Safeguard Shell Control Box

評估
合規性在一些行業中變得越來越重要，像是法律、法規和工業標準要求都是要保護客戶資料和提高安全意識。 類似於信用卡卡行業的法規-資料安全標準(PCI-DSS)、ISO27001或GDPR都對敏感性資料進行嚴格的存取管理。 當需要進行稽核時，LOG 系統中缺少的項目會導致許多問題。因此企業必須找到一個可靠的解決方案， 才能能夠對特權使用者的行為進行稽核和追蹤，以確保合規性。
保護敏感性資料免遭特權濫用
許多公司管理和存取個人資料，例如賬單資訊，付款交易資料和個人財務資訊。使用者存取此資料必須記錄並存檔數年。 如果有任何未經授權的存取和資料外洩，該公司可能遭受重大聲譽損害。因此SCB將您的敏感系統與未知入侵者或非授權使用者完全隔離。此外，它還可以追蹤所有授權存取敏感資料的行為， 並在出現人為錯誤或異常行為時提供可操作的資訊。
稽核VDI使用者
越來越多企業實施VDI，因此，當使用者在本機工作時，所有使用的應用程式、程序和資料都將保存在伺服器上並集中運行 。但是在這些終端伺服器上運行的無數商務應用程式無法進行完整的LOG記錄。因此，無法監視數以億計的Thin-Client使用者的行為。 SCB可以稽核主流的VDI應用程式(如CITRIX、Xen Desktop、RDSessionHost等)中使用的協定，允許監視與記錄使用者使用的應用程式活動。
監控內部IT人員
系統管理員是IT環境中最強大的使用者。雖然它們通常位於公司資訊架構的底部， 但它們對作業系統、資料庫和應用程式具有非常高甚至無限制的存取權限。 使用伺服器上的特權帳號，管理員可以直接存取和操作公司的敏感系統,並可能意外（或故意）對其造成巨大損害。 它們經常共用特權帳號的密碼,這違反了安全性原則。此外，他們還有可能隱藏自己的行為。因此無法知道， ＂誰做了什麼？＂，而且會導致浪費時間和金錢在指控及在調查事件。
控制外包合作夥伴
在全球化的趨勢下，IT功能通常被外包給承包商、託管服務和雲端廠商。因為IT供應商所提供的服務是有風險的，因為承包商會使用特權帳號可能會導致資料外洩。 雖然有簽訂SLA，但實際上不能只靠監控SLA來完成。對於IT_SLA及使用活動的紀錄，幾乎沒有可靠且易於使用的解決方案。 若要即時回應或限制部外部管理權限也很有挑戰性。必須主動監視承包商行為， 以瞭解合作夥伴在連接到您的系統時所做的操作及行為 。

• 獨立於伺服器和用戶端設備之間
• 於操作整合到現有的架構中
• 控制所有常用的管理協定，如SSH, RDP, HTTP（s），Citrix ICA，VNC or Telnet
• 提供伺服器和網路設備的詳細存取控制記錄
• 遠端系統授權-和資料存取的四階段認證
• 即時預防高風險行為
• 稽核SCP和SFTP連接、列出檔案操作和擷取檔案的傳輸內容
• 收集防篡改資訊進行取證調查
• 錄製的會話並可進行電影般重播
• 用於快速疑難排解的全文檢索
• 自訂活動報告以確保合規
• 簡單的WEB的管理介面
• 高可用性選項
• 自動資料存檔和備份

SCB作為應用程式代理伺服器：可以檢查傳輸中的應用層連線(OSI模型中的第7層)，並拒絕所有違反該政策的通訊連線-阻擋攻擊事件。 對通過SCB的通訊連線了解其詳細內容並可進行控管， 如 SSH 連接中使用的身份驗證和加密方法，或RDP連線中允許的通道。
完整的通訊協定覆蓋率

• Secure Shell（SSH）協定（版本 2）可用於存取 Unix 的伺服器和網路設備
• VNC 圖形遠端桌面共享系統多平臺存取控管。支援 VNC 的 TLS 或 SSL 加密。
• 遠端桌面協定（RDP）版本5、6和7，可用於存取Microsoft windows 平臺（包括 windows 2012R2 和 windows 10）
• HTTP/HTTPS協定，可用於管理存取各種設備和應用程式,例如,路由器、防火牆、設備及WEB服務
• X11 協定，可用於 Unix Like 圖形介面遠端存取控管。
• 用於存取遠端虛擬桌面的VMware應用程式（目前僅支援使用RDP協定的直接連接）。
• 支援Citrix_ICA通訊協定的虛擬桌面存取和應用伺服器控管。（SCB通過XenDesktop和XenApp7.x驗證為Citrix_Ready。）Common_Gateway_Protocol （CGP）也支援。
• 對於用Telnet存取的網路設備(交換器、路由器)以及用於舊式UNIX系統和IBM大型機使用的TN3270/TN52 50 協定進行控管。也支援Telnet的TLS及SSL 加密和支援 TN3270。
• 支援終端服務閘道伺服器協定,因此，SCB可以充當終端服務閘道（也稱為TS閘道或遠端桌面閘道）。

SCB允許自定義連接：只能從列出的用戶端IP位址存取伺服器。可以通過限制連接的各種參 數來縮小範圍， 例如可以存取伺服器的時間、SSH連線的使用者名稱和身份驗證方法，或者S SH、RDP驗證使用者公開金鑰。 SCB擁有驗證SSH主機金鑰和識別伺服器驗證能力,防止中間人攻擊和其他不法操作。此外，SCB還可以對使用者進行外部使用者身份驗證。 此身份驗證與使用者在遠端伺服器上執行的身份驗證完全無關。
SCB支援本機憑證，提供儲存使用者憑證（例如，密碼、私密金鑰、憑證）並使用它登錄到 目標服務器，而無需使用者存取憑證。 這樣，使用者只需要使用常用的密碼（可以儲存在本地的SCB或中央LDAP資料庫中）就可以在SCB上進行身份驗證。如果允許使用者存取目標伺服器， 則SCB會自動使用憑證進行登錄。

可控制參數

• 使用SSH、Telnet或RDP6進行網路層身份驗證時管理員組存取伺服器（基於使用者名稱黑白名單或 LDAP 組）。
• 除了在遠端伺服器上執行身份驗證之外，還可以在SCB_WEB介面上要求額外外部驗證。 也可以進行外部身份授權驗證。
• 用戶端電腦的 IP 位址允許存取伺服器。
• 使用 SSH 存取伺服器的身份驗證 （例如，密碼、公開金鑰、憑證）。
• 可以存取伺服器的時間段（例如僅在工作時間內）。

允許伺服器使用的SSH或 RDP 通道的類型（例如，SSH 終端或轉換埠、RDP 檔共用等）。 上述規則可應用於連線及通道層控管。這樣可以將存取特殊通道的許可權限制在較小的權限管理原則-僅對真正需要的使用者提供存取服務。

為了避免配置錯誤和其他人為錯誤，SCB支援四階段認證系統。透過授權方允許管理員存取伺服器。授權方還可以即時監視管理員的工作。

四階段認證也可用於稽核，SCB可以使用多個金鑰來加密稽核追蹤。在這種情況下 ，需要使用多個解密金鑰來重播稽核追蹤,因此稽核員無法單獨存取有關網系統的所有資料。

SCB可以即時監視SSH、Telnet、RDP、ICA和VNC的連線，並在命令列或螢幕上顯示 各種模式行為操作。預設模式可以針對例如在通訊協定中有風險的命令或本文,或者圖形連接中的可疑視窗標題。此功能可以防止惡意使用者行為發生，而不只是記錄或產生告警。例如，在破壞性管理員命令（如"rm"生效）之前，SCB可以阻止連接。SCB還可以 檢測信用卡號碼等數位資料。並可以透過正規化模式去查找紀錄。
在檢測可疑使用者行為時，SCB可以執行以下措施：

SCB可將所有連線記錄存放到可搜尋的稽核資料庫中，以便在取證調查場景中輕鬆查找相關信息。 稽核追蹤紀錄可以線上瀏覽，或即時追蹤特權帳號的活動。稽核紀錄播放器，像錄影一樣重播錄製的會話－管理員的所有操作行為都可以在監視器上進行監控查看。 稽核追蹤透過內部索引或選用外部索引服務；可以在SCB_Web_GUI上搜索到想要的資料。強大的搜尋能力提供更方便的事後分析， 稽核人員可以透過搜尋表達式的詳細搜索結果和螢幕截圖進行查核。搜尋結果還可依相關性排列，系統提供許多強大的查詢類型樣板，支援多國語言。
稽核紀錄播放機在重播過程中啟用快轉來搜尋事件（例如，滑鼠按一下、 按Enter）和管理員看到的本文。還可以使用多平臺稽核重播應用程式（Balabit_Desktop_Player），更方便地進行調查和稽核。也可以大量稽核追蹤搜索，以查找包含特定資訊或事件的會話。SCB還可以為新的稽核追蹤執行搜索並自動產生報告。這些報告提供了有關遠端IT系統上使用者行為的詳細資料。此外，SCB還支援自訂報告和統計資訊，包括使用者自訂搜索結果的清單和圖表、稽核追蹤的內容及其他可自訂內容。為符合PCI_DSS的規定， SCB可以產生相關的合規報告。

除了已知的通訊協定的稽核紀錄外，還可以記錄嵌入式協定（例如，其他透過SSH連線協定、port-forw arding）和檔案傳輸。 可以對SCP和SFTP連線記錄中 的檔案進行進一步分析。甚至可以將已稽核的連線量 轉換為數據包取得（pcap）格式，以便使用外部工具進行分析。稽核紀錄會被壓縮不佔用磁碟空間。

稽核人員通常針對伺服器上所產生的LOG進行稽核。由於稽核伺服器上的事件日誌通常不會太詳細， 且無法確保儲存或發送到伺服器的LOG是否被管理員或攻擊者操控，因此該模式本質上是有問題的。 但SCB 是一個獨立於伺服器和用戶端之間的設備，可以從連線中直接提取稽核資訊。此外，時間戳記、 加密和簽署所有稽核追蹤可以為稽核員提供可靠的資訊，可以防止任何人修改已稽核過的資訊－即使SCB的管理員也不能隨意篡改加密的稽核追蹤紀錄。 SCB還包括對其配置進行任何修改的詳細紀錄。

佔用大量系統管理工作SSH和Telnet終端會話是稽核活動中最重要的連線資料。但是,這樣的連線量不佔用硬碟太大的空間（每小時只有大約1MB，具體取決於實際情況），因此，SCB可以儲存近500.000小時的系統管理員行為。這代表著有50位管理員不間斷線上工作（7x24）的公司可以將所有SSH和Telnet連線儲存在SCB超過1年－在可搜索、可重播、易於存取的格式 。這些不包括在遠端備份伺服器上存檔的資料,它們同樣可以從SCB存取。RDP連線也佔了相當大的空間（ 但通常在每分鐘1MB以下），SCB可以儲存數周的工作資料。

為了順利整合到公司網路架構，SCB支援transpare nt_and_nontransparent。可以簡化與防火牆環境的整合，SCB支援來源和目標地址轉換（SNAT和DNAT）。

在透明模式下，SCB可作為一個閘道將管理員的網段和保護伺服器的網段連接起來（OSI 模型中的3層）。

在非透明模式下，SCB作為bastion_host－被管理的伺服器不能直接被連線。透過配置網路的防火牆、路由器， 以確保只有來自SCB的連線才能存取伺服器。SCB依據連線參數（管理員的 IP 位址和目標 IP 和Port）確定要連接的伺服器。

為了方便網路設定，SCB支援虛擬網路（VLANS）。在VLAN環境中，將合併透明和非透明操作：SCB可以同時管理非透明（Bastion模式）和透明（路由器模式）連接。

SCB 可以連接遠端 LDAP 資料庫（例如，Microsoft_Active_Directory伺服器），以解析存取受保護伺服器的使用者的群組成員身份定義規則和策略。在 SSH 中使用公開金鑰身份驗證時，SCB 可以針對儲存在 LDAP 資料庫中的金鑰或x509 憑證對使用者身份進行驗證。 存取 SCB 的 WEB 介面的管理員和稽核員也可以通過 LDAP 資料庫進行身份驗證。對於存取 WEB 介面，也支援 RADIUS 身份驗證 （例如，使用 SecurID），並對已稽核的 SSH 會話進行身份驗證。SCB 提供一個彈性的外掛程式框架，允許您將外部供應商身份驗證或授權工具（例如OKTA）與 SCB 監控進行整合。 此類外掛程式可透過使用者身份認證或外部系統（例如LDAP或ActiveDirectory）進行多因子驗證。
整合特權帳號行為分析
Safeguard 的特權帳號行為分析，Blindspotter 是一個使 用者行為分析工具，整合了來自 SCB 的詳細資料，以及各種情境資料，並使用獨特的演算法進行處理，產生行為設定檔，不斷利用機器學習進行調整。透過異常行為偏差分析來檢測可疑活動，提供相關風險的告警及多種自行定義輸出格式。

除了上述整合之外，SCB 還提供通用的應用程式開發介面（API），以便與更多密碼管理系統整合。

透過上述密碼管理器集中管理目標伺服器的密碼，SCB確保只有可以存取使用者才能通過SCB存取被保護的伺服器。
雲端部署
您可以使用自有憑證模式從Microsoft AzureMarketplace部署SCB。方便將稽核系統整合到虛擬化架構的進行存取控制。
與SIEM系統整合
SCB可與領先的安全信息和事件管理（SIEM）系統，HPArcSight和Splunk整合。SCB在兩套系統上都可使用，通過接收具有特權管理者的存取資料，可除了上述整合之外，SCB還提供通用的應用程式開發介面（API），以便與更多密碼管理系統整合。 以提昇SIEM的報告和警報能力。

SCB是從一個直覺的 web 管理介面。每個SCB管理員的角色可以用一組權限明確定義：

• 將SCB作為主機管理;
• 管理與伺服器的連接;
• 查看稽核追蹤和報告等

對SCB_WEB介面的存取可以限制為專用於管理連線的實體獨立網路。此管理介面還可用於備份、日誌記錄到遠端伺服器和其他管理連線。 存取WEB介面的使用者可以通過LDAP或RADIUS資料庫進行身份驗證。存取WEB介面的使用者可能需要強制執行x509 進行身份驗。 所有設定更改都會自動記錄，SCB還可以要求管理員在修改設定時添加注釋。SCB提供設定更改報告， 還可搜索修改的詳細資訊和說明，並可以從 WEB 介面流覽簡化對SCB的稽核。