為助力企業等保合規,本文為您介紹堡壘機各能力與等保相關條款的對應關系,以便為您準備相關材料提供參考。
背景信息
保障運維安全是企業信息安全建設過程中的關鍵問題。國內外多個法律法規都對運維安全提出了規范要求。其中,等保合規已經成為國家對企業信息安全建設的重要標準。因此,如何滿足等保合規要求也成了企業需要關注的重點。
阿里云堡壘機通過全面的資產運維場景、細粒度的訪問控制以及日志審計等功能,幫助企業提高信息安全水平,降低運維安全風險,助力企業滿足等保合規要求。
等保三級相關條款
該最佳實踐將主要聚焦于以下等保條例:
安全區域邊界
安全審計
安全計算邊界
身份鑒別
訪問控制
安全審計
安全區域邊界
安全審計
應在網絡邊界、重要網絡節點進行安全審計,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計
堡壘機支持對用戶訪問服務器時的運維操作進行細粒度的監控和審計。
登錄堡壘機系統。具體操作,請參見登錄系統。
在左側導航欄,選擇
,在所有會話頁簽,可以查看用戶對主機、數據庫的運維會話記錄。在左側導航欄,選擇
,可以查看用戶登錄堡壘機的操作記錄。
審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息
堡壘機審計信息包含日期和時間、用戶、事件類型、運維協議、操作行為是否成功及其他與審計相關的信息。
登錄堡壘機系統。具體操作,請參見登錄系統。
在左側導航欄,選擇
,在會話審計界面,可以查看用戶對主機、數據庫的運維會話記錄。單擊會話列表詳情,可以查看事件的日期和時間、用戶、事件類型;單擊播放可以查看運維錄像。
在左側導航欄,選擇
,可以查看用戶登錄堡壘機的操作并記錄操作是否成功。
應能對遠程訪問的用戶行為、訪問互聯網的用戶行為等單獨進行行為審計和數據分析
堡壘機支持對遠程訪問的用戶行為單獨進行詳細的行為審計,并提供運維報表的數據分析能力。
登錄堡壘機系統。具體操作,請參見登錄系統。
在左側導航欄,選擇
,支持按照用戶搜索會話記錄,可以對單個用戶進行分析。在左側導航欄,選擇
,支持通過運維報表進行數據分析。
應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等
堡壘機支持自動定期備份日志審計記錄,并支持將日志備份下載到本地以及轉存到SLS上進行存儲及分析。
登錄堡壘機系統。具體操作,請參見登錄系統。
在左側導航欄,選擇
,單擊日志備份頁簽,單擊下載,可將日志備份文件下載到本地。說明將會話審計日志轉存到SLS具體可參考歸檔審計日志到日志服務。
安全計算環境
身份鑒別
應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換
堡壘機用戶需要通過密碼或者密鑰認證才能成功登錄堡壘機,并且限制用戶不可創建相同用戶名,保證身份標識的唯一性;在用戶身份配置上,具有用戶密碼復雜度及密碼有效期要求。
身份鑒別
客戶端運維
運維門戶
登錄堡壘機系統。具體操作,請參見登錄系統。
在概覽頁面,獲取運維門戶地址。
瀏覽器打開運維門戶地址,需要通過身份鑒別之后才能登錄運維門戶。
身份唯一性
登錄堡壘機系統。具體操作,請參見登錄系統。
在左側導航欄,選擇
,新增已有的本地用戶,會創建失敗。
身份鑒別信息是否具有復雜度要求并定期更換
登錄堡壘機系統。具體操作,請參見登錄系統。
在左側導航欄,選擇
,選擇 ,創建用戶時要求密碼復雜度。在左側導航欄,單擊系統設置,在用戶配置頁簽,支持設置密碼有效期,密碼過期之后無法登錄堡壘機。
應具有登錄失敗處理功能,應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施
堡壘機支持限制用戶登錄時的密碼嘗試次數,用戶輸入錯誤密碼超過一定次數會被鎖定,需要等待管理員解鎖或者等待自動解鎖。
登錄堡壘機系統。具體操作,請參見登錄系統。
在左側導航欄,單擊系統設置,在用戶配置頁簽,支持設置密碼嘗試次數和鎖定時長,密碼錯誤超過一定次數之后用戶會被鎖定,鎖定時長內用戶無法登錄堡壘機,需要等待自動解鎖或者手動解鎖。
在左側導航欄,單擊系統設置,在運維配置頁簽,支持設置運維空閑時長限制及總時長限制,超過設置時長后,運維會話會自動結束。
當進行遠程管理時,應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽
通過堡壘機訪問服務器使用的SSH協議、RDP協議、SFTP協議均為加密協議,防止進行遠程管理時,鑒別信息在網絡傳輸過程中被竊聽。
應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別,且其中一種鑒別技術至少應使用密碼技術來實現
堡壘機支持短信、郵件、釘釘工作消息通知或者OTP令牌認證多種形式的雙因子認證,并可以靈活進行全局設置或者按照單個用戶進行設置。
雙因子認證
登錄堡壘機系統。具體操作,請參見登錄系統。
在左側導航欄,單擊系統設置,在雙因子認證頁簽,啟用雙因子認證。
全局及單個配置
登錄堡壘機系統。具體操作,請參見登錄系統。
在左側導航欄,選擇
,單擊目標用戶,即可設置雙因子認證方式為全局配置或單個用戶配置。
訪問控制
應對登錄的用戶分配賬戶和權限
堡壘機支持按用戶及用戶組授權資產,用戶只能訪問管理員為自己授權的資產,防止越權訪問。
登錄堡壘機系統。具體操作,請參見登錄系統。
在左側導航欄,選擇
,在需要授權用戶的操作列中,授權主機。
應重命名或刪除默認賬戶,修改默認賬戶的默認口令
堡壘機的管理員可以對用戶賬戶進行新建、修改、刪除操作,同時可以修改用戶密碼,以及設置強制本地用戶下次登錄時必須重置密碼。
新建、修改、刪除操作
登錄堡壘機系統。具體操作,請參見登錄系統。
在左側導航欄,選擇
。支持新增單個用戶或者從文件批量導入用戶
支持刪除單個用戶或者批量刪除用戶
修改密碼及強制重置密碼
登錄堡壘機系統。具體操作,請參見登錄系統。
在左側導航欄,選擇
,可以配置本地用戶在下次登錄時必須重置密碼。
應及時刪除或停用多余的、過期的賬戶,避免共享賬戶的存在
堡壘機支持按照用戶狀態進行篩選,可以及時發現并處理已過期用戶、長時間未登錄等狀態異常的用戶,提高用戶管理效率。
登錄堡壘機系統。具體操作,請參見登錄系統。
在左側導航欄,選擇
。在用戶頁面,篩選狀態異常的用戶或刪除、鎖定用戶。篩選狀態異常用戶
批量選擇之后刪除、鎖定用戶等
應授予管理用戶所需的最小權限,實現管理用戶的權限分離
堡壘機管理員角色支持管理員權限、審計員權限、只讀權限和運維員權限,可以通過RAM授權配置多種管理權限。具體操作,請參見堡壘機管理員角色授權。
應由授權主體配置訪問控制策略,訪問控制策略規定主體對客體的訪問規則
堡壘機支持配置運維員對資產的訪問控制策略,包括命令控制、命令審批、協議控制、訪問控制以及運維審批等。
登錄堡壘機系統。具體操作,請參見登錄系統。
在左側導航欄,單擊控制策略,在新建控制策略頁面,配置控制策略的名稱、優先級、命令控制、命令審批、協議控制、訪問控制以及運維審批。
安全審計
應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計
堡壘機支持對用戶登錄堡壘機以及通過堡壘機訪問服務器的操作進行審計,審計覆蓋到每個用戶。
登錄堡壘機系統。具體操作,請參見登錄系統。
在左側導航欄,選擇
,在所有會話頁簽,查看所有用戶對服務器的運維操作記錄。在左側導航欄,選擇
,查看所有用戶登錄堡壘機所做的操作。
審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息
堡壘機審計記錄包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。
登錄堡壘機系統。具體操作,請參見登錄系統。
在左側導航欄,選擇
,查看用戶對主機、數據庫的運維會話記錄。在會話列表詳情,可以查看事件的日期和時間、用戶、事件類型,單擊播放可以查看運維錄像,單擊詳情可以查看會話具體信息。
在左側導航欄,選擇
,可以查看用戶登錄堡壘機的操作并記錄操作是否成功。