本文受众范围:云盾堡垒机管理员、持有阿里云账号的管理员、审计人员、运维人员。

对象

云盾堡垒机有三种对象,分别是用户、主机、和凭据。
  • 用户代表技术工程师,也就是自然人,登录堡垒机时用户名即为手机号码。
  • 主机是您在阿里云上的ECS实例。
  • 凭据是用于登录ECS实例的用户名、密码或用户密钥。其中凭据名称用于辨识不同的凭据;登录名为要登录的ECS上的用户名(例如administrator、root);密码或密钥为该用户的密码或密钥。

授权组

授权组是将堡垒机中数个独立的对象个体联系在一起的概念,通过授权组功能可以达到控制某个用户只能访问他权限内主机的目的。假设您单位的运维模型如下:

您在阿里云上共10个ECS实例,其中:
  • 应用服务器2个(APP1、APP2)
  • 数据库服务器2个(DB1、DB2)
  • 中间件服务器2个(M1、M2)
  • 开发测试服务器4个(TEST1-4)
您单位共有三类工作人员:
  • 开发人员(devuser):负责开发产品原型,以及测试。
  • 运维人员(opsuser):负责维护线上服务器和应用系统。
  • 管理员(adminuser):全面协调公司内部技术人员工作,并定期进行审计。
您在ECS实例中使用三种主机账号:
  • dev (不能sudo)
  • ops (可以sudo)
  • shadow_r00t (可以sudo)
在此模型下,就可以按照如下策略配置授权关系:
个人账号 ECS主机 主机账号 说明
devuser TEST1-4 dev 开发人员只能使用开发机,且使用不能sudo的账号防止基础系统配置被改。
opsuser APP1、APP2、DB1、DB2、M1、M2 ops 运维人员使用可以sudo权限的账号维护主机基础系统配置。
adminuser 所有 shadow_r00t 管理员使用可以sudo的账号登录系统。

这样就可以通过授权组实现职责明晰的技术管理策略:开发人员对开发测试服务器有完全的控制权限;运维人员控制生产机;管理员则可以访问所有设备并通过云盾堡垒机Web管理页面进行审计。

运维

云盾堡垒机的运维操作可以通过连接协议代理端口实现,现有规则表如下:
运维协议 端口号 四层协议
SSH 60022 TCP
Windows远程桌面 63389 TCP
SFTP 60022 TCP
FTP 60021 TCP
VNC 5900 TCP
Windows远程桌面网关 44300 TCP

您可以使用标准协议客户端如Xshell、SecureCRT、PuTTY、Windows远程桌面客户端直接连接上述端口号,并通过堡垒机用户名、密码登录,连接后根据提示进行下一步操作。详细的运维操作步骤,请参阅用户手册-运维手册

审计

云盾堡垒机的审计分为两种,分别是实时监控和录像回放。实时审计专注于事中控制,可以通过云盾堡垒机管理平台随时切入某个运维会话查看现场操作;录像回放专注于事后审计,主要用于已经结束的会话进行录像回放或命令检索,检索可以使用时间段、手机号、主机IP地址、ECS实例ID、协议类型等条件筛选结果,还可以通过曾经执行过的命令进行全局检索,并自动跳转到这条命令的会话和时间段播放。