友情提示:全文2000多文字,預計閱讀時間8分鐘
雲堡壘機
一、簡介
雲堡壘機是移動云爲用戶提供的雲資源安全管理平臺,幫助用戶更加精細的管理雲上資產,實現對雲上資產運維過程的事前規劃、事中控制和事後審計,同時,移動雲堡壘機還支持自動化運維、資產拓撲發現、工單審批等功能,幫助用戶建立完善的運維管理與內控體系,建立安全、高效、可控的運維管理機制。
二、產品優勢
2.1 精細化訪問控制
支持對用戶訪問時間、IP、剪切板使用、文件傳輸等進行精細化管控,同時支持對指令和腳本的精準攔截,防止越權操作、誤操作及惡意操作的發生。
2.2 遠程會話協同
支持用戶實現遠程會話協同,只需創建者分享鏈接,參與者即可加入其中,創建者可根據自身需求實現多種應用,例如遠程協助,統一培訓,多方協同會話等,靈活性強,操作便捷。
2.3 異步動態授權
支持敏感指令觸發工單系統進行審批覆核方可執行,同時針對核心資產的訪問,借鑑銀行金庫模型,可設置雙人授權,授權人需要現場授權才能訪問目標資源。
2.4 自動化運維
針對重複性的運維工作,支持預置腳本和任務,雲堡壘機據此進行定期的自動化執行,並將執行結果記錄下來,供運維人員查看,大大提高運維管理的效率。
三、產品功能
3.1 身份管理
雲堡壘機主賬號通過本地認證、AD認證、RADIUS認證等多種認證方式,將主帳號與實際用戶身份一一對應,確保行爲審計的一致性,從而準確定位事故責任人,彌補傳統網絡安全審計產品無法準確定位用戶身份的缺陷。
3.2 角色分權
雲堡壘機預置多種用戶角色:系統管理員、部門管理員、策略管理員、審計管理員、運維員。每種用戶角色的權限都各不相同、相互制約。部門管理員負責本部門的用戶和資源的管理,並制定訪問控制策略,授權用戶去訪問資源的權限;審計管理員進行本部門用戶的運維操作審計;運維員負責訪問資源進行日常的運維、升級等工作。除了預置的角色之外,雲堡壘機還支持自定義角色,如下圖所示,通過角色的自定義,滿足企業單位的複雜運維場景,爲設立不同的角色提供了選擇。
圖 1自定義角色
3.3 集中管控
通過集中的訪問控制策略定製,幫助企業單位梳理用戶與資源的關係,並且提供一對一、一對多、多對一、多對多的靈活授權模式。雲堡壘機提供的訪問控制策略,實現的不僅僅是將資源授權給用戶,更實現了功能權限的精細化控制,最大程度地降低越權操作的可能。
3.4 資源改密
在傳統的運維模式下,管理員需要定期手動修改資源賬戶的密碼,同時維護起來也比較繁瑣。如下圖所示,通過雲堡壘機提供的改密策略,實現自動化的改密,並且以日誌形式記錄改密執行結果,讓管理員掌握資源的改密動態和歷史密碼。
圖2自動改密
3.5 資源訪問
雲堡壘機支持託管主機、網絡設備、安全設備、數據庫和應用發佈的賬戶和密碼,運維人員可單點登錄到目標資源進行運維操作,無需輸入賬戶和密碼。同時,雲堡壘機支持混合協議的批量登錄,如下圖所示,通過批量登錄,運維人員可以在一個頁面上批量打開多臺資源,方便運維人員在操作時進行不同資源的切換。
圖3批量登錄
3.6 全程審計
運維人員登錄到雲堡壘機之後,所有的操作就都在雲堡壘機的管控之下,並且對所有的操作都進行了詳細記錄。針對會話的審計日誌,還可以支持在線查看、在線播放和下載後離線播放。
雲堡壘機目前支持字符協議(SSH、TELNET)、圖形協議(RDP、VNC)、文件傳輸協議(FTP、SFTP)、數據庫協議(DB2、MySQL、Oracle、SQL Server)和應用發佈的操作審計。其中,字符協議和數據庫協議能夠進行操作指令解析,100%還原操作指令;圖形協議和應用發佈可以通過OCR進行文字識別;文件傳輸能夠記錄傳輸的文件名稱和目標路徑。
3.7 命令控制
雲堡壘機提供了集中的命令控制策略功能,不僅支持SSH、TELNET等字符協議,還支持MySQL和Oracle數據庫的訪問控制,實現基於不同的資源賬戶、不同的用戶設置不同的命令控制策略。策略提供斷開連接、拒絕執行、動態授權和允許執行等四種執行動作,根據命令的危險程度和資源的重要程度去設置命令的執行動作。同時,雲堡壘機預置了近千條Linux/Unix、主流網絡設備的操作命令,以及常用的數據庫操作指令,讓管理人員可以直接從命令庫進行調取,簡化命令控制策略的配置過程。
3.8 工單申請
運維人員向管理員申請需要訪問的設備,以工單方式向管理員進行申請。當需要使用的功能權限(例如文件管理、RDP剪切板等)由於策略的限制無法使用時,運維人員也可以通過工單申請相應的功能權限。管理員對工單進行審覈和批准後,運維人員就擁有了臨時的訪問權限。
工單的審批流程可以由系統管理員進行自定義,並且可以設置多人審批或者是會籤審批模式,規範資源運維操作流程。
3.9 報表分析
雲堡壘機預置了多種分析報表,如下圖所示,通過報表能夠全方位地分析系統操作、資源運維的情況,讓管理員迅速瞭解系統的現狀,快速分析系統操作和資源運維的情況,及時阻止安全事件的發生。報表支持自動發送,支持以天、周、月爲粒度發送報表,並且以HTML、PDF、WORD、EXCEL等多種格式導出,讓管理員隨時掌握系統情況。
圖4報表分析
四、應用場景
4.1 大規模雲資產管控
對雲平臺、服務器、虛擬機、網絡設備等企業資產包括相應的賬號進行集中管理,並提供個人收藏夾等便捷功能。
4.2 多人、多職能運維
產品提供靈活、細緻的權限管控機制,從不同的角色,組織機構緯度出發,解決特定職能人員對資產運維管控的問題。
4.3 安全審計、大數據分析
產品提供多種精準、全面的審計模式,並允許用戶針對不同類型的數據自定義分析模型,爲安全決策定製最有價值的報表數據。
圖5應用場景
五、產品規格
產品類型 |
訂購規格 |
CPU(個) |
內存(G) |
存儲(G) |
元/實例/月 |
雲堡壘 |
基礎版(20資產20併發) |
2 |
4 |
500 |
580 |
專業版(50資產50併發) |
2 |
4 |
500 |
1450 |
|
企業版(100資產100併發) |
4 |
8 |
1000 |
2400 |
|
高級版(200資產200併發) |
4 |
8 |
1000 |
3350 |
|
旗艦版(500資產500併發) |
8 |
16 |
2000 |
6490 |
|
注: 1.最終資費請以網站公佈的最新資費爲準。 |
六、總結
雲堡壘機產品提供了豐富、全面的管控功能,幫助企業解決運維過程不透明、責任認定難、管理不規範、權限混亂、控制力度不足、審計不全面等難題,同時統一管理企業信息系統資源。另外雲堡壘機產品滿足等保三級對用戶身份鑑別、訪問控制、安全審計等條款的要求,幫助用戶完成等保落地。
目前雲堡壘機產品已正式上線移動雲,歡迎訂購使用。“安全可控”的移動雲,你值得擁有!
-End:)
往期精選
1、大雲製造 | 大雲軟負載均衡BC-SLB-C V1.0發佈!
2、大雲製造 | 安全服務系列(下)— 等保諮詢/應急響應/漏洞掃描/安全培訓
3、大雲製造 | BC-Linux For ARM64 V7.6操作系統正式發佈