本发明涉及云技术领域,尤其涉及一种私有云安全一体化运维平台。
背景技术
云计算环境下的设备规模化、系统多样化,决定了传统安全运维手段无法应付数量如此庞大、复杂程度如此之高的情况。
另外,云计算租户涉及多单位,改变了传统环境下基础设施为单一用户提供支撑的运营模式。基础设施和业务应用分属不同机构,势必造成彼此制约和协作之间的矛盾。
传统环境下,依靠人工检测基线,定期执行漏洞扫描,线下跟踪整改加固进度的方法,在云计算环境下很难取得良好效果。
技术实现要素:
(一)要解决的技术问题
为了解决现有技术的技术问题,本发明提供一种私有云安全一体化运维平台,包括采集接口层、数据储算层、核心功能层、服务提供层和管理子系统;采集接口层,位于底层,用于对安全日志进行采集并与数据储算层通信;数据储算层,位于采集接口层与核心功能层之间,用于通过与采集接口层通信获取数据,并通过与核心功能层通信向核心功能层通信提供数据;核心功能层,位于数据储算层与服务提供层之间,用于通过与数据储算层通信获取数据,并通过与服务提供层通信向服务提供层提供相应的功能;服务提供层,位于顶层,用于通过与核心功能层通信获取功能并基于获取的功能提供服务。通过采集接口层、数据储算层、核心功能层、服务提供层和管理子系统实现了云环境下的一体化运维。
(二)技术方案
为了达到上述目的,本发明采用的主要技术方案包括:
一种私有云安全一体化运维平台,所述平台,包括:采集接口层、数据储算层、核心功能层、服务提供层和管理子系统;
所述采集接口层,位于底层,用于对安全日志进行采集并与所述数据储算层通信;
所述采集接口层,包括采集与同步接口子系统,所述采集与同步接口子系统包括:数据加工/etl模块、采集接口、系统同步对接接口、数据源;
所述数据储算层,位于所述采集接口层与所述核心功能层之间,用于通过与所述采集接口层通信获取数据,并通过与所述核心功能层通信向所述核心功能层通信提供数据;
所述数据储算层,包括集中数据储算子平台,所述集中数据储算子平台包括公共数据共享与服务总线、hadoop集群和数据库集群;
所述核心功能层,位于所述数据储算层与所述服务提供层之间,用于通过与所述数据储算层通信获取数据,并通过与所述服务提供层通信向所述服务提供层提供相应的功能;
所述核心功能层,包括数据挖掘模块、审计分析模块、资产资源模块、数据安全模块、安全管控模块;
所述数据挖掘模块,包括智能运维分析引擎和数据交互式探索查询单元;
所述数据交互式探索查询单元与所述智能运维分析引擎通信;
所述审计分析模块,包括行为审计子系统和日志审计子系统;
所述资产资源模块,包括资产管理子系统和安全风险自动管理子系统;
所述资产管理子系统,包括资产资源管理单元和ip溯源引擎;
所述数据安全模块,包括数据安全子系统;
所述数据安全子系统,包括:统一数据抽取引擎和敏感数据模糊化引擎;
所述安全管控模块,包括私有云网关和网络流量智能调度;
所述服务提供层,位于顶层,用于通过与所述核心功能层通信获取功能并基于获取的功能提供服务;
所述服务提供层,包括统一门户子系统saas服务能力开放模块;
所述saas服务能力开放模块,包括私有云平台云安全服务与能力单元;
所述统一门户子系统,包括集中展现于功能视图单元、安全事件告警单元、综合服务响应流程单元、智能运维自动化流程单元;
所述安全事件告警单元与所述集中展现于功能视图单元通信;
所述安全事件告警单元与所述综合服务响应流程单元通信;
所述智能运维自动化流程单元与所述集中展现于功能视图单元通信;
所述智能运维自动化流程单元与所述综合服务响应流程单元通信;
所述综合服务响应流程单元与所述集中展现于功能视图单元通信;
所述管理子系统贯穿采集接口层、数据储算层、核心功能层和服务提供层;
所述管理子系统,包括审计策略模块、安全管控策略模块、配置管理模块、集中日志管理模块、标准化管理模块、账号管理模块、授权管理模块和认证管理模块。
可选地,所述数据源,包括配置管理数据库/it服务管理数据源、机房环境数据源、主机数据源、存储数据源、网络数据源、安全审计数据源、业务应用数据源、平台软件数据源。
可选地,所述hadoop集群和数据库集群之间相互通信;
所述hadoop集群通过所述公共数据共享与服务总线与所述核心功能层通信;
所述数据库集群通过所述公共数据共享与服务总线与所述核心功能层通信。
可选地,所述私有云网关,包括:闭环管理模块、服务能力开放模块、认证模块、账号模块、授权模块、审计模块、资产资源模块、日志集中采集与分析模块;
所述闭环管理模块,与办公流程工单管理连接,用于进行准入申请流程管理、综合告警感知管理、响应服务流程管理;
所述闭环管理模块,包括准入申请流程管理单元、综合告警感知管理单元,响应服务流程管理单元;
所述服务能力开放模块,与企业级私有云连接,用于进行运维单点登录认证、审计分析报表、工单响应流程管理、数据同步查询;
所述服务能力开放模块,包括运维单点登录认证单元、审计分析报表单元、工单响应流程管理单元、数据同步查询单元;
所述认证模块,与局方人员轻量目录访问协议ldap连接;
所述认证模块,与第三方人员ldap连接;
所述认证模块,用于进行单点登录sso统一认证;
所述认证模块,包括sso统一认证单元;
所述账号模块,与局方人员账户信息库连接;
所述账户模块,与第三方人员账户信息库连接;
所述账户模块,用于主账号管理、从账户管理和特权账户密码保险库管理;
所述账户模块,包括主账号管理单元、从账户管理单元和特征账户密码保险库;
所述授权模块,包括运维访问授权单元和特权账号授权单元;
所述审计模块,与配置管理数据库cmdb资产配置管理库连接;
所述审计模块,与ip城域网ipman地址管理库连接;
所述审计模块,与it终端全量管理库连接;
所述审计模块,与域控域名系统dns/动态主机配置协议dhcp连接;
所述审计模块,用于实时绕行审计、操作行为审计、数据脱敏审计和ip溯源;
所述审计模块,包括实时绕行审计单元、操作行为审计单元、数据脱敏审计单元和ip溯源引擎;
所述资产资源模块,与cmdb资产配置管理库连接,用于进行资产资源管理和资产自动发现;
所述资产资源模块,包括资产资源管理单元和资产自动发现单元;
所述日志集中采集与分析模块,用于异常行为分析、账号管理分析和安全风险感知分析;
所述日志集中采集与分析模块,包括异常行为分析单元、账号管理分析单元和安全风险感知单元。
可选地,所述账号模块通过主账号管理单元与局方人员账户信息库连接;
所述账号模块通过主账号管理单元与第三方人员账户信息库连接。
可选地,所述审计模块通过所述ip溯源引擎与cmdb资产配置管理库连接;
所述审计模块通过所述ip溯源引擎与ipman地址管理库连接;
所述审计模块通过所述ip溯源引擎与it终端全量管理库连接;
所述审计模块通过所述ip溯源引擎与域控dns/dhcp连接。
可选地,所述资产资源模块通过所述资产资源管理单元与cmdb资产配置管理库连接。
可选地,所述行为审计子系统,用于审计数据库运维操作异常行为、审计主机运维操作异常行为和审计网络运维操作异常行为;
所述行为审计子系统,包括数据库运维操作异常行为审计单元、主机运维操作异常行为审计单元和网络运维操作异常行为审计单元;
所述数据库运维操作异常行为审计单元,用于审计数据库运维操作异常行为;
所述数据库运维操作异常行为审计单元,包括系统管理审计策略子单元和业务使用审计策略子单元;
所述系统管理审计策略子单元,用于审计全局非法操作、审计管理员不合规操作、审计非管理员越权操作;
所述业务使用审计策略子单元,用于审计敏感表敏感字段异常访问行为;
所述主机运维操作异常行为审计单元,用于审计主机运维操作异常行为;所述主机运维操作异常行为包括主机运维操作的时间异常行为、主机运维操作的人员异常行为、主机运维操作的操作异常行为;
所述网络运维操作异常行为审计单元,用于审计网络运维操作异常行为;所述网络运维操作异常行为包括网络运维操作的时间异常行为、网络运维操作的人员异常行为、网络运维操作的操作异常行为。
可选地,所述数据储算层,还包括模型分析模块和存储计算模块;
所述模型分析模块位于公共数据共享与服务总线和所述存储计算模块之间,所述存储计算模块位于模型分析模块和hadoop集群以及数据库集群之间;
所述模型分析模块,用于异常行为分析、风险轨迹溯源、账户管理分析和安全风险感知;
所述模型分析模块,包括异常分析单元、分析轨迹溯源单元、账号管理分析单元、安全风险感知单元、数据挖掘引擎和机器学习引擎;
所述存储计算模块,用于数据标签、数据存储、数据稽核、分布式计算和流计算;
所述存储计算模块,包括数据标签单元、数据存储单元、数据稽核单元、分布式计算单元和流计算单元。
可选地,所述采集接口层,还包括数据汇聚交换、实时数据流采集和消息队列;
所述数据源,还包括安全网关操作日志和网络镜像数据采集引擎。
(三)有益效果
本发明的有益效果是:私有云安全一体化运维平台,包括采集接口层、数据储算层、核心功能层、服务提供层和管理子系统;采集接口层,位于底层,用于对安全日志进行采集并与数据储算层通信;数据储算层,位于采集接口层与核心功能层之间,用于通过与采集接口层通信获取数据,并通过与核心功能层通信向核心功能层通信提供数据;核心功能层,位于数据储算层与服务提供层之间,用于通过与数据储算层通信获取数据,并通过与服务提供层通信向服务提供层提供相应的功能;服务提供层,位于顶层,用于通过与核心功能层通信获取功能并基于获取的功能提供服务。通过采集接口层、数据储算层、核心功能层、服务提供层和管理子系统实现了云环境下的一体化运维。
附图说明
图1为本发明提供的一种私有云安全一体化运维平台的结构示意图;
图2为本发明提供的一种私有云网关的结构示意图;
图3为应用本发明提供的一种行为审计子系统的结构示意图。
具体实施方式
为了更好的解释本发明,以便于理解,下面结合附图,通过具体实施方式,对本发明作详细描述。
本发明提供一种私有云安全一体化运维平台,包括采集接口层、数据储算层、核心功能层、服务提供层和管理子系统;采集接口层,位于底层,用于对安全日志进行采集并与数据储算层通信;数据储算层,位于采集接口层与核心功能层之间,用于通过与采集接口层通信获取数据,并通过与核心功能层通信向核心功能层通信提供数据;核心功能层,位于数据储算层与服务提供层之间,用于通过与数据储算层通信获取数据,并通过与服务提供层通信向服务提供层提供相应的功能;服务提供层,位于顶层,用于通过与核心功能层通信获取功能并基于获取的功能提供服务。通过采集接口层、数据储算层、核心功能层、服务提供层和管理子系统实现了云环境下的一体化运维。
具体的,本发明提供的私有云安全一体化运维平台如图1所示,包括:采集接口层、数据储算层、核心功能层、服务提供层和管理子系统。
其中,
1、采集接口层
采集接口层,位于底层,用于对安全日志进行采集并与数据储算层通信。
采集接口层,包括采集与同步接口子系统,采集与同步接口子系统包括:数据加工/etl(extract-transform-load,抽取-交互转换-加载)模块、采集接口、系统同步对接接口、数据源。
数据源,包括配置管理数据库/it服务管理数据源、机房环境数据源、主机数据源、存储数据源、网络数据源、安全审计数据源、业务应用数据源、平台软件数据源。
其中,配置管理数据库,如cmd(configurationmanagementdatabase,配置管理数据库)。it服务管理数据源,如itsm(it服务管理系统)。
2、数据储算层
数据储算层,位于采集接口层与核心功能层之间,用于通过与采集接口层通信获取数据,并通过与核心功能层通信向核心功能层通信提供数据。
数据储算层,包括集中数据储算子平台,集中数据储算子平台包括公共数据共享与服务总线、hadoop集群和数据库集群。
hadoop集群和数据库集群之间相互通信。
hadoop集群通过公共数据共享与服务总线与核心功能层通信。
数据库集群通过公共数据共享与服务总线与核心功能层通信。
3、核心功能层
核心功能层,位于数据储算层与服务提供层之间,用于通过与数据储算层通信获取数据,并通过与服务提供层通信向服务提供层提供相应的功能。
核心功能层,包括数据挖掘模块、审计分析模块、资产资源模块、数据安全模块、安全管控模块。
数据挖掘模块,包括智能运维分析引擎和数据交互式探索查询单元。
数据交互式探索查询单元与智能运维分析引擎通信。
审计分析模块,包括行为审计子系统和日志审计子系统。
资产资源模块,包括资产管理子系统和安全风险自动管理子系统。
资产管理子系统,包括资产资源管理单元和ip溯源引擎。
数据安全模块,包括数据安全子系统。
数据安全子系统,包括:统一数据抽取引擎和敏感数据模糊化引擎。
安全管控模块,包括私有云网关和网络流量智能调度。
该核心功能层可以实现智能数据挖掘、审计分析、云资产资源、云数据安全和云安全管控等功能。
4、服务提供层
服务提供层,位于顶层,用于通过与核心功能层通信获取功能并基于获取的功能提供服务。
服务提供层,包括统一门户子系统和saas服务能力开放模块。
saas服务能力开放模块,包括私有云平台云安全服务与能力单元。
统一门户子系统,包括集中展现于功能视图单元、安全事件告警单元、综合服务响应流程单元、智能运维自动化流程单元。
安全事件告警单元与集中展现于功能视图单元通信。
安全事件告警单元与综合服务响应流程单元通信。
智能运维自动化流程单元与集中展现于功能视图单元通信。
智能运维自动化流程单元与综合服务响应流程单元通信。
综合服务响应流程单元与集中展现于功能视图单元通信。
该服务提供层可以实现安全事件告警功能、运维自动化流程、综合响应服务、全网安全信息集中展现功能、统一门户及安全服务功能开放等。
5、管理子系统
管理子系统贯穿采集接口层、数据储算层、核心功能层和服务提供层。
管理子系统,包括审计策略模块、安全管控策略模块、配置管理模块、集中日志管理模块、标准化管理模块、账号管理模块、授权管理模块和认证管理模块。
其中,参见图2,核心功能层的私有云网关,包括:闭环管理模块、服务能力开放模块、认证模块、账号模块、授权模块、审计模块、资产资源模块、日志集中采集与分析模块。
闭环管理模块,与办公流程工单管理连接,用于进行准入申请流程管理、综合告警感知管理、响应服务流程管理。
闭环管理模块,包括准入申请流程管理单元、综合告警感知管理单元,响应服务流程管理单元。
服务能力开放模块,与企业级私有云连接,用于进行运维单点登录认证、审计分析报表、工单响应流程管理、数据同步查询。
服务能力开放模块,包括运维单点登录认证单元、审计分析报表单元、工单响应流程管理单元、数据同步查询单元。
认证模块,与局方人员ldap(lightweightdirectoryaccessprotocol,轻量目录访问协议)连接;
认证模块,与第三方人员ldap连接;
认证模块,用于进行sso(singlesignon,单点登录)统一认证;
认证模块,包括sso统一认证单元;
账号模块,与局方人员账户信息库连接;
账户模块,与第三方人员账户信息库连接;
账户模块,用于主账号管理、从账户管理和特权账户密码保险库管理;
账户模块,包括主账号管理单元、从账户管理单元和特征账户密码保险库;
授权模块,包括运维访问授权单元和特权账号授权单元;
审计模块,与cmdb(configurationmanagementdatabase,配置管理数据库)资产配置管理库连接;
审计模块,与ipman(ip城域网)地址管理库连接;
审计模块,与it终端全量管理库连接;
审计模块,与域控dns(domainnamesystem,域名系统)/dhcp(dynamichostconfigurationprotocol,动态主机配置协议)连接;
审计模块,用于实时绕行审计、操作行为审计、数据脱敏审计和ip溯源;
审计模块,包括实时绕行审计单元、操作行为审计单元、数据脱敏审计单元和ip溯源引擎;
资产资源模块,与cmdb资产配置管理库连接,用于进行资产资源管理和资产自动发现;
资产资源模块,包括资产资源管理单元和资产自动发现单元;
日志集中采集与分析模块,用于异常行为分析、账号管理分析和安全风险感知分析;
日志集中采集与分析模块,包括异常行为分析单元、账号管理分析单元和安全风险感知单元。
其中,账号模块通过主账号管理单元与局方人员账户信息库连接;
账号模块通过主账号管理单元与第三方人员账户信息库连接。
其中,审计模块通过ip溯源引擎与cmdb资产配置管理库连接;
审计模块通过ip溯源引擎与ipman地址管理库连接;
审计模块通过ip溯源引擎与it终端全量管理库连接;
审计模块通过ip溯源引擎与域控dns/dhcp连接。
其中,资产资源模块通过资产资源管理单元与cmdb资产配置管理库连接。
图2所示的私有云网关,可以基于协议正向代理实现,对ssh、windows远程桌面、sftp等常见运维协议的数据流进行全程记录,再通过协议数据流重组的方式进行录像回放。
在优化升级传统4a网关功能的基础上,借助大数据技术,实现异常行为审计、账号管理分析、特权账号密码管理与权限控制、实时绕行审计与精准溯源、安全准入与风险响应流程闭环管理等技术创新功能。
实现集中化、基于角色的运维主从账号及角色属性级别的细粒度权限分配和管理。实现集中化的身份认证和访问入口。根据安全运维需要选择不同的身份认证方式,增加强身份认证手段,最终实现认证手段和应用的相对隔离和灵活使用。实现集中访问授权,基于集中管控安全策略的访问控制和角色的授权管理,建立完善的资源对自然人的授权管理。
另外,图3所示的行为审计子系统,用于审计数据库运维操作异常行为、审计主机运维操作异常行为和审计网络运维操作异常行为;
行为审计子系统,包括数据库运维操作异常行为审计单元、主机运维操作异常行为审计单元和网络运维操作异常行为审计单元;
数据库运维操作异常行为审计单元,用于审计数据库运维操作异常行为;
数据库运维操作异常行为审计单元,包括系统管理审计策略子单元和业务使用审计策略子单元;
系统管理审计策略子单元,用于审计全局非法操作、审计管理员不合规操作、审计非管理员越权操作;
业务使用审计策略子单元,用于审计敏感表敏感字段异常访问行为;
主机运维操作异常行为审计单元,用于审计主机运维操作异常行为;主机运维操作异常行为包括主机运维操作的时间异常行为、主机运维操作的人员异常行为、主机运维操作的操作异常行为;
网络运维操作异常行为审计单元,用于审计网络运维操作异常行为;网络运维操作异常行为包括网络运维操作的时间异常行为、网络运维操作的人员异常行为、网络运维操作的操作异常行为。
为了实现行为审计子系统的功能,相应的数据储算层,还包括模型分析模块和存储计算模块;
模型分析模块位于公共数据共享与服务总线和存储计算模块之间,存储计算模块位于模型分析模块和hadoop集群以及数据库集群之间;
模型分析模块,用于异常行为分析、风险轨迹溯源、账户管理分析和安全风险感知;
模型分析模块,包括异常分析单元、分析轨迹溯源单元、账号管理分析单元、安全风险感知单元、数据挖掘引擎和机器学习引擎;
存储计算模块,用于数据标签、数据存储、数据稽核、分布式计算和流计算;
存储计算模块,包括数据标签单元、数据存储单元、数据稽核单元、分布式计算单元和流计算单元。
为了实现行为审计子系统的功能,相应的采集接口层,还包括数据汇聚交换、实时数据流采集和消息队列(图3中未示出与图1中相同的模块);
为了实现行为审计子系统的功能,相应的数据源,还包括安全网关操作日志和网络镜像数据采集引擎(图3中未示出与图1中相同的模块)。
图3所示的行为审计子系统,可以实现对私有云安全网关进行用户行为日志采集,对网络访问流量进行实时镜像,通过综合关联分析技术与大数据算法分析模型,并结合数据资产配置信息与用户行为特征画像,分析并判定异常用户行为,探测与感知私有云资产与数据安全风险。利用云安全风险智能处置与防护引擎,根据既定的安全防护策略,在私有云安全网关上分别对用户的异常行为进行审计、告警或智能阻断,对敏感数据进行智能模糊化处理等。
通过对全量操作日志的关联分析与行为审计,实现对异常行为、网络渗透、安全威胁的监测、精准识别和预警。可以提供:
基于资产的关联分析:与相关资产的敏感性以及相关资产上的漏洞进行关联,判断安全事件造成不良影响的程度。
基于统计的关联分析:对时间、人员、敏感操作等类别的事件设定阀值,将出现的事件进行缓存和计数,当在某一段时间内,计数达到该阀值,可以产生一个级别更高的安全事件。
基于规则的关联分析:1、可视化编辑器自定义关联性规则;2、根据安全事件发生的因果关系,进行逻辑上关联分析,支持逻辑的比较和嵌套;3、支持前一规则输出作为后一规则的输入,以及规则之间的并集和交集处理。
人员行为轨迹画像:通过基于人员的安全要素信息捕获,借鉴“大数据”的思维模式,对相关网元日志进行深层的价值挖掘,形成人员行为轨迹与资产安全态势画像。
另外,本发明提供的私有云安全一体化运维平台,还可以进行联动交付。如私有云租户通过在云平台提交资产创建申请单与资源相关使用人,以电子化流程方式自动在云网关进行资产建账及资产权限创建,最终以电子化流程单的形式反馈与用户安全应用创建情况。在私有云平台上,用户可在资产交付页面上直接看到相关资源单点登录按钮。
另外,本发明提供的私有云安全一体化运维平台,还可以进行精准溯源。如基于网络ip规划物理信息,与云资产、终端使用信息和外部互联网实用信息,快速对已发生的安全事件进行源ip和目标ip进行物理信息与实用信息的精准翻译,帮助安全运维管理员进行快速定位事发目标及事件引发来源。
ip溯源引擎:ip资源可视化管理,实现精准安全管控。
ip溯源引擎通过cmdb、it终端全量管理系统、ipman地址管理系统、dhcp以及ad(activedirectory)域控等的信息联动处理,实现了ip资源可视化管理和安全风险的精准溯源功能。
作为独立模块,提供web访问接口,向私有云内部各个功能模块与外部系统提供查询调用服务,是具有企业特色的it资源信息溯源引擎。
另外,本发明提供的私有云安全一体化运维平台,还可以进行一键处置。如将原有手动运维进行模板工具化,根据安全事件发生类型自动选择运维工具以消息的方式推送至管理员是否需要进行安全告警处置工作。例如:来自于互联网的waf(webapplicationfirewall,网站应用级入侵防御系统)攻击事件,已至事件类型为waf属于网络管理员处理范畴,自动选择基于网络攻击封网工具推送至网络管理员,当网络管理员同意处置此事件时,系统自动获取事件源ip和目标ip传入封网工具实施自动封网。
该私有云安全一体化运维平台可以基于实际平台安全运维需求,在快速精准溯源的基础上,配合以工具化、流程化的一键处置流程,有效提升风险处置响应速度,降低安全运维工作强度。
另外,本发明提供的私有云安全一体化运维平台,还可以进行自动化云安全风险扫描。如针对海量云虚拟资产,通过智能云安全风险自动管理子系统,实现日常安全运维工作中系统安全基线检查、安全漏洞扫描、弱口令检验、木马查杀、异常端口排查、异常行为判定与处理等工作进行自动化调度处理,提升安全风险的自动核查与安全风险生命周期的管理能力,实现私有云安全风险管理工作的可视、可管、可控。推动日常安全运维工作技术和管理有效的结合和落地。
另外,本发明提供的私有云安全一体化运维平台,还可以进行云安全运维全生命周期的闭环管理。如将动态感知和检测引擎发现的用户异常行为、攻击威胁等安全事件,纳入响应服务流程引擎进行统一管理。实现从风险识别、事件告警、自动分发、响应处置、确认回复等环节的安全事件响应工作。
对安全基线检查、安全漏洞扫描、弱口令检验、webshell木马查杀、异常端口排查等安全运维工作进行手工或自动调度。并与cmdb和人员职责矩阵进行关联,闭环实现风险归类、等级划分、专业识别、工单分发、加固处置、复测确认等安全运维工作。打造自动流程引擎,具体包括:
1)安全事件和扫漏洞或风险触发安全风险管控流程引擎形成工单实例;
2)引擎通过子工单拆分规则,关联cmdb中的业务系统与人员专业线职责,形成子工单自动派发;
3)各部门管理员对工单进行认领和处置;
4)安全管理员对已完成安全工单和事件进行复核确认;
另外,本发明提供的私有云安全一体化运维平台,还可以进行特权账号密码管理与高权限控制。如提供统一集中的帐号管理,支持管理的资源包括主流的操作系统、网络设备和应用系统;不仅能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能,而且通过账号管理工单流程自动将云资产账号同步至特权账号密码库,以便于云资产账号可遵循资源账号安全管理办法进行纳管。
通过在私有云安全一体化运维平台上部署管控流程,获得对关键系统特权账号的掌控权,实现无密码明文传输,不存在密码泄漏风险。管理员权限主从账号基于审核结果临时建立授权,用完回收,从而对生产资源管理员权限进行有效的管控:
1)工单申请特权访问:运维人员填写并发起特权账号访问申请,管理人员审批后进行特权账号赋权。
2)特权账号赋权:在智能安全网关上对申请主账户与被申请从账户特权账号进行临时授权访问操作,在时间逾期或工单状态确认完成后删除临时授权访问关联。
3)密码查询:提供接口,供系统管理员查询指定目标资源的管理员账号密码。
4)密码转存:特权账号密码修改同步保存,在保险库失效时,可紧急支撑。
5)任务调度:可在配置触发密码修改的任务调度,设置特权账号的修改策略、回收特权账号密码,满足安全管理规范中对密码复杂度及修改周期的要求。
本发明提供的私有云安全一体化运维平台,包括采集接口层、数据储算层、核心功能层、服务提供层和管理子系统;采集接口层,位于底层,用于对安全日志进行采集并与数据储算层通信;数据储算层,位于采集接口层与核心功能层之间,用于通过与采集接口层通信获取数据,并通过与核心功能层通信向核心功能层通信提供数据;核心功能层,位于数据储算层与服务提供层之间,用于通过与数据储算层通信获取数据,并通过与服务提供层通信向服务提供层提供相应的功能;服务提供层,位于顶层,用于通过与核心功能层通信获取功能并基于获取的功能提供服务。通过采集接口层、数据储算层、核心功能层、服务提供层和管理子系统实现了云环境下的一体化运维。
需要明确的是,本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本发明的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本发明的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
还需要说明的是,本发明中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本发明不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
最后应说明的是:以上所述的各实施例仅用于说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述实施例所记载的技术方案进行修改,或者对其中部分或全部技术特征进行等同替换;而这些修改或替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。