【云堡垒机】企业上云,云主机安全该如何防护?

举报
云安宝 发表于 2018/01/08 11:00:25 2018/01/08
【摘要】 云计算为企业带来了巨大的便利,但是企业上云的同时也会面临云环境下的挑战:云主机资源如何集中高效的管理?云主机运维的权限如何控制?云主机的主机安全应该怎样防护?企业内部的主机安全与外部的主机安全怎样同时进行……


云计算为企业带来了巨大的便利,但是企业上云的同时也会面临云环境下的挑战:云主机资源如何集中高效的管理?云主机运维时权限该如何控制?云主机的主机安全应该怎样防护?企业内部的主机安全与外部的主机安全怎样同时进行……

云环境的挑战

云计算的时代已经到来,云环境给企业提供了便利高效,同时也带来了巨大的挑战:

  • 云平台提供了边界的安全防护,企业内部的主机安全无任何防护,需企业自己负责;

  • 云主机登录入口如果开放在公网中,主机面临的风险会非常大;

  • 云主机数量庞大,密码管理困难,难以实现高效统一的运维管理;

  • 企业应用业务系统复杂多样,缺乏统一的访问入口及权限控制;

  • 运维人员使用相同账号,操作行为难以约束,操作过程不透明;

  • 在事故发生后,难以快速定位,难以有据追责;

……

近些年来,数据有了爆发式的增长,业务系统和数据信息成为企业的核心资产,然而内部泄密的事件却层出不穷,给企业给社会带来了巨大的损失。例如,某知名招聘平台,内部员工申某和李某,利用系统漏洞,私自将15万余份简历低价卖给他人,然后流入到其他企业之中,给公司造成了极大的负面影响,同时在社会上引起了巨大的反响。

针对频繁出现的网络安全事件,今年61日正式实施了《中华人民共和国网络安全法》,其中第二十一条规定:

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

上面的问题,可以很简单的通过云堡垒机来实现,收回所有人员的直接登录服务器的权限,所有的登录动作都通过云堡垒机授权,无需向用户下发密码,用户只能使用授权给自己的云主机和账号。而且云堡垒机会将所有用户的所有操作记录下来,以备日后的审计和事后的追责,同时满足法律法规的要求。

因此每个企业上云都需要一个能够集安全运维、操作审计于一体的产品——云堡垒机。

云匣子——真正的云堡垒机

云匣子是租户连接云主机的安全管理工具,帮助云租户更加安全、精细的管理云上的虚拟机、数据库等资源。结合多年的运维和安全实践,将云上的运维和安全有机结合。对运维过程事前规划、事中控制和事后审计,在此之上,将自动化运维、资产拓扑发现、账号安全等,完美的集成在系统之中。

华为云社区banner2.png

云主机运维管理难

云主机数量多,云主机的使用权限难以控制,云主机的运维操作难以统一高效的进行,云堡垒机可以将云主机全部纳入其中,根据企业资源规划将云主机给用户,进行集中高效的管理与运维。

云主机密码管理难

云堡垒机可以对云主机账号密码进行托管,管理员录入云主机账号密码后,只需要将云主机账号授权给用户,不需要让用户知道密码,用户即可登录运维,并且管理员可设置定期改密,保证密码的安全。

安全访问云主机

配合安全组策略,将云主机设置为只能通过登录云堡垒机才能访问的方式,避免了云主机直接开放在互联网上。

操作审计,安全合规

提供日志、会话视频回放、实时会话记录、统计报表等多种审计方式,可对事件快速定位,提供证据进行追查、追责,满足法律法规。

自动化运维

提供脚本和简单的操作指令,制定定时的运维任务,帮助运维人员提高工作效率。

2.bmp

云主机安全防护实施指南

云平台为每个租户提供了边界安全,但是云主机的安全需要用户自己承担。云主机的安全主要从云主机端口最小化访问策略、密码托管、操作权限控制、日志与会话记录等方面进行防护,可分为事前准入、事中控制、事后审计三个阶段。

1、  云主机端口最小化访问

对于云主机访问端口,通过安全组,设置最小化访问控制策略(白名单),仅允许白名单内的终端登录云主机,避免将登录端口直接暴露在公网。云堡垒机可以将所有云主机纳入其中,作为统一的访问入口,实现云主机的集中式管理。


3.bmp

2  云主机账号密码托管,设置强密码并定期修改

1)、管理员将云主机的账号密码录入到堡垒机,通过对账号授权的方式实现云主机资源的分配与管理,不需要将云主机账号的密码告知用户,用户即可登录云主机。

4.bmp


2)、对云主机账户,通过定期修改强密码,保证密码安全。

5.bmp

3  划分多种角色,实现分权管理

根据企业架构创建用户角色,并根据角色职能配置权限,实现对用户的操作行为的约束,防止越权操作。


7.bmp


4  用户访问控制,双因素登录认证

1)  为用户制定访问策略,设置登录允许的时间段及允许登录的IP段,防止异常登录。


7.bmp

2  用户登录使用双因素认证,识别用户身份,防止非法登录和账号共用。

8.bmp

5  敏感命令拦截,实时会话监控

1)  为重要的云主机配置命令拦截策略,实时自动拦截敏感命令,防止误操作和恶意操作。

9.bmp

2  对主机的操作行为会话实时监控,发现危险立即中断会话。

10.bmp

6、  操作日志与会话记录,还原运维过程

对运维过程进行记录,出现事件快速还原操作过程,定位原因,及时解决问题。

11.bmp


关于云匣子


目前云匣子已经和华为云市场进行了深度合作,在华为云市场上搜索“云匣子”即可轻松部署!

12.bmp

    详细资料请参考以下资料:

云匣子介绍

云匣子产品白皮书

云匣子产品用户手册


关于云安宝


云安宝(http://www.yunanbao.com.cn)——专为云租户提供云上资产管理、运维审计、云访问安全代理(CASB)等多方面的综合解决方案。成立不足三年,已获得多项国家发明专利,工信部网络安全示范工程,并服务于中央网信办、联通集团、工信部等30多家优质客户。我们以提供广大租户上云后所需要的“瑞士军dao”为切入,立志于成为云时代租户上云的首选。


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。