隨著信息安全的快速發展,企業系統的安全性是企業在選擇SaaS服務提供商的一個重要關注點。1m築造系統使用了雲堡壘機機制來管理運維,這大大的提升了運維管理的安全性,為客戶提供了更全面的安全保障。
什麼是雲堡壘機
雲堡壘機是用於提供雲計算安全管控的系統和組件,可以實現對運維資源的4A安全管控。雲堡壘機包含用戶管理、資源管理、策略、審計和工單等功能模塊,支持對Windows或Linux等操作系統的主機提供安全管控保護。雲堡壘機是集統一資產管理與單點登錄、多種終端訪問協議、文件傳輸功能於一體的運維安全管理與審計產品。
1m築造
雲堡壘機的主要功能
· 身份治理
雲堡壘機主賬號通過本地認證、AD認證、RADIUS認證等多種認證方式,將主賬號與實際運維用戶身份一一對應,確保行為審計的一致性,從而準確定位事故責任人,彌補傳統網絡安全審計產品無法準確定位運維用戶身份的缺陷。
· 角色分權
持多種用戶角色:默認管理員、部門管理員、策略管理員、審計管理員、運維員。每種運維用戶角色的權限都各不相同。雲堡壘機同時支持默認管理員自定義角色,滿足企業的複雜運維場景,為運維用戶設立不同的角色提供了選擇。
· 集中管控
通過定製集中的訪問控制策略,幫助企業梳理運維用戶與資源的關係,並且提供一對一、一對多、多對一、多對多的靈活授權模式。雲堡壘機提供的訪問控制策略,不僅實現了將資源授權給運維用戶,也實現了功能權限的精細化控制,最大程度地降低越權操作的可能。
· 資源改密
在傳統的運維模式下,管理員需要定期手動修改資源賬戶的密碼,同時維護起來也比較繁瑣。通過雲堡壘機提供的改密策略,實現自動化的改密,並且以日誌形式記錄改密執行結果,能讓管理員十分清晰的掌握資源的改密動態和歷史密碼。
1m築造
· 資源訪問
雲堡壘機支持託管主機、應用的賬戶和密碼,運維人員無需輸入主機的賬戶和密碼,直接點擊“登錄”即可成功自動登錄到目標資源,並進行運維操作。採用數據庫代理技術,DBA或運維人員可不改變原來的使用習慣,在本地使用的客戶端軟件上,通過雲堡壘機連接目標數據庫服務器進行訪問和操作。同時,雲堡壘機也支持批量登錄功能。通過批量登錄,運維人員可以在一個頁面上批量打開多臺資源(支持不同協議類型),方便運維人員在操作時進行不同資源的切換。
· 全程審計
運維人員登錄到雲堡壘機之後,雲堡壘機管控所有的操作,並對所有的操作都進行詳細記錄。針對會話的審計日誌,支持在線查看、在線播放和下載後離線播放。雲堡壘機目前支持字符協議(SSH、TELNET)、圖形協議(RDP、VNC)、文件傳輸協議(FTP、SFTP)、數據庫協議(DB2、MySQL、Oracle、SQL Server)和應用發佈的操作審計。其中,字符協議和數據庫協議能夠進行操作指令解析,100%還原操作指令;圖形協議和應用發佈可以通過OCR進行文字識別;文件傳輸能夠記錄傳輸的文件名稱和目標路徑。
· 命令控制
雲堡壘機提供了集中的命令控制策略功能,實現基於不同的主機和用戶設置不同的命令控制策略。策略提供斷開連接、拒絕執行、動態授權和允許執行等四種執行動作,根據命令的危險程度和資源的重要程度去設置命令的執行動作。同時,雲堡壘機預置了近千條Linux/Unix和主流網絡設備的操作命令,讓管理人員可以直接從命令庫進行調取,簡化命令控制策略的配置過程。
· 工單申請
運維人員向管理員申請需要訪問的設備,申請時可以選擇資源賬戶、運維有效期、申請備註等信息,並且工單以多種方式通知管理員。當需要使用的功能權限(例如文件管理、RDP剪切板等)由於策略的限制無法使用時,運維人員也可以通過工單申請相應的功能權限。管理員對工單進行審核和批准後,運維人員就擁有了臨時的訪問權限。工單的審批流程可以由系統管理員進行自定義,並且可以設置多人審批或會籤審批模式,滿足企業流程需求。這樣能更靈活也更安全的開展運維工作。
· 會話協同
通過雲堡壘機,運維人員可以邀請其他用戶加入自己的會話,進行協同操作。當某項運維工作需要多人操作時,可以通過會話協同能夠邀請其他的用戶協助自己進行操作,操作控制權可在不同的運維用戶之間能夠進行靈活的切換。
為降低高權限賬號被濫用引起違規操作的風險,借鑑銀行金庫管理中開關庫房必須有兩名管庫員在場共同授權的方式,以多人制衡的手段對高權限的使用進行監督和控制。雲堡壘機通過雙人授權,讓運維人員在訪問核心資源時,必須要通過管理員的現場審批,通過雙人授權有效遏制權限濫用的情況,降低安全事件發生的風險。
· 報表分析
雲堡壘機預置了多種分析報表,能夠全方位地分析系統操作、資源運維的情況,讓管理員迅速瞭解系統的現狀,快速分析系統操作和資源運維的情況,及時阻止安全事件的發生。報表支持自動發送,支持以天、周、月為粒度發送報表,並且以HTML、DOC等多種格式導出,讓管理員隨時掌握系統信息。
雲堡壘機為企業帶來的價值主要體現在:
· 管理效益
所有主賬號和從賬戶在一個平臺上進行管理,賬號管理更加簡單有序。
通過建立運維用戶與主賬號的唯一對應關係,確保運維用戶擁有的權限是完成任務所需的最小權限。
可視化運維行為監控,及時預警發現違規操作。
· 用戶效益
運維人員只需記憶一個賬號和密碼,一次登錄,便可實現對其所維護的多臺資源的訪問。
無需頻繁地輸入IP地址和賬戶密碼,提高工作效率,降低工作複雜度。
批量運維和操作資源。
· 企業效益
降低人為安全風險,避免安全損失。
符合“網絡安全法”等規定,滿足合規要求,保障企業效益。
閱讀更多 1m築造 的文章
