其從功能上講,它綜合了核心系統運維和安全審計管控兩大主幹功能,從技術實現上講,通過切斷終端計算機對網路和伺服器資源的直接訪問,而採用協議**的方式,接管了終端計算機對網路和伺服器的訪問。形象地說,終端計算機對目標的訪問,均需要經過運維安全審計的翻譯。打乙個比方,運維安全審計扮演著看門者的工作,所有對網路裝置和伺服器的請求都要從這扇大門經過。因此運維安全審計能夠攔截非法訪問,和惡意攻擊,對不合法命令進行命令阻斷,過濾掉所有對目標裝置的非法訪問行為,並對內部人員誤操作和非法操作進行審計監控,以便事後責任追蹤。
安全審計作為企業資訊保安建設不可缺少的組成部分,逐漸受到使用者的關注,是企業安全體系中的重要環節。同時,安全審計是事前預防、事中預警的有效風險控制手段,也是事後追溯的可靠證據**。
編輯隨著企事業單位it系統的不斷發展,網路規模和裝置數量迅速擴大,日趨複雜的it系統與不同背景的運維人員的行為給資訊系統安全帶來較大風險。
1.多個使用者使用同乙個賬號。這種情況主要出現在同一工作組中,由於工作需要,同時系統管理賬號,因此只能多使用者共享同一賬號。如果發生安全事故,不僅難以定位賬號的實際使用者和責任人,而且無法對賬號的使用範圍進行有效控制,存在較大安全風險和隱患。
2.乙個使用者使用多個賬號。乙個維護人員使用多個賬號是較為普遍的情況,使用者需要記憶多套口令同時在多套主機系統、網路裝置之間切換,降低工作效率,增加工作複雜度。如下圖所示:
3. 缺少統一的許可權管理平台,許可權管理日趨繁重和無序;而且維護人員的許可權大多是粗放管理,無法基於最小許可權分配原則的使用者許可權管理,難以實現更細粒度的命令級許可權控制,系統安全性無法充分保證。
4. 無法制定統一的訪問審計策略,審計粒度粗。各網路裝置、主機系統、資料庫是分別單獨審計記錄訪問行為,由於沒有統一審計策略,並且各系統自身審計日誌內容深淺不一,難以及時通過系統自身審計發現違規操作行為和追查取證。
5. 傳統的網路安全審計系統無法對維護人員經常使用的ssh、rdp等加密、圖形操作協議進行內容審計。
編輯支援對x11、linux、unix、資料庫、網路裝置、安全裝置等一系列授權賬號進行密碼的自動化週期更改,簡化密碼管理,讓使用者無需記憶眾多系統密碼,即可實現自動登入目標裝置,便捷安全。
裝置支援統一賬戶管理策略,能夠實現對所有伺服器、網路裝置、安全裝置等賬號進行集中管理,完成對賬號整個生命週期的監控,並且可以對裝置進行特殊角色設定如:審計巡檢員、運維操作員、裝置管理員等自定義設定,以滿足審計需求
裝置提供統一的認證介面,對使用者進行認證,支援身份認證模式包括 動態口令、靜態密碼、硬體key 、生物特徵等多種認證方式,裝置具有靈活的定製介面,可以與其他第三方認證伺服器之間結合;安全的認證模式,有效提高了認證的安全性和可靠性。
裝置提供基於使用者、目標裝置、時間、協議型別ip、行為等要素實現細粒度的操作授權,最大限度保護使用者資源的安全
裝置支援對不同使用者進行不同策略的制定,細粒度的訪問控制能夠最大限度的保護使用者資源的安全,嚴防非法、越權訪問事件的發生。
裝置能夠對字串、圖形、檔案傳輸、資料庫等全程操作行為審計;通過裝置錄影方式實時監控運維人員對作業系統、安全裝置、網路裝置、資料庫等進行的各種操作,對違規行為進行事中控制。對終端指令資訊能夠進行精確搜尋,進行錄影精確定位。
編輯1、 目標
堡壘機的核心思路是邏輯上將人與目標裝置分離,建立「人-〉主賬號(堡壘機使用者賬號)-〉授權—>從賬號(目標裝置賬號)的模式;在這種模式下,基於身份標識,通過集中管控安全策略的賬號管理、授權管理和審計,建立針對維護人員的「主賬號-〉登入—〉訪問操作-〉退出」的全過程完整審計管理,實現對各種運維加密/非加密、圖形操作協議的命令級審計。
2、 系統價值
堡壘機的作用主要體現在下述幾個方面:
企業角度
通過細粒度的安全管控策略,保證企業的伺服器、網路裝置、資料庫、安全裝置等安全可靠執行,降低人為安全風險,避免安全損失,保障企業效益。
管理員角度
所有運維賬號的管理在乙個平台上進行管理,賬號管理更加簡單有序;
通過建立使用者與賬號的對應關係,確保使用者擁有的許可權是完成任務所需的最小許可權;
直觀方便的監控各種訪問行為,能夠及時發現違規操作、許可權濫用等。
鑑於多賬號同時使用超管進行的操作,便於實名制的認證和自然人的關聯。
普通使用者角度
運維人員只需記憶乙個賬號和口令,一次登入,便可實現對其所維護的多台裝置的訪問,無須記憶多個賬號和口令,提高了工作效率,降低工作複雜度。
編輯一種用於單點登陸的主機應用系統,電信、移動、聯通三個運營商廣泛採用堡壘機來完成單點登陸和薩班斯要求的審計。
在銀行、**等金融業機構也廣泛採用堡壘機來完成對財務、會計操作的審計。
在電力行業的雙網改造專案後,採用堡壘機來完成雙網隔離之後跨網訪問的問題,能夠很好的解決雙網之間的訪問的安全問題。
什麼是跳板機(堡壘機)
現在一定規模網際網路企業,往往都擁有大量伺服器,如何安全並高效的管理這些伺服器是每個系統運維或安全運維人員必要工作。現在比較常見的方案是搭建堡壘機環境作為線上伺服器的入口,所有伺服器只能通過堡壘機進行登陸訪問。因此需要通過終端連線到遠端開發機進行工作,由於安全等因素,登入開發機時需要先登入跳板機,然...
Apache Hive是個什麼東東
hive是什麼?要想將乙個東西使用好,必須首先對這個東西有乙個很正確的定位。答案如下 hive是乙個資料倉儲工具。hive是乙個可以用來便利讀取 寫入 管理海量資料集的資料倉儲工具。hive是乙個可以使用sql語法讀取 寫入 管理分布式儲存系統上的海量資料集的資料倉儲工具。hive是基於hadoop...
華為堡壘機 堡壘機是幹什麼的?
雲堡壘機 cloud bastion host,cbh 是用於提供雲計算安全管控的系統和元件,可以實現對運維資源的4a安全管控。雲堡壘機包含使用者管理 資源管理 策略 審計和工單等功能模組,支援對windows或linux等作業系統的主機提供安全管控保護。雲堡壘機是集統一資產管理與單點登入 多種終端...