亚马逊AWS官方博客
云原生堡垒机助力运维安全
背景
数据安全是企业数字资产安全治理的重中之重,目前云计算以及大数据技术的飞速发展,使得传统的 IT 环境分化出多种多样的场景,随着企业业务扩展,资产及人员分布也日益变得复杂,尤其是“企业上云”日渐成为主流趋势,会出现企业资产分布在混合云、异构云等场景。在这些背景下,企业面临“资产状况难梳理”、“资产权限难划分”、“运维过程不可控”、“数据安全难保证”等风险。因此安恒云堡垒机利用亚马逊云科技多项云原生服务,自动化部署云原生堡垒机,实现云上资产权限安全可控,帮助您全面监管运维行为,全方位审计运维操作。
 |
方案设计
安恒云原生堡垒机的架构图如下:
 |
- 使用 Amazon EC2 实例构建堡垒机应用;
- 根据 Amazon 最佳实践在 Amazon Virtual Private Cloud(Amazon VPC)中配置公有和私有子网进行资源隔离;
- 为 Amazon EC2 服务创建 IAM 角色;
- 使用 Amazon S3 作为审计文件存储引擎;
- EC2 自建数据库进行数据存储。
功能特性
通过 AWS 可靠的云原生服务以及安恒成熟的堡垒机技术,一键自动化部署安全稳定的云原生堡垒机,全面解决企业所面临的数据安全问题,降低安全管理成本,同时安恒云原生堡垒机支持 PAYG 即后付费订阅模式,按需付费,更加灵活,最大程度减少不必要的支出。
具体功能特性如下:
1. 一键启用
您可以在亚马逊科技云上一键启用堡垒机,自动化部署所需要的 Amazon S3、Amazon Identity and Access Management(IAM)、数据库等服务及必要性资源,方便快捷。
2. 资产一键纳管
- 支持一键导入亚马逊云科技 EC2 服务器;
- 支持管理线下 IDC 服务器,可以通过文件批量导入主机;
- 如堡垒机无法直连资产,可部署代理服务器,无需进行网络改造即可实现内网访问。
 |
3. 用户认证及权限管理
-
- 支持对接 Amazon EC2 服务创建的 IAM 角色,自动化创建堡垒机服务;
- 支持 AD/LDAP 等认证角色,内嵌认证引擎确保身份真实可信;
- 同时您可以设置多种角色的用户,支持系统管理员、安全管理员、安全审计员及普通人员等用户角色,不同角色的用户登录堡垒机之后会受到角色权限限制,只能在管理员赋予的权限范围内进行操作;
 |
- 系统管理员和安全管理员可以为普通人员授权主机,实现人和资产的最小化授权。
 |
4. 统一运维入口
覆盖 SSH、 RDP、SFTP 等各类运维协议,支持网页运维及客户端运维,适应多种运维场景。
 |
5. 运维实时监控,操作全程审计
-
- 通过堡垒机可以全方位审计运维行为,支持实时阻断,录像可视化还原运维操作,为事后溯源提供可靠参考信息。
 |
 |
-
- 支持字符命令、文件传输、操作日志等审计记录,按照时间、用户、来源 IP 等进行详细记录。
 |
6. 依托云上优势弹性扩缩容
根据您的许可需求进行许可规格的弹性扩缩容,云上一键操作,方便快捷。
 |
7. 可靠的商业及技术支持
具备 7*24 小时售后服务,并且配备专业售前咨询团队及技术支持人员,可一对一支持对接。
总结
本文介绍了安恒云原生堡垒机的架构以及功能,展示了堡垒机服务的核心组件,针对企业面临的数据安全风险提出解决方案。通过此解决方案,可以助力企业安全高效运维,对于不同规模的企业,安恒云原生堡垒机也提供了多种规格进行选择,同时客户也可以根据业务调整弹性改变堡垒机许可规模,高性价比的后付费模式更加灵活。对于资产、用户角色及权限的划分、运维过程中的管控、全程录像审计还原等功能可以全方位为客户的数据安全保驾护航。
了解更多
欢迎查看产品介绍页,快速了解产品计费及相关功能详情: