历史版本 V7.4补丁(截止:2024-09-29) V7.4(日期:2024-08-16) V7.3补丁(截止:2024-09-03) V7.3(日期:2023-12-26) V7.2(日期:2023-09-28) V7.1(日期:2023-07-28) V7.0(日期:2023-04-10) V6.5.3(日期:2022-07-06) V6.5.2(日期:2022-05-16) V6.5.1(日期:2022-04-15) V4.26(日期:2022-02-15) V6.5(日期:2021-12-16) V4.25(日期:2021-10-25) V6.4(日期:2021-09-09) V4.24(日期:2021-07-15) V6.3(日期:2021-06-04) V4.23(日期:2021-03-18) V6.2(日期:2021-02-22) V4.22(日期:2020-11-25) V4.21(日期:2020-10-26) V6.1(日期:2020-10-22) V4.20(日期:2020-08-24) V6.0(日期:2020-08-05) V4.19(日期:2020-06-23) V4.18(日期:2020-05-14) V4.17(日期:2020-04-02) V4.16(日期:2020-02-27) V4.15(日期:2019-12-03) V4.14(日期:2019-10-24) V4.13(日期:2019-08-22) V4.12(日期:2019-07-03) V4.11(日期:2019-05-21) V4.10(日期:2019-04-18) V4.9(日期:2019-03-07) V4.8(日期:2018-12-13) V4.7(日期:2018-11-22) V4.6(日期:2018-10-11) V4.5(日期:2018-08-14) V4.4(日期:2018-06-28) V4.3(日期:2018-05-30) V4.2(日期:2018-04-26) V4.1(日期:2018-03-22) V4.0(日期:2018-01-25) V3.8(日期:2017-12-28) V3.7(日期:2017-11-30) V3.6(日期:2017-11-09) V3.5(日期:2017-09-28) V3.4(日期:2017-09-18) V3.3(日期:2017-08-16) V3.2(日期:2017-07-20) V3.1(日期:2017-07-06) V3.0(日期:2017-06-22) V2.8(日期:2017-05-26) V2.7(日期:2017-05-02) V2.6(日期:2017-03-31) V2.5(日期:2017-03-02) V2.4(日期:2017-02-16) V2.3(日期:2017-01-18) V2.2(日期:2016-12-30) V2.1(日期:2016-12-05) V2.0(日期:2016-11-25) Beta4(日期:2016-10-20) Beta3(日期:2016-09-09) Beta2(日期:2016-08-16) Beta1(日期:2016-07-04)

V7.4产品新特性

发布日期:2024-08-16

V7.4版本包括但不限于以下内容:

一、基础架构

1.1、支持高可用主备模式部署

新增高可用主备模式部署,相比K8S集群部署,主备模式所需投入的资源较少,但缺点是资源利用率不高,同时只有一个节点在提供服务,备机只在主节点停止服务时接管。

截止目前,V7版本将支持标准单机部署、高可用部署、K8S集群三种部署模式。

1.2、国际化支持

提供简体中文、繁体中文、英文三种语言的切换,可将语言作为偏好设置首选项进行保存,每个用户在任意终端登录时,均能按照首选语言项显示页面内容。

1.3、非root权限安装

从安全角度而言,应用的容器进程禁止使用root高权限运行,因为一旦有漏洞注入可能带来shell反弹等高优先级风险。由于部分功能(如备份还原、日志归档、日志采集等)需要的权限较高,因此在对上述功能做出调整后,已可以支持非root方式运行。

二、资产运维

2.1、支持纳管达梦数据库

支持国产信创数据库达梦的管理,支持范围包括SQL拦截、SQL审批、数据脱敏、SQL审计;

2.2、应用资产管理的重构

对应用资产的管理进行重大优化,解决以下问题:

1、 参数代填技术方案重构:针对C/S应用代填适配率低、Web应用复杂场景无法代填的问题,新版本予以彻底解决;

2、 增加应用工具的自定义能力:用户可以根据指引,自行发布工具,发布工具时,需要定义代填参数(工具有哪些参数,用作变量)、编写代填脚本,即可完成工具的发布;

3、 应用资产和账号密码解耦:一个应用可以通过属性设置的方式,同时关联多个账号密码,每个账号密码可以分配给某些用户/用户组/部门。对于多用户同时需要使用的一类应用(例如OA),只需要创建一个应用,再配置每个用户的账号密码即可,无需重复创建应用,即减少了应用资产的数量,也降低了管理员的配置管理工作;

4、 数据库应用工具自定义:用户可自行将任意应用工具发布成数据库工具,只需要设置工具代填参数和数据库的访问参数的映射关系即可。

2.3、资产密码查看

为管理员提供一个“查看资产密码”的功能权限,具备此权限的用户可直接在资产详情页面查看资产凭证的明文密码(此操作需要强制性双因子认证),无需在凭证管理中进行导出操作。

2.4、资产密码申请

普通成员在一些特殊情况需要用到主机的账号密码时,由于账号托管的原因,流程复杂。新版本提供的资产密码申请功能,为用户提供了基于工单流程的密码申请流程,成员发起申请工单后,等待工单审批完毕,成员即可获得密码明文,同时为了确保主机的安全,支持一次一密的方式,审批者根据申请者的使用时间,指定密码在某个时间自动执行改密操作,避免密码的泄露。

2.5、资产访问串批量更换

为资产访问串提供批量更换功能,可一次性更换某个资产的全部访问串。支持单独更换密码、单独变更有效期。

2.6、网络管理中支持直接增删网络

在网络管理功能界面,支持直接增删局域网云账户网络;

2.7、申请资产权限时,显示资产名片

在团队成员申请资产权限时,若资产/凭证数量较多,标识性不强,需要通过资产/凭证描述进一步定位对象。本版本提供的资产名片,可以方便申请者确认所选择的对象。

2.8、SSH会话支持按键序列自定义

某些交换机等特殊设备,由于系统的特征,在SSH访问时,删除键和退格键并非标准按键,需要进行自定义映射。

2.9、VNC协议管理优化

对VNC协议访问资产做了以下改进:

1、 本地工具限制:在使用VNC访问资产时,由于各类原生的VNC本地工具不支持会话水印,因此部分用户希望将不支持会话水印的VNC本地工具给屏蔽掉,只允许使用行云堡垒提供的VNC工具。目前行云堡垒提供了TigerVNC和TurboVNC两款支持会话水印的工具;

2、 VNC访问串:若用户不需要开启VNC会话水印,不限制VNC本地工具,可开启VNC访问串功能,将VNC的访问串放到各类工具中使用。

2.10、活跃会话批量监管

管理员在监管团队内活跃会话时,每个会话均是一个独立的浏览器标签页,无法像创建会话一样在一个浏览器标签页中显示。本版本提供了批量监管及批量打开活跃会话的功能,方便管理员一次性的监管全部会话。

2.11、支持导出主机/数据库的描述字段

导出资产信息时,支持将描述字段导出;

2.12、体检中心优化

体检结果概览增加“全部问题”的维度,避免一进到体检中心页面时,容易下意识将第一项“系统安全”当成整体概览;

另外,在某个维度展示问题主机时,默认最多只展示30台主机,避免因主机数量过多引起页面加载缓慢的问题;

三、资源管控

3.1、运维策略支持拖拽方式排序

运维策略优先级调整,支持鼠标拖拽的方式进行排序。

3.2、用户查看自己资产的授权情况

普通用户可直接在资产列表中查看资产的授权情况,区别永久授权和临时授权(图中橙色为临时授权);

四、审计日志

1、对于RDP/VNC这类图形协议,在存储录像时转存为MP4格式,可以大大降低审计日志占用的存储空间;

2、提供审计录像下载,图形协议直接导出MP4格式,利用本地播放器播放;对于SSH/telnet这类字符集命令行协议,直接将审计日志内容保存为一个网页,下载时用浏览器打开本地网页即可;

4.2、SQL审计优化

在某些特定SQL(如delete table),由于清理一个表需要较长时间,管理员发现该SQL存在风险或者时间太久,将其强行中断,SQL未执行完成时,依然会对此条SQL进行记录。

4.3、会话审计日志记录关联工单

在各类会话审计日志中,涉及资产访问审批、指令执行审批、文件传输审批等行为,可以看到审批所关联的工单和实际执行人。

五、工单中心

5.1、移动端第三方应用支持工单审批

在移动终端设备商使用第三方应用接受工单审批消息时,支持移动端直接审批。

5.2、增加凭证密码申请工单

为资产密码申请功能所新增的工单业务类型。

5.3、审批工单可限制客户端IP

为所有业务类型的工单,增加可配置的“客户端IP限制”开关,开启后,若申请者和审批者为同一客户端IP,将被禁止审批,建议此特性仅在内网部署的环境下启用。

5.4、指令审批工单支持双敲复核模式

指令执行审批这一类型的业务工单,可以开启“双敲复核”特性,开启后,会在工单最后节点固定增加一个“复核”节点,复核节点仅支持单用户审批,审批时,需要将申请者所提交的指令完全输入一遍方可审批。

六、管理控制台

6.1、中转选择算法优化

提供通信质量、会话数量、负载均衡三种中转选择算法,通信质量将作为系统缺省算法,管理员可根据需要修改为其它算法,在用户创建会话时,将使用指定的算法选择中转服务。

通信质量:根据目标服务器到中转服务器的通信质量为用户推荐会话中转;

负载均衡:根据每个中转服务器的性能均衡的为用户推荐会话中转;

会话数量:根据每个中转服务器的当前会话数均衡的为用户推荐会话中转;

6.2、CAS协议支持用户属性映射

在CAS协议中,强制使用username作为用户名字段,导致有些非标准CAS无法实现认证,因此需要在CAS协议中支持用户名字段属性映射的自定义。

6.3、SAML2认证兼容Azure

Azure的SAML2认证具有特殊性,本版本在SAML2请求报文中忽略requestedAuthnContext,不限定Password认证方式,使其支持Azure的SAML2认证。

6.4、备份还原、日志归档、日志采集等策略的调整

由于安全性限制,在非K8S集群环境下,将不允许直接在控制台执行备份还原、日志采集、日志归档、访问协议及端口修改等操作,需要登录到服务器上进行手动设置。

在K8S环境下,将仍然支持在控制台进行以上设置。