更新时间:2024-08-12 GMT+08:00
分享

云堡垒机

什么是云堡垒机

云堡垒机(Cloud Bastion Host,CBH)是华为云的一款4A统一安全管控平台,为企业提供集中的账号(Account)、授权(Authorization)、认证(Authentication)和审计(Audit)管理服务。

云堡垒机提供云计算安全管控的系统和组件,包含部门、用户、资源、策略、运维、审计等功能模块,集单点登录、统一资产管理、多终端访问协议、文件传输、会话协同等功能于一体。通过统一运维登录入口,基于协议正向代理技术和远程访问隔离技术,实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计。

快速配置云堡垒机

配置后可以实时收集和监控网络环境中每个组成部分的系统状态、安全事件和网络活动,保障网络和数据不受来自外部或内部用户的入侵和破坏,便于集中报警、及时处理及审计定责。

  1. 登录管理控制台
  2. 在控制台页面中选择安全与合规 > 云堡垒机 CBH,进入服务在右上角单击购买云堡垒机,购买后在实例“操作”列单击“远程登录”进入云堡垒机登录页面。

    • 首次以系统管理员admin登录系统,登录密码为购买实例时配置密码。系统管理员admin是系统默认用户,即第一个可登录用户,拥有系统最高操作权限,且无法删除和更改权限配置。
    • 系统所有用户首次登录系统后,请按照提示修改密码和绑定手机号码。
    图1 登录云堡垒机

  3. 登录云堡垒机系统后,选择用户 > 用户管理,右上角单击“新建”,根据实际需求和界面提示创建运维用户

    • 角色划分用户系统操作权限,默认有系统管理员、策略管理员、审计管理员和运维员四种角色。admin可以自定义角色,分配系统操作权限。
    • “登录名”在整个CBH系统是唯一的,不能重复。
    • 创建用户成功后,可通过修改用户配置,配置用户登录云堡垒机系统的多因子认证
    图2 新建运维用户

  4. 运维用户创建成功后,选择资源 > 主机管理,右上角单击“新建”配置主机基本信息和网络参数。

    • “主机地址”为主机与云堡垒机网络通畅的IP地址,可选择主机的EIP地址或私有IP地址,建议优先选择可用的私有IP地址。
    • 增强版支持以主机方式运维数据库,支持四种数据库类型MySQL、SQL Server、Oracle和DB2。
    • 应用发布资源是通过Windows远程访问应用实现运维,需先配置应用发布服务器
    • 创建资源成功后,需添加资源账户才能登录资源运维。资源账户的登录方式可选择以下几种:

      自动登录:系统纳管资源账户名和密码,再次登录资源时无需输入账户名和密码。

      手动登录:自动生成一个Empty账户。登录资源时,需手工输入资源账户名和密码进行登录。

      提权登录:当用户登录提权资源账户时,自动切换身份到特权帐号。

    图3 新建主机

  5. 单击“下一步”,配置运维主机账户信息,单击“确认”完成配置。
  6. 运维用户和主机资源创建成功后,选择策略 > 访问控制策略,右上角单击“新建”配置访问控制权限

    • 访问控制策略用于关联用户和资源,并赋予用户访问和操作资源的具体权限。CBH系统用户被赋予了资源访问控制权限,才能运维资源。
    • IP限制”是设置用户本地IP地址,用于限制或允许该IP地址的用户访问资源。
    图4 新建控制策略

  7. 单击“下一步”,关联运维用户和主机资源,单击“确认”完成配置。
  8. 访问控制策略配置成功后,使用运维用户登录云堡垒机系统,选择运维 > 主机运维
  9. 选择目标主机资源,单击“登录”登录主机资源进行运维操作。

    • SSH、TELNET和Rlogin协议类型主机资源,可使用SSH客户端运维资源。
    • FTP、SFTP和SCP协议类型主机资源,需使用FTP/SFTP/SCP客户端运维资源。
    • MySQL、SQL Server、Oracle和DB2协议类型的主机资源,需提前配置SSO单点登录工具和数据库管理工具。通过SSO单点登录工具调用数据库客户端,实现SSO单点客户端运维资源。
    • SSH、RDP、VNC和TELNET协议类型主机资源,支持直接通过Web浏览器运维;应用发布资源仅能通过Web浏览器远程访问进行运维。

相关文档