检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
云堡垒机等保最佳实践 为助力企业通过等保合规测评,本文为您介绍云堡垒机各项功能与等保相关条款的对应关系,以便您有针对性地提供佐证材料。 等保三级相关条款 该最佳实践将主要聚焦于满足以下等保条例的考察内容: 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
配置Web控制台端口 Web控制台端口是通过Web浏览器登录堡垒机的访问端口,默认端口号443。 默认端口修改后,需同时修改实例安全组配置的端口。 本小节主要介绍如何管理系统Web控制台端口。 前提条件 已获取“系统”模块管理权限。 操作步骤 登录堡垒机系统。 选择“系统 > 系统配置 > 端口配置”,进入系统端口配置页面。
配置SSH控制台端口 SSH控制台端口是通过SSH客户端登录堡垒机的访问端口,默认端口号22。 默认端口修改后,需同时修改实例安全组配置的端口。 本小节主要介绍如何管理系统SSH控制台端口。 前提条件 已获取“系统”模块管理权限。 操作步骤 登录堡垒机系统。 选择“系统 > 系统配置 > 端口配置”,进入系统端口配置页面。
端习惯的前提下,对授权云主机资源进行运维管理,并且支持系统的命令拦截策略和运维审计功能。 本小节以Xshell登录SSH协议类型资源为例,介绍如何通过SSH客户端登录资源进行运维,以及如何下载登录资源的配置文件。 约束限制 仅SSH、TELNET和Rlogin协议主机支持通过SS
Kubernetes服务器相关操作 Kubernetes服务器纳入堡垒机管理后,您可以随时将纳入管理的服务器删除或者修改信息切换服务器。 约束限制 纳管的Kubernetes服务器数量受堡垒机的License限制。 对Kubernetes服务器操作需要“Kubernetes服务器”模块操作权限。
用户原来使用客户端习惯的前提下,对授权云主机资源进行远程文件传输管理。用户在主机上执行的所有操作,被堡垒机记录并生成审计数据。 本小节主要介绍如何获取客户端登录信息,并登录文件传输类资源。 约束限制 仅FTP、SFTP、SCP协议主机支持通过Web浏览器登录,且登录资源的客户端工具的版本要求如下:
配置USB Key厂商 本小节主要介绍如何配置系统USB Key厂商。 约束限制 目前堡垒机支持的有龙脉科技(GM3000)、龙脉科技-国密(GM3000)、吉大正元和飞天诚信(ePass3000GM)厂商的USBKey, 更改USBKey厂商配置后,已签发的其他厂商USB Key将不能被识别。
配置Web登录超时和登录验证 本小节主要介绍如何配置通过Web页面和客户端的登录系统,包括配置登录超时时间、短信验证码过期时间、图形验证码启用、SSH公钥登录、SSH密码登录等。 前提条件 用户已获取“系统”模块管理权限。 Web登录配置 登录堡垒机系统。 选择“系统 > 系统配置
容器相关操作 容器纳入堡垒机管理后,您可以随时将纳入管理的容器删除或者修改容器信息。 约束限制 容器的操作需要“容器列表”模块操作权限。 使用此功能需要V3.3.48.0及以上版本堡垒机。 编辑容器 登录堡垒机系统。 选择“资源 > 云服务器管理”,进入云服务器管理页面。 在待修
系统配置 √ √ “系统配置”信息包含全量系统配置数据。 详细系统配置说明请参见配置备份与还原。 备份操作示例 以备份“资源账户”数据信息为例,介绍如何导出和导入系统数据。 登录管理控制台。 在页面左上角单击,选择区域,选择“安全与合规 > 云堡垒机”,进入云堡垒机实例管理页面。 在需
时,用户将无法登录。堡垒机通过开启“admin console”,在远程桌面连接用户超限时,用户可挤掉已登录的用户,强制登录。 本小节主要介绍如何开启admin console配置。 约束限制 仅对RDP协议类型主机生效。 登录时需使用admin账户登录。 前提条件 已获取“主机运维”模块管理权限。
在非洲地区有业务的用户,可以选择“南非-约翰内斯堡”区域。 在欧洲地区有业务的用户,可以选择“欧洲-巴黎”区域。 资源的价格 不同区域的资源价格可能有差异,请参见华为云服务价格详情。 如何选择可用区? 是否将资源放在同一可用区内,主要取决于您对容灾能力和网络时延的要求。 如果您的应用需要较高的容灾能力,建议您将资源部署在同一区域的不同可用区内。
例如系统管理员admin添加的资源标签,其他管理员或运维人员登录系统后,不能看到admin为资源添加的标签,反之亦然。 更多CBH资源标签介绍请参见如何使用云堡垒机资源标签? 父主题: 资源添加类
TCP 18000 通过堡垒机访问GaussDB数据库 出方向 TCP 18000 License注册许可服务器 出方向 TCP 9443 华为云服务 出方向 TCP 443 同一安全组内通过SSH客户端登录堡垒机 出方向 TCP 2222 短信服务 出方向 TCP 10743、443
JSON视图创建自定义策略:可以在选择策略模板后,根据具体需求编辑策略内容;也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见:创建自定义策略。本章为您介绍常用的CBH实例自定义策略样例。 CBH自定义策略样例 示例1:授权用户变更规格CBH实例规格、升级CBH实例版本 { "Version":
管理命令集 为简化添加大量命令的繁琐操作,可查询并添加常见命令参数,包括Linux主机和网络设备常见命令参数。 本小节主要介绍如何新建关联命令集、查看命令集、修改命令集、删除命令集、批量导入命令集。 前提条件 已获取“命令控制策略”模块操作权限。 新建命令集 登录堡垒机系统。 选择“策略
查看主机运维列表并设置资源标签 运维用户获取主机资源访问操作权限后,即可在主机运维列表查看已授权资源,并设置资源标签。 本小节主要介绍如何查看已授权资源,以及如何设置资源标签。 约束限制 每个用户可自定义资源标签,资源标签仅能个人账号使用,不能与系统内用户共用。 “登录配置下载”仅支持SSH运维的资源。
查看应用运维列表并设置资源标签 运维用户获取应用发布资源访问操作权限后,即可在应用运维列表查看已授权资源,并设置资源标签。 本小节主要介绍如何查看已授权资源,以及如何设置资源标签。 约束限制 每个用户可自定义资源标签,资源标签仅能个人账号使用,不能与系统内用户共用。 前提条件 已获取“应用运维”模块管理权限。
运维用户提交工单申请或者触发命令工单后,工单流转到系统指定的审批人处。审批人可在“消息中心”收到工单审批提醒,此时可在工单审批列表中查看到待审批的工单。 本小节主要介绍如何管理已提交审批工单,包括查看工单详情、审批工单、驳回工单、撤销工单授权等。 前提条件 已获取“工单审批”模块管理权限。 操作步骤 登录堡垒机系统。
为保障堡垒机系统用户登录安全,在用户登录堡垒机时,输入密码错误次数超过系统设置的次数限制后,用户“来源IP”、“用户+来源IP”或“用户”账号将被锁定。 本小节主要介绍如何配置用户登录安全锁,包括修改锁定方式、锁定时长、可尝试密码次数等。 前提条件 用户已获取“系统”模块管理权限。 操作步骤 登录堡垒机系统。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
