系统集成论坛
标题:
IDC机房基于SSL VPN设备的托管服务器远程管理解决方案
[打印本页]
作者:
scanywhere
时间:
2009-12-17 15:37
标题:
IDC机房基于SSL VPN设备的托管服务器远程管理解决方案
本帖最后由 scanywhere 于 2010-1-18 16:02 编辑
1、用户背景
某IDC公司成立于1998年,是国内知名的大型互联网基础服务商和IDC服务商。公司成立十年来,一直致力于发展以IDC数据中心业务、ASP互联网基础服务、以及ISP互联网接入服务、灾难备份业务为主;以SP电信增值业务、B2B电子商务服务、软件开发、行业解决方案为辅的互联网信息化服务。
2、用户需求
IDC机房管理方式的安全风险分析。目前机房管理有两种方式,一是进入机房管理,二是远程管理。这两种管理方式都存在着安全漏洞。
·正常是进入机房管理。因为用户进入后很难控制,用户进入机房后,可以做出多种行为危害机房
的正常运转,如碰掉网线,如在机器上植入木马或者其它间谍软件,给IDC机房带来巨大的风险和
危害。所以在日常管理中尽量不让用户进入机房。部分机房采用软切换方式来控制风险。
·远程管理。远程开放telnet/SSH,这种管理方式没有安全机制保证,口令和密码都不加密,3389
漏洞非常多,所有远程管理方式一般也不采用。
因此,用户需要一个有安全机制的,可控的设备来保证用户在登录后,在授权范围内管理自己的设备。具体如下:
·用户需要一种高强度的身份认证方式,确保身份的真实性
·用户登录后再授权范围内访问资源
·用户登录后操作系统的用户名密码不用输入
3、解决方案
·建设证书服务器,采用高强度的证书+USB KEY双因素认证方式来确保登录者身份的真实性。
> 证书服务器负责证书的日常管理;
> 管理终端完成证书的申请和发放工作;
> 为应用服务器颁发服务器证书,为个人用户颁发个人证书;登录时,实现双向验证,确保应用
服务器身份和个人身份的真实性;
> 用户手持USB KEY,带有密码芯片算法的KEY,存储量大于等于32K;用于私钥存储,确保私钥的
安全;
> 采用SQL数据库,用于证书服务器生成证书和CRL的存储。
·建设SSL VPN系统,确保用户在授权范围内访问资源。根据操作系统,我们SSL VPN提供控制机器方式是不一样的,分别阐述如下:
> 对于采用WIN操作系统的设备,采用terminal service来管理,我们把terminal service嵌入浏
览器中,即在应用层对terminal service进行过封装。
> 对于Linux/Unix操作系统,采用 telnet/ ssh来管理,同样也是把telnet/ ssh在IE里,即也在
应用层对telnet/ ssh进行过封装。
> 对于网络设备,如Cisco交换机和路由器,采用 telnet/ ssh来管理,同样也是把telnet/ ssh在
IE里,即也在应用层对telnet/ ssh进行过封装。
> 对于防火墙等用WEB方式调试的设备,用SSL VPN设备的BS方式管理就可以了。
4、用户收益
在本方案顺利实施完成后,将会获得如下收益:
·通过采用SSL VPN系统,可以实现安全远程管理,设备维护成本大大降低,可管理性大大加强。
·登录SSL VPN用户,由于采用了双因素的强身份认证的方式,从理论上确保了登录用户身份的真实性。
·对设备管理时,所有传输数据被加密,确保数据无法被侦听和窃取,保证了传输中的数据的安全性。
·通过应用层安全传输网关在应用层隔离,防止服务器免受网络层威胁的侵扰。
·对不同身份的用户给不同的访问权限,禁止用户越权访问,确保用户在授权范围内访问。
------------------------------------------------------------------------------------------------
北京安软天地科技有限公司
--- 专业的应用安全服务提供商,主要提供CA系统、SSL VPN设备,以及身份认证、电子签名、电子印章、文档保护、加密解密等解决方案,在金融、政府、电力、石油石化行业有大规模成熟应用。
--- 公司网址:
www.scanywhere.com
--- 联系电话:010-67080263
作者:
scanywhere
时间:
2009-12-24 15:00
大家一起交流探讨~
作者:
scanywhere
时间:
2010-1-18 16:02
好的方案就该顶 呵呵
作者:
scanywhere
时间:
2010-2-25 14:57
欢迎光临 系统集成论坛 (http://bbs.xtjc.com/)
Powered by Discuz! X3.1
