堡垒机¶
产品介绍¶
堡垒机(APPID: bastion)是OpsAny的一款支持4A审计的统一安全运维平台,为企业提供集中的账号(Account)、授权(Authorization)、认证(Authentication)和审计(Audit)管理支撑。OpsAny 堡垒机提供HTML5的访问方式,无需安装任何客户端和浏览器插件,在Windows、Linux、MacOS、Android、IOS等操作系统上通过主流浏览器均可实现对资源的访问和操作,让运维人员脱离运维工具和操作系统束缚,随时随地安全运维。
OpsAny Bastion提出了堡垒机无处不在的理念,将堡垒机的入口扩展到了资源、管控、监控、云管等OpsAny其它平台,在任何和主机相关的操作时,你都可以点击【登录】进入到堡垒机的页面中,快速开始手工管理和调试。
基本概念¶
资源
资源管理有主机资源和数据库资源,也就是你需要登录和管理的对象,你必须先创建资源才能进行后续的操作。
凭证
你需要登录某个资源需要提前创建好登录凭证,例如用户名和密码、或者SSH证书。这个凭证和资源(主机或数据库)做关联。一个资源可以关联多个凭证。例如一个主机有多个登录用户。一个凭证可以关联多个资源,例如有多台主机它的用户名和密码是一致的。
策略
策略分为访问策略和命令策略,总体来说,管理员通过策略授权将主机和数据库、用户和用户组、资源和凭证进行关联,设置用户在什么时间范围,具体什么时间,以什么(身份)凭证登录到什么的主机或者数据库。
默认情况下,管理员角色的用户是不需要创建授权策略的,默认可以看到所有的资源。管理员不需要自己给自己授权。
审计
审计可以让管理员查看用户登录后的操作情况。Linux支持操作回放和命令文本展示和输出。Windows支持操作回放,(注:Windows回放是视频格式,占用磁盘空间较大,Linux为自定义的文本格式实现录像的效果,占用磁盘空间很小)
登录
以上所有的功能均是提供为管理员角色使用的,给普通用户授权时,应该仅授权"安全运维"菜单下的页面,当管理员通过访问策略给用户授权主机时,用户可以在授权主机看到已经授权的主机,点击登录即可打开操作界面。
一、资源管理¶
为了测试和使用堡垒机的功能,请先创建一个非管理员的普通用户,方便进行资源的授权操作和测试。
1.1 主机资源¶
主机资源主要用于管理员添加主机资源,正确使用方式是主机资源这个菜单是管理员使用的,授权主机这个菜单是非管理员使用的,具体菜单的权限控制是在统一权限的权限策略里面可以进行设置。
创建主机
-
创建主机资源:进入主机资源列表页面,点击页面右上角【新建】按钮,打开新建主机页面后完成主机创建操作。
-
导入主机资源:在页面右上角【导入主机】按钮处点击【资源平台导入】按钮,打开资源平台导入页面后完成物理机、虚拟机、云主机等主机资源的导入操作。
默认支持三种方式添加主机的登录凭证:
- 立即添加,使用此方式同时会在凭证管理里面创建凭证。
- 以后添加,是指只添加主机,先不添加登录凭证,随后再添加。
- 添加已有,是指选择已经创建好的凭证来使用。
支持从资源平台添加导入主机,方便用户的管理和使用。
登录主机
- 登录主机:点击页面右侧的【登录】按钮,打开登录弹框,选择可登录的资源凭证,点击确定按钮即可登录。
1.2 数据库¶
数据库资源用于通过堡垒机直接登录数据库,目前支持MySQL、MongoDB、Redis。
创建数据库
- 创建数据库:进入数据库列表页面,点击页面右上角【新建】按钮,打开新建数据库页面之后完成数据库创建操作。
登录数据库
- 登录数据库:点击页面右侧的【登录】按钮,打开登录弹框,选择可登录的资源凭证,点击确定按钮即可登录。
1.3 网络设备¶
通过SSH、Telnet协议管理网络设备资源。
创建网络设备
- 创建网络设备:进入网络设备列表页面,点击页面右上角【新建】按钮,打开新建网络设备页面之后网络设备的创建操作
登录网络设备
- 登录网络设备:点击页面右侧的【登录】按钮,打开登录弹框,选择可登录的资源凭证,点击确定按钮即可登录。
二、凭证管理¶
堡垒机提供密钥和密码管理功能。您可以创建密钥和密码并将密钥或者密码关联到主机资源的主机中,提高管理主机账户的效率。您也可以更改密钥和密码的基本信息,增删关联主机账户,更好地满足运维需求。本文介绍如何创建和编辑密钥和密码。
2.1 密码凭证¶
密码凭证支持自动登录和手工登录,手工登录在登录时,需要用户手工输入密码。一个密码凭证支持关联多个主机资源和应用资源。
- 创建密码凭证:根据页面字段信息填写相关内容完成操作
自动登录和手动登录的区别是需要输入密码。关联资源同时支持关联主机资源、数据库资源、网络设备资源这三种。
2.2 SSH密钥凭证¶
SSH密钥凭证支持设置密码,需要提前创建好密钥对,将私钥填写到SSH凭证中,将公钥放置在目标主机对应用户家目录的.ssh/authorized_keys文件中。
- 创建密钥凭证:根据页面字段信息填写相关内容完成操作,这里填写的SSH的私钥。
关联资源同时支持关联主机资源、数据库资源、网络设备资源这三种。
2.3 凭证分组¶
将凭证进行分组管理后可以直接关联到访问策略和命令策略,适用于多账户同时关联场景。
- 创建凭证分组:根据页面字段信息填写相关内容完成操作
添加凭证同时支持添加密码凭证和SSH密钥凭证两种。
三、权限策略¶
3.1 访问策略¶
访问控制策略用于控制用户访问资源的权限。策略基本限制和授权功能,包括使用有效期、登录时段限制、用户IP限制、文件传输权限、文件管理权限、RDP剪切板功能等维度。同时可通过关联用户组或帐户组,批量授权访问控制权限。
创建访问策略
第一步:基础信息配置
- 有效期:指该策略的使用有效期,仅在限定时间内有效。
- 登录时段限制:指该策略的限定使用时间范围。
- IP限制:指该策略限制指定来源IP地址的用户访问资源。
- 文件传输:指该策略允许或禁止使用文件传输,即上传或下载资源文件的权限。
第二步:关联用户/用户组配置
第三步:关联资源凭证配置
访问策略创建时需注意访问时间的设置,避免验证策略时出现不通过的情况。
3.2 命令策略¶
命令控制策略用于控制用户访问资源的关键操作权限,实现Linux主机运维操作的细粒度控制。
命令控制策略支持以下功能项:
- 允许执行:触发该策略规则后,放行命令操作。默认允许执行所有操作。
- 拒绝执行:触发该策略规则后,拒绝执行该命令,界面提示“命令“xxx”已被拒绝”。
- 有效期:指该策略的使用有效期,仅在限定时间内有效。
创建命令策略
第一步:基础信息配置
第二步:关联命令或命令组
第三步:关联用户或用户组
第四步:关联资源凭证
四、审计管理¶
4.1 在线会话¶
运维人员通过堡垒机登录资源后,审计管理员将会实时收到会话记录,通过实时会话查看正在进行的运维会话,以免运维违规操作造成损失。
4.2 历史会话¶
运维人员通过堡垒机登录资源运维结束后,审计管理员将会收到历史会话记录。通过历史会话记录,可查询详细的操作记录,在线审计历史会话。
4.3 审计历史¶
运维人员登录堡垒机系统,执行配置权限、审计管理等操作后,审计管理员将会收到系统命令日志记录。通过系统日志记录,可查询详细的系统登录和操作记录,在线审计系统操作日志。
4.4 操作日志¶
记录堡垒机用户的所有操作记录,用于进行安全审计和查看。
五、平台设置¶
5.1 用户管理¶
堡垒机户主要来源于统一权限的用户,在使用堡垒机其他功能之前,需要导入用户。为了安全性的考虑,需要将平台的用户导入到堡垒机后才可以进行策略授权。
-
用户列表导入:进入用户管理-用户列表页面,点击页面右上角【导入】按钮,打开导入用户页面之后完成用户导入操作。
-
用户组导入:进入用户管理-用户组页面,点击页面右上角【导入】按钮,打开导入用户组页面之后完成用户组导入操作。
5.2 网络代理¶
通过增加网络代理,堡垒机可以管理不同网络内的主机和数据库资源。注意:堡垒机代理和Proxy没有直接关系,虽然通常我们建议在部署Proxy的主机上部署堡垒机代理。但是堡垒机代理是完全独立的,仅提供给堡垒机使用。
创建网络代理
- 创建网络代理:进入网络代理页面,点击页面右上角【新建】按钮,打开新建网络代理页面之后完成创建操作。
Info
开源技术使用声明:OpsAny积极拥抱开源技术,鼓励大家一起保护开源技术知识产权及合法使用,堡垒机使用了以下开源技术。
- Guacamole:http://guacamole.apache.org/
- Asciiplayer: https://github.com/qeesung/asciiplayer
