堡垒机审计的过程
堡垒机又名运维安全审计系统,首先它将服务器群的访问限定单一入口,所有用户均不能直接访问服务器,需通过堡垒机中转,这样就有条件对整个流量进行监控,对风险操作进行记录报警,对用户进行集中地细粒度权限管理。
再在堡垒机中集成单点登录(SSO)功能,用户只需登录一次就可以访问所有相互信任的应用系统解决单用户多账号问题;再就协议代理,通过截获HTTP、ftp、ssh、rdp、vnc通信协议内容,解析并记录IT运维人员的操作过程。
云堡垒机的核心技术协议代理,由于协议对应的SOCKET端口对于服务器来说是唯一的,意味着堡垒机在给IT运维人员授权时,只能允许或禁止使用某服务器的某知名协议。
假设授权给甲S服务器的RDP协议,就相当于S服务器上的所有IT资源授权给了甲。授权颗粒度一般是以服务器为单位。再一个对于RDP和VNC操作过程只能进行录屏,对于风险过程无法快速智能识别,只能事后通过记录慢慢甄别,时效性较差。待基于应用代理的堡垒机技术成熟后,应该有很大改进。
以上是西部数码对于堡垒机审计过程的介绍,西部数码云堡垒机是连接云服务器的有效安全管理工具,产品链接 https://www.west.cn/safety/bastionhost/