如何实现云原生资源的安全便捷访问?

发表时间:2021-05-06 10:57


堡垒机的发展

随着近两年等保2.0的相关要求普及,相信很多人都有听说过堡垒机这个概念,那么什么是堡垒机呢?

堡垒机是企业进行资产管理,并且进行运维安全审计的重要组件。几乎所有的企业都需要堡垒机,其本质上是解决IT运维过程的安全、可控与合规,帮助我们实现运维过程的“事前预防、事中控制、事后审计”。


堡垒机主要经过三个阶段的发展:

1. 软硬一体化的堡垒机,是将堡垒机软件和硬件整合在一起,打包销售。这种做法优缺点很明显,优点是符合国人的消费习惯,为用户提供一揽子解决方案;缺点是不易维护,缺乏可扩展性;

2. 从技术上来说,纯软件的堡垒机和软硬一体化的堡垒机并没有质的区别,无非是纯软件的堡垒机是以产品安装包或者镜像形式向用户提供安装介质,而不再是以物理主机形式提供。相比较而言,纯软件的堡垒机的优势更为明显,易于维护,易于升级,方便未来的扩展;

3. 随着现在企业的资源分布越来越广、云资源的数量也越来越多,传统的方式管理方式跟不上变化,而且随着应用上线越来越迅速,如何快速的上线堡垒机,对这些资源统一管理起来,都是传统堡垒机无法解决的。而此时云堡垒机应用而生,云堡垒机具备多云、多中心的云资源的管理、海量资源的快速纳管和海量并发的能力。

骞云堡垒机属于第三代。

骞云堡垒机的主要功能

      以上主要是对堡垒机的作用和发展历程做了一个简单的介绍,下面主要介绍骞云堡垒机是如何从架构和功能两个方面来解决传统堡垒机的问题,以及骞云堡垒机的主要功能。


如何安全的访问网络隔离的多云资源

    多云资源统一管理

      随着企业信息化的不断深入,越来越多的企业开始使用公有云来支撑业务的快速发展,搭建混合云架构成为了一个趋势,特别是今年两会的时候,国家鼓励大力发展混合云架构的解决方案,使得这个趋势将进一步的加快;然而随着这种混合云架构的发展,如何对这些多云资源进行集中、统一的管理成为了急需解决的问题。传统的堡垒机更多的采用的方式主要包括:

    1)通过物理网络打通(比如专线、VNC等)来进行集中管理;

    2)每个隔离的数据中心安装一台堡垒机。这两种方式无论是从成本还是从管理的难度上来说,都无法从根本上解决您这边的需求。只有从堡垒机的架构上做出改变才能够正在的解决问题。

      骞云的云堡垒机支持通过云网关,将多云、多账户上的云资源集中管理,为随后的“集中认证”、“权限控制”和“操作审计”打下坚实基础。



      通过骞云的云网关您可以有效的打破地域、网络界限,实现多云资源统一管理,我们的云网关是完全无嵌入的,云网关一端不需要暴露对外访问接口,安全性更强,并且堡垒机跟云网关之间的链路加密,占用带宽

    特有分布式架构,支持无限横向扩展



在现在这个云原生时代,除了能够打通地域、网络的隔离实现资源的集中管理,还对堡垒机的云资源的纳管数量、并发数提出更高的要求。针对这块,我们的堡垒机是采用特有的分布式架构,来满足、支撑后期的无限扩展。

骞云堡垒机包括一个中心平台,若干按地域分布的中转节点,若干分布的Gateway节点。用户的数据流量是:用户客户端->中转节点->Gateway节点。Gateway节点在通过内网IP访问我们最终需要访问的云主机,通过这种方式来支持更加复杂的多云场景,支持海量并发,这种架构是经过SaaS环境验证的。

此外,由于我们的数据都是存储在中心平台上面的,中转节点和云网关都是无状态的,可以很方便设置高可用,持续的支撑业务的运行。

以上主要是我们在应用云原生时代下对海量的多云资源统一管理上做的架构设计。下面我会从功能层面来介绍骞云云堡垒机。

    如何快速导入、纳管多云资源

针对多云海量资源的纳管这块骞云堡垒机会根据您这边的业务组、部门来创建一个组织架构,然后快速的将不同云平台上的云资源按照组织架构自动地归属到业务组、人,为后面的权限控制打下基础。



现阶段我们能够管理的云资源主要包括

l 物理机

l 网络设备

l 云主机

l 数据库

l Kubernetes

不同云平台的资源集中管理之后,我们平台会对管理的资源的账户名、密码等都收集上来,在我们平台上面做统一的托管。我们的凭证支持关联到多个云主机中,后期我们在访问云主机、自动化运维的时候都能够使用凭证进行,极大的提高我们运维人员的运维效率。而且我们平台支持通过更新凭证来实现云资源的批量改密,而且改密历史在我们平台都会有留痕,方便后期查看。

    如何有效的实现安全审计

骞云堡垒机会记录发生在重要信息系统中各种各样的会话和事件,包括网络中的、主机操作系统中的以及应用系统中的如ORACLE数据库等,然后支持不同的维度查看操作记录。为您这边的IT管理者提供了全面、多维的操作审计。

现阶段骞云堡垒机对所有WebSSH和脚本执行都能够统一记录;而且记录内容支持全文快速查询,并且支持按照不同维度查看操作记录:

l 主机操作历史

l 用户操作轨迹

l 各类资源操作轨迹

l 起止时间



如何在满足安全审计的前提下,实现对云资源高效运维

    多协议支持

骞云堡垒机提供多种运维协议的支持,例如ssh/rdp/vnc/sftp等,方便用户这边的日常运维。同时我们平台提供的vnc协议支持通过云平台无代理或者基于代理的模式进行远程访问,更加灵活。

    高效运维

除了提供多协议的支持外,在满足安全管理需求的前提下,为IT运维工程师授予合适粒度权限的同时,骞云堡垒机也为运维工程师带来了丰富便捷的运维手段,

例如:脚本库、批量脚本的运行、数据库的巡检等……




通过这些手段来实现高效运维,在安全与效率之间取得一个最佳平衡。最小权限完成所需运维操作

    软件安装变更标准化和自动化

同时平台提供了一个应用集市的概念,来帮助用户实现企业内部准入软件的统一管理。支持主流的中间件、主流的数据库、也支持根据实际的需求扩展任意的软件到我们平台来。然后通过我们的平台进行一键的安装和变更。无需在登录到主机上进行一系列的安装操作,使得我们的安装过程更加标准化自动化,简单易用。




    与自动化和工单高度集成

现在堡垒机跟工单这块越来越分不开,针对工单这块我们平台也是做了大量的优化的工作,将工单系统和我们的自动化深度集成,实现特定场景下的工单自动化。



骞云堡垒机的功能特色

骞云堡垒机是满足运维安全审计的4A规范的堡垒机,主要有以下优势:



更多详细功能,欢迎登录骞云科技官网www.cloudchef.io或直接扫描下方二维码进行免费试用!


SaaS注册二维码.png


 
 
 联系方式
咨询电话:400-669-7728