官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
堡垒机作为服务器和网络安全控制的系统,包含了用户管理、资源管理、策略、审核等功能,为企业安全提供了有力保障。但越是复杂的系统,可能遭遇的漏洞与威胁也越大,因此,堡垒机安全的重要性自然不言而喻。本期话题,我们就聚焦于堡垒机本身,看看大家在遇到有关安全风险时如何“排忧解难”。
单点故障和绕过访问是堡垒机比较容易遇到的安全风险,对此大家的解决办法是什么?除此以外还遇到过哪些其他安全威胁?都是如何解决的?
A1:
单点故障(可用性)的话通过HA或集群部署,然后异地多站点的方式应对;绕过访问涉及到安全有效性的问题,有两种发现渠道,一是需要对网络安全策略进行一些监测与验证,通过部署在不同网段的节点做一些连通性测试,二是通过操作机器上的软审计功能,结合风险规则进行发现。还遇到过Log4j漏洞,通过升级版本打补丁解决。
A2:
堡垒机支持双机双活,最好选择密码备份有逃生机制的方案,比如密码保险箱,防止绕过访问,必需网络明确管理来源的一致性。作为资产的集中管理和权限管理审计工具,首当其冲应对各种攻击,选择成熟服务商和产品很关键。
A3:
堡垒机账号管理混乱,密码长期不换,这是个风险,还是得定期换密码。
A4:
有很多堡垒机绑定域,拿下域=拿下堡垒机。
A5:
单点故障是可用性的问题,架构层面HA或者集群都是可行性方案,通过部署不同物理机器或者分散机房的方式,也是解耦的一种实现;
绕过访问,不同网段的问题基本可以通过网络ACL解决,同网段的访问容易绕过堡垒机,可以通过收集登录日志分析SIP是否是堡垒机白名单解决。感觉HIDS也可以解决这个问题。
其他的风险诸如0Day、账号共享、高危命令操作等。账号共享问题,主要通过提升共享的难度和成本来规避。前端通过MFA等方式,后端可通过定期改密等方式。高危命令操作问题,事前将命令收敛,事中增加审批节点复核的方式。
A6:
绕过这个风险,如果说的是不通过堡垒机访问目标服务器这种情况,我们是通过在接入交换机实施网络策略做限制的,仅允许堡垒机可访问SSH端口。
Q:攻防演练期间遇到堡垒机 0Day爆出,大家是如何进行处置的?
A1:
不管什么时期,遇到0Day,首先确认堡垒机不对互联网开放,在攻击路径上设置多卡点管控,第一时间检查产品服务授权是否在维保期内,然后要求供应商尽快修复。
A2:
堡垒机+零信任组合使用。
A3:
初期主要是限制访问,严格访问策略,把访问频度低的需求暂时砍掉,访问频度高的流量丢到威胁感知里去。中后期厂商出具了相关补丁与缓解措施,及时升级维护。
A4:
1.补丁发布之前,无POC细节,通过提升攻击难度,如继续收敛操作员登录SIP、管理员登录SIP;
2.补丁发布之前,无POC细节,通过全流量设备,监控有无此类的攻击告警,重点关注;
3.补丁发布,有测试环境的先测试,无测试环境的,待稳定版本发布后,通知升级。期间做好持续监测。
A5:
堡垒机在HVV中经常会成为靶子,为了防止服务器撸了攻击堡垒机,我们是对堡垒机实施了最小化的网络访问权限:如仅允许VPN网段可访问堡垒机,堡垒机可访问目标服务器SSH端口,实施粒度是到端口、协议级。
Q:除上述外,还遇到过哪些堡垒机的自身BUG?最后都是怎么解决的?
A1:
堡垒机自身BUG无穷多,喊上代理商/供应商上门即可。
A2:
堡垒机的客户端稳定性欠佳,甚至没一些开源的VNC好用。
A3:
估计也不算BUG,就是不够智能,在用户无操作而画面如果有一些动态的元素(如闪动条、动态桌面等),缺乏智能判断,审计数据大,结合部分会话控制策略有效性遇到问题,导致疫情影响下的远程办公场景审计数据过大,通过转发审计数据方式解决。
A4:
目前遇到最大的问题,是图形化工具量一上来,就触发当前的BUG,无法使用。短期通过引流其他节点,重启BUG应用发布机器;长期通过升级。
A5:
防火墙要放到堡垒机管理,堡垒机前面有防火墙,防火墙有问题导致堡垒机连不上怎么办?
A6:
架构师设计问题,没有设置带外管理网。
Q:现在不少人吐槽一些厂商的堡垒机价格昂贵,会选择更换堡垒机,那在更换不同厂商堡垒机时需要注意些什么?除此以外还可以有哪些安全的低成本方案?
A1:
堡垒机已经是市场化比较成熟的产品,价格昂贵情况实属未明确需求,只需要采购满足需求的功能模块即可。迁移堡垒机,需要注重资产导入、密码复原、灾备方案,全面规划方案,重点逐步推进替换。低成本的开源方案不失为好的选择。
A2:
低成本的就是JumpServer 开源堡垒机挺好用的。
A3:
可以通过一些可扩展的安全代理软件来做反向代理或者跳板代理,通过某一台特定的跳板机访问特定目标主机,如V2ray trojan 。
A4:
如果更换堡垒机是慢慢换,还是直接一次性换完呢?
A5:
慢慢替换,一下子替换,有难度。
A6:
一般都是建议慢慢换,尤其涉及到使用习惯得问题,需要慢慢培养。
A7:
需求层面:合规方面的需求,使用部门的需求,安全其他方面的考虑,建议分批次上线,直接切换影响用户体验,还可能会出现很多意想不到的事情。
阶段1,并行运行期间,邀请个别用户部门体验,提问题优化;
阶段2,陆续邀请其他部门,直至所有用户;
阶段3,明确切换时间,提醒用户尽早切换;
阶段4,切换后,保留历史堡垒机,规避用户访问;新堡垒机运行一段时间后,历史设备下线。
话题二:大家对象存储都全部要求私有吗?业务想拿桶来放允许公开的数据,是否允许呢?
A1:
要依据数据安全管理制度,尽然已经定级为公开数据,那就随意。当然也不排除定级标准不规范。
A2:
标准规范了,也不排除业务可能不知道,还有可能误操作。
A3:
在这个时候可以提一些基线要求,满足了这108项,可以上。
A4:
还是得看最佳实践吧,可是最佳实践不会那么细,就像基线要求,是否包含敏感数据,是否为测试数据等等。
A5:
每家数据的战略定位都不一样,何况国内的实践不一定是最佳的。数据安全是独立的体系,是在基础安全之上的。
A6:
多少安全基线都不合格的已经在上DLP 加密。喊着做数据安全了。
A7:
我想着基础的也只能判断业务是否允许公开读、禁止公开读写这样了。
A8:
业务定义的可公开,大概率只是他们认为不重要,不会考虑安全性。比如,我这边业务团队认为身份证号、银行卡号这些不算敏感信息。
A9:
这个有明确制度规范要求,还好,我也管不过来了,再管下去,大头都要管不住了,只能给些基础的要求了。
——————————————————
本期精彩观点到此结束啦~此外,FreeBuf会定期开展不同的精彩话题讨论,想了解更多话题和观点,快来扫码免费申请加入FreeBuf甲方群吧!
加入即可获得FreeBuf月刊专辑,还有更多精彩内容尽在FreeBuf甲方会员专属社群,小助手周周送福利,社群周周有惊喜,还不赶快行动?
申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入会员俱乐部
如有疑问,也可扫码添加小助手微信哦!
号外:攻防复盘星空夜话视频专栏已于8月25日上线FreeBuf视频号,赶紧扫码观看!
关于攻防复盘星空夜话:
攻防复盘星空夜话作为《FreeBuf网安智库说》第四季的主题,由网络安全行业门户FreeBuf主办,将共邀8位行业资深嘉宾、共8期节目,围绕红蓝方观点、攻防报告分享、圆桌讨论等主题,全方位切磋各类攻防“技法”,系统盘点攻防期间的得与失,为今年的攻防演练划上一个完美句号。
FreeBuf甲方群部分成员:
知乎 安全平台部高级总监、 同程艺龙 安全总监、新奥集团 安全总监、德邦快递 安全总监、猎豹移动 安全总监、联通数字科技有限公司 部门总监、中国建设银行 高级副经理、上海银行 高级经理、龙湖集团 高级信息安全经理、完美世界 高级信息安全总监
讯飞 安全运营主管、软通动力 安全主管、光大银行 高级主管、中国电力建设集团有限公司 高级主管、人民教育出版社有限公司 高级主管、京东 高级总监、华住酒店集团 技术保障中心负责人、东软集团股份有限公司 技术负责人、东亚银行 科技风险主管、ZTE中兴通讯 牛盾安全实验室负责人、蚂蚁集团 实验室负责人、美团 数据安全总监、中国航天科技集团有限公司 数据中心主管、富达投资 网络安全负责人、苏宁 网络安全经理、新浪 网络安全经理、南京证券股份有限公司 网络安全团队负责人、中国联通 网络安全主管、上海电信 网络安全主管