雲時代,運維不僅要會寫程式碼,也需要運維安全審計什麼是運維?在企業裡,運維應當歸屬於技術部門,與研發、測試、系統管理同為網際網路產品技術支撐的
4
大部門。
一個網際網路產品的生成一般經歷的過程是:產品經理、需求分析、研發部門開發、測試部門測試、運維部門部署釋出以及長期的執行維護。
運維是一個非常廣泛的定義,在不同的公司不同的階段有著不同的職責與定位。
在初創公司,運維工程師的工作可能需要從申請域名開始,購買
/
租用伺服器,上架,調整網路裝置的設定,部署作業系統和執行環境,部署程式碼,設計和部署監控,防止漏洞和攻擊等等。
01
運維面臨新趨勢
這是最好的時代,
也是最壞的時代,
運維逐漸照著更專業的方向發展
,對運維人員的職業要求也越來越高。
除去早期大企業內部的少量IT運維人員,中國運維行業的興起應該是隨著網際網路行業上個世紀90年代的發展而來
,如今傳統企業數字化轉型加快,IT 系統越發複雜,運維挑戰更大,需要實現更高程度的自動化。
再加上雲計算的誕生以及大規模普及,企業運維的主要物件則從硬體(伺服器等),轉向了面向服務
API
的運維,包括主機運維和應用運維,提倡自動化的部署流水線和持續交付的
DevOps
愈發受到關注。
作為核心技術部門,
運維人員的
崗位
價值
及其重要,也很容易出現問題
。
企業對於運維人員
最關心的
幾
大方面,
應該是
效率提升、安全、成本最佳化。到了
雲計算時代的
今天,
其
追求的
依然不會有變化。
提高效率和降低成本自然不用多說,安全應該是執行所有操作前必須要確保的。安全有很多個維度,從我們耳熟能詳的漏洞防護,網路攻防,到企業常用的程式碼檢查、許可權管理、日誌審計,一直到更高等級的可信計算,全鏈路加密等。
這些可統稱為運維安全審計。
02
我們為什麼需要運維安全審計?
2011
年
4
月,韓國四大銀行之一的農協銀行出現持續
3
天以上的網路癱瘓。事故起因於第三方代運維人員對銀行核心系統下達了一條
rm。dd
命令;
2014
年
1
月,中國境內發生
DNS
解析服務故障,導致百度等多家網站長達幾個小時無法訪問,據分析,疑是
GreatFirewall
管理員的誤操作導致;
2015
年
5
月,攜程網癱瘓近
12
小時,粗略估算直接損失數百萬美元,股價跌
11%
。攜程官方宣告此次事件是由於員工錯誤操作,刪除了生產伺服器上的執行程式碼導致。
……
一系列運維安全事件給我們敲響了警鐘,高許可權操作風險的不透明、違規操作和誤操作是來自內部使用者的威脅,一旦將企業資料交給第三方代理運維,操作風險更是不可控,無法實現有效的監管。
運維安全審計是針對運維的資訊保安、操作規範等進行的審計,是為了保障網路和資料不受來自內部合法使用者的不合規操作帶來的系統損壞和資料洩露。
運維安全審計運用各種技術手段實時收集和監控網路環境中每一個組成部分的系統狀態、安全事件、網路活動,以便集中報警、記錄、分析、處理。
03
運維安全審計系統——堡壘機
堡壘機,一個
在
特定的網路環境下,為了保障網路和資料不受來自外部和內部使用者的入侵和破壞,而運用各種技術手段監控和記錄運維人員對網路內的伺服器、網路裝置、安全裝置、資料庫等裝置的
技術
。
用一句話來說,
堡壘機就是用來後控制哪些人可以登入哪些資產(事先防範和事中控制),以及錄影記錄登入資產後做了什麼事情(事溯源)。
早在
2000
年左右,一些中大型企業為了能對運維人員的遠端登入進行集中管理,會在機房部署一臺跳板機。跳板機其實就是一臺
unix/windows
作業系統的伺服器,所有運維人員都需要先遠端登入跳板機,然後再從跳板機登入其他伺服器中進行運維操作。
但跳板機並沒有實現對運維人員操作行為的控制和審計,使用跳板機過程中還是會有誤操作、違規操作導致的操作事故,一旦出現操作事故很難快速定位原因和責任人。
企業迫切
需要一種能滿足角色管理與授權審批、資訊資源訪問控制、操作記錄和審計、系統變更和維護控制要求,並
能進行風險預告
來不斷提升IT內控的合規性的產品。
騰訊雲
T-Sec
堡壘機
BH
可為
IT
資產提供代理訪問以及智慧操作審計服務,為客戶構建一套完善的事前預防、事中監控、事後審計安全管理體系,助力企業順利透過等保測評。
1、全面的資產管理
支援多雲、線下資產的統一管理,支援主流的
Linux
作業系統
Windows
作業系統版本,有效輔助管理員進行安全運維。
2、細粒度許可權控制
支援基於使用者、資產、賬號、操作許可權等維度進行細粒度授權,確保使用者所擁有的許可權是其訪問資產、完成工作任務的最小化許可權。
3、運維操作審計
支援對運維人員訪問伺服器的操作命令、傳輸檔案和運維過程進行審計,確保安全事件能夠有效追溯。
4、統一運維入口
堡壘機作為統一的入口進行內部資產的管理和維護,使用者無需記憶多個地址和多套賬號密碼。
5、異常風險告警
從時間、命令語句、下載
/
上傳操作、訪問
IP
、伺服器、使用者名稱等多個維度進行分析,將異常行為篩選並告警,確保內部惡意事件提前有效預防。
