一、为什么需要商业云堡垒机

1.1 概述

随着企业信息化建设步伐的不断加速，IT对企业业务起到的支撑作用也越来越明显，毫不夸张的说，在相当一部分企业中，IT已经成为企业发展的生命线。相应的，在现今信息安全事故频发的背景下，企业对内部信息安全的管控也越来越严苛。

通常情况下，有些企业会考虑通过部署传统堡垒机的方式来提高系统内部信息安全管理水平，满足相关规范要求，提供控制和审计依据。这些措施在传统运维方式下并无大的障碍，但在已经到来的云计算时代，企业上云对安全运维带来了新的挑战。

1.2 云计算带来的新挑战

时至今日，云计算不再是什么大势所趋，而是既成事实。诸多企业都已将应用系统迁移至云环境中，其中包括企业自建私有云及阿里云、腾讯云等巨头提供的公有云服务。

云技术的发展使得云主机的运维方式发生了一定程度的变化，诸如混合云管理、公有云产品的安全防护等等。在传统的IT环境中，安全边界非常明确，我们可以利用传统堡垒机、防火墙等对服务器、应用系统进行严格的访问控制，在业务迁入云环境后，传统堡垒机、防火墙已经不再适用，业务的边界远不如传统 IT 环境边界清晰，因此云环境下，运维安全问题更加严峻。

1.3 企业运维管理现状和问题

目前，企业运维管理现状普遍有以下特点：

• 主机账号管理混乱、密码长期不更换；
• 主机管理权限不明确，操作系统自身难以实现权限最小化，从而导致过度授权、操作失误、数据泄露等一系列安全风险；
• 企业使用第三方代维服务已是常态，第三方人员误操作、恶意操作等行为时有发生；
• 缺乏有效的操作审计与控制手段，系统无法满足等级保护等法规的要求；
• 上云后，云资源和原有资源不在同一个有效的管理体系内，云厂商本身并不提供资源的精细化管理；
• 公有云资源的安全性无法保障。

基于以上现状，在企业运维管理中必然存在如下问题：

1.3.1 账号密码管理不规范

随着企业IT规模的不断增大，各类主机资源、应用系统的管理也变得愈加困难，这些资源、应用系统都有一套独立的账号体系，为了方便管理，企业管理人员往往通过一个简单的表格来记录这些信息，使用时，也存在多人共用账号的情况。

多人共用账号在带来方便性的同时，账号本身的安全性也无法得到保证，导致操作者的身份无法确定，当系统发生问题后，无法确认具体责任人。

为了保证密码的安全性，企业通常会制定严格的密码管理策略，诸如密码必须定期修改，密码需保证足够的长度和复杂度等，但现实中，由于管理的资源规模太大和账号数量太多，这一费时费力的操作，往往都是流于形式。

1.3.2 资源授权不清晰

在对资源进行授权管理时，如果仅依靠操作系统或应用系统本身的授权体系来实现管理，这样的方式太过于粗放，尤其是在账号密码的管理本身就不规范的情形下，如果再缺少资源层面的授权策略，无法基于最小权限分配原则管理用户权限，将导致难以与业务管理要求相协调。

1.3.3 上云后运维体系发生变化

在自建机房时代，运维人员接触的主要是硬件，但是上云之后，运维人员已经无法见到物理设备，彻底从硬件上解放出来。

但同样的，云计算给运维带来极大的挑战。企业将业务迁入云环境后，异构的网络环境和需要通过公网才能访问的云环境，即便原先已通过传统堡垒机、防火墙进行安全管控，但云环境下，原有的安全措施已经不再适用，急需采取一种适应云环境的安全管理手段。

云计算的弹性特征，让企业购买新设备变得简单，而随着设备的不断增加，以往简单靠运维人员手工处理的方式，已经很难再适应新的需求，企业需要更多地依赖自动化运维系统来进行处理，从而降低对运维人员的依赖，让运维人员更多的从被动走向主动，去关注企业业务发展和系统的主动优化。

1.3.4 访问控制不严格

访问控制的目的是通过限制运维人员对数据信息的访问能力及范围，保证信息资源不被非法使用和访问。企业目前的运维操作流程类似一个“黑盒”，我们并不清楚运维人员：

• 在哪台设备上执行操作？
• 操作是哪一位来执行？
• 正在进行哪些运维操作？
• 执行的操作是否合规？

由此，日常的运维操作将会存在如下业务风险：

• 失误操作导致关键应用服务异常、宕机；
• 违规操作导致敏感信息泄露、丢失；
• 恶意操作导致线上的敏感数据信息被篡改、破坏；
• 无法有效监控第三方人员的维护操作是否规范与安全。

1.3.5 缺乏有效的运维审计能力

在现今信息安全事故频发的背景下，对于运维人员的操作，如果缺乏有效的运维审计能力，当一旦出现运维事故时，我们很难去回溯追责。

如果简单的依赖于系统日志，由于系统日志可读性差、零散、可删除、篡改、并且账号与运维人员无法一一对应，所以这并不是一种有效的审计方式。

1.3.6 面临法规遵从的压力

为加强信息系统风险管理，政府、金融、运营商等陆续发布信息系统管理规范和要求， 如“信息系统等级保护”、“商业银行信息科技风险管理指引”、“企业内部控制基本规范”等均要求采取信息系统风险内控与审计，但其自身确没有有效的技术手段。

上述风险带来的运维安全风险和审计监管问题，已经成为企业信息系统安全运行的严重隐患，制约业务发展，影响企业效益。对此，企业 IT 运维安全管理的变革已刻不容缓！

二、行云管家解决方案

2.1 行云管家简介

行云管家云堡垒机是国内领先的云堡垒机品牌，在软件开发领域长达10年的沉淀和积累，同时也是市面上首款也是唯一一款支持Windows2012系统操作指令审计的运维堡垒机，行云管家为您提供跨云厂商的云计算管理方案，包括云服务器管理、混合云管理、微信监控告警、成本分析与优化建议、健康负载与安全体检、云堡垒机、自动化运维等功能，帮助企业易上云、用好云。

官网：https://www.cloudbility.com/

行云管家通过逻辑上将人与目标设备、资源进行隔离，建立“人->行云管家用户账号->授权->目标设备账号->目标设备”的管理模式；在此模式下，通过基于唯一身份标识的集中账号、访问控制策略 、精细化资源与功能授权，确保各服务器、资源无缝连接，实现集中运维操作管控与审计。

2.2 如何免费使用行云管家？

行云管家目前以SaaS平台和私有化部署两种形式为广大上云企业提供服务。

SaaS属简单部署，不需要购买任何硬件，简单注册即后即可使用。企业在无需配备IT方面的专业技术人员的情况下能得到最新的技术应用，满足企业对信息管理的需求。

行云管家亦可根据企业需求提供定制化私有部署解决方案，让企业运维安全管理更简单。同时专业的技术人员全程参与整个解决方案部署与售后，让企业客户更安心。

用户可以先选择行云管家的SaaS平台进行体验，主机资源不多，免费版本就可以满足我们的需求了，行云管家是基于B/S架构开发，只需一个浏览器即可轻松在一个主控台中完成跨云厂商资源的统一管理。

行云管家其实在付费这一点做的很实在，免费版本没有任何功能限制，唯一限制的就是主机数量与团队成员数量。

行云管家是一个基于团队协作的云资源管理平台，团队是行云管家中所有资源的载体，主机、文件、日志等数据资源依附于团队而存在，这些资源在团队范围内处于共享状态，团队中任何成员均可以访问到这些资源。

2.2.1 注册登录

行云管家堡垒机是基于SaaS模式设计，因此无需安装和部署任何软硬件设备，只需要三步即可完成：

image

打开行云管家官方首页，点击右上方“注册”按钮，可以通过手机号或者邮箱注册完成，同时，行云管家也支持QQ、微信、微博、Google等第三方账号登录。

2.2.2 创建团队

基于团队协同的工作模式，创建一个属于您的团队。首先为您的团队取一个名称，行云管家后台会自动为您的团队生成独有的团队标识；然后您可以邀请团队成员加入。

image

2.2.3 导入云主机

选择云厂商或者云资源的类型，行云管家支持多个主流云厂商的多个云资源管理，其中包括云主机、对象存储、CDN等。选择好云厂商或云资源之后，通过API凭证将您的云主机导入到行云管家中进行管理。

image image

2.2.4 注册成功

经过简单三步操作，无需其它配置，您就获得了一个能够跨云厂商管理云资源、优化成本支出、清晰资源状况和规范团队操作的云资源管理平台。

image

3分钟快速实现“局域网”主机运维审计实践指南

这篇文章将跟大家一起使用行云管家来对局域网主机进行安全运维审计管理。

文章链接：https://www.cloudbility.com/club/5860.html

3分钟快速实现云主机运维审计实践指南

这篇文章将跟大家一起使用行云管家来对云主机进行安全运维审计管理。

文章链接：https://www.cloudbility.com/club/5874.html

三、新手有礼活动（福利）

3.1 活动规则

行云管家特为新用户带来的福利。原价199元专业版，新用户1元即可体验。

活动链接：行云管家新手有礼

image

• 活动时间：2018.04.01 - 2018.06.01；
• 活动对象：在活动期注册行云管家的新用户均可参与本活动免费领取198元代金券；
• 代金券使用有效时间为12个月，可在「我的代金券」中查询代金券信息；
• 活动期间，若发现用户使用非正常手段获取活动奖励，行云管家有权立刻取消其活动资格。

3.2 新版本特性

V4.2（日期：2018-04-26）19:00，行云管家将发布4.2版本

新特性在这里：行云管家4.2新版本

欢迎大家体验和反馈。