堡垒机的工作原理主要是阻断网络和服务器设备对数据库的直接访问。通过协议代理的方式,对所有的方案和操作行为进行分析和过滤 ,从而保证 了可信的数据访问和操作被放行 ,不可信或被怀疑的攻击行为将被过滤和拦截。
堡垒机的主要功能包括两个大的方面 ,即:核心系统运维和安全审计管控。
核心系统运维即类似于防火墙的角色 ,所有的操作和访问将被堡垒机所监控和过滤 ,对不合法的命令进行阻断,对目标设备的非法访问将被过滤 ,同时对所有的操作和访问行为进行记录 ,以备故障发生后的行为追责。其主要功能包括 :单点登录、账号管理、身份认证。.
单点登录 :当用户需要登录到一个大型的业务系统时 ,只要在一个门户系统中输入用户名和密码 ,即可无需验证的登录到别的与此系统相互信任的业务系统。而此功能在堡垒机中
的体现即对于堡垒机的各个业务系统以及所有堡垒机管控的数据库系统,用户只要在单点登录系统中登录一次 ,就可以等同于登录全部系统的工作 ,而无需记录众多系统的登录密码 ,大大减轻了使用者的工作压力。
账号管理:基于单点登录功能,对所有使用者的账号在生命周期内进行统一监控。可以基于角色的设定每个使用者账号的功能和权限。
身份认证 :基于单点登录功能,提供统一的身份认证功能接口。支持多重模式(动态口令 ,静态密钥,硬件密钥 ,生物特征识别等)的验证方式。并且可以通过接口与第三方认证设备
进行对接,具有很高的安全性和可靠性。
安全审计管控主要是指所有对于数据库的操作需要登录堡垒机来进行 。通过用户名密码等手段提升安全等级。通过后台对登录用户的行为记录从而保证风险可控以及事后溯源。其主要功能包括 :资源授权 、访问控制、操作审计等。
资源授权 :是指对堡垒机所管辖的资源按照用户、目标设备、时间、协议类型、IP行为等要素实现精细化的操作授权 ,从而达到最大限度保护用户资源安全的目的。
访问控制 :作为堡垒机的核心功能 ,能够按照资源授权的定义,对所有登录用户的操作进行控制。不同的用户按照设定只可以对获得授权的资源进行访问和操控。能够有效的杜绝
非法访问,越权访问等事件的发生 ,从而最大限度的保护用户资源的安全性。
操作审计:即对堡垒机 管控设备的操作进行审计,通过对登录设备录像、图画审计、会话审计等方式将余位人员对操作系统、安全设备、网络设备、数据库等所作的操作进行记录,从而进行风险管控,通过具体的操作指令搜索,完成精准定位。