阿里云堡垒机
今天给大家介绍阿里云重要的安全产品之一的——堡垒机
俗称“跳板机”
一堡垒机主要的功能有以下这么几个:
1高效运维:做运维的同学都知道,堡垒机就是专门给运维同学使用的,我们运维可以通过C/S(客户端服务器架构)登录进堡垒机,然后在堡垒机上再去连接我们需要运维的主机,能用的工具有很多,FTP/SFTP/SecureCRT /Putty
2操作审计:在我们运维同学使用堡垒机期间,我们如果使用的是windows/Linux操作系统,堡垒机是完全可以对我们的一举一动进行时时刻刻“侦查”的,无论我们做了什么操作,比如我们通过FTP上传了一个文件,删除了一个数据库之类的,都会被记录在堡垒机的操作审计里面,出了什么安全问题上面的大佬们可以随时调用堡垒机操作审计日志进行排查,责任到人;
3职权管控:公司大了,肯定不可能只有一个运维是吧,不可能把公司几百台服务器都只给一个运维去管理吧?运维可能有十几个呢;这个时候就要用到堡垒机的职权管控功能,可以按照级别/部门/能力分配不同服务器交给运维人员管理,而且分配之后,不属于这个范围职权内的运维同学是没有资格权限可以对其进行管理运维操作的,不同的部门之间权限严格管控
二·堡垒机产品优势
1审计合规
大家读知道,上面我说了阿里云堡垒机是有操作审计功能的,而且非常强大因为有了这个功能,所以我们运维同学一般情况下对堡垒机的操作基本都是合规操作,很少出现严重事故,这也更加的安全
2多协议支持
运维同学登录堡垒机后再连接所需要管理的服务器,可以通过很多种方式连接服务器,SSH/FTP/SFTP/SECURE CRT/PUtty
3追溯回归
这招也是堡垒机最实在的功能之一,谁吧数据库删除了,谁删根跑路了,通过这个功能里吗明白是那个瓜娃子具体操作了啥,这时候想跑路也是跑不了的哈哈
4高效易用
堡垒机操作很简单吧,只不过一般情况下我们呢运维同学是直接通过远程工具连接服务器而已,堡垒机的出现,让它成为一个安全的跳板,再通过它上面连接所需运维管理的服务器,我们就能做安全“操作”啦
三堡垒机应用场景
1审计合规要求
一般都是比较NB的大企业大公司会严格要求运维同学在服务器操作上有安全的操作,毕竟这些大公司的网络架构系统都过了等保三级/四级/,要是那个运维同学随便在键盘上一顿猛如虎操作公司网络架构就崩了,那还玩啥?
堡垒机严格限制了权限,对部门/运维同学进行了权限限制,统一全部运维同学都只能通过堡垒机进行运维操作,而且只能做审计合规要求的安全“操作”
2高线运维稳定
无论是在游戏上线关键时刻,还是服务器严重宕机,堡垒机都是我们首先第一操作的,游戏上线,我们运维同学面对着全世界各个国家的玩家/数量庞大的区服,就算有再大的访问并发;都是在堡垒机上进行操作,保证服务器的稳定运行,喝口茶不慌
某运维同学删除数据库了,想跑,这属于严重的运维事故,领导打下来,于是部门负责人强制要求所有运维同学在堡垒机对照审计操作进行复盘总结反思自己,
以后必须深刻记得反省自己
四堡垒机计费
堡垒机不同的版本有不同的价格,能添加越多ECS版本的堡垒机肯定也是越贵的,不过在大公司眼里,直接买买买哈哈哈
计费周期是按月/年
五堡垒机操作
堡垒机管理员可以对堡垒机进行什么操呢?
比如说NB集团10000台服务器;管理人员可以通过堡垒机控制台把10000台ECS服务器全部添加进堡垒机,说明一下这个操作完全不影响ECS那边;有了服务器了,那就自然系要有人去管理的是不是?
为了避免权限太大/我最讨厌的验证码,所以这里强烈推荐开通RAM账号,添加RAM账号导入堡垒机
有人有服务器了,接下来该放手干活了,可是到底该怎么干呢?
我们就要为运维同学创建运维规则,让他可以通过啥客户端软件登录服务器,能通过什么协议登录服务器
运维同学一顿操作猛如虎,删库了咋整?也不知道谁删除,但是通过审计运维会话功能,谁干的都晓得,一个都跑不了
閱讀更多 信息安全ovo那些事兒 的文章
