运维安全审计
运维安全审计
配置运维审计整体解决方案
目录
1. 概述........................................................................................................................................... 3
2. 解决方案介绍 . .......................................................................................................................... 4
2.1业务目标 .................................................................................................................................... 4
2.2解决方案 .................................................................................................................................... 4
2.3方案亮点 .................................................................................................................................... 6
3. 典型应用场景 . .......................................................................................................................... 7
1. 概述
据权威机构统计,80%的系统和系统故障与配置的漏洞和变更有关;在有计划的系统变更中,有60%的系统故障因系统配置的缺陷引起。系统的配置指挥着系统如何的运行,如果配置出现差错,系统故障是随之而来的。
但是,面对各类繁杂、数量众多的IT 设备,如何才能高效、合理的管理设备和应用的配置却不是一件简单的事情。主要体现在如下几个方面:
● 很多同类型的设备需要重复性的去配置,每次巡检的时候,需要人工进行逐一核查。效率低下,而且极易出错。
● 设备数量和类型众多,配置文件的存在形式,操作方式,配置项目都不一样。管理起来非常的复杂。
● 配置的变更如何控制?如何检测非法的配置变更,管理人员也没有一个完整的视图来观察设备配置的变化情况,变化趋势。
● 配置的备份都放到管理员自己的电脑上,特别是多人配置的时候,会有不同的配置版本出来,当出现故障进行恢复的时候,一是都找不到最后正常运行时候的配置文件。 ●
● 行业法规,企业法规的遵从上,也无法进行定期的检查。 设备的配置效果如何,是否存在安全上的漏洞,新的漏洞发布了后,涉及到配置上的更改是否及时进行了。都无从强制的贯彻下去。
秉承着”客户的困难就是我们的困难,客户的成功就是我们的成功”的理念,我们推出了IT 设备与系统配置管理的方案。本解决方案可以帮助您建立集中的自动化管理平台,实现对服务器,IT 系统,应用的统一操作和管理,有效的减低认为操作的失误,保姆式的监控和管理IT 系统的配置状况和对系统设备配置的非法操作,配置的合理性等多个方面。 它针对各种开放平台(Windows, AIX, HP-UX, SUSE, Redhat, Solaris 等),中间件,网络设
备,应用提供一站式的配置管理服务,实现完整生命周期的自动化管理。
2. 解决方案介绍
2.1业务目标
通过实施本方案,你可以从如下几个方面获得收益:
效率:提高你工作的效率,通过本方案的实施,您可以大大的节省平时设备管理员的日常工作。可以支持做日常的设备巡检,集中制定策略并批量配置设备,大大减轻运维的重复性工作,轻设备运维人员的压力,可以节省您在这部分人力投入的50%的工作量。
管理:规范了设备的管理方式。作为企业和组织的设备负责人,您能非常清晰的看到谁,什么时间,对您的那些设备和系统,做了哪些操作。和监控系统进行结合,可以整合分析有多少事故是由于我们对设备和系统的误操作造成的?另外,通过本系统可以对各种设备的配置做到强制策略执行,将领导和专家的规范,行业的先进管理经验贯彻下去。并定期做符合性的检查。
风险:当设备出现故障的时候,您可以很快的调用备用设备,直接导入以前的设备,使其快速的恢复到故障之前设备运行的状况。在设备进行配置的时候,通过HAC 做到细颗粒的权限控制,并对整个过程进行全面的审计。
2.2解决方案
本方案主要针对IT 系统,设备,应用系统,中间件等IT 基础单元的配置进行集中,智能管理的方案。方案不仅能对设备的配置过程进行精细化的控制与审计,实现细粒度的配置权限管理,而且还能维护设备配置的版本,比对不同版本的历史差异,实现配置操作的可管,可控。更能智能化的分析配置信息,分析配置的安全风险,对配置自动合规,发现非法修改配置,进行配置调优。还能批量维护设备等自动化的功能。使您的设备高效,安全的运行。如下图所示:
图 1 IT系统设备全生命周期配置管理方案
该方案将HAC 堡垒机,配置审计系统进行无缝的整合。有效的解决您对系统和设备配置管理上存在的困惑。每个产品各司其职,发挥自己的特长,又互联互通,紧密协作。他们共同结合,可以很完美的完成对整个设备和系统的配置的管理:
配置过程的管控
HAC 侧重与设备配置活动的管理,实现一个对设备进行配置的运维管理的操作平台,管理员对设备的操作过程都在HAC 的管控之下,给对整个操作的过程进行完整的审计。是一个面向配置过程的管理工具。
配置的分析:
配置审计侧重于配置的结果的分析与管理,对当前运行之中的配置信息进行详细的分析,并对不同时期设的配置变化进行详细的跟踪与追溯,并对每个时期的配置进行快照,以便
在必要的时候进行配置的修复,也供台分析管理对象配置变化的规律,配置的合规性,配
置的弱点和错误。在有了分析结果后,还可以结合知识库,给出改进的建议。
配置的自动化
随着IT 设备越来越多,很多管理员都管理大量的设备。有些配置其实大同小异,但由于没有一个集中统一的地方,管理员往往都是登录到每台设备上进行重复的配置。通过配置审计的自动化配置功能,可以一次配置多次使用。一来提高了配置的效率,而且也减少了出错的可能性。
非法配置变更的监控
配置审计系统能实时的监控配置的变化,并且和配置变更管理流程相结合。监控非法的配置的修改。
2.3方案亮点
统一强大的配置分析引擎。能全面分析配置错误,配置弱点,配置合规。并结合知识库,给出相关的配置设置建议。
丰富而细致的配置模板库。从服务器,应用系统,网络设备,数据库,中间件等对象到配置文件到具体的配置项,达到异常精确的控制能力 。
细粒度的基于角色访问控制:两权分立、三重授权,可以对配置文件及配置项进行分割的授权。
与流程平台紧密集成。
高精细粒度及高度可视化。
对配置操作的过程和结果相结合,进行全面,细致的管理。
图 2 整体监控配置
3. 典型应用案例
如下图所示:某单位中心机房通过专线连接到各分支机房,可以通过配置审计,直接管理分支机房的设备和数据库,操作系统的配置。其中分支机房1又作为DR 容灾机房。
在上配置审计设备之前,他们对整个网络中的设备和系统的配置是这样管理的:
1. 网络管理员小王每天通过脚本手动的备份配置到一台固定的机器上。
给每天不同的配置
保留成以当天时间为文件名的不同文件。并且将DR 机房中的设备和数据中心中的对应设备的配置做比对,然后签名确认是否有问题。光这项工作将花去小王2个小时的时间。至于这些设备参数的配置,只要不出故障,他从来不关心配置是否合理,是否存在安全问题。
2. 系统管理员小张,数据库管理员和王海做的情况大致也类似。每天重复性的检查着这些
配置。但他们的工作量要更大一些,因为数据库和应用的配置变更比网络设备来说要频繁得多。
3. 何总负责整个集团的系统运维。何总每天所看到是下属在工单系统上提交的关于系统维
护的申请,但并不真正的清楚系统的真是状况,配置是否高效,系统的稳定与否,是否还存在安全风险他并不是非常清楚。换句话说,他大致知道现在的状况,对还存在哪些隐患,他没有全面的了解。
后来,在该企业部署了两台配置审计设备,以HA 的方式运行。完成如下几份工作:
● 配置备份与非法变更监测:配置审计定期抓取全集团100台网络设备和安全设备,300
多台linux/windows/unix系统,50多台Oracle 数据库的配置。对配置的变更进行自动的侦测,并和以前的工单管理流程关联。每次的变更和工单对应上。预防了有人私自修改设备和系统的配置
● 集中管理设备和系统:对配置备份到配置审计设备上,进行统一的管理。控制配置审计
的权限,避免了敏感的配置信息外泄。以前的方式基本上是在管理员电脑中或者某台服务器上。
● 配置安全检查:对配置进行定期的安全检查,系统自动每天发送配置报表到何总邮箱,
让其了解目前设备的配置状况,变更历史与趋势,因何原因进行了变更。安全加固的状况。通过该报表,基本上何总对所有的设备和系统的更改情况,风险状况有一个全面的
了解。
● 配置合规一致性检查:通过配置审计的资产组,对DR 机房,HA 的设备的配置的一致
性做检查。保证了配置的一致性。对生产网络和测试网络中的对应系统进行一致性检查,提醒管理员配置的差异。
● 配置差异分析:当设备出现故障后,相关的管理员马上通过配置审计查看现有的设备的
配置和历史版本。并且通过配置审计的配置对比工具,做详细的分析。迅速的定位到故障源。
● 基线管理:网络管理员设置策略,将最近一次成功变更的配置作为基线,现在的配置自
动和基线进行比对。数据库管理员则根据集团的管理固定,将DB 的配置要求设置成策略放到配置审计中,定期检查各分支机构的DB 配置是否符合集团要求。
全局报表:监控和统计设备的变更次数,变更的频度,合规的程度,安全的风险。