堡垒机搭建有哪些注意事项?

原创 2018年04月17日 15:36:02

由于来源不明、越权操作、密码泄露、数据被窃、违规操作等因素,都有可能会使企业面临严重威胁,因此,企业往往通过搭建堡垒机来预防和及时阻止此类事情的发生。那么企业在搭建堡垒机时需要注意哪些方面?

搭建堡垒机

原则1:堡垒机的账号管理

企业管理人员为了方便登陆,经常会出现多个用户使用一个账号或一个用户使用多个账号的情况。由于共享账号是多人共同使用,当系统发生问题后,无法精确定位恶意操作或误操作的具体责任人。因此在搭建堡垒机时,一定要注意必须做到一人一个帐号,绝不允许多个人共用个人帐号,更不能允许共同账号登录堡垒机。

原则2:堡垒机的访问控制

访问控制的目的是通过限制维护人员对数据信息的访问能力及范围,保证信息资源不被非法使用和访问。

原则3:堡垒机的指令审核

堡垒机的操作审计功能主要审计运维人员的账号使用(登录、资源访问)情况、资源使用情况等,针对敏感指令,堡垒机可以进行阻断响应或触发审核操作,审核不通过的敏感指令,堡垒机将会进行拦截。

原则4:堡垒机的身份认证

杜绝仅使用密码登录堡垒机,建议在执行主机重启、密码修改、会话创建、快照回滚、磁盘更换等各种重要操作时,可通过微信或短信等进行双因子身份确认,确保访问者身份的合法性。

原则5:堡垒机的资源授权

用户授权,建议结合公司内部CMDB来做基于角色的访问控制模型以实现权限控制。通过集中访问控制和细粒度的命令级授权策略,基于最小权限原则,实现集中有序的运维操作管理。

原则6:堡垒机的审计录像

在安全层面,除了通过堡垒机的事前权限授权、事中敏感指令拦截外,还需提供堡垒机事后运维审计的特性。用户在堡垒机中所进行的运维操作均会以日志的形式记录下来,管理者即通过日志对运维人员的运维操作进行审计。

原则7:堡垒机的操作审计

堡垒机的操作审计功能主要审计运维人员的账号使用(登录、资源访问)情况、资源使用情况等。在各服务器主机的访问日志记录都采用统一的账号、资源进行标识后,堡垒机的操作审计功能才能更好地对账号的完整使用过程进行追踪。

堡垒机

以上是企业搭建堡垒机时应该注意的7个原则,只有坚持并遵守7个原则搭建堡垒机,企业的数据安全才能够尽可能的得到保证。对于创业公司或者中小企业来讲,成本是不得不考虑的大问题,放眼看市面上堡垒机的众多品牌,目前主流堡垒机分为开源堡垒机和商用堡垒机两大类。企业选择合适的堡垒机搭建时,需要结合自身的成本预估和产品的性能特点。开源堡垒机使用灵活方便,但是后期的运维成本颇高,需要请专人进行运维或者找原厂商进行二次开发,总体下来其成本不亚于直接购买一台商用堡垒机,并且开源堡垒机原厂商没有任何责任。

商用堡垒机分为三种,这里就不细说了,推荐大家使用云堡垒机,免安装免维护,行云管家云堡垒机是市面上首款也是唯一一款支持Windows2012/2016系统操作指令审计的堡垒机,并且除了私有部署版堡垒机,行云管家还提供更加便宜且功能一样的SaaS形态堡垒机,为用户提供4台云主机或局域网主机的免费管理配额。通常来讲,4台主机免费配额已经能够满足创业公司或中小型企业的基本需要。

有感学习

  很多朋友都在问我怎样才能学好VC++?我一直都不知如何回答才合适,答案里面应涉及到基础知识,思维方式,学习方法等等诸如此类的东东,而这些因素又因人而异,我很害怕自已的方法会让您适得其反. 说真话,...
  • harrymeng
  • harrymeng
  • 2004-02-06 10:03:00
  • 2453

hadoop2.2.0集群的HA高可靠的最简单配置

hadoop中的NameNode好比是人的心脏,非常重要,绝对不可以停止工作。在hadoop1时代,只有一个NameNode。如果该NameNode数据丢失或者不能工作,那么整个集群就不能恢复了。这是...
  • q412774506
  • q412774506
  • 2015-07-22 14:55:42
  • 286

STC的单片机KEIL环境搭建

1,keil4下载加破解 http://ishare.iask.sina.com.cn/f/15711788.html 2,stc补丁下载 http://download.csdn.net/down...
  • kangear
  • kangear
  • 2012-10-11 20:36:59
  • 1511

谈谈搭建堡垒机的几条原则

总结一下这几年使用堡垒机的经验教训,和大家做一个分享,无论是使用自建堡垒机还是采用一些商用方案,通用的原则是不会变的。希望对大家有所帮助,如果有遗漏的地方,欢迎补充和指教。原则1:一要建立个人帐号的概...
  • xiedongsheng
  • xiedongsheng
  • 2017-12-14 00:00:00
  • 252

hadoop2.4.1集群搭建.txt

  • 2016年10月25日 00:17
  • 11KB
  • 下载

网络无盘+有盘工作站

  • 2008年06月29日 10:40
  • 73KB
  • 下载

为什么要用堡垒机,堡垒机能给公司带来什么?

在当今信息时代,企业信息系统最大的软肋,就在内网服务器等核心设备,企业面临最大信息安全威胁,依然是源自内部人员对于内部网络资源设备的攻击,和对于内部机密数据文档的窃取。堡垒机综合了运维管理和安全性的融...
  • ios_xumin
  • ios_xumin
  • 2017-06-19 14:27:05
  • 756

hadoop集群两个namenode无法正常启动

Hadoop集群有命令直接启动hdfs时,namenode启动后又异常结束。
  • yangjjuan
  • yangjjuan
  • 2017-02-27 15:40:08
  • 435

云盾堡垒机是什么?它有哪些功能?我公司有必要使用吗?

云盾堡垒机集中了运维身份鉴别、账号管控、系统操作审计等多种功能。基于协议正向代理实现,通过正向代理的方式实现对 SSH 、Windows 远程桌面、及 SFTP 等常见运维协议的数据流进行全程记录,并...
  • zhy97031
  • zhy97031
  • 2017-12-30 14:52:14
  • 276
收藏助手
不良信息举报
您举报文章:堡垒机搭建有哪些注意事项?
举报原因:
原因补充:

(最多只允许输入30个字)