需求分析
随着企业信息化进程的深化,IT系统复杂度与运维规模持续扩大,运维安全风险显著增加,主要体现在以下方面:
• 内部人员操作风险 :运维人员越权操作或误操作导致系统故障或数据泄露。
• 第三方权限失控 :外部服务商或临时人员缺乏细粒度管控,存在恶意操作隐患。
• 高危账号滥用 :特权账号共享或长期失效,易被攻击者利用进行横向渗透。
• 操作行为不可追溯 :缺乏完整审计日志,违规行为难以定位与追责。
传统安全设备(如防火墙、防病毒系统)虽能防御外部攻击,却无法管控运维人员的违规操作。如何通过行为审计、权限控制、操作可视化的三位一体方案,填补运维安全管控空白,构建事前-事中-事后的完整安全闭环,是当下所面临的迫切需求。
产品简介
产品简介
天玥运维安全网关,俗称堡垒机,是一款专为复杂IT环境设计的管控和审计运维人员操作的网络安全设备。对整个运维过程从事前预防、事中控制和事后审计进行全程参与并严格管控,实现运维安全闭环:
事前预防:建立“自然人-资源-资源账号”关系,实现统一认证和授权
事中控制:建立“自然人-操作-资源”关系,实现操作审计和控制
事后审计:建立“自然人-资源-审计日志”关系,实现事后溯源和责任界定
功能特点
-
操作使用便捷性:
提供多种运维方式B/S、C/S、SSH/RDP直连菜单、H5、运维会话协同、资源批量登录、命令批量执行、设备自动改密等多种功能。
-
认证方式多样性:
静态密码、USB-key(国密/非国密)、动态口令卡(国密/非国密)、短信、数字证书、手机令牌、谷歌令牌、移动超级SIM、http、webserver、邮件等。支持对用户设置组合认证。
-
运维协议全面性:
全面兼容主流运维协议,覆盖网络设备、服务器、数据库及应用系统的多样化访问需求,支持 SSH、RDP、Telnet、SFTP、VNC、HTTP/HTTPS、MySQL、Oracle、SQL Server 等多种协议。
-
管控方式严格性:
提供命令限制与复核、应用发布防跳转、运维账号IP、MAC限制等能力管控。
-
审计效果精细化:
进行数据库协议深度解析、数据库返回行数记录、Oracle数据库变量绑定解析、录像审计、文件留存溯源能力。
-
数据安全合规性:
提供数据库运维动态脱敏、操作界面水印及数据零下载机制,实现敏感信息屏蔽、行为可追溯与数据防泄露,保障运维安全合规。
技术优势
-
堡垒机分身
虚化出多台堡垒机,适用于分权分域的用户管理场景。
-
部署方式灵活
支持单机、双机、分布式部署多种部署方式,并支持NAT和网口聚合方式,适应多变业务场景。
-
虚拟化部署
支持VMware、VirtualBox、KVM和Xen(HVM)虚拟化环境部署。
-
运维操作防跳转
防止通过应用发布服务器进行跳转登录未授权资源。web页面防跳转功能,进行http/https访问过程时运维人员仅允许访问授权地址。
-
双重审计
实现数据库协议、字符协议、文件传输协议命令和录像的双重审计。实现命令审计和录像审计的关联检索和回放。
-
命令限制与复核
对于高危命令实现实时告警或阻断。对于特别重要的命令实现多人审核。
-
数据库深度解析
数据库协议级审计。数据库返回行数记录。Oracle数据库变量绑定解析。
-
敏感数据管控
运维人员拥有高权限系统账号,会接触到重要敏感数据。对运维人员上传、下载、流转重要敏感数据进行控制和记录。
典型应用
单双机部署
天玥运维安全网关旁路方式部署于网络中,无需对网络结构进行任何调整。
运维人员直接访问天玥运维安全网关的对应端口,建立安全加密的数据通道,然后发起到服务器对应服务的访问,无需直接访问服务器,从而进一步加强内部服务器的安全性。
支持HA双机热备部署,以避免单点故障隐患,最大程度满足运维的可靠性和连续性。
分布式部署
支持添加多台堡垒机作为协议代理服务器,分担主堡垒机性能压力,扩展运维能力。多协议代理服务器节点可访问相同资源时实现自动负载均衡。
主堡垒机集中管理配置和日志信息。
大规模应用
某省电信网管中心部署堡垒机集群32台,接入资源7000多个,发布运维工具60多个、编辑工具6个、专用工具9个。
运维用户同时在线5520人,并发7800多个会话的压力下,用户体验依然良好。
云合作模式
与某电子政务云服务商合作,由云服务商以增值服务的方式向他们的租户推广我们的云堡垒机。
我们为云服务商提供云堡垒机软件和授权,并且按照授权中云资产管理数量每年向云服务商收取相应的授权费用。
京公网安备11010802024551号