本文介绍堡垒机支持的版本及功能之间的差异。
背景信息
以下为您介绍堡垒机不同版本的使用场景和优势。
基础版:适用于中小型企业用户的更专业运维体验需求(50~500混合资产),提供更细粒度的运维管控能力,例如客户端运维、细粒度运维用户访问及行为授权、风险命令自动拦截、高危命令运维审批、实时运维监控阻断,用户支持RAM、AD或LDAP自建用户管控等,可满足中小企业的基础运维安全管控需求。
企业双擎版:适用于对运维业务安全要求较高或业务规模较大的企业,如政企、金融、游戏、在线教育、信息技术等。企业双擎版除具有基础版的基础运维安全能力、更充足的性能及基础配置外,还可满足更高的业务运维安全需求。优势如下:
数据库运维场景:支持RDS、自建数据库以及三方数据库的运维授权管控,包含MySQL、SQL Server、PostgreSQL、Oracle。
混合运维场景:通过网络域代理模式实现、线下IDC、其它云以及跨账号下资产的统一运维管控。
高业务稳定保障:采用双引擎架构,双活运行,SLA可达99.95%。
其它增值能力:运维方式上提供Web运维门户运维、资产管理上提供Linux资产自动改密能力,有效提升密码安全性。
国密版:在企业级堡垒机运维管控能力的基础上,使用国密算法对关键数据进行加密,满足用户更高的信息安全及合规需求。
功能列表
下表为您介绍堡垒机不同版本支持的功能以及差异。
下表中表示支持该功能,表示不支持该功能。
功能 | 描述 | 基础版 | 企业双擎版 | 国密版 | 相关文档 |
架构 | 采用稳定的架构部署,保障业务及监控稳定运行。 | 云化单引擎架构 | 云化双引擎架构 | 云化双引擎架构 | |
跨域运维 | 统一运维管理多网络环境下的资产。 | 自建网络模式 | 自建网络及网络域代理模式 | 自建网络及网络域代理模式 | |
弹性扩容 | 支持资产规格、存储、带宽等弹性扩缩容。 | ||||
国密算法 | 支持国密算法加密。 | 无 | |||
国际化 | 兼容国际场景,支持实时切换简体中文、繁体中文和英文语言。 | 无 | |||
可在海外部署,兼容多种海外手机号双因子认证。 | |||||
多账号 | 支持RD多账号场景下资产的统一运维。 | ||||
用户管理 | 支持多种用户角色(管理员、运维员、审计员等)。 | ||||
支持新建单个用户及通过文件批量导入用户。 | |||||
支持自动同步RAM用户、AD/LDAP用户。 | |||||
支持对接IDaaS用户,将钉钉、Azure AD等多种身份认证来源用户同步为堡垒机用户。 | |||||
支持用户状态标记,包括已过期、锁定、长时间未登录等多种状态。 | |||||
支持设置用户锁定、密码有效期等策略。 | |||||
资产管理 |
| ||||
支持对MySQL、SQL Server、PostgreSQL类型的RDS和MySQL、PostgreSQL、PostgreSQL(兼容Oracle)的PolarDB以及MySQL、SQL Server、PostgreSQL、Oracle类型的自建数据库运维。 | |||||
支持对Web应用及客户端应用运维。常用的运维协议:HTTPS、HTTP。 | |||||
支持手动新建以及一键导入阿里云和第三方云资产。 | |||||
支持资产账密(密码/密钥)托管,运维人员无需感知资产密码即可对资产运维访问。 | |||||
支持资产状态检测,对ECS、RDS实例以及网络连通性状态进行定期或手动检测。 | |||||
可联动云安全中心资产风险监控状况,及时提醒包含告警、漏洞、基线等风险状态及数量,并支持快速跳转至云安全中心处理风险闭环。 | |||||
支持多云、云上及线下IDC服务器等混合场景统一运维。 | |||||
支持通过网络域代理模式运维独立网络环境的内网资产。 | |||||
资产改密 | 支持对Linux、Windows服务器手动或者定期执行改密任务。 | ||||
支持对接KMS实现ECS的密码、密钥轮转。 | |||||
运维管控 | 支持用户(组)到资产(组)账号一对一维度的细粒度授权。 | ||||
支持国密USBKEY双因子认证。 | |||||
支持短信、邮箱、手机TOTP令牌及钉钉双因子认证。 | |||||
支持Mstsc、Xshell、SecureCRT、Putty等客户端工具登录堡垒机访问主机。 | 支持单点登录方式 | ||||
使用本地WinSCP、Xftp、SecureFX等SFTP客户端工具登录堡垒机进行文件传输。 | 支持单点登录方式 | ||||
支持B/S单点登录方式运维资产。 | |||||
支持独立运维门户界面。 | 无 | ||||
支持使用运维门户通过网页方式运维资产。 | |||||
支持创建运维任务针对主机账户批量执行脚本。 | |||||
支持实时监控正在进行的会话,并可随时阻断会话。 | |||||
支持对RDP运维时,粘贴板上传或下载、磁盘映射等操作进行控制。 | |||||
支持SSH运维时,设置命令黑白名单阻断及审批策略,控制高危、敏感命令执行。 | |||||
支持在运维过程中,对文件的上传、下载、删除、重命名,文件夹的创建、删除等操作进行控制。 | |||||
支持启用运维二次审批,只有在管理员批准后,运维员才能访问资产。 | |||||
支持限制登录堡垒机的用户、资产的来源IP及登录时段。 | |||||
支持设置运维空闲时长限制及总时长限制。 | |||||
日志审计 | 支持针对运维操作全程进行日志及录像审计,可通过录像清晰地还原并追溯运维过程。 | ||||
支持对文件传输进行审计。 | |||||
支持生成运维报表,可导出PDF、HTML、WORD三种格式的报表。 | |||||
支持将会话审计日志转存至SLS及通过日志备份下载到本地。 | |||||
接口 | 支持OpenAPI接口调用。 |