需求分析
随着企业信息化进程不断深入,企业的IT系统变得日益复杂,不同背景的运维人员违规操作导致的安全问题变得日益突出起来,主要表现在:内部人员操作的安全隐患、第三方维护人员安全隐患、高权限账号滥用风险、系统共享账号安全隐患、违规行为无法控制的风险。
运维操作过程是导致安全事件频发的主要环节,所以对运维操作过程的安全管控就显得极为重要。而防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题,但对于运维人员的违规操作却无能为力。如何转换运维安全管控模式,降低人为安全风险,满足企业要求,是当下所面临的迫切需求。
产品简介
产品简介
天玥运维安全网关,俗称堡垒机,能够对运维人员维护过程进行全面跟踪、控制、记录、回放;支持细粒度配置运维人员的访问权限,实时阻断违规、越权的访问行为,同时提供维护人员操作的全过程的记录与报告;系统支持对加密与图形协议进行审计,消除了传统行为审计系统中的审计盲点,是IT系统内部控制最有力的支撑平台。运维过程三个阶段进行严格管控:
事前预防:建立“自然人-资源-资源账号”关系,实现统一认证和授权
事中控制:建立“自然人-操作-资源”关系,实现操作审计和控制
事后审计:建立“自然人-资源-审计日志”关系,实现事后溯源和责任界定
功能特点
-
部署方式灵活性:
天玥运维安全网关支持单机、双机、分布式部署多种部署方式,并支持NAT和网口聚合方式,适应多变业务场景。
-
操作使用便捷性:
天玥运维安全网关提供多种运维方式、C/S运维客户端、资源批量登录、命令批量执行、设备自动改密等多种功能以保证运维过程的自动和快捷性。
-
管控方式严格性:
天玥运维安全网关提供命令限制与复核、应用发布防跳转、运维账号IP、MAC限制等。严格的管控方式以保证运维过程的规范性。
-
审计效果精细化:
数据库协议深度解析、数据库返回行数记录、Oracle数据库变量绑定解析。
-
认证方式多样性:
天玥运维安全网关包括多样认证方式,支持对不同用户设置不同认证方式组合的双因素认证,更具灵活性。
-
运维协议全面性:
天玥运维安全网关支持多种运维访问协议,能够充分满足日常运维需要。
技术优势
-
堡垒机分身
虚化出多台堡垒机,适用于分权分域的用户管理场景。
-
虚拟化部署
支持VMware、VirtualBox、KVM和Xen(HVM)虚拟化环境部署。
-
运维操作防跳转
防止通过应用发布服务器进行跳转登录未授权资源。web页面防跳转功能,进行http/https访问过程时运维人员仅允许访问授权地址。
-
双重审计
实现数据库协议、字符协议、文件传输协议命令和录像的双重审计。实现命令审计和录像审计的关联检索和回放。
-
命令限制与复核
对于高危命令实现实时告警或阻断。对于特别重要的命令实现多人审核。
-
数据库深度解析
数据库协议级审计。数据库返回行数记录。Oracle数据库变量绑定解析。
-
敏感数据管控
运维人员拥有高权限系统账号,会接触到重要敏感数据。对运维人员上传、下载、流转重要敏感数据进行控制和记录。
典型应用
单双机部署:
天玥运维安全网关旁路方式部署于网络中,无需对网络结构进行任何调整。
运维人员直接访问天玥运维安全网关的对应端口,建立安全加密的数据通道,然后发起到服务器对应服务的访问,无需直接访问服务器,从而进一步加强内部服务器的安全性。
支持HA双机热备部署,以避免单点故障隐患,最大程度满足运维的可靠性和连续性。
分布式部署:
支持添加多台堡垒机作为协议代理服务器,分担主堡垒机性能压力,扩展运维能力。
多协议代理服务器节点可访问相同资源时实现自动负载均衡。
主堡垒机集中管理配置和日志信息。
大规模应用
某省电信网管中心部署堡垒机集群32台,接入资源7000多个,发布运维工具60多个、编辑工具6个、专用工具9个。
运维用户同时在线5520人,并发7800多个会话的压力下,用户体验依然良好。
云合作模式
与某电子政务云服务商合作,由云服务商以增值服务的方式向他们的租户推广我们的云堡垒机。
我们为云服务商提供云堡垒机软件和授权,并且按照授权中云资产管理数量每年向云服务商收取相应的授权费用。
京公网安备11010802024551号