友情提示:全文2000多文字,预计阅读时间8分钟
云堡垒机
一、简介
云堡垒机是移动云为用户提供的云资源安全管理平台,帮助用户更加精细的管理云上资产,实现对云上资产运维过程的事前规划、事中控制和事后审计,同时,移动云堡垒机还支持自动化运维、资产拓扑发现、工单审批等功能,帮助用户建立完善的运维管理与内控体系,建立安全、高效、可控的运维管理机制。
二、产品优势
2.1 精细化访问控制
支持对用户访问时间、IP、剪切板使用、文件传输等进行精细化管控,同时支持对指令和脚本的精准拦截,防止越权操作、误操作及恶意操作的发生。
2.2 远程会话协同
支持用户实现远程会话协同,只需创建者分享链接,参与者即可加入其中,创建者可根据自身需求实现多种应用,例如远程协助,统一培训,多方协同会话等,灵活性强,操作便捷。
2.3 异步动态授权
支持敏感指令触发工单系统进行审批复核方可执行,同时针对核心资产的访问,借鉴银行金库模型,可设置双人授权,授权人需要现场授权才能访问目标资源。
2.4 自动化运维
针对重复性的运维工作,支持预置脚本和任务,云堡垒机据此进行定期的自动化执行,并将执行结果记录下来,供运维人员查看,大大提高运维管理的效率。
三、产品功能
3.1 身份管理
云堡垒机主账号通过本地认证、AD认证、RADIUS认证等多种认证方式,将主帐号与实际用户身份一一对应,确保行为审计的一致性,从而准确定位事故责任人,弥补传统网络安全审计产品无法准确定位用户身份的缺陷。
3.2 角色分权
云堡垒机预置多种用户角色:系统管理员、部门管理员、策略管理员、审计管理员、运维员。每种用户角色的权限都各不相同、相互制约。部门管理员负责本部门的用户和资源的管理,并制定访问控制策略,授权用户去访问资源的权限;审计管理员进行本部门用户的运维操作审计;运维员负责访问资源进行日常的运维、升级等工作。除了预置的角色之外,云堡垒机还支持自定义角色,如下图所示,通过角色的自定义,满足企业单位的复杂运维场景,为设立不同的角色提供了选择。
图 1自定义角色
3.3 集中管控
通过集中的访问控制策略定制,帮助企业单位梳理用户与资源的关系,并且提供一对一、一对多、多对一、多对多的灵活授权模式。云堡垒机提供的访问控制策略,实现的不仅仅是将资源授权给用户,更实现了功能权限的精细化控制,最大程度地降低越权操作的可能。
3.4 资源改密
在传统的运维模式下,管理员需要定期手动修改资源账户的密码,同时维护起来也比较繁琐。如下图所示,通过云堡垒机提供的改密策略,实现自动化的改密,并且以日志形式记录改密执行结果,让管理员掌握资源的改密动态和历史密码。
图2自动改密
3.5 资源访问
云堡垒机支持托管主机、网络设备、安全设备、数据库和应用发布的账户和密码,运维人员可单点登录到目标资源进行运维操作,无需输入账户和密码。同时,云堡垒机支持混合协议的批量登录,如下图所示,通过批量登录,运维人员可以在一个页面上批量打开多台资源,方便运维人员在操作时进行不同资源的切换。
图3批量登录
3.6 全程审计
运维人员登录到云堡垒机之后,所有的操作就都在云堡垒机的管控之下,并且对所有的操作都进行了详细记录。针对会话的审计日志,还可以支持在线查看、在线播放和下载后离线播放。
云堡垒机目前支持字符协议(SSH、TELNET)、图形协议(RDP、VNC)、文件传输协议(FTP、SFTP)、数据库协议(DB2、MySQL、Oracle、SQL Server)和应用发布的操作审计。其中,字符协议和数据库协议能够进行操作指令解析,100%还原操作指令;图形协议和应用发布可以通过OCR进行文字识别;文件传输能够记录传输的文件名称和目标路径。
3.7 命令控制
云堡垒机提供了集中的命令控制策略功能,不仅支持SSH、TELNET等字符协议,还支持MySQL和Oracle数据库的访问控制,实现基于不同的资源账户、不同的用户设置不同的命令控制策略。策略提供断开连接、拒绝执行、动态授权和允许执行等四种执行动作,根据命令的危险程度和资源的重要程度去设置命令的执行动作。同时,云堡垒机预置了近千条Linux/Unix、主流网络设备的操作命令,以及常用的数据库操作指令,让管理人员可以直接从命令库进行调取,简化命令控制策略的配置过程。
3.8 工单申请
运维人员向管理员申请需要访问的设备,以工单方式向管理员进行申请。当需要使用的功能权限(例如文件管理、RDP剪切板等)由于策略的限制无法使用时,运维人员也可以通过工单申请相应的功能权限。管理员对工单进行审核和批准后,运维人员就拥有了临时的访问权限。
工单的审批流程可以由系统管理员进行自定义,并且可以设置多人审批或者是会签审批模式,规范资源运维操作流程。
3.9 报表分析
云堡垒机预置了多种分析报表,如下图所示,通过报表能够全方位地分析系统操作、资源运维的情况,让管理员迅速了解系统的现状,快速分析系统操作和资源运维的情况,及时阻止安全事件的发生。报表支持自动发送,支持以天、周、月为粒度发送报表,并且以HTML、PDF、WORD、EXCEL等多种格式导出,让管理员随时掌握系统情况。
图4报表分析
四、应用场景
4.1 大规模云资产管控
对云平台、服务器、虚拟机、网络设备等企业资产包括相应的账号进行集中管理,并提供个人收藏夹等便捷功能。
4.2 多人、多职能运维
产品提供灵活、细致的权限管控机制,从不同的角色,组织机构纬度出发,解决特定职能人员对资产运维管控的问题。
4.3 安全审计、大数据分析
产品提供多种精准、全面的审计模式,并允许用户针对不同类型的数据自定义分析模型,为安全决策定制最有价值的报表数据。
图5应用场景
五、产品规格
产品类型 |
订购规格 |
CPU(个) |
内存(G) |
存储(G) |
元/实例/月 |
云堡垒 |
基础版(20资产20并发) |
2 |
4 |
500 |
580 |
专业版(50资产50并发) |
2 |
4 |
500 |
1450 |
|
企业版(100资产100并发) |
4 |
8 |
1000 |
2400 |
|
高级版(200资产200并发) |
4 |
8 |
1000 |
3350 |
|
旗舰版(500资产500并发) |
8 |
16 |
2000 |
6490 |
|
注: 1.最终资费请以网站公布的最新资费为准。 |
六、总结
云堡垒机产品提供了丰富、全面的管控功能,帮助企业解决运维过程不透明、责任认定难、管理不规范、权限混乱、控制力度不足、审计不全面等难题,同时统一管理企业信息系统资源。另外云堡垒机产品满足等保三级对用户身份鉴别、访问控制、安全审计等条款的要求,帮助用户完成等保落地。
目前云堡垒机产品已正式上线移动云,欢迎订购使用。“安全可控”的移动云,你值得拥有!
-End:)
往期精选
1、大云制造 | 大云软负载均衡BC-SLB-C V1.0发布!
2、大云制造 | 安全服务系列(下)— 等保咨询/应急响应/漏洞扫描/安全培训
3、大云制造 | BC-Linux For ARM64 V7.6操作系统正式发布
来源:oschina
链接:https://my.oschina.net/u/4322037/blog/4943437