订阅以接收新文章的通知:

隆重推出 SSH 命令日志

2022/03/18

5 分钟(阅读时间)

SSH(Secure Shell 协议)是一种用于管理远程计算机的重要协议。基础设施团队可以使用它从远程安全地管理其计算机群。SSH 的安全性比 telnet 之类的其他协议更胜一筹。它可确保流量得到加密,并针对每个用户对特定计算机的访问强制实施控制措施。但是,它仍可能带来重大的安全风险。SSH,尤其是根访问,一旦落入歹人之手(考虑一下 rm -r *),将带来毁灭性的后果,而且很难跟踪。记录和保护通过 SSH 执行的用户操作通常需要自定义开发或限制性软件部署。我们很高兴地宣布推出 SSH 命令日志记录作为 Cloudflare Zero Trust 的一部分。

保护 SSH 访问

安全团队花很大力气在整个组织中保护 SSH,因为 SSH 一旦落入歹人之手,将带来很大的负面影响。传统的 SSH 安全性包括高强度身份验证(比如基于证书的身份验证)以及针对谁拥有“根”访问权限的严格控制措施。此外,还使用了 VPN 和 IP 允许列表来进一步保护计算机,防止其在互联网上被公开访问。剩下的安全性挑战还包括可见性以及横向移动的潜在可能

发往远程计算机的 SSH 命令将进行端到端加密,这意味着无法看到特定用户在特定计算机上运行了什么。通常,日志只能在该计算机本身的日志文件中捕获,而恶意用户可以轻松删除日志文件,正如他们能够轻松运行其他任何命令来掩盖行踪一样。存在相应解决方案,可将这些日志发送到外部日志记录服务,但这需要在可使用 SSH 访问的每台计算机上安装额外的软件。ProxyJump 是用于部署 JumpHost 模型的一种常见方式,它进一步加剧了这一问题,因为用户一旦进入本地网络中的某台计算机,就能轻松遍历整个网络的计算机。

隆重推出 SSH 命令日志

我们将 SSH 命令日志记录纳入 Cloudflare Zero Trust,目的是在网络层提供 SSH 可见性,而不是依赖于每台机器上的软件。这一功能的首位客户是 Cloudflare 安全团队。SSH 命令日志记录可完整回放 SSH 会话期间运行的所有命令,包括跨多个 jump-host 或堡垒主机的命令。这样就可清晰了解在发生事故、可疑违规或攻击时的具体情况。

SSH 命令日志记录是作为 Cloudflare 安全 Web 网关的扩展而构建的。安全 Web 网关已经会对来自用户设备的所有流量执行安全 TLS 检查。现在,它还支持通过在建立新连接时引导代理服务器来执行 SSH 检查。管理员能够配置网络策略以允许 SSH 访问并审核特定的命令运行。

Command logging configuration

这将公开该计算机进行 SSH 访问,并通过 Cloudflare 的全球边缘网络来代理所有 SSH 命令。所有命令都会自动进行捕获,而不用在该计算机以及所有主机中安装复杂的日志记录软件。还可以记录 TTY 流量,供以后进行完整会话回放。

作为额外的安全举措,Cloudflare 捕获的所有日志会立即通过每个客户提供的公钥进行加密,以确保只有授权安全用户才能检查 SSH 命令。此外,我们为此功能推出了选择加入的 FIPS 140-2 模式,以支持遵循 FedRAMP 的用户。

所有用户身份验证将通过 Cloudflare 短时证书执行。客户端证书加载到用户计算机后,其 SSH 设置即完成并受到保护。这样就无需进行繁琐而麻烦的 SSH 密钥对管理。这意味着,最终用户设备上不再需要进行密钥管理,只需有 Cloudflare 根 CA 即可访问有权访问的任何计算机,包括使用 ProxyJump 进行访问。

下一步

这只是 Cloudflare Zero Trust 中 SSH 安全性的开端。未来,我们将与流行的 SIEM 工具集成,并针对具体的命令和风险行为提供警报。

SSH 命令日志记录处于封闭测试阶段,我们将在接下来的几周向用户开放此功能。我们宣布全面开放时将有更多更新,敬请期待!

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
Security Week (CN)SSH (CN)Product News (CN)Security (CN)Cloudflare Zero Trust (CN)Zero Trust (CN)简体中文

在 X 上关注

Ankur Aggarwal|@Encore_Encore
Eduardo Gomes|@ejllgomes
Kenny Johnson|@KennyJohnsonATX
Cloudflare|@cloudflare

相关帖子

2024年3月08日 14:05

Log Explorer:在没有第三方存储的情况下监视安全事件

借助 Security Analytics + Log Explorer 的综合功能,安全团队可以在 Cloudflare 中本地分析、调查和监控安全攻击,无需将日志转发给第三方 SIEM,从而缩短解决时间并降低客户的总体拥有成本...