【云堡垒机】企业上云,云主机安全该如何防护?
云计算为企业带来了巨大的便利,但是企业上云的同时也会面临云环境下的挑战:云主机资源如何集中高效的管理?云主机运维时权限该如何控制?云主机的主机安全应该怎样防护?企业内部的主机安全与外部的主机安全怎样同时进行……
云环境的挑战
云计算的时代已经到来,云环境给企业提供了便利高效,同时也带来了巨大的挑战:
云平台提供了边界的安全防护,企业内部的主机安全无任何防护,需企业自己负责;
云主机登录入口如果开放在公网中,主机面临的风险会非常大;
云主机数量庞大,密码管理困难,难以实现高效统一的运维管理;
企业应用业务系统复杂多样,缺乏统一的访问入口及权限控制;
运维人员使用相同账号,操作行为难以约束,操作过程不透明;
在事故发生后,难以快速定位,难以有据追责;
……
近些年来,数据有了爆发式的增长,业务系统和数据信息成为企业的核心资产,然而内部泄密的事件却层出不穷,给企业给社会带来了巨大的损失。例如,某知名招聘平台,内部员工申某和李某,利用系统漏洞,私自将15万余份简历低价卖给他人,然后流入到其他企业之中,给公司造成了极大的负面影响,同时在社会上引起了巨大的反响。
针对频繁出现的网络安全事件,今年6月1日正式实施了《中华人民共和国网络安全法》,其中第二十一条规定:
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
上面的问题,可以很简单的通过云堡垒机来实现,收回所有人员的直接登录服务器的权限,所有的登录动作都通过云堡垒机授权,无需向用户下发密码,用户只能使用授权给自己的云主机和账号。而且云堡垒机会将所有用户的所有操作记录下来,以备日后的审计和事后的追责,同时满足法律法规的要求。
因此每个企业上云都需要一个能够集安全运维、操作审计于一体的产品——云堡垒机。
云匣子——真正的云堡垒机
云匣子是租户连接云主机的安全管理工具,帮助云租户更加安全、精细的管理云上的虚拟机、数据库等资源。结合多年的运维和安全实践,将云上的运维和安全有机结合。对运维过程事前规划、事中控制和事后审计,在此之上,将自动化运维、资产拓扑发现、账号安全等,完美的集成在系统之中。
云主机运维管理难
云主机数量多,云主机的使用权限难以控制,云主机的运维操作难以统一高效的进行,云堡垒机可以将云主机全部纳入其中,根据企业资源规划将云主机给用户,进行集中高效的管理与运维。
云主机密码管理难
云堡垒机可以对云主机账号密码进行托管,管理员录入云主机账号密码后,只需要将云主机账号授权给用户,不需要让用户知道密码,用户即可登录运维,并且管理员可设置定期改密,保证密码的安全。
安全访问云主机
配合安全组策略,将云主机设置为只能通过登录云堡垒机才能访问的方式,避免了云主机直接开放在互联网上。
操作审计,安全合规
提供日志、会话视频回放、实时会话记录、统计报表等多种审计方式,可对事件快速定位,提供证据进行追查、追责,满足法律法规。
自动化运维
提供脚本和简单的操作指令,制定定时的运维任务,帮助运维人员提高工作效率。
云主机安全防护实施指南
云平台为每个租户提供了边界安全,但是云主机的安全需要用户自己承担。云主机的安全主要从云主机端口最小化访问策略、密码托管、操作权限控制、日志与会话记录等方面进行防护,可分为事前准入、事中控制、事后审计三个阶段。
1、 云主机端口最小化访问
对于云主机访问端口,通过安全组,设置最小化访问控制策略(白名单),仅允许白名单内的终端登录云主机,避免将登录端口直接暴露在公网。云堡垒机可以将所有云主机纳入其中,作为统一的访问入口,实现云主机的集中式管理。
2、 云主机账号密码托管,设置强密码并定期修改
1)、管理员将云主机的账号密码录入到堡垒机,通过对账号授权的方式实现云主机资源的分配与管理,不需要将云主机账号的密码告知用户,用户即可登录云主机。
2)、对云主机账户,通过定期修改强密码,保证密码安全。
3、 划分多种角色,实现分权管理
根据企业架构创建用户角色,并根据角色职能配置权限,实现对用户的操作行为的约束,防止越权操作。
4、 用户访问控制,双因素登录认证
1) 为用户制定访问策略,设置登录允许的时间段及允许登录的IP段,防止异常登录。
2) 用户登录使用双因素认证,识别用户身份,防止非法登录和账号共用。
5、 敏感命令拦截,实时会话监控
1) 为重要的云主机配置命令拦截策略,实时自动拦截敏感命令,防止误操作和恶意操作。
2) 对主机的操作行为会话实时监控,发现危险立即中断会话。
6、 操作日志与会话记录,还原运维过程
对运维过程进行记录,出现事件快速还原操作过程,定位原因,及时解决问题。
关于云匣子
目前云匣子已经和华为云市场进行了深度合作,在华为云市场上搜索“云匣子”即可轻松部署!
详细资料请参考以下资料:
关于云安宝
云安宝(http://www.yunanbao.com.cn)——专为云租户提供云上资产管理、运维审计、云访问安全代理(CASB)等多方面的综合解决方案。成立不足三年,已获得多项国家发明专利,工信部网络安全示范工程,并服务于中央网信办、联通集团、工信部等30多家优质客户。我们以提供广大租户上云后所需要的“瑞士军dao”为切入,立志于成为云时代租户上云的首选。
- 点赞
- 收藏
- 关注作者
评论(0)