堡垒机的作用与选型经验

堡垒机是可以集中帐号管理，建立基于唯一身份标识的全局实名制管理，支持统一账号管理策略，实现与各服务器、网络设备等无缝连接。 集中访问控制：通过集中访问控制和细粒度的命令级授权策略，基于最小权限原则，实现集中有序的运维操作管理，让正确的人做正确的事。 集中安全审计：基于唯一身份标识，通过对用户从登录到退出的全程操作行为进行审计，监控用户对目标设备的所有敏感操作，聚焦关键事件，实现对安全事件地及时发现预警，及准确可查。在移动办公访问相关应用系统的时候,会涉及到把本地的文件传到应用系统中,比如发送邮件的时候,需要带上附件,鉴于安全考虑,必须对上传的文件进行相关的审核,针对这一情况,在低安全域设置一台从文件服务器，在高安全域增加一台主文件服务器,并对文件服务器进行策略设置,使移动办公人员只能看到自己的文件夹，沟通安全接入堡垒机仅调用高安全域的主文件服务器。  用户权限管理,实行权限分立，加强沟通安全接入堡垒机安全可靠性。具体的策略包括：配置管理实行了三权分立，不存在超级权限的管理员，管理员分为三角色，配置管理员、操作系统管理员、审计管理员;移动办公人员的账号创建在虚拟应用服务器上，且为匿名用户;堡垒机没有移动办公人员账号，只有配置管理员、操作系统用户;堡垒机配置管理认证需通过配置管理员和操作系统两层身份认证;应用系统用户(如OA协同办公系统)是内部网管理，完全与沟通安全接入堡垒机的用户无关，且沟通安全接入堡垒机与内部网有网闸进行隔离，使移动办公人员无法通过沟通安全接入堡垒机篡改应用系统用户权限。

转载于天翼云，如有侵权，请联系删除，谢谢