1.1 概述

隨著企業信息化建設步伐的不斷加速,IT對企業業務起到的支撐作用也越來越明顯,毫不夸張的說,在相當一部分企業中,IT已經成為企業發展的生命線。相應的,在現今信息安全事故頻發的背景下,企業對內部信息安全的管控也越來越嚴苛。

通常情況下,有些企業會考慮通過部署傳統堡壘機的方式來提高系統內部信息安全管理水平,滿足相關規范要求,提供控制和審計依據。這些措施在傳統運維方式下并無大的障礙,但在已經到來的云計算時代,企業上云對安全運維帶來了新的挑戰。

1.2 云計算帶來的新挑戰

時至今日,云計算不再是什么大勢所趨,而是既成事實。諸多企業都已將應用系統遷移至云環境中,其中包括企業自建私有云及阿里云、騰訊云等巨頭提供的公有云服務。

云技術的發展使得云主機的運維方式發生了一定程度的變化,諸如混合云管理、公有云產品的安全防護等等。在傳統的IT環境中,安全邊界非常明確,我們可以利用傳統堡壘機、防火墻等對服務器、應用系統進行嚴格的訪問控制,在業務遷入云環境后,傳統堡壘機、防火墻已經不再適用,業務的邊界遠不如傳統 IT 環境邊界清晰,因此云環境下,運維安全問題更加嚴峻。

1.3 企業運維管理現狀和問題

目前,企業運維管理現狀普遍有以下特點:

主機賬號管理混亂、密碼長期不更換;

主機管理權限不明確,操作系統自身難以實現權限最小化,從而導致過度授權、操作失誤、數據泄露等一系列安全風險;

企業使用第三方代維服務已是常態,第三方人員誤操作、惡意操作等行為時有發生;

缺乏有效的操作審計與控制手段,系統無法滿足等級保護等法規的要求;

上云后,云資源和原有資源不在同一個有效的管理體系內,云廠商本身并不提供資源的精細化管理;

公有云資源的安全性無法保障。

基于以上現狀,在企業運維管理中必然存在如下問題:

1.3.1 賬號密碼管理不規范

隨著企業IT規模的不斷增大,各類主機資源、應用系統的管理也變得愈加困難,這些資源、應用系統都有一套獨立的賬號體系,為了方便管理,企業管理人員往往通過一個簡單的表格來記錄這些信息,使用時,也存在多人共用賬號的情況。

多人共用賬號在帶來方便性的同時,賬號本身的安全性也無法得到保證,導致操作者的身份無法確定,當系統發生問題后,無法確認具體責任人。

為了保證密碼的安全性,企業通常會制定嚴格的密碼管理策略,諸如密碼必須定期修改,密碼需保證足夠的長度和復雜度等,但現實中,由于管理的資源規模太大和賬號數量太多,這一費時費力的操作,往往都是流于形式。

1.3.2 資源授權不清晰#p#分頁標題#e#

在對資源進行授權管理時,如果僅依靠操作系統或應用系統本身的授權體系來實現管理,這樣的方式太過于粗放,尤其是在賬號密碼的管理本身就不規范的情形下,如果再缺少資源層面的授權策略,無法基于最小權限分配原則管理用戶權限,將導致難以與業務管理要求相協調。

1.3.3 上云后運維體系發生變化

在自建機房時代,運維人員接觸的主要是硬件,但是上云之后,運維人員已經無法見到物理設備,徹底從硬件上解放出來。

但同樣的,云計算給運維帶來極大的挑戰。企業將業務遷入云環境后,異構的網絡環境和需要通過公網才能訪問的云環境,即便原先已通過傳統堡壘機、防火墻進行安全管控,但云環境下,原有的安全措施已經不再適用,急需采取一種適應云環境的安全管理手段。

云計算的彈性特征,讓企業購買新設備變得簡單,而隨著設備的不斷增加,以往簡單靠運維人員手工處理的方式,已經很難再適應新的需求,企業需要更多地依賴自動化運維系統來進行處理,從而降低對運維人員的依賴,讓運維人員更多的從被動走向主動,去關注企業業務發展和系統的主動優化。

1.3.4 訪問控制不嚴格

訪問控制的目的是通過限制運維人員對數據信息的訪問能力及范圍,保證信息資源不被非法使用和訪問。企業目前的運維操作流程類似一個“黑盒”,我們并不清楚運維人員:

在哪臺設備上執行操作?

操作是哪一位來執行?

正在進行哪些運維操作?

執行的操作是否合規?

由此,日常的運維操作將會存在如下業務風險:

失誤操作導致關鍵應用服務異常、宕機;

違規操作導致敏感信息泄露、丟失;

惡意操作導致線上的敏感數據信息被篡改、破壞;

無法有效監控第三方人員的維護操作是否規范與安全。

1.3.5 缺乏有效的運維審計能力

在現今信息安全事故頻發的背景下,對于運維人員的操作,如果缺乏有效的運維審計能力,當一旦出現運維事故時,我們很難去回溯追責。

如果簡單的依賴于系統日志,由于系統日志可讀性差、零散、可刪除、篡改、并且賬號與運維人員無法一一對應,所以這并不是一種有效的審計方式。

1.3.6 面臨法規遵從的壓力

為加強信息系統風險管理,政府、金融、運營商等陸續發布信息系統管理規范和要求, 如“信息系統等級保護”、“商業銀行信息科技風險管理指引”、“企業內部控制基本規范”等均要求采取信息系統風險內控與審計,但其自身確沒有有效的技術手段。

上述風險帶來的運維安全風險和審計監管問題,已經成為企業信息系統安全運行的嚴重隱患,制約業務發展,影響企業效益。對此,企業 IT 運維安全管理的變革已刻不容緩!

二、行云管家解決方案#p#分頁標題#e#

2.1 行云管家簡介

行云管家云堡壘機是國內領先的云堡壘機品牌,在軟件開發領域長達10年的沉淀和積累,同時也是市面上首款也是唯一一款支持Windows2012系統操作指令審計的運維堡壘機,行云管家為您提供跨云廠商的云計算管理方案,包括云服務器管理、混合云管理、微信監控告警、成本分析與優化建議、健康負載與安全體檢、云堡壘機、自動化運維等功能,幫助企業易上云、用好云。

行云管家通過邏輯上將人與目標設備、資源進行隔離,建立“人->行云管家用戶賬號->授權->目標設備賬號->目標設備”的管理模式;在此模式下,通過基于唯一身份標識的集中賬號、訪問控制策略 、精細化資源與功能授權,確保各服務器、資源無縫連接,實現集中運維操作管控與審計。

2.2 如何免費使用行云管家?

行云管家目前以SaaS平臺和私有化部署兩種形式為廣大上云企業提供服務。

SaaS屬簡單部署,不需要購買任何硬件,簡單注冊即后即可使用。企業在無需配備IT方面的專業技術人員的情況下能得到最新的技術應用,滿足企業對信息管理的需求。

行云管家亦可根據企業需求提供定制化私有部署解決方案,讓企業運維安全管理更簡單。同時專業的技術人員全程參與整個解決方案部署與售后,讓企業客戶更安心。

用戶可以先選擇行云管家的SaaS平臺進行體驗,主機資源不多,免費版本就可以滿足我們的需求了,行云管家是基于B/S架構開發,只需一個瀏覽器即可輕松在一個主控臺中完成跨云廠商資源的統一管理。

行云管家其實在付費這一點做的很實在,免費版本沒有任何功能限制,唯一限制的就是主機數量與團隊成員數量。

行云管家是一個基于團隊協作的云資源管理平臺,團隊是行云管家中所有資源的載體,主機、文件、日志等數據資源依附于團隊而存在,這些資源在團隊范圍內處于共享狀態,團隊中任何成員均可以訪問到這些資源。

三、新手有禮活動(福利)

3.1 活動規則

行云管家特為新用戶帶來的福利。原價199元專業版,新用戶1元即可體驗。進入行云管家官網即可參與活動。