云堡垒机是什么?都有些什么功能?金融保险行业会用到吗

[复制链接]
查看: 425|回复: 0

3

主题

3

帖子

21

积分

新手上路

Rank: 1

积分
21
发表于 2021-1-3 17:16:05 | 显示全部楼层 |阅读模式
云堡垒机(Cloud Bastion Host,CBH)是为企业提供集中的帐号(Account)、授权(Authorization)、认证(Authentication)和审计(Audit)管理服务。

云堡垒机提供云计算安全管控的系统和组件,包含部门、用户、资源、策略、运维、审计等功能模块,集单点登录、统一资产管理、多终端访问协议、文件传输、会话协同等功能于一体。通过统一运维登录入口,基于协议正向代理技术和远程访问隔离技术,实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计。

目前提供云堡垒机产品的主要大品牌云厂家有以下几家:
1、阿里云堡垒机(点击查看)
2、腾讯云堡垒机(点击查看)
3、华为云堡垒机(点击查看)
4、Ucloud云堡垒机(点击查看)

可以通过以下华为云堡垒机介绍视频详细了解云堡垒机产品:


云堡垒机具有以下功能:

云堡垒机不仅拥有传统4A安全管控的基本功能特性,包括身份认证、账户管理、权限控制、操作审计四大功能。还拥有高效运维、工单申请等特色功能。
身份认证
采用多因子认证和远程认证技术,加强用户身份认证管理。
  • 引用多因子认证技术,包括手机短信、手机令牌、USBKey、动态令牌等方式,安全认证登录用户身份,降低用户帐号密码风险。
  • 对接第三方认证服务或平台,包括AD域、RADIUS、LDAP、Azure AD远程认证,支持远程认证用户身份,防止身份泄露。并支持一键同步AD域服务器用户,复用原有用户部署结构。

账户管理
集中管理系统用户和资源帐号信息,对帐号全生命周期建立可视、可控、可管运维体系。
表1 帐号管理功能说明
功能特性
功能说明
用户帐号管理
系统用户帐号全生命周期管理,用户使用唯一帐号登录系统,解决共享帐号、临时帐号、滥用权限等问题。
  • 批量导入
    通过同步第三方服务器用户,以及批量导入用户,支持一键同步并导入已有用户信息,无需重复创建用户。
  • 用户组
    用户帐号按属性分组管理,可实现对同类型用户按用户组赋予权限。
  • 批量管理
    支持批量管理用户帐号,包括删除、启用、禁用、重置密码、修改用户基本配置等。

资源账户管理
集中资源账户管理,资源账户全生命周期管理,实现单点登录资源,管理或运维无缝切换。
  • 资源类型
    纳管资源类型丰富,包括Windows、Linux等主机资源,MySQL、Oracle等数据库资源,以及Windows应用程序资源。
    • 支持C/S架构运维接入,包括SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin协议类型主机资源。
    • 支持B/S、C/S架构应用系统资源接入,可直接配置12+种IE、Chrome、Oracle Tool等浏览器或客户端Windows服务器应用资源。
  • 资源管理
    • 批量导入
      通过自动发现、同步云上资源,以及批量导入资源,支持一键同步并导入云上ECS、RDS等服务器上资源。
    • 账户组管理
      资源账户按属性分组管理,可实现对同类型资源账户按账户组给用户赋权。
    • 密码自动代填
      采用AES256加密方式存储资源账户,通过密码自动代填技术加密共享账户,避免账户泄露风险。
    • 账户自动改密
      通过设置改密策略,可定时定期修改账户密码,确保资源的账户安全。
    • 账户自动同步
      通过设置账户同步策略,可定时定期核查和同步主机资源账户,包括拉取主机账户统计异常系统资源账户,以及推送系统新建、删除、修改的资源账户到主机,确保资源账户健康生存周期。
    • 批量管理
      支持批量管理资源信息和资源账户,包括删除资源、添加资源标签、修改资源信息、验证资源账户、删除资源账户等。




权限控制
集中管控用户访问系统和资源的权限,对系统和资源的访问权限进行细粒度设置,保障了系统管理安全和资源运维安全。
表2 权限控制功能说明
功能特性
功能说明
系统访问权限
从单个用户帐号属性出发,控制用户登录和访问系统权限。
  • 用户角色
    通过为每个用户帐号分配不同的角色,赋予用户访问系统不同模块的权限,对系统用户身份进行分权。
    系统支持自定义角色,自定义角色中可以自选添加系统模块,实现角色多样化模式。
  • 组织部门
    通过为每个用户划分部门,采用部门组织树形结构,不限制部门层级,可将用户按部门分层级管理。
  • 登录限制
    通过设置用户登录配置,从登录有效期、登录时间、多因子认证、登录IP限制、登录MAC限制等维度,赋予用户登录系统的权限。

资源访问权限
按照用户、用户组与资源账户、账户组之间的关联关系,建立用户对资源的控制权限。
  • 访问控制
    通过设置访问控制权限,从访问有效期、登录时间、IP限制、上传/下载、文件传输、剪切板、显示水印等维度,赋予用户访问资源的权限。
  • 双人授权
    通过设置双人或多人授权审核,需要授权人实时授权才能访问资源,保障敏感核心资源绝对安全。
  • 命令拦截
    通过设置命令控制策略或数据库控制策略,对服务器或数据库中敏感、高危操作,强制阻断、告警及二次复核,加强对关键操作的管控。
  • 批量授权
    通过用户组和账户组形式,支持同时授权多个用户以多个资源的控制权限。



操作审计
基于用户身份系统唯一标识,从用户登录系统开始,全程记录用户在系统的操作行为,监控和审计用户对目标资源的所有操作,实现对安全事件的实时发现与预警。

表3 操作审计功能说明
功能特性
功能详情
系统行为审计
系统操作行为全纪录,针对操作失误、恶意操作、越权操作等行为告警通知。
  • 系统登录日志
    详细记录登录系统的方式、登录用户、用户来源IP、登录时间等信息。支持一键导出全部系统登录日志。
  • 系统操作日志
    系统操作行为全程记录,覆盖所有系统操作事件。支持一键导出全部系统操作日志。
  • 系统报表
    集中可视化呈现用户在系统的操作统计信息,包括用户启用状态、用户与资源创建、用户登录方式、异常登录、会话控制等信息。
    支持一键导出系统报表,并可定周期以邮件方式自动推送系统报表。
  • 告警通知
    通过配置系统告警,针对系统操作和系统环境制定不同告警方式和告警级别,以邮件方式和系统消息方式推送告警通知,以便及时发现系统异常和用户异常操作。

资源运维审计
全程记录用户的运维操作,支持多种运维审计技术和审计形式,可随时审计用户操作行为,识别运维风险,为安全事件追溯和分析提供依据。
  • 运维审计技术
    • Linux命令审计
      基于字符协议(SSH、TELNET)的命令操作审计,记录命令运维全程,支持解析字符操作命令,还原操作指令,根据输入、输出结果关键字搜索快速定位回放。
    • Windows操作审计
      基于图形协议(RDP、VNC)终端和应用发布的行为操作审计,远程桌面的操作全纪录,包括键盘操作、功能键操作、鼠标操作、窗口指令、窗口切换、剪切板拷贝等。
    • 数据库命令审计
      基于数据库协议(DB2、MySQL、Oracle、SQL Server)的命令操作审计,记录从SSO单点登录数据库到数据库命令操作全程,支持解析数据库操作指令,100%还原操作指令。
    • 文件传输审计
      基于远程桌面的文件传输操作审计,以及基于文件传输协议(FTP、SFTP、SCP)的传输操作审计,对Web浏览器或客户端文件传输全程审计,记录传输的文件名称和目标路径。
    • OCR审计
      通过OCR识别技术,可将图形协议(RDP、VNC)和应用发布的图像文件识别为文本文件,提升图像审计效率。

  • 运维审计形式
    • 实时监控
      实时查看正在进行的运维会话,支持监控和中断实时会话。
    • 历史日志
      运维操作全程记录,详细记录历史运维会话信息,支持一键导出历史会话日志。
    • 会话视频
      支持对Linux命令审计、Windows操作审计全程录像记录,回放录像视频。
      支持生成视频文件,一键下载会话视频。
    • 运维报表
      集中可视化呈现运维统计信息,包括运维时间分布、资源访问次数、会话时长、双人授权、命令拦截、字符数命令、传输文件数等信息。
      支持一键导出运维报表,并可定周期以邮件方式自动推送系统报表。
    • 日志备份
      通过配置日志备份,可将历史会话日志远程备份至Syslog服务器、FTP/SFTP服务器、OBS桶,实现系统日志容灾备份。



高效运维
通过多种架构运维、多种运维资源、多种运维工具、多种运维形式的接入,全面提升运维效率。
表4 高效运维功能说明
功能特性
功能说明
Web浏览器运维
HTML5远程登录资源,无需安装客户端,一键登录运维资源,实现操作实时监控、文件上传下载等运维管理。
  • 一站式登录运维
    在Windows、Linux、Android、iOS等操作系统上,支持任意主流浏览器无插件化运维,包括IE、Chrome、Firefox等主流浏览器,让运维人员脱离运维工具和操作系统束缚,随时随地远程运维。
  • 批量登录
    支持一键登录多个授权资源,多个资源可同时在一个浏览器页签运维。
  • 协同会话
    支持多人参与“协同分享”,邀请其他运维人员或专家进行协同运维,对同一会话进行协同操作或问题定位,提高多人运维效率。
  • 文件传输
    基于WSS的文件管理技术,支持文件上传/下载,以及文件在线管理,实现多主机文件共享功能 。
  • 命令群发
    针对多个Linux资源,开启群发键。在一个会话窗口执行命令后,其他会话窗口将同步执行相同操作。

第三方客户端运维
在不改变用户使用原来客户端习惯的前提下,支持一键接入多种运维工具,提升运维效率。
  • 多种运维工具
    支持接入SecureCRT、Xshell、Xftp、WinSCP、Navicat 、Toad for Oracle等工具。
  • SSH客户端运维
    针对字符协议类主机资源,可通过运维客户端登录资源,实现运维平台多种选择。
  • 数据库客户端运维
    针对数据库主机资源,通过配置SSO单点登录工具,调用数据库客户端,实现一键登录目标数据库资源,数据库运维操作。
  • 文件传输客户端运维
    针对文件传输协议类主机资源,通过调用FTP/SFTP/SCP客户端登录资源,实现客户端运维。

自动化运维
线上多步骤复杂操作自动化执行,告别枯燥的重复工作,提高工作效率。
  • 脚本管理
    线下脚本上线管理,支持Shell和Python类型脚本的管理。
  • 运维任务
    通过配置命令执行、脚本执行、文件传输的运维任务,可定期、批量、自动执行预置的运维任务。




保险和金融行业,具有大量个人信息数据和金融资金操作行为,以及大量第三方机构代为运作,可能存在巨大违规操作、滥用职权等非法运作风险。通过在云上部署云堡垒机系统,单点登录入口,集中管理账户和资源,部门权限隔离,核心资产多人审核授权,敏感操作二次复核授权,健全的运维审计机制,能够为高风险行业提供严要求审计功能,满足行业监管要求。



腾讯云
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

精彩图文



在线客服(工作时间:9:00-22:00)
400-600-6565

内容导航

微信客服

Copyright   ©2015-2019  云服务器社区  Powered by©Discuz!  技术支持:尊托网络     ( 湘ICP备15009499号-1 )