堡壘機是種具備強大防御功能和安全審計功能的服務器������;谔鍣C理念,作為內外網(wǎng)絡的個安全審計監(jiān)測點���,以達到把所有網(wǎng)站安全問題集中到某臺服務器上解決���,從而省時省力,同時���,運維堡壘機還具備了對運維人員的遠程登錄進行集中管理的功能作用���。
一、什么是云堡壘機���?
云堡壘機(Cloud Bastion Host���,CBH)是一款4A統(tǒng)一安全管控平臺���,為企業(yè)提供集中的帳號(Account)、授權(Authorization)���、認證(Authentication)和審計(Audit)管理服務。
云堡壘機是一種可提供高效運維���、認證管理���、訪問控制、安全審計和報表分析功能的云安全服務���。云租戶運維人員可通過云堡壘機完成資產(chǎn)的運維和操作審計���。堡壘機通過基于協(xié)議正向代理可實現(xiàn)對SSH、Windows遠程桌面���、SFTP等常見的運維協(xié)議的數(shù)據(jù)流進行全程記錄���,再通過數(shù)據(jù)流重置的方式進行錄像回放,達到運維審計的目的���。
云堡壘機提供云計算安全管控的系統(tǒng)和組件���,包含部門���、用戶、資源���、策略���、運維、審計等功能模塊���,集單點登錄���、統(tǒng)一資產(chǎn)管理、多終端訪問協(xié)議���、文件傳輸���、會話協(xié)同等功能于一體。通過統(tǒng)一運維登錄入口���,基于協(xié)議正向代理技術和遠程訪問隔離技術���,實現(xiàn)對服務器���、云主機、數(shù)據(jù)庫���、應用系統(tǒng)等云上資源的集中管理和運維審計。
云堡壘機無需安裝部署���,可通過HTML5技術連接管理多個云服務器���,企業(yè)用戶只需使用主流瀏覽器或手機APP,即可隨時隨地實現(xiàn)高效運維���。云堡壘機支持RDP/SSH/Telnet/VNC等多種協(xié)議���,可訪問所有Windows、Linux/Unix操作系統(tǒng)���。企業(yè)用戶可以通過云堡壘機管理多臺云服務器���,滿足等保三級對用戶身份鑒別���、訪問控制、安全審計等條款的要求���。
二���、云堡壘機優(yōu)勢
1、HTML5一站式管理
無需安裝特定客戶端���,無需安裝任何插件���,任意終端的主流瀏覽器,包括移動端APP瀏覽器登錄���,用戶隨時隨地打開即可進行運維���。
系統(tǒng)HTML5管理界面簡潔易用,集中管理用戶���、資源和權限���,支持批量創(chuàng)建用戶���、批量導入資源、批量授權運維���、批量登錄資源等高效運維管理方式���。
2、操作指令精準攔截
針對資源敏感操作進行二次復核���,系統(tǒng)預置標準Linux字符命令庫或自定義命令,對運維操作指令和腳本的精準攔截���,并可通過異步“動態(tài)授權”���,實現(xiàn)對敏感操作的動態(tài)管控,防止誤操作或惡意操作的發(fā)生���。
3���、核心資源二次授權
借鑒銀行金庫授權機制���,針對重要資源的運維權限設置多人授權,若需登錄此類資源���,需多位授權候選人進行“二次授權”���,加強對核心資源數(shù)據(jù)的保護,提升數(shù)據(jù)安全防護能力和管理能力���,保障核心資產(chǎn)數(shù)據(jù)的絕對安全���。
4、應用發(fā)布擴展
針對數(shù)據(jù)庫類���、Web應用類���、客戶端程序類等不同應用資源,提供統(tǒng)一訪問入口���,并可提高對應用操作的圖形化審計���。
5���、數(shù)據(jù)庫運維審計
針對DB2、MySQL���、SQL Server和Oracle等云數(shù)據(jù)庫���,支持統(tǒng)一資源運維管理,以及SSO單點登錄工具一鍵登錄數(shù)據(jù)庫���,提供對數(shù)據(jù)庫操作的全程記錄���,實現(xiàn)對云數(shù)據(jù)庫的操作指令進行解析,100%還原操作指令���。
6、自動化運維
自動化運維是將系統(tǒng)運維管理中復雜的���、重復的���、數(shù)量基數(shù)大的操作,通過統(tǒng)一的策略、任務將復雜運維精準化和效率化���,幫助運維人員從重復的體力勞動中解放出來���,提高運維效率。
三���、云堡壘機應用場景
1���、內部人員操作的安全隱患
隨著企業(yè)信息化進程不斷深入,企業(yè)的業(yè)務系統(tǒng)變得日益復雜���,由內部員工違規(guī)操作導致的安全問題變得日益突出起來���。防火墻、防病毒���、入侵檢測系統(tǒng)等常規(guī)的安全產(chǎn)品可以解決一部分安全問題���,但對于內部人員的違規(guī)操作卻無能為力。云堡壘機在運維過程中���,通過事前預防���、事中控制和事后審計���,有效減少內部人員操作的安全隱患。
2���、第三方維護人員安全隱患
企業(yè)在發(fā)展的過程中���,因為戰(zhàn)略定位和人力等諸多原因,越來越多的會將非核心業(yè)務外包給設備商或者其他專業(yè)代維公司���。如何有效地監(jiān)控設備廠商和代維人員的操作行為,并進行嚴格的審計是企業(yè)面臨的一個關鍵問題���。嚴格的規(guī)章制度只能約束一部分人的行為,只有通過嚴格的權限控制和操作審計才能確保安全管理制度的有效執(zhí)行���。云堡壘機在運維過程中���,通過事前預防���、事中控制和事后審計���,有效減少第三方維護人員安全隱患���。
3、高權限賬號濫用風險
因為種種歷史遺留問題���,并不是所有的信息系統(tǒng)都有嚴格的身份認證和權限劃分���,權限劃分混亂,高權限賬號(比如root賬號)共用等問題一直困擾著網(wǎng)絡管理人員���,高權限賬號往往掌握著數(shù)據(jù)庫和業(yè)務系統(tǒng)的命脈���,任何一個操作都可能導致數(shù)據(jù)的修改和泄露,最高權限的濫用���,讓運維安全變得更加脆弱���,也讓責任劃分和威脅追蹤變得更加困難。云堡壘機通過建立“自然人-資源-資源賬號”關系���,實現(xiàn)統(tǒng)一認證和授權���。
4���、違規(guī)行為無法控制的風險
網(wǎng)絡管理員總是試圖定義各種操作條例,來規(guī)范內部員工的網(wǎng)絡訪問行為���,但是除了在造成惡性后果后追查責任人���,沒有更好的方式來限制員工的合規(guī)操作。事后追查時又沒有有效證據(jù)���,只能是亡羊補牢���,損失已經(jīng)造成。云堡壘機通過建立“自然人-操作-資源”關系���,實現(xiàn)操作審計和控制���。
本文由培訓無憂網(wǎng)達內教育課程顧問老師整理發(fā)布,更多課程信息可關注網(wǎng)絡工程師培訓或添加老師微信:15033336050 注:尊重原創(chuàng)文章,轉載請注明出處和鏈接 http://www.elsolbar.com/news-id-6586.html 違者必究���!部分文章來源于網(wǎng)絡由培訓無憂網(wǎng)編輯部人員整理發(fā)布,內容真實性請自行核實或聯(lián)系我們���,了解更多相關資訊請關注網(wǎng)絡工程師頻道查看更多,了解相關專業(yè)課程信息您可在線咨詢也可免費申請試課���。關注官方微信了解更多:150 3333 6050
