阿里云运维安全中心_云盾堡垒机_运维安全审计系统-云巴巴

阿里云运维安全中心

云盾堡垒机是一个核心系统运维和安全审计管控平台。在为操作人员提供统一的运维入口，解决分散登录难于管理的问题的基础上，集中了运维身份鉴别、职权管理、系统操作审计等多种功能。并可对常见运维协议的数据流进行全程记录，通过协议数据流重组的方式进行录像回放，达到运维审计事后追溯的能力。

立即咨询

首页 > 产品中心 > 监控与运维 > 阿里云运维安全中心

堡垒机简介

堡垒机-高效运维

统一入口管理，解决登录分散问题

（1）托管ECS的账号和密码（或SSH密钥）

（2）运维员登录云盾堡垒机再登ECS，无需知道ECS密码

权限细粒度化管理

（1）实现最小权限化，最灵活、精准访问控制

（2）重要资产或命令，可二次申请审批控制

（3）远程办公，区分位置权限细分

堡垒机-安全运维

多因子身份鉴别

通过短信认证、动态令牌等技术进行多重身份强认证，防止员工身份被冒用和复用

非法行为阻断

（1）危险命令及时拦截

（2）进行中风险，随时阻断

安全事件需追溯

详细记录操作日志

录播形式全量追溯操作行为

云原生架构基础

可靠底层架构保障

• ECS SLS OSS RDS 分开存储，避免单点故障影响

• 成熟存储产品自身高可靠性

双引擎双活监控

• 域名登录，不暴露IP更安全

• 双引擎部署，双活架构运行，实时监控堡垒机运行状态，保证业务及监控不中断

灵活的弹性扩展机制

带宽扩展包

价值：原有的默认带宽基础上自由扩展所需业务带宽，提高运维速率。场景：运维线下服务器，或者跨区域运维时，如使用公网运维，且多为占用带宽较高的RDP协议（1-3M），可通过带宽扩展包满足带宽灵活扩容需求，实现公网场景下的运维带宽保障。

存储扩展包

价值：原有的默认带宽基础上自由扩展所需审计存储空间，保障更多的存储数据及时长。场景：当运维量很大，或者需要更长时间存储记录时，可通过自由扩展存储空间保障存储更多审计数据。

完善的细粒度功能覆盖 icon

资产同步
WINDOWS LINUX 数据库统一运维

三方云资产自动化对接

ECS/RDS 资产一键同步

本地资产批量导入

用户AD/LDAP认证/AZURE

密码安全
密码托管，透传登录，防止密码泄露，LINUX 密码定时，单次，轮转更新，保障密码更安全，自定义增加密码复杂度设置，避免暴力破解风险。

僵尸资产/用户梳理
检测资产状态，及时发现僵尸资产，协助清理。过期、长时间未登录、删除等多维度同步用户状态，便于用户有效管理。

完善的细粒度功能覆盖 icon

身份认证

通过多种双因子认证方式，判断运维人员的合法性，防止仿冒用户登录。

• 短信认证 • 动态码认证 • 邮件认证 • 钉钉认证

权限梳理

细粒度梳理划分用户访问权限，严格管控运维人员可访问的具体资产、账号，以及可执行的行为管控。

• Linux、windows、数据库资产

• Linux命令黑名单

• Windows的操作行为，如上传、下载文件、重命名、删除文件等

• 可访问的IP

运维管控

对高危命令的执行，可及时自动做出相应判断，防止高危事件发生。

• 高危命令，自动拦截阻断，防止事件发生。

• 重要命令，审批执行，可通过管理员审批确认后，方可执行，保证业务可正常执行，又避免风险。

• 不可信人员实时监控，通过实时查看运维人员的动作内容，实时进行阻断，有效拦截进行中的风险。

审计追溯

所有运维行为全程审计记录，有效保障业务的高度还原。

• 日志审计，可详细审计操作命令，进行筛选定位、分析。

• 录像审计，可通过录像的形态全程记录运维操作，更全面还源整个操作行为，做为有效判断参考。

• 日志投递，可根据用户需求投递到自己的SLS中进行长期保存，以及对接SOC等分析平台使用。

运维安全功能梳理

混合运维场景解决方案 icon

支持局域网混合运维模式，不需要大量资产开放公网IP，即可保障运维联通，实现线下等保，及其它云等保方案

原运维模式

• 方案：使用专线，或者所有服务器开放公网IP

• 问题：专线价格高，全开放公网IP不安全

混合云运维模式

• 方案：仅需要一台内部设备开放公网IP或者连接，其它设备与此设备连通即可

• 优势：不需要全量开放公网IP，更安全，客户部署更便捷

成熟的产品易用性体验 icon

一键开启，无需部署
随买随用，无需购买其它资源部署，启成本低

易用户性配置使用
1）ECS/RDS资产一键导入，本地资产批量同步，三方云资产自动化对接，AD/LDAP自动同步2）Web terminal 无需安装客户端

国际化支持
支持国际REGION，英文界面，海外手机号，对于跨境用户，如跨境电商、游戏等，可以对海外运维有很好的支撑能力

7*24贴身服务
专属服务群，7*24小时支持。

阿里云堡垒机优势总结 icon

阿里云云化架构更稳定、更灵活

• 随买随用，无需部署，一键启动

• 云化架构，多点防护、多重保障，业务/数据更安全

• ECS/堡垒机内网互通，无限带宽免费享用，体验自由运维

• 灵活升配，随时按需扩容，实时应对企业业务需求变化

• 无终端运维，通过webterminal直接在WEB实现运维效果

• 混合化运维方案，一体化对阿里云、异构云、线下IDC资产统一运维管理

云上资产运维深度集成

• 阿里云ECS资产一键导入，自动同步资产变更状态，减少资产运维成本

• 阿里云RAM子账号一键导入使用，无需单独配置，并可搭配MFA双因子加强认证，保障登录安全

• 集成阿里云RAM账号管理能力，可具备管理员、审计员、运维员、只读多种管理角色，保障运维管理安全

• 除WINDOWS/LINUX/数据库系统运维外，可支持云数据库专属集群MyBase运维安全管控

阿里云贴心服务

• 阿里云 7*24 在线专家服务，及时响应

产品版本规格

企业双擎版介绍

轻量版介绍

适用场景

通过最轻量的部署成本，最易用的运维功能管控、带来最便捷的运维安全体验。对全业务上云，资产为云上ECS资产（linux/windows)提供便捷的基础运维安全管控；对云上未使用网络连通的多VPC业务，提供一键网络连通服务。提供更小颗粒的选择，可选5-20资产规格。实现特权账号划分，通过权限类别批量进行授权。

轻量部署优势

深度云上架构集成，提供更便捷的云上资产运维体验。解绑区域，云上多VPC统一运维场景，内网一键打通，无需单独搭建网络。云上资产自动同步，系统账号自动识别。内网网页运维方式，更直观，更安全。

注：云上ECS资产（目前仅支持：北京、杭州、上海、深圳、张家口、呼和浩特区域）

轻量版选型介绍

• 网络域：实现多个VPC的内网连通运维 • 并发数：根据运维实际情况，灵活选择并发数

电商行业堡垒机运维安全监控方案 icon

X 跨境电商需求背景

电商在全球部署有业务，分布在不同区域，高效运维上希望能实现LDAP账号统一管理，以及AD透传；运维安全上需要防止越权访问以及普通用户获取ROOT运维权限。 1） ECS及服务器资产分布在不同区域，需要统一管理，以及海外手机号认证。 2）需要与LDAP服务对接，实现AD透传便于管理。 3）因运维人员及服务器重多，进行越权访问控制 4）防止普通员工擅自获取ROOT权限

堡垒机运维监控方案

1）部署一台企业双擎版堡垒机，通过网络域配置代理服务器，使不同区域网络连通 2）与LDAP对接，实现AD透传，LDAP账号可直接登录堡垒机及相应资产进行运维访问，并可直接同步RAM子账号使用，以及海外区域手机号实现双因子认证。 3）对不同用户及用户组配置细粒度访问权限，防止越权行为发生，同时还可进行区域行为控制，防止非合规条件下的运维操作 4）设置命令审批规则，当员工执行获取ROOT权限命令时，可以触发审批机制，授权后方可生效，保证权限的安全可控。对需要阻断的命令如格式化，也可自动阻断。 5）全行为均可以录播的形式详细审计，便于追溯

产品功能展示