堡壘機是種具備強大防御功能和安全審計功能的服務器�。基于跳板機理念���,作為內外網絡的個安全審計監測點,以達到把所有網站安全問題集中到某臺服務器上解決,從而省時省力����,同時�����,運維堡壘機還具備了對運維人員的遠程登錄進行集中管理的功能作用��。
一、什么是云堡壘機?
云堡壘機(Cloud Bastion Host,CBH)是一款4A統一安全管控平臺����,為企業提供集中的帳號(Account)���、授權(Authorization)���、認證(Authentication)和審計(Audit)管理服務�����。
云堡壘機是一種可提供高效運維�、認證管理、訪問控制、安全審計和報表分析功能的云安全服務。云租戶運維人員可通過云堡壘機完成資產的運維和操作審計����。堡壘機通過基于協議正向代理可實現對SSH�、Windows遠程桌面�����、SFTP等常見的運維協議的數據流進行全程記錄��,再通過數據流重置的方式進行錄像回放,達到運維審計的目的�。
云堡壘機提供云計算安全管控的系統和組件�,包含部門、用戶、資源��、策略���、運維����、審計等功能模塊,集單點登錄�����、統一資產管理�����、多終端訪問協議���、文件傳輸、會話協同等功能于一體。通過統一運維登錄入口���,基于協議正向代理技術和遠程訪問隔離技術,實現對服務器��、云主機���、數據庫����、應用系統等云上資源的集中管理和運維審計。
云堡壘機無需安裝部署��,可通過HTML5技術連接管理多個云服務器���,企業用戶只需使用主流瀏覽器或手機APP��,即可隨時隨地實現高效運維��。云堡壘機支持RDP/SSH/Telnet/VNC等多種協議,可訪問所有Windows、Linux/Unix操作系統�。企業用戶可以通過云堡壘機管理多臺云服務器��,滿足等保三級對用戶身份鑒別、訪問控制、安全審計等條款的要求���。
二、云堡壘機優勢
1、HTML5一站式管理
無需安裝特定客戶端,無需安裝任何插件,任意終端的主流瀏覽器,包括移動端APP瀏覽器登錄,用戶隨時隨地打開即可進行運維。
系統HTML5管理界面簡潔易用�,集中管理用戶�����、資源和權限,支持批量創建用戶�、批量導入資源�、批量授權運維��、批量登錄資源等高效運維管理方式�����。
2�����、操作指令精準攔截
針對資源敏感操作進行二次復核�,系統預置標準Linux字符命令庫或自定義命令�,對運維操作指令和腳本的精準攔截,并可通過異步“動態授權”�����,實現對敏感操作的動態管控�,防止誤操作或惡意操作的發生。
3����、核心資源二次授權
借鑒銀行金庫授權機制�����,針對重要資源的運維權限設置多人授權���,若需登錄此類資源��,需多位授權候選人進行“二次授權”��,加強對核心資源數據的保護�����,提升數據安全防護能力和管理能力,保障核心資產數據的絕對安全�。
4��、應用發布擴展
針對數據庫類�、Web應用類、客戶端程序類等不同應用資源�,提供統一訪問入口�����,并可提高對應用操作的圖形化審計���。
5����、數據庫運維審計
針對DB2、MySQL、SQL Server和Oracle等云數據庫,支持統一資源運維管理�����,以及SSO單點登錄工具一鍵登錄數據庫��,提供對數據庫操作的全程記錄,實現對云數據庫的操作指令進行解析,100%還原操作指令���。
6��、自動化運維
自動化運維是將系統運維管理中復雜的、重復的��、數量基數大的操作,通過統一的策略、任務將復雜運維精準化和效率化,幫助運維人員從重復的體力勞動中解放出來��,提高運維效率��。
三���、云堡壘機應用場景
1、內部人員操作的安全隱患
隨著企業信息化進程不斷深入�����,企業的業務系統變得日益復雜�����,由內部員工違規操作導致的安全問題變得日益突出起來�����。防火墻、防病毒、入侵檢測系統等常規的安全產品可以解決一部分安全問題,但對于內部人員的違規操作卻無能為力��。云堡壘機在運維過程中�,通過事前預防��、事中控制和事后審計����,有效減少內部人員操作的安全隱患�。
2、第三方維護人員安全隱患
企業在發展的過程中����,因為戰略定位和人力等諸多原因���,越來越多的會將非核心業務外包給設備商或者其他專業代維公司����。如何有效地監控設備廠商和代維人員的操作行為,并進行嚴格的審計是企業面臨的一個關鍵問題�。嚴格的規章制度只能約束一部分人的行為�����,只有通過嚴格的權限控制和操作審計才能確保安全管理制度的有效執行����。云堡壘機在運維過程中,通過事前預防����、事中控制和事后審計����,有效減少第三方維護人員安全隱患����。
3、高權限賬號濫用風險
因為種種歷史遺留問題�,并不是所有的信息系統都有嚴格的身份認證和權限劃分��,權限劃分混亂,高權限賬號(比如root賬號)共用等問題一直困擾著網絡管理人員����,高權限賬號往往掌握著數據庫和業務系統的命脈�,任何一個操作都可能導致數據的修改和泄露���,最高權限的濫用�����,讓運維安全變得更加脆弱���,也讓責任劃分和威脅追蹤變得更加困難�。云堡壘機通過建立“自然人-資源-資源賬號”關系����,實現統一認證和授權。
4����、違規行為無法控制的風險
網絡管理員總是試圖定義各種操作條例��,來規范內部員工的網絡訪問行為��,但是除了在造成惡性后果后追查責任人,沒有更好的方式來限制員工的合規操作�����。事后追查時又沒有有效證據,只能是亡羊補牢��,損失已經造成�����。云堡壘機通過建立“自然人-操作-資源”關系�,實現操作審計和控制��。
本文由培訓無憂網達內教育課程顧問老師整理發布���,更多課程信息可關注網絡工程師培訓或添加老師微信:15033336050 注:尊重原創文章,轉載請注明出處和鏈接 http://www.dedgn.cn/news-id-6586.html 違者必究�����!部分文章來源于網絡由培訓無憂網編輯部人員整理發布,內容真實性請自行核實或聯系我們�,了解更多相關資訊請關注網絡工程師頻道查看更多,了解相關專業課程信息您可在線咨詢也可免費申請試課。關注官方微信了解更多:150 3333 6050
