同名称的组,因此,服务器组用ID号替代,可以在资产管理-资源管理-目录节点中查看ID号,如下图:
系统类型:
主机的操作系统类型,必须在第一章中添加的或系统自带的中选择添加
系统用户:
系统用户名,如果不想托管,则这项不填
当前密码:
系统播放的密码,如果不想托管,则这项可以不填
登录协议:
目前支持telnet/ssh1/ssh/ftp/rdp/vnc/x11,可以在这些登录方式中选择相应的
端口:
登录协议连接的目标端口
过期时间:
这个系统的过期时间,如果超过过期时间,则不在允许登录
自动修改密码:
是否对这个进行自动修改密码(默认为否)
主:
自动修改密码时只使用一个登录修改主机上所有的用户密码,如果是主,则填是,主一般为root权限或可以sudo为root
自动登录:
默认填是
堡垒机用户:
XX项目中均填否
Sftp用户:
如果是SSH服务,则设置这个SSH用户是否可以使用SFTP服务,是为允许,否为不允许
公私钥用户:
如果是SSH服务,设置这个SSH用户认证是不是使用公私钥方式,是或否
在资源管理-资产管理-设备管理中,点击导入按钮
勾上加密按钮,并点击浏览按钮找到主机设备列表的表格后,点击提交按钮,会将所有的设备导入
单台设备的添加、修改可以在设备管理菜单完成
单击导航树中【资源管理】中的【资产管理】,选择“设备管理”页签,单击“添加”,填写基本信息;
图5
单击导航树中【资源管理】中的【资产管理】,选择“设备管理”页签,指定设备的操作栏中单击“用户”,
图6
单击“添加新用户”;
图7
根据实际情况填写下图信息;
3.3.5系统赋权
堡垒机(主)、主机系统(从)导入完成后,需要进行赋权操作,赋权后堡垒机(主)登录到堡垒机才能跳转到相应的设备。
前期设备授权关系调研表中包含所有的权限关系,按表进行设置。
赋权操作如果一个堡垒机(主)有大量从的权限,则赋权是在系统用户组菜单完成的,如果为堡垒机(主)临时添加一个从的赋权,则也可以在主机设备菜单中完成。
赋权操作最好按用户组的方式进行赋,即将权限相同的用户放在同一个用户组中,然后为这个用户组创建一个系统用户组,将这些用户拥有权限的主机设备都加到这个组中,然后将这个系统用户组绑定给这个用户组,如果每个用户的权限都不一样,也可以为单独的用户划分系统用户组后进行授权。
单击导航树中【资源管理】中的【授权权限】,选择“系统用户组”页签,单击“添加新组”;填写“系统用户组”名,选中“未选设备”中系统用户添加到“已选设备”,确定已经选中想要赋权的堡垒机用户组的所有系统后,点击保存;
单击导航树中【资源管理】中的【授权权限】,选择“系统用户组”页签,单击“操作”栏中“授权”,勾选“授权组”或“授权用户”,配置完成单击“保存修改”;
授权后,组中的用户或被授权的用户,就拥有了这个系统用户组中所有的主机系统的权限。
3.3.6应用发布服务器添加
前提:
安装好应用发布服务器,确定好应用发布服务器的IP地址,并且已经打通堡垒机访问应用发布服务器的TCP3389、8888端口,应用发布服务器到堡垒机的TCP3306端口
单击导航树中【资源管理】中的【资产管理】,选择“设备管理”页签,单击“添加”,在主机名中写应用发布服务器,在IP地址中写入应用发布服务器IP,主要类型为WINDOWS,设备组选一个用户许可的设备组。
配置完成单击“保存修改”;
为应用发布服务器增加一个应用发布
单击导航树中【资源管理】中的【应用发布】,选择“应用发布”页签,单击“添加”;配置完成单击“保存修改”;
A.单击导航树中【资源管理】中的【应用发布】,选择“应用程序”页签,单击“添加”;增加IE程序安装位置;配置完成单击“保存修改”;
说明:
程序地址:
是应用发布服务器上IE浏览器程序安装位置;
3.4堡垒机应用发布配置
3.4.1应用发布用户配置
A.单击导航树中【资源管理】中的【应用发布】,选择“应用发布”页签,单击操作栏中“应用发布”;
B.单击“添加”,填写应用名称、选择服务器及填写被访设备URL;配置完成单击“保存修改”;
说明:
如果需要添加的设备比较多,先单击“导出”,填写导出表,再单击“导入”;完成设备的批量添加;
3.4.2应用用户组授权
A.单击导航树中【资源管理】中的【授权权限】,选择“应用用户组”页签,单击“添加新组”;添加需要的应用用户,单击“保存”;
B.单击“绑定”;
C.勾选绑定组或绑定用户;单击“保存修改”;
3.5数据留存配置
3.5.1审计数据留存
系统置存贮为2T,通常情况下,可以够100个运维人员使用半年左右,所有的运维人员操作都会被系统进行留存记录,当2T空间满的时候,系统会根据系统配置-系统参数中的配置项存贮无空间时操作进行操作,如果选择覆盖,则会删除早期的LOG进行记录,如果选择停止操作,则系统将不在接受新的运维连接请求,并且发送告警给堡垒机管理员。
这里将策略设置为覆盖旧文件。
系统也可以使用自动删除功能,指定自动删除多久以前的审计数据,使用audit登录到系统,在自动删除菜单中,可以指定系统自动删除的周期,默认情况下,系统不会自动删除审计日志,除非指定了删除周期并且启动了删除程序。
点击下列各种服务后面的编辑按钮,在弹出的对话框中填入希望自动删除的周期,点保存即可。
系统出厂时默认为删除一年前的日志,建议按默认的配置。
系统可以将录相文件及配置信息自动定时同步到远端服务器上,使用admin登录,在系统管理-数据同步菜单,点新建按钮,按下面要求输入信息,系统即会将审计录相和配置信息进行自动同步,同步方式为增量同步,每天凌晨进行同步。
3.5.2设备配置留存
系统配置可以使用手工备份和自动备份二种模式。
手工备份在系统管理-配置备份菜单,点击生成备份按钮,即可以将配置手工备份到本机,如果想要恢复时,点击恢复将下载的备份文件上传即可以进行恢复。
在系统管理-数据同步菜单,点击新建,在同步模式中选择资产权限,即可以实现自动备份,输入备份目标服务器IP、SSH端口、用户名、密码及备份目录后,系统会每天一次将备份文件上传到备份目标服务器。
3.5.3定时任务配置
系统自动删除、自动备份等操作,默认情况下,服务都未启动,如果想要让配置的参数生效,必须在定时任务中将服务启动。
在菜单系统配置-系统管理-定时任务中,可以配置自动备份、自动删除启动时间周期。
以审计文件备份为例,如果服务后面的勾勾上,表示服务为启动状态,如果未勾,则表示服务为未启动状态,备份调度表示服务启动的周期,如果为*号表示每次都启动,如下例中,审计备份文件每天晚上1点5分会启动进行备份。
3.5.4动态令牌使用手册
系统置动态令牌系统,可以使用动态口令进行登录,动态令牌目前运行硬件Usbkey令牌和手机令牌二种模式,手机令牌目前支持Apple手机和安卓二种系统。
动态令牌使用需要先将令牌证书导入,令牌证书导入后,在将令牌与相应的用户绑定起来,即可以使用,手机令牌用户还需要安装手机令牌软件。
1、证书导入
其它-usbkey列表菜单,点击最下方的导入USBKEY按钮
打开USBKEY导入界面,先点击浏览找到证书位置,在点提交,即可以将所有证书导入到堡垒机中。
2、证书绑定
证书导入后,需要将证书绑定给相应的用户,用户绑定后,即必须使用静态密码+动态密码的登录方式,新建用户或点编辑用户,在动态口令卡找到为用户绑定的动态口令卡ID,点确定按钮即完成绑定,注意用户与口令卡是一对一的关系。
3、运维人员使用
绑定以后运维人员登录堡垒机页面或使用工具直接登录必须使用静态口令+动态口令为密码来进行登录,令牌分为USBKEY令牌与手机令牌二种。
USBKEY令牌使用方式:
将USBKEY令牌插入电脑USBKEY口,即可以出现一个名称为动态口令U盘,双击里面的password.exe程序,即可以令牌程序
令牌的初始密码为123456,输入密码后电脑右上角即可以出现令牌的悬浮窗口,可以用鼠标点右键方式对密码进行复制粘贴
手机令牌使用方式:
安卓手机只需要使用手机助手将附件3中的token-app软件复制到手机上,点击安装即可完成安装。
苹果手机使用浏览器打开连接
install.diawi./XdKGtu
打开后,会弹出程序安装界面如下:
点击installapplication即可完成安装,苹果手机安装完毕后,需要在设置-通用-描述文件添加对FindToken的信任才能使用动态令牌。
手机令牌用户首次登录时,登录成功后会进入一个二维码界面,二维码中间含有用户动态口令密钥信息,用户需要打开APP,APP首次登录密码为123456,登录修改密码后,点击APP上方的二维码扫描按钮,开启摄像头扫描二维码,二维码扫描后,手机的APP会出现动态口令显示界面,每15秒产生一个动态口令,用户将一个动态口令输入到手机二维码验证页面下方的动态口令TEXT,成功后,系统会退出,以后用户登录需要使用静态口令+手机生成的动态口令才能登录。
3.6应急方案
因本方案以单机方式部署,且堡垒机本身不具备bypass功能。
当堡垒机发生故障时,管理员登录到应用发布服务器,创建一个共用发给运维人员登录使用,运维人员使用终端通过公用RDP到应用发布服务器上,在应用发布服务器上打开运维工具进行运维。
堡垒机恢复后,删除应用发布服务器共用。
应用发布服务器发生故障时,分行提供一台其它windows2003或2008服务器,在这台服务器上创建一个共用,在堡垒机上添加这个共用,并且把这个共用授权给所有运维人员,运维人员需要使用应用发布时,先通过堡垒机登录到备用Windows服务器上,打开相应的工具进行运维。
4系统测试
4.1TELNET访问操作管理
1.点击“资源管理”-“资产管理”,进入设备列表项,找到Linux设备,为Linux设备建立一个telnet,并且将这个与test运维进行绑定
2.使用test登录运维监管系统,可以看到上步建立的telnet系统,点击右侧的putty进行登录,可以以telnet方式登录到Linux系统
3.在系统里运行一些命令退出
4.用超级管理员登录监管系统,在行为操作审计中可以查看到刚才的访问,并且二种展现方式“查看”、“Putty”都能正常显示操作结果或者过程。
4.2SFTP访问操作管理
1.点击“资源管理”-“资产管理”,进入设备列表项,找到Linux设备,为Linux设备建立一sftp,并且将这个与test运维进行绑定
2.使用test登录运维监管系统,可以看到上步建立的sftp系统,点击右侧的winscp进行登录,可以以sftp方式登录到Linux系统
3.将一个文件从本地上传到Linux系统后退出
用超级管理员登录监管系统,在行为操作审计中可以查看到刚才的访问,并且二种展现方式“查看”可以看到刚才上传的文件名,点击下载可以将文件下载到本地
4.3SSH访问操作管理
1.点击“资源管理”-“资产管理”,进入设备列表项,找到Linux设备,为Linux设备建立一个ssh,并且将这个与test运维进行绑定
2.使用test登录运维监管系统,可以看到上步建立的telnet系统,点击右侧的putty进行登录,可以以ssh方式登录到Linux系统
3.在系统里运行一些命令退出
4.用超级管理员登录监管系统,在行为操作审计中可以查看到刚才的访问,并且二种展现方式“查看”、“Putty”都能正常显示操作结果或者过程。
4.4RDP访问操作管理
1.点击“资源管理”-“资产管理”,进入设备列表项,找到Windows2003或2008设备,为设备建立一个rdp(2008选择rdp2008),并且将这个与test运维进行绑定
2.使用test登录运维监管系统,可以看到上步建立的telnet系统,点击右侧的“本”地进行登录,可以以RDP方式登录到系统
3.在系统里运行一些操作退出
4.用超级管理员登录监管系统,在行为操作审计中可以查看到刚才的访问,并且点击右侧“本地”都能正常显示操作结果或者过程。
4.5FTP访问操作管理
1.点击“资源管理”-“资产管理”,进入设备列表项,找到Linux设备,为Linux设备建立一ftp,并且将这个与test运维进行绑定
2.使用test登录运维监管系统,可以看到上步建立的ftp系统,点击右侧的winscp进行登录,可以以ftp方式登录到Linux系统
3.将一个文件从本地上传到Linux系统后退出
4.用超级管理员登录监管系统,在行为操作审计中可以查看到刚才的访问,并且二种展现方式“查看”可以看到刚才上传的文件名,点击下载可以将文件下载到本地
5集中管控平台
5.1集中管控平台功能
集中管控平台可以实现在一个界面上管理多台堡垒机,将堡垒机纳入集中管控平台管理以后,管理员可以直接在集中管控平台上对堡垒机的资产、权限进行设置,并且可以在集中管控平台上输出各种报表,不需要在到每一台堡垒机上进行操作,大大减化了操作过程。
同时对于运维人员,也不需要记录多台堡垒机IP和,只需要登录到集中管控平台,就可以看到自己能登录的所有设备,也减化了运维人员的操作过程。
5.2设备硬件信息
集中管控平台物理参数如下:
设备
型号
硬件参数
集中管控平台
UOM-MGT-3000
CPU64位3G/32G存/2T硬盘/交流电/2U
5.3软件信息
设备
操作系统
软件版本
Licenses数
集中管控平台
Centos
V1.0
200个
5.4地址规划
两台设备分别需要分配3个IP地址,且三个地址需要在一个子网,其中二个IP地址为管理地址,一个IP地址为HA地址,HA地址为用户访问地址,二台设备使用NRRP协议对HA地址进行管理,当主服务器出现问题时,HA地址会自动飘移到从服务器。
设备名称
所属区域
IP
掩码
网关
主服务器
总行
从服务器
总行
HA地址
总行
5.5部署规划
⏹设备为2U
⏹每台需要2*10A电源450
升级会员 