更新时间:2024-06-28 GMT+08:00
分享

云堡垒机

云堡垒机(Cloud Bastion Host,CBH)是华为云的一款4A统一安全管控平台,为企业提供集中的账号(Account)、授权(Authorization)、认证(Authentication)和审计(Audit)管理服务。

云堡垒机提供云计算安全管控的系统和组件,包含部门、用户、资源、策略、运维、审计等功能模块,集单点登录、统一资产管理、多终端访问协议、文件传输、会话协同等功能于一体。通过统一运维登录入口,基于协议正向代理技术和远程访问隔离技术,实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计。

功能特性请参见如下内容,详细功能介绍及使用请参见CBH功能特性CBH用户指南

身份认证

采用多因子认证和远程认证技术,加强用户身份认证管理。

  • 引用多因子认证技术,包括手机短信、手机令牌、USBKey、动态令牌等方式,安全认证登录用户身份,降低用户账号密码风险。
  • 对接第三方认证服务或平台,包括AD域、RADIUS、LDAP、Azure AD远程认证,支持远程认证用户身份,防止身份泄露。并支持一键同步AD域服务器用户,复用原有用户部署结构。

账户管理

集中管理系统用户和资源账号信息,对账号全生命周期建立可视、可控、可管运维体系。

  • 用户账号管理:系统用户账号全生命周期管理,用户使用唯一账号登录系统,解决共享账号、临时账号、滥用权限等问题。
  • 资源账户管理:集中资源账户管理,资源账户全生命周期管理,实现单点登录资源,管理或运维无缝切换。

权限控制

集中管控用户访问系统和资源的权限,对系统和资源的访问权限进行细粒度设置,保障了系统管理安全和资源运维安全。

  • 系统访问权限:从单个用户账号属性出发,控制用户登录和访问系统权限。
  • 资源访问权限:按照用户、用户组与资源账户、账户组之间的关联关系,建立用户对资源的控制权限。

操作审计

基于用户身份系统唯一标识,从用户登录系统开始,全程记录用户在系统的操作行为,监控和审计用户对目标资源的所有操作,实现对安全事件的实时发现与预警。

  • 系统行为审计:系统操作行为全纪录,针对操作失误、恶意操作、越权操作等行为告警通知。
  • 资源运维审计:全程记录用户的运维操作,支持多种运维审计技术和审计形式,可随时审计用户操作行为,识别运维风险,为安全事件追溯和分析提供依据。

高效运维

通过多种架构运维、多种运维资源、多种运维工具、多种运维形式的接入,全面提升运维效率。

  • Web浏览器运维:HTML5远程登录资源,无需安装客户端,一键登录运维资源,实现操作实时监控、文件上传下载等运维管理。
  • 第三方客户端运维:在不改变用户使用原来客户端习惯的前提下,支持一键接入多种运维工具,提升运维效率。
  • 自动化运维:线上多步骤复杂操作自动化执行,告别枯燥的重复工作,提高工作效率。

工单申请

系统运维用户在运维过程中,遇到需运维资源而无权限情况,可提交系统工单申请资源控制权限,寻求管理人员授权审批。

  • 系统运维人员
    • 通过手动或自动触发工单系统,提交访问授权工单、命令授权工单、数据库授权工单申请权限。
    • 支持提交工单、查询工单、撤销工单、删除工单等功能。
  • 系统管理人员
    • 通过自定义审批流程,支持多级审批。
    • 支持批准单个工单、批量批准工单、驳回工单、撤销工单、查询工单、删除工单等功能。

相关文档