You need to enable JavaScript to run this app.
导航
产品功能
最近更新时间:2024.09.03 10:38:21首次发布时间:2022.06.16 18:36:40

云堡垒机提供账号管理(Account)、授权控制(Authorization)、身份验证(Authentication)、安全审计(Audit)等能力,本文详细介绍云堡垒机服务支持的功能。

类别特性描述

实例管理

实例创建

创建包年包月计费类型的云堡垒机实例。提供多种购买时长,包括:1 个月、3 个月、6 个月、1 年、2 年、3 年,一次性购买时间越久,优惠力度越大。

实例规格

提供多种云堡垒机实例规格,满足各种场景的使用需求。包括:50资产、100资产、200资产、500资产、1000资产、2000资产、5000资产。

实例续费

完整对接计费系统,提供实例续费功能。续费实例即可继续使用,节省重新购买和配置成本。续费方式包括:自动续费、手动续费。

  • 自动续费:实例到期前系统自动完成续费。默认单次自动续费 1 个月,单次自动续费时长和自动续费次数可配。

  • 手动续费:实例到期前手动为实例进行续费,续费时长可自由选择。

实例更配提供实例规格扩容能力,为云堡垒机实例升级资产配置。
公网选配可根据实际场景按需开关云堡垒机公网 IP。

实例概览

通过图表方式可视化展示当前云堡垒机相关信息,包括:基本信息(公网登录 IP、SSH 端口号等)、实时会话管理、人员和资源统计、最近一周登录次数统计、最近一周运维次数统计。

更改安全组云堡垒机加入安全组后,将受到该安全组中访问规则的保护,仅允许云堡垒机访问安全组内的云服务器,可通过更改安全组过滤/保护待纳管的云服务器资源。
版本升级免费提供版本升级能力,可将云堡垒机实例一键升级到最新版本。
资源管理资源纳管提供资源的纳管能力,目前支持纳管的资源包括:主机、数据库。 不仅支持纳管火山引擎中的资产,而且支持纳管非火山引擎或云下资产。

主机管理

将主机资源纳管到云堡垒机统一管理。提供主机资源的全生命周期管理,包括:导入主机、编辑、删除主机,修改协议端口等。其中,导入主机支持 3 种方式:导入 IAM 主机、新建主机、上传配置文件批量导入主机。

  • 导入 IAM 主机:无缝对接火山引擎中的主机,支持一键导入相同地域下的 ECS 实例,提升运维管理效率。

  • 新建主机:通过新建主机的方式支持单个导入主机,主机来源包括:火山引擎、非火山引擎,以及云下服务器。

  • 上传配置文件批量导入主机:通过上传配置文件批量导入主机,主机来源包括:火山引擎、非火山引擎,以及云下服务器。

主机账号管理

手动同步主机中指定的操作系统账号,实现账号粒度的运维权限接管。并提供主机账号的全生命周期管理,包括:新建、编辑、删除主机账号,验证密码等。

主机组管理通过主机组实现对主机的分类管理和批量操作,并提供主机组全生命周期管理,包括:新建、编辑、删除主机组,添加主机、移除主机等。
数据库管理将数据库资源纳管到云堡垒机统一管理。提供数据库资源的全生命周期管理,包括:新建数据库、编辑、删除等。
数据库账号管理手动同步数据库中指定的账号,实现账号粒度的运维权限接管。并提供数据库账号的全生命周期管理,包括:添加、编辑、删除,验证密码等。
多网域云堡垒机提供多网域管理功能,支持通过网络域代理方式连通多个 VPC、异构云等不同网络环境中的服务器资产,实现多网域运维。

人员管理

用户访问控制

系统为云堡垒机用户提供 5 种预置访问控制策略,包括:VBHFullAccess(管理员)、VBHInnerFullAccess(管理员)、VBHReadOnlyAccess(只读用户)、VBHAduitOnlyAccess(审计人员)、VBHOperateOnlyAccess(运维人员)。

用户管理

  • 云堡垒机用户系统已经对接火山引擎访问控制,可将 IAM 用户直接导入云堡垒机。并提供用户全生命周期管理,包括:导入、查看(登录密码、有效期等)、启用/停用、解锁、删除等。
  • 云堡垒机新增支持 AD 认证,可将 AD 服务器中的用户同步到云堡垒机,直接作为云堡垒机的用户使用。
用户组管理通过实现对用户的分类管理和批量操作,并支持用户组全生命周期管理。包括:新建、编辑、删除用户组,添加用户、移除用户等。
公钥管理将本地客户端生成的 SSH 公钥关联到用户,使用户拥有免密登录云堡垒机能力,保障安全的同时提高运维效率。
授权资产完成主机授权或主机组授权后,用户可以通过云堡垒机运维已授权资产或主机组内的所有主机。授权资产的方式包括:用户授权资产、用户授权资产组、用户组授权资产、用户组授权资产组。

授权账号管理

云堡垒机可使用授权账号的操作系统权限,进行资产运维的各种操作。提供授权账号的管理能力,包括:授权账号、移除授权账号。
其中,授权账号的方式包括:用户资产授权账号、用户的资产组授权账号、用户组资产授权账号、用户组的资产组授权账号。

策略管理命令审批命令控制策略配置执行命令需要审批时,用户在命令控制策略关联的主机中执行相关命令,需要管理员审批才能运行。
命令控制策略管控用户运维主机时操作命令的使用权限控制,例如:对敏感、高危命令进行控制,加强关键操作的管控。执行动作包括:不允许执行以下命令、只允许执行以下命令、执行命令需审批。

访问控制策略

管控访问云堡垒机的用户权限,不仅可以通过用户来源 IP 限制访问权限,而且可以限制用户的文件管理权限。

  • SFTP 协议文件管理权限包括:文件上传/下载、文件查看/编辑/删除、文件重命名、文件夹创建/删除。

  • RDP 协议文件管理权限包括:剪切板上传/下载、文件上传/下载。

改密策略

针对使用密码登录的 Linux 主机提供改密策略功能,可直接修改原主机的操作系统账号密码,适用于批量修改密码和定期修改密码场景。

  • 支持的执行方式包括:手动执行、定时执行、周期执行。

  • 支持的改密方式包括:随机生成不同密码、随机生成相同密码、指定密码。

运维审计阻断会话拥有审计权限的用户,发现高危操作或异常情况时,可单方面阻断实时会话,规避风险。

实时会话

拥有审计权限的用户,可登录云堡垒机控制台通过视频播放的形式查看实时会话,审查管理正在进行中的运维会话。可审计/查看的信息包括:

  • 基础信息:主机名/IP、主机账号、用户/来源 IP、协议、开始时间等。

  • 操作记录:Linux 主机的命令执行记录,可搜索查找。

  • 文件记录:Windows 主机的文件传输记录,可搜索查找。

历史会话拥有审计权限的用户,可登录云堡垒机控制台通过视频播放的形式查看/管理历史会话,也拥有导出日志的权利。可对审查历史会话的基础信息、操作记录和文件记录等信息。
操作日志拥有审计权限的用户,可登录云堡垒机控制台查看登录日志和操作日志。

主机运维

单点登录

统一运维入口,运维人员可通过云堡垒机单点登录运维主机,一站式访问后端庞大服务器资源,有效简化运维方式。

兼容主流运维客户端

用户需要通过第三方客户端登录云堡垒机,进行各种运维工作。目前已经兼容主流客户端。包括:

  • Web 浏览器:Chrome。

  • SSH 客户端:Xshell、SecureCRT、Mac Terminal、nuoshell、Iterm2、Putty 等。

  • SFTP 客户端:SecureFX、SecureCRT、Mac Terminal、Iterm2、WinSCP、Xftp、FileZilla 等。

兼容主流运维命令成功连接主机后,即可通过 SSH 协议执行各种运维操作。除支持主流运维命令外,还支持使用 rzsz 命令进行文件传输。
通过浏览器调起本地客户端本地使用 Windows 操作系统连接云堡垒机进行主机资产运维时,可通过浏览器直接调起本地客户端。

RDP 协议运维主机

RDP 协议提供多种登录运维方式:不仅支持使用客户端登录运维,而且可以使用 Web 端(浏览器)进行登录运维。

  • 客户端:通过 RDP 客户端登录云堡垒机中的 Windows 主机,进行各种运维操作。
  • Web 端:通过 Web 端(浏览器)登录云堡垒机,使用 RDP 协议运维 Windows 主机。

SSH 协议运维主机

SSH 协议提供多种登录运维方式:不仅支持使用客户端登录运维,而且可以使用 Web 端(浏览器)进行登录运维。

  • 客户端:通过 SSH 客户端登录云堡垒机,运维 Linux 主机。

  • Web 端:通过 Web 端(浏览器)登录云堡垒机,使用 SSH 协议运维 Linux 主机。

  • 直连:通过 SSH 客户端或命令行直连云堡垒机中的目标主机,跳过登录云堡垒机后的资产选择环节。

SFTP 协议运维主机通过 SFTP 客户端登录云堡垒机,运维 Linux 主机。
数据库运维数据库类型目前支持运维 MySQL v5.7、PostgreSQL v11 及以上版本,以及 Oracle 11g、12c 和 19c 版本的数据库。
通过客户端运维数据库运维人员支持使用本地客户端登录云堡垒机,通过客户端连接数据库进行运维操作。目前已经兼容主流客户端,例如:Navicat、MySQL、MariaDB、DataGrip 等。
通过命令行运维数据库运维人员支持使用命令行工具登录云堡垒机,通过命令行连接数据库进行运维操作。

系统配置

告警配置

以站内信、邮件或短信形式推送系统相关告警消息给火山引擎账号,方便用户了解业务情况,提高运维效率。

双因子认证

登录云堡垒机完成密码认证后,可通过短信或邮件发送动态验证码进行二次登录验证,降低密码泄露风险。

安全设置

提供云堡垒机运维和登录密码相关安全设置,保障系统安全和数据安全。

  • 运维空闲时长限制:管控用户运维的会话时长,避免长时间不进行运维操作或运维时间过长导致主机资源浪费。

  • 云堡垒机登录密码有效期:配置云堡垒机登录密码的使用期限,定期修改密码,提升安全性。

账号锁定配置配置账号密码锁定策略(包括:密码尝试次数、锁定时长、重置时间),防止恶意登录账号或暴力破解密码,保障系统安全。
AD 认证可将 AD 服务器中的用户同步到云堡垒机,直接作为云堡垒机的用户使用。