網域科技——上網行為管理! 關于我們 | 聯系我們 | 在線溝通
全國統一服務熱線
400-6666-049
證券代碼:872379
當前位置:主頁 > 資訊中心 > 常見問題解答 >

堡壘機策略設置的幾點意見

文章出處:admin 人氣:發表時間:2018-01-11 17:54

       總結一下這幾年使用堡壘機的經驗教訓,和大家做一個分享,無論是使用自建堡壘機還是采用一些商用方案,通用的原則是不會變的。希望對大家有所幫助,如果有遺漏的地方,歡迎補充和指教。

 

       策略1:一要建立個人帳號的概念,必須做到一人一個帳號,絕不允許多個人共用個人帳號,更不能允許共同賬號登錄堡壘機。

 

       策略2:從本機到服務器上每一道防線的安全等級應該是等同的。一定一定不要出現登錄跳板機有很強大的管控,但是到了業務服務器上就是人root或者擁有sudo權限類似的情況。

 

       策略3:必須要有操作日志,記錄每一條操作或者記錄登錄到堡壘機后所有的輸出。特別是危險的操作,除了直接禁止掉,同時必須要報警出來。

 


 

       策略4:身份驗證,杜絕使用密碼登錄,建議使用個人token+動態密碼的方式。對登錄的機器需要做物理驗證,身份需要手機動態碼驗證。

 

       策略5:用戶授權,建議結合公司內部CMDB來做到一一對應,不同的崗位對于不同的權限,不建議手動去維護,會出現權限維護不及時。

 

       策略6:網絡隔離,堡壘機本身只有公司內網才能訪問。進一步的,做到環境隔離,例如,生產環境和測試環境隔離;同時做到業務之間的隔離,不同業務線的機器是不能相互訪問。

 

       策略7:高可用,堡壘機本身的高可用需要重點關注,做好定時備份和應急處理,報警機制必須要有,需要運維專人專崗來維護。

下一篇:沒有了 上一篇:上網行為管理雙機模式簡介
此文關鍵字:堡壘機,策略,設置,的,幾點,意見,總結,一下,
云南快乐十分中奖规则奖金