半知半懂给大家带来堡垒机入门系列内容,这里是第二篇,《堡垒机解决了什么问题?设计理念是什么?》。
堡垒机机解决了什么问题1、堡垒机能解决共享账号与密码管理隐患问题
堡垒机会为每一个运维人员创建唯一的账号,并与主机账号进行关联,确保堡垒机的所有运维行为审计记录均可定位至自然人,能够有效解决账号共用问题。另外,在执行主机重启、密码修改、会话创建、快照回滚、磁盘更换等各种重要操作时,堡垒机可通过多因子身份确认,解决密码管理隐患问题,确保访问者身份的合法性。
2、堡垒机能解决资源授权不清晰问题
堡垒机采用基于角色的访问控制模型来实现权限控制,把功能权限赋予角色,再把角色赋予团队成员,团队成员拥有的功能权限等于他所有的角色持有功能权限之和。在堡垒机的资源授权中,资源是指导堡垒机的主机、服务器等资源。在授权时,用户可以非常灵活的方式进行资源授权,如云账户授权、物理网络授权、虚拟分组授权等。
3、堡垒机能解决访问控制不严格问题
解决操作者合法访问操作资源的问题,堡垒机为运维人员统一访问入口,只有登录堡垒机才能访问服务器,防止越权登录。同时,堡垒机还可以设置运维时段,提供多因子认证,确保用户使用安全。
4、堡垒机能解决运维操作不透明问题
用户可以通过堡垒机创建不同的运维策略,并在运维策略中指定是否开启双因子认证、会话水印以及指令黑白名单等审计规则。即使运维人员登录了主机,其在主机中执行的操作,依然处于安全监管之下,提前防范运维风险。并且针对敏感指令,堡垒机可以进行阻断响应或触发审核操作,审核不通过的敏感指令将会被拦截,以实现安全监管的目的,保障运维操作的合规、安全、可控。
5、堡垒机能解决运维操作无法审计问题
对运维事故进行回溯追责时,用户通过堡垒机不仅可以高清录像回溯,更可以直接进行事件查询,根据访问时间、目标会话 ID、目标 IP 地址、用户名(运维、主机)、操作指令、指令类型等条件对历史数据进行查询,可完整重现运维、外包人员对远程主机的整个操作过程,从而真正实现对操作内容的完全审计。
设计理念堡垒机主要是有4A理念。即认证(Authen)、授权(Authorize)、账号(Account)、审计(Audit)为核心。
建设目标堡垒的建设目标可以概括为5“W”,主要是为了降低运维风险。具体如下:
- 审计:你做了什么?(What)
- 授权:你能做哪些?(Which)
- 账号:你要去哪?(Where)
- 认证:你是谁?(Who)
- 来源:访问时间?(When)
堡垒机通过事前权限授权、事中敏感指令拦截外,还提供了事后运维审计的特性,用户堡垒机中所进行的运维操作均会以日志的形式记录下来。
安全产品入门-堡垒机,堡垒机解决了什么问题?设计理念是什么?
下一个章节,給大家带来、堡垒机主要实现功能及架构等。
,
