如何应对堡垒机安全风险?| FreeBuf甲方群话题讨论
2022-9-9 19:11:9 Author: FreeBuf(查看原文) 阅读量:8 收藏

堡垒机作为服务器和网络安全控制的系统,包含了用户管理、资源管理、策略、审核等功能,为企业安全提供了有力保障。但越是复杂的系统,可能遭遇的漏洞与威胁也越大,因此,堡垒机安全的重要性自然不言而喻。本期话题,我们就聚焦于堡垒机本身,看看大家在遇到有关安全风险时如何“排忧解难”。

 

单点故障和绕过访问是堡垒机比较容易遇到的安全风险,对此大家的解决办法是什么?除此以外还遇到过哪些其他安全威胁?都是如何解决的?

A1:

单点故障(可用性)的话通过HA或集群部署,然后异地多站点的方式应对;绕过访问涉及到安全有效性的问题,有两种发现渠道,一是需要对网络安全策略进行一些监测与验证,通过部署在不同网段的节点做一些连通性测试,二是通过操作机器上的软审计功能,结合风险规则进行发现。还遇到过Log4j漏洞,通过升级版本打补丁解决。

A2:

堡垒机支持双机双活,最好选择密码备份有逃生机制的方案,比如密码保险箱,防止绕过访问,必须网络明确管理来源的一致性。作为资产的集中管理和权限管理审计工具,首当其冲应对各种攻击,选择成熟服务商和产品很关键。

A3:

堡垒机账号管理混乱,密码长期不换,这是个风险,还是得定期换密码。

A4:

有很多堡垒机绑定域,拿下域=拿下堡垒机。

A5:

单点故障是可用性的问题,架构层面HA或者集群都是可行性方案,通过部署不同物理机器或者分散机房的方式,也是解耦的一种实现;


绕过访问,不同网段的问题基本可以通过网络ACL解决,同网段的访问容易绕过堡垒机,可以通过收集登录日志分析SIP是否是堡垒机白名单解决。感觉HIDS也可以解决这个问题。


其他的风险诸如0Day、账号共享、高危命令操作等。账号共享问题,主要通过提升共享的难度和成本来规避。前端通过MFA等方式,后端可通过定期改密等方式。高危命令操作问题,事前将命令收敛,事中增加审批节点复核的方式。

A6:

绕过这个风险,如果说的是不通过堡垒机访问目标服务器这种情况,我们是通过在接入交换机实施网络策略做限制的,仅允许堡垒机可访问SSH端口。

Q:攻防演练期间遇到堡垒机 0Day爆出,大家是如何进行处置的?

A1:

不管什么时期,遇到0Day,首先确认堡垒机不对互联网开放,在攻击路径上设置多卡点管控,第一时间检查产品服务授权是否在维保期内,然后要求供应商尽快修复。

A2:

堡垒机+零信任组合使用。

A3:

初期主要是限制访问,严格访问策略,把访问频度低的需求暂时砍掉,访问频度高的流量丢到威胁感知里去。中后期厂商出具了相关补丁与缓解措施,及时升级维护。

A4:

1.补丁发布之前,无POC细节,通过提升攻击难度,如继续收敛操作员登录SIP、管理员登录SIP;


2.补丁发布之前,无POC细节,通过全流量设备,监控有无此类的攻击告警,重点关注;


3.补丁发布,有测试环境的先测试,无测试环境的,待稳定版本发布后,通知升级。期间做好持续监测。

A5:

堡垒机在HVV中经常会成为靶子,为了防止服务器撸了攻击堡垒机,我们是对堡垒机实施了最小化的网络访问权限:如仅允许VPN网段可访问堡垒机,堡垒机可访问目标服务器SSH端口,实施粒度是到端口、协议级。

Q:除上述外,还遇到过哪些堡垒机的自身BUG?最后都是怎么解决的?

A1:

堡垒机自身BUG无穷多,喊上代理商/供应商上门即可。

A2:

堡垒机的客户端稳定性欠佳,甚至没一些开源的VNC好用。

A3:

估计也不算BUG,就是不够智能,在用户无操作但画面如果有一些动态的元素(如闪动条、动态桌面等),缺乏智能判断,审计数据大,结合部分会话控制策略有效性遇到问题,导致疫情影响下的远程办公场景审计数据过大,通过转发审计数据方式解决。

A4:

目前遇到最大的问题,是图形化工具量一上来,就触发当前的BUG,无法使用。短期通过引流其他节点,重启BUG应用发布机器;长期通过升级。

A5:

防火墙要放到堡垒机管理,堡垒机前面有防火墙,防火墙有问题导致堡垒机连不上怎么办?

A6:

架构师设计问题,没有设置带外管理网。

Q:现在不少人吐槽一些厂商的堡垒机价格昂贵,会选择更换堡垒机,那在更换不同厂商堡垒机时需要注意些什么?除此以外还可以有哪些安全的低成本方案?

A1:

堡垒机已经是市场化比较成熟的产品,价格昂贵情况实属未明确需求,只需要采购满足需求的功能模块即可。迁移堡垒机,需要注重资产导入、密码复原、灾备方案,全面规划方案,重点逐步推进替换。低成本的开源方案不失为好的选择。

A2:

低成本的就是JumpServer 开源堡垒机挺好用的。

A3:

可以通过一些可扩展的安全代理软件来做反向代理或者跳板代理,通过某一台特定的跳板机访问特定目标主机,如V2ray trojan 。

A4:

如果更换堡垒机是慢慢换,还是直接一次性换完呢?

A5:

慢慢替换,一下子替换,有难度。

A6:

一般都是建议慢慢换,尤其涉及到使用习惯的问题,需要慢慢培养。

A7:

需求层面:合规方面的需求,使用部门的需求,安全其他方面的考虑,建议分批次上线,直接切换影响用户体验,还可能会出现很多意想不到的事情。


阶段1,并行运行期间,邀请个别用户部门体验,提问题优化;
阶段2,陆续邀请其他部门,直至所有用户;
阶段3,明确切换时间,提醒用户尽早切换;
阶段4,切换后,保留历史堡垒机,规避用户访问;新堡垒机运行一段时间后,历史设备下线。

话题二:大家对象存储都全部要求私有吗?业务想拿桶来放允许公开的数据,

是否允许呢?

A1:

要依据数据安全管理制度,尽然已经定级为公开数据,那就随意。当然也不排除定级标准不规范。

A2:

标准规范了,也不排除业务可能不知道,还有可能误操作。

A3:

在这个时候可以提一些基线要求,满足了这108项,可以上。

A4:

还是得看最佳实践吧,可是最佳实践不会那么细,就像基线要求,是否包含敏感数据,是否为测试数据等等。

A5:

每家数据的战略定位都不一样,何况国内的实践不一定是最佳的。数据安全是独立的体系,是在基础安全之上的。

A6:

多少安全基线都不合格的已经在上DLP 加密。喊着做数据安全了。

A7:

我想着基础的也只能判断业务是否允许公开读、禁止公开读写这样了。

A8:

业务定义的可公开,大概率只是他们认为不重要,不会考虑安全性。比如,我这边业务团队认为身份证号、银行卡号这些不算敏感信息。

A9:

这个有明确制度规范要求,还好,我也管不过来了,再管下去,大头都要管不住了,只能给些基础的要求了。

本期精彩观点到此结束啦~此外,FreeBuf会定期开展不同的精彩话题讨论,想了解更多话题和观点,快来扫码免费申请加入FreeBuf甲方群吧!

加入即可获得FreeBuf月刊专辑,还有更多精彩内容尽在FreeBuf甲方会员专属社群,小助手周周送福利,社群周周有惊喜,还不赶快行动?

申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入会员俱乐部

如有疑问,也可扫码添加小助手微信哦!

号外:攻防复盘星空夜话视频专栏已于8月25日上线FreeBuf视频号,赶紧扫码观看!

关于攻防复盘星空夜话

攻防复盘星空夜话作为《FreeBuf网安智库说》第四季的主题,由网络安全行业门户FreeBuf主办,将共邀8位行业资深嘉宾、共8期节目,围绕红蓝方观点、攻防报告分享、圆桌讨论等主题,全方位切磋各类攻防“技法”,系统盘点攻防期间的得与失,为今年的攻防演练划上一个完美句号。

FreeBuf甲方群部分成员:

知乎 安全平台部高级总监、 同程艺龙 安全总监、新奥集团 安全总监、德邦快递 安全总监、猎豹移动 安全总监、联通数字科技有限公司 部门总监、中国建设银行 高级副总监、上海银行 高级安全总监、龙湖集团 高级信息安全总监、完美世界 高级信息安全总监

讯飞 安全运营主管、软通动力 安全主管、光大银行 高级主管、中国电力建设集团有限公司 高级主管、人民教育出版社有限公司 高级主管、京东 高级总监、华住酒店集团 技术保障中心负责人、东软集团股份有限公司 技术负责人、东亚银行 科技风险主管、ZTE中兴通讯 牛盾安全实验室负责人、蚂蚁集团 实验室负责人、美团 数据安全总监、中国航天科技集团有限公司 数据中心主管、富达投资 网络安全负责人、苏宁 网络安全经理、新浪 网络安全经理、南京证券股份有限公司 网络安全团队负责人、中国联通 网络安全主管、上海电信 网络安全主管

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651192800&idx=1&sn=9030da94265cbef618222469a4073261&chksm=bd1e6f6b8a69e67d0d76cb7d0334abfdf0644a155dfcf24ca4576f4e9e3bc0de80e9a22a1f00#rd
如有侵权请联系:admin#unsafe.sh