一文看懂堡垒机在等保2.0中的控制点及核心功能

2020-06-12 20:16:56 infoadmin 601


什么是堡垒机


      对运维人员的细粒度访问控制、运维过程的步步管控、全方位的操作审计,实现运维过程的“事前预防、事中控制、事后审计”,契合等保2.0中安全管理中心和安全计算环境的相关要求。

图片关键词


堡垒机的功能

1、集中认证:托管主机的账户和密码,运维人员直接点击<登录>即可成功自动登录到目标主机中进行运维操作,无需输入主机的账户和密码,支持双因素认证。

2、集中账号:支持多种用户角色,每种用户角色的权限都不同,为用设立不同的角色提供了选择,并且满足合规对三权分立的要求。
3、集中权限:通过集中授权,帮助客户梳理用户与主机直接的关系,并且提供一对一、一对多、多对一、多对多的灵活授权模式。
4、集中审计:对所有的操作进行详细记录,并提供综合查询功能;审计日志可以在线播放也可以离线播放,所有的审计日志支持自动备份和自动归档。




堡垒机满足了等保中的哪些要求

01

安全通信网络层面要求与相关功能

控制点1:网络架构

测评项:应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。


控制点2:通信传输

测评项:应采用密码技术保证通信过程中数据的保密性。


相关功能

1、支持HA主备模式,管理口和心跳口须支持多链路端口绑定功能,防止单网卡或单线故障。

2、支持多台堡垒机异地备份部署,每台设备都能提供运维和审计服务,配置数据自动同步。

3、支持集群部署模式,中心采用HA,节点可以横向扩展,实现统一登录入口、统一配置同步、审计日志集中存储、会话集中监控,以满足业务增长需求。

4、内置VPN模块,无需与其他VPN设备联动,实现运维入口安全接入。


02

安全计算环境层面要求与相关功能

控制点1:身份鉴别

测评项:

1、应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;

2、当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;


控制点2:访问控制

测评项:

1、应对登录的用户分配账户和权限;

2、应重命名或删除默认账户,修改默认账户的默认口令;

3、应授予管理用户所需的最小权限,实现管理用户的权限分离;

4、应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;


控制点3:安全审计

测评项:

1、应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计

2、审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

3、应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;


相关功能:

1、内置手机APP 认证(谷歌动态口令验证)、OTP 动态令牌、USBkey 双因素认证引擎。提供短信认证、AD、LDAP、RADIUS 认证接口。

2、内置VPN模块,无需与其他VPN设备联动,实现运维入口安全接入。

3、支持用户多角色划分功能,如系统管理员、部门管理员、运维员、审计管理员、密码管理员等,对各类角色需要进行细粒度的权限管理。

4、支持定期自动修改windows服务器、网络设备、linux/unix等目标设备密码功能。

5、支持通过基于时间、IP/IP段、用户/用户组、设备/设备组、设备账号、命令关键字、控制动作、黑白名单等组合访问控制策略,授权用户可访问的目标设备。

6、支持对运维操作会话的起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容(如对文件的上传、下载、删除、修改等操作等)的详细行为日志。

7、支持对会话的录像进行定期归档。

03

安全管理中心层面要求与相关功能

控制点1:系统管理

测评项:应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计;


相关功能:

1、支持C/S、B/S、H5等方式进行代理运维

2、支持管理Linux/Unix 服务器、Windows 服务器、网络设备、文件服务器、Web 系统、数据库服务器、虚拟服务器、远程管理服务器等。

3、兼容Xshell 、XFTP 、SecureCRT 、MSTSC 、VNC Viewer 、Putty 、WinSCP、FlashFXP、SecureFX、OpenSSH 等多种客户端工具。

4、支持通过基于时间、IP/IP段、用户/用户组、设备/设备组、设备账号、命令关键字、控制动作、黑白名单等组合访问控制策略,授权用户可访问的目标设备。



首页
产品
新闻
联系