云堡垒机(Cloud Bastion Host, CBH )是用于提供 云计算 安全管控的系统和组件,可以实现对运维资源的4A安全管控。云堡垒机包含用户管理、资源管理、策略、审计和 工单 等功能模块,支持对Windows或Linux等操作系统的主机提供安全管控保护。云堡垒机是集统一资产管理与单点登录、多种终端访问协议、文件传输功能于一体的运维安全管理与审计产品。
云堡垒机常用于企业用户运维场景,为企业用户提供如下场景 运维服务 :
企业运维账号众多
企业运维的服务器数量众多,而维护人员数量有限,一个运维人员维护多台主机、多个系统的现象普遍存在。因此,运维人员不仅管理的机器账号密码多种多样,而且需要同时在多套主机系统之间切换。这种情况大大增加运维人员工作量,导致运维效率低下、易出错、影响IT系统正常运行。
权限分配粗放,缺乏细粒度
企业运维授权一般是采用操作系统自身的授权系统,授权系统功能分散在各个设备和系统中,导致缺乏统一的运维操作授权策略;授权颗粒度粗,无法基于最小权限分配原则管理用户权限,导致运维人员权限过大和内部操作权限滥用等问题。
运维和代运维人员的操作行为缺乏有效监控
运维过程没有监控,出现网络安全故障难以排查原因和准确追责。很多企业为解决人力不足的问题选择把系统运维转交给系统供应商或第三方代维商进行,由于涉及提供商、代维商过多,人员复杂流动性又大,对操作行为缺少监控带来的风险日益凸显。
云堡垒机与以下几种 云服务 的关系:
与 虚拟私有云 的关系
虚拟 私有云 ( Virtual Private Cloud ,VPC)为云堡垒机提供 虚拟网络 环境,用户通过配置安全组、子网等子服务,方便地管理、配置内部网络。以及通过自定义安全组内访问规则,加强安全保护。
与弹性 云服务器 的关系
云堡垒机实例创建在弹性云服务器( Elastic Cloud Server ,ECS)上,用户可以通过该实例,为弹性云上面的服务器提供资产管理、身份管理、操作审计等功能。
与 裸金属服务器 的关系
云堡垒机可以为裸金属服务器( Bare Metal Server ,BMS)提供资产管理、身份管理、操作审计等功能。
与 云审计 服务的关系
云审计服务(Cloud Trace Service, CTS )记录云堡垒机实例相关操作事件,方便用户日后的查询、审计和回溯,具体请参见《云审计服务用户指南》。