产品详情

简介

天玥运维安全网关-云堡垒机是云环境下实现云资产安全便捷运维操作的控制和审计系统。

通过云堡垒机建立云资产运维统一入口，使用单点登录技术，一次认证即可在多系统间漫游运维。针对云平台运维中的安全问题，重点从账号管理、统一认证、集中权限、行为审计方面入手，对整个运维过程从事前预防，事中控制和事后审计进行全程参与，解决运维过程中操作系统账号复用、数据泄露、运维权限混乱、运维过程无法审计的问题，最大程度降低运维安全风险，使得数据更安全、运维更高效、安全更合规。

说明：两种价格模式：一次性使用时间买断模式和按月租用模式。一次性买断模式（默认带一年软件维保、升级服务）；按月租用模式模式（在授权期间内提供软件维保、升级服务）

功能

账号管理

账号管理包括天玥运维安全网关运维账号和运维资产账号。运维账号实名制、运维账号生命周期管理、运维资产账号集中管理和资产账号改密功能。

堡垒机账号的实名制：天玥运维安全网关为每个运维人员创建唯一的运维账号（主账号），所有资产账号（从账号）均与主账号进行关联，确保所有运维行为审计记录的一致性，有效解决账号共用问题便于定位问题责任人。

运维账号生命周期管理：账号的启用、禁用和有效时间，直接由管理员掌控。

运维资产账号的集中管理：账号密码掌握在管理员手中，避免了密码泄露风险。

资产账号改密：天玥运维安全网关支持人工或定期自动修改运维资产账号的密码。

统一认证

登录认证是整个运维过程的首要环节也是最重要的环境，天玥运维安全网关提供了丰富的认证方式，灵活的双因素认证，大大保证了统一入口的登录安全。

天玥运维安全网关支持单点登录，运维人员认证登录后访问资产无需再次输入资产账号密码即可登录。

集中授权

天玥运维安全网关通过集中统一的访问控制和细粒度的命令级授权策略，确保每个运维用户拥有的权限是完成任务所需的最合理权限。访问策略（保证自然人和资产的授权最小化）；命令策略（黑白名单）；基于时间段和IP段进行限制；协议功能分别控制（例如RDP剪贴板和磁盘映射功能等）。

行为审计

行为审计包括：实时操作过程监控、二次审批、告警与阻断、审计记录和回放、审计报表。

实时操作过程监控：对于所有远程访问目标主机的会话连接，均可实现操作过程同步监视，运维人员在远程主机上做的任何操作都会同步显示在审计人员的监控画面中，管理员可以随时手工中断违规操作会话。

二次审批：支持对特殊指令执行进行审批。运维人员操作过程中触发命令策略，需要得到管理员的审批后才能继续执行后续操作。

告警与阻断：支持根据已设定的访问控制策略，自动检测日常运维过程中发生的越权访问、违规操作等安全事件，系统能够根据安全事件的类型、等级等条件进行自动的告警或阻断处理。

审计与回放：审计过程的完整记录，根据操作记录定位回放或完整重现维护人员对远程主机的整个操作过程，从而真正实现对操作内容的完全审计。

审计报表：内置能够满足不同客户审计需求的安全审计报表模板，支持自动或手工方式生成运维审计报告，便于管理员全面分析运维的合规性。

优势

用户管理模块

管理用户的账号信息，可查看云盘的空间大小，修改用户密码，修改历史版本数。企业用户还能管理子用户和共享群。

 功能优势：

l  运维协议全面性：

天玥OSM支持多种运维访问协议，能够充分满足日常运维需要。

l  字符协议：SSHv1、SSHv2、TELNET。

l  图形协议：RDP、VNC。

l  文件传输协议：FTP、SFTP。

l  数据库访问：Oracle、SQL Server、DB2、Sybase、Informix、Teradata、MySQL、PostgreSQL。

l 通过应用发布进行协议和运维工具扩展，支持HTTP/HTTPS、X11、Radmin、VMvare client客户端等。

l 认证方式多样性：

         天玥OSM系统包括多样认证方式，其中内置动态口令认证系统，从而使用户实现无需额外购置动态口令牌认证系统即可完成用户口令动态认证模式。

        天玥OSM系统支持对不同用户设置不同认证方式组合的双因素认证，更具灵活性。

        认证方式包括：静态口令认证、USB-key认证、动态口令卡、短信认证（支持短信中间表和短信网关标准，短信网关包括中国移动CMPP2.0、中国联通SGIP1.2标准和中国电信SMGP3.0）、数字证书认证（包括吉大正元证书认证、北京数字证书认证、格尔证书认证）、Radius认证、LDAP认证、AD域认证。

l  审计效果精细化：

l  支持字符协议和文件传输协议的协议审计，审计详细的操作语句和操作语句的执行结果。

l  支持RDP、VNC图形操作过程中键盘输入操作记录、鼠标点击行为记录和窗口标题审计。

l  数据库协议深度解析、数据库返回行数记录、Oracle数据库变量绑定解析。

l  支持通过应用发布实现数据库、字符协议、文件传输协议命令和录像的双重审计效果。

l  管控方式严格性：

天玥OSM系统提供严格的管控方式以保证运维过程的规范性。

l  命令限制与复核：对于高危命令实现实时告警或阻断，对于特别重要的命令实现多人审核。

l  应用发布防跳转：防止通过应用发布服务器进行跳转登录未授权资源，进行http/https访问过程时运维人员仅允许访问授权地址，保证运维的规范性。

l  运维账号IP、MAC限制：通过绑定运维账号IP、MAC地址，避免用户在不安全的工作岗位进行重要的运维操作。

l  操作使用便捷性：

天玥OSM系统提供多种功能以保证运维过程的自动和快捷性。

l  多种运维方式：浏览器调用运维工具访问、浏览器内嵌WEB控件访问、客户端（SSH、TELNET、RDP、VNC）直连菜单模式方式

l  C/S运维客户端：安全性高、通用性强、效率更高，避免了安装和调试Active和JAVA控件的繁琐工作。

l  资源批量登录：支持TELNET、SSH协议使用SecureCRT工具批量登录目标资源，避免进行多次连接的重复工作量。

l 命令批量执行：在资源批量登录的基础上，通过SecureCRT实现命令的多资源批量执行功能，减少同类型设备上重复的操作工作。

l  设备自动改密：支持对目标设备自动定期修改密码，特别是数据库协议（包括Oracle、SQL Server、DB2、Sybase、Informix、MySQL、PostgreSQL）。

  技术优势：

l  敏感数据管控

l  运维人员拥有高权限系统账号，会接触到重要敏感数据。

l  对运维人员上传、下载、流转重要敏感数据进行控制和记录。

l  数据库深度解析

l 数据库协议级审计。

l  数据库返回行数记录。

l  Oracle数据库变量绑定解析。

l  命令限制与复核

l  对于高危命令实现实时告警或阻断。

l  对于特别重要的命令实现多人审核。

l  双重审计

l  实现数据库协议、字符协议、文件传输协议命令和录像的双重审计。

l  实现命令审计和录像审计的关联检索和回放。

l  运维操作防跳转

l  防止通过应用发布服务器进行跳转登录未授权资源。
l  web页面防跳转功能，进行http/https访问过程时运维人员仅允许访问授权地址。

案例

宁夏政务云

电信天翼云