■ 中移信息技術(shù)有限公司 周樂(lè)坤

編者按：云化升級(jí)4A平臺(tái)，面向企業(yè)提供4A安全服務(wù)的申請(qǐng)開(kāi)通和集中運(yùn)維能力，實(shí)現(xiàn)運(yùn)維流程自動(dòng)化、移動(dòng)化、智能化，提高運(yùn)維效率。本文將詳細(xì)介紹該平臺(tái)的應(yīng)用實(shí)例。

4A平臺(tái)是集帳號(hào)管理、授權(quán)管理、認(rèn)證管理和綜合審計(jì)、安全訪問(wèn)控制于一體的綜合解決方案，功能架構(gòu)圖如圖1所示。

圖1 功能架構(gòu)圖

多租戶4A平臺(tái)的整體架構(gòu)

1.數(shù)據(jù)庫(kù)與基礎(chǔ)設(shè)施共享

共享數(shù)據(jù)庫(kù)、獨(dú)立Schema架構(gòu)。各租戶采用共享同一個(gè)Database、獨(dú)立Schema的架構(gòu)，對(duì)不同的租戶采用不同的表進(jìn)行存儲(chǔ)。租戶間數(shù)據(jù)維護(hù)和查詢分別從不同的表進(jìn)行更新和查詢，在共享數(shù)據(jù)庫(kù)的情況下，一定程度上進(jìn)行了數(shù)據(jù)隔離。

2.微服務(wù)管理

微服務(wù)架構(gòu)通過(guò)將應(yīng)用和服務(wù)分解成更小的、松散耦合的組件，獨(dú)立地對(duì)各組件進(jìn)行開(kāi)發(fā)、管理和加速，使應(yīng)用的部署、管理和服務(wù)功能交付更加簡(jiǎn)單高效。采用微服務(wù)架構(gòu)的多租戶4A平臺(tái)，通過(guò)對(duì)融合安全服務(wù)能力的云租戶管理能力和運(yùn)營(yíng)能力進(jìn)行組件化拆解，面向企業(yè)云化平臺(tái)提供4A安全能力的服務(wù)申請(qǐng)開(kāi)通和服務(wù)集中運(yùn)維能力，使用接口統(tǒng)一對(duì)外輸出4A安全服務(wù)能力，實(shí)現(xiàn)4A核心安全能力的微服務(wù)化。

多租戶4A平臺(tái)微服務(wù)管理使用如下五個(gè)關(guān)鍵管理能力項(xiàng)，提供 對(duì)微服務(wù)的便捷管理：服務(wù)注冊(cè)、服務(wù)發(fā)現(xiàn)、服務(wù)調(diào)度、服務(wù)監(jiān)控以及日志分析。

多租戶4A實(shí)踐

1.請(qǐng)求接收與租戶識(shí)別

在多租戶的4A平臺(tái)里，當(dāng)租戶登錄門(mén)戶的時(shí)候，平臺(tái)會(huì)跟據(jù)租戶發(fā)送的登陸請(qǐng)求，去識(shí)別該租戶的身份，隨后返回該身份對(duì)應(yīng)的功能操作模組，換而言之就是平臺(tái)對(duì)租戶基于角色的權(quán)限映射。

2.身份與認(rèn)證服務(wù)

（1）賬號(hào)管理

各租戶人員眾多、入職離職變動(dòng)管理復(fù)雜，亟需一套帳號(hào)集中化管理系統(tǒng)，4A平臺(tái)實(shí)現(xiàn)對(duì)企業(yè)用戶帳號(hào)從入職到離職的全生命周期管理能力，包括帳號(hào)創(chuàng)建、授權(quán)、個(gè)人信息更改、帳號(hào)刪除等。將帳號(hào)以地域和組織機(jī)構(gòu)的形式進(jìn)行劃分，樹(shù)狀目錄結(jié)構(gòu)存儲(chǔ)于LDAP中，清晰的目錄結(jié)構(gòu)，便于管理員進(jìn)行管理。帳號(hào)與用戶的實(shí)際狀態(tài)保持同步，避免出現(xiàn)用戶已經(jīng)離職但帳號(hào)還存在的情況。

此外，對(duì)帳號(hào)的有效期可以用時(shí)間等附加因素進(jìn)行限制，防止濫用。通過(guò)帳號(hào)自助服務(wù)能力方便用戶對(duì)個(gè)人信息自行變更。提供模板式管理能力，實(shí)現(xiàn)將用戶帳號(hào)基本屬性、狀態(tài)信息、權(quán)限信息批量化納入管控平臺(tái)，提高管理便捷性。

（2）認(rèn)證管理

平臺(tái)對(duì)用戶帳號(hào)和資產(chǎn)帳號(hào)實(shí)現(xiàn)多種認(rèn)證方式，包括靜態(tài)密碼認(rèn)證、令牌認(rèn)證、手機(jī)短信認(rèn)證、證書(shū)認(rèn)證、IC準(zhǔn)入認(rèn)證、指紋識(shí)別、手機(jī)二維碼、人臉等，支持多種認(rèn)證方式相結(jié)合，通過(guò)部署相應(yīng)服務(wù)器、提供服務(wù)接口實(shí)現(xiàn)上述強(qiáng)有力的認(rèn)證。

部署服務(wù)器包括令牌認(rèn)證服務(wù)器、短信網(wǎng)關(guān)、CA認(rèn)證服務(wù)器、Radius認(rèn)證服務(wù)器、VPN認(rèn)證服務(wù)器，認(rèn)證服務(wù)接口包括軟硬令牌認(rèn)證接口、CMPP短信派發(fā)接口、CMPPServer短信派發(fā)接口、CA證書(shū)認(rèn)證接口、IC認(rèn)證接口、Radius協(xié)議、VPN信任票據(jù)、指紋分析引擎等。

多種認(rèn)證方式相結(jié)合，能夠更有效的增強(qiáng)企業(yè)對(duì)用戶合法身份確認(rèn)和資產(chǎn)訪問(wèn)權(quán)限認(rèn)證的力度。

3.授權(quán)管理

RBAC（基于角色的訪問(wèn)控制，Rose base Access Controller），取消了用戶和權(quán)限的直接關(guān)聯(lián)，改為通過(guò)用戶關(guān)聯(lián)角色、角色關(guān)聯(lián)權(quán)限的方法來(lái)間接地賦予用戶權(quán)限。

RBAC支持公認(rèn)的安全原則：最小特權(quán)原則、責(zé)任分離原則和數(shù)據(jù)抽象原則。

最小特權(quán)原則，通過(guò)限制角色權(quán)限的多少和大小，使得分配給與某用戶對(duì)應(yīng)的角色的權(quán)限不超過(guò)該用戶完成其任務(wù)的需要。

責(zé)任分離原則，通過(guò)在完成敏感任務(wù)過(guò)程中分配兩個(gè)責(zé)任上互相約束的兩個(gè)角色來(lái)實(shí)現(xiàn)責(zé)任分離，例如在清查賬目時(shí)，只需要設(shè)置財(cái)務(wù)管理員和會(huì)計(jì)兩個(gè)角色參加就可以了。

數(shù)據(jù)抽象原則，是借助于抽象許可權(quán)這樣的概念實(shí)現(xiàn)的，如在賬目管理活動(dòng)中，可以使用信用、借方等抽象許可權(quán)，而不是使用操作系統(tǒng)提供的讀、寫(xiě)、執(zhí)行等具體的許可權(quán)。當(dāng)然RBAC并不強(qiáng)迫實(shí)現(xiàn)這些原則，安全管理員可以允許配置RBAC模型使它不支持這些原則。

4A平臺(tái)采用的分級(jí)管理的權(quán)限控制模式，是對(duì)RBAC模型中欠缺的部分進(jìn)行改進(jìn)和拓展，把原來(lái)一個(gè)管理員的工作，分?jǐn)偟礁骷?jí)管理員上，使得冗余角色大大減少。

此模型與傳統(tǒng)的RBAC模型相比，不僅減輕了系統(tǒng)管理員的工作量，也避免角色管理中同一個(gè)角色但多人間權(quán)責(zé)不清的弊端。

4.安全審計(jì)

（1）安全日志

平臺(tái)支持通過(guò)多種渠道對(duì)信息安全日志及相關(guān)時(shí)間信息進(jìn)行采集，主要包括有:Syslog方式，網(wǎng)絡(luò)嗅探器方式，Agent方式，API方式，文件方式，數(shù)據(jù)庫(kù)輪詢，網(wǎng)管協(xié)議輪詢等。

（2）審計(jì)數(shù)據(jù)預(yù)處理

采用不同的原始事件解析規(guī)則對(duì)采集到的不同格式的日志內(nèi)容進(jìn)行解析，解析取得內(nèi)容可兼容原設(shè)備的日志內(nèi)容規(guī)格。接著通過(guò)與審計(jì)事件知識(shí)庫(kù)關(guān)聯(lián)，形成審計(jì)時(shí)間，然后針對(duì)審計(jì)事件的各項(xiàng)內(nèi)容配置規(guī)則，實(shí)現(xiàn)過(guò)濾、歸并、級(jí)別調(diào)整等。最后通過(guò)級(jí)別關(guān)聯(lián)告警，產(chǎn)生相應(yīng)的事件告警用于展示與故障處理，如圖2所示。

（3）分布式日志存儲(chǔ)

改進(jìn)單機(jī)模式下的索引建立算法和索引檢索算法，確保索引唯一性，通過(guò)前端服務(wù)器任務(wù)分解和結(jié)果合并，實(shí)現(xiàn)面向多臺(tái)日志存儲(chǔ)引擎的分布式檢索。在此基礎(chǔ)上結(jié)合日志規(guī)范化表達(dá)，實(shí)現(xiàn)從時(shí)間（訪問(wèn)歷史）、空間（不同系統(tǒng)類別、不同對(duì)象）上的綜合審計(jì)分析。

圖2 審計(jì)數(shù)據(jù)預(yù)處理

（4）智能日志關(guān)聯(lián)分析

通過(guò)審計(jì)策略實(shí)現(xiàn)信息的標(biāo)準(zhǔn)化、知識(shí)化，將原始信息代表的含義以中文的形式描述出來(lái)，并對(duì)應(yīng)到知識(shí)庫(kù)，提供詳細(xì)描述與應(yīng)對(duì)方案，通過(guò)關(guān)聯(lián)分析將審計(jì)信息與資產(chǎn)、自然人相關(guān)聯(lián)。接著對(duì)審計(jì)信息相關(guān)性分析，實(shí)現(xiàn)會(huì)話重組的功能，包括用戶關(guān)聯(lián)審計(jì)、事件關(guān)聯(lián)審計(jì)、操作行為關(guān)聯(lián)審計(jì)、高危事件審計(jì)。

（5）審計(jì)告警管理

告警管理體現(xiàn)于對(duì)告警的存儲(chǔ)、統(tǒng)計(jì)、分析、查詢。告警可以按源地址、操作類型、操作人、資源、時(shí)間進(jìn)行索引。

對(duì)審計(jì)的信息按照嚴(yán)重、主要、一般等級(jí)別進(jìn)行分級(jí)管理。當(dāng)審計(jì)信息對(duì)應(yīng)到知識(shí)條目時(shí)，可以獲得默認(rèn)的告警級(jí)別，比如刪除操作與查詢操作的告警級(jí)別一般是不同的。

告警級(jí)別也可根據(jù)各面參數(shù)、時(shí)間進(jìn)行調(diào)整，比如同樣的刪除操作，對(duì)于重要數(shù)據(jù)而言，此審計(jì)結(jié)果的級(jí)別要提高。

告警方式包括郵件方式和短信方式向管理員發(fā)送報(bào)警，syslog方式向中央控制臺(tái)發(fā)送報(bào)警，SNMP Trap方式發(fā)送SNMP、Trap報(bào)警，向聲光電報(bào)警裝置發(fā)送告警，審計(jì)平臺(tái)實(shí)時(shí)展示圖像告警等。

（6）報(bào)表統(tǒng)計(jì)管理

根據(jù)審計(jì)對(duì)象，產(chǎn)生指定時(shí)間周期（日、周、月、季度、年）的報(bào)表。報(bào)表自動(dòng)產(chǎn)生，報(bào)表內(nèi)容可以根據(jù)用戶需求進(jìn)行差別化定制。除了自動(dòng)產(chǎn)生靜態(tài)報(bào)表外，還可以由用戶配置產(chǎn)生動(dòng)態(tài)報(bào)表。報(bào)表支持包括打印和輸出各種格式的文件，例如Word、Excel等。

（7）會(huì)話管理

平臺(tái)管理員可以實(shí)時(shí)在線監(jiān)控租戶會(huì)話，并提供會(huì)話實(shí)時(shí)注銷功能，有效規(guī)避安全風(fēng)險(xiǎn)。

5.訪問(wèn)控制

（1）客戶端統(tǒng)一發(fā)布管理

利用客戶端統(tǒng)一發(fā)布工具實(shí)現(xiàn)多類型操作系統(tǒng)客戶端的統(tǒng)一管理，支持遠(yuǎn)程發(fā)布應(yīng)用客戶端的操作系統(tǒng)類型包括Windows XP、Windows 7、Windows 8、Windows server 2003、Windows server 2008，客戶端類型包括mstsc、Mspaint、XWindow、Secure CRT、PL sql等。用戶可以從服務(wù)端下載客戶端工具進(jìn)行人工安裝發(fā)布，也可以從云桌面管理系統(tǒng)中推送分發(fā)客戶端工具，支持靜默安裝。

采用遠(yuǎn)程集中發(fā)布客戶端應(yīng)用方式，取代了原始的在用戶本地終端自行安裝客戶端方式，用戶可直接通過(guò)遠(yuǎn)程發(fā)布服務(wù)器上的客戶端進(jìn)行資產(chǎn)訪問(wèn)，實(shí)現(xiàn)客戶端工具集中化管理的同時(shí)也節(jié)省了用戶本地終端內(nèi)存空間，同時(shí)客戶端統(tǒng)一發(fā)布工具可更有效及時(shí)地對(duì)客戶端軟件統(tǒng)一版本安裝和升級(jí)。

（2）統(tǒng)一資產(chǎn)訪問(wèn)門(mén)戶

統(tǒng)一資產(chǎn)訪問(wèn)門(mén)戶——運(yùn)維Web門(mén)戶是一個(gè)用于進(jìn)行訪問(wèn)資產(chǎn)的集中資產(chǎn)訪問(wèn)門(mén)戶，列表或圖標(biāo)方式展示出用戶可訪問(wèn)的資源，供用戶進(jìn)行單點(diǎn)登錄訪問(wèn)。

（3）堡壘主機(jī)集中訪問(wèn)控制

堡壘主機(jī)是管控平臺(tái)的重要組成部分，在企業(yè)人員和IT資產(chǎn)之間搭建高效、可控的訪問(wèn)控制通道，為企業(yè)各類IT維護(hù)管理人員和第三方代維管理人員提供統(tǒng)一的維護(hù)入口，并對(duì)各類維護(hù)行為進(jìn)行訪問(wèn)控制和操作記錄，將傳統(tǒng)的“人---資產(chǎn)”的訪問(wèn)模式改造為“人---堡壘主機(jī)---資產(chǎn)”的訪問(wèn)模式，實(shí)現(xiàn)了人員統(tǒng)一入口登錄資產(chǎn)、統(tǒng)一認(rèn)證、集中訪問(wèn)控制、集中審計(jì)的全過(guò)程監(jiān)管。

4A平臺(tái)通過(guò)堡壘主機(jī)形式，集中響應(yīng)用戶的各種C/S、B/S訪問(wèn)請(qǐng)求，包括SSH、RDP等遠(yuǎn)程加密訪問(wèn)請(qǐng)求，并根據(jù)授權(quán)及堡壘主機(jī)訪問(wèn)控制策略、黑白名單配置對(duì)用戶行為進(jìn)行阻斷和告警。

堡壘主機(jī)支持圖形堡壘、字符堡壘、數(shù)據(jù)庫(kù)堡壘、文件堡壘四種類型，監(jiān)控和記錄通過(guò)集中發(fā)布的圖形軟件遠(yuǎn)程登錄到資源進(jìn)行操作的行為、通過(guò)字符終端工具遠(yuǎn)程登錄到資源進(jìn)行操作的行為、通過(guò)數(shù)據(jù)庫(kù)客戶端遠(yuǎn)程登錄到數(shù)據(jù)庫(kù)進(jìn)行操作的行為、通過(guò)文件服務(wù)器上傳下載文件時(shí)操作行為。利用堡壘主機(jī)負(fù)載分發(fā)機(jī)制避免通過(guò)堡壘主機(jī)訪問(wèn)應(yīng)用過(guò)多導(dǎo)致宕機(jī)影響單點(diǎn)登錄。

6.單點(diǎn)登錄

利用單點(diǎn)登錄技術(shù)實(shí)現(xiàn)用戶一次登錄認(rèn)證即可訪問(wèn)全網(wǎng)應(yīng)用。用戶通過(guò)平臺(tái)認(rèn)證服務(wù)器認(rèn)證，并依據(jù)用戶認(rèn)證信息從數(shù)據(jù)庫(kù)中獲取用戶資產(chǎn)訪問(wèn)權(quán)限。

利用Windows自身的ActiveX控件的hook技術(shù)，將單點(diǎn)登錄資源所需認(rèn)證參數(shù)傳遞于SSO單點(diǎn)登錄控件，通過(guò)SSO單點(diǎn)登錄控件調(diào)用本地客戶端或遠(yuǎn)程應(yīng)用發(fā)布服務(wù)器端的應(yīng)用程序?qū)崿F(xiàn)登錄信息代填，從而完成資源登錄。

針對(duì)應(yīng)用資源可通過(guò)票據(jù)認(rèn)證方式，經(jīng)過(guò)申請(qǐng)票據(jù)、生成票據(jù)、轉(zhuǎn)發(fā)票據(jù)以及票據(jù)合法性驗(yàn)證等環(huán)節(jié)實(shí)現(xiàn)單點(diǎn)登錄。