云堡垒机

什么是云堡垒机

云堡垒机（Cloud Bastion Host，CBH）是华为云的一款4A统一安全管控平台，为企业提供集中的账号（Account）、授权（Authorization）、认证（Authentication）和审计（Audit）管理服务。

云堡垒机提供云计算安全管控的系统和组件，包含部门、用户、资源、策略、运维、审计等功能模块，集单点登录、统一资产管理、多终端访问协议、文件传输、会话协同等功能于一体。通过统一运维登录入口，基于协议正向代理技术和远程访问隔离技术，实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计。

快速配置云堡垒机

配置后可以实时收集和监控网络环境中每个组成部分的系统状态、安全事件和网络活动，保障网络和数据不受来自外部或内部用户的入侵和破坏，便于集中报警、及时处理及审计定责。

1. 登录管理控制台。
2. 在控制台页面中选择“安全与合规 > 云堡垒机 CBH”，进入服务在右上角单击购买云堡垒机，购买后在实例“操作”列单击“远程登录”进入云堡垒机登录页面。
   

   • 首次以系统管理员admin登录系统，登录密码为购买实例时配置密码。系统管理员admin是系统默认用户，即第一个可登录用户，拥有系统最高操作权限，且无法删除和更改权限配置。
   • 系统所有用户首次登录系统后，请按照提示修改密码和绑定手机号码。
   图1 登录云堡垒机
   

3. 登录云堡垒机系统后，选择“用户 > 用户管理”，右上角单击“新建”，根据实际需求和界面提示创建运维用户。
   

   • 角色划分用户系统操作权限，默认有系统管理员、策略管理员、审计管理员和运维员四种角色。admin可以自定义角色，分配系统操作权限。
   • “登录名”在整个CBH系统是唯一的，不能重复。
   • 创建用户成功后，可通过修改用户配置，配置用户登录云堡垒机系统的多因子认证。
   图2 新建运维用户
   

4. 运维用户创建成功后，选择“资源 > 主机管理”，右上角单击“新建”，配置主机基本信息和网络参数。
   

   • “主机地址”为主机与云堡垒机网络通畅的IP地址，可选择主机的EIP地址或私有IP地址，建议优先选择可用的私有IP地址。
   • 增强版支持以主机方式运维数据库，支持四种数据库类型MySQL、SQL Server、Oracle和DB2。
   • 应用发布资源是通过Windows远程访问应用实现运维，需先配置应用发布服务器。
   • 创建资源成功后，需添加资源账户才能登录资源运维。资源账户的登录方式可选择以下几种：

     自动登录：系统纳管资源账户名和密码，再次登录资源时无需输入账户名和密码。

     手动登录：自动生成一个Empty账户。登录资源时，需手工输入资源账户名和密码进行登录。

     提权登录：当用户登录提权资源账户时，自动切换身份到特权帐号。

   图3 新建主机
   

5. 单击“下一步”，配置运维主机账户信息，单击“确认”完成配置。
6. 运维用户和主机资源创建成功后，选择“策略 > 访问控制策略”，右上角单击“新建”配置访问控制权限。
   

   • 访问控制策略用于关联用户和资源，并赋予用户访问和操作资源的具体权限。CBH系统用户被赋予了资源访问控制权限，才能运维资源。
   • IP限制”是设置用户本地IP地址，用于限制或允许该IP地址的用户访问资源。
   图4 新建控制策略
   

7. 单击“下一步”，关联运维用户和主机资源，单击“确认”完成配置。
8. 访问控制策略配置成功后，使用运维用户登录云堡垒机系统，选择“运维 > 主机运维”。
9. 选择目标主机资源，单击“登录”，登录主机资源进行运维操作。
   

   • SSH、TELNET和Rlogin协议类型主机资源，可使用SSH客户端运维资源。
   • FTP、SFTP和SCP协议类型主机资源，需使用FTP/SFTP/SCP客户端运维资源。
   • MySQL、SQL Server、Oracle和DB2协议类型的主机资源，需提前配置SSO单点登录工具和数据库管理工具。通过SSO单点登录工具调用数据库客户端，实现SSO单点客户端运维资源。
   • SSH、RDP、VNC和TELNET协议类型主机资源，支持直接通过Web浏览器运维；应用发布资源仅能通过Web浏览器远程访问进行运维。