检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
登录安全类 如何设置云堡垒机登录安全锁? 如何解锁登录云堡垒机时被锁定的用户/IP? 父主题: CBH系统登录
通过Web浏览器运维,如何设置会话窗口的分辨率? 通过Web运维支持调整运维会话窗口的分辨率,提升运维体验。 约束限制 Windows系统的会话窗口支持调整分辨率,包括Windows系统主机资源和应用资源。 vnc协议类型主机资源的会话窗口暂不支持调整分辨率。 前提条件 用户已获取
配置用户登录安全锁 为保障堡垒机系统用户登录安全,在用户登录堡垒机时,输入密码错误次数超过系统设置的次数限制后,用户“来源IP”、“用户+来源IP”或“用户”账号将被锁定。 本小节主要介绍如何配置用户登录安全锁,包括修改锁定方式、锁定时长、可尝试密码次数等。 前提条件 用户已获取“
安装Linux应用服务器 基础环境要求 系统要求:EulerOS 2.9.8最小安装系统。 网络要求:服务器需要有公网访问权限(绑定弹性EIP)。 防火墙要求:开放2376(docker服务)端口和35000-40000端口。 前提条件 已获取Linux服务器root账号密码。 操作步骤
系统配置概述 系统配置包括安全、网络、端口、外发、认证、工单、告警、审计、HA备份等配置。为确保系统安全运行,默认仅系统管理员admin可修改系统配置,整体管理系统运行状况。 安全配置,详情请参见登录安全管理。 网络配置,详情请参见系统网络配置。 端口配置,详情请参见系统端口配置。
与其他云服务的关系 云堡垒机需要与其他云服务协同工作,与其他云服务的依赖关系如图1。 图1 与其他云服务之间关系 与虚拟私有云的关系 虚拟私有云(Virtual Private Cloud,VPC)为CBH提供虚拟网络环境,用户通过配置安全组、子网、EIP等子服务,方便地管理、配置内部网络
登录云堡垒机实例时,收不到短信验证码怎么办? 问题现象 配置“手机短信”方式多因子登录后,通过手机短信方式登录,不能获取手机验证码,提示“发送短信失败!”。 重置登录密码,收不到短信验证码。 可能原因 原因一:受浏览器兼容性限制,当浏览器版本与云堡垒机系统不匹配时,会导致不能获取到短信验证码
认证证书 合规证书 华为云服务及平台通过了多项国内外权威机构(ISO/SOC/PCI等)的安全合规认证,用户可自行申请下载合规资质证书。 图1 合规证书下载 资源中心 华为云还提供以下资源来帮助用户满足合规性要求,具体请查看资源中心。 图2 资源中心 销售许可证&软件著作权证书 另外
责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击,华为云在遵从法律法规业界标准的基础上,以安全生态圈为护城河,依托华为独有的软硬件优势,构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任
审计与日志 审计 云堡垒机系统用户个人数据的所有操作,包括增加、修改、查询和删除,云堡垒机系统都会记录审计日志,并可备份到远程服务器或本地电脑。拥有审计权限用户可以查看并管理下级管理部门用户账号的日志,系统管理员Admin拥有系统最高权限,可查看并管理登录系统全部用户账号操作记录。
服务韧性 CBH通过多活无状态的跨AZ部署、AZ之间数据容灾等技术方案,保证业务进程故障时快速启动并修复,以保障服务的持久性和可靠性。 同时,基于华为云平台的防护能力,防御DoS攻击。 父主题: 安全
云堡垒机等保最佳实践 为助力企业通过等保合规测评,本文为您介绍云堡垒机各项功能与等保相关条款的对应关系,以便您有针对性地提供佐证材料。 等保三级相关条款 该最佳实践将主要聚焦于满足以下等保条例的考察内容: 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计
数据保护技术 云堡垒机实例不直接采集用户个人数据。实例创建成功后,登录云堡垒机系统需创建用户账号,创建登录系统用户账号涉及个人数据采集。 为了确保您的个人数据(例如云堡垒机系统登录名、密码、手机号码等)不被未经过认证、授权的实体或者个人获取,云堡垒机通过加密传输、加密存储个人数据、
运维会话经常提示登录超时,断开连接怎么办? 问题现象 在Web运维会话界面,登录超时连接断开,提示“由于您长时间未操作,此会话已结束”。 云堡垒机系统未退出登录,但运维会话界面主机资源断开连接。 可能原因 原因一:用户使用默认“登录超时”30分钟,在云堡垒机运维会话超过30分钟无操作
身份认证与访问控制 身份认证 用户访问CBH实例的方式有Web Console和SSH两种方式,其中,Web Console可以对堡垒机实例进行相关的资源配置和命令下发等完整功能,而SSH只能对堡垒机纳管的实例进行运维操作。 用户登录Web Console和SSH使用的账号和口令均为创建堡垒机时设置的账号和口令
资源账户配置 开启资源账户可自动添加Empty的账户。 操作步骤 登录堡垒机系统。 选择“系统 > 系统配置 > 安全配置”,进入系统安全配置管理页面。 在“资源账户配置”模块的右侧,单击“编辑”,进入“资源账户配置”页面。 自动添加Empty账户的状态默认为开启状态,可单击图标,
会话限制配置 配置会话在开启后,当CPU和内存使用率超过服务器配置时,将自动禁止新增会话。 操作步骤 登录堡垒机系统。 选择“系统 > 系统配置 > 安全配置”,进入系统安全配置管理页面。 在“会话限制配置”模块的右侧,单击“编辑”,进入“会话限制配置”页面。 开启会话限制的开关状态为
配置手机令牌类型 手机令牌可用来生成动态口令的手机客户端软件。堡垒机系统支持通过绑定手机令牌,对用户登录进行多因子身份认证,用户配置“手机令牌”多因子认证后,需同时输入用户密码和6位手机令牌验证码,才能登录堡垒机系统。 本小节主要介绍如何设置系统手机令牌类型。 约束限制 目前仅支持两种手机令牌类型
配置登录密码策略 本小节主要介绍如何配置用户密码策略,包括配置密码安全强度、密码验证次数、密码修改周期等。 前提条件 用户已获取“系统”模块管理权限。 操作步骤 登录堡垒机系统。 选择“系统 > 系统配置 > 安全配置”,进入系统安全配置管理页面。 在“密码策略配置”区域,单击“编辑
配置USB Key厂商 本小节主要介绍如何配置系统USB Key厂商。 约束限制 目前支持的厂商有龙脉科技、龙脉科技-国密和飞天诚信。 更改USBKey厂商配置后,已签发的其他厂商USB Key将不能被识别。 前提条件 用户已获取“系统”模块管理权限。 操作步骤 登录堡垒机系统。
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
