在了解堡壘機(jī)“事中控制”的功能之前，我們先來(lái)看一個(gè)真實(shí)的案例。

        就在不久前，某市管理政府?dāng)?shù)據(jù)的IT人員由于一個(gè)錯(cuò)誤操作將數(shù)據(jù)管理系統(tǒng)切斷近三小時(shí)，造成無(wú)法估量的后果。然而，最后追究責(zé)任時(shí)，由于沒(méi)有一個(gè)IT人員主動(dòng)承認(rèn)失誤，最終也沒(méi)查出問(wèn)題的根源。但如果該數(shù)據(jù)管理系統(tǒng)安裝了堡壘機(jī)，一方面能夠幫助用戶準(zhǔn)確判斷出該操作不應(yīng)發(fā)生，進(jìn)而阻止該操作。

        IT運(yùn)維審計(jì)系統(tǒng)，也就是我們說(shuō)的“堡壘機(jī)”能夠?qū)Σ缓戏钸M(jìn)行命令阻斷，并對(duì)內(nèi)部人員誤操作和非法操作進(jìn)行審計(jì)監(jiān)控，以便事后責(zé)任追蹤。形象地說(shuō)，堡壘機(jī)扮演著看門者的工作，所有對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器的請(qǐng)求都要從這扇大門經(jīng)過(guò)。 而運(yùn)維操作的復(fù)雜難免會(huì)造成運(yùn)維用戶的誤操作，企業(yè)需要避免由此帶來(lái)的風(fēng)險(xiǎn)，并能有問(wèn)題追溯機(jī)制。這就要求能對(duì)運(yùn)維用戶的所有操作進(jìn)行實(shí)時(shí)的控制、告警及監(jiān)控，避免由于一些敏感的操作導(dǎo)致網(wǎng)絡(luò)中斷或企業(yè)信息泄露。

        現(xiàn)在我們來(lái)看一下網(wǎng)域堡壘機(jī)NSA是如何實(shí)現(xiàn)運(yùn)維事件的“事中控制”？

 

實(shí)時(shí)監(jiān)控

        網(wǎng)域堡壘機(jī)NSA可監(jiān)控正在運(yùn)維的會(huì)話，信息包括運(yùn)維用戶、運(yùn)維客戶端IP地址、資源IP地址、協(xié)議、開(kāi)始時(shí)間等；

        監(jiān)控哪些后臺(tái)資源當(dāng)前正在被訪問(wèn)；

        提供在線運(yùn)維操作的實(shí)時(shí)監(jiān)控功能。針對(duì)命令交互性協(xié)議可以圖像方式實(shí)時(shí)監(jiān)控正在運(yùn)維的各種操作，其信息與運(yùn)維客戶端所見(jiàn)完全一致。

        對(duì)正在運(yùn)維的資源，根據(jù)阻斷策略管理需要可立即中斷運(yùn)維會(huì)話。

違規(guī)操作實(shí)時(shí)告警與阻斷

        針對(duì)運(yùn)維過(guò)程中可能存在潛在操作風(fēng)險(xiǎn)，IT運(yùn)維安全審計(jì)產(chǎn)品根據(jù)用戶配置的安全策略對(duì)運(yùn)維過(guò)程中的違規(guī)操作進(jìn)行檢測(cè)，對(duì)違規(guī)操作提供實(shí)時(shí)告警和阻斷，從而達(dá)到降低操作風(fēng)險(xiǎn)及提高安全管理與控制的能力。

        非字符型協(xié)議的操作能夠?qū)崟r(shí)阻斷，字符型協(xié)議的操作可以在告警規(guī)則里配置阻斷命令，實(shí)現(xiàn)告警與阻斷；

        告警規(guī)則支持告警級(jí)別、告警分類；

        告警動(dòng)作支持會(huì)話阻斷、審計(jì)平臺(tái)告警、郵件告警等。

推薦閱讀：堡壘機(jī)作用之一——事先防范