本文介绍堡垒机支持的功能及功能之间的差异。
背景信息
以下为您介绍堡垒机不同版本的使用场景和优势。
基础版:适用于中小型企业用户的更专业运维体验需求(50~500混合资产),提供更细粒度的运维管控能力,例如客户端运维、细粒度运维用户访问及行为授权、风险命令自动拦截、高危命令运维审批、实时运维监控阻断,用户支持RAM、AD或LDAP自建用户管控等,可满足中小企业的基础运维安全管控需求。
企业双擎版:适用于对运维业务安全要求较高或业务规模较大的企业,如政企、金融、游戏、在线教育、信息技术等。企业双擎版除具有基础版的基础运维安全能力、更充足的性能及基础配置外,还可满足更高的业务运维安全需求。优势如下:
数据库运维场景:支持RDS、自建数据库以及三方数据库的运维授权管控,包含MySQL、SQL Server、PostgreSQL、Oracle。
混合运维场景:通过网络域代理模式实现、线下IDC、其它云以及跨账号下资产的统一运维管控。
高业务稳定保障:采用双引擎架构,双活运行,SLA可达99.95%。
其它增值能力:运维方式上提供Web运维门户运维、资产管理上提供Linux资产自动改密能力,有效提升密码安全性。
功能列表
下表为您介绍堡垒机不同版本支持的功能以及差异。
下表中
表示支持该功能,
表示不支持该功能。
功能 | 描述 | 基础版 | 企业双擎版 | 相关文档 |
架构 | 采用稳定的架构部署,保障业务及监控稳定运行。 | 云化架构 | 云化双引擎架构 | |
弹性扩容 | 支持资产规格、存储、带宽等弹性扩缩容。 |
|
| |
国际化 |
|
|
| |
用户管理 | 支持多种用户角色(管理员、运维员、审计员等)。 |
|
| |
支持新建单个用户及通过文件批量导入用户。 |
|
| ||
支持自动同步RAM用户、AD/LDAP用户。 |
|
| ||
支持对接IDaaS用户,将钉钉、Azure AD等多种身份认证来源用户同步为堡垒机用户。 |
|
| ||
支持用户状态标记,包括已过期、锁定、长时间未登录等多种状态。 |
|
| ||
支持设置用户锁定、密码有效期等策略。 |
|
| ||
资产管理 |
|
|
| |
支持对MySQL、SQL Server、PostgreSQL、Oracle类型的RDS和自建数据库进行运维管控和审计。 |
|
| ||
支持手动新建以及一键导入阿里云和第三方云资产。 |
|
| ||
支持资产账密(密码/密钥)托管,运维人员无需感知资产密码即可对资产运维访问。 |
|
| ||
支持资产状态检测,对ECS、RDS实例以及网络连通性状态进行定期或手动检测。 |
|
| ||
可联动云安全中心资产风险监控状况,及时提醒包含告警、漏洞、基线等风险状态及数量,并支持快速跳转至云安全中心处理风险闭环。 |
|
| ||
支持多云、云上及线下IDC服务器等混合场景统一运维。 |
|
| ||
支持网络域代理模式,堡垒机可通过代理服务器与其他内网环境的资产网络连通。 |
|
| ||
支持对Linux服务器手动或者定期执行改密任务。 |
|
| ||
支持短信、邮箱、手机TOTP令牌及钉钉双因子认证。 |
|
| ||
支持Mstsc、Xshell、SecureCRT、Putty等客户端工具登录堡垒机访问主机。 |
|
| ||
使用本地WinSCP、Xftp、SecureFX等SFTP客户端工具登录堡垒机进行文件传输。 |
|
| ||
支持独立运维门户界面。 |
|
| ||
支持网页端访问主机。 |
|
| ||
支持实时监控正在进行的会话,并可随时阻断会话。 |
|
| ||
支持对RDP运维时,粘贴板上传或下载、磁盘映射等操作进行控制。 |
|
| ||
支持SSH运维时,设置命令黑白名单阻断及审批策略,控制高危、敏感命令执行。 |
|
| ||
支持在运维过程中,对文件的上传、下载、删除、重命名,文件夹的创建、删除等操作进行控制。 |
|
| ||
支持启用运维二次审批,只有在管理员批准后,运维员才能访问资产。 |
|
| ||
支持限制登录堡垒机的用户、资产的来源IP及登录时段。 |
|
| ||
支持设置运维空闲时长限制及总时长限制。 |
|
| ||
日志审计 | 支持针对运维操作全程进行日志及录像审计,可通过录像清晰地还原并追溯运维过程。 |
|
| |
支持对文件传输进行审计。 |
|
| ||
支持生成运维报表,可导出PDF、HTML、WORD三种格式的报表。 |
|
| ||
支持将会话审计日志转存至SLS及通过日志备份下载到本地。 |
|
| ||
接口 | 支持OpenAPI接口调用。 |
|
|