云堡垒机(Cloud Bastion Host,CBH)是为企业提供集中的帐号(Account)、授权(Authorization)、认证(Authentication)和审计(Audit)管理服务。
云堡垒机提供云计算安全管控的系统和组件,包含部门、用户、资源、策略、运维、审计等功能模块,集单点登录、统一资产管理、多终端访问协议、文件传输、会话协同等功能于一体。通过统一运维登录入口,基于协议正向代理技术和远程访问隔离技术,实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计。
目前提供云堡垒机产品的主要大品牌云厂家有以下几家:
1、阿里云堡垒机(点击查看);
2、腾讯云堡垒机(点击查看);
3、华为云堡垒机(点击查看);
4、Ucloud云堡垒机(点击查看);
可以通过以下华为云堡垒机介绍视频详细了解云堡垒机产品:
云堡垒机具有以下功能:
云堡垒机不仅拥有传统4A安全管控的基本功能特性,包括身份认证、账户管理、权限控制、操作审计四大功能。还拥有高效运维、工单申请等特色功能。 身份认证采用多因子认证和远程认证技术,加强用户身份认证管理。 - 引用多因子认证技术,包括手机短信、手机令牌、USBKey、动态令牌等方式,安全认证登录用户身份,降低用户帐号密码风险。
- 对接第三方认证服务或平台,包括AD域、RADIUS、LDAP、Azure AD远程认证,支持远程认证用户身份,防止身份泄露。并支持一键同步AD域服务器用户,复用原有用户部署结构。
账户管理集中管理系统用户和资源帐号信息,对帐号全生命周期建立可视、可控、可管运维体系。 表1 帐号管理功能说明 | | 用户帐号管理 | 系统用户帐号全生命周期管理,用户使用唯一帐号登录系统,解决共享帐号、临时帐号、滥用权限等问题。 | 资源账户管理 | 集中资源账户管理,资源账户全生命周期管理,实现单点登录资源,管理或运维无缝切换。 - 资源类型
纳管资源类型丰富,包括Windows、Linux等主机资源,MySQL、Oracle等数据库资源,以及Windows应用程序资源。 - 支持C/S架构运维接入,包括SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin协议类型主机资源。
- 支持B/S、C/S架构应用系统资源接入,可直接配置12+种IE、Chrome、Oracle Tool等浏览器或客户端Windows服务器应用资源。
- 资源管理
|
权限控制集中管控用户访问系统和资源的权限,对系统和资源的访问权限进行细粒度设置,保障了系统管理安全和资源运维安全。 表2 权限控制功能说明 | | 系统访问权限 | 从单个用户帐号属性出发,控制用户登录和访问系统权限。 | 资源访问权限 | 按照用户、用户组与资源账户、账户组之间的关联关系,建立用户对资源的控制权限。 |
操作审计基于用户身份系统唯一标识,从用户登录系统开始,全程记录用户在系统的操作行为,监控和审计用户对目标资源的所有操作,实现对安全事件的实时发现与预警。
表3 操作审计功能说明 | | 系统行为审计 | 系统操作行为全纪录,针对操作失误、恶意操作、越权操作等行为告警通知。 | 资源运维审计 | 全程记录用户的运维操作,支持多种运维审计技术和审计形式,可随时审计用户操作行为,识别运维风险,为安全事件追溯和分析提供依据。 |
高效运维通过多种架构运维、多种运维资源、多种运维工具、多种运维形式的接入,全面提升运维效率。 表4 高效运维功能说明 | | Web浏览器运维 | HTML5远程登录资源,无需安装客户端,一键登录运维资源,实现操作实时监控、文件上传下载等运维管理。 | 第三方客户端运维 | 在不改变用户使用原来客户端习惯的前提下,支持一键接入多种运维工具,提升运维效率。 | 自动化运维 | 线上多步骤复杂操作自动化执行,告别枯燥的重复工作,提高工作效率。 |
保险和金融行业,具有大量个人信息数据和金融资金操作行为,以及大量第三方机构代为运作,可能存在巨大违规操作、滥用职权等非法运作风险。通过在云上部署云堡垒机系统,单点登录入口,集中管理账户和资源,部门权限隔离,核心资产多人审核授权,敏感操作二次复核授权,健全的运维审计机制,能够为高风险行业提供严要求审计功能,满足行业监管要求。
|