行云堡垒V7.4新特性
行云堡垒 V7.4版本包括但不限于以下内容: 一、 基础架构 1.1 支持高可用主备模式部署 新增高可用主备模式部署,相比K8S集群部署,主备模式所需投入的资源较少,但缺点是资源利用率不高,同时只有一个节点在提供服务,备机只在主节点停止服务时接管。 截止目前,V7版本将支持标准单机部署、 高可用部署、K8S集群三种部署模式。 1.2 国际化支持 提供简体中文、繁体中文、英文三种语言的切换,可将语言作为偏好设置首选项进行保存,每个用户在任意终端登录时,均能按照首选语言项显示页面内容。 1.3 非root权限安装 从安全角度而言,应用的容器进程禁止使用root高权限运行,因为一旦有漏洞注入可能带来shell反弹等高优先级风险。由于部分功能(如备份还原、日志归档、日志采集等)需要的权限较高,因此在对上述功能做出调整后,已可以支持非root方式运行。 二、 资产运维 2.1 支持纳管达梦数据库 支持 国产信创数据库达梦 的管理,支持范围包括SQL拦截、SQL审批、数据脱敏、SQL审计; 2.2 应用资产管理的重构 对应用资产的管理进行重大优化,实现以下改进: 参数代填技术方案重构:针对C/S应用代填适配率低、Web应用复杂场景无法代填的问题,新版本予以彻底解决; 增加应用工具的自定义能力:用户可以根据指引,自行发布工具,发布工具时,需要定义代填参数(工具有哪些参数,用作变量)、编写代填脚本,即可完成工具的发布; 应用资产和账号密码解耦:一个应用可以通过属性设置的方式,同时关联多个账号密码,每个账号密码可以分配给某些用户/用户组/部门。对于多用户同时需要使用的一类应用(例如OA),只需要创建一个应用,再配置每个用户的账号密码即可,无需重复创建应用,即减少了应用资产的数量,也降低了管理员的配置管理工作; 数据库应用工具自定义:用户可自行将任意应用工具发布成数据库工具,只需要设置工具代填参数和数据库的访问参数的映射关系即可。 2.3 资产密码查看 为管理员提供一个“查看资产密码”的功能权限,具备此权限的用户可直接在资产详情页面查看资产凭证的明文密码(此操作需要强制性双因子认证),无需在凭证管理中进行导出操作。 2.4 资产密码申请 普通成员在一些特殊情况需要用到主机的账号密码时,由于账号托管的原因,流程复杂。新版本提供的资产密码申请功能,为用户提供了基于工单流程的密码申请流程,成员发起申请工单后,等待工单审批完毕,成员即可获得密码明文,同时为了确保主机的安全,支持一次一密的方式,审批者根据申请者的使用时间,指定密码在某个时间自动执行改密操作,避免密码的泄露。 2.5 资产访问串批量更换 为资产访问串提供批量更换功能,可一次性更换某个资产的全部访问串。支持单独更换密码、单独变更有效期。 2.6 网络管理中支持直接增删网络 在网络管理功能界面,支持直接增删局域网云账户网络; 2.7 申请资产权限时,显示资产名片 在团队成员申请资产权限时,若资产/凭证数量较多,标识性不强,需要通过资产/凭证描述进一步定位对象。本版本提供的资产名片,可以方便申请者确认所选择的对象。 2.8 SSH会话支持按键序列自定义 某些交换机等特殊设备,由于系统的特征,在SSH访问时,删除键和退格键并非标准按键,需要进行自定义映射。 2.9 VNC协议管理优化 对VNC协议访问资产做了以下改进: 本地工具限制:在使用VNC访问资产时,由于各类原生的VNC本地工具不支持会话水印,因此部分用户希望将不支持会话水印的VNC本地工具给屏蔽掉,只允许使用行云堡垒提供的VNC工具。目前行云堡垒提供了TigerVNC和TurboVNC两款支持会话水印的工具; VNC访问串:若用户不需要开启VNC会话水印,不限制VNC本地工具,可开启VNC访问串功能,将VNC的访问串放到各类工具中使用。 2.10 活跃会话批量监管 管理员在监管团队内活跃会话时,每个会话均是一个独立的浏览器标签页,无法像创建会话一样在一个浏览器标签页中显示。本版本提供了批量监管及批量打开活跃会话的功能,方便管理员一次性的监管全部会话。 2.11 支持导出主机/数据库的描述字段 导出资产信息时,支持将描述字段导出; 2.12 体检中心优化 体检结果概览增加“全部问题”的维度,避免一进到体检中心页面时,容易下意识将第一项“系统安全”当成整体概览; ...
