功能总览
OBS 2.0支持
-
云堡垒机(Cloud Bastion Host,CBH)是华为云的一款4A统一安全管控平台,为企业提供集中的帐号(Account)、授权(Authorization)、认证(Authentication)和审计(Audit)管理服务。
一个云堡垒机实例对应一个独立运行的云堡垒机系统,用户登录云堡垒机控制台管理实例。只有创建了云堡垒机实例后,才能登录云堡垒机系统,实现安全运维管理与审计。发布区域:全部
OBS 2.0支持
-
CBH实例权限管理是在统一身份认证服务(IAM)与CBH实例的角色访问控制的能力基础上,打造的细粒度权限管理功能,支持基于IAM的细粒度权限控制,支持实例管理的权限控制,帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。
发布区域:全部
除亚太-曼谷、亚太-新加坡、拉美-圣地亚哥以外的所有区域均已发布
-
变更实例规格
-
当云堡垒机的规格不能满足需求时,可对云堡垒机实例进行规格升级,购买更高规格的基础版或增强版,扩大系统数据盘容量、最大并发数、最大资产数、CPU、内存等配置。
发布区域:全部
-
升级系统版本
管理实例EIP
管理实例状态
审计实例关键操作
-
云审计服务(Cloud Trace Service,CTS)为CBH提供实例的操作记录,记录内容包括访问管理控制台发起的CBH实例操作请求以及每次请求的结果,供您查询、审计和回溯实例关键操作使用。
发布区域:全部
-
-
系统登录认证
-
系统登录方式
云堡垒机支持Web浏览器、SSH客户端和MSTSC客户端三种登录方式。
Web浏览器登录:支持系统管理和资源运维功能。建议系统管理员admin或管理人员使用Web浏览器登录进行系统管理和授权审计。
SSH客户端登录:在不改变用户原来使用SSH客户端习惯的前提下,可对授权资源进行运维管理。运维人员可选择使用SSH客户端直接登录运维资源。MSTSC客户端登录:在不改变用户原来使用MSTSC客户端习惯的前提下,可对授权资源进行运维管理。运维人员可选择使用MSTSC客户端直接登录运维资源。
系统认证方式云堡垒机采用多因子认证和远程认证技术,加强系统用户身份认证管理。
引用多因子认证技术,包括手机短信、手机令牌、USBKey、动态令牌等方式,安全认证登录用户身份,降低用户帐号密码风险。
对接第三方认证服务或平台,包括AD域、RADIUS、LDAP、Azure AD远程认证,支持远程认证用户身份,防止身份泄露。并支持一键同步AD域服务器用户,复用原有用户部署结构。发布区域:全部
-
系统账户管理
系统用户
-
系统用户帐号全生命周期管理,用户使用唯一帐号登录系统,解决共享帐号、临时帐号、滥用权限等问题。
用户管理云堡垒机系统的一个用户代表一个可登录自然人,系统管理员admin是系统最高权限用户,也是系统第一个可登录用户。
支持新建本地用户,批量导入用户,以及同步AD域用户。
支持批量管理用户帐号,包括删除、启用、禁用、重置密码、修改用户基本配置等。用户组管理用户帐号按属性分组管理,可实现对同类型用户按用户组赋予权限。
角色管理用户所关联的角色,赋予用户不同系统操作访问权限。仅admin拥有自定义角色和修改角色的权限。
缺省情况下,系统中的默认角色包括部门管理员、策略管理员、审计管理员和运维员。发布区域:全部
-
系统资源
-
集中资源管理,资源账户全生命周期管理,实现单点登录资源,管理或运维无缝切换。
纳管资源类型丰富,包括Windows、Linux等主机资源,MySQL、Oracle等数据库资源,以及Windows应用资源。
主机资源管理云堡垒机支持添加SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin等12种协议类型的主机资源,包括Linux主机、Windows主机和数据库等。
应用资源管理云堡垒机支持添加Chrome、IE、Firefox、SecBrowser、Oracle Tool 、MySQL、SQL Server Tool、dbisql、VNC Client、VSphere Client、Radmin等应用。
资源账户管理一个主机或应用可能有多个登录主机或应用的账户,每个被纳管的主机账户或应用账户对应一个资源账户。登录被纳管资源账户时,自动登录无需输入账户和密码。当添加主机或应用未纳管账户和密码时,默认生成一个“Empty”账户,登录“Empty”资源账户时需手动输入账户名和相应密码。
账户自动改密:通过设置改密策略,可定时定期修改账户密码,确保资源的账户安全。
账户自动同步:通过设置账户同步策略,可定时定期核查和同步主机资源账户,包括拉取主机账户统计异常系统资源账户,以及推送系统新建、删除、修改的资源账户到主机,确保资源账户健康生存周期。
账户组管理资源账户按属性分组管理,可实现对同类型资源账户按账户组给用户赋权。
发布区域:全部
-
系统权限控制
资源访问权限
-
按照用户、用户组与资源账户、账户组之间的关联关系,建立用户对资源的控制权限。
访问控制策略访问控制:通过设置访问控制权限,从访问有效期、登录时间、IP限制、上传/下载、文件传输、剪切板、显示水印等维度,赋予用户访问资源的权限。
双人授权:通过设置双人或多人授权审核,需要授权人实时授权才能访问资源,保障敏感核心资源绝对安全。
批量授权:通过用户组和账户组形式,支持同时授权多个用户以多个资源的控制权限。命令控制策略命令控制策略用于控制用户访问资源的操作命令权限,实现云堡垒机命令集的细粒度控制。
命令控制策略针对SSH和Telnet字符协议主机,根据管理员配置的策略限制,Guacd代理对用户实际运维过程中执行的命令进行审计和过滤,并返回审计的命令、过滤结果和命令返回的内容,用于会话操作记录、动态授权、断开连接等动作。
数据库控制策略数据库控制策略用于控制用户访问数据库资源的操作命令权限,实现云堡垒机数据库规则的细粒度控制。
数据库控制策略MySQL和Oracle类型数据库,系统可通过数据库控制策略,对用户实际运维过程中执行的操作进行审计和过滤,并返回审计的命令、过滤结果和命令返回的内容,用于会话操作记录、动态授权、断开连接等动作。发布区域:全部
-
系统访问权限
-
从单个用户帐号属性出发,控制用户登录和访问系统权限。
用户角色权限通过为每个用户帐号分配不同的角色,赋予用户访问系统不同模块的权限,对系统用户身份进行分权。
系统支持自定义角色,自定义角色中可以自选添加系统模块,实现角色多样化模式。组织部门限制通过为每个用户划分部门,采用部门组织树形结构,不限制部门层级,可将用户按部门分层级管理。
登录系统限制通过设置用户登录配置,从登录有效期、登录时间、登录IP限制、登录MAC限制等维度,赋予用户登录系统的权限。
系统安全配置通过设置系统安全配置,从登录安全锁、登录密码策略、登录超时、登录短信/图形验证码等维度,为加强系统登录安全管理。
发布区域:全部
-
系统运维审计
-
基于用户身份系统唯一标识,从用户登录系统开始,全程记录用户在系统的操作行为,监控和审计用户对目标资源的所有操作,实现对安全事件的实时发现与预警。
Linux命令审计:基于字符协议(SSH、TELNET)的命令操作审计,记录命令运维全程,支持解析字符操作命令,还原操作指令,根据输入、输出结果关键字搜索快速定位回放。
Windows操作审计:基于图形协议(RDP、VNC)终端和应用发布的行为操作审计,远程桌面的操作全纪录,包括键盘操作、功能键操作、鼠标操作、窗口指令、窗口切换、剪切板拷贝等。
数据库命令审计:基于数据库协议(DB2、MySQL、Oracle、SQL Server)的命令操作审计,记录从SSO单点登录数据库到数据库命令操作全程,支持解析数据库操作指令,100%还原操作指令。
文件传输审计:基于远程桌面的文件传输操作审计,以及基于文件传输协议(FTP、SFTP、SCP)的传输操作审计,对Web浏览器或客户端文件传输全程审计,记录传输的文件名称和目标路径发布区域:全部
运维审计管理
-
系统行为审计
系统登录和操作行为全程记录,集中可视化管控。
支持记录详细系统登录过程,记录系统配置创建、修改、删除、执行等操作,以及备份系统配置和系统日志。
支持生成系统报表,并支持一键导出和周期自动推送报表。
支持系统异常告警,灵活的告警通知,覆盖所有系统登录和操作事件。运维操作审计全程记录运维操作,为安全事件追溯和分析提供依据。
支持实时查看正在进行的运维会话,并支持中断实时会话。
支持运维操作全程记录,详细记录历史运维会话信息,并支持一键导出历史会话日志。
支持对Linux命令审计、Windows操作审计全程录像记录,回放录像视频。并支持生成和一键下载会话视频。
支持生成运维报表,并支持一键导出和周期自动推送报表。系统数据管理通过配置日志备份,可将日志远程备份至Syslog服务器、FTP/SFTP服务器、OBS桶,实现日志容灾备份。
通过自动或手动删除的系统冗余历史数据,确保系统数据盘的正常使用。发布区域:全部
-
-
系统高效运维
-
Web浏览器运维
HTML5远程登录资源,无需安装客户端,一键登录运维资源,实现操作实时监控、文件上传下载等运维管理。
一站式登录运维:在Windows、Linux、Android、iOS等操作系统上,支持任意主流浏览器无插件化运维,包括IE、Chrome、Firefox等主流浏览器,让运维人员脱离运维工具和操作系统束缚,随时随地远程运维。
批量登录:支持一键登录多个授权资源,多个资源可同时在一个浏览器页签运维。
协同会话:支持多人参与“协同分享”,邀请其他运维人员或专家进行协同运维,对同一会话进行协同操作或问题定位,提高多人运维效率。
文件传输:基于WSS的文件管理技术,支持文件上传/下载,以及文件在线管理,实现多主机文件共享功能 。
命令群发:针对多个Linux资源,开启群发键。在一个会话窗口执行命令后,其他会话窗口将同步执行相同操作。第三方客户端运维在不改变用户使用原来客户端习惯的前提下,支持一键接入多种运维工具,提升运维效率。
多种运维工具:支持接入SecureCRT、Xshell、Xftp、WinSCP、Navicat 、Toad for Oracle等工具。
SSH客户端运维:针对字符协议类主机资源,可通过运维客户端登录资源,实现运维平台多种选择。
数据库客户端运维:针对数据库主机资源,通过配置SSO单点登录工具,调用数据库客户端,实现一键登录目标数据库资源,数据库运维操作。
文件传输客户端运维:针对文件传输协议类主机资源,通过调用FTP/SFTP/SCP客户端登录资源,实现客户端运维。自动化运维线上多步骤复杂操作自动化执行,告别枯燥的重复工作,提高工作效率。
脚本管理:线下脚本上线管理,支持Shell和Python类型脚本的管理。
运维任务:通过配置命令执行、脚本执行、文件传输的运维任务,可定期、批量、自动执行预置的运维任务。发布区域:全部
-
系统工单管理