原创 薛斌 2025-01-07 08:46 北京
信息化是为业务服务的
当前,数字化发展步伐持续加快,全球各大金融机构纷纷按下数字化转型的加速键,加快进行战略规划设计和云基础设施建设,全面拥抱数字化。迄今为止,绝大部分银行的数据中心呈现了云上、云下两种模态并行的混合环境。这种混合环境,给银行的数据中心运维安全管理提出了新的挑战,这些挑战包括如何实现云上云下的统一管理,新环境下如何防范风险,如何满足合规要求等。
某国际银行初始进入中国市场时,搭建了本地化数据中心,几年后,随着业务的快速发展及弹性化需求,租用了金融私有云,业务系统IT基础架构转向敏捷支撑,数据中心格局由传统云下网络环境转变为云上、云下混合环境。通过建设新一代运维安全管理系统(齐治堡垒机+特权账号管理系统),实现了两地两个数据中心,四个云上、云下环境(每个数据中心均有一个云上云下环境)的一体化统一运维管理平台,集中解决了混合环境下生产及开发测试环境运维管理的问题。
混合环境下的统一运维管理挑战
该国际银行的中国区,原有运维安全管理系统负责控制及审计传统数据中心的资产访问。随着生产及开发测试环境各类主机设备及用户不断增加,原有运维安全管理系统已达性能容量瓶颈,且由于架构问题无法进行资源纵/横向扩容,在使用上和管理上都无法满足当下要求,故需对其进行生命周期替换。
该行面临的主要问题有:
第一,网络环境复杂,性能瓶颈问题突出,用户体验差。该行在国内有两个数据中心,且分别有云上、云下环境,网络环境复杂。运维部门在进行跨数据中心、跨云会话时,因为并发量高,网络时延等问题,操作经常有延迟和卡顿,用户体验较差。
第二,缺少流程自动化管理、配置工作量大。随着业务的发展,该行数据中心资产不断增长。这其中既包括主机、网络设备、安全产品等资产,也包括不断上线的新业务系统。这给数据中心的运维管理提出了更大的挑战,规模日益增长,信息更新快速,设备纳管频繁,权限不断变更,这些工作如果都依赖人工梳理、配置工作量太大。同时,该行数据中心内部运营着ITSM、CMDB等流程管理系统,现有的运维安全管理系统无法与ITSM、CMDB实现对接,很多指令、变更审批等需要从ITSM系统里读出,再粘贴或拷贝到运维安全管理系统中进行更改,运维效率低,且容易出错。
第三,缺少完善的账号安全管理平台,账号风险暴露面大。数据中心资产类型复杂,包含各类操作系统、网络设备、数据库、应用等,各种资产的登录、管理账号数量庞大。现有的运维安全管理系统,无法对多类别、多数量的资产进行账号、密码、权限的安全管理,使用过程中存在安全风险,不符合合规要求。
部署运维安全管理系统 实现自动化统一管理
面对无法统一运维管理的问题,该行决定部署新的运维安全管理系统。在两个数据中心,云上、云下共4个环境中,全行运维人员包括系统组、测试组、生产组、DB组等,资产规模上千台。
新的运维安全管理系统包括齐治堡垒机及特权账号管理整体解决方案,部署在数据中心生产环境及开发测试环境。每个数据中心均为Master-worker模式的高级集群部署方案,通过在不同网络环境中部署Worker节点分散运维,实现会话负载分担,提高运维流畅度。同时,新的运维安全管理系统可以实现对账号的全生命周期管理,并与ITSM平台进行对接,实现运维的自动化流程管理。
提升运维安全的四个收获
该行建设了新的运维安全管理系统后,实现了运维管理的集中化、自动化、可视化,账号风险治理闭环化,极大提升了运维安全水平,具体有如下四个收获:
第一,集中管理,分散运维。新的运维安全管理系统采用高级集群部署方案,通过Master管理节点提供集中访问入口,集中配置管理并基于分散在不同网络环境的Worker节点实现会话负载,采用目标设备就近原则调度Worker节点分散运维,既保证了并发数量,又大大缩短了延时,提高运维体验。
第二,实现了自动化权限配置管理。新的运维安全管理系统与ITSM流程管理系统对接,可以动态生成设备访问权限,弹性变更并基于流程中的约束权限时效周期,完成访问权限规则的自动化回收,简化权限规则配置管理、变更的管理工作。
第三,实现了账号全生命周期管控。新的运维安全管理系统可以实现闭环系统账号生命周期管理,包括账号台账自动梳理、账号风险分析(定期自动化甄别僵尸、幽灵、弱密码、提权等风险账号)、密码周期性自动修改等账号维护工作,实现特权账号密码的安全存储及管理。
第四,多中心灾备系统部署,避免运维安全生产事故。主、备数据中心分别部署一套高级集群系统,并实现多站点多活部署,提供高可用灾备机制,提高运维安全管理系统的高可用性。主系统出现服务异常时可以无缝切换至灾备系统,避免运维安全生产事故。
该方案的实施,为该行在混合环境下的统一运维安全审计管理打下了良好的基础,通过与ITSM的对接,实现了运维全流程自动化;通过集群化部署,提高了运维效率;通过对账号的统一管理,提升了运维的安全性。
云环境下统一管理的未来展望
未来,基于分散业务风险的考虑,越来越多银行选择将自己的一部分IT系统部署在几种公有云上,另一部分IT系统仍然运营在本地数据中心或私有云上,是大势所趋。银行需要既拥抱云,实现云上、云下的统一管理、弹性扩展,又要在面对新技术、新应用及快速迭代等环境下,可以灵活、安全地管控和升级。对未来的云环境下的运维安全管理,该行有如下三点思考。
首先,跨云的统一管理,账号是抓手。云上、云下的统一管理,关键在于一套完整、安全的特权账号管理体系,通过账号这个云管理的入口,明确制定账号使用的规则,以此为抓手,建立整套云管理的体系。这种体系中,有两个关键。一是制定适合跨云、跨平台、统一的特权账号管理规则;二是要有合理、高效的工具。“工欲善其事,必先利其器”,复杂的云环境,规则制定完毕以后,要完整地实施规则,必须依靠强有力的工具。所以,未来要在统一管理的基础上,进一步加强账号管理的细化规则及深度使用,实现账号全生命周期的规范化管理,并以此为抓手,实现跨云全生命周期的统一管理。
其次,适应云的弹性扩展,自动化是利器。银行业务的不断扩展、变化,未来使用云时面临弹性扩展,将已经制定、完善的管理规则,无缝扩展到弹性新纳入的基础设施中,自动化部署是最佳利器。而反过来,自动化也会促进管理规则的不断细化、提升,这体现在,运维管理的自动化也意味着可以自动抓取运维、审计数据,进行数据分析、建模,为风险行为、非可控行为画像,继而将画像写入到管理规则中,实现规则的进一步优化和提高。
第三,云上的新技术、新应用快速迭代,灵活、安全管控是重点。数字化、云时代下的最大特点就是新技术不断演进,新应用不断迭代。这种快速变化之下,如何时刻保证运维管理的持续安全、灵活、高效,是未来思考、实践的重点。最近风靡全球的AI及大数据模型,带来了很多机遇。基于云技术的数据的自动化收集、分析及辅助决策,未来将真正走入业务中,银行可以快速重构、迭代新的、更贴近用户、更高效的应用。但随之而来的是,这些新技术、新思路的安全管控该如何进行,怎么既能将他们纳入到已有的管控体系中,又不会因为管控过于死板而扼杀了他们的活力。所以,灵活、安全,甚至是大原则统一,但仍然有因地制宜小范围调整的运维管控思路将是未来银行需要考虑的问题。
信息化是为业务服务的,只有在保证安全、高效的前提下,信息化系统才能支撑银行业务的蓬勃发展。IT技术的日新月异,应用的层出不穷,越来越复杂的环境,越来越快速的迭代,都需要有框架、有规则,但也有一定灵活性的运维安全管理,从而在银行业务的数字化转型中,提升客群管理的数智化水平,实现基于服务体验、服务内容、服务方式和服务质量的数字化转型发展。
作者介绍
薛斌,齐治科技华南技术总监,运维安全管理领域资深专家,拥有15 年项目实战经验,擅长为中大型规模客户提供专业的解决方案和交付咨询。
关于 大湾区金融安全专刊
大湾区专刊现已发布第1辑和第2辑,集合了全国数十家金融和科技机构的网络安全工作经验总结,更邀请了大湾区港澳金融机构的安全专家分享独到见解。文章内容涉及防御体系、安全运营、数据安全、研发安全、业务安全、资产管理、攻防演练、前沿分析等主题方向,希望能为从业者提供网络安全防护方面的整体思路,向行业传播可持续金融创新和实践经验,为推动可持续金融生态发展汇聚智慧与力量。
关于 安全村
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
专刊获取方式
本次专刊的合作机构如下
赶紧关注他们
联系获取纸质版专刊吧!
