本文介绍堡垒机不同版本支持的功能以及差异。
功能列表
版本 | 文档 |
堡垒机(基础版、企业双擎版、国密版) | |
堡垒机(开发者版、轻量版) |
适用场景
版本 | 场景 | |
堡垒机 (基础版、企业双擎版、国密版) | 基础版 | 适用于中小型企业用户的更专业运维体验需求(50~500混合资产),提供更细粒度的运维管控能力,例如客户端运维、细粒度运维用户访问及行为授权、风险命令自动拦截、高危命令运维审批、实时运维监控阻断,用户支持RAM、AD或LDAP自建用户管控等,可满足中小企业的基础运维安全管控需求。 |
企业双擎版 | 适用于对运维业务安全要求较高或业务规模较大的企业,如政企、金融、游戏、在线教育、信息技术等。企业双擎版除具有基础版的基础运维安全能力、更充足的性能及基础配置外,还可满足更高的业务运维安全需求。优势如下:
| |
国密版 | 在企业级堡垒机运维管控能力的基础上,使用国密算法对关键数据进行加密,满足用户更高的信息安全及合规需求。 | |
堡垒机 (开发者版、轻量版) | 开发者版 | 适用于开发者个人或微小企业的纯云上客户(5~20个ECS或K8s资产),具备基础的管理员统一运维、运维用户访问授权管控、运维审计全录像等能力,并提供更深度的云上体验,轻量化部署开通,云上多VPC内网打通,资产账号自动识别等。 |
轻量版 | 适用于小型纯云上企业客户(5~20个ECS或K8s资产),具备除开发者版本的基础运维需求能力外,增加更多企业常用运维及管控能力,例如文件传输及审计能力、管理员对运维用户操作的命令管控操作,自动阻断高危命令保障运维安全,以及365天日志存储等更高的配置规格和性能。 | |
功能对比
下表中
表示支持该功能,
表示不支持该功能。
功能 | 描述 | 免费版 | 开发者版 | 轻量版 | 基础版 | 企业双擎版 | 国密版 |
架构 | 采用稳定的架构部署,保障业务及监控稳定运行。 | SaaS | SaaS | SaaS | 云化单引擎架构 | 云化双引擎架构 | 云化双引擎架构 |
跨域运维 | 通过统一控制台运维管理多地域下的多VPC的资产。 |
| 支持内网一键打通 | 支持内网一键打通 | 支持自建网络模式 | 支持自建网络模式及网络域代理模式 | 支持自建网络模式及网络域代理模式 |
特权管理 | 划分特权和普通权限系统账户,且支持按类别快速授权与管理。 |
|
|
|
|
|
|
弹性扩容 | 支持资产规格、存储、带宽等弹性扩缩容。 |
|
|
|
|
|
|
国密算法 | 支持国密算法加密。 |
|
|
|
|
|
|
国际化 | 支持多语言场景,可实时切换简体中文、繁体中文和英文语言环境。 |
|
|
|
|
|
|
可在海外部署,兼容多种海外手机号双因子认证。 |
|
|
|
|
|
| |
多账号 | 支持RD多账号场景下资产的统一运维。 |
|
|
|
|
|
|
用户管理 | 支持多种用户角色(管理员、运维员、审计员等)。 |
|
|
|
|
|
|
支持自动同步RAM用户及自建本地用户。 |
|
|
|
|
|
| |
支持对接AD/LDAP用户等三方身份证认证源。 |
|
|
|
|
|
| |
支持对接IDaaS用户,将钉钉、Azure AD等多种身份认证来源用户同步为堡垒机用户。 |
|
|
|
|
|
| |
资产管理 | 支持Windows系统、Linux系统运维。 |
|
|
|
|
|
|
支持对MySQL、SQL Server、PostgreSQL类型的RDS和MySQL、PostgreSQL、PostgreSQL(兼容Oracle)的PolarDB以及MySQL、SQL Server、PostgreSQL、Oracle类型的自建数据库运维。 |
|
|
|
|
|
| |
支持对Web应用及客户端应用运维。常用的运维协议:HTTPS、HTTP。 |
|
|
|
|
|
| |
支持手动新建以及一键导入阿里云和三方云资产。 | 云服务器ECS | 云服务器ECS | 云服务器ECS |
|
|
| |
支持资产账密(密码/密钥)托管,运维人员无需感知资产密码即可对资产运维访问。 |
|
|
|
|
|
| |
支持多云、云上及线下IDC服务器等混合场景统一运维。 |
|
|
|
|
|
| |
可联动云安全中心资产风险监控状况,及时提醒包含告警、漏洞、基线等风险状态及数量,并支持快速跳转至云安全中心处理风险闭环。 |
|
|
|
|
|
| |
资产改密 | 支持对Linux、Windows服务器手动或者定期执行改密任务。 |
|
|
|
|
|
|
支持对接KMS实现ECS的密码、密钥轮转。 |
|
|
|
|
|
| |
运维管控 | 支持用户到资产账号一对一维度的细粒度授权。 |
|
|
|
|
|
|
支持短信、邮箱、手机TOTP令牌及钉钉双因子认证。 |
| 不支持钉钉 | 不支持钉钉 |
|
|
| |
支持Mstsc、Xshell、SecureCRT、Putty等客户端工具登录堡垒机访问主机。 |
|
|
|
|
| 单点登录方式 | |
支持使用WinSCP、Xftp、SecureFX等SFTP客户端工具登录堡垒机进行文件传输。 |
|
|
|
|
| 单点登录方式 | |
可通过云服务器ECS Workbench平台登录运维ECS。 |
|
|
|
|
|
| |
支持B/S单点登录方式运维资产。 |
|
|
|
|
|
| |
支持独立运维门户界面。 |
|
|
|
|
|
| |
支持通过网页访问资产。 |
|
|
|
|
|
| |
支持创建运维任务针对主机账户批量执行脚本。 |
|
|
|
|
|
| |
支持实时监控正在进行的会话,并可随时阻断会话。 |
| 支持实时监控 | 支持实时监控 |
|
|
| |
支持RDP运维时,粘贴板上传或下载、磁盘映射等操作进行控制。 |
|
|
|
|
|
| |
支持SSH运维时,设置命令黑白名单阻断及审批策略,控制高危、敏感命令执行。 |
|
| 支持命令阻断 |
|
|
| |
支持在运维过程中,对文件的上传、下载、删除、重命名,文件夹的创建、删除等操作进行控制。 |
|
|
|
|
|
| |
支持开启运维二次审批,只有在管理员批准后,运维员才能访问资产。 |
|
|
|
|
|
| |
支持限制登录堡垒机的用户、资产的来源IP及登录时段。 |
|
|
|
|
|
| |
支持设置运维空闲时长限制及总时长限制。 |
|
|
|
|
|
| |
日志审计 | 支持针对运维操作全程进行日志及录像审计,可通过录像清晰地还原并追溯运维过程。 |
|
|
|
|
|
|
支持对文件传输进行审计。 |
|
|
|
|
|
| |
支持生成运维报表。报表支持导出为PDF、HTML和WORD三种格式。 |
|
|
|
|
|
| |
支持将会话审计日志转存SLS。 |
|
|
|
|
|
| |
接口 | 支持OpenAPI接口调用。 |
|
|
|
|
|
|