三级等保的堡垒机有什么不一样?
堡垒机本身具备的运维日志审计功能和等保测评三级等保中需要额外购买的日志审计功能有什么区别?
一、在三级等保中对日志审计有要求:要求是对重要用户以及重要安全事件进行审计,堡垒机与日志审计都可以做操作审计,但是应用场景不同。
1、堡垒机本身不会对服务器日志进行实时收集,仅仅对通过堡垒机进行运维操作的运维人员的操作进行审计。说白了就是没有登陆堡垒机就不会在堡垒机上留下痕迹,即使你服务器绑定只能堡垒机才能登陆,但本身存在漏洞时就可被利用、绕过。
2、服务器跑起应用,与外界有数据交互,应用需要调用数据与用户进行交互,在服务器上就会有操作痕迹,这些痕迹在堡垒机上是看不到的。此时黑客通过应用层面的漏洞绕过堡垒机登陆服务器,并进行提权操作,然后清除日志。这些操作堡垒机不会记录,服务器会记录操作且实时将记录传输至日志审计。
3、等保对日志审计的要求是能够实时、完全记录,堡垒机仅能记录运维人员操作,而日志审计能够记录服务器上所有操作,可以更好的对安全事件进行朔源,且根据操作进行分析,发现可能存在的入侵。
二、哪些是单独买堡垒机审计不用必须上日志审计的呢?对测评报告分数没要求或者系统不是那么重要时可不上日志审计。开起设备自身审计功能就好。
