獨立且透明的帳號管理

Balabit的特權帳號管理系統ShellControlBox是一個隨插即用安全裝置,可以控制對遠端伺服器、虛擬桌上型電腦或網路設備的存取, 並記錄使用者存取這些系統的行為。
例如,它會記錄系統管理員更新WEB伺服器,或者第三方IT供應商設定您的WEB路由器行為。 稽核追蹤的紀錄可以像錄影一樣重播,以便按照發生的時間來查看事件。稽核追蹤的內容會被編入索引,以便搜索事件和自動產 出報告。SCB特別適合於監督特權使用者存取,以降低特權使用者構成的安全風險或滿足合規性要求,如PCI-DSS 或 ISO 27000。

SCB將管理所有連線(包括設定更改、執行命令等)都記錄到稽核追蹤裡。所有資料都會以加密、時間戳記和簽名檔來儲存, 以防止任何修改或操作。如果出現任何問題(伺服器設定錯誤、資料庫錯誤操作、意外關機等),隨時都可以在稽核追蹤裡檢索事件的情況,輕鬆找到事件的原因。

SCB是一個快速部署的企業工具。它是一個獨立於用戶端和伺服器之間的設備,不必修改應用程式還可以無縫接軌到現有的基礎架構中使用。

應用領域與終端使用者最佳典範

評估
合規性在一些行業中變得越來越重要,像是法律、法規和工業標準要求都是要保護客戶資料和提高安全意識。 類似於信用卡卡行業的法規-資料安全標準(PCI-DSS)、ISO27001或GDPR都對敏感性資料進行嚴格的存取管理。 當需要進行稽核時,LOG 系統中缺少的項目會導致許多問題。因此企業必須找到一個可靠的解決方案, 才能能夠對特權使用者的行為進行稽核和追蹤,以確保合規性。
保護敏感性資料免遭特權濫用
許多公司管理和存取個人資料,例如賬單資訊,付款交易資料和個人財務資訊。使用者存取此資料必須記錄並存檔數年。 如果有任何未經授權的存取和資料外洩,該公司可能遭受重大聲譽損害。因此SCB將您的敏感系統與未知入侵者或非授權使用者完全隔離。此外,它還可以追蹤所有授權存取敏感資料的行為, 並在出現人為錯誤或異常行為時提供可操作的資訊。
稽核VDI使用者
越來越多企業實施VDI,因此,當使用者在本機工作時,所有使用的應用程式、程序和資料都將保存在伺服器上並集中運行 。但是在這些終端伺服器上運行的無數商務應用程式無法進行完整的LOG記錄。因此,無法監視數以億計的Thin-Client使用者的行為。 SCB可以稽核主流的VDI應用程式(如CITRIX、Xen Desktop、RDSessionHost等)中使用的協定,允許監視與記錄使用者使用的應用程式活動。
監控內部IT人員
系統管理員是IT環境中最強大的使用者。雖然它們通常位於公司資訊架構的底部, 但它們對作業系統、資料庫和應用程式具有非常高甚至無限制的存取權限。 使用伺服器上的特權帳號,管理員可以直接存取和操作公司的敏感系統,並可能意外(或故意)對其造成巨大損害。 它們經常共用特權帳號的密碼,這違反了安全性原則。此外,他們還有可能隱藏自己的行為。因此無法知道, "誰做了什麼?",而且會導致浪費時間和金錢在指控及在調查事件。
控制外包合作夥伴
在全球化的趨勢下,IT功能通常被外包給承包商、託管服務和雲端廠商。因為IT供應商所提供的服務是有風險的,因為承包商會使用特權帳號可能會導致資料外洩。 雖然有簽訂SLA,但實際上不能只靠監控SLA來完成。對於IT_SLA及使用活動的紀錄,幾乎沒有可靠且易於使用的解決方案。 若要即時回應或限制部外部管理權限也很有挑戰性。必須主動監視承包商行為, 以瞭解合作夥伴在連接到您的系統時所做的操作及行為 。

產品功能和優點

  • 獨立於伺服器和用戶端設備之間
  • 於操作整合到現有的架構中
  • 控制所有常用的管理協定,如SSH, RDP, HTTP(s),Citrix ICA,VNC or Telnet
  • 提供伺服器和網路設備的詳細存取控制記錄
  • 遠端系統授權-和資料存取的四階段認證
  • 即時預防高風險行為
  • 稽核SCP和SFTP連接、列出檔案操作和擷取檔案的傳輸內容
  • 收集防篡改資訊進行取證調查
  • 錄製的會話並可進行電影般重播
  • 用於快速疑難排解的全文檢索
  • 自訂活動報告以確保合規
  • 簡單的WEB的管理介面
  • 高可用性選項
  • 自動資料存檔和備份

全方面通訊協定檢查


SCB作為應用程式代理伺服器:可以檢查傳輸中的應用層連線(OSI模型中的第7層),並拒絕所有違反該政策的通訊連線-阻擋攻擊事件。 對通過SCB的通訊連線了解其詳細內容並可進行控管, 如 SSH 連接中使用的身份驗證和加密方法,或RDP連線中允許的通道。
完整的通訊協定覆蓋率

  • Secure Shell(SSH)協定(版本 2)可用於存取 Unix 的伺服器和網路設備
  • VNC 圖形遠端桌面共享系統多平臺存取控管。支援 VNC 的 TLS 或 SSL 加密。
  • 遠端桌面協定(RDP)版本5、6和7,可用於存取Microsoft windows 平臺(包括 windows 2012R2 和 windows 10)
  • HTTP/HTTPS協定,可用於管理存取各種設備和應用程式,例如,路由器、防火牆、設備及WEB服務
  • X11 協定,可用於 Unix Like 圖形介面遠端存取控管。
  • 用於存取遠端虛擬桌面的VMware應用程式(目前僅支援使用RDP協定的直接連接)。
  • 支援Citrix_ICA通訊協定的虛擬桌面存取和應用伺服器控管。(SCB通過XenDesktop和XenApp7.x驗證為Citrix_Ready。)Common_Gateway_Protocol (CGP)也支援。
  • 對於用Telnet存取的網路設備(交換器、路由器)以及用於舊式UNIX系統和IBM大型機使用的TN3270/TN52 50 協定進行控管。也支援Telnet的TLS及SSL 加密和支援 TN3270。
  • 支援終端服務閘道伺服器協定,因此,SCB可以充當終端服務閘道(也稱為TS閘道或遠端桌面閘道)。

詳細的存取控制

SCB允許自定義連接:只能從列出的用戶端IP位址存取伺服器。可以通過限制連接的各種參 數來縮小範圍, 例如可以存取伺服器的時間、SSH連線的使用者名稱和身份驗證方法,或者S SH、RDP驗證使用者公開金鑰。 SCB擁有驗證SSH主機金鑰和識別伺服器驗證能力,防止中間人攻擊和其他不法操作。此外,SCB還可以對使用者進行外部使用者身份驗證。 此身份驗證與使用者在遠端伺服器上執行的身份驗證完全無關。
SCB支援本機憑證,提供儲存使用者憑證(例如,密碼、私密金鑰、憑證)並使用它登錄到 目標服務器,而無需使用者存取憑證。 這樣,使用者只需要使用常用的密碼(可以儲存在本地的SCB或中央LDAP資料庫中)就可以在SCB上進行身份驗證。如果允許使用者存取目標伺服器, 則SCB會自動使用憑證進行登錄。

可控制參數

  • 使用SSH、Telnet或RDP6進行網路層身份驗證時管理員組存取伺服器(基於使用者名稱黑白名單或 LDAP 組)。
  • 除了在遠端伺服器上執行身份驗證之外,還可以在SCB_WEB介面上要求額外外部驗證。 也可以進行外部身份授權驗證。
  • 用戶端電腦的 IP 位址允許存取伺服器。
  • 使用 SSH 存取伺服器的身份驗證 (例如,密碼、公開金鑰、憑證)。
  • 可以存取伺服器的時間段(例如僅在工作時間內)。

允許伺服器使用的SSH或 RDP 通道的類型(例如,SSH 終端或轉換埠、RDP 檔共用等)。 上述規則可應用於連線及通道層控管。這樣可以將存取特殊通道的許可權限制在較小的權限管理原則-僅對真正需要的使用者提供存取服務。

四階段認證系統

為了避免配置錯誤和其他人為錯誤,SCB支援四階段認證系統。透過授權方允許管理員存取伺服器。授權方還可以即時監視管理員的工作。

四階段認證也可用於稽核,SCB可以使用多個金鑰來加密稽核追蹤。在這種情況下 ,需要使用多個解密金鑰來重播稽核追蹤,因此稽核員無法單獨存取有關網系統的所有資料。

即時告警&阻止

SCB可以即時監視SSH、Telnet、RDP、ICA和VNC的連線,並在命令列或螢幕上顯示 各種模式行為操作。預設模式可以針對例如在通訊協定中有風險的命令或本文,或者圖形連接中的可疑視窗標題。此功能可以防止惡意使用者行為發生,而不只是記錄或產生告警。例如,在破壞性管理員命令(如"rm"生效)之前,SCB可以阻止連接。SCB還可以 檢測信用卡號碼等數位資料。並可以透過正規化模式去查找紀錄。
在檢測可疑使用者行為時,SCB可以執行以下措施:

錄影重播和全文檢索


SCB可將所有連線記錄存放到可搜尋的稽核資料庫中,以便在取證調查場景中輕鬆查找相關信息。 稽核追蹤紀錄可以線上瀏覽,或即時追蹤特權帳號的活動。稽核紀錄播放器,像錄影一樣重播錄製的會話-管理員的所有操作行為都可以在監視器上進行監控查看。 稽核追蹤透過內部索引或選用外部索引服務;可以在SCB_Web_GUI上搜索到想要的資料。強大的搜尋能力提供更方便的事後分析, 稽核人員可以透過搜尋表達式的詳細搜索結果和螢幕截圖進行查核。搜尋結果還可依相關性排列,系統提供許多強大的查詢類型樣板,支援多國語言。
稽核紀錄播放機在重播過程中啟用快轉來搜尋事件(例如,滑鼠按一下、 按Enter)和管理員看到的本文。還可以使用多平臺稽核重播應用程式(Balabit_Desktop_Player),更方便地進行調查和稽核。也可以大量稽核追蹤搜索,以查找包含特定資訊或事件的會話。SCB還可以為新的稽核追蹤執行搜索並自動產生報告。這些報告提供了有關遠端IT系統上使用者行為的詳細資料。此外,SCB還支援自訂報告和統計資訊,包括使用者自訂搜索結果的清單和圖表、稽核追蹤的內容及其他可自訂內容。為符合PCI_DSS的規定, SCB可以產生相關的合規報告。

檔案傳輸稽核

除了已知的通訊協定的稽核紀錄外,還可以記錄嵌入式協定(例如,其他透過SSH連線協定、port-forw arding)和檔案傳輸。 可以對SCP和SFTP連線記錄中 的檔案進行進一步分析。甚至可以將已稽核的連線量 轉換為數據包取得(pcap)格式,以便使用外部工具進行分析。稽核紀錄會被壓縮不佔用磁碟空間。

可靠的稽核

稽核人員通常針對伺服器上所產生的LOG進行稽核。由於稽核伺服器上的事件日誌通常不會太詳細, 且無法確保儲存或發送到伺服器的LOG是否被管理員或攻擊者操控,因此該模式本質上是有問題的。 但SCB 是一個獨立於伺服器和用戶端之間的設備,可以從連線中直接提取稽核資訊。此外,時間戳記、 加密和簽署所有稽核追蹤可以為稽核員提供可靠的資訊,可以防止任何人修改已稽核過的資訊-即使SCB的管理員也不能隨意篡改加密的稽核追蹤紀錄。 SCB還包括對其配置進行任何修改的詳細紀錄。

保留所有資料超過一年

佔用大量系統管理工作SSH和Telnet終端會話是稽核活動中最重要的連線資料。但是,這樣的連線量不佔用硬碟太大的空間(每小時只有大約1MB,具體取決於實際情況),因此,SCB可以儲存近500.000小時的系統管理員行為。這代表著有50位管理員不間斷線上工作(7x24)的公司可以將所有SSH和Telnet連線儲存在SCB超過1年-在可搜索、可重播、易於存取的格式 。這些不包括在遠端備份伺服器上存檔的資料,它們同樣可以從SCB存取。RDP連線也佔了相當大的空間( 但通常在每分鐘1MB以下),SCB可以儲存數周的工作資料。

完全整合

為了順利整合到公司網路架構,SCB支援transpare nt_and_nontransparent。可以簡化與防火牆環境的整合,SCB支援來源和目標地址轉換(SNAT和DNAT)。

Transparent mode

在透明模式下,SCB可作為一個閘道將管理員的網段和保護伺服器的網段連接起來(OSI 模型中的3層)。

Non-transparent mode

在非透明模式下,SCB作為bastion_host-被管理的伺服器不能直接被連線。透過配置網路的防火牆、路由器, 以確保只有來自SCB的連線才能存取伺服器。SCB依據連線參數(管理員的 IP 位址和目標 IP 和Port)確定要連接的伺服器。

為了方便網路設定,SCB支援虛擬網路(VLANS)。在VLAN環境中,將合併透明和非透明操作:SCB可以同時管理非透明(Bastion模式)和透明(路由器模式)連接。

使用者目錄整合

SCB可以連接遠端LDAP資料庫(例如,Microsoft_Active_Directory伺服器),以解析存取受保護伺服器的使用者的群組成員身份定義規則和策略。在SSH中使用公開金鑰身份驗證時,SCB可以針對儲存在LDAP資料庫中的金鑰或x509憑證對使用者身份進行驗證。 存取SCB的WEB介面的管理員和稽核員也可以通過LDAP資料庫進行身份驗證。對於存取WEB介面,也支援RADIUS身份驗證 (例如,使用 SecurID),並對已稽核的 SSH 會話進行身份驗證。SCB提供一個彈性的外掛程式框架,允許您將外部供應商身份驗證或授權工具(例如OKTA)與SCB監控進行整合。 此類外掛程式可透過使用者身份認證或外部系統(例如LDAP或ActiveDirectory)進行多因子驗證。
整合特權帳號行為分析
Balabit的特權帳號行為分析,Blindspotter是一個使 用者行為分析工具,整合了來自SCB的詳細資料,以及各種情境資料,並使用獨特的演算法進行處理,產生行為設定檔,不斷利用機器學習進行調整。透過異常行為偏差分析來檢測可疑活動,提供相關風險的告警及多種自行定義輸出格式。

除了上述整合之外,SCB還提供通用的應用程式開發介面(API),以便與更多密碼管理系統整合。

特權身份管理系統整合解決方案

透過上述密碼管理器集中管理目標伺服器的密碼,SCB確保只有可以存取使用者才能通過SCB存取被保護的伺服器。
雲端部署
您可以使用自有憑證模式從Microsoft AzureMarketplace部署SCB。方便將稽核系統整合到虛擬化架構的進行存取控制。
與SIEM系統整合
SCB可與領先的安全信息和事件管理(SIEM)系統,HPArcSight和Splunk整合。SCB在兩套系統上都可使用,通過接收具有特權管理者的存取資料,可除了上述整合之外,SCB還提供通用的應用程式開發介面(API),以便與更多密碼管理系統整合。 以提昇SIEM的報告和警報能力。

簡單的管理

SCB是從一個直覺的 web 管理介面。每個SCB管理員的角色可以用一組權限明確定義:

  • 將SCB作為主機管理;
  • 管理與伺服器的連接;
  • 查看稽核追蹤和報告等

對SCB_WEB介面的存取可以限制為專用於管理連線的實體獨立網路。此管理介面還可用於備份、日誌記錄到遠端伺服器和其他管理連線。 存取WEB介面的使用者可以通過LDAP或RADIUS資料庫進行身份驗證。存取WEB介面的使用者可能需要強制執行x509 進行身份驗。 所有設定更改都會自動記錄,SCB還可以要求管理員在修改設定時添加注釋。SCB提供設定更改報告, 還可搜索修改的詳細資訊和說明,並可以從 WEB 介面流覽簡化對SCB的稽核。




硬體規格

SCB設備構建在高性能,高效能,可靠的伺服器上,可輕鬆安裝到標準機架安裝中。