云堡垒机是华为云在多年运维安全管理理论和实践经验积累的基础上，结合各类法律法规对运维审计的要求，采用B/S架构，集“身份认证（Authentication）、账户管理（Account）、权限控制（Authorization）、运维审计（Audit）”于一体，支持多种字符协议、图形协议、文件传输协议、远程应用协议的运维与审计，是具备全方位运维风险控制能力的、统一运维管理与审计的产品。

云堡垒机提供一套先进的运维安全管控与审计的解决方案，目标是帮助企业改变传统安全运维被动响应的模式，建立面向用户的智能化运维安全管控模式。降低人为安全风险，满足合规要求，同时提高人员效率，助推企业核心业务的发展。

应用场景

• 管理对象

用户对象：管理员、审计员、运维员、第三方运维人员、临时用户等。

资源对象：服务器、网络设备、安全设备、Web应用、数据库系统等。

• 管理范围

集中管控各种运维操作行为。

• 协议类型

SSH、RDP、TELNET、VNC、FTP、SFTP。

• 客户端

浏览器（如IE、Chrome、Firefox等）、第三方客户端（如Xshell、SecuretCRT、Putty、WinSCP、Xftp、MAC Terminal等）。

管理员定制访问策略

• 添加资源

管理员添加需要管理的资源，资源包括服务器、网络设备、安全设备、应用系统、数据库系统等对象。

支持编辑相关设备信息，包括系统类型、所属部门、资源名称、资源地址、协议类型、应用程序等。

• 添加从账户

管理员添加与资源对应的从账户（资源账户），包括账户名、密码等。

从账户支持自动、手动、半自动的登录方式，并且能够由普通账户切换到特权账户，同时密码可由云堡垒机定期自动更新。

• 添加主账户

管理员添加主账户（用户账户）。主账户是登录云堡垒机，获取目标设备访问权的唯一账户，与实际用户身份一一对应，每个用户一个主账户，每个主账号只属于一个用户。

• 创建访问控制策略

管理员建立基于“时间+主账户+资源+从账户+权限”等要素的关联策略。

• 行为全程审计

云堡垒机自动记录管理员的资源管理、用户管理和策略管理等所有行为日志，以便审计员监控和审计。

运维员访问目标资源

• 登录云堡垒机

用户在终端通过HTTPS或第三方客户端工具登录云堡垒机，输入主账号和密码，发起访问请求。云堡垒机的认证模块对用户的认证请求进行鉴别。

• 检查主账号访问权限

登录成功之后，云堡垒机的权限管理模块通过分析主账号属性（包括可访问的目标设备、访问权限、从账号、协议类型、应用等），确定主账号可访问的所有资源。

• 显示可访问资源

直观展示主账号可访问的所有目标设备。

• 访问目标资源

用户选择需要访问的目标资源进行操作维护。如果有违反访问控制策略或命令控制策略的行为，基于策略将自动记录、拒绝执行，并且通过多种方式（系统消息、短信、邮件）给管理员发送告警。

• 用户访问行为全程审计

云堡垒机全程审计用户“登录系统→访问资源和操作→退出系统”的所有行为，以便审计员监控和审计。

产品价值

云堡垒机为企业带来的价值主要体现在：

·       管理效益

o   所有主账号和从账户在一个平台上进行管理，账号管理更加简单有序。

o   通过建立用户与主账号的唯一对应关系，确保用户拥有的权限是完成任务所需的最小权限。

o   可视化运维行为监控，及时预警发现违规操作。

·       用户效益

o   运维人员只需记忆一个账号和密码，一次登录，便可实现对其所维护的多台资源的访问。

o   无需频繁地输入IP地址和账户密码，提高工作效率，降低工作复杂度。

o   批量运维和操作资源。

·       企业效益

o   降低人为安全风险，避免安全损失。

o   满足合规要求，保障企业效益。