运维干货

图片3

企业应该如何做好云上安全运维?

RightScale2019年云状态报告显示,全球企业中有84%的采用了多云战略,其中,使用混合云的企业比例由2018年的51%增长到2019年的58%。时至今日,企业用云已不再是单一的公有云或私有云,多云、混合云并存的用云状况已是常态,企业做好云上安全运维之时,需要考虑到在多云、混合云状态下的运维安全工作。 据统计,70%的安全事故来自企业内部运维管理不善导致。从管理的角度出发,加强运维设备防护、强化运维人员监管才是防范企业信息泄露事件发生的根本举措。 针对这种情况,部署堡垒机是解决运维过程中此类信息安全事故的最佳方法,作为信息安全的保障利器,堡垒机本质上就是解决IT运维过程的安全、可控与合规的问题。堡垒机作为承担着类似服务器看门人的角色,它可以提供“事前授权、事中监察、事后审计”等完整的运维闭环。 云计算时代下,传统的硬件堡垒机、软件堡垒机已不再适用,云化的堡垒机才是业界的主流,不同于传统硬件型和网络结构侵入型堡垒机,在这里向大家介绍SaaS形态的行云管家堡垒机,支持一键部署,多云、混合云统一纳管,开箱即用,在全面保障企业运维安全的同时,也极大的提高了企业安全运维的管理效率,降低了运维成本,此外还提供云计算资源全生命周期的管理。 行云管家对主机最近24小时的运行数据进行分析与挖掘,从系统安全、网络安全、性能负载、趋势预测四个维度分析主机的运行状况,并对主机进行防火墙、端口与漏洞检测,并提供安全处置措施和建议,同时生成体检报告供备案及安全分析,真正做到防患于未然。 直接体验: 行云管家堡垒机

2020年12月24日 · 行云管家
PC-快捷方式社区缩略图

【最佳实践】企业内网安全解决方案

一、 为什么要关注企业内网安全? 随着云计算与大数据技术的日渐成熟,IT已经成为企业业务的核心支撑,并即将成为企业业务创新的核心驱动力。因此,信息安全成为了企业安全的重中之重。绝大部分的企业都会建立企业内网并部署防火墙,由于网络的天然隔离性以及防火墙的存在,大部分的安全事故并非由外部入侵导致,因此,我们更应该关注的是“企业内网安全”。 企业内网安全分为“客户端安全”与“服务器端安全”两大组成部分。 1.1 客户端安全 客户端安全是一个很容易被大家忽视的问题,随着用户越来越多的把隐私毫无保留的交给各式各样的APP,作为客户端开发者,企业通常会从三个维度保障用户信息安全,以防止数据泄露。一是事前防护,文档透明加密,二是事中控制,流通渠道管控,三是事后审计,内容级行为审计。 1.2 服务器端安全 有数据表明,70%以上的安全事故来自企业内部的运维管理,这意味着内网安全管理首先要解决的是服务器端安全。 当企业的IT资产越来越多,当参与运维的岗位越来越多,企业运维管理变得日益复杂,如果没有一套好的机制,就会产生运维混乱与失控,一旦产生服务器端安全事故,企业将遭受巨大损失;另一方面,国内外相关法规均对企业信息管理提出了内控与审计的明确要求。 那么如何解决服务器端安全问题呢?行云管家堡垒机帮助企业满足IT可控运维与安全审计的诉求,以解决企业内网的服务器端安全问题。 二、 行云管家 堡垒机 解决方案 传统堡垒机在用户和IT资产之间建立一套运维审计系统,但随着云计算逐渐发展成为企业IT架构的基础设施,传统堡垒机很难适应云的变化,行云管家堡垒机作为行云管家多云管理平台的核心,与生俱来的带有拥抱云计算的基因。作为传统堡垒机的功能超集,其承担着用户管理IT资产的运维中枢、会诊平台、黑匣子等功能职责。 2.1 作为运维中枢 作为运维中枢,行云管家从管理协议、管理工具、文件传输等各层面为用户提供了强有力的支撑,在不改变运维人员习惯的前提下,帮助用户高效的完成运维工作。 2.1.1 支持主流管理协议 行云管家堡垒机支持RDP、SSH、VNC、Telnet、FTP/SFTP等多种主要的服务器管理协议,以及Oracle、MySQL、SQLServer等主流数据库。 2.1.2 支持多种管理工具 行云管家堡垒机支持基于HTML5的Web桌面访问、本地工具、移动化运维等多种管理工具方式: 基于HTML 5 的Web桌面访问 行云管家堡垒机提供基于B/S架构的Web桌面访问能力,只需要一个浏览器即可访问目标设备。现阶段,行云管家支持的浏览器有:Chrome、FireFox、Edge、Safari、IE11等主流浏览器。 本地工具访问 考虑到运维人员的使用习惯,行云管家堡垒机提供了基于本地C/S客户端工具的访问方式,能够让本地客户端工具在行云管家堡垒机体系内透明地访问目标设备,并同样具备云端录像等全程审计的特性。现阶段行云管家支持的本地工具有:mstsc、Putty、SecureCRT、Xshell、WinSCP、FileZilla等。 移动化运维 行云管家堡垒机从用户需求出发,以方便的信息获取及操作交互为导向,支持平板、手机、微信小程序等智能终端,带来了极致的用户体验。 2.1.3 运维策略 支持针对不同用户、不同的目标设备,定义不同的运维策略,用户可根据运维要求,定制多种场景的运维策略,满足各种个性化的应用场景,使用户在安全性与灵活性之间取得平衡。 2.1.4 服务器密码策略 通过行云管家提供的服务器密码策略,可实现服务器密码的托管,具体包含以下功能: 支持对主机的密码/密钥登录,对主机进行批量自动改密 支持对主机进行密码强度策略,批量密钥下发 2.1.5 自动化运维 行云管家堡垒机内置了业界知名的 SaltStack 脚本库,并支持用户新建自定义脚本,能够批量对主机执行脚本、命令,以及将文件批量分发至目标主机、批量从多台主机采集文件,实现对多台主机的各种批量运维操作。 命令控制台: 对多台主机批量执行命令 脚本控制台: 对多台主机批量执行指定脚本,并支持脚本的自定义 文件分发与采集 : 将文件批量分发到指定主机,或将指定主机的文件采集到指定位置 任务编排与执行 : 将需要执行的作业流程化、模版化,并可指定规则按需执行 2.1.6 运维报表 依据不同用户不同的操作类型,向管理员展现企业内所有操作的纳要性汇总视图。 2.1.7 主机轨迹 以主机的视角展现企业内所有成员对指定主机的所有操作行为 2.1.8 用户轨迹 以用户的视角展现该用户对IT资产进行的所有操作行为 ...

2020年7月15日 · 行云管家
社区-PC-文章缩略图-双因子认证在 行云管家中的应用实践

【最佳实践】双因子认证在行云管家中的应用实践

一、 什么是 双因子认证 双因子认证,也称为双因素认证,是指使用两种独立不相干的证据来证明当前用户身份。通常而言,我们登录一个IT系统的首选认证方式是用户名和密码,但显然,单靠用户名和密码是不够的,我们还希望同时验证用户另外一种独立不相干的证据,当这两种都匹配时,我们才认为用户的身份验证成功,这就是双因子认证的典型用户场景。 二、 双因子认证在行云管家中的应用场景 场景一:当用户登录行云管家门户时,可以设置强制用户每次登录都要进行双因子认证,也可以让系统默认在某些敏感操作时刻才进行双因子认证(如用户异地登录时); 场景二:当用户在设置主机运维策略时,针对主机的一些敏感操作,一旦某个敏感操作触发了双因子认证且用户成功认证后,会在后续一定时间内(可配置,默认30分钟)不再触发双因子认证以避免影响用户操作体验。 三、 双因子认证在行云管家中的三种认证方式 行云管家支持以下三种双因子认证方式,三种方式可任选其一或多种并存。 方式一:手机短信验证码 手机短信认证方式是最容易理解,前提是用户需要在行云管家门户中绑定自己的手机号。一旦触发双因子认证,行云管家会向用户的手机推送一条验证码,用户需要在5分钟之内在行云管家门户中输入正确的验证码,才能够完成认证。 使用手机短信验证码的前提是需要在行云管家中开启短信网关。 方式二:OTP动态口令 OTP原意是指动态口令(One-Time Password),在行云管家中被特指为一种基于时间同步的动态口令生成算法,一旦开启基于OTP的双因子认证,用户需要在行云管家的个人资料中激活OTP动态令牌。 方式三:第三方应用(微信、钉钉、企业微信) 行云管家支持的第三方应用最主要有:微信公众号、钉钉、企业微信等。 一旦触发双因子认证,行云管家会向用户的手机应用推送一条验证码,用户需要在5分钟之内在行云管家门户中输入正确的验证码才能够完成认证。 使用第三方应用验证码的前提是需要在行云管家管理控制台中配置第三方应用,用户在行云管家门户的个人资料中绑定第三方应用。 四、三种双因子认证方式的对比: 手机短信验证码、OTP动态口令、第三方应用验证码三种双因子认证方式在配置复杂度和使用成本上的对比如下图所示: 通过行云管家双因子认证保证使用者安全访问IT资源,即便出现他人盗号、用户密码泄露等重大安全事件,非法访问者仍然“无计可施”,有效避免了由此给公司造成的不必要损失,保证了企业的数据安全。 直接体验: yun.cloudbility.com

2020年7月3日 · 行云管家
社区-PC-文章缩略图-数据库运维审计解决方案

【最佳实践】行云管家数据库运维审计解决方案

一、 为什么企业需要数据库运维审计? 数据库作为现代IT业务系统中必不可少的核心组成部分,对于企业来说,数据库通常都保存着内部至关重要的信息,随着互联网的急速发展,企业数据库信息的价值及可访问性得到了很大提升,导致数据库的安全风险大大增加,企业在对数据库日常运维的过程中经常会面临如下一些问题: 运维工程师以怎样的账号身份访问哪些数据库?这些访问信息一旦泄露如何处理? 如何避免工程师在执行SQL语句时出现误操作或者恶意操作? 如何在不影响工程师正常工作的基础上对核心业务的敏感数据进行脱敏? 如何将每个工程师的所有操作全部记录下来,以供日后出现问题时可以回溯追责? 由此,企业急需一套数据库运维审计产品以保证企业内部数据库信息安全。 二、 行云管家数据库运维审计解决方案 针对以上痛点问题,行云管家为企业提供了完整的数据库安全运维解决方案。 2.1 行云管家数据库运维审计的主要特性 支持云端与本地数据库 行云管家支持业界所有主流数据库,包括本地数据库与公有云的云端数据库; 访问信息托管 可在行云管家中托管数据库的访问信息,杜绝非法访问并避免真实访问信息的泄露; SQL指令拦截 支持SQL指令拦截,可设置敏感指令拦截规则,避免误操作与非法操作 敏感数据脱敏 支持对数据量的敏感业务数据进行脱敏,避免信息泄露 SQL指令审计 支持云端录像与SQL指令审计记录,出现啊问题可回溯追责 2.2 行云管家数据库运维审计实现原理 本质上,行云管家数据库运维审计是一种基于协议代理与拦截的机制。在行云管家中,用户并不会访问到真实数据库,而是通过访问行云管家数据库代理服务(内置在行云管家proxy和会话中转服务模块)从而完成SQL指令拦截、数据脱敏、指令审计等特性。 2.3 数据库协议代理与拦截 基于数据库协议进行代理与拦截,意味着我们需要非常了解数据库的底层通讯协议,但大部分商业数据库的通讯协议是私有的,经过行云管家研发团队的不懈努力,目前我们已经支持的主流数据库如下表所示; 2.4 支持SSL加密通信 运维工程师通过行云管家运维管理数据库时,支持SSL加密通信,这意味着即便在企业内部通过互联网运维管理公有云环境中的云端数据库时(如阿里云RDS),也不会产生信息泄露。 2.5 数据库访问串 用户访问的是行云管家数据库代理服务而不是真实的数据库,行云管家会为每个用户生成一个特定的数据库访问串,数据库访问串包括IP地址、端口、用户名、密码等基础的数据库连接信息。 用户通过数据库访问串而不是真实的数据库访问信息,如果访问串泄露直接更换新的即可,不会产生数据库真实访问信息的泄露。 2.6 不限制客户端工具 用户通过数据库访问串使用哪种客户端工具访问数据库,行云管家没有任何限制,同时,行云管家还支持在web浏览器中对本地客户端工具的一键唤醒,并支持客户端供给的密码代填。 2.7 访问方案 可在行云管家中定义不同的访问方案,对数据库进行访问。 2.7.1 访问方案之访问规则 可在行云管家访问规则中定义允许用户访问数据库时的访问时段、客户端IP限制,以及允许使用的数据库工具;可对数据进行脱敏,定义针对哪些表格的那些特定字段进行脱敏;定义敏感指令规则; 2.7.2 访问方案之数据脱敏 可在行云管家“数据脱敏”中定义针对哪些表格的那些特定字段进行脱敏,一旦设置生效,当用户检索该字段信息时,将会以“**MASKED**” 代替真实内容; 2.7.3 访问方案之SQL指令拦截 可在行云管家“SQL拦截”中定义敏感指令规则,当用户的SQL操作触发拦截规则时,可以中断用户的操作并予以提醒,甚至可以强行中断用户当前的数据库连接并禁止后续访问; 2.8 数据库活跃会话 可在行云管家中查看生成的所有访问串并可决定是否予以禁用,从而禁止用户的继续访问,可在行云管家中查看当前数据库的所有活跃会话,并可决定是否强制结束; 2.9 SQL指令记录 通过行云管家运维管理数据库时,用户所有的SQL操作均会被全程记录,另外,行云管家还支持云端录像功能,可以满足用户对运维过程全程云端录像需求。这意味着一旦出现问题,可随时回溯追责。 数据库运维审计的核心价值不仅是在发生数据库安全事件后,为追责、定责提供依据,还可以针数据库操作的风险行为进行实时告警。行云管家为企业提供完整的数据库安全运维解决方案,帮助企业有效规避数据库的安全风险,保障资源安全。 直接体验: yun.cloudbility.com

2020年6月19日 · 行云管家
03-行云管家-专业云计算服务提供商

面对海量资产运维的行云管家应对之道

随着互联网和云计算的发展及企业业务创新的需要,企业的IT资产越来越多,参与运维的岗位也越来越多样,当IT资产和运维团队达到一定规模时,对IT资产的日常管理和运维过程都会变得复杂且混乱。由此,海量资产的运维成为了企业急需解决的问题。 本文将通过一个具体的实例,介绍面对海量资产运维的行云管家应对之道。 案例介绍: 某知名银行的金融科技公司,下设架构部、基础运维组以及100多个FT项目组,架构部与基础运维组合合计20多人,100多个FT项目组共有800多人。其中,架构部与基础运维组负责云计算IaaS的选型与基础运维,FT项目组负责具体IT业务系统的研发工作,如手机银行、微信小程序等。 该银行IaaS基础设施采用的是私有云与公有云的混合云模式,私有云包括一套基于OpenStack的实例,和一套基于微软Azure的私有实例(以下简称微软落地云),共计3000多台主机资源,公有云主要采购了阿里云、华为云、腾讯云三家公有云厂商,共计2000多台主机资源。 痛点分析: 如此海量的IT资产和用户给该银行的运维造成了非常大的困扰。其运维过程中主要的业务痛点分析如下: 主机来源多样性: 如何做到不同云厂商的统一纳管,并做到云资源的自动发现? 主机类型多样性: 如何根据主机的类型与用途快速的定位主机? 主机资源数量多: 如何按照用户的业务视角展现主机资源并做到快速的查找主机? 数据隔离: 如何做到不同FT项目组之间的业务数据有效隔离? 权限管理: 如何做到针对主机资源的精细化授权与动态授权? 因此,该银行希望采购一套 堡垒机 产品,以使得面对海量IT资产和用户,既能保证运维管理云资源过程合规、安全,又能达到轻松运维,提高运维效率。 行云管家解决方案 面对海量IT资产的运维和众多用户的管理,行云管家研制了一套针对性的解决方案,既满足了安全管理需求,也实现了高效运维,在安全与效率之间取得了平衡。 针对上述银行所面临的痛点,行云管家给出了如下解决方案: 如何 应对 主机来源多样性,做到不同云厂商的统一纳管,并做到云资源的自动发现? 行云管家支持业界所有的主流的公有云厂商及OpenStack、VMware、ZStack等私有云厂商,这意味着针对这些云厂商可通过OpenAPI完成一键导入、自动纳管; 针对普通的局域网主机、网络设备、存储设备等,行云管家支持通过IP扫描或者Excel表格方式完成批量导入; 针对可通过OpenAPI对接的云资源,行云管家支持按照一定的时间周期扫描云资源的变化,并进行自动同步。 如何应对主机类型多样性,根据主机的类型与用途快速的定位主机? 在行云管家中,可通过标签完成对主机信息的自定义扩充,这意味着可以灵活地展现主机的类型、用途、归属部门、所属区域等各个用户自定义信息; 当用标签对主机进行标注后,在行云管家内可通过标签完成对主机的筛选与快速定位。 如何应对 主机资源数量多,按照用户的业务视角展现主机资源并做到快速的查找主机? 针对主机列表,行云管家提供了“按网络”、“按标签”、“按分组”三种视角进行展现; 所谓“按分组”进行展示,本质上是按照用户期望的业务视角构建一棵业务树,并将主机资源挂到业务树相应的节点; 同时,行云管家提供了一键唤醒的主机全文检索能力。 如何做到不同FT项目组之间的业务数据有效隔离? 当主机数量与用户数量过多时,再好的授权模型也很难克服日常管理的复杂度; 此时,对主机与用户进行“基于租户的数据隔离”是一种最直接、最有效的手段; 行云管家运营班支持在一个行云管家运行实例中创建多个租户(团队)的能力,每个租户之间的业务数据是完全隔离的。 如何做到针对主机资源的精细化授权与动态授权? 行云管家的授权模型是“基于角色权限控制系统”,但在此基础上做了大幅优化与增强 在行云管家中,可对组织单元授权、对角色授权、或直接对用户授权; 从功能权限上来说,行云管家现有22个功能模块,130多个功能权限,这意味着在行云管家中能够控制的功能颗粒度是足够精细的; 从云资源授权上来说,对云资源进行授权本质上是一种动态授权; 从分组授权上来说,分组授权既构建了基于用户视角的业务树,也完成了对资源进行分组,并通过分组进行授权。 总结: 面对海量IT资产的运维及众多用户的管理,行云管家堡垒机为IT管理者提供更高、更全面而细致的安全管理视角,为IT运维工程师授予合适粒度权限,更为运维工程师带来了丰富便捷的运维手段和极致的操作体验。 直接体验: yun.cloudbility.com

2020年6月12日 · 行云管家