在了解堡垒机“事中控制”的功能之前,我们先来看一个真实的案例。
就在不久前,某市管理政府数据的IT人员由于一个错误操作将数据管理系统切断近三小时,造成无法估量的后果。然而,最后追究责任时,由于没有一个IT人员主动承认失误,最终也没查出问题的根源。但如果该数据管理系统安装了堡垒机,一方面能够帮助用户准确判断出该操作不应发生,进而阻止该操作。
IT运维审计系统,也就是我们说的“堡垒机”能够对不合法命令进行命令阻断,并对内部人员误操作和非法操作进行审计监控,以便事后责任追踪。形象地说,堡垒机扮演着看门者的工作,所有对网络设备和服务器的请求都要从这扇大门经过。 而运维操作的复杂难免会造成运维用户的误操作,企业需要避免由此带来的风险,并能有问题追溯机制。这就要求能对运维用户的所有操作进行实时的控制、告警及监控,避免由于一些敏感的操作导致网络中断或企业信息泄露。
现在我们来看一下网域堡垒机NSA是如何实现运维事件的“事中控制”?
实时监控
网域堡垒机NSA可监控正在运维的会话,信息包括运维用户、运维客户端IP地址、资源IP地址、协议、开始时间等;
监控哪些后台资源当前正在被访问;
提供在线运维操作的实时监控功能。针对命令交互性协议可以图像方式实时监控正在运维的各种操作,其信息与运维客户端所见完全一致。
对正在运维的资源,根据阻断策略管理需要可立即中断运维会话。
违规操作实时告警与阻断
针对运维过程中可能存在潜在操作风险,IT运维安全审计产品根据用户配置的安全策略对运维过程中的违规操作进行检测,对违规操作提供实时告警和阻断,从而达到降低操作风险及提高安全管理与控制的能力。
非字符型协议的操作能够实时阻断,字符型协议的操作可以在告警规则里配置阻断命令,实现告警与阻断;
告警规则支持告警级别、告警分类;
告警动作支持会话阻断、审计平台告警、邮件告警等。
推荐阅读:堡垒机作用之一——事先防范
