建立堡壘機的原則有哪些？需要注意哪些方面？

為了保障企業IT資產安全，確保使用者資訊保安，避免出現資訊洩露事件，很多公司都準備搭建堡壘機。但因為剛接觸，很多知識點不清楚，出現很多疑問，很多企業運維負責人，都在問，建議堡壘機的原則有哪些？需要注意哪些方面？

建立堡壘機的原則有哪些？需要注意哪些方面？

原則1：堡壘機的賬號管理

企業管理人員為了方便登陸，經常會出現多個使用者使用一個賬號或一個使用者使用多個賬號的情況。由於共享賬號是多人共同使用，當系統發生問題後，無法精確定位惡意操作或誤操作的具體責任人。因此在搭建堡壘機時，一定要注意必須做到一人一個帳號，絕不允許多個人共用個人帳號，更不能允許共同賬號登入堡壘機。

原則2：堡壘機的訪問控制

訪問控制的目的是通過限制維護人員對資料資訊的訪問能力及範圍，保證資訊資源不被非法使用和訪問。

原則3：堡壘機的指令稽核

堡壘機的操作審計功能主要審計運維人員的賬號使用（登入、資源訪問）情況、資源使用情況等，針對敏感指令，堡壘機可以進行阻斷響應或觸發稽核操作，稽核不通過的敏感指令，堡壘機將會進行攔截。

原則4：堡壘機的身份認證

杜絕僅使用密碼登入堡壘機，建議在執行主機重啟、密碼修改、會話建立、快照回滾、磁碟更換等各種重要操作時，可通過微信或簡訊等進行雙因子身份確認，確保訪問者身份的合法性。

原則5：堡壘機的資源授權

使用者授權，建議結合公司內部CMDB來做基於角色的訪問控制模型以實現許可權控制。通過集中訪問控制和細粒度的命令級授權策略，基於最小許可權原則，實現集中有序的運維操作管理。

原則6：堡壘機的審計錄影

在安全層面，除了通過行雲管家堡壘機的事前許可權授權、事中敏感指令攔截外，還需提供堡壘機事後運維審計的特性。使用者在堡壘機中所進行的運維操作均會以日誌的形式記錄下來，管理者即通過日誌對運維人員的運維操作進行審計。

原則7：堡壘機的操作審計

堡壘機的操作審計功能主要審計運維人員的賬號使用（登入、資源訪問）情況、資源使用情況等。在各伺服器主機的訪問日誌記錄都採用統一的賬號、資源進行標識後，堡壘機的操作審計功能才能更好地對賬號的完整使用過程進行追蹤。