堡垒机遵循责任共担原则,安全责任由阿里云和客户双方共同承担。阿里云负责保障云平台自身安全并提供安全产品和能力给云上客户,客户负责保障基于阿里云服务构建的应用系统的安全。
安全责任共担模型
堡垒机是阿里云提供的SaaS(Software as a Service)服务。堡垒机上的安全性需要阿里云和客户共同承担,双方的责任边界如下:
阿里云负责“云本身”的安全性:阿里云负责保障堡垒机运行的底层基础设施与服务的安全性,包括运行服务的物理硬件设备、软件服务和管理控制服务等。
客户负责“云上”的安全性:包括必要网络配置保障网络连通性、以安全的方式配置和访问堡垒机及其上面的服务(比如遵循安全原则进行堡垒机功能参数配置、遵循权限最小化原则配置堡垒机管理权限等)、按照产品功能逻辑使用堡垒机。堡垒机上的安全性管理与配置是客户在履行安全责任时必须完成的工作。
运行服务的物理硬件设备
沿用阿里云云服务器ECS基础设置安全,详情请参见基础设施安全。
软件服务
堡垒机采用云化架构,服务器、日志服务、数据库独立部署,具有高稳定性、高成熟度。一方面,可靠的云化架构保障业务运行的稳定性;另一方面,基础版支持切换网络可用区、企业双擎版的双引擎架构避免了单点故障导致运维业务中断,能更安全地保障系统资源。
针对堡垒机控制台的公网访问流量进行统一收口,具备基础的Web应用防火墙(Web Application Firewall,简称WAF)和DDoS防护。公网运维域名经过阿里云负载均衡(Server Load Balancer,简称SLB)提供默认的DDoS防护(500 Mbps~5 Gbps)。
堡垒机使用加密算法对资产、用户数据进行安全加密,通过堡垒机运维访问服务器的过程,会依托协议加密特性对数据进行加密。
管理控制服务
登录访问堡垒机控制台需要管理员配置必要的阿里云账号权限,由用户进行权限最小化管理。
堡垒机支持设置公网白名单、关闭公网、配置安全组等措施进行安全加固,用户可以根据业务场景需求另外搭配WAF、云防火墙等其他安全防护配置。
登录运维门户具备人机对抗识别和防护。
提供访问安全控制相关功能:
针对堡垒机实例操作以及运维访问操作进行审计,操作可溯源。
可设置用户登录时密码错误一定次数后自动锁定该用户。默认密码连续错误输入超过五次后,将锁定用户账户30分钟,错误次数及锁定时长可自定义修改。
可自定义配置用户密码有效期,用户密码到期后再次登录将强制用户修改密码。
可自定义设置长时间未使用的用户自动锁定,需要管理员解锁后才可继续登录。
可开启双因子认证,必须密码和双因子都认证通过后才可成功登录。