一、什么是主机运维策略

从安全运维的角度来看,资源授权满足了主机层面的安全管理需求,但是一旦登录到主机后,团队成员便可对该台主机进行任何的操作,如果出现问题,只能通过事后审计来回溯追责。所以我们还需要一种手段,对于一些安全要求更高的主机来讲,即使登录了主机,成员在其中执行的操作,依然处于安全监管之下,对其所执行的高危指令进行拦截,提前防范运维风险。

在行云管家中,我们把这些安全性更高的主机叫做关联设备,我们通过创建主机运维策略组与关联设备进行关联,而将在这些主机上所执行的高危指令的定义以及相应的处理方式叫做主机运维策略。

展开功能模块菜单,选择“安全中心/堡垒机/主机运维控制/运维策略管理”,进入相应的策略功能设置。

二、新增主机运维策略

2.1、创建运维策略

点击“创建主机运维策略”,在弹出的窗口中,输入了策略名称后,点击“创建”即成功创建一个运维策略;

2.2、在运维策略中创建运维子策略

(1)点击进入刚创建的运维策略;

(2)进入该策略后,首先我们需要为这个策略添加相应的子策略,点击“添加新的子策略”;

(3)填写子策略名称等基本信息,点击“下一步”;:

(4)为该子策略关联相关对象,可以选择角色、组织单元(部门)、团队成员,点击“下一步”;:

(5)如果该策略里原来有多个子策略,那么通过拖拽设置这些子策略的优先级(了解子策略优先级 ),点击“下一步”;:

(6)完成子策略创建,关闭向导;

(7)此时我们就可以看到该子策略了,并且还可以陆续添加其他子策略;

2.3、添加主机

您还需要为该运维策略添加关联设备,只有在关联设备列表中的主机,才会受该条运维的影响。

允许跨云账户添加主机,但每台主机只允许添加到一个运维策略中,不能重复添加;

点击“添加”按钮,在弹出来的框里选择要关联的主机,然后点击“确定”;

此时我们就可以看到该策略里已成功关联相关主机;

三、子策略优先级

由于同一个团队成员可能属于多个角色或部门,而一台主机仅可以关联一个策略组,因此可能导致一个用户对运维主机时,对应了多个运维策略。针对这种情况,我们引入的运维策略优先级的概念;当某个成员操作目标主机时,会找出该成员或该成员所属角色或部门,在这台主机所在运维策略中对应的所有的子策略,随后根据优先级,最终选择一个优先级最高的子策略。

您可以通过按住并拖动某个运维策略组中的子策略来调整这些子策略的优先级:

四、运维策略-基本信息设置

运维策略是安全审计的核心功能,在您成功创建了一个子策略之后,您需要对这个子策略进行配置,让运维操作真正的按照您的业务要求规范起来。点击对应子策略的“编辑”按钮,进入子策略的配置界面。

我们可以看到,子策略配置主要包含四个部分:基础信息、功能约束、访问规则以及审批流程;

在“基本信息”里,可以编辑“子策略名称”、“子策略说明”,可以修改“授权对象”;

五、云账户运维策略设置

除了上述在运维策略->主机运维策略里进行运维策略设置外(针对主机进行策略设置),我们还可以对云账户进行云账户的默认授权,此时云账户里的所有主机将会获得默认策略设置,此云账户运维策略的优先级低于运维策略菜单页面的主机运维策略;

如图,点击“基础运维”菜单下的“通用设置”,点击“云账户”,点击您要选择的云账户;

如图,和“运维策略”页面一样,在这里您可以设置云账户的“基础信息”、“功能约束”、“访问规则”以及“审批流程”;