云計算的普及極大地提升了企業(yè)的工作效率，大幅降低了IT基礎(chǔ)設(shè)施成本。但如其他行業(yè)一樣，在快速發(fā)展的同時需逐步完善行業(yè)自身體系建設(shè)，其中企業(yè)的內(nèi)部監(jiān)管需求更是首當(dāng)其沖。

企業(yè)內(nèi)控管理中的痛點(diǎn)

在企業(yè)日常的IT系統(tǒng)管理工作中有幾個場景，大家應(yīng)該很熟悉：

l 多人共同運(yùn)維一個賬號

小王和小李在同一個工作組，系統(tǒng)管理賬號***，由于工作需要，兩人就一起用這一個賬號。一天一個很早之前的升級導(dǎo)致的bug導(dǎo)致整個業(yè)務(wù)半個小時不能正常使用，造成了一次不小的安全事故。可是由于升級時間過去了很久，大家也很難定位實(shí)際使用者和責(zé)任人是誰，導(dǎo)致內(nèi)部存在著較大的安全風(fēng)險和隱患。

l 一個用戶使用多個賬號

老王是公司的技術(shù)工程師，要維護(hù)和管理多個主機(jī)，每臺主機(jī)都用同樣的密碼，但是這樣存在安全風(fēng)險，一旦一個密碼被破解了其他的服務(wù)器密碼也都不保。因此老王之后費(fèi)力的記憶多套口令去管理主機(jī)，管理非常復(fù)雜效率也不夠高。

l 權(quán)限管理粗放

小陳的公司從創(chuàng)立到逐漸在市場中創(chuàng)出名氣業(yè)務(wù)慢慢的做大，服務(wù)器的權(quán)限分配還是原來的粗放式管理，下面的技術(shù)支持都在用root權(quán)限訪問生產(chǎn)機(jī)，系統(tǒng)安全性無法保證，也容易出現(xiàn)誤操作或者沒有權(quán)限的人員隨意翻閱重要數(shù)據(jù)的問題。

l 難以對運(yùn)維人員操作行為監(jiān)管

維護(hù)人員經(jīng)常使用的SSH、RDP等加密、圖形操作協(xié)議沒辦法對之進(jìn)行內(nèi)容審計，在發(fā)現(xiàn)違規(guī)操作行為和追查取證上就缺乏依據(jù)。

以上這些場景廣泛存在于企業(yè)信息化管理中，為了避免因?yàn)檫\(yùn)維人員的操作失誤帶來安全問題，給企業(yè)造成損失，企業(yè)選擇使用堡壘機(jī)來降低內(nèi)控風(fēng)險。

UCloud新推出的運(yùn)維審計系統(tǒng)(即運(yùn)維堡壘機(jī))為用戶提供了一套運(yùn)維管理解決方案，使得管理人員可以對云主機(jī)進(jìn)行集中賬號管理、細(xì)粒度的權(quán)限管理和審計，幫助用戶提升風(fēng)險內(nèi)控水平。

UCloud提供的安全解決方案

運(yùn)維型堡壘機(jī)最早被廣泛應(yīng)用于金融、運(yùn)營商等信息化水平較高且對內(nèi)控水平要求較高的行業(yè)， 伴隨著各行業(yè)企業(yè)信息化水平的廣泛提升，堡壘機(jī)的應(yīng)用也隨之變得更為普遍。堡壘機(jī)主要布置在內(nèi)網(wǎng)核心資源的前端，對運(yùn)維人員的操作行為進(jìn)行管理、審計。形象的說，運(yùn)維人員對云主機(jī)的訪問需要經(jīng)過堡壘機(jī)的翻譯。

圖 1 使用堡壘機(jī)之前

圖 2 使用堡壘機(jī)之后

UCloud推出的運(yùn)維審計系統(tǒng)(UHAS)是適用于云平臺的運(yùn)維堡壘機(jī)，是運(yùn)維人員遠(yuǎn)程訪問和審計云主機(jī)UHost的跳板機(jī)機(jī)型。UHAS支持Windows(遠(yuǎn)程桌面協(xié)議)、Linux系統(tǒng)(SSH協(xié)議)主流系統(tǒng)及雙因素身份認(rèn)證。

與傳統(tǒng)堡壘機(jī)相比，UCloud安全產(chǎn)品中心-優(yōu)盾此次推出的堡壘機(jī)繼承了云計算的特性，在不影響業(yè)務(wù)的正常運(yùn)行的情況下，支持按需獲取，彈性擴(kuò)容，并且部署簡單，不需要改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，不需要廠商人員過來安裝，不需要改變管理人員和運(yùn)維人員的操作習(xí)慣。此外，UHAS是符合4A安全管理方案的高性能、高安全性的堡壘機(jī)，滿足等級保護(hù)、分級保護(hù)、銀監(jiān)、證監(jiān)、 PCI、企業(yè)內(nèi)控管理、 SOX 塞班斯、 ISO27001等運(yùn)維管理的法律法規(guī)要求。

功能介紹

單點(diǎn)登錄

單點(diǎn)登錄可以很好的解決賬號管理無序的問題。單點(diǎn)登錄為具有多賬號的用戶提供了方便快捷的訪問途徑，使用戶無需記憶多種登錄用戶ID和口令。管理主機(jī)設(shè)備的運(yùn)維人員不需要任何登錄的用戶名和密碼就可以管理主機(jī)。

賬號管理

賬號管理是管理員才能夠使用的一項功能，目的在于集中地對主機(jī)、賬號、人員進(jìn)行集中授權(quán)。集中賬號管理可以完成對賬號整個生命周期的監(jiān)控和管理，并且降低了企業(yè)管理大量用戶賬號的難度和工作量，大幅提升安全性。第三方運(yùn)維人員無法獲知設(shè)備的密碼信息，強(qiáng)制運(yùn)維人員通過堡壘機(jī)進(jìn)行系統(tǒng)安全運(yùn)維。

操作審計

操作審計能夠更好地對賬號的完整使用過程進(jìn)行追蹤。對于每一次運(yùn)維訪問會話，系統(tǒng)都會自動記錄訪問時間、源IP、目標(biāo)IP地址、運(yùn)維人員賬號、服務(wù)器賬號、操作指令等行為日志，同時系統(tǒng)還將以圖形錄像方式完整記錄運(yùn)維人員的操作行為。事后管理員能夠以視頻方式對整個操作過程進(jìn)行回放，真正實(shí)現(xiàn)對操作內(nèi)容的完全審計。

UHAS，你不可或缺的“內(nèi)網(wǎng)安全伙伴”

在云計算的背景下提升企業(yè)的風(fēng)險內(nèi)控水平，需要的不僅是制度，更是一個能解決問題的工具，并且這個工具具備云計算的優(yōu)勢：便捷的、按需的網(wǎng)絡(luò)訪問，能夠被快速提供的資源，只需要投入很少的管理工作，與傳統(tǒng)設(shè)備相比大幅降低的成本。

UCloud運(yùn)維堡壘機(jī)UHAS助力企業(yè)實(shí)現(xiàn)“系統(tǒng)運(yùn)維——運(yùn)維審計——運(yùn)維核查——整改追責(zé)”的整個系統(tǒng)安全運(yùn)維過程的閉環(huán)管理，成為企業(yè)內(nèi)網(wǎng)安全建設(shè)必不可少的一員。