检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
输入通用URL地址或带有参数的URL地址。 不支持md5加密方式的网关地址。 HTTP头部 HTTP请求头部名称与值用英文冒号“:”隔开。 只支持HTTP和HTTPS协议网关。 API参数 输入短信网关API参数,关键字$MOBILE和$TEXT将被替换成手机号码和短信内容。 编码 选择UTF-8、Big5、GB18030。
云堡垒机不仅拥有传统4A安全管控的基本功能特性,包括身份认证、账户管理、权限控制、操作审计四大功能。还拥有高效运维、工单申请等特色功能。 身份认证 采用多因子认证和远程认证技术,加强用户身份认证管理。 引用多因子认证技术,包括手机短信、手机令牌、USBKey、动态令牌等方式,安全认证登录用户身份,降低用户账号密码风险。
cn-north-4.myhuaweicloud.com HTTPS 基本概念 账号 用户注册时的账号,账号对其所拥有的资源及云服务具有完全的访问权限,可以重置用户密码、分配用户权限等。由于账号是付费主体,为了确保账号安全,建议您不要直接使用账号进行日常管理工作,而是创建用户并使用他们进行日常管理工作。
装好SSO单点登录工具和数据库客户端工具,并配置正确数据库客户端的路径到SSO单点登录工具上。 登录数据库资源前,需参照如何配置云堡垒机的安全组?放通对应场景的端口。 以Navicat客户端为例,示例正确的配置客户端路径操作。 打开本地SsoDBSettings单点登录工具。 图1
一个实例对应一个独立运行的系统,通过配置实例部署系统后台运行基本环境。系统环境独立管理,保障系统运行安全。 一个单点登录系统,提供统一的单点登录入口,轻松地集中管理大规模云上资源,避免资源账户泄露危险,保障资源信息安全。 符合“网络安全法”等法律法规,满足合规性规范审查要求。 满足《萨班斯法案》和《等级保护》系列文件中的技术审计要求;
AK/SK认证:通过AK(Access Key ID)/SK(Secret Access Key)加密调用请求。推荐使用AK/SK认证,其安全性比Token认证要高。 Token认证 Token的有效期为24小时,需要使用一个Token鉴权时,可以先缓存起来,避免频繁调用。 To
修改用户登录密码 当用户人员变动较大,用户忘记密码、密码丢失、密码过期等,可能造成登录安全事故。为降低用户登录密码风险,加强系统登录安全,堡垒机支持批量修改用户登录密码。 约束限制 系统管理员admin的密码不能被其他任何用户重置,可在admin的个人中心修改。 批量重置仅能生成
(可选)重置用户密码 变更规格成功后,为确保用户密码的安全性和可用性,加强系统登录安全,建议重置系统用户密码。 密码重置方式可选择批量重置和手动重置两种。 登录云堡垒机系统。 选择“用户 > 用户管理”,进入用户列表页面。 批量重置,请执行3。 手动重置,请执行4。 批量重置,统一生成相同的用户登录密码。
云审计支持的CBH实例操作 云审计服务(Cloud Trace Service,简称CTS),是华为云安全解决方案中专业的日志审计服务,提供对各种云资源操作记录的收集、存储和查询功能,可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 开启了云审计服务后,系统开始记录云堡垒机
用户可以登录管理控制台,选择“安全与合规 > 云堡垒机”,然后在云堡垒机管理控制台申请和管理实例。 云堡垒机系统是云堡垒机实际运维功能核心,后台采用欧拉操作系统,包含用户管理、资源管理、策略、审计和工单等功能模块,支持对Windows或Linux等操作系统的主机提供安全管控保护。 父主题:
访问规则; 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; 前提条件 已购买标准版及以上版本堡垒机,并已完成堡垒机配置。 安全区域边界:安全审计 等保条例:应在
0及以上版本 Safari 10及以上版本 Firefox 50.0及以上版本 原因二: 云堡垒机实例绑定的安全组放开短信网关IP和10743、443端口,详情请参见安全组配置。 原因三: 普通用户请联系管理员,修改绑定的手机号码,详情请参见修改用户配置。 若admin用户配置了
Cloud)是面向企业、政府、金融等客户,提供计算、存储资源池以及网络、管控多级隔离的综合解决方案。用户独享专属资源池,与公有云资源物理隔离,满足特定性能、应用及安全合规等要求。 父主题: 区域和可用区
在路径下创建名称为RemoteAPPProxy.conf的文本文件。 创建后打开文本文件配置如下信息。 ServiceAddress = https://ip:port ip为目标堡垒机内网地址,port为443。 确认无误,保存退出,重新登录即可。 父主题: 运维故障
用API,该API获取用户的Token,Token可以用于调用其他API时鉴权。 您还可以通过这个视频教程了解如何构造请求调用API:https://bbs.huaweicloud.com/videos/102987。 请求URI 请求URI由如下部分组成。 {URI-scheme}
选择“手动分配IP地址”后,可查看已使用的IP地址。 安全组 Sys-default 选择当前区域下安全组,系统默认安全组Sys-default。 若无合适安全组可选择,可单击“管理安全组”创建或配置新的安全组。 说明: 一个安全组为同一个VPC网络内具有相同安全保护需求,并相互信任的CBH与资源提
修改访问控制策略,解除对用户“来源IP”的限制。 检查云堡垒机实例关联的安全组,排查安全组的端口配置是否合理。建议按照CBH推荐端口,重新配置CBH安全组。 用户若通过Web浏览器方式登录资源,请手动添加安全组规则TCP协议443入方向。 检查云堡垒机所在内网关联的网络ACL ,排查ACL规则配置是否合理。
获取项目ID 调用API获取项目ID 项目ID可以通过调用查询指定条件下的项目信息API获取。 获取项目ID的接口为“GET https://{Endpoint}/v3/projects”,其中{Endpoint}为IAM的终端节点,可以从地区和终端节点获取。接口的认证鉴权请参见认证鉴权。
用户获取应用发布访问权限后,通过应用账户的密码自动代填,访问客户端应用和Web应用,并以视频方式全程记录用户运维操作,实现对远程应用账户的安全管理和用户远程访问应用的操作审计。 堡垒机支持添加Chrome、Edge、Firefox、SecBrowser、Oracle Tool 、MySQL、SQL
数据库运维高危操作的复核审批 云堡垒机专业版支持通过执行命令运维数据库,包括数据删除、修改、查看等运维操作。为确保数据库敏感信息的安全,避免关键信息的丢失和泄露,本文针对运维用户访问和运维数据库关键信息,详细介绍了如何设置数据库高危操作的复核审批,以及如何实现关键信息的重点监控。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
