堡垒机部署培训

1、帕拉迪统一安全管理与综合审计系统 产品培训,追溯运维安全事件源头 降低核心操作系统风险,培训内容介绍,用户环境问题分析,堡垒机部署架构和体系,堡垒机部署收益,核心功能和模块介绍,使用和实施流程,用户环境问题分析,用户环境问题分析,IT运维现状1,多点登录、分散管理,服务器资源,IT运维现状2,交叉异构、帐号共享,第三方厂家,开发人员,管理人员,系统帐号,IT运维现状3,人为操作风险，责任无法追溯,来自企业内部的非法威胁 高权限操作风险不透明 违规操作导致敏感信息泄露 误操作导致服务异常甚至宕机,来自企业外部的非法威胁 操作风险不可控 黑客盗用帐号实施恶意攻击 无法有效监管操作、无法有效取证/举

2、证,内部用户,外部用户,资源设备,权限滥用,恶意访问,误操作,权力限用,系统管理员 网管员 安全管理员 软件系统开发人员,黑客 代维厂商 合作伙伴 企业临时用户,用户身份信息分散于各个系统，形成身份信息的孤岛 维护人员同时对多个系统进行维护，工作复杂度会成倍增加,独立的用户数据库 身份信息孤岛,用户权限无法集中管理，越权事件时有发生,缺乏集中统一的资源授权管理平台,身份的混乱，帐号多人共用，难于确定帐号的实际使用者， 难于对帐号的扩散范围进行控制，容易造成安全漏洞,自然人身份和业务系统帐号重叠,切换系统登录时，都需要输入用户名和口令进行登录。 给工作带来不便，影响了工作效率,自然人对多系统的访

3、问频繁切换,无法对支撑系统进行综合分析，不能及时发现入侵行为进行安全 预警和数据责任追踪，增加操作风险,独立的审计，缺乏关联分析,问题分析,堡垒机部署架构和体系,堡垒机部署架构和体系,操作管理统一化,统一操作管理平台理念构建,操作,统一认证,统一授权,统一审计,管理流程规范化,规范管理流程的实行,操作风险最小化,最小化操作风险来源于管理模式,集 中 管 理 模 式,你做了什么？,你能做什么？,你去哪？,你是谁？,访问控制管理,帐号授权管理,资产帐号管理,统一身份管理,可用帐号？,2020/6/28,运维审计方案支持体系,字符终端运 维管理审计,图形终端运 维管理审计,数据库运 维管理审计,文件

4、传输 操作审计,应用终端 操作审计,KVM终端 操作审计,命令行：Telnet、SSH 文本菜单：HP的SAM、IBM的SMIT，LINUX的SETUP等,Oracle Informix DB2 Sybase SQL Server等,基于WEB操作,如：HTTP、HTTPS 基于C/S应用终端操作，如：AS400,RDP X11 VNC,FTP SFTP RDP磁盘通道、剪贴板等文件传输,Avocent 管理终端DSR、DSVIEW 力登管理终端：RARITAN、RARITAN_CC,网络设备,数据库系统,应用系统,主机系统,SAP,ECM,内部门户,Lotus Notes,MES,ORACL

5、E,H3C,Linux,UNIX,Windows,2020/6/28,字符管理模式,命令分析及回放,字符终端运 维管理审计,命令行：Telnet、SSH 文本菜单：HP的SAM、IBM的SMIT，LINUX的SETUP等,网络设备,主机系统,H3C,Linux,UNIX,命令分析： 区分指令的输入和输出； 并支持从特定的命令进行定位播放； 帮助用户快速定位到关注的事件,图形管理模式,图形终端运 维管理审计,RDP X11 VNC,主机系统,Linux,UNIX,Windows,1.完整支持原有客户端，用户可直接使用MSTSC工具进行连接，不改变其使用习惯； 2.支持磁盘映射和智能卡远程调用，并

6、提供开关控制，实现数据不落地，有效保障数据安全,2020/6/28,2020/6/28,数据库管理模式,数据库运 维管理审计,Oracle Informix DB2 Sybase SQL Server等,SQL操作语句展现： 可捕获底层SQL操作语句，用户行为无法逃避，提供数据检索，快速定位事故现场,数据库系统,ORACLE,数据库操作 审计回放,SQL操作语句展现,DB2,Sybase,informix,2020/6/28,应用系统管理模式,录像回放,应用终端运 维管理审计,基于WEB操作,如：HTTP、HTTPS 基于C/S应用终端操作，如：AS400,应用系统,SAP,ECM,内部门户,

7、Lotus Notes,MES,支持应用系统账户密码代填，实现单点登录,部署方式,外网用户,内网用户,UTM 安全审计管理,运维登录流程: 1.不加装任何客户端程序 2.不加装任何服务器端引擎 3.不影响任何网络拓扑 4.不影响任何业务数据流 5.支持双机热备 6.支持集中管理分级部署,PLDSEC SMS UTM,防火墙,堡垒机部署收益,堡垒机部署收益,价值总结,统一访问入口，集中权限控制，实现运维操作的规范化管理。,规范运 维管理,满足合 规要求,完善责 任认定,降低资 源风险,有效防止了误操作、滥操作以及越权访问对核心业务系统造成的破坏。,快速的故障定位，提高故障处理效率；提供精准的责任

8、鉴定和事件追溯。,完善组织的内控与审计体系，从而满足合规性要求，使组织能够顺利通过IT审计。,共享帐号的责任认定,移动办公,合作伙伴,运维外包,Internet,内部运维人员,核心业务服务器,Root帐号,Micke,Hz_yang,Dw_wang,Echo,部署前： 所有人员包括移动办公人员、合作伙伴、运维外包人员、内部运维人员共同使用root帐号直接登录核心业务服务器进行各种操作，当核心业务数据被非法修改，或是执行了其他非法命令等，在现有环境上很难定位到人，无法进行责任的认定和故障分析。,第三方运维管理,合作伙伴,运维外包,核心业务服务器,Root帐号,Hz_yang,Dw_wang,创建

9、帐号，授权控制 内部管理人员为其创建临时帐号，授予完成维护需要的最小化权限，对高危操作命令进行控制和告警。,保留所有运维操作过程 对该阶段的运维操作进行全部记录并保存，作为审计的依据，内部人员还可以实时对其进行监控，发现有违规操作，可以立即进行阻断。,Internet,业务系统运维需求 业务系统的维护、更新升级、故障处理需要合作伙伴或是运维外包人员登录系统进行各种操作。,满足第三方审计机构对运维操作的审计,报表展现 根据用户行业的要求，提供完善的报表展现，满足用户所在行业对合规性的需求。,操作原始日志 保存了全年的包括内部人员、合作伙伴、外包代维人员对核心业务服务器运维的原始操作日志。,第三方

10、审计机构,核心功能和模块介绍,核心功能和模块介绍,核心模块说明,用户管理 认证管理 设备管理 授权管理与访问控制 审计管理,用户管理,建立网关用户 单击 “安全策略管理” “网关用户管理”,网关用户举例,认证管理,设备管理,帕拉迪统一安全管理与综合审计系统总结多年安全审计项目经验，实现了一套创新的账号管理模式（帕拉迪统一账号管理），其具有如下特点： 支持账号集中管理模式。 支持账号分散管理模式。 统一了集中管理模式与分散管理模式。对任意资产，可以使用任意一种管理模式，或两种模式的组合。提供了极大的管理灵活性。,授权管理,权限分配列表,审计管理,实施和使用流程,实施和使用流程,用户环境的调研,1

11、、主要管理设备的分类和管理数量 2、用户网络拓扑的了解 3、产品部署的位置和分配的IP地址,前期准备工作,实施流程,系统的组网拓扑图如下 （插入用户实际网络拓扑图及产品部署位置）,实施流程,地址规划,系统安装调试,系统安装 PLD SMS系统由杭州帕拉迪网络科技有限公司预装，无需现场安装。 系统配置 配置系统地址。配置系统其他基本设置。 添加用户 （批量导入用户统计表格） 添加设备资产 （批量导入资产统计表格） 设定授权 （按照授权表格进行授权）,系统试运行,1，系统部署后，进入系统试运行阶段，通过管理手段要求用户登录统一安全管理和综合审计平台进行运维操作，熟悉运维平台的操作。 2，在该阶段

12、，对用户出现的各类问题进行解决，如个别资产无法运维，或授权不完整等遗留问题。 3，由于在该阶段并未进行访问控制部署，故用户能够使用原有方式进行目标资产访问，可在堡垒机无法正常运维时切换为原有方式进行运维，保障系统安全平稳的过渡。,网络访问控制配置,网络访问控制，目的在于控制用户无法直接访问被管理设备资源，只能通过PLD SMS访问被管理设备资源。具体配置过程根据用户实际网络设备拟定。,应急预案,当发生突发意外情况，造成无法通过PLDSMS系统进行运维时，为了使组织整体IT系统正常运转，帕拉迪统一安全管理和综合审计系统提供了完整的应急预案，具体内容查看应急预案手册。,登录管理目标资产方式,使用WEB运维平台管理 登录激活账号,登录管理目标资产方式