天翼云运维安全中心（云堡垒机）的功能特性

运维安全中心（云堡垒机）

简介/价格/文档

天翼云运维安全中心（云堡垒机）的功能特性

文档简介：

此小节介绍云堡垒机功能特性。云堡垒机不仅拥有传统4A安全管控的基本功能特性，包括身份认证、账户管理、权限控制、操作审计四大功能。还拥有高效运维、工单申请等特色功能。

*产品来源：中国电信天翼云。免费试用咨询热线：400-826-7010，为您提供专业的售前咨询，让您快速了解云产品，助您轻松上云！微信咨询

免费试用、价格特惠

文档详情

云堡垒机不仅拥有传统4A安全管控的基本功能特性，包括身份认证、账户管理、权限控制、操作审计四大功能。还拥有高效运维、工单申请等特色功能。

身份认证

采用多因子认证和远程认证技术，加强用户身份认证管理。

引用多因子认证技术，包括手机短信、手机令牌、USBKey、动态令牌等方式，安全认证登录用户身份，降低用户帐号密码风险。

对接第三方认证服务或平台，包括AD域、RADIUS、LDAP、Azure AD远程认证，支持远程认证用户身份，防止身份泄露。并支持一键同步AD域服务器用户，复用原有用户部署结构。

账户管理

集中管理系统用户和资源帐号信息，对帐号全生命周期建立可视、可控、可管运维体系。

帐号管理功能说明

功能特性	功能说明
用户帐号管理	系统用户帐号全生命周期管理，用户使用唯一帐号登录系统，解决共享帐号、临时帐号、滥用权限等问题。批量导入：通过同步第三方服务器用户，以及批量导入用户，支持一键同步并导入已有用户信息，无需重复创建用户。用户组：用户帐号按属性分组管理，可实现对同类型用户按用户组赋予权限。批量管理：支持批量管理用户帐号，包括删除、启用、禁用、重置密码、修改用户基本配置等。
资源账户管理	集中资源账户管理，资源账户全生命周期管理，实现单点登录资源，管理或运维无缝切换。资源类型：纳管资源类型丰富，包括Windows、Linux等主机资源，MySQL、Oracle等数据库资源。支持C/S架构运维接入，包括SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin协议类型主机资源。支持B/S、C/S架构应用系统资源接入，可直接配置12+种Edge、Chrome、Oracle Tool等浏览器或客户端Windows服务器应用资源。资源管理：批量导入：通过自动发现、同步云上资源，以及批量导入资源，支持一键同步并导入云上ECS、RDS等服务器上资源。账户组管理：资源账户按属性分组管理，可实现对同类型资源账户按账户组给用户赋权。密码自动代填：采用AES256加密方式存储资源账户，通过密码自动代填技术加密共享账户，避免账户泄露风险。账户自动改密：通过设置改密策略，可定时定期修改账户密码，确保资源的账户安全。账户自动同步：通过设置账户同步策略，可定时定期核查和同步主机资源账户，包括拉取主机账户统计异常系统资源账户，以及推送系统新建、删除、修改的资源账户到主机，确保资源账户健康生存周期。批量管理：支持批量管理资源信息和资源账户，包括删除资源、添加资源标签、修改资源信息、验证资源账户、删除资源账户等。

功能特性

功能说明

用户帐号管理

系统用户帐号全生命周期管理，用户使用唯一帐号登录系统，解决共享帐号、临时帐号、滥用权限等问题。
批量导入：通过同步第三方服务器用户，以及批量导入用户，支持一键同步并导入已有用户信息，无需重复创建用户。
用户组：用户帐号按属性分组管理，可实现对同类型用户按用户组赋予权限。
批量管理：支持批量管理用户帐号，包括删除、启用、禁用、重置密码、修改用户基本配置等。

资源账户管理

集中资源账户管理，资源账户全生命周期管理，实现单点登录资源，管理或运维无缝切换。
资源类型：纳管资源类型丰富，包括Windows、Linux等主机资源，MySQL、Oracle等数据库资源。支持C/S架构运维接入，包括SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、MySQL、SQL Server、Oracle、SCP、Rlogin协议类型主机资源。支持B/S、C/S架构应用系统资源接入，可直接配置12+种Edge、Chrome、Oracle Tool等浏览器或客户端Windows服务器应用资源。
资源管理：批量导入：通过自动发现、同步云上资源，以及批量导入资源，支持一键同步并导入云上ECS、RDS等服务器上资源。账户组管理：资源账户按属性分组管理，可实现对同类型资源账户按账户组给用户赋权。密码自动代填：采用AES256加密方式存储资源账户，通过密码自动代填技术加密共享账户，避免账户泄露风险。账户自动改密：通过设置改密策略，可定时定期修改账户密码，确保资源的账户安全。账户自动同步：通过设置账户同步策略，可定时定期核查和同步主机资源账户，包括拉取主机账户统计异常系统资源账户，以及推送系统新建、删除、修改的资源账户到主机，确保资源账户健康生存周期。批量管理：支持批量管理资源信息和资源账户，包括删除资源、添加资源标签、修改资源信息、验证资源账户、删除资源账户等。

权限控制

集中管控用户访问系统和资源的权限，对系统和资源的访问权限进行细粒度设置，保障了系统管理安全和资源运维安全。

权限控制功能说明

功能特性	功能说明
系统访问权限	从单个用户帐号属性出发，控制用户登录和访问系统权限。用户角色：通过为每个用户帐号分配不同的角色，赋予用户访问系统不同模块的权限，对系统用户身份进行分权。系统支持自定义角色，自定义角色中可以自选添加系统模块，实现角色多样化模式。组织部门：通过为每个用户划分部门，采用部门组织树形结构，不限制部门层级，可将用户按部门分层级管理。登录限制：通过设置用户登录配置，从登录有效期、登录时间、多因子认证、登录IP限制、登录MAC限制等维度，赋予用户登录系统的权限。
资源访问权限	按照用户、用户组与资源账户、账户组之间的关联关系，建立用户对资源的控制权限。访问控制：通过设置访问控制权限，从访问有效期、登录时间、IP限制、上传/下载、文件传输、剪切板、显示水印等维度，赋予用户访问资源的权限。通过设置双人或多人授权审核，需要授权人实时授权才能访问资源，保障敏感核心资源绝对安全。命令拦截：通过设置命令控制策略或数据库控制策略，对服务器或数据库中敏感、高危操作，强制阻断、告警及二次复核，加强对关键操作的管控。批量授权：通过用户组和账户组形式，支持同时授权多个用户以多个资源的控制权限。

功能特性

功能说明

系统访问权限

从单个用户帐号属性出发，控制用户登录和访问系统权限。
用户角色：通过为每个用户帐号分配不同的角色，赋予用户访问系统不同模块的权限，对系统用户身份进行分权。系统支持自定义角色，自定义角色中可以自选添加系统模块，实现角色多样化模式。
组织部门：通过为每个用户划分部门，采用部门组织树形结构，不限制部门层级，可将用户按部门分层级管理。
登录限制：通过设置用户登录配置，从登录有效期、登录时间、多因子认证、登录IP限制、登录MAC限制等维度，赋予用户登录系统的权限。

资源访问权限

按照用户、用户组与资源账户、账户组之间的关联关系，建立用户对资源的控制权限。
访问控制：通过设置访问控制权限，从访问有效期、登录时间、IP限制、上传/下载、文件传输、剪切板、显示水印等维度，赋予用户访问资源的权限。通过设置双人或多人授权审核，需要授权人实时授权才能访问资源，保障敏感核心资源绝对安全。
命令拦截：通过设置命令控制策略或数据库控制策略，对服务器或数据库中敏感、高危操作，强制阻断、告警及二次复核，加强对关键操作的管控。
批量授权：通过用户组和账户组形式，支持同时授权多个用户以多个资源的控制权限。

操作审计

基于用户身份系统唯一标识，从用户登录系统开始，全程记录用户在系统的操作行为，监控和审计用户对目标资源的所有操作，实现对安全事件的实时发现与预警。

操作审计功能说明

功能特性	功能详情
系统行为审计	系统操作行为全纪录，针对操作失误、恶意操作、越权操作等行为告警通知。系统登录日志：详细记录登录系统的方式、登录用户、用户来源IP、登录时间等信息。支持一键导出全部系统登录日志。系统操作日志：系统操作行为全程记录，覆盖所有系统操作事件。支持一键导出全部系统操作日志。系统报表：集中可视化呈现用户在系统的操作统计信息，包括用户启用状态、用户与资源创建、用户登录方式、异常登录、会话控制等信息。支持一键导出系统报表，并可定周期以邮件方式自动推送系统报表。告警通知：通过配置系统告警，针对系统操作和系统环境制定不同告警方式和告警级别，以邮件方式和系统消息方式推送告警通知，以便及时发现系统异常和用户异常操作。
资源运维审计	全程记录用户的运维操作，支持多种运维审计技术和审计形式，可随时审计用户操作行为，识别运维风险，为安全事件追溯和分析提供依据。运维审计技术：− Linux命令审计：基于字符协议（SSH、TELNET）的命令操作审计，记录命令运维全程，支持解析字符操作命令，还原操作指令，根据输入、输出结果关键字搜索快速定位回放。− Windows操作审计：基于图形协议（RDP、VNC）终端和应用发布的行为操作审计，远程桌面的操作全纪录，包括键盘操作、功能键操作、鼠标操作、窗口指令、窗口切换、剪切板拷贝等。− 数据库命令审计：基于数据库协议（DB2、MySQL、Oracle、SQL Server）的命令操作审计，记录从SSO单点登录数据库到数据库命令操作全程，支持解析数据库操作指令，100%还原操作指令。− 文件传输审计：基于远程桌面的文件传输操作审计，以及基于文件传输协议（FTP、SFTP、SCP）的传输操作审计，对Web浏览器或客户端文件传输全程审计，记录传输的文件名称和目标路径。运维审计形式：− 实时监控：实时查看正在进行的运维会话，支持监控和中断实时会话。− 历史日志：运维操作全程记录，详细记录历史运维会话信息，支持一键导出历史会话日志。− 会话视频：支持对Linux命令审计、Windows操作审计全程录像记录，回放录像视频。支持生成视频文件，一键下载会话视频。- 运维报表：集中可视化呈现运维统计信息，包括运维时间分布、资源访问次数、会话时长、双人授权、命令拦截、字符数命令、传输文件数等信息。支持一键导出运维报表，并可定周期以邮件方式自动推送系统报表。− 日志备份：通过配置日志备份，可将历史会话日志远程备份至Syslog服务器、FTP/SFTP服务器、OBS桶，实现系统日志容灾备份。

功能特性

功能详情

系统行为审计

系统操作行为全纪录，针对操作失误、恶意操作、越权操作等行为告警通知。
系统登录日志：详细记录登录系统的方式、登录用户、用户来源IP、登录时间等信息。支持一键导出全部系统登录日志。
系统操作日志：系统操作行为全程记录，覆盖所有系统操作事件。支持一键导出全部系统操作日志。
系统报表：集中可视化呈现用户在系统的操作统计信息，包括用户启用状态、用户与资源创建、用户登录方式、异常登录、会话控制等信息。支持一键导出系统报表，并可定周期以邮件方式自动推送系统报表。
告警通知：通过配置系统告警，针对系统操作和系统环境制定不同告警方式和告警级别，以邮件方式和系统消息方式推送告警通知，以便及时发现系统异常和用户异常操作。

资源运维审计

全程记录用户的运维操作，支持多种运维审计技术和审计形式，可随时审计用户操作行为，识别运维风险，为安全事件追溯和分析提供依据。
运维审计技术：− Linux命令审计：基于字符协议（SSH、TELNET）的命令操作审计，记录命令运维全程，支持解析字符操作命令，还原操作指令，根据输入、输出结果关键字搜索快速定位回放。− Windows操作审计：基于图形协议（RDP、VNC）终端和应用发布的行为操作审计，远程桌面的操作全纪录，包括键盘操作、功能键操作、鼠标操作、窗口指令、窗口切换、剪切板拷贝等。− 数据库命令审计：基于数据库协议（DB2、MySQL、Oracle、SQL Server）的命令操作审计，记录从SSO单点登录数据库到数据库命令操作全程，支持解析数据库操作指令，100%还原操作指令。− 文件传输审计：基于远程桌面的文件传输操作审计，以及基于文件传输协议（FTP、SFTP、SCP）的传输操作审计，对Web浏览器或客户端文件传输全程审计，记录传输的文件名称和目标路径。
运维审计形式：− 实时监控：实时查看正在进行的运维会话，支持监控和中断实时会话。− 历史日志：运维操作全程记录，详细记录历史运维会话信息，支持一键导出历史会话日志。− 会话视频：支持对Linux命令审计、Windows操作审计全程录像记录，回放录像视频。支持生成视频文件，一键下载会话视频。- 运维报表：集中可视化呈现运维统计信息，包括运维时间分布、资源访问次数、会话时长、双人授权、命令拦截、字符数命令、传输文件数等信息。支持一键导出运维报表，并可定周期以邮件方式自动推送系统报表。− 日志备份：通过配置日志备份，可将历史会话日志远程备份至Syslog服务器、FTP/SFTP服务器、OBS桶，实现系统日志容灾备份。

高效运维

通过多种架构运维、多种运维资源、多种运维工具、多种运维形式的接入，全面提升运维效率。

高效运维功能说明

功能特性	功能说明
Web浏览器运维	HTML5远程登录资源，无需安装客户端，一键登录运维资源，实现操作实时监控、文件上传下载等运维管理。一站式登录运维：在Windows、Linux、Android、iOS等操作系统上，支持任意主流浏览器无插件化运维，包括Edge、Chrome、Firefox等主流浏览器，让运维人员脱离运维工具和操作系统束缚，随时随地远程运维。批量登录：支持一键登录多个授权资源，多个资源可同时在一个浏览器页签运维。协同会话：支持多人参与“协同分享”，邀请其他运维人员或专家进行协同运维，对同一会话进行协同操作或问题定位，提高多人运维效率。文件传输：基于WSS的文件管理技术，支持文件上传/下载，以及文件在线管理，实现多主机文件共享功能。命令群发：针对多个Linux资源，开启群发键。在一个会话窗口执行命令后，其他会话窗口将同步执行相同操作。
第三方客户端运维	在不改变用户使用原来客户端习惯的前提下，支持一键接入多种运维工具，提升运维效率。多种运维工具：支持接入SecureCRT、Xshell、Xftp、WinSCP、Navicat 、Toad for Oracle等工具。 SSH客户端运维：针对字符协议类主机资源，可通过运维客户端登录资源，实现运维平台多种选择。数据库客户端运维：针对数据库主机资源，通过配置SSO单点登录工具，调用数据库客户端，实现一键登录目标数据库资源，数据库运维操作。文件传输客户端运维：针对文件传输协议类主机资源，通过调用FTP/SFTP/SCP客户端登录资源，实现客户端运维。
自动化运维	线上多步骤复杂操作自动化执行，告别枯燥的重复工作，提高工作效率。脚本管理：线下脚本上线管理，支持Shell和Python类型脚本的管理。运维任务：通过配置命令执行、脚本执行、文件传输的运维任务，可定期、批量、自动执行预置的运维任务。

工单申请

系统运维用户在运维过程中，遇到需运维资源而无权限情况，可提交系统工单申请资源控制权限，寻求管理人员授权审批。

系统运维人员

通过手动或自动触发工单系统，提交访问授权工单、命令授权工单、数据库授权工单申请权限。

支持提交工单、查询工单、催单、撤销工单、删除工单等功能。

系统管理人员

通过自定义审批流程，支持多级审批。

支持批准单个工单、批量批准工单、驳回工单、撤销工单、查询工单、删除工单等功能。

相似文档

天翼云运维安全中心（云堡垒机）的优势
此小节介绍云堡垒机产品优势。 HTML5一站式管理：无需安装特定客户端，无需安装任何插件，任意终端的主流浏览器，包括移动端APP浏览器登录，用户随时随地打开即可进行运维。系统HTML5管理界面简洁易用，集中管理用户、资源和权限，支持批量创建用户、批量导入资源、批量授权运维、批量登录资源等高效运维管理方式。
天翼云运维安全中心（云堡垒机）的应用场景
此小节介绍云堡垒机应用场景。严要求的审计合规场景：例如保险和金融行业，具有大量个人信息数据和金融资金操作行为，以及大量第三方机构代为运作，可能存在巨大违规操作、滥用职权等非法运作风险。
天翼云运维安全中心（云堡垒机）中资产数、并发数、实例等概念解析
资产数：资产数表示云堡垒机管理的虚拟机等设备上运行的资源数，资源数是同一个虚拟机对应的需要运维的协议和应用总数。并发数：并发数是指云堡垒机上同一时刻连接的运维协议连接数。
天翼云运维安全中心（云堡垒机）与其他云服务的关系
此小节介绍云堡垒机与其他云服务的关系。与虚拟私有云的关系：虚拟私有云（Virtual Private Cloud，VPC）为CBH提供虚拟网络环境，用户通过配置安全组、子网、EIP等子服务，方便地管理、配置内部网络。以及通过自定义安全组内访问规则，加强安全保护。
天翼云运维安全中心（云堡垒机）的价格
本小节主要介绍云堡垒机的计费说明，包括计费项、计费模式、续费等。计费项：云堡垒机实例按选购的版本规格和购买时长计费。云堡垒机实例：按购买实例的版本规格、购买时长计费。实例购买时长：提供包月和包年的购买模式。

文档中心

全民上云·上云补贴申领

免费试用（限企业）

身份认证

账户管理

权限控制

操作审计

高效运维

工单申请