检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
入门实践 当您配置完云堡垒机(CBH)后,可以根据自身业务的业务场景使用CBH提供的一系列常用实践。 表1 常用最佳实践 实践 描述 变更规格 变更堡垒机规格 当使用的云堡垒机规格不能满足实际需求时,您可以选择对云堡垒机的规格进行变更规格。 系统策略 数据库控制策略:高危命令二次审批
通过配置访问控制策略、双人授权、命令控制策略,实现对资源不同维度的控制。 √ √ 双人授权 通过配置“双人授权”实现双人或多人权限审核,保障核心资源安全。 √ √ 字符命令拦截 通过配置命令控制策略,对字符协议资源关键操作,进行动态授权。 √ √ 数据库命令拦截 通过配置数据库
程访问隔离技术,实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计。 服务特点 一个实例对应一个独立运行的系统,通过配置实例部署系统后台运行基本环境。系统环境独立管理,保障系统运行安全。 一个单点登录系统,提供统一的单点登录入口,轻松地集中管理大规模云上资源,避免资源账户泄露危险,保障资源信息安全。
云堡垒机配置LTS后状态依然为禁用该怎么处理? 问题描述 配置完LTS服务后,系统显示还处于禁用状态。 解决方法 安装ICAgent的命令是以curl命令开始,如果curl命令前面存在set +o history; 字段,请删除后和堡垒机对接,适配的安装ICAgent参数如下: curl
CBH实例系统权限 系统角色/策略名称 描述 类别 依赖关系 CBH FullAccess 云堡垒机实例的所有权限(支付权限除外)。 系统策略 无 CBH ReadOnlyAccess 云堡垒机实例只读权限,拥有该权限的用户仅能查看云堡垒机服务,不具备服务配置和操作权限。 系统策略 无 您在赋予账号企业项目级的CBH
查看监控指标 您可以通过管理控制台,查看CBH的相关指标,及时了解堡垒机防护状况,并通过指标设置防护策略。 前提条件 CBH已对接云监控,即已在云监控页面设置监控告警规则。有关设置监控告警规则的详细操作,请参见设置监控告警规则。 操作步骤 登录管理控制台。 单击管理控制台左上角的,选择区域。
配置了手机令牌登录,但未绑定手机令牌怎么办? 当系统管理员admin设置了开启手机令牌登录,但是没有绑定手机令牌时,可提工单反馈,技术支持人员收到反馈后,重置admin登录验证为初始状态,而不改变系统其它配置。 当系统非admin用户未绑定手机令牌时,系统管理员admin可为目标
垒机配置多因子认证。 图7 配置多因子认证 等保条例:应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; 云堡垒机可配置用户登录安全锁,可设置锁定方式、锁定时长、可尝试密码次数等。具体操作详见:云堡垒机配置用户登录安全锁。 图8 登录安全锁
数据库关键操作复核审计 通过创建数据库控制策略,动态授权数据库敏感操作,确保数据库敏感信息的安全,避免关键信息的丢失和泄露。 商用 创建数据库控制策略 管理数据库授权工单 4 日志备份至FTP/SFTP服务器 通过配置FTP/SFTP服务器远程备份,支持将系统配置和历史会话远程备份,保障运维数据的容灾安全。
一天(详细介绍请参见统一包年/包月资源的到期日)。确认配置费用后单击“去支付”。 进入支付页面,选择支付方式,确认付款,支付订单后即可完成续费。 统一包年/包月资源的到期日 如果您持有多套到期日不同的云堡垒机,或者您的云防火墙和其上挂载的云硬盘到期日不同,可以将到期日统一设置到一个日期,便于日常管理和续费。
用户获取主机资源“剪切板”权限,分别需要开启主机“剪切板”功能和授权用户“剪切板”使用权限。 主机资源开启“剪切板”功能,请参见修改主机配置。 授权用户“剪切板”权限,请参见修改访问控制策略或申请访问授权工单。 原因二 重载或重启Windows主机中rdpclip.exe剪切板程序。 无法拷贝超长文本到Windows主机
vnc协议类型主机资源的会话窗口暂不支持调整分辨率。 前提条件 用户已获取“主机运维”或“应用运维”模块管理权限。 用户账号已获取资源访问控制权限,即管理员已授权访问控制策略或用户提交权限申请工单已审批通过。 资源网络连接正常,且资源账户登录账号和密码无误。 操作步骤 以调整Windows系统主机资源的会话窗口分辨率为例。
堡垒机支持对Linux主机操作进行“动态授权”管理,加强对敏感操作的限制管理。 当运维用户登录Linux主机进行运维操作时,触发“动态授权”命令控制策略的操作命令,系统会自动拦截操作命令,生成命令授权工单。管理员将会收到工单审批申请。当管理员用户批准工单后,运维用户才有执行该Linux“动态授权”操作命令的权限。
调整堡垒机CPU、内存、带宽配置。 产品ID 当前系统产品ID。 授权模块 系统支持功能模块,分标准版和专业版。 标准版仅包含“基础模块”。 专业版包含“基础模块”、“自动化运维”、“数据库审计”。 自动化运维包括“账户同步策略”模块、“配置备份策略”模块、“脚本管理”模块、“快速运维”模块、“运维任务”模块。
当收到网络限制提示时,请先“一键放通”网络限制,确保续费更新授权成功。 您可以在安全组和防火墙ACL中查看相应规则。 云堡垒机所在安全组允许访问出方向9443端口。 云堡垒机所在子网未关联防火墙ACL,或关联的防火墙ACL为“开启”状态且允许访问出方向9443端口。 操作步骤 登录管理控制台。
、API接口认证机制。 系统安全 系统全自动化安装,LUKS加密用户系统数据盘。 系统自带防火墙功能,防止常规网络攻击,例如暴力破解等。 统一HTML5方式访问入口,仅开放一个系统Web访问端口,减少攻击面。 针对SSH登录参数配置加固,提高SSH登录系统的安全性。 父主题: 产品咨询
进行共享的VPC。单击“下一步:权限配置”。 进入“权限配置”页面,选择指定资源类型支持的共享权限,配置完成后,单击页面右下角的“下一步:指定使用者”。 进入“指定使用者”页面,指定共享资源的使用者,配置完成后,单击页面右下角的“下一步:配置确认”。 表1 参数说明 参数名称 参数说明
检查CBH系统环境是否配置合理 检查主机实例环境是否合理配置 检查主机资源是否能接受CBH访问 检查CBH系统环境是否配置合理 登录云堡垒机系统,检查纳管资源IP地址、端口等是否设置正确。 检查资源关联访问控制策略,是否设置IP限制。修改访问控制策略,解除对用户“来源IP”的限制。
检查CBH系统环境是否配置合理 检查主机实例环境是否合理配置 检查主机资源是否配置安全加固措施 检查CBH系统环境是否配置合理 登录云堡垒机系统,检查纳管资源IP地址、端口等是否设置正确。 检查资源关联访问控制策略,是否设置IP限制。修改访问控制策略,解除对用户“来源IP”的限制。
、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理,包括但不限于虚拟网络、虚拟主机和访客虚拟机的操作系统,虚拟防火墙、API网关和高级安全服务,各项云服务,租户数据,以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
