检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
云堡垒机等保最佳实践 为助力企业通过等保合规测评,本文为您介绍云堡垒机各项功能与等保相关条款的对应关系,以便您有针对性地提供佐证材料。 等保三级相关条款 该最佳实践将主要聚焦于满足以下等保条例的考察内容: 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
Solution as Code一键式部署类最佳实践汇总 场景类型 一键式部署方案 说明 相关服务 等保 等保三级解决方案 该解决方案依托华为云自身安全能力与安全合规生态,为用户提供一站式的等保三级安全解决方案 WAF、HSS、SCM、SA、MTD、CFW、CBH、DBS、CodeArts
信息,详细介绍了如何设置数据库高危操作的复核审批,以及如何实现关键信息的重点监控。 等保合规 云堡垒机等保合规相关项 为客户提供一站式的安全解决方案,帮助客户快速、低成本完成安全整改,轻松满足等保合规要求。 系统运维 跨云跨VPC线上线下统一运维 针对您的服务器资源分布在跨VPC
系统报表 查看系统报表 推送系统报表 父主题: 运维审计
查看运维报表 运维用户通过堡垒机登录资源,以及进行运维操作后,审计管理员可查看运维详细报表,主要涵盖“运维时间分布”、“资源访问次数”、“会话时长”、“来源IP访问数”、“会话协同”、“双人授权”、“命令拦截”、“字符命令数”和“传输文件数”等趋势图和详细数据。 约束限制 趋势图
管理规则集 为简化添加大量数据库规则的繁琐操作,可通过创建规则集并添加规则。 堡垒机预置29种常见数据库操作命令,包括ALTER、TRUNCATE、EXECUTE、INSERT、DELETE、UPDATE、SELECT、GRANT、REVOKE、HANDLER、DEALLOCAT
云堡垒机可提供哪些审计日志? 云堡垒机分别提供实例和系统审计日志。 实例审计 云堡垒机实例审计,需开启云审计服务(Cloud Trace Service,简称CTS),实现对CBH实例的操作的记录,CTS管理控制台将保存最近7天的操作记录。 实例审计日志操作和说明,请参见CBH云审计。
将纳管的主机或应用添加到资源账户 一个主机或应用可能有多个登录主机或应用的账户,每个被纳管的主机账户或应用账户对应一个资源账户。登录被纳管资源账户时,自动登录无需输入账号和密码。 当添加主机或应用未纳管账户和密码时,默认生成一个“Empty”账户,登录“Empty”资源账户时需手动输入账户名和相应密码。
查看系统报表 运维用户登录堡垒机系统,以及在系统内进行操作后,审计管理员可查看系统详细报表,主要涵盖“用户控制”、“用户与资源操作”、“用户源IP数”、“用户登录方式”、“异常登录”、“会话控制”、“用户状态”等趋势图和详细数据。 约束限制 趋势图最多呈现连续180天系统统计数据变化趋势。
推送系统报表 为方便审计管理员及时获取运维统计信息,通过邮件发送系统报表。 自动发送周期可选择每日、每周、每月。 报表格式可选择PDF、DOC、XLS、HTML。 每次推送最多可呈现连续180天的系统统计数据。 前提条件 已获取“系统报表”模块管理权限。 已配置有效邮箱地址。 操作步骤
运维报表 查看运维报表 推送运维报表 父主题: 运维审计
推送运维报表 为方便审计管理员及时获取运维统计信息,可通过邮件发送运维报表。 自发送周期可选择每日、每周、每月。 报表格式可选择PDF、DOC、XLS、HTML。 每次推送最多可呈现连续180天的运维统计数据。 前提条件 已获取“运维报表”模块管理权限。 已完成配置邮件外发配置。
通过堡垒机纳管应用服务器 通过在一台支持远程桌面的Windows系统或者Linux操作系统服务器上,部署客户端软件和浏览器,应用发布是将服务器和应用账户纳入堡垒机管理的功能。 用户获取应用发布访问权限后,通过应用账户的密码自动代填,访问客户端应用和Web应用,并以视频方式全程记录
管理消息列表 消息中心是系统内各类消息接收提示管理中心。消息中心小窗可呈现最新三条未读消息。任务执行完成后,则可在任务中心查看全部任务。 消息类型共有5种,分别包括系统消息、业务消息、任务消息、命令告警、工单消息。 消息级别共有3种,分别包括“高”、“中”、“低”,消息级别越高代表消息重要程度越高。
获取堡垒机实例列表 功能介绍 获取当前租户下的堡垒机实例列表。 调用方法 请参见如何调用API。 URI GET /v2/{project_id}/cbs/instance/list 表1 路径参数 参数 是否必选 参数类型 描述 project_id 是 String 项目ID。
查看应用运维列表并设置资源标签 运维用户获取应用发布资源访问操作权限后,即可在应用运维列表查看已授权资源,并设置资源标签。 本小节主要介绍如何查看已授权资源,以及如何设置资源标签。 约束限制 每个用户可自定义资源标签,资源标签仅能个人账号使用,不能与系统内用户共用。 前提条件 已获取“应用运维”模块管理权限。
查看主机运维列表并设置资源标签 运维用户获取主机资源访问操作权限后,即可在主机运维列表查看已授权资源,并设置资源标签。 本小节主要介绍如何查看已授权资源,以及如何设置资源标签。 约束限制 每个用户可自定义资源标签,资源标签仅能个人账号使用,不能与系统内用户共用。 “登录配置下载”仅支持SSH运维的资源。
查看云服务运维列表并设置资源标签 运维用户获取云服务资源访问操作权限后,即可在云服务运维列表查看已授权资源,并设置资源标签。 本小节主要介绍如何查看已授权资源,以及如何设置资源标签。 约束限制 每个用户可自定义资源标签,资源标签仅能个人账号使用,不能与系统内用户共用。 前提条件 已获取“云服务运维”模块管理权限。
运维资源列表可登录资源不可见怎么办? 问题现象 云堡垒机“主机运维”或“应用运维”列表页面,用户原可登录资源突然不可见了。 可能原因 资源授权的“访问控制策略”设置了“有效期”,用户访问资源权限失效。 资源授权的“访问控制策略”设置了“登录时段限制”,用户在“禁止登录”时间段不能查看登录资源。
变更版本规格 当云堡垒机的规格不能满足需求时,可对云堡垒机实例进行规格升级,购买更高规格的标准版或专业版,扩大系统数据盘容量、最大并发数、最大资产数、CPU、内存等配置。云堡垒机系统盘默认为100G,变更规格不影响系统盘规格和系统软件版本。 变更规格前后注意事项: 变更规格前 用