云堡垒机相关概念以及应用场景详细介绍

云堡垒机相关概念

云堡垒机实例

一个云堡垒机实例对应一个独立运行的云堡垒机系统，用户登录云堡垒机控制台管理实例。只有创建了云堡垒机实例后，才能登录云堡垒机系统，实现安全运维管理与审计。

单点登录

单点登录（Single Sign On，SSO）是指在多个独立应用系统环境下，各个应用系统相互信任，在一个应用系统中将用户认证信息映射到其他系统中，多个系统共享用户认证数据。简言之，即用户通过登录一个应用系统，就可以访问其他所有相互信任的应用系统，实现用户单点多系统登录。

资产数

资产数是指云堡垒机管理的云服务器上运行的资源数，同一台云服务器上对应有多个需要运维的协议、应用等资源。

例如，目前有一台云服务器，在云堡垒机中添加这台云服务器的资源，分别添加了2个RDP、1个TELNET和1个MySQL协议的主机资源，以及1个Chrome浏览器的应用资源，则当前管理的资产数即为5，而不是1。

并发数

并发数是指云堡垒机上同一时刻连接的运维协议连接数。

例如，10个运维人员同时通过云堡垒机运维设备，假设平均每个人产生5条协议连接（例如通过SSH、RDP等协议进行远程连接），则并发数等于50。

云堡垒机应用场景

1、内部人员操作的安全隐患

随着企业信息化进程不断深入，企业的业务系统变得日益复杂，由内部员工违规操作导致的安全问题变得日益突出起来。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题，但对于内部人员的违规操作却无能为力。云堡垒机在运维过程中，通过事前预防、事中控制和事后审计，有效减少内部人员操作的安全隐患。

2、第三方维护人员安全隐患

企业在发展的过程中，因为战略定位和人力等诸多原因，越来越多的会将非核心业务外包给设备商或者其他专业代维公司。如何有效地监控设备厂商和代维人员的操作行为,并进行严格的审计是企业面临的一个关键问题。严格的规章制度只能约束一部分人的行为，只有通过严格的权限控制和操作审计才能确保安全管理制度的有效执行。云堡垒机在运维过程中，通过事前预防、事中控制和事后审计，有效减少第三方维护人员安全隐患。

3、高权限账号滥用风险

因为种种历史遗留问题，并不是所有的信息系统都有严格的身份认证和权限划分，权限划分混乱，高权限账号（比如root账号）共用等问题一直困扰着网络管理人员，高权限账号往往掌握着数据库和业务系统的命脉，任何一个操作都可能导致数据的修改和泄露，最高权限的滥用，让运维安全变得更加脆弱，也让责任划分和威胁追踪变得更加困难。云堡垒机通过建立“自然人-资源-资源账号”关系，实现统一认证和授权。

4、违规行为无法控制的风险

网络管理员总是试图定义各种操作条例，来规范内部员工的网络访问行为，但是除了在造成恶性后果后追查责任人，没有更好的方式来限制员工的合规操作。事后追查时又没有有效证据，只能是亡羊补牢，损失已经造成。云堡垒机通过建立“自然人-操作-资源”关系，实现操作审计和控制。