云服务器网:购买云服务器和VPS必上的网站!

堡垒机怎么使用(堡垒机一般怎么部署)

本文目录:1、阿里云上怎么使用堡垒机?2、堡垒机的作用3、堡垒机如何使用阿里云上怎么使用堡垒机?堡垒机是阿里云提供的核心系统运维和安全审计的管控平台,可集中管理资产权限,全程管控操作行为,实时还原运维场景,保障云端运维行为身份可鉴别、权限可管控、操作可审计,解决众多资产难管理、运维职责权限不清晰以及

本文目录:

  • 1、阿里云上怎么使用堡垒机?
  • 2、堡垒机的作用
  • 3、堡垒机如何使用

阿里云上怎么使用堡垒机?

堡垒机是阿里云提供的核心系统运维和安全审计的管控平台,可集中管理资产权限,全程管控操作行为,实时还原运维场景,保障云端运维行为身份可鉴别、权限可管控、操作可审计,解决众多资产难管理、运维职责权限不清晰以及运维事件难追溯等问题, 助力企业满足等保合规需求。

0:00

/ 2:47

为什么选择堡垒机?

选择堡垒机,您可以轻松构建具有以下优势的核心系统运维和安全审计的管控平台:

运维入口统一

堡垒机可实现对多账号进行统一收口,员工可通过单点登录,一站式访问后端庞大服务器资源,在高效运维的同时,避免多资源账号密码易遗忘、多人知晓密码信息易泄漏等风险。

身份双因子认证

堡垒机提供双因子认证功能,可通过动态密码或短信认证方式再次进行身份鉴别,防止非法用户通过窃取账号密码,对资产进行仿冒登录、非法访问。

权限细粒度划分

堡垒机可以细粒度的给用户分组分权,如限制文件上传、下载、创建等,在最小化权限的基础上,实现最灵活配置控制。

高危行为自动阻断

堡垒机可以对敏感的高危命令,如删除数据(rm -rf /*)、格式化等高度敏感操作进行实时自动阻断,防止重大误删事件发生。

溯源审计可视化

堡垒机采用可视化审计记录,通过直观录播的方式真实还原全行为场景,对安全事件进行高效取证追踪。

支持的版本

针对用户场景、需求的不同,堡垒机提供了基本版和高可用版两个版本:

基础版

基础版具备基础的运维审计能力,如双因子认证、运维授权、高危命令阻断、运维审计等功能,可满足中小企业的基础运维安全及网络安全等级保护制度合规需求。

高可用版

高可用版适用于对运维业务安全要求较高或业务规模较大的企业,如政企、金融、游戏、在线教育、技术开发等。

高可用版除具有更高的基础配置外,还可满足更高的业务安全需求:

更高业务稳定保障,双引擎架构,双活运行,SLA可达99.95%。

更高的处理性能,可运维的资产数量超过500台(基础版的上限),最多可以支持上万台。

更丰富的运维能力,如支持WebTerminal运维能力、定期轮转提升密码安全性的自动改密能力。

更充足的带宽和存储空间,带来更优质的运维服务体验。

基础版和高可用版的详细区别,请参见功能特性。

堡垒机的作用

堡垒机的作用:访问控制、账号管理、资源授权、指令审核。

1、访问控制:运维人员合法访问操作时,堡垒机可以很好地解决操作资源的问题。通过对访问资源的严格控制,堡垒机可以确保运维人员在其账号有效权限、期限内合法访问操作资源,降低操作风险,以实现安全监管目的,保障运维操作人员的安全、合法合规、可控制性。

2、账号管理:当运维人员在使用堡垒机时,无论是使用云主机还是局域网的主机,都可以同步导入堡垒机进行账号集中管理与密码的批量修改,并可一键批量设置SSH密钥对。

3、资源授权:堡垒机可以支持云主机、局域网主机等多种形式的主机资源授权,并且堡垒机采用基于角色的访问控制模型,能够对用户、资源、功能作用进行细致化的授权管理,解决人员众多、权限交叉、资产烦琐、各类权限复制等众多运维人员遇到的运维难题。

4、指令审核:堡垒机具有安全审计功能,主要对审计运维人员的账号使用情况,包括登录、资源访问、资源使用等。针对敏感指令,堡垒机可以对非法操作进行阻断响应或触发审核的操作情况,审核未通过的敏感指令,堡垒机将进行拦截。

堡垒机的应用

1、用于单点登录的主机应用系统,电信、移动、联通三个运营商广泛采用堡垒机来完成单点登录和萨班斯要求的升级。

2、在银行、证券等金融业机构也广泛采用堡垒机来完成对财务、会计操作的审计。

3、在电力行业的双网改造项目后,采用堡垒机来完成双网隔离之后跨网访问的问题,能够很好地解决双网之间的访问安全问题。

堡垒机如何使用

堡垒机在安全运维中的主要功能是,通过堡垒机进行事前资源授权,事中录像监控,事后指令审计,来保障自身数据安全,那么我们要如何使用堡垒机?

从安全运维的角度来看,资源授权满足了主机层面的安全管理需求,但是一旦登录到主机后,团队成员便可对该台主机进行任何的操作,所以团队成员在登录主机前、后,都处于行云管家堡垒机安全监管之下。在行云管家中,把这些安全性更高的主机叫做关键设备,展开菜单选择“安全审计/关键设备运维策略”,进入【相应的策略】功能设置。

关键配置

审计录像: 访问运维策略里的关键设备时,是否强制进行审计录像。这里需要注意,在云账户中也存在该项设置,而一台主机访问时是否强制录像,同时受到它所在的云账户和运维策略的设置影响,只要其中有一个设置为“强制录像”,那么访问时即会进行强制录像;

会话水印:行云管家堡垒机会话水印功能,是将访问该服务器的运维人员的账号等信息,以半透明水印的方式印在服务器远程桌面会话窗口上,当远程桌面会话窗口被录像、截屏、拍照,运维人员的信息也会被一并记录,方便事后回溯追责。

双因子认证:也叫多重身份认证,开启后,在执行重启主机、停止主机、修改主机操作系统密码、修改管理终端密码、创建主机会话、快照回滚、更换系统盘、初始化磁盘、卸载数据盘、挂载数据盘等操作时,会要求以微信或短信接收验证码的方式进行二次身份确认,确保访问者的身份合法性;

指令审计规则:您可以指定该条运维策略是启用指令白名单还是黑名单,如果是白名单,那么将只允许指令规则中的指令执行。如果是黑名单,团队成员在操作中执行的指令只要被敏感指令规则匹配,即执行相应的响应动作。

指令审计角色:敏感指令如果触发的是审核操作,那么将推送审核消息给指令审计角色成员,由他们审核通过后,敏感指令才能在主机上执行; 指令审核超时时长:敏感指令触发审核操作时,如果在超时时长内未处理,指令将因超时被取消执行。

本文来源:https://www.yuntue.com/post/137314.html | 云服务器网,转载请注明出处!

关于作者: yuntue

云服务器(www.yuntue.com)是一家专门做阿里云服务器代金券、腾讯云服务器优惠券的网站,这里你可以找到阿里云服务器腾讯云服务器等国内主流云服务器优惠价格,以及海外云服务器、vps主机等优惠信息,我们会为你提供性价比最高的云服务器和域名、数据库、CDN、免费邮箱等企业常用互联网资源。

为您推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注