您要的免V**远程运维工具到了

2022-06-02 16:00:08 浏览数 (1)

安全运维是日常安全工作的一个重要组成部分,但“工欲善其事,必先利其器”,那么什么样的远程运维工具或平台才是比较好的呢?

业界常用的远程运维工具主要有:

  • V** 堡垒机 目标主机SSH登录
  • 桌面云 堡垒机 目标主机SSH登录

不过,下面这种更高效的运维方式不妨也可以考虑下:

  • 浏览器

只需要一个浏览器?是不是真的 ?

废话少说,上图看效果:

这是Janusec Application Gateway(应用网关)所提供的一项功能:基于Web的远程SSH运维,让您随时随地都可以连上服务器。

那么该Web SSH是否安全,与通常所说的Web Shell有什么区别?让我们一探究竟。

1.Web SSH的安全机制

(1)身份认证

Web SSH需要先通过应用层的身份认证,也就是Janusec Application Gateway的后台管理身份的认证,这里的身份认证采用了前端慢速加盐散列的方式,后端做了第二次高强度加盐散列。

在访问目标服务器时,还需要使用目标服务器的账号进行认证。

(2)访问控制

Janusec应用网关自身起到堡垒机的作用,且使用内部IP进行连接(避免高危端口对外网开放)。目标主机可以限定访问来源,执行来源访问控制,降低风险。

(3)可审计

Web SSH所执行的命令输入记录在应用网关的日志中。

2.与Web Shell的区别

首先,从性质上看,Web Shell是植入目标主机的高危脚本或网页木马,通过执行高危函数调用操作系统命令,是需要防止出现的恶意代码。

而Web SSH,是在应用网关实现了两个通道:

(1)SSH通道,Janusec应用网关作为SSH客户端,通过标准的SSH协议访问目标主机

(2)Web Socket通道,将用户浏览器跟Janusec应用网关对接起来。该通道接收用户的输入,传递给SSH通道,并将SSH通道输出返回给用户浏览器。

其次,Web SSH没有使用高危函数,也不能从含有漏洞的应用程序中发起调用。

3.小结

从原理上看,Web SSH实现了安全的身份认证、访问控制、审计等,可作为安全运维的基础设施之一,虽然还比不上完善的自动化运维平台,但作为一项最基础的运维工具,还是能够提高运维效率的。

特别是在当前疫情下,远程运维更是一种刚需。这种无边界的远程运维模式,不需要V**,不需要到公司,直接通过应用网关到达内网,且留下操作日志可供审计。

4.附录

Janusec Application Gateway的来历,在此前的文章中已经介绍过了,参见:基于Golang打造一款开源的WAF网关。它提供了统一的应用接入、WAF (Web Application Firewall, Web应用防火墙)、CC攻击防御、统一Web化管理入口、证书私钥保护,Web路由以及可扩展的负载均衡等功能。

这款开源产品的架构设计理念,在作者的《数据安全架构设计与实战》一书中做了介绍。

本文作者U2(郑云文),资深数据安全与隐私保护专家,同时也是《数据安全架构设计与实战》一书以及Janusec Application Gateway开源应用网关的作者,长期从事数据安全与隐私保护工作。

0 人点赞