产品攻略

数据泄露是企业避之唯恐不及的隐患所在，在信息时代，无论是企业还是个人，对于隐私和敏感数据，都拥有着强烈的保护欲。尤其是作为一家企业来说，数据泄露意味着生死存亡。 犹记得“前沿数控自媒体”存储在腾讯云上的数据丢失事件对企业造成的巨大影响。数据丢失有可能让一家企业瘫痪，而数据泄露甚至有可能让一家公司面临倒闭。 因此，数据库审计一直以来是企业级客户的诉求。在广大用户的强烈呼声中，行云管家在新版本中支持了MySQL数据库的运维审计。 用户可以将MySQL实例导入到行云管家中，团队成员使用经过授权的数据库访问账号远程访问目标数据库，并将访问过程中产生的SQL命令与结果记录在审计日志中；同时，可对数据库中敏感的数据字段进行脱敏设置，在访问目标数据库时，已设置为敏感数据的字段将进行脱敏处理，避免泄露。 数据库审计服务，可针对数据库SQL注入、风险操作等数据库风险操作行为进行记录与告警，为云上数据库提供安全诊断、维护、管理能力。 既然支持了MySQL的数据库审计功能，那么在审计日志中，也相应的增加了数据库运维审计日志。 用户可以通过审计日志来查看历史访问数据库的操作者、客户端IP、SQL语句等信息。通过日志可以清晰的看到用户行为历史数据，一旦出现数据库泄露问题，根据一系列信息，追本溯源到应用者的身份和行为，就能够及时找到问题所在。 不仅提高了预防能力，也提高了数据库管理能力，对云数据及用户自建数据进行适配审计，满足审计及日志数据留存的要求。 在后续版本中我们还将对Oracle等数据库进行支持。

在了解和使用行云管家的过程当中，我们常常会遇到很多专业术语，或者遇到一些似懂非懂的词汇，比如什么是行云管家浏览器插件？ 行云管家浏览器插件 目前，行云管家提供了基于浏览器插件技术实现的“云拷贝”程序模块功能，“云拷贝”插件使您能够在本地客户端与云主机之间进行复制/粘贴功能，行云管家浏览器插件安装程序则是它的安装包，您可以前往下载中心下载安装。插件安装完成后，还需要通过Extension（扩展程序）的方式导入到浏览器。 行云管家大量使用了HTML5技术，而Chrome浏览器对HTML5的支持也是最好的，因此，我们强烈建议您选择Chrome浏览器访问行云管家。 云账户 行云管家能够将各大云计算厂商中的云资源接入进来统一管理，出于云厂商隔离和业务划分的考虑，在行云管家中，以云账户作为云主机、对象存储、CDN等云资源的容器及业务隔离单元。 云账户无法单独创建，需要通过在导入相应的云资源过程中创建，如导入云主机、对象存储Bucket、CDN加速域名等，将一个云厂商中的云主机资源纳入到一个云账户下进行管理，一个云厂商可以创建多个云账户，但一个云账户只能对应一个云厂商。 例如，用户张三在阿里云有一个账号，里面购买了云主机、CDN等产品，那么这个账号体现在行云管家中，就是一个云账户。张三可能在腾讯云中也购买了一些云产品，那么他也可以将腾讯云的账户也导入到行云管家中，这样张三便拥有了两个云账户，分别管理他在阿里云和腾讯云的云资源。 会话 当用户在行云管家中通过RDP/VNC/SSH等协议访问云主机并获取其远程桌面/终端时，即创建了一个会话。一个完整的会话包含了协议类型、主机信息（IP、端口、用户口令等）、访问方式等一系列属性。 会话守护 在行云管家中打开的会话，其生命周期是在云端进行维护的，而在浏览器中显示的窗口仅仅是会话的展示界面。 因此，我们可以在云端对会话进行守护，从而对会话的生命周期进行管理，这样，即便您中途离开甚至关闭浏览器或者由于网络环境较差导致连接断开，该会话依然可以在云端持续运行。会话守护默认是关闭的，若您希望打开此功能， 请在“会话详情/会话设置”中开启。 审计日志 行云管家拥有运维审计的特性，能够将用户在行云管家中对主机的访问操作记录下来，并生成云端录像（事实上是指令集的再次播放），以此来达到安全、可控、合规的团队协作目的。 审计日志包含了主机访问会话的概况、操作的过程记录，以及在操作过程中产生的所有指令集等信息。 审计日志分为我的审计日志和团队审计日志两个维度，每个团队成员均可查看自己创建的运维操所产生的审计日志，但是从团队管理的角度考虑，查看团队运维审计日志需要获得相应的权限，相关权限是位于“安全审计”中的四项：团队会话审计、团队作业审计、团队任务审计、团队凭证修改审计，只要拥有相应的权限，便可查看团队成员的运维审计日志，下面分别从四种运维操作的角度来介绍如何查看审计日志。 配额 行云管家一向以开放的态度面对互联网的大潮，一直以来我们都坚持以免费的形式为用户提供服务。 但一个显而易见的事实是，行云管家能够提供给用户的资源是有限的， 为了为更多的用户提供良好的服务。

行云管家体验官网： 行云管家【官网】-领先的云计算管理平台-云安全，堡垒机，自动化运维​ 行云管家新手有礼活动： 行云管家新手有礼，新用户1元即可体验专业版-优惠券​ 发布日期：2018-10-11 4.6版本拥有众多重大特性：大量的公有云厂商的增强支持、新增对私有云OpenStack的支持、数据库运维审计支持；在私有部署版方面，我们提供了LDAP的支持，允许用户通过Windows AD域及Apache OpenLDAP导入已有的用户体系。 4.6版本更新包括但不限于以下内容： 1.私有部署版 LDAP的支持： 为方便私有部署版本客户更好的对行云管家账户进行管理，在新的版本中目前已经实现了对Windows AD域及Apache OpenLDAP的支持。在私有部署管理控制台中配置好外部认证服务器（LDAP）后，就可以将AD域或LDAP中的用户导入进行云管家中，用户登录行云管家门户时将使用AD域或LDAP账户的用户名和密码。 增加一系列用户账号安全设置功能： 在新的版本中为增加私有部署版使用时的安全性，我们做了以下优化： 1）支持账号密码策略： a）支持账号密码策略：可以强制要求账号密码必须符合系统指定的长度和强度； b）禁止使用历史密码：要求用户不能使用历史密码，防止用户重复使用过去可能被泄露的密码； c）密码有效期：强制用户在密码到期后修改密码。 2）强制用户首次登录时修改密码：可有效避免用户使用默认密码； 3）创建临时用户：允许创建临时用户，满足一些临时运维的工作场景，临时用户必须指定有效期，到期后，该用户将被自动从团队中移除。 支持自有短信网关： 在之前的版本中，私有部署版本的管理控制台中只能配置行云管家的短信网关，并且配额有限；因此在新的版本中我们支持配置用户自有短信网关。用户可以将自己的短信网关在管理控制台进行配置，从而使所有以短信方式进行推送的消息都通过该短信网关进行发送。 创建用户时直接设置所属角色： 为了使私有部署版用户更方便与便捷的创建新的用户，我们针对创建用户的过程进行了优化：将创建用户操作改为向导式，除设置用户账户及密码外，还可直接指定用户所属的角色。 2.资源管理 云厂商支持增强： a）京东云的支持： 随着京东云对于公有云市场的加大投入，同时也在京东云官方的特别支持下，新增了京东云主机、成本中心与体检中心等功能的支持，在后续版本中，我们还将进一步完善对京东云的其它支持。 b）Azure中国支持的增强： 在新的版本中我们针对Azure中国，增加了主机磁盘快照、成本中心以及体检中心等功能；至此Azure中国云主机相关功能已经全部支持。 c）华为云支持的增强： 与Azure相同，在新的版本中我们针对华为云主机的相关功能进行了全面的支持，包括：主机磁盘快照、成本中心以及体检中心等功能。 d）支持AWS海外： 使用AWS全球服务的用户们有福啦！新的版本中，在支持AWS中国的基础上，我们针对AWS海外资源的所有相关功能进行了支持，您可以将AWS海外的云主机、S3等资源导入到行云管家中。 e）支持私有云平台openstack： 在基本覆盖支持了国内所有主流公有云的基础上，行云管家将在后续的版本中逐步的增加对私有云的支持。在4.6版本中，我们首先支持了私有云平台openstack，用户可以使用行云管家，通过调用openstack API的方式来导入主机，而其他的私有云平台主机或者局域网主机，依然可以通过部署Proxy的方式来进行导入。 数据库审计： 在广大用户的强烈呼声中，我们在本版本支持了MySQL数据库的运维审计。用户可以将MySQL实例导入到行云管家中，团队成员使用经过授权的数据库访问账号远程访问目标数据库，并将访问过程中产生的SQL命令与结果记录在审计日志中；同时，可对数据库中敏感的数据字段进行脱敏设置，在访问目标数据库时，已设置为敏感数据的字段将进行脱敏处理，避免泄露。在后续版本中我们还将对Oracle等数据库进行支持。 主机信息的导出： 我们在新的版本中，在主机列表的批量操作中支持了批量导出主机信息的功能，用户可以自定义导出主机的字段信息，并将相应的主机信息以“.CSV”格式的文件进行导出。 主机一些界面优化： a）打开会话及快捷方式的界面优化： 为方便用户更好更便捷的使用访问主机的功能，我们针对打开会话与快捷方式打开会话的界面进行的一系列优化：变为左右结构，左侧展示主机基本信息，右侧展示访问协议及相关参数信息。 b）主机列表分页展示： 为了解决用户导入大量主机后，主机列表刷新缓慢的问题，我们在新的版本中在主机列表页增加了分页器功能，用户可以自行定义每页展示的主机数量，从而大大减少页面刷新时间。 3.堡垒机 关键设备运维策略优化： 大量用户反馈，希望同一台主机可针对不同用户分配不同的运维策略；因此我们在新的版本中针对关键设备运维策略进行了优化，引入了关键设备运维策略组的概念，运维策略组具备以下特征： a）一个运维策略组可关联多台主机，但一台主机仅可加入一个运维策略组； b）一个策略组中可创建多个运维策略，运维策略之间通过优先级进行排序； c）每个运维策略可授权给不同的角色，同时通过调整策略的优先级来决定团队成员适用哪一条策略； d）每个运维策略拥有一个不允许删除的默认运维策略，授权给所有成员； 优化意义：运维策略具备上述特征后，可以实现用户的精细化访问控制授权，即每台主机，针对不同成员，设置不同的运维策略。 ...

首先，我们需要了解一下，作为互联网企业，为什么需要做等级保护？ 《中华人民共和国网络安全法》中明确强调等级保护制度极为重要，网络运营者必须严格依照企业属性和等级分类标准，来进行网络安全等级保护工作，增加企业的网络安全防护能力，保障网络运行安全。 【第二十一条】 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。 【第三十一条】 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。 作为第三方混合云管理平台，行云管家通过公安部网安审核测评，意味着什么？ 行云管家经过严格测试，行云管家通过了公安部的认证，可以作为堡垒机进行销售了。 行云管家获得计算机信息系统安全产品身份鉴别（网络）类销售许可证，该类别许可证用于堡垒机类产品的认定，由公安部颁发，堡垒机是企业进行计算机信息安全等级保护认定强制要求具备的安全管控系统。这代表行云管家已经成为公安部认可的堡垒机厂商，能够帮助企业完善信息系统安全保护规范。 作为安全领域的“通行证”，《计算机信息系统安全专用产品销售许可证》是对行云管家的极大肯定。行云管家必将以更强的实力来保障更多客户的安全。

堡垒机的作用我们之前已经说过很多了，在复杂的网络环境中，无论是普罗大众还是中央国家机关政府，网络审计堡垒机也是采购项目中必不可少的。由此可见，堡垒机的重要性。 行云管家是拥有着4万多活跃用户的第三方混合云管理平台，其核心产品就是 云堡垒机。 在最新更新的V4.5版本中，行云管家堡垒机为了方便用户灵活的配置不用场景下的的运维策略，我们针对双因子认证以及指令审批规则的设置上进行优化，在关键主机运维策略中部分策略加上适应场景。 堡垒机新增的第一个场景是双因子认证：当开启双因子认证时，用户可以针对访问主机、重启主机等10个应用场景做自定义配置，配置之后只对选择的场景启用双因子认证。 堡垒机新增的第二个场景是指令审批规则：可以指定审批规则的应用场景。包括主机回话，命令控制台等。 行云管家云堡垒机还有一个重要的功能是侧重日常运维的，即运维策略，在新版本中，堡垒机运维策略增加了日志脱敏功能。 一般来说，用户使用行云管家过程中，用户使用SSH会话、命令控制台等功能时，不可避免会有密码等敏感数据在使用过程中出现。 此前，行云管家会将这些信息直接记录在日志中，而更新版本中，为保障用户数据不被泄露，行云管家特地支持了日志脱敏功能以保障用户使用过程中入到敏感数据的操作。 针对日志脱敏，行云管家在堡垒机中设置了三项，分别包括： 1.SSH会话日志指令脱敏：通过正则表达式，对SSH会话所执行的指令进行匹配，匹配到的指令在会话日志中将进行隐藏。 2.命令控制台命令脱敏：通过正则表达式，对命令控制台所执行的命令进行匹配，匹配到的命令在作业日志中将进行隐藏。 3.脚本控制台参数脱敏：当某些脚本中所执行的参数具有敏感数据时，可以将脚本加入脱敏清单，从而使执行日志中的所有参数进行脱敏。 同时，相关法规有明确要求：日志脱敏后，仍然需要保留原始数据供查阅。 因此，行云管家云堡垒机在权限管理中新增了“查看脱敏日志原始数据”权限，用来设置哪些团队成员允许查看脱敏日志的原始内容。 行云管家云 堡垒机 是产品中投入研发力度最大的最核心的功能，是云计算领域的佼佼者，获得了用户的信赖，我们将持续继续坚持创新，为新老用户提供更优质的服务，为用户云服务保驾护航！