網(wǎng)絡(luò)工程師帶你認(rèn)識(shí)云堡壘機(jī)

    堡壘機(jī)是種具備強(qiáng)大防御功能和安全審計(jì)功能的服務(wù)器�；�于跳板機(jī)理念，作為內(nèi)外網(wǎng)絡(luò)的個(gè)安全審計(jì)監(jiān)測點(diǎn)，以達(dá)到把所有網(wǎng)站安全問題集中到某臺(tái)服務(wù)器上解決，從而省時(shí)省力，同時(shí)，運(yùn)維堡壘機(jī)還具備了對(duì)運(yùn)維人員的遠(yuǎn)程登錄進(jìn)行集中管理的功能作用。

一、什么是云堡壘機(jī)？

    云堡壘機(jī)（Cloud Bastion Host，CBH）是一款4A統(tǒng)一安全管控平臺(tái)，為企業(yè)提供集中的帳號(hào)（Account）、授權(quán)（Authorization）、認(rèn)證（Authentication）和審計(jì)（Audit）管理服務(wù)。

    云堡壘機(jī)是一種可提供高效運(yùn)維、認(rèn)證管理、訪問控制、安全審計(jì)和報(bào)表分析功能的云安全服務(wù)。云租戶運(yùn)維人員可通過云堡壘機(jī)完成資產(chǎn)的運(yùn)維和操作審計(jì)。堡壘機(jī)通過基于協(xié)議正向代理可實(shí)現(xiàn)對(duì)SSH、Windows遠(yuǎn)程桌面、SFTP等常見的運(yùn)維協(xié)議的數(shù)據(jù)流進(jìn)行全程記錄，再通過數(shù)據(jù)流重置的方式進(jìn)行錄像回放，達(dá)到運(yùn)維審計(jì)的目的。

    云堡壘機(jī)提供云計(jì)算安全管控的系統(tǒng)和組件，包含部門、用戶、資源、策略、運(yùn)維、審計(jì)等功能模塊，集單點(diǎn)登錄、統(tǒng)一資產(chǎn)管理、多終端訪問協(xié)議、文件傳輸、會(huì)話協(xié)同等功能于一體。通過統(tǒng)一運(yùn)維登錄入口，基于協(xié)議正向代理技術(shù)和遠(yuǎn)程訪問隔離技術(shù)，實(shí)現(xiàn)對(duì)服務(wù)器、云主機(jī)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等云上資源的集中管理和運(yùn)維審計(jì)。

二、云堡壘機(jī)優(yōu)勢

1、HTML5一站式管理

    無需安裝特定客戶端，無需安裝任何插件，任意終端的主流瀏覽器，包括移動(dòng)端APP瀏覽器登錄，用戶隨時(shí)隨地打開即可進(jìn)行運(yùn)維。

    系統(tǒng)HTML5管理界面簡潔易用，集中管理用戶、資源和權(quán)限，支持批量創(chuàng)建用戶、批量導(dǎo)入資源、批量授權(quán)運(yùn)維、批量登錄資源等高效運(yùn)維管理方式。

2、操作指令精準(zhǔn)攔截

    針對(duì)資源敏感操作進(jìn)行二次復(fù)核，系統(tǒng)預(yù)置標(biāo)準(zhǔn)Linux字符命令庫或自定義命令，對(duì)運(yùn)維操作指令和腳本的精準(zhǔn)攔截，并可通過異步“動(dòng)態(tài)授權(quán)”，實(shí)現(xiàn)對(duì)敏感操作的動(dòng)態(tài)管控，防止誤操作或惡意操作的發(fā)生。

3、核心資源二次授權(quán)

    借鑒銀行金庫授權(quán)機(jī)制，針對(duì)重要資源的運(yùn)維權(quán)限設(shè)置多人授權(quán)，若需登錄此類資源，需多位授權(quán)候選人進(jìn)行“二次授權(quán)”，加強(qiáng)對(duì)核心資源數(shù)據(jù)的保護(hù)，提升數(shù)據(jù)安全防護(hù)能力和管理能力，保障核心資產(chǎn)數(shù)據(jù)的絕對(duì)安全。

4、應(yīng)用發(fā)布擴(kuò)展

    針對(duì)數(shù)據(jù)庫類、Web應(yīng)用類、客戶端程序類等不同應(yīng)用資源，提供統(tǒng)一訪問入口，并可提高對(duì)應(yīng)用操作的圖形化審計(jì)。

5、數(shù)據(jù)庫運(yùn)維審計(jì)

    針對(duì)DB2、MySQL、SQL Server和Oracle等云數(shù)據(jù)庫，支持統(tǒng)一資源運(yùn)維管理，以及SSO單點(diǎn)登錄工具一鍵登錄數(shù)據(jù)庫，提供對(duì)數(shù)據(jù)庫操作的全程記錄，實(shí)現(xiàn)對(duì)云數(shù)據(jù)庫的操作指令進(jìn)行解析，100%還原操作指令。

6、自動(dòng)化運(yùn)維

    自動(dòng)化運(yùn)維是將系統(tǒng)運(yùn)維管理中復(fù)雜的、重復(fù)的、數(shù)量基數(shù)大的操作，通過統(tǒng)一的策略、任務(wù)將復(fù)雜運(yùn)維精準(zhǔn)化和效率化，幫助運(yùn)維人員從重復(fù)的體力勞動(dòng)中解放出來，提高運(yùn)維效率。

三、云堡壘機(jī)應(yīng)用場景

1、內(nèi)部人員操作的安全隱患

    隨著企業(yè)信息化進(jìn)程不斷深入，企業(yè)的業(yè)務(wù)系統(tǒng)變得日益復(fù)雜，由內(nèi)部員工違規(guī)操作導(dǎo)致的安全問題變得日益突出起來。防火墻、防病毒、入侵檢測系統(tǒng)等常規(guī)的安全產(chǎn)品可以解決一部分安全問題，但對(duì)于內(nèi)部人員的違規(guī)操作卻無能為力。云堡壘機(jī)在運(yùn)維過程中，通過事前預(yù)防、事中控制和事后審計(jì)，有效減少內(nèi)部人員操作的安全隱患。

2、第三方維護(hù)人員安全隱患

    企業(yè)在發(fā)展的過程中，因?yàn)閼?zhàn)略定位和人力等諸多原因，越來越多的會(huì)將非核心業(yè)務(wù)外包給設(shè)備商或者其他專業(yè)代維公司。如何有效地監(jiān)控設(shè)備廠商和代維人員的操作行為,并進(jìn)行嚴(yán)格的審計(jì)是企業(yè)面臨的一個(gè)關(guān)鍵問題。嚴(yán)格的規(guī)章制度只能約束一部分人的行為，只有通過嚴(yán)格的權(quán)限控制和操作審計(jì)才能確保安全管理制度的有效執(zhí)行。云堡壘機(jī)在運(yùn)維過程中，通過事前預(yù)防、事中控制和事后審計(jì)，有效減少第三方維護(hù)人員安全隱患。

3、高權(quán)限賬號(hào)濫用風(fēng)險(xiǎn)

    因?yàn)榉N種歷史遺留問題，并不是所有的信息系統(tǒng)都有嚴(yán)格的身份認(rèn)證和權(quán)限劃分，權(quán)限劃分混亂，高權(quán)限賬號(hào)（比如root賬號(hào)）共用等問題一直困擾著網(wǎng)絡(luò)管理人員，高權(quán)限賬號(hào)往往掌握著數(shù)據(jù)庫和業(yè)務(wù)系統(tǒng)的命脈，任何一個(gè)操作都可能導(dǎo)致數(shù)據(jù)的修改和泄露，最高權(quán)限的濫用，讓運(yùn)維安全變得更加脆弱，也讓責(zé)任劃分和威脅追蹤變得更加困難。云堡壘機(jī)通過建立“自然人-資源-資源賬號(hào)”關(guān)系，實(shí)現(xiàn)統(tǒng)一認(rèn)證和授權(quán)。

4、違規(guī)行為無法控制的風(fēng)險(xiǎn)

    網(wǎng)絡(luò)管理員總是試圖定義各種操作條例，來規(guī)范內(nèi)部員工的網(wǎng)絡(luò)訪問行為，但是除了在造成惡性后果后追查責(zé)任人，沒有更好的方式來限制員工的合規(guī)操作。事后追查時(shí)又沒有有效證據(jù)，只能是亡羊補(bǔ)牢，損失已經(jīng)造成。云堡壘機(jī)通過建立“自然人-操作-資源”關(guān)系，實(shí)現(xiàn)操作審計(jì)和控制。

      注：尊重原創(chuàng)文章,轉(zhuǎn)載請(qǐng)注明出處和鏈接 http://m.universityresearchassociates.com/news-id-6586.html 違者必究！部分文章來源于網(wǎng)絡(luò)由培訓(xùn)無憂網(wǎng)編輯部人員整理發(fā)布,內(nèi)容真實(shí)性請(qǐng)自行核實(shí)或聯(lián)系我們，了解更多相關(guān)資訊請(qǐng)關(guān)注網(wǎng)絡(luò)工程師頻道查看更多，了解相關(guān)專業(yè)課程信息您可在線咨詢也可免費(fèi)申請(qǐng)?jiān)囌n。關(guān)注官方微信了解更多：150 3333 6050