如何使用堡垒机对安全事故进行事后追溯

简介

随着业务上云并不断发展,云上运维的人数不断增加,这样必然会衍生出一些运维人员操作疏忽而导致的一些安全事故,但由于传统服务器缺少指令监控,操作回放等功能,这样就导致安全事件可追溯性不完善的问题。

华为云堡垒机可以管控所有的操作,并对所有的操作都进行详细记录。针对会话的审计日志,支持在线查看、在线播放和下载后离线播放。目前支持字符协议(SSH、TELNET)、图形协议(RDP、VNC)、文件传输协议(FTP、SFTP、SCP)、数据库协议(DB2、MySQL、Oracle、SQL Server)和应用发布的操作审计。其中,字符协议和数据库协议能够进行操作指令解析,100%还原操作指令;文件传输能够记录传输的文件名称和目标路径。

本章节介绍了云堡垒机如何通过会话审计功能对安全事件进行追溯调查,完成安全事件的责任界定。

前提条件

已购买云堡垒机,并且使用有审计模块权限的账号登陆云堡垒机

对历史会话进行审计

1、登录华为云控制台。进入“历史会话”页面,具体操作步骤详见查看历史会话。


2、根据您业务出现安全问题的一些信息,在“高级搜索框”中输入相关信息进行检索。

图1 高级搜索


3、根据搜索完后的结果,在“操作”列单击“详情”,进入“会话详情”页面,对历史操作指令、文件传输情况进行排查,如图2所示。

图2 运维记录


4、根据上述步骤您就可以根据操作指令的情况,排查出是哪个步骤出现了问题,为您的事件追溯提供了便利性。当然您也可以使用会话回放功能,通过播放运维视频,来查看具体的操作情况,如图3所示,具体操作步骤请参见管理会话视频。

图3 运维会话回放

须知:

华为云堡垒机还为您提供实时会话监控功能,让您可以实时查看高危操作的运维界面,若出现危险指令可立即切断运维人员的操作,确保业务的安全。具体请参见云堡垒机实时会话章节

云堡垒常见问题

云堡垒机多因子认证常见问题

  • 云堡垒机操作回放视频支持下载吗?

    支持下载mp4格式视频文件,并可在多种播放器上播放。

    默认情况下,不生成可下载视频文件,需手动“生成视频”。下载视频后请及时删除,以免占用过多存储空间。

    1、登录云堡垒机系统。

    2、选择“审计 > 历史会话”。

    3、单击“操作”列中的“更多 > 生成视频”。

    图1 生成视频

    4、生成视频后,单击“操作”列的“下载”,将视频保存到本地。

    5、下载视频后,可将系统缓存的视频文件删除,可以单击“操作”列中的“更多 > 删除视频”,或选中多条记录单击左下角批量“删除视频”。

    说明:因登出时间和操作时间不同,下载后的视频文件的总时长与可播放时长可能不一致。“总时长”是指从登录资源到登出资源的时间段,“可播放时长”是指从登录资源到最后一次会话操作的时间段。

    更多主机运维视频回放说明请参见历史会话

  • 云堡垒机系统审计日志支持备份到OBS桶吗?

    支持。

    目前不仅支持通过FTP/SFTP备份到同一个VPC网络内的服务器中,还支持将数据备份到同一个VPC网络内的OBS桶中。系统数据备份详情,请参见云堡垒机日志备份方式

1对1咨询华为云专属顾问,快速了解云堡垒机

免费咨询