云堡垒机是什么?腾讯云堡垒机有什么功能

云堡垒机提供了丰富、全面的管控功能,帮助企业解决运维过程不透明、责任认定难、管理不规范、权限混乱、控制力度不足、审计不全面等难题,同时统一管理企业信息系统资源。
 
1、  身份管理
 
云堡垒机主账号通过本地认证、AD认证、RADIUS认证等多种认证方式,将主帐号与实际用户身份一一对应,确保行为审计的一致性,从而准确定位事故责任人,弥补传统网络安全审计产品无法准确定位用户身份的缺陷。
 
2、  角色分权
 
云堡垒机预置多种用户角色:系统管理员、部门管理员、策略管理员、审计管理员、运维员。每种用户角色的权限都各不相同、相互制约。部门管理员负责本部门的用户和资源的管理,并制定访问控制策略,授权用户去访问资源的权限;审计管理员进行本部门用户的运维操作审计;运维员负责访问资源进行日常的运维、升级等工作。除了预置的角色之外,云堡垒机还支持自定义角色,如下图所示,通过角色的自定义,满足企业单位的复杂运维场景,为设立不同的角色提供了选择。
 
3、  集中管控
 
通过集中的访问控制策略定制,帮助企业单位梳理用户与资源的关系,并且提供一对一、一对多、多对一、多对多的灵活授权模式。云堡垒机提供的访问控制策略,实现的不仅仅是将资源授权给用户,更实现了功能权限的精细化控制,最大程度地降低越权操作的可能。
 
4、  资源改密
 
在传统的运维模式下,管理员需要定期手动修改资源账户的密码,同时维护起来也比较繁琐。如下图所示,通过云堡垒机提供的改密策略,实现自动化的改密,并且以日志形式记录改密执行结果,让管理员掌握资源的改密动态和历史密码。
 
5、  资源访问
 
云堡垒机支持托管主机、网络设备、安全设备、数据库和应用发布的账户和密码,运维人员可单点登录到目标资源进行运维操作,无需输入账户和密码。同时,云堡垒机支持混合协议的批量登录,如下图所示,通过批量登录,运维人员可以在一个页面上批量打开多台资源,方便运维人员在操作时进行不同资源的切换。

6、  全程审计
 
运维人员登录到云堡垒机之后,所有的操作就都在云堡垒机的管控之下,并且对所有的操作都进行了详细记录。针对会话的审计日志,还可以支持在线查看、在线播放和下载后离线播放。符合金融监管要求、ISO27000、《萨班斯法案》的审计要求。
 
云堡垒机目前支持字符协议(SSH、TELNET)、图形协议(RDP、VNC)、文件传输协议(FTP、SFTP)、数据库协议(DB2、MySQL、Oracle、SQL Server)和应用发布的操作审计。其中,字符协议和数据库协议能够进行操作指令解析,100%还原操作指令;图形协议和应用发布可以通过OCR进行文字识别;文件传输能够记录传输的文件名称和目标路径。
 
7、  命令控制
 
云堡垒机提供了集中的命令控制策略功能,不仅支持SSH、TELNET等字符协议,还支持MySQL和Oracle数据库的访问控制,实现基于不同的资源账户、不同的用户设置不同的命令控制策略。策略提供断开连接、拒绝执行、动态授权和允许执行等四种执行动作,根据命令的危险程度和资源的重要程度去设置命令的执行动作。同时,云堡垒机预置了近千条Linux/Unix、主流网络设备的操作命令,以及常用的数据库操作指令,让管理人员可以直接从命令库进行调取,简化命令控制策略的配置过程。
 
8、  工单申请
 
运维人员向管理员申请需要访问的设备,以工单方式向管理员进行申请。当需要使用的功能权限(例如文件管理、RDP剪切板等)由于策略的限制无法使用时,运维人员也可以通过工单申请相应的功能权限。管理员对工单进行审核和批准后,运维人员就拥有了临时的访问权限。
 
工单的审批流程可以由系统管理员进行自定义,并且可以设置多人审批或者是会签审批模式,规范资源运维操作流程。
 
9、  报表分析
 
云堡垒机预置了多种分析报表,如下图所示,通过报表能够全方位地分析系统操作、资源运维的情况,让管理员迅速了解系统的现状,快速分析系统操作和资源运维的情况,及时阻止安全事件的发生。报表支持自动发送,支持以天、周、月为粒度发送报表,并且以HTML、PDF、WORD、EXCEL等多种格式导出,让管理员随时掌握系统情况。