堡垒机CSAS

堡垒机(CSAS),即运维审计系统。为用户提供集中运维管理解决方案;运维人员可通过堡垒机远程访问云主机,实现对访问账号的集中管理,并做精细的权限规划和运维审计;提升企业的内部运维风险控制水平。

帮助文档:

华北一 华北二 >

适用区域:

华北二

产品优势

  支持微信小程序、手机短信等多因子认证

为了提高来源身份的可靠性,防止身份冒用,云堡垒机支持通过微信小程序手机令牌、手机短信、动态令牌、USBKEY等多因子认证方式,将主账号与实际用户身份一一对应,确保行为审计的一致性,弥补传统网络安全审计产品无法准确定位用户身份的缺陷。

  HTML5运维,脱离运维工具和操作系统束缚

云堡垒机提供HTML5运维访问方式,无需安装任何客户端,在Windows、Mac、Linux、Android、iOS等操作系统上只要通过一款主流的浏览器,就能实现对资源的访问和操作,让运维人员脱离运维工具和操作系统束缚,是真正意义上的云堡垒机。

  资源一键同步和发现

云堡垒机支持一键同步阿里云、百度云、华为云、腾讯云、AWS、Azure和UCloud等云平台的主机资源,而且可以通过接口适配导入其它资源管理系统的资源,如CMDB。当企业有云上的资源时,只需管理员到对应的云平台获取相应的KEY,云堡垒机就可以通过导入云主机功能,将企业的云上资源一键同步到云堡垒机中,并且无需任何定制开发,在零附加成本的基础上,轻松将云上的资源同步到云堡垒机中。另外,云堡垒机还支持自动发现方式,自动获取企业网络中的资源,支持一键添加到云堡垒机中。

  自动化运维,让运维更加简单有效

云堡垒机具备网络设备配置自动备份的功能和Linux系统命令、脚本自动执行和批量文件分发功能。管理员通过在云堡垒机上配置相应的策略,让云堡垒机在指定时间自动备份指定的网络设备上的配置文件。运维人员还可以通过在云堡垒机编排任务,让任务在指定的时间自动到指定的Linux服务器上执行,并将执行结果记录到云堡垒机上。

  多维度的资源访问控制

通过集中统一的访问控制策略和细粒度的命令控制策略,确保用户拥有的权限是完成任务所需的最小权限。云堡垒机支持创建基于时间、IP、用户/用户组、账户/账户组、运维权限、操作命令、执行动作等元素作为组合条件,并授权用户可访问的目标资源、定义危险操作管控策略。当用户越权执行特定命令的时候,实时进行阻断、告警,确保信息系统安全、稳定运行。

  改密多重保障,全方位保护密码安全

云堡垒机在角色配置时,提供密码包接收人和解密秘钥接收人权限配置。在执行改密策略时,会先发送预改密邮件,将要修改的密码发送给对应用户,防止出现改密结束之后无法发送邮件造成密码丢失的情况。同时,在进行密码包的解密时,需要密码包文件、解密秘钥文件和用户私钥,三者缺一不可。

  多人加入会话,实现协同合作、远程办公

云堡垒机还提供了会话协同这种运维增强功能。可以通过会话协同功能,来实现协同会诊、远程办公、远程授课等场景。会话协同的多人之间能够实时分享会话桌面,并自由切换操作控制权。

  关键命令二次审批

云堡垒机支持根据需求对特殊访问命令操作进行二次审批功能,该功能进一步加强对运维人员访问关键设备时运维操作的控制力度,确保所有访问操作都在实时监控过程中。

  文件传输、PRD剪切板审计,让数据窃取无处藏身

云堡垒机实现了对文件传输、PRD剪切板操作的完整审计,为上传恶意文件、窃取数据等危险行为提供查询依据。

  巧用水印功能,重要信息防泄密

运维操作页面能自动添加当前操作用户的登录名作为水印背景,防止重要资料的外泄以及有利于查明重要资料外泄的传播源头。

产品功能

身份管理
角色分权
集中管控
全程审计
资源访问
资源改密
工单申请
命令控制
会话协同
双人授权
报表分析

多种认证方式,确保行为审计一致性

云堡垒机主账号通过本地认证、AD认证、RADIUS认证等多种认证方式,将主帐号与实际用户身份一一对应,确保行为审计的一致性, 从而准确定位事故责任人,弥补传统网络安全审计产品无法准确定位用户身份的缺陷。

用户角色权限自定义

云堡垒机预置多种用户角色:系统管理员、部门管理员、策略管理员、审计管理、运维员。每种用户角色的权限都各不相同、相互制约。 除此之外,云堡垒机还支持自定义角色,通过角色自定义,满足企业单位的复杂运维场景,为设立不同的角色提供了选择。

多种授权模式,实现权限精细化控制

通过集中的访问控制策略定制,帮助企业单位梳理用户与资源的关系,并且提供一对一、一对多、多对一、多对多的灵活授权模式。云堡垒机提供的访问控制策略,实现的不仅仅是将资源授权给用户,更实现了功能权限的精细化控制,最大程度地降低越权操作的可能。

支持在线及离线查看审计日志

云堡垒机对所有操作都进行详细记录,还针对会话的审计日志,支持在线查看、在线播放和下载后离线播放。目前云堡垒机支持字符协议(SSH、TELNET)、图形协议(RDP、VNC)、文件传输协议(FTP、SFTP)、数据库协议(DB2、MySQL、Oracle、SQL Server)和应用发布的操作审计。

支持单点登录及混合协议的批量登录

云堡垒机支持托管主机、网络设备、安全设备、数据库和应用发布的账户和密码,运维人员可单点登录到目标资源进行运维操作,无需输入账户和密码。同时,云堡垒机支持混合协议的批量登录,通过混合登录,运维人员可以在一个页面上批量打开多台资源,方便运维人员在操作时进行不同资源的切换。

支持自动化改密

通过云堡垒机提供的改密策略,可以实现自动化的改密,并且以日志形式记录改密执行结果,让管理员掌握资源的改密动态和历史密码。

通过工单申请访问权限

运维人员向管理员申请需要访问的设备,以工单方式向管理员进行申请。当需要使用的功能权限(例如文件管理、RDP剪切板等)由于策略的限制无法使用时,运维人员也可以通过工单申请相应的功能权限。管理员对工单进行审核和批准后,运维人员就拥有了临时的访问权限。工单的审批流程可以由系统管理员进行自定义,并且可以设置多人审批或者是会签审批模式,规范资源运维操作流程。

支持多种协议及数据库的访问控制

云堡垒机提供了集中的命令控制策略功能,不仅支持SSH、TELNET等字符协议,还支持MySQL和Oracle数据库的访问控制,实现基于不同的资源账户、不同的用户设置不同的命令控制策略。同时,云堡垒机预置了近千条Linux/Unix、主流网络设备的操作命令,以及常用的数据库操作指令,让管理人员可以直接从命令库进行调取,简化命令控制策略的配置过程。

邀请其他用户协同操作

通过云堡垒机,运维人员可以邀请其他用户加入自己的会话,进行协同操作。当新人操作不熟练时,通过会话协同能够邀请其他用户协助自己进行操作,操作控制权限可在不同的用户之间进行灵活切换。

访问核心资源需管理员审核

云堡垒机通过双人授权,让运维人员在访问核心资源时,必须要通过管理员的现场审批,通过双人授权有效遏制权限滥用的情况,降低安全事件发生的风险。

支持自动发送多格式报表

云堡垒机预置了多种分析报表,通过报表能全方位分析系统操作、资源运维的情况。报表支持自动发送,支持以天、周、月为粒度发送报表,并且以HTML、PDF、WORD、EXCEL等多种格式导出,让管理员随时掌握系统情况。

应用场景

堡垒机CSAS互联网专线

管理对象

用户对象:管理员、审计员、运维员、第三方运维人员、临时用户等;
资源对象:服务器、网络设备、安全设备、Web应用、数据库系统等。

管理范围

集中管控各种运维操作行为。

协议类型

SSH、RDP、TELNET、VNC、FTP、SFTP、DB2、MySQL、Oracle、SQL Server、X11、Rlogin、SCP等。

客户端

浏览器(如Chrome、Firefox、Safari等)、第三方客户端(如Xshell、SecuretCRT、Putty、WinSCP、Xftp、MAC Terminal等)。

部署方式

云堡垒机采用“物理旁路,逻辑串联”的部署方式,首先通过配置交换机或目标资源的访问控制策略,只允许云堡垒机的IP访问目标资源进行运维、管理,然后将云堡垒机连接到对应交换机,确保所有用户到云堡垒机IP可达。

浪潮云可以为您提供
从咨询到运维一站式服务

以贯穿整条服务链的云交付能力,为您提供资源规划、上云方案、安全保障、业务迁移、数据整合、应用创新六大类专业服务
查看详情

2018.11

浪潮云堡垒机华北二上线。采用集中管理,统一登录的方式,
内置了国内权威的、 正版的认证引擎,支持多种认证方式,
同时还拥有强大的授权控制和审计功能。

2019.07

浪潮云堡垒机华北三上线。支持资源访问单点登录和混合协议
的批量登录, 全程操作审计,集中的命令控制,双人授权的
资源访问权限,以及会话协同和预置全方位分析报表。

联系浪潮云专家,让我们为您定制
符合您需求的产品

如有需求,请通过以下方式联系我们,
专业咨询团队将帮您快速解决问题

购买咨询电话:400-607-6657
发送电子邮箱:cloud@inspur.com
与我们专家联系