基于云桌面的分布式堡垒研究邱素贞+蔡大海摘要：通过分析现有堡垒机的应用实践和技术瓶颈，提出了在云桌面环境下的分布式云堡垒技术，阐述了“分布式云堡垒”的原理、设计方法和实际效果，以解决现有堡垒机计算资源消耗过大、延时严重的应用问题，并增强访问过程中的控制能力，细化日志审计粒度。关键词：云桌面；分布式堡垒；嵌入式代理；计算资源：TP334.7：ADOI：10.15913/j.cnki.kjycx.2017.11.071为了保障IT资源远程运维管理方式的安全性，堡垒机技术被大量使用。但现有堡垒机技术存在性能、过程控制命中率、日志审计粒度等诸多问题。笔者通过研究在云桌面环境下的分布式云堡垒技术，可有效解决现有堡垒机计算资源消耗过大、延时严重的应用问题，并增强访问过程控制能力，细化日志审计粒度。1堡垒机应用现状分析由于网络规模庞大，远程运维和管理是最为高效的必然选择。为了确保远程运维的安全，目前，大部分企业已构建4A平台，实现集中账号管理、授权管理、认证管理和审计管理，并已经得到全面应用和推广。在日常的运维操作过程中，运维人员都需要通过4A平台的集中接入通道——堡垒机连接到被管资源中进行维护操作。4A平台总体架构如图1所示。在4A平台架构下，4A平台门户为用户访问提供前端Portal服务，堡垒主机则作为后端统一接入通道，为用户资源访问提供集中接入通道服务。根据技术形态，堡垒主机分为字符堡垒主机和图形堡垒主机，相互结合使用。1.1字符堡垒主机字符堡垒主机通过逻辑串行的方式部署在网络中，对命令行方式的访问操作（比如通过telnet、SSH等协议）进行协议代理和转发，对操作指令进行审计和过程控制。1.2图形堡垒主机通过虚拟化发布技术对图形化操作工具（比如pl_sql、toad、C/S应用客户端）进行集中发布，以图形录像方式对操作行为进行记录，同时，还能够对维护的工具进行限制。随着堡垒机的规模使用，在应用、性能、审计等方面存在一些问题，而这些问题一直无法得到有效解决，主要体现在以下5方面：①图形堡垒提供客户端工具发布和访问服务，部分客户端工具需要消耗大量的CPU和内存，占用服务器资源过大，造成系统访问和操作响应缓慢。②图形堡垒以图形录像方式对用户操作行为进行记录审计，图形录像日志不便于检索和关联分析，影响审计效果。③字符堡垒主机支持的协议有限，仅支持SSH、TELNET等有限的协议，使用范围有限，不支持Oracle等私有协议解析和审计。④基于堡垒主机实现的金库模式存在准确度不高，而且依赖维护工具。⑤随着云桌面深入推广，云桌面系统和图形堡垒形成了2层虚拟化嵌套的结构，产生了操作延时。鉴于以上问题，需要研究建立一套基于云桌面环境的堡垒主机系统，以解决上述性能、审计等方面的问题。2分布式云堡垒设计与实现2.1技术原理设计在运维环境中，运维人员使用的个人终端都是采用的Windows操作系统。随着云桌面的应用推广，运维人员均通过虚拟桌面访问生产网络。为了解决云桌面系统和图形堡垒所形成的2层虚拟化嵌套结构所产生的操作延时问题，可以通过直接对云桌面操作系统进行控制，以减少虚拟化次数，同时，通过对操作系统底层驱动对用户的维护和操作过程进行监控，通过协议分析技术还原操作的整个过程，可达到精确管控和字符审计的目的。通过在虚拟桌面模板中内嵌分布式云堡垒模块，可实现对虚拟桌面的应用授权、访问控制和操作审计，减少图像堡垒机虚拟化发布所造成的延时，并通过操作系统底层驱动监控机制，提升审计能力，降低传统堡垒机单点故障风险。2.2分布式云堡垒架构设计2.2.1分布式云堡垒采用分布式架构由云桌面操作系统嵌入式代理、云堡垒服务引擎和管理中心组成。分布式云堡垒体系架构图如图2所示。2.2.2云桌面操作系统嵌入式代理云桌面操作系统或者之上部署的客户端工具所产生的所有操作行为都要通过底层驱动转化为网络通信协议，云堡垒嵌入式代理部署在操作系统层通过SPI技术捕获操作系统的底层驱动及通信协议，并将这些协议转发给服务引擎进行深入分析，从而判断是否是违规操作。云堡垒嵌入式代理以底层驱动方式存在，对使用人员无感知，并将与堡垒主机的交互过程，比如越权操作的阻断提醒等通过驱动技术与...