IT公司防止運維偷窺和篡改資料庫的最佳武器-雲堡壘機!
對於國內的國情而言,時不時會聽到這種訊息:某國際酒店洩露客人資訊被罰1.6億,某員工怒刪公司9TB資料被判7年有期徒刑,還有一個國內某SaaS公司員工惡意刪除生產資料導致公司股價暴跌逾20億港元,究其原因還是國內特有的工作習慣,流程化、標準化尚不成熟,動不動開發、運維都給root許可權。
還有從相關法律法規的政策看,早在2019年12月 1日,網路安全等級保護制度(等保2.0)正式實施,這也意味著等保不僅是企業“安全預防做得是否到位”的內在要求和衡量指標,還成為了企業在法律層面上的外部要求,而運維審計系統俗稱的堡壘機,作為過等保的必要環節,也是防範企業內部資料遭偷窺和篡改的有效手段。
對於IT公司而言,資料就是公司的核心資產,公司別的沒啥,就是資料值錢,因此上一個堡壘機很有必有,當然現在也都用上了雲主機,能適配雲原生的堡壘機首推。而一個好的能適配雲原生的“雲堡壘機”,則需要具備以下四個核心能力:
一、多雲、混合雲統一納管
既可管理各公有云平臺的雲資源,也支援管理私有云資源,使用者只需要提供公有云/私有云平臺API憑證(如Access Key),即可把使用者在公有云/私有云上的所有云資源一鍵匯入到雲管平臺中,實現對多雲環境的無縫對接和統一管理,而無需去關注各平臺之間的技術差異,達成對異構雲平臺的多雲/混合式納管能力。
二、身份鑑別
支援多種雙因子認證方式來驗證登入,登入方式可透過使用者名稱、密碼,同時結合手機簡訊驗證碼、OTP動態口令等。並具備防暴力破解功能,連續多次失敗登入將自動鎖定賬戶或IP,可配置解鎖時長、到期自動解鎖,也可手動解鎖。支援透過使用者安全策略定義使用者的IP地址和 MAC地址黑白名單,禁止非法地址訪問。支援透過使用者安全策略定義使用者的允許登入時段,其它時段將禁止使用者登入。使用者登入後,連線10分鐘無操作自動退出。支援同一個使用者只能同時允許在一個裝置上登入系統使用,如果檢測到在其他系統登入,則將原登入裝置剔除。
三、授權控制
採用基於角色的訪問控制模型(Role-Based Access Control)來實現許可權控制,具體來說,是將授權模型劃分為功能授權和資源授權兩個維度,而這兩種授權都是針對角色的,角色是功能許可權和資源許可權的載體。當團隊中的成員被新增到某一角色,該成員便自動擁有了該角色所被授予的各項許可權。每一個成員要想訪問某個雲資源,都需要具有相應的功能許可權和資源許可權。
以最小許可權原則將裝置授權予使用者,確保“正確的人”以“正確的操作”運維“正確的資料資源”。
四、賬號管理
一般內建 “團隊擁有者”、“管理員”、“業務管理員”、“安全審計員”和“操作員”等幾個基本角色,以及代表團隊全部成員的“所有成員”這一特別角色,內建角色不可刪除。
此外,還可實現多來源使用者的接入及多重身份認證機制(如:微信/企業微信/釘釘等),使使用者賬號與外部IT系統賬號體系進行關聯,同時杜絕非法訪問、保障資料安全。
五、安全審計
對運維工作進行審計記錄,是確保所有的運維操作可回溯、可追蹤的有效手段。最好能從旁路對運維操作進行日誌記錄,不影響運維操作,且其審計日誌記錄不可刪除、不可篡改,使得運維操作可回溯、可追蹤。
不僅僅記錄審計日誌,其對運維全生命週期進行了管控與審計:
事前授權:以最小許可權原則將裝置授權予使用者,確保“正確的人”以“正確的操作”運維“正確的裝置”;
事中監管:管理員可以監控運維人員的整個運維操作,可以控制運維過程,對運維操作及指令設定申請審批策略,阻止並避免危險、違規操作,確保運維安全;
事後審計:對記錄的審計日誌提供錄影檢視、指令檢索、操作定位能力,對運維操作進行高效快捷的回溯及追蹤。
行雲管家是國內唯一一家以SAAS形態提供的雲端計算管理平臺,入選了“第十屆財經峰會”並榮獲2021科技創新引領獎,行雲管家雲管平臺內建的雲堡壘機可為企業提供 “事前授權、事中監管、事後審計”的運維安全合規審計能力,有效解決IT運維過程中安全、可控與合規的問題,目前已成功服務十萬家企業級使用者。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70002658/viewspace-2785466/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 運維管理---開源堡壘機介紹運維
- 傳統堡壘機資料可以遷移到雲堡壘機上嗎?方式有哪些?
- 一次運維-堡壘機多次跳轉匯出及匯入mysql資料庫運維MySql資料庫
- 雲堡壘機和信創堡壘機主要區別講解
- 雲堡壘機和軟體堡壘機哪個好?區別是什麼?
- 開源運維堡壘機(跳板機)系統 python運維Python
- python實現運維堡壘機(跳板機)系統Python運維
- 揭秘 | 運維堡壘機 高效安全運維設計與架構落地運維架構
- 運維堡壘機是什麼?有什麼作用?運維
- 案例丨堡壘機如何讓醫療機構運維更安全?運維
- 雲堡壘機主要針對運維過程中的什麼進行管理和審計?運維
- 淺談堡壘機最佳化的必要性-行雲管家
- 堡壘機:愛奇藝海量伺服器安全運維平臺的建設伺服器運維
- 為什麼說堡壘機是企業IT運維的“安全終結者”?運維
- 如何成為雲中硬核“牧羊人”?雲堡壘機服務高效運維,讓雲主機不再成為落單的小羊!運維
- 堡壘機小知識科普-行雲管家
- JumpServer堡壘機Server
- 堡壘機提供的運維報表有什麼用?怎麼簡單解釋?運維
- 【堡壘機知識】三款大品牌堡壘機對比與分析
- 開發基於Django和Websocket的堡壘機DjangoWeb
- 榮獲 TGA 2018 最佳運營遊戲大獎,《堡壘之夜》:用“優衣庫”思維做運營遊戲
- 安裝 堡壘機 dockerDocker
- 教育行業運維審計用什麼堡壘機好?有什麼作用?行業運維
- 有了堡壘機,運維工程師們不再是背鍋俠啦!運維工程師
- 如何防止網站資料庫被攻擊 被篡改網站資料庫
- 本地Mac通過堡壘機代理實現跨堡壘機scp問題Mac
- 資料安全產品之堡壘機詳細介紹
- 開源堡壘機是什麼?開源堡壘機的優缺點是什麼?
- H3C運維審計系統-堡壘機 安裝手冊(筆記)運維筆記
- 資料庫伺服器運維最佳實踐資料庫伺服器運維
- 堡壘機和防火牆有什麼區別?防火牆
- 為什麼說資料庫是Serverless最難攻堅的堡壘?資料庫Server
- 堡壘機和防火牆的區別是什麼?能防刪庫跑路嗎?防火牆
- 使用docker部署JumpServer堡壘機DockerServer
- Python Django開發的WebSSH 堡壘機PythonDjangoWeb
- 通過堡壘機透明連線到雲中任意內網主機內網
- 【DB寶48】JumpServer:多雲環境下更好用的堡壘機Server
- 從運維角度淺談MySQL資料庫最佳化運維MySql資料庫