近日，多地疫情出現(xiàn)嚴(yán)峻形勢，居家遠(yuǎn)程辦公、遠(yuǎn)程運(yùn)維需求再達(dá)頂峰。然而，身份冒用、信息泄露、病毒感染、鏈路入侵等基礎(chǔ)網(wǎng)絡(luò)安全問題，不但給遠(yuǎn)程辦公安全帶來挑戰(zhàn)，更給遠(yuǎn)程運(yùn)維提出了更艱巨的任務(wù)。針對安全能力全面提升的緊迫需求，亞信安全信磐堡壘機(jī)AISIFORT（簡稱堡壘機(jī)）V4.0.3正式發(fā)布，并新增主機(jī)防繞行、安全網(wǎng)盤、零信任遠(yuǎn)程運(yùn)維三大應(yīng)用場景，資產(chǎn)帳號(hào)管理等七項(xiàng)功能特性。

疫情反復(fù)，堡壘機(jī)面臨新任務(wù)

運(yùn)維操作過程是導(dǎo)致安全事件頻發(fā)的主要環(huán)節(jié)之一，雖然防火墻、防病毒、入侵檢測系統(tǒng)等常規(guī)的安全產(chǎn)品可以解決一部分安全問題，但對于運(yùn)維人員的違規(guī)操作行為卻無能為力。因此，確保運(yùn)維管理的安全性，消除事前身份授權(quán)不清晰，事中操作不透明、過程不可控，事后結(jié)果無法審計(jì)、責(zé)任不明確等問題的一系列新需求，進(jìn)一步推動(dòng)了堡壘機(jī)技術(shù)的持續(xù)創(chuàng)新。

其次，疫情之下遠(yuǎn)程辦公和遠(yuǎn)程運(yùn)維等使得數(shù)字資產(chǎn)暴露面激增，主機(jī)、IP、網(wǎng)站、公眾號(hào)、小程序、源代碼、數(shù)據(jù)等資產(chǎn)，都可能因?yàn)槁┒础⑷蹩诹?、敏感端口、?shù)據(jù)泄露等安全隱患信息形成新風(fēng)險(xiǎn)。如何能夠?qū)π律暇€的主機(jī)系統(tǒng)提供保護(hù)？如何確保遠(yuǎn)程運(yùn)維和文件不會(huì)成為感染病毒的載體？這些問題都對堡壘機(jī)的應(yīng)用提出了更高要求。

新增三大應(yīng)用場景

針對市場需求升級(jí)，最新版本(V4.0.3)的亞信安全堡壘機(jī)增加了“主機(jī)防繞行、安全網(wǎng)盤、零信任遠(yuǎn)程運(yùn)維”三大應(yīng)用場景，進(jìn)一步提高IT運(yùn)維能力和工作效率，全面強(qiáng)化了企業(yè)數(shù)字化業(yè)務(wù)的安全訪問能力。

主機(jī)防繞行

新上線主機(jī)在未加固之前，普遍存在弱密碼、惡意訪問等行為，同時(shí)大量的后臺(tái)訪問、跳轉(zhuǎn)訪問行導(dǎo)致整個(gè)運(yùn)維過程無法管控與審計(jì)，帶來安全隱患。亞信安全信磐堡壘機(jī)的主機(jī)防繞行場景可以通過資產(chǎn)掃描，發(fā)現(xiàn)內(nèi)部未納管資產(chǎn)，通過一鍵下發(fā)防繞行Agent，將資產(chǎn)的登錄進(jìn)行管控，對未授權(quán)登錄、異常IP訪問進(jìn)行攔截告警，對敏感資產(chǎn)的訪問進(jìn)行二次認(rèn)證，解決了因直連和內(nèi)部跳轉(zhuǎn)等導(dǎo)致的安全隱患。

圖：堡壘機(jī)主機(jī)防繞行場景

安全網(wǎng)盤

由于遠(yuǎn)程運(yùn)維的人員和終端環(huán)境無法控制，一旦出現(xiàn)病毒，就可能通過運(yùn)維入口傳到數(shù)據(jù)中心，造成內(nèi)網(wǎng)服務(wù)器中毒。因此，針對運(yùn)維人員及遠(yuǎn)程運(yùn)維，需要關(guān)閉文件傳輸通道，并通過堡壘機(jī)開通安全網(wǎng)盤，將運(yùn)維文件先傳入網(wǎng)盤，并對上傳文件檢測木馬、勒索、挖礦等病毒，這可有效防止病毒文件擴(kuò)散的風(fēng)險(xiǎn)。

圖：通過網(wǎng)盤與防毒引擎集成阻斷病毒感染途徑

零信任遠(yuǎn)程運(yùn)維

在愈加復(fù)雜的網(wǎng)絡(luò)環(huán)境下，遠(yuǎn)程運(yùn)維更需要從“零”做起。為此，亞信安全采用堡壘機(jī)與零信任SDP深度聯(lián)動(dòng)，通過帳號(hào)認(rèn)證及訪問策略集中配置，在SDP登錄時(shí)只允許堡壘訪問，限制越權(quán)訪問行為等機(jī)制，既滿足身份認(rèn)證集中管理與審計(jì)的統(tǒng)一，更可發(fā)揮堡壘機(jī)主機(jī)防繞行、安全網(wǎng)盤模塊，打造出 “更安全”、“更高效”的運(yùn)維安全管理平臺(tái)。

新增七大功能特性

亞信安全堡壘機(jī)采用4A管理模型，是對IT運(yùn)維操作進(jìn)行訪問控制和行為審計(jì)的合規(guī)性管控系統(tǒng)，不僅廣泛應(yīng)用在各個(gè)行業(yè)，更是用戶實(shí)現(xiàn)“等保”合規(guī)工作的高效平臺(tái)。在這一版本中，亞信安全信磐堡壘機(jī)新增七大功能如下：

資產(chǎn)帳號(hào)管理

創(chuàng)建帳號(hào)、修改密碼實(shí)時(shí)推送至目標(biāo)主機(jī)，通過頁面方式簡化運(yùn)維操作。

用戶認(rèn)證

提供Oauth2.0、JWT標(biāo)準(zhǔn)協(xié)議與第三方統(tǒng)一身份認(rèn)證系統(tǒng)(IAM)對接；新增USBKEY認(rèn)證方式，支持北京CA證書。

自動(dòng)改密

新增網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫自動(dòng)改密，實(shí)現(xiàn)所有資產(chǎn)類型的自動(dòng)改密功能。

密鑰管理

全面支持SSH密鑰下發(fā)，實(shí)現(xiàn)免密登錄，防止明文密碼泄露風(fēng)險(xiǎn)。

資產(chǎn)巡檢

提供資產(chǎn)發(fā)現(xiàn)、賬號(hào)收集、賬號(hào)稽核的資產(chǎn)巡檢任務(wù)類型。

應(yīng)用水印

支持應(yīng)用發(fā)布水印，包含用戶及操作時(shí)間，防止數(shù)據(jù)泄露風(fēng)險(xiǎn)。

工具適配

新增C/S資產(chǎn)類型，適配Vmware客戶端與Web頁面登錄；支持mobaXterm運(yùn)維工具。

持續(xù)推動(dòng)的堡壘機(jī)技術(shù)發(fā)展

5G、物聯(lián)網(wǎng)、人工智能快速發(fā)展，IT網(wǎng)絡(luò)環(huán)境愈加復(fù)雜，新的安全風(fēng)險(xiǎn)隨之而來。亞信安全是國內(nèi)較早從事自主研發(fā)堡壘機(jī)的安全廠商，基于多年來對安全運(yùn)維、合規(guī)審計(jì)的深入研究，亞信安全在持續(xù)豐富堡壘機(jī)功能的同時(shí)，還將會(huì)陸續(xù)推出聯(lián)動(dòng)其他產(chǎn)品的創(chuàng)新技術(shù)解決方案，為助力國家抗擊疫情，為政企、醫(yī)療、教育、軍工、能源等各行業(yè)的數(shù)字化轉(zhuǎn)型提供可以信賴的安全保障。