本文结合招商银行自身的安全实践,提出了一种安全的远程运维通道构建方式,基于零信任的理念,对远程接入的设备、人员、行为等进行多维度的认证,实现安全可控的远程运维连接。
由于全球疫情的持续影响,企业的远程运维需求急剧上升。同时,随着企业用户规模的增长,对业务的稳定性要求越来越高,银行的关键核心业务可用性要求达到了99.999%。所以,在系统出现故障或隐患时的应急处置效率成为一个非常关键的业务诉求。在此背景下,远程运维势在必行。
从远程运维本身来说,主要面临两类风险:外部黑客的攻击风险和内部异常员工的操作风险。
1、外部黑客的攻击风险
当前多数单位首选通过VPN构建远程运维通道,这种方案主要面临三类攻击,需要重点防范:一是对认证体系的攻击,攻击者通过伪冒用户、口令爆破等方式直接攻击VPN的认证体系。二是社工攻击,员工安全意识参差不齐,个人设备安全防护薄弱,攻击者往往通过社工攻击的方式控制员工个人设备,并诱导员工协助登录VPN或者直接从个人设备上获取登录凭证登录VPN,从而进入内网;三是0day漏洞利用,VPN设备0day漏洞时有发生,攻击者可能直接利用0day创建用户或控制设备,从而进入内网。在远程运维的场景下,一旦上述攻击成功,攻击者可以直达生产内网,安全风险极大,仅仅做到事中监测和事后处置不足以应对该风险,需要在事前进行有效防范。
2、内部异常员工的操作风险
运维操作不同于普通的办公,操作人员可以直接接触生产环境和核心数据,运维操作环境往往都是各单位的重点管控对象。从银行的角度来说,往往会设置专门的电子操作间,配置物理门禁、保安、摄像头等,对人员的操作行为进行全面监控。而在远程运维场景下,上述物理管控措施全部失效,如何在远程的场景下,对操作人员的行为进行监测,及时发现异常,并形成威慑,是远程运维方案需要解决的另一个重要问题。
基于零信任的理念,对远程运维过程中的所有环节进行认证和监测,可以有效应对上述两类风险。一是实现通道构建的安全。不同于远程办公通道需要全天候开启,远程运维通道主要用于紧急情况下的应急处置,因此可以采用反向创建运维通道的方式,日常保持关闭状态,故障情况下由内部值班人员按需创建临时用户,开启对外服务,并配套严格的审批流程,一旦使用完毕即进行回收,避免远程运维通道被随意创建和滥用。二是实现通道接入的安全。在传统的对用户账号进行认证的基础上,设置准入条件,将硬件设备、系统环境、IP地址等因素均纳入验证范围,实施多维度的认证接入。三是实现通道使用的安全。在接入远程运维通道后,一方面强化对终端的保护,对终端实施网络隔离限制,禁止其访问互联网,避免终端在接入运维通道时被外部攻击者控制;另一方面加强对用户操作行为的监测,建立对远程运维操作的双人复核机制,形成威慑的同时及时发现异常操作行为。四是加强事后的安全审计。对用户的远程运维操作进行录屏,在远程运维工作结束后,由操作人领导进行审核,确保操作合规无异常。
1、总体架构
整个系统由防火墙、VPN、堡垒机和配套的自动化平台组成:(1)在互联网DMZ区域部署独立的VPN作为远程通道的入口,与远程办公使用的VPN分开,通过防火墙与互联网进行隔离;(2)在内网部署单独的堡垒机,与内部使用的堡垒机分开,供远程运维VPN连接使用;(3)开发配套的远程运维自动化开通平台,与防火墙、VPN、堡垒机、工单系统等系统联动,同时向内部值班人员提供UI界面,当需要使用时,由值班人员一键发起审批流程,审批通过后自动调用各系统接口创建用户账号,配置使用权限,并开通防火墙对外提供服务,当远程运维结束时,自动关闭策略和权限。
2、VPN配置
VPN设备是整个运维通道的入口,通过对VPN进行合理的配置,可以有效保障远程运维通道接入和使用的安全。主要是注意以下几点:
(1)VPN默认只进行基础的系统配置,不进行任何用户账号和权限配置,不对外提供服务,由远程运维自动化开通平台按需创建临时用户并自动配置访问权限;
(2)对于按需创建的账号,应强制采用双因素认证,并设置硬件绑定,确保一个账户在一台设备登录后不可在其他设备进行登录,远程运维结束后应及时删除;
(3)应设置细粒度的准入策略,对终端防病毒、操作系统版本、补丁、运行进程等进行要求;
(5)可结合自身的安全运营体系,包括异常分析和自动化处置手段,对VPN日志进行实时/准实时分析,对于非常规IP登录、非合法账号登录等异常行为进行监测和阻断。
3、堡垒机配置
堡垒机是进行运维操作的关键系统,在远程运维场景下,需要进行针对性的配置,强化对用户操作行为的监控。重点是以下几点:
(1)堡垒机默认不进行任何用户账号和权限配置,不开通VPN连接的策略,由远程运维自动化开通平台按需创建临时用户、配置访问权限并开通防火墙策略;
(2)堡垒机应设置双人复核功能,强制要求两人接入,一人操作一人旁观,确保所有的远程操作都有监控;
(3)堡垒机应注意设置防截屏、防拷贝功能,同时设置水印,避免数据泄露;(4)应开启录屏功能,全程对操作行为进行记录,便于事后审计。
4、操作流程
(1)系统出现故障需要实施远程运维时,由当事人联系行内值班人员,值班人员在自动化平台上根据故障信息发起远程运维通道创建申请;
(2)自动化平台在工单系统生成工单发送当事人的领导进行审批;
(3)自动化平台在VPN和远程运维堡垒机上创建临时账号,通过邮件发送至处理人和复核人,并开通相关防火墙策略;
(4)远程处理人/复核人通过临时账号登录VPN和访问堡垒机;
(5)处理人通过堡垒机访问运维系统,复核人通过堡垒机实时观看操作过程,如复核人发现异常,可随时终止处理人的操作;
(6)远程运维结束,自动化平台自动关闭相关账号和权限;
(7)根据录屏信息自动发起事后审计流程,对远程运维操作进行事后审计。
1、采用反向创建运维通道的方式,由行内人员开启运维通道并创建临时用户,非使用状态下VPN和堡垒机均保持无用户状态,既可以避免因员工被社工攻击导致运维通道被盗用,又可以有效防范攻击者通过VPN 0day漏洞攻击运维系统的风险。
2、基于零信任的理念,对整个运维通道的认证体系进行了强化,由传统的只对人进行认证,扩充到对人员、设备等多个维度的认证。
3、采用了双人复核的机制,远程运维过程中,复核人如果发现异常操作,可以随时终止该通道,有效的防止了内部员工的异常操作风险。
杨爽:招商银行技术专家,负责招商银行基础安全规划与建设,在甲方安全体系规划建设方面具有丰富的经验。
大湾区专刊集合了全国数十家金融和科技机构的网络安全工作经验总结,内容涉及防护体系、资产管理、研发安全、攻防演练、安全运营、数据安全、业务安全七大主题方向,希望能为从业者提供网络安全防护方面的整体思路,向行业传播可持续金融创新和实践经验,为推动可持续金融生态发展汇聚智慧与力量。
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
![基于零信任的远程运维实现方案|大湾区金融安全专刊·安全村]( "基于零信任的远程运维实现方案|大湾区金融安全专刊·安全村")
原文始发于微信公众号(安全村SecUN):基于零信任的远程运维实现方案|大湾区金融安全专刊·安全村
评论