1、堡垒机解决方案跳板机(Unix/Windows)PCServiceSSH/RDPSSH/RDP(1)堡垒机是从跳板机(也叫前置机)的概念演变过来的。早在2000年左右的时候,一些中大型企业为了能对运维人员的远程登录进行集中管理,会在机房部署一台跳板机。(2)跳板机其实就是一台unix/windows操作系统的服务器。所有运维人员都需要先远程登录跳板机,然后从跳板机登录其他服务器中进行运维操作。(3)随着技术和需求的发展,越来越多的客户需要对运维操作进行审计。因此,堡垒机应运而生。堡垒机历史由来1.0 工具时代跳板机运维工具2.0 场景化时代 自动运维 自动改密 工单 应用中心3.0云计算时代
2、云资产平滑接入 VPC 数据库运维 AI运维推荐 云中心堡垒机发展历程运维安全面临挑战集中管理难n主机分散(多中心,云主机)n运维入口分散,办公网络、家庭网络均需要访问。权限控制难n账号多人共享n高权限账号泛滥n越权操作、误操作第三方外包法律法规n企业运维内控n等级保护要求n合规性要求n运维外包n账号泄露n操作不透明n无审计n发生事故,难以定位定责网络安全法法案法规等级保护IS027001上市法规行业要求制定内网操作规程按照等保制度、违法处罚采取网络安全技术措施日志留存不少于六个月持续提供安全维护萨班斯法案企业内部控制基本规范上海证券交易所上市公司内部控制指引深圳证券交易所上市公司内部控制指引
3、用户鉴别、用户分权审计分析、审计报表操作系统操作审计数据库操作审计网络设备操作记录日志留存、用于调查取证信息系统的安全符合标准必须记录系统维护的行为必须保护组织运行的记录信息系统确保有安全策略金融、医疗行业相关规定云计算及云安全相关规定电信、企业行业相关规定互联网、互金行业相关规定能源等行业要求法规政策要求运维设计理念认证Authen授权Authorize 账号Account审计Audit网络安全法等级保护ISO27001SOX法案行业要求运维安全用户主机4“A”理念运维建设目标访问时间?(When)你是谁?(Who)你要去哪?(Where)你能做哪些?(Which)你做了什么?(What)五
4、个”W“降低运维风险运维安全级别来源认证账号授权审计风险最小化堡垒机给用户带来的价值0102030408070605集中管理集中审计集中权限分配统一认证风险管控数据安全运维合规运维高效堡垒机功能架构堡垒机功能特点多因子认证确保用户唯一性 手机app令牌、硬件动态令牌、USBKEY、短信认证等细粒度授权方式避免违规操作 部门容器隔离实现权限的管控 协议控制实现高危命令的分级广泛的主机运维协议 字符协议运维 图形协议运维 数据库协议运维审计运维操作实现安全可控 数据库双向审计 SSH、telent、RDP协议审计堡垒机堡垒机特点-用户认证方式认证本地账户密码认证,支持强密码策略本地认证支持第三方
5、AD/LDAP/Radius远程认证UsbKey、动态令牌、短信网关、手机APP令牌、北京CA、吉大正元等双因素认证OAuth2.0&CAS第三方认证系统图形协议:RDP、VNC、X11;字符协议:SSH、TELNET、Rlogin;文件传输协议:SFTP、FTP、RZSZ、SCP;数据库协议:Oracle、SQL Server、MySQL、DB2支持最全面的协议主机、交换机、防火墙、路由器、存储系统、安全设备、数据库、Web 应用,所有数据中心的设备均支持运维支持最丰富的资产类型搭配应用中心,支持http/https、特殊化运维工具,密码代填,参数代填支持应用中心协议扩展堡垒机特点-资产运维支持
