API网关配置杂谈暨主机间跳板登陆的安全实践 | 总第223周

‍

‍‍‍

‍‍

0x1本周话题TOP2

话题1：我们准备上API网关，以前dmz区每个应用一个vlan，ip分的很清楚，资产管理、告警和流量分析都很方便。现在上API网关，方案是所有应用都对应同一个ip和端口，现在我们很多安全系统都要调整，waf都要重新配。想知道大家都上了API网关吗？这一块是如何做的？

A1：相当于业务合并了，重新配是必然的，不是问题。

Q：上了API网关防火墙配置是不是比较麻烦？

A2：上到七层之后，对应用的识别要从ip+端口脱离出来，转向domain，url path，要不然就后移安全设备的位置到网关之后，看你们后端服务器是不是分开的。

Q：对于url、path，防火墙怎么配置acl，是不是端口只能配any了？

A3：先得确定你的安全控制需求是什么，每一层的设备只能实现他这一层的功能，因为url是应用层的，所以你如果要实现应用层的控制需要借助waf。

A4：后面是分开的，但是这里源地址就都是API网关了，虽然有xff，但容易伪造，自定义字段也挺麻烦。

A6：其实你这个场景是API网关也好，还是Nginx也好，是类似的，Nginx也完全可以充当网关，从拦截设备角度来看，七层墙和WAF，建议放在网关前，流量型监测类设备旁路在后面，做好xff地址解析和判断。安全策略重点倚重waf，靠server name识别不同应用，墙就不要指望太多，无能为力。

A7：在态势感知上也要针对同一IP不同端口映射到不同应用，虽然都能配置，但不知道是不是主流做法，或者取域名或者url，用npm等流量回溯设备的时候就稍微麻烦点了。

A8：网络层能做到的有限，K8S这些对传统网络架构是种重构，将来势必要依靠更多侵入式的设备，我们现在去向流量进到K8S集群里的，没有域名的话你也没法知道是什么。以前与f5的人交流，k8s体系对他们冲击挺大的，以后都是软件定义基础架构，软件开发连带运维一手包，不用带基础架构玩儿了，F5边界只开1个端口就行。

A9：k8s除了对f5，以往只控四层的防火墙影响也很大，只能再控一层host来区分。

A10：xff的问题可以用irules解决，如果是在网关前的话。

Q：负载均衡lvs把IP放到option是不是也可以伪造真实IP？

A11：不存在这个说法吧，option还是指的四层代理，xff其实也不完全说是伪造问题，对于边界来说只要知道离边界最近一层的ip就行，即使再到上层的cdn或者多级代理，知道最源头的ip用处也不大，毕竟我们没法控制边界再上层的设备。

A12：可以考虑一下如下参数。

A13：lvs 负载 toa uoa 里option 好像放的真实用户的IP 地址。

A14：是的，多级代理这么配置xff会变成数组。

话题2：各位大佬，访问生产环境登陆堡垒机后，主机间跳板登陆有比较好的安全实践吗？是允许ssh密钥跳板登陆，或者保留统一账号密码登陆，还是禁止横向跳板登陆。

A1：之前做的是明确禁止横向跳，同时做命令日志告警，出现直接按红线处理，不过我这个是审计思维，不做阻断，具体做不做阻断根据企业实际情况。

A2：堡垒机是运维内控的关键控制点，内控的要求就是必须按照运维流程规范，在指定时间，由指定人，授予指定权限，做指定的操作，横跳不符合内控要求。分特权账号，和普通账号，申请的时候按需申请，不允许本地提权。还有人机账号和机机账号，人机账号不允许应用集成使用，机机账号不允许人机交互使用。我们的管理理念就一句话，有钥匙的人没权限，有权限的人没钥匙。

A3：所有账号口令都回收了，密码是托管的，人不知道密码，通过限制ssh源和检查/监控公钥文件禁止私自添加互信横向跳转。

A4：统一托管ssh密钥吧，看来金融行业大部分是不是都禁止服务器互跳了。我们是服务器配置基线，禁止横向跳板登录。

Q：如果把账号口令都收了，sudo需求如何解决的呢？

A5：centralized sudo server, entitlement management, role management, 这些是IAM做的。role engineering是应用做的。从bastion到host，可以跳。

怎么跳是bastion管理的，我们允许ssh，但是改写了一下，加上change ticket，每个ticket有存活时间，额外签个会话证书。

但是从一个host跳到另一个host，如果是买的厂商的appliance，又部署在同一个fw后面，其实可以跳。但是如果看日志是service account跳不是他的target，那会报警。如果是管理员自己范围里的host，貌似没限制。

A6：centralized sudo server这个很高级。直接禁用了本地提权，基本功也很扎实。

原文始发于微信公众号（君哥的体历）：API网关配置杂谈暨主机间跳板登陆的安全实践 | 总第223周