如何使用堡垒机对安全事故进行事后追溯
简介
随着业务上云并不断发展,云上运维的人数不断增加,这样必然会衍生出一些运维人员操作疏忽而导致的一些安全事故,但由于传统服务器缺少指令监控,操作回放等功能,这样就导致安全事件可追溯性不完善的问题。
华为云堡垒机可以管控所有的操作,并对所有的操作都进行详细记录。针对会话的审计日志,支持在线查看、在线播放和下载后离线播放。目前支持字符协议(SSH、TELNET)、图形协议(RDP、VNC)、文件传输协议(FTP、SFTP、SCP)、数据库协议(DB2、MySQL、Oracle、SQL Server)和应用发布的操作审计。其中,字符协议和数据库协议能够进行操作指令解析,100%还原操作指令;文件传输能够记录传输的文件名称和目标路径。
本章节介绍了云堡垒机如何通过会话审计功能对安全事件进行追溯调查,完成安全事件的责任界定。
前提条件
已购买云堡垒机,并且使用有审计模块权限的账号登陆云堡垒机
对历史会话进行审计
1、登录华为云控制台。进入“历史会话”页面,具体操作步骤详见查看历史会话。
2、根据您业务出现安全问题的一些信息,在“高级搜索框”中输入相关信息进行检索。
图1 高级搜索
3、根据搜索完后的结果,在“操作”列单击“详情”,进入“会话详情”页面,对历史操作指令、文件传输情况进行排查,如图2所示。
图2 运维记录
4、根据上述步骤您就可以根据操作指令的情况,排查出是哪个步骤出现了问题,为您的事件追溯提供了便利性。当然您也可以使用会话回放功能,通过播放运维视频,来查看具体的操作情况,如图3所示,具体操作步骤请参见管理会话视频。
图3 运维会话回放
须知:
华为云堡垒机还为您提供实时会话监控功能,让您可以实时查看高危操作的运维界面,若出现危险指令可立即切断运维人员的操作,确保业务的安全。具体请参见云堡垒机实时会话章节。