對企業(yè)來(lái)說(shuō),IT風(fēng)險控制很重要的一點(diǎn)是對各類(lèi)主機、網(wǎng)絡(luò )設備、應用系統管理員的特權帳號和操作行為進(jìn)行監控和管理。哪些人可以通過(guò)特權帳號在特定的訪(fǎng)問(wèn)協(xié)議下訪(fǎng)問(wèn)IT設備,并執行什么樣的操作,所有的這些都需要精細的控制與記錄。
隨著(zhù)SOX法案的實(shí)施和國內等級保護體系的建設,企業(yè)對IT風(fēng)險控制的要求也越來(lái)越高。在IT運維時(shí),管理員都通過(guò)特權帳號對各類(lèi)IT系統進(jìn)行維護和管理,特權帳號可以給管理員帶來(lái)維護管理的便利性,但同時(shí)也會(huì )帶來(lái)風(fēng)險。一旦帳號被黑客盜取,會(huì )造成信息泄漏,給企業(yè)帶來(lái)巨大損失。另外,如何防止人員誤操作以及消除由于帳號共享導致的責任界定問(wèn)題越發(fā)重要。
對企業(yè)來(lái)說(shuō),IT風(fēng)險控制很重要的一點(diǎn)是對各類(lèi)主機、網(wǎng)絡(luò )設備、應用系統管理員的特權帳號和操作行為進(jìn)行監控和管理。哪些人可以通過(guò)特權帳號在特定的訪(fǎng)問(wèn)協(xié)議下訪(fǎng)問(wèn)IT設備,并執行什么樣的操作,所有的這些都需要精細的控制與記錄。
對各類(lèi)主機、網(wǎng)絡(luò )設備、應用系統常見(jiàn)的訪(fǎng)問(wèn)方式包括RDP、telnet、SSH、VNC等,都是基于網(wǎng)絡(luò )協(xié)議,統稱(chēng)為帶內管理。與之對應的帶外管理是指通過(guò)對設備的帶外接口或帶外管理協(xié)議進(jìn)行維護,包括IPKVM、串口、vKVM(IPMI)。帶內和帶外只是不同的訪(fǎng)問(wèn)通道。對運維人員來(lái)說(shuō),有運維需求時(shí),可以方便快捷的建立與目標設備的連接,獲得對目標設備的控制權,完成運維工作。
vKVM是對傳統IPKVM的一次升級,是現在最流行的帶外訪(fǎng)問(wèn)方式。vKVM(IPMI)是服務(wù)器自帶的帶外管理接口,通過(guò)vKVM可以對服務(wù)器建立虛擬KVM會(huì )話(huà)和SoL,獲知服務(wù)器內部運行的溫度,能耗狀態(tài)。vKVM物理接口都是采用RJ-45以太網(wǎng)的接口形式,但各個(gè)服務(wù)器廠(chǎng)家有各自不同的協(xié)議,如HPiLO,DelliDRAC等。對運維人員來(lái)說(shuō),對不同廠(chǎng)家的服務(wù)器進(jìn)行運維時(shí),需要登錄訪(fǎng)問(wèn)不同的管理界面,然后在各自的管理界面內再開(kāi)啟虛擬KVM會(huì )話(huà)和SoL。一方面,vKVM(IPMI)的特權帳號需要管理,另一方面,操作過(guò)程復雜。
德訊科技作為國內領(lǐng)先的IT運維安全廠(chǎng)商,一直致力于為客戶(hù)提供安全、可靠、便捷的運維管理方案。本月,德訊科技將盛大推出最新版本的特權訪(fǎng)問(wèn)管理產(chǎn)品DCLive。不但具備網(wǎng)內運維堡壘機的功能,同時(shí)還能很好的整合特權帳號管理、帶外運維的功能。部署圖如下所示:
DCLive特權訪(fǎng)問(wèn)管理具備以下功能:
統一訪(fǎng)問(wèn)控制
所有的運維人員如果要訪(fǎng)問(wèn)后臺數據中心內的IT基礎設施,必須先經(jīng)過(guò)DCLive的認證。DCLive支持與第三方認證平臺集成(LDAP/AD,Radius,RSA Secure ID),實(shí)現精確的用戶(hù)身份驗證。
管理目標設備的特權帳號
DCLive可以幫助用戶(hù)保管目標設備的特權帳號,如root、administrator帳號,動(dòng)態(tài)定期更改密碼,并將特權帳號授權給運維人員使用。實(shí)現了運維人員與特權帳號的分離,消除了由于帳號共享導致的安全漏洞。
會(huì )話(huà)操作的監控、告警、阻斷
管理員可以在后臺對某些運維操作會(huì )話(huà)連接實(shí)時(shí)監控。當運維人員向特定的目標設備發(fā)起會(huì )話(huà)或執行敏感的命令操作時(shí),可以自動(dòng)產(chǎn)生告警,甚至阻斷會(huì )話(huà)操作。
審計內容回放與檢索
DCLive通過(guò)協(xié)議代理的方式,實(shí)現對運維人員整個(gè)操作過(guò)程的記錄。如同回放錄像一樣可以對之前的操作內容進(jìn)行回放,運維人員通過(guò)RDP、VNC、SSH等協(xié)議對目標設備的操作過(guò)程會(huì )完整準確顯示到屏幕上。通過(guò)對鍵盤(pán)輸入關(guān)鍵字的檢索,可以精確定位時(shí)間點(diǎn),實(shí)現問(wèn)題的快速查找和分析。
vKVM管理(業(yè)界唯一支持vKVM的堡壘機產(chǎn)品)
DCLive支持對服務(wù)器vKVM(HPiLO,DelliDRAC,IBM IMM)的管理,運維人員可以建立vKVM會(huì )話(huà)、SoL會(huì )話(huà),并可對會(huì )話(huà)過(guò)程進(jìn)行全面的審計記錄。
支持帶外管理、電源管理
DCLive可連接各類(lèi)帶外管理裝置,包括德訊DSE系列IPKVM,OCS系列串口服力器;Avocent MPU系列IPKVM,ACS系列串口服務(wù)器。支持對目標設備的帶內、帶外雙通道運維。DCLive可連接德訊NPC系列智能PDU,實(shí)現對目標設備的電源控制(開(kāi)/關(guān)/重啟);用電情況監測(電流、電壓、用電量)。
高可用性系統架構
DCLive支持Active-Active雙機備份部署模式,滿(mǎn)足多數據中心、多分支機構的應用需求,支持多節點(diǎn)部署。DCLive硬件采用冗余設計,支持雙電源、RAID硬盤(pán)。
虛擬化環(huán)境部署
DCLive可以支持部署到VMware虛擬化環(huán)境,提供更加便利、低成本的交付部署模式。
德訊科技DCLive能夠被部署在企業(yè)的多個(gè)數據中心和各類(lèi)分支機構,從而形成一個(gè)整合的特權訪(fǎng)問(wèn)管理系統。DCLive作為行業(yè)領(lǐng)先的特權訪(fǎng)問(wèn)管理解決方案,為客戶(hù)提供運維管理的“黑科技”。具體產(chǎn)品詳情可關(guān)注德訊科技官網(wǎng)微信,并報名參加DCLive線(xiàn)上發(fā)布會(huì ),共同探討DCLive產(chǎn)品特點(diǎn)與應用分享。
關(guān)于德訊(DATCENT)
德訊科技股份有限公司(簡(jiǎn)稱(chēng)“德訊科技”),前身為上海德訊,創(chuàng )立于2003年,是一家專(zhuān)注于數據中心,提供IT基礎設施運營(yíng)管理解決方案、產(chǎn)品及服務(wù)的高新技術(shù)企業(yè)。
作為數據中心IT設施運營(yíng)管理領(lǐng)域的知名民族品牌,德訊科技“以科技及創(chuàng )新改善IT管理方式”,致力于提升用戶(hù)IT運營(yíng)管理能力。迄今德訊科技已成功研制了幾十項軟硬件產(chǎn)品,已申請取得60多項發(fā)明專(zhuān)利及軟件著(zhù)作權,多項產(chǎn)品和技術(shù)獲得江蘇省優(yōu)秀軟件產(chǎn)品獎、中國優(yōu)秀軟件產(chǎn)品獎、南京市科技進(jìn)步獎、江蘇省科技進(jìn)步獎以及國家科技進(jìn)步二等獎等榮譽(yù)獎項,并成功為電信運營(yíng)商、金融、能源、政府、企事業(yè)單位等2000多家行業(yè)用戶(hù)提供系統方案與服務(wù)。
德訊科技在南京設有運營(yíng)管理中心、研發(fā)中心,在北京設有營(yíng)銷(xiāo)服務(wù)中心,并在上海、廣州、南京、成都、濟南、呼和浩特、西安等大中城市設有服務(wù)機構。公司擁有業(yè)界頂尖的專(zhuān)業(yè)服務(wù)團隊,并與IBM、CA軟件、戴爾軟件、惠普、亞信等數十家廠(chǎng)商建立了戰略合作伙伴關(guān)系,隨時(shí)為用戶(hù)提供全方位優(yōu)質(zhì)的IT咨詢(xún)與服務(wù)。
德訊科技堅持以實(shí)現客戶(hù)需求為己任,秉承“誠信、創(chuàng )造、責任、分享”的態(tài)度及理念,立足于業(yè)界最前沿,不斷探索IT管理新方式,持續創(chuàng )新,始終引領(lǐng)數據中心IT基礎設施運營(yíng)管理發(fā)展新航向。
