對企業(yè)來說,IT風(fēng)險控制很重要的一點是對各類主機(jī)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)管理員的特權(quán)帳號和操作行為進(jìn)行監(jiān)控和管理。哪些人可以通過特權(quán)帳號在特定的訪問協(xié)議下訪問IT設(shè)備,并執(zhí)行什么樣的操作,所有的這些都需要精細(xì)的控制與記錄。
隨著SOX法案的實施和國內(nèi)等級保護(hù)體系的建設(shè),企業(yè)對IT風(fēng)險控制的要求也越來越高。在IT運(yùn)維時,管理員都通過特權(quán)帳號對各類IT系統(tǒng)進(jìn)行維護(hù)和管理,特權(quán)帳號可以給管理員帶來維護(hù)管理的便利性,但同時也會帶來風(fēng)險。一旦帳號被黑客盜取,會造成信息泄漏,給企業(yè)帶來巨大損失。另外,如何防止人員誤操作以及消除由于帳號共享導(dǎo)致的責(zé)任界定問題越發(fā)重要。
對企業(yè)來說,IT風(fēng)險控制很重要的一點是對各類主機(jī)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)管理員的特權(quán)帳號和操作行為進(jìn)行監(jiān)控和管理。哪些人可以通過特權(quán)帳號在特定的訪問協(xié)議下訪問IT設(shè)備,并執(zhí)行什么樣的操作,所有的這些都需要精細(xì)的控制與記錄。
對各類主機(jī)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)常見的訪問方式包括RDP、telnet、SSH、VNC等,都是基于網(wǎng)絡(luò)協(xié)議,統(tǒng)稱為帶內(nèi)管理。與之對應(yīng)的帶外管理是指通過對設(shè)備的帶外接口或帶外管理協(xié)議進(jìn)行維護(hù),包括IPKVM、串口、vKVM(IPMI)。帶內(nèi)和帶外只是不同的訪問通道。對運(yùn)維人員來說,有運(yùn)維需求時,可以方便快捷的建立與目標(biāo)設(shè)備的連接,獲得對目標(biāo)設(shè)備的控制權(quán),完成運(yùn)維工作。
vKVM是對傳統(tǒng)IPKVM的一次升級,是現(xiàn)在最流行的帶外訪問方式。vKVM(IPMI)是服務(wù)器自帶的帶外管理接口,通過vKVM可以對服務(wù)器建立虛擬KVM會話和SoL,獲知服務(wù)器內(nèi)部運(yùn)行的溫度,能耗狀態(tài)。vKVM物理接口都是采用RJ-45以太網(wǎng)的接口形式,但各個服務(wù)器廠家有各自不同的協(xié)議,如HPiLO,DelliDRAC等。對運(yùn)維人員來說,對不同廠家的服務(wù)器進(jìn)行運(yùn)維時,需要登錄訪問不同的管理界面,然后在各自的管理界面內(nèi)再開啟虛擬KVM會話和SoL。一方面,vKVM(IPMI)的特權(quán)帳號需要管理,另一方面,操作過程復(fù)雜。
德訊科技作為國內(nèi)領(lǐng)先的IT運(yùn)維安全廠商,一直致力于為客戶提供安全、可靠、便捷的運(yùn)維管理方案。本月,德訊科技將盛大推出最新版本的特權(quán)訪問管理產(chǎn)品DCLive。不但具備網(wǎng)內(nèi)運(yùn)維堡壘機(jī)的功能,同時還能很好的整合特權(quán)帳號管理、帶外運(yùn)維的功能。部署圖如下所示:
DCLive特權(quán)訪問管理具備以下功能:
統(tǒng)一訪問控制
所有的運(yùn)維人員如果要訪問后臺數(shù)據(jù)中心內(nèi)的IT基礎(chǔ)設(shè)施,必須先經(jīng)過DCLive的認(rèn)證。DCLive支持與第三方認(rèn)證平臺集成(LDAP/AD,Radius,RSA Secure ID),實現(xiàn)精確的用戶身份驗證。
管理目標(biāo)設(shè)備的特權(quán)帳號
DCLive可以幫助用戶保管目標(biāo)設(shè)備的特權(quán)帳號,如root、administrator帳號,動態(tài)定期更改密碼,并將特權(quán)帳號授權(quán)給運(yùn)維人員使用。實現(xiàn)了運(yùn)維人員與特權(quán)帳號的分離,消除了由于帳號共享導(dǎo)致的安全漏洞。
會話操作的監(jiān)控、告警、阻斷
管理員可以在后臺對某些運(yùn)維操作會話連接實時監(jiān)控。當(dāng)運(yùn)維人員向特定的目標(biāo)設(shè)備發(fā)起會話或執(zhí)行敏感的命令操作時,可以自動產(chǎn)生告警,甚至阻斷會話操作。
審計內(nèi)容回放與檢索
DCLive通過協(xié)議代理的方式,實現(xiàn)對運(yùn)維人員整個操作過程的記錄。如同回放錄像一樣可以對之前的操作內(nèi)容進(jìn)行回放,運(yùn)維人員通過RDP、VNC、SSH等協(xié)議對目標(biāo)設(shè)備的操作過程會完整準(zhǔn)確顯示到屏幕上。通過對鍵盤輸入關(guān)鍵字的檢索,可以精確定位時間點,實現(xiàn)問題的快速查找和分析。
vKVM管理(業(yè)界唯一支持vKVM的堡壘機(jī)產(chǎn)品)
DCLive支持對服務(wù)器vKVM(HPiLO,DelliDRAC,IBM IMM)的管理,運(yùn)維人員可以建立vKVM會話、SoL會話,并可對會話過程進(jìn)行全面的審計記錄。
支持帶外管理、電源管理
DCLive可連接各類帶外管理裝置,包括德訊DSE系列IPKVM,OCS系列串口服力器;Avocent MPU系列IPKVM,ACS系列串口服務(wù)器。支持對目標(biāo)設(shè)備的帶內(nèi)、帶外雙通道運(yùn)維。DCLive可連接德訊NPC系列智能PDU,實現(xiàn)對目標(biāo)設(shè)備的電源控制(開/關(guān)/重啟);用電情況監(jiān)測(電流、電壓、用電量)。
高可用性系統(tǒng)架構(gòu)
DCLive支持Active-Active雙機(jī)備份部署模式,滿足多數(shù)據(jù)中心、多分支機(jī)構(gòu)的應(yīng)用需求,支持多節(jié)點部署。DCLive硬件采用冗余設(shè)計,支持雙電源、RAID硬盤。
虛擬化環(huán)境部署
DCLive可以支持部署到VMware虛擬化環(huán)境,提供更加便利、低成本的交付部署模式。
德訊科技DCLive能夠被部署在企業(yè)的多個數(shù)據(jù)中心和各類分支機(jī)構(gòu),從而形成一個整合的特權(quán)訪問管理系統(tǒng)。DCLive作為行業(yè)領(lǐng)先的特權(quán)訪問管理解決方案,為客戶提供運(yùn)維管理的“黑科技”。具體產(chǎn)品詳情可關(guān)注德訊科技官網(wǎng)微信,并報名參加DCLive線上發(fā)布會,共同探討DCLive產(chǎn)品特點與應(yīng)用分享。
關(guān)于德訊(DATCENT)
德訊科技股份有限公司(簡稱“德訊科技”),前身為上海德訊,創(chuàng)立于2003年,是一家專注于數(shù)據(jù)中心,提供IT基礎(chǔ)設(shè)施運(yùn)營管理解決方案、產(chǎn)品及服務(wù)的高新技術(shù)企業(yè)。
作為數(shù)據(jù)中心IT設(shè)施運(yùn)營管理領(lǐng)域的知名民族品牌,德訊科技“以科技及創(chuàng)新改善IT管理方式”,致力于提升用戶IT運(yùn)營管理能力。迄今德訊科技已成功研制了幾十項軟硬件產(chǎn)品,已申請取得60多項發(fā)明專利及軟件著作權(quán),多項產(chǎn)品和技術(shù)獲得江蘇省優(yōu)秀軟件產(chǎn)品獎、中國優(yōu)秀軟件產(chǎn)品獎、南京市科技進(jìn)步獎、江蘇省科技進(jìn)步獎以及國家科技進(jìn)步二等獎等榮譽(yù)獎項,并成功為電信運(yùn)營商、金融、能源、政府、企事業(yè)單位等2000多家行業(yè)用戶提供系統(tǒng)方案與服務(wù)。
德訊科技在南京設(shè)有運(yùn)營管理中心、研發(fā)中心,在北京設(shè)有營銷服務(wù)中心,并在上海、廣州、南京、成都、濟(jì)南、呼和浩特、西安等大中城市設(shè)有服務(wù)機(jī)構(gòu)。公司擁有業(yè)界頂尖的專業(yè)服務(wù)團(tuán)隊,并與IBM、CA軟件、戴爾軟件、惠普、亞信等數(shù)十家廠商建立了戰(zhàn)略合作伙伴關(guān)系,隨時為用戶提供全方位優(yōu)質(zhì)的IT咨詢與服務(wù)。
德訊科技堅持以實現(xiàn)客戶需求為己任,秉承“誠信、創(chuàng)造、責(zé)任、分享”的態(tài)度及理念,立足于業(yè)界最前沿,不斷探索IT管理新方式,持續(xù)創(chuàng)新,始終引領(lǐng)數(shù)據(jù)中心IT基礎(chǔ)設(shè)施運(yùn)營管理發(fā)展新航向。
