腾讯云堡垒机——数据安全网关(Cloud Shield- Data Data Access Security Broker) 结合堡垒机与人工智能技术,为企业提供运维人员操作审计,对异常行为进行告警,防止内部数据泄密。

运维审计全面

支持多种运维操作协议,无论您日常运维使用何种工具,均可以进行审计,确保记录信息无缺失

 

安全的账号管理机制

通过云主机账号密码的替换,工作人员在运维过程中无法绕过审计机制私自登录,确保操作行为在掌控之中

便捷的单点登录

通过批量单点登录资源,运维工作人员操作流程更为轻松,提升运维便捷性与易用性

 

AI 与运维管理的高效结合

堡垒机将深度挖掘内部泄密操作,将隐蔽的恶意操作挖掘出来,防止内部人员监守自盗

腾讯云堡垒机为您的云上资源提供代理访问以及智能操作审计服务,能够将运维人员对云上服务器、操作系统、数据库的各类操作行为详尽的展示在安全管理员面前。同时,堡垒机还能够根据时间、IP、字符命令制定相关操作行为定制策略,规范运维行为。

堡垒机支持单独购买人工智能(AI)模块,AI 能够对堡垒机的日志进行分析,通过机器学习对云上资源的日常运维操作进行建模,并发现与日常操作相违背的恶意行为,实现对内部泄密的有效预警


腾讯云堡垒机为您的云上资源提供代理访问以及智能操作审计服务,能够将运维人员对云上服务器、操作系统、数据库的各类操作行为详尽的展示在安全管理员面前。同时,堡垒机还能够根据时间、IP、字符命令制定相关操作行为定制策略,规范运维行为。

堡垒机支持单独购买人工智能(AI)模块,AI 能够对堡垒机的日志进行分析,通过机器学习对云上资源的日常运维操作进行建模,并发现与日常操作相违背的恶意行为,实现对内部泄密的有效预警

功能

数据安全网关能够审计多种主流运维协议,对服务器、操作系统、数据库运维工作进行详尽记录,确保企业安全问题得到有效追溯。

多协议审计

数据安全网关支持 SSH、TELNET、FTP、SFTP、VNC、XWINDOW、WINDOWS 文件共享等协议。能够对云上各类资源的操作命令、文件传输、配置更改、数据变动行为进行全量记录,确保运维过程中的任何事件可控、可查。

全面的账号管理机制

账号支持分组管理,分组可以采用树形方式展现,不限制分组层级数量,且能够完整的对账号生命周期管理,实现账号的创建、维护、修改、删除的集中维护,同时支持自定义用户类型,基于用户类型进行用户地址策略。从组织、生命周期、控制策略多个维度为企业管好账号体系。

运维过程安全控制

提供认证服务器组件,所有对资源的访问都是认证服务器提供的临时会话号,即使会话号被截获,也无法通过此会话号再次访问资源,提高资源访问的安全性。支持 FTP、telnet、ssh、远程桌面等协议服务端口变更,可对内部服务真实端口进行隐藏,防止扫描攻击。

异常行为 AI 预警

扩展模块支持对运维工作进行日常行为库建模,从时间、命令语句、下载/上传操作、访问 IP、服务器、用户名等多个维度进行分析,将异常行为筛选并告警,确保内部恶意事件提前有效预防。同时,异常行为告警能够从逻辑链、上下文、异常分析等多个维度详细阐述异常问题的原因,确保 AI 预警结果具有可解释性。

堡垒机(数据安全网关)是集用户(Account)管理、授权(Authorization)管理、认证(Authentication)管理和综合审计(Audit)于一体的集中运维管理系统。

堡垒机主要特点:

  • 为企业提供集中的管理平台,减少系统维护工作。

  • 为企业提供全面的用户和资源管理,降低企业维护成本。

  • 帮助企业制定严格的资源访问策略,并且采用强身份认证手段,全面保障系统资源安全。

  • 详细记录用户对资源的访问及操作,达到对用户行为审计的需要。

系统架构

堡垒机采用层次化、模块化设计,产品整体架构包括:资源层、接口管理层、核心服务层和统一展示层。

  • 资源层:负责提供各种类型资源的资源管理交互。

  • 接口管理层: 主要是实现核心层与外部产品、用户资源系统之间的数据交互,包括账号类、认证类、授权类和审计类接口。

    • 账号和角色管理接口:实现资源从账号的收集和同步管理。

    • 认证接口:实现与第三方强身份认证产品的联动和主账号认证。

    • 访问控制策略接口:实现访问控制策略的下发。

    • 审计接口:接收外部系统产生的各类日志。通过数据接口层完成与各种应用系统的相关接口通信。

  • 核心服务层:完成系统各功能模块的业务处理,包括身份管理,行为管理,审计管理以及协议代理等服务,每个模块再细分若干子模块完成各自的管理功能。核心层具体的功能模块有:账号管理、授权管理、认证管理和审计管理。

  • 统一展示层:负责用户交互部分的展现,一方面可对用户身份进行认证,并将可访问资源及自服务信息展示给操作人员,另一方面,可供管理人员进行管理配置和审计查看,并将管理人员的输入传递到核心服务层。

AI 与运维管理的高效结合

从时间、命令语句、下载上传操作、访问 IP、服务器、用户名等多个维度对审计记录进行分析,将异常行为筛选并告警,确保内部恶意事件提前有效预防。

强解释性的 AI 报表

AI 引擎具备逻辑链、上下文梳理、异常情况详情等可视化模块,能够从异常行为相关事件、时间前后事件、异常原因等多个角度解释 AI 所发现的内部隐患,避免纯粹通过打分来展示异常事件,确保管理员能够理解 AI 告警,并追溯 AI 告警。

强大的资源管理能力

  • 资源数量统计:支持柱形图方式查看系统中不同资源所占比例。

  • 资源类型:支持主流资源类型丰富,包含 Linux 资源、Windows 资源等其他常见资源类型。

全面的账号管理机制

  • 主账号支持分组管理,分组可以采用树形方式展现,不限制分组层级数量。

  • 完整的用户账号集中管理:生命周期管理,实现账号的创建、维护、修改、删除的集中管理。

  • 用户类型:自定义用户类型,基于用户类型进行用户地址策略。

  • AD 域同步:平台与 AD 域数据同步,将 AD 域中 OU 或域用户数据作为堡垒机系统组织结构和主账号,实现数据统一,无需重复创建数据。

  • 从账号管理:支持资源从账号的管理,系统具有各种资源类型驱动器,能够将资源上的账号进行自动收集、推送、抽取、同步及属性的变更等。

超强的授权管理功能

  • 角色管理:系统支持自定义角色来进行权限管理。角色可按照组节点进行定义,从而实现分层分级管理模式。

  • 岗位授权:资源授权模式基于岗位授权,岗位授权即是建立岗位,岗位上绑定资源账号。此方式授权可进行迁移、授权粒度更细,并可针对岗位设置相关安全策略。

单点登录 SSO

  • 支持收藏夹功能:运维人员可将经常访问的资源添加到收藏夹,而且支持批量单点登录资源,体现平台运维便捷性,易用性。

  • 一键式快速登录,将目标资源的登录配置信息保存为默认后,即可支持一键快速登录目标资源。

  • 支持 su 用户角色自动切换操作并代填密码。

增强的计划管理功能

  • 自动改密计划:支持所有被管设备的密码自动变更计划。管理员可以设置密码策略,变更密码需要符合密码策略中关于密码强度的要求。

  • 密码拨测计划:定期检查平台存储的设备账号密码与设备实际密码是否匹配,以便进行校验密码一致性,提高设备的安全性,避免密码混乱发生无法登录现象。

审计管理

  • 用户图形资源访问时,支持键盘、剪切板、文件传输记录,并且对图形资源的审计回放时,可以从某个键盘、剪切板、文件传输记录的指定位置开始回放。

  • 支持 Windows 图形审计的监控,管理员可以随时查看运维人员的操作,并且可以发送告警信息进行会话锁定和解锁。

  • 图形审计支持画质如灰度、真彩、伪真彩的设置,帧间隔,压缩比等设置,可以大大缩减图形审计产生录像文件的大小,每十分钟真彩模式下的审计录像大小为0.5M左右。

更专业的安全管理功能

  • 提供认证服务器组件,所有对资源的访问都是认证服务器提供的临时会话号,即使会话号被截获,也无法通过此会话号再次访问资源,提高资源访问的安全性。

  • 审计开关:根据不同设备审计安全需求,客户可自定义审计范围。例如,字符(命令、内容、录像)、图形(录像、键盘、上下行剪切板、上下行文件传输)。

  • 服务端口变更:很多用户为了提高设备的安全性,不采用标准的协议端口。平台支持 FTP、telnet、ssh、远程桌面等协议服务端口变更。

  • 产品自带基础的病毒检测功能,在通过堡垒机进行文件传输时,自动对传输的文件进行防病毒检测,并阻止带病毒文件的传输,有限防护服务器的安全。

互联网+业务

互联网+业务云上资源众多,大量运维服务暴露在公网,且由于服务高度公开,容易被外部攻击者盯上。
堡垒机在业务资源远程运维时,通过隐藏真实运维端口与真实管理账户,解决远程运维安全问题。同时产品提供云上服务器运维日常审计,通过运维规则库梳理不良运维习惯,减少运维事故,帮助业务系统长期稳定运行。

企业

企业内部通常存在大量经营数据等敏感信息,这些信息在行业中具有一定价值,且容易泄密。
堡垒机为账号与岗位进行细颗粒度的权限划分,确保运维人员无法越权操作。

金融

金融行业具有大量金融、个人信息数据,且存在大量第三方代维机构,代维机构是否违规操作是金融企业需要重点关注的一个问题。
堡垒机为账号与岗位进行细颗粒度的授权控制,严格落实岗位规范,确保运维人员无法越权操作。通过 AI 引擎对运维行为进行深度分析,挖掘内部异常操作,防止金融数据被非法利用。

政务民生

政务民生在互联网化过程中,需要大量第三方机构进行建设和运维。
堡垒机可将运维方与管理方的权责分明,通过操作审计对运维问题进行追溯,确保安全事故有效定责。通过 AI 引擎对运维行为进行深度分析,挖掘内部异常操作,对民生政务数据(医疗、教育、社保、税务等信息)泄露进行预警。

www.ksyuwei.cn

www.ksyuwei.cn




www.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cnwww.ksyuwei.cn

应该如何选择堡垒机的规格型号?

选购堡垒机时,一般以您云上资源节点数作为依据,一台云服务器均算作一个单独节点。您在采购前可简单统计云服务器实例数,以选择合适您环境的规格型号。另外,数盾堡垒机暂不支持动态扩容,如果您后续有增加云上资源的计划,建议您提前购买规格较高的型号。

在选购堡垒机时,应将其部署在哪个地域?

堡垒机必须与所防护的域上资源部署在同一个 VPC 中。如您有多个 VPC 需防护,请每个 VPC 购买一套堡垒机实例。

购买时为何需要输入 SecurityID 与 SecurityKey?

只有知悉您的 SecurityID 与 SecurityKey 才能够将堡垒机部署到您的 VPC 中。Security 信息本身用于授权给相关业务方用于操作,授权动作不会影响您原有 VPC 资源,请正常授权。

如何确保所有的运维行为都已经纳入堡垒机的管理范围?

建议您在购买部署堡垒机后,将云服务器账号密码重新修改并配置到堡垒机实例中,由堡垒机统一发布资源,确保云服务器不能随意访问。

如何使用 SecureCRT 进行单点登录?

  1. 打开 SecureCRT。

  2. 单击【选项】>【全局选项】。

  3. 单击【终端】>【网页浏览器】,进入网页浏览器设置页面。

  4. 将 SSH2,SSH1 和 Telnet 选项,设置为 “设置SecureCRT为你的默认xxx工具”。
    www.ksyuwei.cn

  5. 单击【确定】,完成设置。

  6. 关闭 SecureCRT。

  7. 登录 堡垒机控制台。登录 Linux 资源时,连接工具选择 SecureCRT 登录即可。

如何使用 Xshell 进行单点登录?

  1. 安装 Xshell 工具。

  2. 登录 堡垒机控制台 ,并使用运维账号登录堡垒机。

  3. 单击【我的管理】>【控件下载】,进入控件下载页面,

  4. 单击【单点登录工具(标准)】,下载控件并完成安装。

  5. 控件安装之后,进入到控件安装路径下(默认安装路径为:C:\sso_client)。

  6. 找到配置文件 db_path,将之前安装的 Xshell 安装路径复制到文件 xshell= 后,如下图所示。
    www.ksyuwei.cn

  7. 完成后保存配置文件。

  8. 回到 堡垒机控制台。 登录 Linux 资源时,连接工具选择 Xshell 登录即可。

如何通过 SecureCRT 使用 ssh key 实现单点登录服务器?

说明:


  • 堡垒机无需进行配置。

  • 工具可随使用习惯灵活配置。以下举例为 SecureCRT 8.1.0 版本配置 key 单点登录。

  1. 打开 SecureCRT 工具,选择 【Options】>【Global Options】>【SSH2】, 将 Enable OpenSSHell agent forwarding 选项勾选上。
    www.ksyuwei.cn

  2. 选择 【Tools】>【Manage Agent Keys】,将私钥文件加入到 Agent 服务中,即可生效进行目标设备的单点登录。

    注意:

    SecureCRT 工具 Manage Agent Keys 组件添加私钥文件,关闭工具后失效,需每次单点登录前打开 SecureCRT 工具手动添加私钥文件并保持 SecureCRT 工具打开。

    www.ksyuwei.cn

  3. 访问堡垒机,选择对应 key 服务器进行单点登录。

如何使用 ssh 工具直连堡垒机进行单点登录?

管理端授权

Mac 电脑使用堡垒机或 Windows 下使用 ssh 工具直连堡垒机进行单点登录时,需在管理端提前配置授权,配置过程如下:

  1. 在 Windows 下使用 IE 浏览器(IE 11)访问,使用链接https://ip/iam登录堡垒机。

  2. 新建岗位,在岗位上绑定资源和资源账号(前提是已经在“资源管理”处添加过资源和资源账号)。
    单击【岗位管理】>【添加】>【保存】,回到岗位列表,单击【绑定账号和资源】>【新建】或者【批量绑定账号】> 勾选要添加的资源 > 输入要绑定的账号 > 确定添加。完成岗位建立和资源账号绑定。

  3. 给用户绑定岗位或个人岗位(岗位是权限集合,个人岗位是单条权限)。
    单击【用户管理】>【岗位】>【添加岗位】> 找到相应岗位确认即可。

运维端登录

  1. 打开远程工具,例如 Xshell,输入远程堡垒机命令,格式如:ssh user@ip,user 为堡垒机的页面登录用户,回车后输入密码,如下图所示:
    www.ksyuwei.cn

  2. 登录后展示个人岗位和管理员授权的岗位,根据展示的岗位序号输入序号进入授权列表,如下图所示:www.ksyuwei.cn

  3. 例如:输入1,(进入【运维岗】)>再次输入1 ,(选择单点登录资源) >输入s,(选择 ssh 连接方式) 后单点登录到资源192.168.xx.xx。至此完成客户端 ssh 工具直连单点登录过程。
    www.ksyuwei.cn

堡垒机入站和出站需要分别开放什么端口?

当用户操作堡垒机出现网络问题时,如登录不了堡垒机,可参照下面入站规则和出站规则提供的端口,检查对应端口号是否有开通。

入站规则

从客户端到堡垒机,需要开放的端口如下表所示:

端口号说明协议备注是否必开
61903SSH/SFTP/FTP/文件共享TCP字符协议及文件传输访问端口
443HTTPSTCPWeb 管理端口
3392RDP2TCPRDP2 单点登录和审计播放
10050-TCP字符审计录像播放
11020-TCP认证端口
8443HTTPSTCP证书认证登录

出站规则

从堡垒主机到目标服务器,需要开放的端口如下表所示(可根据自身服务器端口开启)。

端口号说明
20FTP/SFTP(主动模式)
21FTP/SFTP(主动/被动模式)
61903SSH
23Telnet
389AD LDAP
3389RDP
说明:

对于 xwindow、vnc 协议,其端口采用实际使用的端口。


  • 名称: T-Sec堡垒机
  • 关键词: T-Sec 堡垒机,数据安全网关,云堡垒机,数据防泄漏,腾讯云