本文介绍如何通过堡垒机针对Web类(HTTP/HTTPS协议)和客户端工具类应用资产进行授权访问管控与审计,实现企业敏感资产运维安全深度集成及拓展,全方位保障业务系统安全。
背景信息
在企业数字化转型的深入推进过程中,为满足提升协同效率、优化业务流程、整合资源配置等核心需求,各类信息化系统应运而生并不断发展,如较为常见的内部协同系统OA、ERP、CRM(如SAP、Salesforce)等,以及各个行业业务强依赖的Web类应用,应用的发展在提升了业务系统多样性的同时,也扩大了数据敏感资产的攻击暴露面。除了外部攻击的威胁,权限混乱、内部人员泄露等新型风险频发,也在不断挑战企业数据安全底线。
因此,除了需要加强对主机、数据库类资产的运维安全保障,对于数据敏感度较高的业务系统也需要加强运维管控审计,实现从“边界防御”到“细胞级管控”的质变。
解决方案
企业在解决应用类资产访问场景下的传统方案是自行部署一台Windows系统服务器,运维人员通过管理员用户账户访问桌面应用,进行应用发布、系统维护等操作,在该场景下,无法按照人员维度定位操作来源,并且多个用户共享桌面数据有极大的数据泄露及权限混乱风险,用户账户过多也会提高管理成本,造成权限难梳理、行为难审计、数据难隔离。
阿里云堡垒机企业双擎版或国密版通过深度集成应用类资产的接入与管理能力,构建了覆盖全场景的企业级资产管控体系。其核心能力包含:
支持Web应用、客户端软件、桌面应用等多元资产类型的一站式接入,通过标准化权限配置与操作行为管控,形成资产全生命周期的闭环管理。
提供"一键同步"功能,将堡垒机用户实时同步至目标服务器域系统,确保用户数据绝对隔离,消除权限外溢风险。
双通道访问模式——远程桌面服务(RDS)支持完整桌面环境及浏览器访问,RemoteApp实现轻量化客户端应用发布,实现最小暴露面访问控制。
针对Web应用配置URL黑白名单策略,管理员可通过域名、IP实现路径级访问控制,精准规范操作行为路径。
建立全链路审计机制,全程录屏审计运维行为,形成可追溯的安全审计闭环。
方案概览
通过部署Windows系统的服务器作为应用服务器,并完成应用配置和授权访问之后,可实现运维员仅能通过堡垒机访问被授权的应用资产。同时,管理员也可以通过设置目的地址的访问策略,对运维员访问的页面进行黑白名单管控,降低业务安全风险。针对运维员在应用资产上的操作,堡垒机支持全程录屏审计,满足企业的审计需求,并在运维事故发生时能够实现精准溯源。
通过堡垒机运维应用,大致分为以下几个步骤:
已购买堡垒机企业双擎版或国密版:如果您的堡垒机实例是基础版,请升级到对应版本。具体操作,请参见升配实例规格。
准备应用服务器:管理员需要准备一台Windows系统的主机作为应用服务器,并在应用服务器上部署Windows Server的远程桌面服务和RemoteApp应用。配置步骤,请参见将Windows Server部署为应用服务器。
说明建议应用服务器的系统为Windows Server 2016、Windows Server 2019或Windows Server 2022。
在堡垒机导入并添加应用服务器:将准备好的应用服务器导入堡垒机中,并在堡垒机应用页面添加导入的应用服务器。
部署应用服务器:在应用服务器中发布USMDriver.exe RemoteApp程序。具体操作,请参见添加和部署应用服务器。
同步堡垒机用户至应用服务器:在部署应用服务器之后,需要将堡垒机用户同步至应用服务器,并为其创建相应账户。同步成功后,运维员即可通过该账户登录应用服务器进行运维操作。具体操作,请参见创建应用服务器账户。
在堡垒机中添加远程客户端:添加应用服务器上访问应用类资产的远程客户端,例如浏览器、数据库客户端工具等。具体操作,请参见添加远程客户端。
在堡垒机添加并配置应用:添加客户端应用或Web应用,并授权给相应的运维员。具体操作,请参见添加应用以及应用配置。
