■ 中移信息技术有限公司 周乐坤

编者按：云化升级4A平台，面向企业提供4A安全服务的申请开通和集中运维能力，实现运维流程自动化、移动化、智能化，提高运维效率。本文将详细介绍该平台的应用实例。

4A平台是集帐号管理、授权管理、认证管理和综合审计、安全访问控制于一体的综合解决方案，功能架构图如图1所示。

图1 功能架构图

多租户4A平台的整体架构

1.数据库与基础设施共享

共享数据库、独立Schema架构。各租户采用共享同一个Database、独立Schema的架构，对不同的租户采用不同的表进行存储。租户间数据维护和查询分别从不同的表进行更新和查询，在共享数据库的情况下，一定程度上进行了数据隔离。

2.微服务管理

微服务架构通过将应用和服务分解成更小的、松散耦合的组件，独立地对各组件进行开发、管理和加速，使应用的部署、管理和服务功能交付更加简单高效。采用微服务架构的多租户4A平台，通过对融合安全服务能力的云租户管理能力和运营能力进行组件化拆解，面向企业云化平台提供4A安全能力的服务申请开通和服务集中运维能力，使用接口统一对外输出4A安全服务能力，实现4A核心安全能力的微服务化。

多租户4A平台微服务管理使用如下五个关键管理能力项，提供 对微服务的便捷管理：服务注册、服务发现、服务调度、服务监控以及日志分析。

多租户4A实践

1.请求接收与租户识别

在多租户的4A平台里，当租户登录门户的时候，平台会跟据租户发送的登陆请求，去识别该租户的身份，随后返回该身份对应的功能操作模组，换而言之就是平台对租户基于角色的权限映射。

2.身份与认证服务

（1）账号管理

各租户人员众多、入职离职变动管理复杂，亟需一套帐号集中化管理系统，4A平台实现对企业用户帐号从入职到离职的全生命周期管理能力，包括帐号创建、授权、个人信息更改、帐号删除等。将帐号以地域和组织机构的形式进行划分，树状目录结构存储于LDAP中，清晰的目录结构，便于管理员进行管理。帐号与用户的实际状态保持同步，避免出现用户已经离职但帐号还存在的情况。

此外，对帐号的有效期可以用时间等附加因素进行限制，防止滥用。通过帐号自助服务能力方便用户对个人信息自行变更。提供模板式管理能力，实现将用户帐号基本属性、状态信息、权限信息批量化纳入管控平台，提高管理便捷性。

（2）认证管理

平台对用户帐号和资产帐号实现多种认证方式，包括静态密码认证、令牌认证、手机短信认证、证书认证、IC准入认证、指纹识别、手机二维码、人脸等，支持多种认证方式相结合，通过部署相应服务器、提供服务接口实现上述强有力的认证。

部署服务器包括令牌认证服务器、短信网关、CA认证服务器、Radius认证服务器、VPN认证服务器，认证服务接口包括软硬令牌认证接口、CMPP短信派发接口、CMPPServer短信派发接口、CA证书认证接口、IC认证接口、Radius协议、VPN信任票据、指纹分析引擎等。

多种认证方式相结合，能够更有效的增强企业对用户合法身份确认和资产访问权限认证的力度。

3.授权管理

RBAC（基于角色的访问控制，Rose base Access Controller），取消了用户和权限的直接关联，改为通过用户关联角色、角色关联权限的方法来间接地赋予用户权限。

RBAC支持公认的安全原则：最小特权原则、责任分离原则和数据抽象原则。

最小特权原则，通过限制角色权限的多少和大小，使得分配给与某用户对应的角色的权限不超过该用户完成其任务的需要。

责任分离原则，通过在完成敏感任务过程中分配两个责任上互相约束的两个角色来实现责任分离，例如在清查账目时，只需要设置财务管理员和会计两个角色参加就可以了。

数据抽象原则，是借助于抽象许可权这样的概念实现的，如在账目管理活动中，可以使用信用、借方等抽象许可权，而不是使用操作系统提供的读、写、执行等具体的许可权。当然RBAC并不强迫实现这些原则，安全管理员可以允许配置RBAC模型使它不支持这些原则。

4A平台采用的分级管理的权限控制模式，是对RBAC模型中欠缺的部分进行改进和拓展，把原来一个管理员的工作，分摊到各级管理员上，使得冗余角色大大减少。

此模型与传统的RBAC模型相比，不仅减轻了系统管理员的工作量，也避免角色管理中同一个角色但多人间权责不清的弊端。

4.安全审计

（1）安全日志

平台支持通过多种渠道对信息安全日志及相关时间信息进行采集，主要包括有:Syslog方式，网络嗅探器方式，Agent方式，API方式，文件方式，数据库轮询，网管协议轮询等。

（2）审计数据预处理

采用不同的原始事件解析规则对采集到的不同格式的日志内容进行解析，解析取得内容可兼容原设备的日志内容规格。接着通过与审计事件知识库关联，形成审计时间，然后针对审计事件的各项内容配置规则，实现过滤、归并、级别调整等。最后通过级别关联告警，产生相应的事件告警用于展示与故障处理，如图2所示。

（3）分布式日志存储

改进单机模式下的索引建立算法和索引检索算法，确保索引唯一性，通过前端服务器任务分解和结果合并，实现面向多台日志存储引擎的分布式检索。在此基础上结合日志规范化表达，实现从时间（访问历史）、空间（不同系统类别、不同对象）上的综合审计分析。

图2 审计数据预处理

（4）智能日志关联分析

通过审计策略实现信息的标准化、知识化，将原始信息代表的含义以中文的形式描述出来，并对应到知识库，提供详细描述与应对方案，通过关联分析将审计信息与资产、自然人相关联。接着对审计信息相关性分析，实现会话重组的功能，包括用户关联审计、事件关联审计、操作行为关联审计、高危事件审计。

（5）审计告警管理

告警管理体现于对告警的存储、统计、分析、查询。告警可以按源地址、操作类型、操作人、资源、时间进行索引。

对审计的信息按照严重、主要、一般等级别进行分级管理。当审计信息对应到知识条目时，可以获得默认的告警级别，比如删除操作与查询操作的告警级别一般是不同的。

告警级别也可根据各面参数、时间进行调整，比如同样的删除操作，对于重要数据而言，此审计结果的级别要提高。

告警方式包括邮件方式和短信方式向管理员发送报警，syslog方式向中央控制台发送报警，SNMP Trap方式发送SNMP、Trap报警，向声光电报警装置发送告警，审计平台实时展示图像告警等。

（6）报表统计管理

根据审计对象，产生指定时间周期（日、周、月、季度、年）的报表。报表自动产生，报表内容可以根据用户需求进行差别化定制。除了自动产生静态报表外，还可以由用户配置产生动态报表。报表支持包括打印和输出各种格式的文件，例如Word、Excel等。

（7）会话管理

平台管理员可以实时在线监控租户会话，并提供会话实时注销功能，有效规避安全风险。

5.访问控制

（1）客户端统一发布管理

利用客户端统一发布工具实现多类型操作系统客户端的统一管理，支持远程发布应用客户端的操作系统类型包括Windows XP、Windows 7、Windows 8、Windows server 2003、Windows server 2008，客户端类型包括mstsc、Mspaint、XWindow、Secure CRT、PL sql等。用户可以从服务端下载客户端工具进行人工安装发布，也可以从云桌面管理系统中推送分发客户端工具，支持静默安装。

采用远程集中发布客户端应用方式，取代了原始的在用户本地终端自行安装客户端方式，用户可直接通过远程发布服务器上的客户端进行资产访问，实现客户端工具集中化管理的同时也节省了用户本地终端内存空间，同时客户端统一发布工具可更有效及时地对客户端软件统一版本安装和升级。

（2）统一资产访问门户

统一资产访问门户——运维Web门户是一个用于进行访问资产的集中资产访问门户，列表或图标方式展示出用户可访问的资源，供用户进行单点登录访问。

（3）堡垒主机集中访问控制

堡垒主机是管控平台的重要组成部分，在企业人员和IT资产之间搭建高效、可控的访问控制通道，为企业各类IT维护管理人员和第三方代维管理人员提供统一的维护入口，并对各类维护行为进行访问控制和操作记录，将传统的“人---资产”的访问模式改造为“人---堡垒主机---资产”的访问模式，实现了人员统一入口登录资产、统一认证、集中访问控制、集中审计的全过程监管。

4A平台通过堡垒主机形式，集中响应用户的各种C/S、B/S访问请求，包括SSH、RDP等远程加密访问请求，并根据授权及堡垒主机访问控制策略、黑白名单配置对用户行为进行阻断和告警。

堡垒主机支持图形堡垒、字符堡垒、数据库堡垒、文件堡垒四种类型，监控和记录通过集中发布的图形软件远程登录到资源进行操作的行为、通过字符终端工具远程登录到资源进行操作的行为、通过数据库客户端远程登录到数据库进行操作的行为、通过文件服务器上传下载文件时操作行为。利用堡垒主机负载分发机制避免通过堡垒主机访问应用过多导致宕机影响单点登录。

6.单点登录

利用单点登录技术实现用户一次登录认证即可访问全网应用。用户通过平台认证服务器认证，并依据用户认证信息从数据库中获取用户资产访问权限。

利用Windows自身的ActiveX控件的hook技术，将单点登录资源所需认证参数传递于SSO单点登录控件，通过SSO单点登录控件调用本地客户端或远程应用发布服务器端的应用程序实现登录信息代填，从而完成资源登录。

针对应用资源可通过票据认证方式，经过申请票据、生成票据、转发票据以及票据合法性验证等环节实现单点登录。