网御星云云堡垒机_云平台运维系统-云巴巴

申请试用

网御星云云堡垒机

网御运维安全网关V3.0-云堡垒机针对云平台运维中的安全问题，对整个运维过程从事前预防，事中控制和事后审计进行全程参与，解决运维过程中操作系统账号复用、数据泄露、运维权限混乱、运维过程无法审计的问题，最大程度降低风险发生的可能性。

立即咨询

首页 > 产品中心 > 云安全 > 网御星云云堡垒机

网御云堡垒机产品介绍 icon

网御运维安全网关V3.0-云堡垒机针对云平台运维中的安全问题，重点从账号管理、统一认证、集中权限、行为审计方面入手，对整个运维过程从事前预防，事中控制和事后审计进行全程参与，解决运维过程中操作系统账号复用、数据泄露、运维权限混乱、运维过程无法审计的问题，最大程度降低风险发生的可能性。

云安全现状

云上的每个环节出现闪失都可能影响云上组织的核心竞争力，安全合规是云上组织最主要的建设诉求。云堡垒机通过对运维人员的身份和运维操作进行全周期管控，助力云上等保合规。

云堡垒机功能介绍

云堡垒机以身份认证为基础，通过精细化的权限控制、详细的操作记录，建立从事前、到事中、到事后的完备的运维安全审计体系。

云堡垒机应用

云堡垒机功能完全兼容硬件形态堡垒机，以虚拟化形态灵活部署在云管理平台，支持多种方式进行安装部署，让安全建设更加快捷。

云上组织需要加强内部安全管理 icon

据统计，有 74.6%[1]的人表示非常担心云上安全问题

传统环境下的安全问题并不会因为“上云”而消失，反而会因为云的开放性而暴露更多，云上安全形势比云下更加严峻。

Gartner表示：“到2025年，99% 以上[2]的云安全事故是由云上组织自身而非云提供商造成的”

虽然云上组织和云提供商共担安全风险，却并不意味着云上组织可以完全依赖云提供商的安全能力。在基础设施层面以上，云上组织需要考虑各层面的安全建设，并对业务数据安全负全部责任。

加强内部安全管理是最具成效的云上安全建设措施之一

规范内部特权账号管理

可规避来自组织内部的主动恶意行为，如数据窃取与泄漏，越权访问、恶意破坏等；避免各种非故意引起的事故，如权限分配不当造成核心数据被误删，误操作等；以及防止运维人员的特权帐号保管不当引发灾难性后果。

完善运维操作管控与审计

完整的网络攻击链总在获取初步访问权限后，从多渠道尝试进行提权操作，并不断利用高权限账号进行多方向横向渗透。监控运维会话并实时阻断高危命令，留存操作记录，有助于溯源攻击路径，进行事故追责和安全改善。

等保2.0条例要求

《网络安全法》规定：国家实行网络安全等级保护制度，对网络实施分等级保护、分等级监管

等保二级及以上要求安全审计

本项要求包括： a) 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计；b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c) 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。

等保二级及以上要求访问控制

本项要求包括： a) 应对登录的用户分配账户和权限；b) 应重命名或删除默认账户，修改默认账户的默认口令；c) 应及时删除或停用多余的、过期的账户，避免共享账户的存在；d) 应授予管理用户所需的最小权限，实现管理用户的权限分离。

等保二级及以上要求系统管理

本项要求包括： a) 应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计；b) 应通过系统管理员对系统的资源和运行进行配置、控制和管理，包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。

等保三级及以上要求身份鉴别

本项要求包括： …… c)当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听；d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。

云堡垒机系统图解

核心功能

账号管理

包括网御运维安全网关运维账号和运维资产账号。运维账号实名制、运维账号生命周期管理、运维资产账号集中管理和资产账号改密功能。

统一认证

网御运维安全网关支持单点登录，运维人员认证登录后访问资产无需再次输入资产账号密码即可登录。

集中授权

网御运维安全网关通过集中统一的访问控制和细粒度的命令级授权策略，确保每个运维用户拥有的权限是完成任务所需的最合理权限。

资源管理

包括用户资产管理、服务管理、从账号管理、从账号密码管理。

行为审计

支持实时操作过程监控、二次审批、告警与阻断、审计记录和回放、审计报表。

运维操作防跳转

防止通过应用发布服务器进行跳转登录未授权资源，进行http/https或数据库访问过程时运维人员仅允许访问授权地址。

双重审计

实现数据库协议、字符协议、文件传输协议命令和录像的双重审计。实现命令审计和录像审计的关联检索和回放。

命令限制与复核

对于高危命令实现实时告警或阻断。对于特别重要的命令实现复核。

数据库深度解析

数据库协议级审计。数据库返回行数记录。Oracle数据库变量绑定解析。

批量运维

支持批量登录、命令自动执行、网络设备配置自动备份。

敏感数据管控

运维人员拥有高权限系统账号，会接触到重要敏感数据。对运维人员上传、下载、流转重要敏感数据进行控制和记录。

云堡垒机使用场景

云堡垒机部署方式

支持多种虚拟化平台，提供多种格式的安装镜像

支持Xen、KVM、VMware、VirtualBox等虚拟化技术，提供多种格式的安装镜像如raw、qcow2、vmdk、vhd等。

旁路部署，逻辑串联，无需导流，安装方便

云堡垒机以虚拟化镜像形式进行安装，用户可通过以下两种方式获取并安装镜像。1、通过云镜像市场进行购买和部署：用户可通过云安全市场购买云堡垒机安装镜像进行快速安装，部分云安全市场须用户单独购买云服务器，2、通过上传安装镜像进行部署：手动上传导入云堡垒机安装镜像，基于已有的云服务器进行安装。

云堡垒机配置推荐

云服务器配置决定云堡垒机的并发性能，推荐配置如下：1、并发会话数取决于云服务器的硬件配置，可以通过提高硬件配置来提高并发运维会话数。2、具体授权规格型号请以报价系统发布型号为准。

云堡垒机典型案例

某地电子政务云案例

某电子政务云由当地电信承建，为云租户提供云资源服务。为解决远程用户安全访问云端私有数据的问题，采用基于VPN+堡垒机的安全运维模式。云堡垒机作为运维审计产品以符合云平台标准镜像的方式发布在云安全产品市场，供用户选用。云堡垒机对所管理的云主机、数据库等提供运维操作管控，并对高危、违规操作进行实时监控和告警。同时，云堡垒机实现和VPN的联动，解决了远程用户安全访问的问题。

其它典型部署场景

电信云、电子商务云、教育云、医疗云、金融云、交通云等

云堡垒机其他案例