云堡垒机实例与云堡垒机系统的区别是什么?
一个云堡垒机实例代表了一个独立运行的云堡垒机系统。
用户可以登录管理控制台,选择“安全与合规 > 云堡垒机”,然后在云堡垒机管理控制台申请和管理实例。
云堡垒机系统是云堡垒机实际运维功能核心,后台采用EulerOS操作系统,包含用户管理、资源管理、策略、审计和工单等功能模块,支持对Windows或Linux等操作系统的主机提供安全管控保护。
云堡垒机系统有哪些安全加固措施?
云堡垒机有完整的安全生命周期管理,从系统开发过程的安全编码规范,到经过严格安全漏洞扫描、渗透测试等安全性测试,并通过了公安部门的安全检测,符合“网络安全法”等法律法规,满足合规性规范审查要求,达到信息安全等级评定Ⅲ级标准。
系统数据安全
- 登录安全:镜像加密,SSH远程登录安全加固,内核参数安全加固,系统账户口令使用强密码并且默认登录失败超过3次将锁定登录。
- 数据安全:敏感信息加密存储,系统根密钥独立动态生成。
- 应用安全:防SQL注入攻击、防CSV注入攻击、防XSS恶意攻击、API接口认证机制。
系统安全
- 系统全自动化安装,LUKS加密用户系统数据盘。
- 系统自带防火墙功能,防止常规网络攻击,例如暴力破解等。
- 统一HTML5方式访问入口,仅开放一个系统Web访问端口,减少攻击面。
- 针对SSH登录参数配置加固,提高SSH登录系统的安全性。
资产数是什么?
资产数表示云堡垒机管理的虚拟机等设备上运行的资源数,资源数是同一个虚拟机对应的需要运维的协议和应用总数。
受CBH资产版本规格限制,CBH系统管理的资源总数,不能超过当前版本规格的 资产数 。
资产数不以CBH系统所管理虚拟机等设备的数量计算,而是以所管理虚拟机上资源的数量计算,一个虚拟机内可能有多种资源形式,包括不同协议的主机,不同类型的应用等。
例如,目前有一台虚拟机,在云堡垒机中添加这台虚拟机的资源,分别添加了2个RDP、1个TELNET和1个MySQL协议的主机资源,以及1个Chrome浏览器的应用资源,那么当前管理的资产数即为5,而不是1。
并发数是什么?
并发数是指云堡垒机上同一时刻连接的运维协议连接数。
云堡垒机系统对登录用户数没有限制,可无限创建用户。但是同时刻不同用户连接协议总数,不能超过当前版本规格的并发数 。
例如,10个运维人员同时通过云堡垒机运维设备,假设平均每个人产生5条协议连接(例如通过SSH客户端、MySQL客户端进行远程连接),则并发数等于50。
云堡垒机支持统一管理企业ERP上云、SAP上云等业务吗?
支持。
云堡垒机与云上业务网络通畅情况下,可通过安装应用发布服务器,依赖Windows系统的远程桌面服务,接入ERP生产系统、ERP容灾系统、SAP生产系统、SAP开发/测试系统、SAP Router、SAP Hybris等典型场景的应用、数据库或网页,将ERP和SAP上云业务作为一个网页或应用来审计和录屏操作,实现对企业上云业务的统一管理。
自动化运维包括哪些内容?
云堡垒机“专业版”支持自动化运维功能,可将复杂运维精准化和效率化。自动化运维主要包括资源账户同步、脚本线上管理、多资源快速运维,以及多步骤自动运维。
- 资源账户同步:通过账户同步功能,可以实现对主机上资源账户的有效监管,及时发现僵尸账户或未纳管账户,加强对资产的管控。
- 脚本线上管理:支持管理Python和Shell两种脚本格式,通过导入脚本文件或在线编辑脚本,在云堡垒机系统一体化管理和运行脚本。
- 多资源快速运维:支持快速将命令或脚本在多个SSH协议资源上执行,并根据发起的命令和脚本,返回相应执行结果;此外,还支持将一个或多个文件上传到多个资源上,并返回文件上传结果。
- 多步骤自动运维:支持分步骤同时对多个SSH协议资源批量执行多种运维操作,可同时运维操作包括执行命令、执行脚本、传输文件。运维任务执行后,按照步骤顺序依次自动执行操作,并返回执行结果。
如何获取企业协议号码?
用户在配置云堡垒机安装远程桌面服务,创建一个应用发布服务器时,需要输入企业协议号码授权,企业协议号非免费提供套件。
云堡垒机不提供企业协议号,应用发布服务器为第三方管理插件,企业协议号需要客户自行申购。类似于客户申购了Windows系统,但Office套件并非免费提供,需要客户单独申购。
使用云堡垒机时需要配置哪些端口?
为了能正常使用云堡垒机,实例和资源安全组端口配置可参考表。
入/出方向规则配置参考
场景描述 | 方向 | 协议/应用 | 端口 |
---|---|---|---|
通过Web浏览器登录云堡垒机(HTTPS) | 入方向 | TCP | 443 |
通过MSTSC客户端登录云堡垒机 | 入方向 | TCP | 53389 |
通过SSH客户端登录云堡垒机 | 入方向 | TCP | 2222 |
通过FTP客户端登录云堡垒机 | 入方向 | TCP | 20~21 |
通过云堡垒机的SSH协议远程访问Linux云服务器 | 出方向 | TCP | 22 |
通过云堡垒机的RDP协议远程访问Windows云服务器 | 出方向 | TCP | 3389 |
通过云堡垒机访问Oracle数据库 | 入方向 | TCP | 1521 |
通过云堡垒机访问Oracle数据库 | 出方向 | TCP | 1521 |
通过云堡垒机访问MySQL数据库 | 入方向 | TCP | 33306 |
通过云堡垒机访问MySQL数据库 | 出方向 | TCP | 3306 |
通过云堡垒机访问SQL Server数据库 | 入方向 | TCP | 1433 |
通过云堡垒机访问SQL Server数据库 | 出方向 | TCP | 1433 |
通过云堡垒机访问DB数据库 | 入方向 | TCP | 50000 |
通过云堡垒机访问DB数据库 | 出方向 | TCP | 50000 |
同一安全组内通过SSH客户端登录云堡垒机 | 出方向 | TCP | 2222 |
短信服务 | 出方向 | TCP | 10743、443 |
DNS域名解析 | 出方向 | UDP | 53 |
云堡垒机可以管理多个子网的资源吗?
可以。
子网是属于VPC的资源,同一VPC内的子网可以进行通信,即云堡垒机可以直接管理同一VPC多个子网内的资源,且同一VPC不同子网下的云堡垒机可以通信。
堡垒机和主机必须要在同一个区域,同一个VPC下。跨VPC的子网默认不能通信,受限于跨VPC场景下网络的复杂性和网段冲突的可能性,不建议跨VPC使用云堡垒机管理资源。
云堡垒机支持管理哪些数据库?
云堡垒机支持通过或两种方式管理数据库,可管理多种协议类型的云上数据库。主机运维方式提供增删改查操作命令审计。应用运维方式提供操作会话视频审计。
- 标准版仅支持应用运维方式,不支持直接运维数据库,需要建立应用发布服务器才可以运维数据库。
- 专业版支持主机运维和应用运维两种方式,支持直接运维数据库。
主机运维方式
目前云堡垒机主机运维,支持管理四种协议类型的云上数据库,包括MySQL、SQL Server、Oracle、DB2协议类型,暂不支持管理PostgreSQL协议类型。云堡垒机支持数据库协议类型、版本,以及支持调用的数据库客户端软件版本,请参见表。
支持数据库协议类型、版本和数据库客户端
数据库类型 | 版本 | 支持调用客户端 |
---|---|---|
MySQL | 5.5,5.6,5.7,8.0 | Navicat 11、12 MySQL Administrator 1.2.17 MySQL CMD |
Microsoft SQL Server | 2017 | Navicat 11、12 SSMS 17.6 |
Oracle | 10g,11g,12c | Toad for Oracle 11.0、12.1、12.8、13.2 Navicat 11、12 PL/SQL Developer 11.0.5.1790 |
DB2 | DB2 Express-C | DB2 CMD命令行11.1.0 |
PostgreSQL | 暂不支持 | - |
应用运维方式
云堡垒机通过应用运维方式管理数据库,支持对以下系统版本的应用进行管理:
支持对Centos7.9系统的Linux服务器的数据库应用进行管理。
Linux服务器仅支持调用达梦数据库V8的应用。
云堡垒机支持直接配置并调用的Linux服务器的数据库客户端如表14-3所示。
支持直接调用的Linux服务器的数据库客户端
应用类型 | 支持调用的客户端 |
---|---|
达梦数据库 | 达梦管理工具V8 |
云堡垒机支持IAM细粒度管理吗?
支持。
统一身份认证(Identity and Access Management,IAM)是提供权限管理的基础服务。默认情况下,新建的IAM用户没有任何权限,您需要授权IAM用户后,IAM用户才可以基于已有权限对云服务进行操作。CBH服务已开通IAM细粒度权限管理功能,通过IAM权限管理,可对CBH实例的购买、升级、变更规格等关键操作进行细粒度授权。
此外,CBH系统管理和运维资源,在云堡垒机系统内配置“用户登录限制”、“访问控制策略”等,细粒度管理用户访问、操作资源的权限。但该功能是CBH系统本身的权限管理功能,IAM不为CBH系统提供权限管理功能。
云堡垒机是否支持纳管云下服务器?
您购买云下服务器,只要与云堡垒机网络互通并且协议互相支持,就可以通过云堡垒机纳管相应服务器。
通过天翼云控制台创建的ECS,会自动关联到云堡垒机吗?
通过天翼云控制台创建的弹性云服务器(ECS),不会自动关联到云堡垒机。