产品介绍
文档版本 21
发布日期 2021-11-03
版权所有 © 华为技术有限公司 2022。 保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传 播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或 特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声 明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本文 档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司
地址: 深圳市龙岗区坂田华为总部办公楼 邮编:518129 网址:
https://www.huawei.com
客户服务邮箱:
[email protected]
客户服务电话:4008302118目 录
1 图解云堡垒机... 1
2 云堡垒机...3
3 功能特性...4
4 产品优势...11
5 应用场景...12
6 服务版本差异...13
7 基本概念...17
8 计费说明...18
9 使用限制...20
10 CBH 实例权限管理...24
11 与其他云服务的关系... 27
12 个人数据保护机制...29
13 安全声明... 31
A 修订记录... 33
1 图解云堡垒机
产品介绍 1 图解云堡垒机
2 云堡垒机
云堡垒机(Cloud Bastion Host,CBH)是华为云的一款4A统一安全管控平台,为企 业提供集中的帐号(Account)、授权(Authorization)、认证(Authentication)和 审计(Audit)管理服务。
云堡垒机提供云计算安全管控的系统和组件,包含部门、用户、资源、策略、运维、
审计等功能模块,集单点登录、统一资产管理、多终端访问协议、文件传输、会话协 同等功能于一体。通过统一运维登录入口,基于协议正向代理技术和远程访问隔离技 术,实现对服务器、云主机、数据库、应用系统等云上资源的集中管理和运维审计。
服务特点
● 一个实例对应一个独立运行的系统,通过配置实例部署系统后台运行基本环境。
系统环境独立管理,保障系统运行安全。
● 一个单点登录系统,提供统一的单点登录入口,轻松地集中管理大规模云上资 源,避免资源账户泄露危险,保障资源信息安全。
● 符合“网络安全法”等法律法规,满足合规性规范审查要求。
– 满足《萨班斯法案》和《等级保护》系列文件中的技术审计要求;
– 满足金融监管部门的技术审计要求;
– 满足各类法令法规(如SOX、PCI、企业内控管理、等级保护、ISO/IEC27001 等)对运维审计的要求。
产品介绍 2 云堡垒机
3 功能特性
云堡垒机不仅拥有传统4A安全管控的基本功能特性,包括身份认证、账户管理、权限 控制、操作审计四大功能。还拥有高效运维、工单申请等特色功能。
身份认证
采用多因子认证和远程认证技术,加强用户身份认证管理。
● 引用多因子认证技术,包括手机短信、手机令牌、USBKey、动态令牌等方式,安 全认证登录用户身份,降低用户帐号密码风险。
● 对接第三方认证服务或平台,包括AD域、RADIUS、LDAP、Azure AD远程认证,
支持远程认证用户身份,防止身份泄露。并支持一键同步AD域服务器用户,复用 原有用户部署结构。
账户管理
集中管理系统用户和资源帐号信息,对帐号全生命周期建立可视、可控、可管运维体 系。
表3-1 帐号管理功能说明 功能特性 功能说明 用户帐号
管理
系统用户帐号全生命周期管理,用户使用唯一帐号登录系统,解决共享帐号、临时帐号、
滥用权限等问题。
● 批量导入
通过同步第三方服务器用户,以及批量导入用户,支持一键同步并导入已有用户信息,
无需重复创建用户。
● 用户组
用户帐号按属性分组管理,可实现对同类型用户按用户组赋予权限。
● 批量管理
支持批量管理用户帐号,包括删除、启用、禁用、重置密码、修改用户基本配置等。
功能特性 功能说明 资源账户
管理
集中资源账户管理,资源账户全生命周期管理,实现单点登录资源,管理或运维无缝切 换。
● 资源类型
纳管资源类型丰富,包括Windows、Linux等主机资源,MySQL、Oracle等数据库资 源,以及Windows应用程序资源。
– 支持C/S架构运维接入,包括SSH、RDP、VNC、TELNET、FTP、SFTP、DB2、
MySQL、SQL Server、Oracle、SCP、Rlogin协议类型主机资源。
– 支持B/S、C/S架构应用系统资源接入,可直接配置12+种IE、Chrome、Oracle Tool 等浏览器或客户端Windows服务器应用资源。
● 资源管理 – 批量导入
通过自动发现、同步云上资源,以及批量导入资源,支持一键同步并导入云上 ECS、RDS等服务器上资源。
– 账户组管理
资源账户按属性分组管理,可实现对同类型资源账户按账户组给用户赋权。
– 密码自动代填
采用AES256加密方式存储资源账户,通过密码自动代填技术加密共享账户,避免账 户泄露风险。
– 账户自动改密
通过设置改密策略,可定时定期修改账户密码,确保资源的账户安全。
– 账户自动同步
通过设置账户同步策略,可定时定期核查和同步主机资源账户,包括拉取主机账户 统计异常系统资源账户,以及推送系统新建、删除、修改的资源账户到主机,确保 资源账户健康生存周期。
– 批量管理
支持批量管理资源信息和资源账户,包括删除资源、添加资源标签、修改资源信 息、验证资源账户、删除资源账户等。
权限控制
集中管控用户访问系统和资源的权限,对系统和资源的访问权限进行细粒度设置,保 障了系统管理安全和资源运维安全。
产品介绍 3 功能特性
表3-2 权限控制功能说明 功能特
性
功能说明
系统访 问权限
从单个用户帐号属性出发,控制用户登录和访问系统权限。
● 用户角色
通过为每个用户帐号分配不同的角色,赋予用户访问系统不同模块的 权限,对系统用户身份进行分权。
系统支持自定义角色,自定义角色中可以自选添加系统模块,实现角 色多样化模式。
● 组织部门
通过为每个用户划分部门,采用部门组织树形结构,不限制部门层 级,可将用户按部门分层级管理。
● 登录限制
通过设置用户登录配置,从登录有效期、登录时间、多因子认证、登 录IP限制、登录MAC限制等维度,赋予用户登录系统的权限。
资源访 问权限
按照用户、用户组与资源账户、账户组之间的关联关系,建立用户对资源 的控制权限。
● 访问控制
通过设置访问控制权限,从访问有效期、登录时间、IP限制、上传/下 载、文件传输、剪切板、显示水印等维度,赋予用户访问资源的权 限。
● 双人授权
通过设置双人或多人授权审核,需要授权人实时授权才能访问资源,
保障敏感核心资源绝对安全。
● 命令拦截
通过设置命令控制策略或数据库控制策略,对服务器或数据库中敏 感、高危操作,强制阻断、告警及二次复核,加强对关键操作的管 控。
● 批量授权
通过用户组和账户组形式,支持同时授权多个用户以多个资源的控制 权限。
操作审计
基于用户身份系统唯一标识,从用户登录系统开始,全程记录用户在系统的操作行 为,监控和审计用户对目标资源的所有操作,实现对安全事件的实时发现与预警。
表3-3 操作审计功能说明 功能特
性
功能详情
系统行 为审计
系统操作行为全纪录,针对操作失误、恶意操作、越权操作等行为告警通 知。
● 系统登录日志
详细记录登录系统的方式、登录用户、用户来源IP、登录时间等信息。
支持一键导出全部系统登录日志。
● 系统操作日志
系统操作行为全程记录,覆盖所有系统操作事件。支持一键导出全部 系统操作日志。
● 系统报表
集中可视化呈现用户在系统的操作统计信息,包括用户启用状态、用 户与资源创建、用户登录方式、异常登录、会话控制等信息。
支持一键导出系统报表,并可定周期以邮件方式自动推送系统报表。
● 告警通知
通过配置系统告警,针对系统操作和系统环境制定不同告警方式和告 警级别,以邮件方式和系统消息方式推送告警通知,以便及时发现系 统异常和用户异常操作。
产品介绍 3 功能特性
功能特 性
功能详情
资源运 维审计
全程记录用户的运维操作,支持多种运维审计技术和审计形式,可随时审 计用户操作行为,识别运维风险,为安全事件追溯和分析提供依据。
● 运维审计技术 – Linux命令审计
基于字符协议(SSH、TELNET)的命令操作审计,记录命令运维全 程,支持解析字符操作命令,还原操作指令,根据输入、输出结果 关键字搜索快速定位回放。
– Windows操作审计
基于图形协议(RDP、VNC)终端和应用发布的行为操作审计,远 程桌面的操作全纪录,包括键盘操作、功能键操作、鼠标操作、窗 口指令、窗口切换、剪切板拷贝等。
– 数据库命令审计
基于数据库协议(DB2、MySQL、Oracle、SQL Server)的命令操 作审计,记录从SSO单点登录数据库到数据库命令操作全程,支持 解析数据库操作指令,100%还原操作指令。
– 文件传输审计
基于远程桌面的文件传输操作审计,以及基于文件传输协议
(FTP、SFTP、SCP)的传输操作审计,对Web浏览器或客户端文 件传输全程审计,记录传输的文件名称和目标路径。
● 运维审计形式 – 实时监控
实时查看正在进行的运维会话,支持监控和中断实时会话。
– 历史日志
运维操作全程记录,详细记录历史运维会话信息,支持一键导出历 史会话日志。
– 会话视频
支持对Linux命令审计、Windows操作审计全程录像记录,回放录 像视频。
支持生成视频文件,一键下载会话视频。
– 运维报表
集中可视化呈现运维统计信息,包括运维时间分布、资源访问次 数、会话时长、双人授权、命令拦截、字符数命令、传输文件数等 信息。
支持一键导出运维报表,并可定周期以邮件方式自动推送系统报 表。
– 日志备份
通过配置日志备份,可将历史会话日志远程备份至Syslog服务器、
FTP/SFTP服务器、OBS桶,实现系统日志容灾备份。
高效运维
通过多种架构运维、多种运维资源、多种运维工具、多种运维形式的接入,全面提升 运维效率。
表3-4 高效运维功能说明 功能特
性
功能说明
Web浏 览器运 维
HTML5远程登录资源,无需安装客户端,一键登录运维资源,实现操作 实时监控、文件上传下载等运维管理。
● 一站式登录运维
在Windows、Linux、Android、iOS等操作系统上,支持任意主流浏览 器无插件化运维,包括IE、Chrome、Firefox等主流浏览器,让运维人 员脱离运维工具和操作系统束缚,随时随地远程运维。
● 批量登录
支持一键登录多个授权资源,多个资源可同时在一个浏览器页签运 维。
● 协同会话
支持多人参与“协同分享”,邀请其他运维人员或专家进行协同运 维,对同一会话进行协同操作或问题定位,提高多人运维效率。
● 文件传输
基于WSS的文件管理技术,支持文件上传/下载,以及文件在线管理,
实现多主机文件共享功能 。
● 命令群发
针对多个Linux资源,开启群发键。在一个会话窗口执行命令后,其他 会话窗口将同步执行相同操作。
第三方 客户端 运维
在不改变用户使用原来客户端习惯的前提下,支持一键接入多种运维工 具,提升运维效率。
● 多种运维工具
支持接入SecureCRT、Xshell、Xftp、WinSCP、Navicat 、Toad for Oracle等工具。
● SSH客户端运维
针对字符协议类主机资源,可通过运维客户端登录资源,实现运维平 台多种选择。
● 数据库客户端运维
针对数据库主机资源,通过配置SSO单点登录工具,调用数据库客户 端,实现一键登录目标数据库资源,数据库运维操作。
● 文件传输客户端运维
针对文件传输协议类主机资源,通过调用FTP/SFTP/SCP客户端登录资 源,实现客户端运维。
自动化
运维 线上多步骤复杂操作自动化执行,告别枯燥的重复工作,提高工作效率。
● 脚本管理
线下脚本上线管理,支持Shell和Python类型脚本的管理。
● 运维任务
通过配置命令执行、脚本执行、文件传输的运维任务,可定期、批 量、自动执行预置的运维任务。
产品介绍 3 功能特性
工单申请
系统运维用户在运维过程中,遇到需运维资源而无权限情况,可提交系统工单申请资 源控制权限,寻求管理人员授权审批。
● 系统运维人员
– 通过手动或自动触发工单系统,提交访问授权工单、命令授权工单、数据库 授权工单申请权限。
– 支持提交工单、查询工单、催单、撤销工单、删除工单等功能。
● 系统管理人员
– 通过自定义审批流程,支持多级审批。
– 支持批准单个工单、批量批准工单、驳回工单、撤销工单、查询工单、删除 工单等功能。
4 产品优势
HTML5 一站式管理
无需安装特定客户端,无需安装任何插件,任意终端的主流浏览器,包括移动端APP浏 览器登录,用户随时随地打开即可进行运维。
系统HTML5管理界面简洁易用,集中管理用户、资源和权限,支持批量创建用户、批 量导入资源、批量授权运维、批量登录资源等高效运维管理方式。
操作指令精准拦截
针对资源敏感操作进行二次复核,系统预置标准Linux字符命令库或自定义命令,对运 维操作指令和脚本的精准拦截,并可通过异步“动态授权”,实现对敏感操作的动态 管控,防止误操作或恶意操作的发生。
核心资源二次授权
借鉴银行金库授权机制,针对重要资源的运维权限设置多人授权,若需登录此类资 源,需多位授权候选人进行“二次授权”,加强对核心资源数据的保护,提升数据安 全防护能力和管理能力,保障核心资产数据的绝对安全。
应用发布扩展
针对数据库类、Web应用类、客户端程序类等不同应用资源,提供统一访问入口,并 可提高对应用操作的图形化审计。
数据库运维审计
针对DB2、MySQL、SQL Server和Oracle等云数据库,支持统一资源运维管理,以及 SSO单点登录工具一键登录数据库,提供对数据库操作的全程记录,实现对云数据库 的操作指令进行解析,100%还原操作指令。
自动化运维
自动化运维是将系统运维管理中复杂的、重复的、数量基数大的操作,通过统一的策 略、任务将复杂运维精准化和效率化,帮助运维人员从重复的体力劳动中解放出来,
提高运维效率。
产品介绍 4 产品优势
5 应用场景
任何企业都需要安全运维管理和审计,故任何企业都需要云堡垒机。云堡垒机能适用 于各种企业运维场景,特别针对企业员工数量复杂、企业资产数量繁杂、人员运维权 限交叉、企业运维方式多样等场景。
严要求的审计合规场景
例如保险和金融行业,具有大量个人信息数据和金融资金操作行为,以及大量第三方 机构代为运作,可能存在巨大违规操作、滥用职权等非法运作风险。
通过在云上部署云堡垒机系统,单点登录入口,集中管理账户和资源,部门权限隔 离,核心资产多人审核授权,敏感操作二次复核授权,健全的运维审计机制,能够为 高风险行业提供严要求审计功能,满足行业监管要求。
高效稳定的运维场景
例如极速发展的互联网企业,大量经营数据等敏感信息,暴露在公网,且由于服务高 度公开,存在高度数据泄露风险。
云堡垒机在远程运维过程中,隐藏资产真实地址,解决远程运维资产信息暴露问题。
同时提供全面的运维日志,为审计运维和代运维人员的操作行为,提供有效监控,减 少网上安全事故,助力企业长久稳定发展。
大量资产和人员管理场景
随着民生政务和传统企业集团的上云管理,云上人员账户数量不断增加,以及云上服 务器、网络设备等资产数量也成倍增涨。同时很多企业为解决人力不足的问题选择把 系统运维转交给系统供应商或第三方代维商进行,由于涉及提供商、代维商过多,人 员复杂流动性又大,对操作行为缺少监控带来的风险日益凸显。
云堡垒机针对大量用户和大量资产,可海量容纳庞大人员和资源数据,运维人员单点 登录,解决运维人员维护多台资产效率低,易出错的问题。同时通过制定细粒度权限 控制,资源操作全程记录,可审计全量用户操作行为,并对事故问题进行有效追溯,
确保有效定责。此外,系统桌面实时呈现运维全景,并可接收异常行为告警通知,确 保人员无法越权操作。
6 服务版本差异
目前云堡垒机提供标准版和专业版两个功能版本,每个版本配备100、200、500、
1000、2000、5000资产规格,即可选择十种默认版本规格的实例。
更多版本规格说明,请参见云堡垒机规格版本。
规格差异
云堡垒机支持100、200、500、1000、2000、5000资产规格配置,不同规格云堡垒机 配置差异,请参见表1 不同规格配置说明。
表6-1 不同规格配置说明
资产数 并发数 CPU 内存 系统盘 数据盘
100 100 4核 8GB 100GB 1000GB
200 200 4核 8GB 100GB 1000GB
500 500 8核 16GB 100GB 2000GB
1000 1000 8核 16GB 100GB 2000GB 2000 1500 8核 16GB 100GB 2000GB 5000 2000 8核 16GB 100GB 2000GB
版本差异
标准版和专业版的基础功能均支持身份认证、权限控制、账户管理、操作审计,主要 功能差异为自动化运维、数据库运维审计两个增强功能。
详细版本功能差异,请参见表2 不同版本功能差异说明。
产品介绍 6 服务版本差异
表6-2 不同版本功能说明
功能项 功能说明 标准版 专业版
身份认 证
用户帐号双因子认证
支持手机令牌、手机短信、USBKey、动态令牌等多 因子认证形式。
√ √
用户帐号远程认证
支持AD域、RADIUS、LDAP、Azure AD远程认证。
√ √
权限控 制
系统访问权限
通过划分组织部分结构、分配用户角色、设置用户登 录限制,控制用户登录和访问系统权限。
√ √
资源访问权限
按照用户、用户组、资源账户、账户组,建立用户对 资源的访问控制授权,通过配置访问控制策略、双人 授权、命令控制策略,实现对资源不同维度的控制。
√ √
双人授权
通过配置“双人授权”实现双人或多人权限审核,保 障核心资源绝对安全。
√ √
字符命令拦截
通过配置命令控制策略,对字符协议资源关键操作,
进行动态授权。
√ √
数据库命令拦截
通过配置数据库控制策略,对数据库资源敏感、危险 等操作,进行精确限制、二次复核。
说明
数据库命令拦截功能不区分云数据库还是自建的数据库。
× √
账户管
理 用户帐号全生命周期管理
● 用户帐号单个创建、批量导入、批量管理,以及 划分用户组管理。
√ √
资源账户全生命周期历
● 资源和资源账户的单个添加、批量导入、批量管 理,以及资源账户的划分账户组管理。
√ √
纳管主机资源
● 支持纳管SSH、RDP、VNC、TELNET、FTP、
SFTP、SCP、Rlogin协议类型的Linux和Windows 资源。
√ √
纳管应用资源
● 支持通过Windows应用服务器,纳管Chrome、
IE、Firefox、Oracle Tool 、MySQL等浏览器或客 户端应用资源。
√ √
功能项 功能说明 标准版 专业版 纳管数据库资源
● 支持纳管DB2、MySQL、SQL Server和Oracle引 擎类型数据库。
× √
资源账户自动改密
● 通过配置改密策略,定期修改资源账户密码,管 控资源账户及登录密码。
√ √
资源账户自动同步
● 通过配置账户同步策略,及时发现僵尸账户或未 被管控账户。
× √
操作审 计
系统登录和操作全程记录
● 支持导出系统日志、生成系统报表,以及配置告 警通知。
√ √
资源运维操作全程审计
● 支持多种审计技术和审计形式,会话实时监控,
历史会话可生成视频、导出文本报表的双重审 计,并支持日志远程备份。
√ √
数据库行为审计
● 基于操作命令审计数据库运维全程。
× √
高效运
维 Web浏览器一站式运维
● 远程登录资源,无需安装客户端,一键登录运维 资源,并集成批量登录、协同会话、文件传输、
命令群发等功能。
√ √
第三方客户端运维
● 一键接入多种运维工具,支持多种运维形式,包 括SSH客户端运维、FTP/SFTP/SCP客户端运维 等。
√ √
数据库运维
● 通过SSO单点登录工具调用客户端,一键登录目 标数据库。
× √
自动化运维
● 在线管理脚本,以及定时执行预置运维任务。
× √
工单申 请
访问授权工单、命令授权工单申请
● 系统用户为获取资源控制权限,通过手动或自动 方式触发系统工单,提交工单给系统管理人员审 批,获取权限的全程。
√ √
产品介绍 6 服务版本差异
功能项 功能说明 标准版 专业版 数据库授权工单申请
● 系统用户可触发数据库敏感操作,自动生成授权 工单,系统用户需提交工单申请,由管理人员审 批通过才能获取继续操作权限。
× √
7 基本概念
云堡垒机实例
一个云堡垒机实例对应一个独立运行的云堡垒机系统,用户登录云堡垒机控制台管理 实例。只有创建了云堡垒机实例后,才能登录云堡垒机系统,实现安全运维管理与审 计。
单点登录
单点登录(Single Sign On,SSO)是指在多个独立应用系统环境下,各个应用系统相 互信任,在一个应用系统中将用户认证信息映射到其他系统中,多个系统共享用户认 证数据。简言之,即用户通过登录一个应用系统,就可以访问其他所有相互信任的应 用系统,实现用户单点多系统登录。
资产数
资产数是指云堡垒机管理的云服务器上运行的资源数,同一台云服务器上对应有多个 需要运维的协议、应用等资源。
例如,目前有一台云服务器,在云堡垒机中添加这台云服务器的资源,分别添加了2个 RDP、1个TELNET和1个MySQL协议的主机资源,以及1个Chrome浏览器的应用资 源,则当前管理的资产数即为5,而不是1。
并发数
并发数是指云堡垒机上同一时刻连接的运维协议连接数。
例如,10个运维人员同时通过云堡垒机运维设备,假设平均每个人产生5条协议连接
(例如通过SSH、RDP等协议进行远程连接),则并发数等于50。
产品介绍 7 基本概念
8 计费说明
计费项
云堡垒机实例按选购的版本规格和购买时长计费。
表8-1 计费项说明
计费项 计费说明
云堡垒机实例 按购买实例的版本规格、购买时长计费。
实例购买时长 提供包月和包年的购买模式。
弹性公网IP 购买和使用云堡垒机实例时,必须为CBH实例绑定EIP,且绑定EIP 可用。弹性公网IP按带宽或流量单独计费,详情请参见EIP计费说
明。
说明
为确保云堡垒机系统的正常部署和使用,在付费购买云堡垒机实例后,以及 云堡垒机实例使用期间,请保持绑定的EIP可用。
说明
为正常使用应用发布功能,在通过应用发布管理资源前,需另行购买Windows类型主机、镜 像、企业授权码、客户端License等资源,该部分资源费用不计入CBH计费项。
计费模式
云堡垒机实例的计费模式为包月和包年,暂不支持按需计费。
购买1年,在总价基础上享受83折优惠,购买2年享受7折优惠,购买3年享受5折优 惠。对于长期用户,推荐包年购买。
详情请参见云堡垒机价格详情。
变更配置
● 变更规格实例规格
当您的业务需求增加,可在计费周期内“变更规格”规格。支持从标准版变更规 格到专业版,或更高规格标准版。不支持降级到低规格的版本。
● 退订
购买云堡垒机实例后,如需停止使用,请到费用中心执行退订操作。
续费
包年/包月购买的云堡垒机到期后,您可以在“云堡垒机实例”列表页面,单击操作列 的“更多 > 续费”,跳转至续费管理页面完成续费,延长使用期。续费成功后,后台 自动更新云堡垒机系统授权时长。
更多续费信息(例如导出续费清单、变更资费等),请参见续费管理。
到期与欠费
包年/包月资源开通成功后,如果没有按时续费,会根据“客户等级”和“订购方式”
定义不同的保留期时长。保留期内资源处理说明,详见保留期。
当您的账户欠费后,可查看欠费详情,此时账号将进入欠费状态,需要在约定时间内 支付欠款。为避免相关资源不被停止或者释放,请及时为账户充值,详细操作请参考
欠费还款。
计费 FAQ
●
云堡垒机如何续费,更新授权?
●
云堡垒机实例可以退订吗?
●
云堡垒机扩容规格的费用如何计算?
●
云堡垒机升级版本是否收费?
●
云堡垒机可以免费使用吗?
产品介绍 8 计费说明
9 使用限制
为提高云堡垒机安全管理系统的稳定性和安全性,在CBH实例和系统的使用上有固定 一些限制。
网络访问限制
● 不支持跨区域(Region)直接使用。
云堡垒机实例与系统资源(系统内管理的弹性云服务器、云数据库等)必须在同 一区域内。
虽跨区域跨VPC可通过云连接(Cloud Connect,CC)、虚拟专用网(Virtual Private Network,VPN)等构建跨区域网络,但受限于网络的不稳定性,不建 议跨区域使用云堡垒机纳管资源。
● 不支持跨VPC直接使用。
云堡垒机实例与系统资源必须在同一个VPC的子网内,才能直接连接访问。
跨VPC情况下,可通过对等连接打通两个VPC之间网络。
● 云堡垒机实例与系统资源的安全组,必须允许相互访问。
系统资源必须处于实例所属安全组允许访问的范围内,且资源所属安全组必须允 许实例私有IP访问。
如果实例与系统资源处于不同的安全组,系统默认不能访问。需要在实例的安全 组添加“入”的访问规则。
实例的安全组默认端口有443和2222,默认支持Web浏览器和SSH客户端访问。
若需其他访问方式,需用户手动添加目标端口。
● 只允许通过IP地址和端口访问CBH系统。
支持管理的资源
CBH目前仅支持管理华为云上资源,暂不支持管理其他云厂商资源和线下资源。
● 支持的主机类型
支持SSH、RDP、VNC、TELNET、FTP、SFTP、SCP、Rlogin协议类型的 Windows或Linux主机。
● 支持的数据库类别
– 关系型数据库(Relational Database Service,RDS)。
– 弹性云服务器(Elastic Cloud Server ,ECS)的自建数据库。
● 支持的数据库类型及版本
表9-1 支持的数据库引擎及版本
数据库引擎 引擎版本
MySQL 5.5,5.6,5.7,8.0 Microsoft SQL Server 2017
Oracle 10g,11g,12c DB2 DB2 Express-C PostgreSQL 暂不支持
● 支持应用管理的服务器类型及版本
仅支持对Windows服务器和Linux上的应用进行管理 ,且支持的服务器系统版本 如表9-2。
表9-2 支持的应用服务器类型及版本
系统类型 系统版本
Windows Windows Server 2008 R2及以上版本 Linux CentOS7.9
说明
目前仅X86版本云堡垒机支持应用运维,ARM版本云堡垒机不支持应用运维。
支持使用的第三方客户端
云堡垒机需通过第三方客户端登录CBH系统,以及调用第三方客户端,实现安全运维 管理。
表9-3 登录 CBH 支持的客户端及版本 登录方式 支持使用的客户
端 版本
Web浏览器登
录 IE 11及以上版本
说明IE浏览器上传大文件限制:文件上传到主机,支持单
个文件最大4G。
Chrome 52.0及以上版本 Safari 10及以上版本 Firefox 50.0及以上版本
产品介绍 9 使用限制
登录方式 支持使用的客户 端
版本
SSH客户端登
录 SecureCRT 8.0及以上版本 Xshell 5及以上版本 Mac Terminal 2.0及以上版本
表9-4 运维过程支持调用的客户端 运维方式 资源协议类型/应用类
型
支持调用的客户端
数据库运维
(主机运维方 式)
MySQL Navicat 11、12
MySQL Administrator 1.2.17 MySQL CMD
SQL Server Navicat 11、12 SSMS 17.6
Oracle Toad for Oracle 11.0、12.1、12.8、13.2 Navicat 11、12
PL/SQL Developer 11.0.5.1790 DB2 DB2 CMD命令行 11.1.0 文件传输运维 SFTP Xftp、WinSCP、FlashFXP
FTP Xftp、WinSCP、FlashFXP、FileZilla
SCP WinSCP
应用发布运维 MySQL Tool MySQL Administrator Oracle Tool PL/SQL Developer SQL Server Tool SSMS
dbisql dbisql Chrome Chrome IE iExplore Firefox Firefox VNC Client VNC Viewer SecBrowser SecBrowser VSphere Client VSphere Client Radmin Radmin
其他约束与限制
● 云堡垒机能纳管资源的最大数量不能超过实例规格的总资产数。
● 云堡垒机能同时登录运维资源的最大数量不能超过实例规格的总并发数。
说明
资产数是云堡垒机管理的云服务器上运行的资源数,同一个云服务器上对应有多个需要运维的协 议、应用等资源。
并发数是云堡垒机同一时刻连接运维协议的连接数。
详细说明请参见基本概念。
产品介绍 9 使用限制
10 CBH 实例权限管理
如果您需要对华为云上购买的云堡垒机(Cloud Bastion Host,CBH)实例资源,给企 业中的员工设置不同的访问权限,以达到不同员工之间的权限隔离,您可以使用统一 身份认证服务(Identity and Access Management,IAM)进行精细的权限管理。该 服务提供用户身份认证、权限分配、访问控制等功能,可以帮助您安全的控制华为云 资源的访问。
通过IAM,您可以在华为云帐号中给员工创建IAM用户,并使用策略来控制对华为云资 源的访问范围。例如您的员工中有负责软件开发的人员,您希望员工拥有云堡垒机
(Cloud Bastion Host,CBH)实例的使用权限,但是不希望员工拥有创建、变更规 格、升级CBH实例等高危操作的权限,那么您可以使用IAM为开发人员创建用户,通 过授予仅能使用CBH实例,但是不允许创建、变更规格、升级CBH实例的权限策略,
控制员工对CBH实例资源的使用范围
如果华为云帐号已经能满足您的要求,不需要创建独立的IAM用户进行权限管理,您 可以跳过本章节,不影响您使用CBH的其它功能。
IAM是华为云提供权限管理的基础服务,无需付费即可使用,您只需要为您帐号中的 资源进行付费。关于IAM的详细介绍,请参见《IAM产品介绍》。
CBH 实例权限
默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户 组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。
授权后,用户就可以基于被授予的权限对云服务进行操作。
CBH实例部署时通过物理区域划分,为项目级服务。授权时,“作用范围”需要选择
“区域级项目”,然后在指定区域(如华北-北京1)对应的项目(cn-north-1)中设 置相关权限,并且该权限仅对此项目生效;如果在“所有项目”中设置权限,则该权 限在所有区域项目中都生效。访问CBH实例时,需要先切换至授权区域。
根据授权精细程度分为角色和策略。
● 角色:IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该 机制以服务为粒度,提供有限的服务相关角色用于授权。由于华为云各服务之间 存在业务依赖关系,因此给用户授予角色时,可能需要一并授予依赖的其他角 色,才能正确完成业务。角色并不能满足用户对精细化授权的要求,无法完全达 到企业对权限最小化的安全管控要求。
● 策略:IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资 源以及请求条件等。基于策略的授权是一种更加灵活的授权方式,能够满足企业
对权限最小化的安全管控要求。例如:针对CBH实例,管理员能够控制IAM用户 仅能对某一类云服务器资源进行指定的管理操作。CBH实例支持的授权项请参见
权限及授权项。
如表10-1所示,包括了CBH实例的所有系统权限。
表10-1 CBH 实例系统权限 系统角色/策略
名称
描述 类别 依赖关系
CBHFullAccess 云堡垒机实例的所有权限。 系统 策略
无
CBHReadOnlyAcce ss
云堡垒机实例只读权限,拥有 该权限的用户仅能查看云堡垒 机服务,不具备服务配置和操 作权限。
系统 策略
无
如表10-2列出了CBH实例常用操作与系统权限的授权关系,您可以参照该表选择合适 的系统权限。
表10-2 常用操作与系统权限的关系
操作 CBH FullAccess CBH
ReadOnlyAccess
创建云堡垒机 √ x
变更云堡垒机规格(变更规格) √ x
查询云堡垒机列表 √ √
升级云堡垒机软件版本 √ x
查询ECS配额 √ x
绑定或解绑EIP √ x
重启云堡垒机 √ x
启动云堡垒机 √ x
关闭云堡垒机 √ x
查看云堡垒机可用区 √ x
检测当前配置是否支持创建IPv6云堡垒 机
√ x
检测云堡垒机与License中心之间网络 是否连通
√ x
修改云堡垒机网络,确保与License中 心网络连通
√ x
产品介绍 10 CBH 实例权限管理
相关介绍
● IAM产品介绍
●
创建用户组、用户并授予CBH实例权限
● CBH实例自定义策略
● CBH实例权限及授权项
CBH FullAccess 策略内容
{ "Version": "1.1", "Statement": [ {
"Effect": "Allow", "Action": [ "cbh:*:*", "vpc:subnets:get", "vpc:publicIps:list", "vpc:vpcs:list",
"vpc:securityGroups:get", "vpc:firewallGroups:get", "vpc:firewallPolicies:get", "vpc:firewallRules:get", "vpc:ports:get", "vpc:publicips:update", "vpc:securityGroups:create", "vpc:firewallRules:create", "vpc:firewallPolicies:addRule"
"ecs:cloudServerFlavors:get", "evs:types:get"
] } ] }
CBH ReadOnlyAccess 策略内容
{ "Version": "1.1", "Statement": [ {
"Effect": "Allow", "Action": [ "cbh:*:list*", "vpc:publicIps:list", "vpc:vpcs:list",
"vpc:securityGroups:get", "vpc:subnets:get"
] } ] }
11 与其他云服务的关系
云堡垒机需要与其他云服务协同工作,与其他云服务的依赖关系如图11-1。
图11-1 与其他云服务之间关系
与虚拟私有云的关系
虚拟私有云(Virtual Private Cloud,VPC)为CBH提供虚拟网络环境,用户通过配置
安全组、子网、EIP等子服务,方便地管理、配置内部网络。以及通过自定义安全组内 访问规则,加强安全保护。产品介绍 11 与其他云服务的关系
与弹性云服务器的关系
弹性云服务器(Elastic Cloud Server,ECS)为CBH提供部署环境,同时CBH为ECS上
资源提供安全管理服务。● ECS为CBH系统后台提供部署环境,后台采用EulerOS操作系统。
● 用户通过CBH登录ECS上资源,为弹性云上面的服务器、数据库等资源,提供资产 管理、登录身份管理、运维会话审计等功能,加强主机资源运维安全。
与弹性公网 IP 的关系
弹性公网IP(Elastic IP,EIP)为CBH提供独立的公网IP资源,包括公网IP地址与公网
出口带宽服务。一个弹性公网IP只能绑定一个云资源使用。EIP与CBH灵活绑定连接 Internet,并支持灵活调整带宽,应对访问流量业务的变化。与云数据库的关系
用户通过CBH登录华为云关系型数据库(Relational Database Service,RDS)(主要 是MySQL、SQL Server两类数据库)数据库,为数据库资源提供资产管理、登录身份 管理、运维会话审计等功能,加强数据库资源运维安全。
与云审计服务的关系
云审计服务(Cloud Trace Service,CTS)为CBH实例提供云服务资源的操作记录,记
录内容包括访问管理控制台发起的云服务资源操作请求以及每次请求的结果,供您查 询、审计和回溯使用。CTS记录CBH实例相关操作事件,方便用户日后的查询、审计和回溯,更多说明请参见
云审计支持的CBH操作。
与统一身份认证服务的关系
统一身份认证服务(Identity and Access Management,IAM)为CBH实例提供用户
身份鉴权、IAM用户权限设置等权限管理服务,更多详细说明请参见CBH权限管理。12 个人数据保护机制
云堡垒机实例不直接采集用户个人数据。实例创建成功后,登录云堡垒机系统需创建 用户帐号,创建登录系统用户帐号涉及个人数据采集。
为了确保您的个人数据(例如云堡垒机系统登录名、密码、手机号码等)不被未经过 认证、授权的实体或者个人获取,云堡垒机通过加密存储个人数据、控制个人数据访 问权限以及记录操作日志等方法防止个人数据泄露,保证您的个人数据安全。
收集范围
云堡垒机收集及产生的个人数据如表12-1所示:
表12-1 个人数据范围列表
服务 类型 收集方式 是否
可修 改
是否必须
云堡垒 机实例
登录名 在创建用户帐号时由系统 管理员配置登录名
否 是
登录名是用户的身份标识 信息
密码 ● 在管理员创建用户、重 置用户密码时配置密码
● 在用户登录系统前重置 密码、登录系统后修改 密码时输入密码
是 是
用户登录云堡垒机系统时 使用
邮箱 ● 在管理员创建用户时配 置邮箱
● 在用户登录系统后修改 邮箱时输入邮箱
是 是
接收系统邮件通知
手机 ● 在管理员创建用户时配 置手机号
● 在用户登录系统后修改 手机时输入手机号
是 是
● 接收系统手机短息通知
● 在忘记密码时通过手机 验证码重置密码
产品介绍 12 个人数据保护机制
存储方式
云堡垒机通过加密算法对用户个人敏感数据加密后进行存储。
● 登录名:不属于敏感数据,明文存储
● 密码、邮箱、手机:加密存储
访问权限控制
云堡垒机系统用户个人数据通过加密存储,系统管理员及上级管理员需通过安全码才 能查看用户的手机、邮箱。但用户密码对所有人(包括本人)都不明文可见。
二次认证
云堡垒机系统用户帐号配置用户登录限制“多因子认证”后,用户在登录系统时开启 登录验证功能,需要二次认证(二次认证方式支持“手机短信”、“手机令牌”、
“USBKey”、“动态令牌”),有效保护用户敏感信息。
日志记录
云堡垒机系统用户个人数据的所有操作,包括增加、修改、查询和删除,云堡垒机系 统都会记录审计日志,并可备份到远程服务器或本地电脑。拥有审计权限用户可以查 看并管理下级管理部门用户帐号的日志,系统管理员admin拥有系统最高权限,可查 看并管理登录系统全部用户帐号操作记录。
13 安全声明
在操作CBH前请仔细阅读,避免出现网络安全事件。
账户管理
云堡垒机系统的系统管理员默认帐号为admin,登录密码为申请实例时自定义设置的 密码。
在首次登录云堡垒机系统后,请按照系统提示修改密码,否则无法进入系统运行页 面。
密码管理
为充分保证安全,建议您设置的各类密码满足以下要求:
● 在首次登录云堡垒机系统后,请按照系统提示修改密码和配置手机号码,否则无 法进入云堡垒机系统。
● 密码必须满足密码安全策略:
– 长度范围:8~32个字符,不能低于8个字符,且不能超过32 个字符。
– 规则要求:可设置英文大写字母(A~Z)、英文小写字母(a~z)、数字
(0~9)和特殊字符,且需同时包含其中三种。
– 不能设置为用户名或倒序的用户名。
● 建议定期修改密码,以提高登录账户的安全性。
特性声明
● 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描 述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。
● 由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,
本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗 示的担保。
● 云堡垒机支持HTTPS访问协议,不支持HTTP访问协议。
● 请在法律法规允许的目的和范围内使用。
第三方软件
云堡垒机使用了以下第三方软件:
产品介绍 13 安全声明
● 云堡垒机系统Web浏览器登录方式,建议使用浏览器和版本请参见表13-1。
表13-1 建议使用浏览器及版本
浏览器 版本 说明
IE 11及以上版本 上传大文件限制:H5运维界面,文件上传到主 机,支持单个文件最大4G。
Chrome 52.0及以上版
本 -
Safari 10及以上版本 - Firefox 50.0及以上版
本 -
软件下载方式包含:
● 管理员用户帐号成功登录云堡垒机系统后,单击桌面右上角“下载中心”, 单击 相应软件下载。
● 运维用户帐号成功登录云堡垒机系统后,单击桌面右上角“下载中心”, 单击相 应软件下载。
A 修订记录
发布日期 修改记录
2021-11-03 第二十一次正式发布。
新增图解云堡垒机章节。
2021-07-15 第二十次正式发布。
原基础版更名为标准版,增强版更名为专业版。
2021-06-08 第十九次正式发布。
修改服务版本差异章节,增加相关说明。
2021-05-25 第十八次正式发布。
修改使用限制章节,MySQL支持5.7版本。
2021-04-23 第十七次正式发布。
修改了服务版本差异章节,新上线2000资产规格。
2021-01-25 第十六次正式发布。
本次更新说明如下:
修改了服务版本差异章节,新上线1000资产规格。
2020-11-24 第十五次正式发布。
本次更新说明如下:
● 修改了计费说明章节,下线运维专家服务,修订相关描 述;
● 修改了CBH权限管理章节,下线运维专家服务,修订相关 描述;
● 修改了个人数据保护机制章节,下线运维专家服务,修订 相关描述。
2020-08-26 第十四次正式发布。
本次更新说明如下:
● 修改了服务版本差异章节,新上线Azure AD远程认证;
● 修改了功能特性章节,新上线Azure AD远程认证。
产品介绍 A 修订记录
发布日期 修改记录
2020-08-07 第十三次正式发布。
本次更新说明如下:
● 新增了产品优势章节,简述了产品优势点;
● 修改了服务版本差异章节,新上线500资产规格;
● 修改了功能特性章节,补充功能点说明;
● 修改了应用场景章节,简述了产品应用场景示例。
2020-07-01 第十二次正式发布。
本次更新说明如下:
● 新增了使用限制章节,介绍CBH网络访问限制等内容;
● 修改了基本概念章节,补充资产数和并发数概念说明。
2020-06-24 第十一次正式发布。
本次更新说明如下:
● 新增了CBH权限管理章节,介绍CBH权限策略等内容。
2020-05-29 第十次正式发布。
本次更新说明如下:
● 新增了计费说明,介绍计费项、计费模式、变更配置等内 容;
● 修改了什么是云堡垒机,补充产品服务特点;
● 修改了功能特性,分类功能特性说明;
● 修改了使用场景,补充应用场景示例图;
● 修改了与其他云服务的关系,细化了与其他云服务关系说 明;
● 修改了服务版本差异,完善不同版本间差异说明。
2020-03-17 第九次正式发布。
本次更新说明如下:
● 修改了服务版本中专业版说明。
2020-01-17 第八次正式发布。
本次更新说明如下:
● 修改了安全声明中密码管理说明。
2019-12-10 第七次正式发布。
本次更新说明如下:
● 新增了服务版本章节。
2019-10-28 第六次正式发布。
本次更新说明如下:
● 新增了个人数据保护机制章节。
发布日期 修改记录
2019-09-06 第五次正式发布。
本次更新说明如下:
● 新增了什么是云堡垒机?中运维专家服务和云堡垒机实例 说明;
● 新增了功能介绍中运维专家服务和云堡垒机实例说明。
2018-09-18 第四次正式发布。
2018-07-27 第三次正式发布。
2018-06-04 第二次正式发布。
2018-05-15 第一次正式发布。
产品介绍 A 修订记录
