背景
传统的权限网格比较粗放,围城内的大部分用户默认具有超范围的权限,外围用户通过VPN连接企业网络后,也默认具备“围城内用户”的身份和权限,越权访问、敏感操作比比皆是且无从管控,发生数据泄露等安全事故后也难以审计追溯具体详情。
天翼云堡垒机提供完善的用户访问授权和精细的操作权限管控,非授权用户无法访问指定资产,授权用户访问资产后无法执行未授权的指定敏感操作。
解决方案
一、访问授权
1、管理员登录堡垒机。
2、左侧菜单选择“授权管理>资产访问授权”。
3、选择“资产访问授权”标签页,点击“新增”切换至授权配置页,在基本属性模块支持配置访问的协议、访问的端口以及授权有效期;维度属性模块可配置主账号(组)和资产(组)以及资产从账号的关联关系。
4、配置完成后,表示主账号(人员账号)可以在指定有效期内,使用指定的资产账户访问指定的资产。
二、命令授权
1、左侧菜单选择“授权管理>字符命令授权”。
2、在“命令组”标签页,点击【新增】,在属性中添加需要管控的命令集以及针对性的响应动作。支持以正则表达式的方式匹配相关命令。
3、在“命令授权”标签页,点击【新增】,填写指定用户和资产属性,选择创建的命令组提交。
在维度属性模块中,可配置命令管控策略需要关联生效的“用户 - 资产账户 - 资产”场景。
4、配置完成后,表示指定的用户使用指定的资产账户登录资产后,在资产上执行指定的命令时,将会触发策略中指定的响应动作。
5、文件传输配置原理同字符指令,可匹配具体的上传、下载等操作触发相关响应动作。
6、数据库指令配置原理同字符指令,可匹配sql类型、表名及条件去触发阻断或脱敏等动作。