提高運維管理效率和安全性

當今企業(yè)業(yè)務(wù)迅速發(fā)展，企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)模也隨之不斷擴大，網(wǎng)絡(luò)中有大量的服務(wù)器、交換機、安全設(shè)備和系統(tǒng)需要進行日常的運維管理，而“用戶名+口令”是一種比較常見的身份認證方式。

隨著運維設(shè)備和系統(tǒng)數(shù)量的逐漸增多，特別是當數(shù)量增加到成百上千時，管理員經(jīng)常需要在多個設(shè)備和系統(tǒng)之間切換，每次切換都需要輸入用戶名和口令進行登錄，給工作帶來不便，影響工作效率。為了方便記憶，管理員所采用較簡單的口令或?qū)⒍鄠€設(shè)備和系統(tǒng)設(shè)置成相同口令，將有可能遭受口令猜測等惡意攻擊，存在安全風險。

采用“USB Key+口令“的雙因子登錄方式，可以增強身份認證的安全性。但是，往往現(xiàn)有的雙因子身份認證產(chǎn)品，對服務(wù)器、交換機等設(shè)備存在兼容性問題，或者根本不支持服務(wù)器、交換機等設(shè)備運行環(huán)境。所以，采用“運維堡壘主機+雙因子”的身份認證方式，既可以提高運維管理效率，又能夠提高身份認證的安全性。

運維堡壘主機用于企業(yè)內(nèi)部網(wǎng)絡(luò)單點登錄的主機應(yīng)用系統(tǒng)，提供身份認證、權(quán)限劃分、安全審計等功能。管理員在運維管理過程中，首先要統(tǒng)一登錄到運維堡壘主機上，然后從運維堡壘主機再登錄到目標設(shè)備或系統(tǒng)進行日常操作。

CA集成

當然，傳統(tǒng)意義上的運維堡壘主機實現(xiàn)的單點登錄功能，依然采用“用戶名+口令”的身份認證方式，還需要進一步將運維堡壘主機與CA系統(tǒng)進行集成，將原有運維堡壘主機上的身份認證交由CA系統(tǒng)完成，從而實現(xiàn)“USB Key+口令”的雙因子身份認證方式。

主要認證過程包括：

1.管理員通過認證端口向運維堡壘主機發(fā)送HTTPS請求，進入證書認證登錄界面。登錄界面加載時，調(diào)用接口程序，通過控件讀取證書信息。

2.管理員使用USB Key并輸入口令，此時通過接口程序?qū)诹钸M行驗證。若口令正確，則出現(xiàn)證書選擇窗口。

3.管理員選擇證書并登錄運維堡壘主機，此時通過接口程序讀取證書中的帳戶信息。

瀏覽器代理

通過運維堡壘主機登錄并管理目標設(shè)備，本質(zhì)上都是采用SSH等命令行工具或Windows遠程桌面的連接方式實現(xiàn)，對于需要通過瀏覽器頁面直接進行登錄并管理的情況，如：郵件系統(tǒng)配置頁面，應(yīng)部署瀏覽器代理服務(wù)器，補充現(xiàn)有的連接方式，提供IE等瀏覽器的代理服務(wù)，從而覆蓋運維管理工作中的所有連接方式，所有運維管理工作都集中通過運維堡壘主機進行，避免游離在運維堡壘主機之外的“失控”情況出現(xiàn)。

雙機

所有運維管理工作都集中通過運維堡壘主機進行，這就意味著可能出現(xiàn)單點故障，存在運行風險。所以十分有必要將運維堡壘主機部署為雙機熱備，可根據(jù)運維管理規(guī)模，選擇采用主-備切換方式或雙主機切換方式。

這樣，一旦單臺運維堡壘主機出現(xiàn)運行故障，另一臺運維堡壘主機能夠自動接管，繼續(xù)提供服務(wù)，確保連續(xù)性和可用性。

應(yīng)用效果

PC服務(wù)器、小機、安全設(shè)備、交換機、業(yè)務(wù)應(yīng)用等設(shè)備和系統(tǒng)均可以通過運維堡壘主機，實現(xiàn)單點登錄，免去多個設(shè)備和系統(tǒng)之間繁瑣的切換登錄，簡化運維管理工作，提高工作效率；通過與CA系統(tǒng)的集成，實現(xiàn)“USB Key+口令”的“雙因子”認證登錄，防范弱口令猜測等安全風險，明顯提高運維管理身份認證的安全性。