云计算的普及极大地提升了企业的工作效率,大幅降低了IT基础设施成本。但如其他行业一样,在快速发展的同时需逐步完善行业自身体系建设,其中企业的内部监管需求更是首当其冲。
企业内控管理中的痛点
在企业日常的IT系统管理工作中有几个场景,大家应该很熟悉:
l 多人共同运维一个账号
小王和小李在同一个工作组,系统管理账号***,由于工作需要,两人就一起用这一个账号。一天一个很早之前的升级导致的bug导致整个业务半个小时不能正常使用,造成了一次不小的安全事故。可是由于升级时间过去了很久,大家也很难定位实际使用者和责任人是谁,导致内部存在着较大的安全风险和隐患。
l 一个用户使用多个账号
老王是公司的技术工程师,要维护和管理多个主机,每台主机都用同样的密码,但是这样存在安全风险,一旦一个密码被破解了其他的服务器密码也都不保。因此老王之后费力的记忆多套口令去管理主机,管理非常复杂效率也不够高。
l 权限管理粗放
小陈的公司从创立到逐渐在市场中创出名气业务慢慢的做大,服务器的权限分配还是原来的粗放式管理,下面的技术支持都在用root权限访问生产机,系统安全性无法保证,也容易出现误操作或者没有权限的人员随意翻阅重要数据的问题。
l 难以对运维人员操作行为监管
维护人员经常使用的SSH、RDP等加密、图形操作协议没办法对之进行内容审计,在发现违规操作行为和追查取证上就缺乏依据。
以上这些场景广泛存在于企业信息化管理中,为了避免因为运维人员的操作失误带来安全问题,给企业造成损失,企业选择使用堡垒机来降低内控风险。
UCloud新推出的运维审计系统(即运维堡垒机)为用户提供了一套运维管理解决方案,使得管理人员可以对云主机进行集中账号管理、细粒度的权限管理和审计,帮助用户提升风险内控水平。
UCloud提供的安全解决方案
运维型堡垒机最早被广泛应用于金融、运营商等信息化水平较高且对内控水平要求较高的行业, 伴随着各行业企业信息化水平的广泛提升,堡垒机的应用也随之变得更为普遍。堡垒机主要布置在内网核心资源的前端,对运维人员的操作行为进行管理、审计。形象的说,运维人员对云主机的访问需要经过堡垒机的翻译。
图 1 使用堡垒机之前
图 2 使用堡垒机之后
UCloud推出的运维审计系统(UHAS)是适用于云平台的运维堡垒机,是运维人员远程访问和审计云主机UHost的跳板机机型。UHAS支持Windows(远程桌面协议)、Linux系统(SSH协议)主流系统及双因素身份认证。
与传统堡垒机相比,UCloud安全产品中心-优盾此次推出的堡垒机继承了云计算的特性,在不影响业务的正常运行的情况下,支持按需获取,弹性扩容,并且部署简单,不需要改变网络拓扑结构,不需要厂商人员过来安装,不需要改变管理人员和运维人员的操作习惯。此外,UHAS是符合4A安全管理方案的高性能、高安全性的堡垒机,满足等级保护、分级保护、银监、证监、 PCI、企业内控管理、 SOX 塞班斯、 ISO27001等运维管理的法律法规要求。
功能介绍
单点登录
单点登录可以很好的解决账号管理无序的问题。单点登录为具有多账号的用户提供了方便快捷的访问途径,使用户无需记忆多种登录用户ID和口令。管理主机设备的运维人员不需要任何登录的用户名和密码就可以管理主机。
账号管理
账号管理是管理员才能够使用的一项功能,目的在于集中地对主机、账号、人员进行集中授权。集中账号管理可以完成对账号整个生命周期的监控和管理,并且降低了企业管理大量用户账号的难度和工作量,大幅提升安全性。第三方运维人员无法获知设备的密码信息,强制运维人员通过堡垒机进行系统安全运维。
操作审计
操作审计能够更好地对账号的完整使用过程进行追踪。对于每一次运维访问会话,系统都会自动记录访问时间、源IP、目标IP地址、运维人员账号、服务器账号、操作指令等行为日志,同时系统还将以图形录像方式完整记录运维人员的操作行为。事后管理员能够以视频方式对整个操作过程进行回放,真正实现对操作内容的完全审计。
UHAS,你不可或缺的“内网安全伙伴”
在云计算的背景下提升企业的风险内控水平,需要的不仅是制度,更是一个能解决问题的工具,并且这个工具具备云计算的优势:便捷的、按需的网络访问,能够被快速提供的资源,只需要投入很少的管理工作,与传统设备相比大幅降低的成本。
UCloud运维堡垒机UHAS助力企业实现“系统运维——运维审计——运维核查——整改追责”的整个系统安全运维过程的闭环管理,成为企业内网安全建设必不可少的一员。
