云計算的普及極大地提升了企業(yè)的工作效率，大幅降低了IT基礎設施成本。但如其他行業(yè)一樣，在快速發(fā)展的同時需逐步完善行業(yè)自身體系建設，其中企業(yè)的內(nèi)部監(jiān)管需求更是首當其沖。

企業(yè)內(nèi)控管理中的痛點

在企業(yè)日常的IT系統(tǒng)管理工作中有幾個場景，大家應該很熟悉：

l 多人共同運維一個賬號

小王和小李在同一個工作組，系統(tǒng)管理賬號***，由于工作需要，兩人就一起用這一個賬號。一天一個很早之前的升級導致的bug導致整個業(yè)務半個小時不能正常使用，造成了一次不小的安全事故?？墒怯捎谏墪r間過去了很久，大家也很難定位實際使用者和責任人是誰，導致內(nèi)部存在著較大的安全風險和隱患。

l 一個用戶使用多個賬號

老王是公司的技術工程師，要維護和管理多個主機，每臺主機都用同樣的密碼，但是這樣存在安全風險，一旦一個密碼被破解了其他的服務器密碼也都不保。因此老王之后費力的記憶多套口令去管理主機，管理非常復雜效率也不夠高。

l 權限管理粗放

小陳的公司從創(chuàng)立到逐漸在市場中創(chuàng)出名氣業(yè)務慢慢的做大，服務器的權限分配還是原來的粗放式管理，下面的技術支持都在用root權限訪問生產(chǎn)機，系統(tǒng)安全性無法保證，也容易出現(xiàn)誤操作或者沒有權限的人員隨意翻閱重要數(shù)據(jù)的問題。

l 難以對運維人員操作行為監(jiān)管

維護人員經(jīng)常使用的SSH、RDP等加密、圖形操作協(xié)議沒辦法對之進行內(nèi)容審計，在發(fā)現(xiàn)違規(guī)操作行為和追查取證上就缺乏依據(jù)。

以上這些場景廣泛存在于企業(yè)信息化管理中，為了避免因為運維人員的操作失誤帶來安全問題，給企業(yè)造成損失，企業(yè)選擇使用堡壘機來降低內(nèi)控風險。

UCloud新推出的運維審計系統(tǒng)(即運維堡壘機)為用戶提供了一套運維管理解決方案，使得管理人員可以對云主機進行集中賬號管理、細粒度的權限管理和審計，幫助用戶提升風險內(nèi)控水平。

UCloud提供的安全解決方案

運維型堡壘機最早被廣泛應用于金融、運營商等信息化水平較高且對內(nèi)控水平要求較高的行業(yè)， 伴隨著各行業(yè)企業(yè)信息化水平的廣泛提升，堡壘機的應用也隨之變得更為普遍。堡壘機主要布置在內(nèi)網(wǎng)核心資源的前端，對運維人員的操作行為進行管理、審計。形象的說，運維人員對云主機的訪問需要經(jīng)過堡壘機的翻譯。

圖 1 使用堡壘機之前

圖 2 使用堡壘機之后

UCloud推出的運維審計系統(tǒng)(UHAS)是適用于云平臺的運維堡壘機，是運維人員遠程訪問和審計云主機UHost的跳板機機型。UHAS支持Windows(遠程桌面協(xié)議)、Linux系統(tǒng)(SSH協(xié)議)主流系統(tǒng)及雙因素身份認證。

與傳統(tǒng)堡壘機相比，UCloud安全產(chǎn)品中心-優(yōu)盾此次推出的堡壘機繼承了云計算的特性，在不影響業(yè)務的正常運行的情況下，支持按需獲取，彈性擴容，并且部署簡單，不需要改變網(wǎng)絡拓撲結(jié)構(gòu)，不需要廠商人員過來安裝，不需要改變管理人員和運維人員的操作習慣。此外，UHAS是符合4A安全管理方案的高性能、高安全性的堡壘機，滿足等級保護、分級保護、銀監(jiān)、證監(jiān)、 PCI、企業(yè)內(nèi)控管理、 SOX 塞班斯、 ISO27001等運維管理的法律法規(guī)要求。

功能介紹

單點登錄

單點登錄可以很好的解決賬號管理無序的問題。單點登錄為具有多賬號的用戶提供了方便快捷的訪問途徑，使用戶無需記憶多種登錄用戶ID和口令。管理主機設備的運維人員不需要任何登錄的用戶名和密碼就可以管理主機。

賬號管理

賬號管理是管理員才能夠使用的一項功能，目的在于集中地對主機、賬號、人員進行集中授權。集中賬號管理可以完成對賬號整個生命周期的監(jiān)控和管理，并且降低了企業(yè)管理大量用戶賬號的難度和工作量，大幅提升安全性。第三方運維人員無法獲知設備的密碼信息，強制運維人員通過堡壘機進行系統(tǒng)安全運維。

操作審計

操作審計能夠更好地對賬號的完整使用過程進行追蹤。對于每一次運維訪問會話，系統(tǒng)都會自動記錄訪問時間、源IP、目標IP地址、運維人員賬號、服務器賬號、操作指令等行為日志，同時系統(tǒng)還將以圖形錄像方式完整記錄運維人員的操作行為。事后管理員能夠以視頻方式對整個操作過程進行回放，真正實現(xiàn)對操作內(nèi)容的完全審計。

UHAS，你不可或缺的“內(nèi)網(wǎng)安全伙伴”

在云計算的背景下提升企業(yè)的風險內(nèi)控水平，需要的不僅是制度，更是一個能解決問題的工具，并且這個工具具備云計算的優(yōu)勢：便捷的、按需的網(wǎng)絡訪問，能夠被快速提供的資源，只需要投入很少的管理工作，與傳統(tǒng)設備相比大幅降低的成本。

UCloud運維堡壘機UHAS助力企業(yè)實現(xiàn)“系統(tǒng)運維——運維審計——運維核查——整改追責”的整個系統(tǒng)安全運維過程的閉環(huán)管理，成為企業(yè)內(nèi)網(wǎng)安全建設必不可少的一員。