堡垒机是阿里云云盾提供的系统运维和安全审计管控产品,解决客户云上运维安全问题。
在Account (账号)方面,统一管理运维人员和系统的账号,解决共享账号、临时账号、滥用权限等问题。
在Authentication (认证)方面,可通过短信、动态令牌等双因子认证,控制账号密码泄露风险,防止运维人员身份冒用和复用。
在Authorization (授权)方面,按照人员、部门组织、资源组,建立人员职责与资源分配的授权管理。
在Audit (审计)方面,记录运维人员的操作行为和操作记录,作为事件追溯和分析的依据。
堡垒机满足以下法规要求:
政府: 满足《等级保护》系列文件中的技术审计要求。
金融: 满足金融监管部门系列文件中的技术审计要求。
企业: 满足《ISO27000》系列文件中的技术审计要求。
跳板机属于内控堡垒机范畴,是一种用于单点登陆的主机应用系统。跳板机就是一台服务器,维护人员在维护过程中,首先要统一登录到这台服务器上,然后从这台服务器再登录到目标设备进行维护。但跳板机并没有实现对运维人员操作行为的控制和审计,此外,跳板机存在严重的安全风险,一旦跳板机系统被攻入,则将后端资源风险完全暴露无遗。
在客户云上安全建设方案中,不建议用跳板机代替堡垒机。首先,跳板机存储了大量敏感信息,自身容易成为入侵目标,堡垒机做了系统安全加固,确保自身的安全性。其次,堡垒机在运维账号、认证、鉴权和审计方面的功能比跳板机更完整,全面保障运维安全。第三,堡垒机作为SaaS服务,即开即用,一键导入ECS云服务器,非常方便。
