多设备多网络环境下,企业如何做好网络互通的运维安全管理

原创 baoleiji  2021-01-25 10:00  阅读 39 次 评论 0 条
行云管家,新手有礼
摘要:

多设备多网络环境下,企业如何做好网络互通的运维安全管理?由行云管家门户和行云管家Proxy技术、会话中转服务组成的解决方案,安全高效并简洁,值得实践。

1946年,美国宾夕法尼亚大学研制了人类历史上真正意义的第一台电子计算机,1969年基于TCP/IP协议,美国军队成功将4所大学的计算机进行了连接,初代互联网由此诞生。

而随后,计算机和互联网从军用、商用领域再到千家万户,形色各异的应用程序或软件系统喷涌而出,支持各类网络设备的操作系统也此起彼伏,在这样的环境下,许多软件系统都提供跨网络和系统的应用,但在跨网络和系统应用时,考虑到系统安全和性能因素,作为系统开发者并不希望用户直接访问系统中的对象,这时候开发人员想到了在客户端和系统端添加一层中间层——代理层。

Proxy代理技术由此而来,根据维基百科解释,代理(英语:Proxy),也称网络代理,是一种特殊的网络服务,允许一个网络终端(一般为客户端)通过这个服务与另一个网络终端(一般为服务器)进行非直接的连接,如果把传输信息看作一个包裹,那么Proxy(代理)可以看作是一个快递员,负责将你的包裹送达到收件人。

具体而言,代理服务器一般可以分为正向代理反向代理

正向代理,是从客户/客户端角度出发,即为了从原始服务器中取得内容,由客户端向代理服务器发出请求,并指定目标访问服务器,而后,代理(服务器)向目标服务器转交需求,并将获得的内容返回给客户端。在正向代理过程中隐藏了真实请求的客户端,即服务端不知道正式请求客户是谁。

反向代理一般是从服务端出发,从网络或者客户(端)向反向代理提出请求,反向代理服务器收到需求后判断请求走向何处,然后再将结果反馈给客户端。同样的,在反向代理过程中,内部服务器的信息也被隐藏。

在商用领域,代理服务通常应用在两大应用场景之下:提高访问速度和隐藏真实IP免受攻击。相对直接暴露客户端的IP,通过代理服务传输信息的方式有利于保障网络终端的隐私或安全,防止攻击。当然,对于企业来说,信息安全至关重要,所以保障企业网络信息传输过程中的数据安全,避免被攻击或渗透是一堂必修课,是需要优先考虑的。

1.传统运维场景

据统计70%的安全事故来自企业内部运维管理不善导致,在传统的运维场景里,为了保障企业IT资产和业务系统的安全,企业的IT资产如主机、数据库、应用等,通常被置于一个单独的、外界不可访问的网络之中,这些场景很常见,例如:

某银行运维场景:

将业务系统部署于公司各分部机房中,业务系统涉及的主机、数据库、中间件等资源位于一个独立的网络中,通过网络防火墙等手段,使得外界(包括公司的办公网)仅能访问业务系统本身(如:仅能以web方式访问业务应用本身),而无法以RDP、SSH或VNC等方式直接访问主机操作系统、无法直接连接数据库。

由于地理因素、网络环境、安全规范的限制,在发生突发IT故障时,银行各部门只能以各自集结点为主进行处置,难以统一集中、第一时间远程协同接入业务环境开展应急处置工作。

某市气象局运维场景:

将业务系统部署于公有云中,核心业务系统运行在高性能计算机以及常规的存储服务、网络通信设施等组成的本地气象私有云上,对外公众气象业务运行在阿里云、华为云等公有云上,公有云业务系统涉及的主机等资源无公网IP,并被划入了一个单独的VPC内,外界仅能通过特定的通路(如:通过安全组控制仅允许访问某公网IP的特定端口)访问业务系统本身(如:仅能通过指定协议调用业务系统的业务接口),而不允许直接登录云主机的远程桌面。

因此形成了气象私有云和公有云共存的混合架构,资源异构性和复杂性不断增加。不同类型的IT设备部署于一个数据中心和五个观测基地,地理位置分散。而公、私有云平台之间存在业务数据对接,运维困难。

为了对这些业务系统涉及的IT资源进行运维、能够访问相关主机的远程桌面,通常需要在业务系统所在网络中部署一台或多台既能够访问业务系统所在网络内的IT资源、又能够被外界访问到的主机作为跳板(以下简称跳板机),外界通过跳板机来访问业务系统网络内的相关主机、数据库等资源,从而对业务系统进行运维。

分析以上传统运维场景,不难发现:

1、业务系统允许环境所涉及的IT资源是多样的,包括Windows(server)及Linux等不同的操作系统、各种NoSQL或关系型数据库、各种中间件。

2、业务系统及其数据分散在不同的云资源中,有高性能、常规存储服务的本地私有云,也有各家云厂商提供的公有云,并且还是多云情况。

3、业务系统所在网络和运维人员所在的网络相互隔离,运维人员无法直接访问业务系统相关的资源。

按照传统的运维手段,我们可能会这样去运维这些业务系统:

1、要同时运维多样的IT资源,必须同时具备多样的客户端工具(mstsc、PuTTY、WinSCP、Navicat、MySQLWorkbench等),显而易见,我们需要使用Windows操作系统的跳板机,方能满足同时部署如此多样的客户端的需求。

2、为了满足并发运维的需求,要求跳板机允许多连接(同时打开多个远程桌面),并满足同时开启多个运维客户端工具实例的需求,这样一来,跳板机就需要具备相对较高的计算资源配置。

3、对于一些重要、关键的业务系统,其配套的运维通道也必须有高可用保障,部署多台跳板机以避免跳板机单点故障,则是保障运维通道高可用、保持畅通的必要手段。

4、跳板机作为业务系统所在网络的运维入口,其需要具有运维人员可连接的IP,当业务系统部署于公有云中时,这个跳板机IP就是一个公网IP。

5、跳板机中部署了业务系统运维所需的各种客户端工具,跳板机本身也需要运维,甚至会带来不小的运维工作量。

2.行云管家Proxy介绍及其应用

可以看到的是,多设备、多网络、多应用环境下,传统的运维手段对于当今云计算时代的运维工作而言,效率并不高,繁杂甚至重复的运维工作状态很容易让工作出现纰漏,并由此引发一系列的运维安全事故。

日常普遍的运维场景中,为了保证客户端与服务器之间的数据通讯安全,采用了跳板机的方式去承载和中转信息,这样的作法无疑又加大了运维的工作量,得不偿失,在云管领域深耕多年的行云管家,提供了一种更为安全、可靠、便捷的解决方案——行云管家Proxy。

行云管家Proxy是一种类VPN解决方案,将行云管家Proxy部署于业务系统所在网络中,Proxy主动反向连接至行云管家门户,从而在行云管家门户与Proxy之间建立起通讯链路,通过该通讯链路,运维人员即可对业务系统相关IT资源进行运维。

行云管家Proxy仅负责建立通讯链路和连接通道,运行于行云管家的Web桌面客户端(RDP、SSH、VNC)或用户的本地客户端工具,通过该连接通道与业务系统所在网络中的IT资源进行连接。

基于此方案,我们不妨对某银行运维场景和某市气象局运维场景进行重构:

使用行云管家Proxy,某银行运维场景:

之前:

1、业务系统部署在公司各分部机房中,外界只能访问业务系统本身,无法直接访问主机操作系统、数据库等。

2、发生IT故障,各部门只能以各自集结点为主进行处置,总部难以统一处理,同时也无法第一时间远程协同接入业务环境进行应急处理。

现在:

1、利用行云管家Proxy特性,可以统一设备管理的入口将分散在各地、不同类型不同厂商的设备统一纳入管理平台,且无需在目标设备上安装任何代理控制类插件,只要集团总部的行云管家门户拥有公网IP即可,其余分支部门通过进入统一的门户再进入各个业务系统中,这期间,行云管家Proxy会自动与要访问的局域网主机进行连接,其后行云管家Proxy又会反向连接至行云管家门户,方便了访问的同时,也保证了各业务系统中的主机、数据库等资源不被暴露在外网。

2、通过统一门户,可将数据中心、科技部门的设备和运维专家一并接入到平台,打破IT设备与技术专家的地理位置和网络的限制,通过统一平台的设备接入、会话协同、安全审计等特性,故障发生时能在第一时间集中人员进行应急响应,而不再各自为政零散难协调。

使用行云管家Proxy,某市气象局运维场景:

之前:

1、核心业务系统运行在本地专有云上,对外公众气象业务云运行在阿里云、华为云等公有云上,且是多云环境。

2、公有云上的业务系统涉及的主机等资源无公网IP,外界只能特定的通路访问业务系统本上,而不允许直接登录云主机。

现在:

1、通过行云管家统一门户,一键导入公有云、私有云及局域网资源,在一个平台上实现混合云架构下的统一运维管理,提供主机监控、计算资源创建到销毁、微信告警、日常运维、操作审计、数据备份、成本分析、安全体检等功能,一站式云计算全生命周期管理。

2、基于行云管家Proxy技术,可通过行云管家门户统一进入本地各处的气象私有云,在私有云分支部署行云管家Proxy,私有云分支的内网IT设备通过Proxy并再借助互联网通路接入到行云管家门户,这种方式可以保证气象私有云主机、数据库等资源在内网的安全性,同时借助行云管家的协同分享能力,可让身处异地的技术专家实时查看操作界面,还可邀请外部专家加入,实现内部专家和外部技术力量的有效结合。

3.行云管家Proxy特点及其部署要求

相较于传统的跳板机运维,在保证企业内网服务器、数据库安全等方面,行云管家Proxy提供了一种安装即用、轻便又可靠的解决方案,以下是行云管家Proxy的特点:

1、行云管家Proxy支持部署于不同类型的操作系统中,包括Windows、Linux等。

2、行云管家支持在一个网络内部署多个Proxy,通过多Proxy部署,即可满足运维通道高可用需求,多个Proxy间还具备负载均衡能力,从而更好地支持并发运维。

3、行云管家Proxy通过反向连接至行云管家门户,进而建立起通讯链路和连接通道,部署Proxy的宿主主机只需要能够访问到行云管家门户即可,而无需被外界所访问,更无需公网IP。

4、行云管家Proxy在运行过程中是主动连接门户、自动升级维护的,无额外的运维工作量。

在了解到行云管家Proxy的特点之后,实际部署时,可参考以下要求部署宿主机:

1、宿主主机能够访问被运维IT资源的远程端口。

2、宿主主机具备普通PC的CPU配置、约0.5G内存(可依据实际需要手工指定)和约500M的可用磁盘空间。

3、宿主主机仅需4Mbps/4Mbps(上行/下行)的网络带宽,即可满足对业务系统所在网络执行20个并发运维会话。

行云管家Proxy支持自动部署,通过选定位于目标网络内的宿主主机,由行云管家自动连接至宿主主机进行安装部署,安装过程无需人工操作。

行云管家Proxy支持一键式部署,通过复制行云管家门户依据不同操作系统而提供的安装脚本,在宿主主机中一键式执行,安装过程无需人工干预,即可完成Proxy的安装部署。

4.行云管家门户,结合行云管家Proxy、会话中转服务为企业打造内网安全的铜墙铁壁

显而易见的是,为了保证服务器的数据安全,服务器往往会被置于一个与外界隔绝的独立环境,开放主机端口和进行数据传输是建立与外界通讯的必然,行云管家门户支持HTTPS协议,对外开放443端口,当然了,用户可根据需要,选择性的开放和关闭指定的服务端口,并结合行云管家Proxy技术可极大保证客户端和各组件、服务器之间需要频繁通信的数据安全。

另外,行云管家还提供会话中转服务,用户在门户端发起创建会话请求之后,行云管家Proxy会选择一个最合适的会话中转服务,并通过Proxy证书来确保安全性。

Proxy收到创建会话指令并选择好会话中转服务后,即在内网中请求目标主机,通过门户端传输的主机账号密码等信息创建会话。由于Proxy与目标主机在同一个内网中,所以天然具备网络隔离性,安全性又得到了一层保护。

Proxy和目标主机之间通过RDP/SSH等协议进行连接,本身均支持加密通道技术,因此他们之间的通讯过程也是安全的,又保证了内网环境中目标主机之间的通讯安全。

多设备多网络环境下,企业如何做好网络互通的运维安全管理?由行云管家门户和行云管家Proxy技术、会话中转服务组成的解决方案,安全高效并简洁,值得实践。

本文地址:https://www.cloudbility.com/club/12117.html
关注我们:请关注一下我们的微信公众号:扫描二维码,公众号:cloudbility
版权声明:本文为原创文章,版权归 baoleiji 所有,欢迎分享本文,转载请保留出处!

发表评论


表情