写点什么

行云堡垒 V7.4 新特性

作者:行云管家
  • 2024-08-19
    广东
  • 本文字数:2890 字

    阅读完需:约 9 分钟

行云堡垒V7.4 版本包括但不限于以下内容:

一、 基础架构

1.1  支持高可用主备模式部署

新增高可用主备模式部署,相比 K8S 集群部署,主备模式所需投入的资源较少,但缺点是资源利用率不高,同时只有一个节点在提供服务,备机只在主节点停止服务时接管。

截止目前,V7 版本将支持标准单机部署、高可用部署、K8S 集群三种部署模式。

1.2  国际化支持

提供简体中文、繁体中文、英文三种语言的切换,可将语言作为偏好设置首选项进行保存,每个用户在任意终端登录时,均能按照首选语言项显示页面内容。


行云堡垒V7.4新特性 版本发布 第1张-行云管家-产品社区


1.3  非 root 权限安装

从安全角度而言,应用的容器进程禁止使用 root 高权限运行,因为一旦有漏洞注入可能带来 shell 反弹等高优先级风险。由于部分功能(如备份还原、日志归档、日志采集等)需要的权限较高,因此在对上述功能做出调整后,已可以支持非 root 方式运行。

二、 资产运维

2.1  支持纳管达梦数据库

支持国产信创数据库达梦的管理,支持范围包括 SQL 拦截、SQL 审批、数据脱敏、SQL 审计;


行云堡垒V7.4新特性 版本发布 第2张-行云管家-产品社区


2.2  应用资产管理的重构

对应用资产的管理进行重大优化,实现以下改进:

  • 参数代填技术方案重构:针对 C/S 应用代填适配率低、Web 应用复杂场景无法代填的问题,新版本予以彻底解决;

  • 增加应用工具的自定义能力:用户可以根据指引,自行发布工具,发布工具时,需要定义代填参数(工具有哪些参数,用作变量)、编写代填脚本,即可完成工具的发布;

  • 应用资产和账号密码解耦:一个应用可以通过属性设置的方式,同时关联多个账号密码,每个账号密码可以分配给某些用户/用户组/部门。对于多用户同时需要使用的一类应用(例如 OA),只需要创建一个应用,再配置每个用户的账号密码即可,无需重复创建应用,即减少了应用资产的数量,也降低了管理员的配置管理工作;

  • 数据库应用工具自定义:用户可自行将任意应用工具发布成数据库工具,只需要设置工具代填参数和数据库的访问参数的映射关系即可。


行云堡垒V7.4新特性 版本发布 第3张-行云管家-产品社区


2.3  资产密码查看

为管理员提供一个“查看资产密码”的功能权限,具备此权限的用户可直接在资产详情页面查看资产凭证的明文密码(此操作需要强制性双因子认证),无需在凭证管理中进行导出操作。


行云堡垒V7.4新特性 版本发布 第4张-行云管家-产品社区


2.4  资产密码申请

普通成员在一些特殊情况需要用到主机的账号密码时,由于账号托管的原因,流程复杂。新版本提供的资产密码申请功能,为用户提供了基于工单流程的密码申请流程,成员发起申请工单后,等待工单审批完毕,成员即可获得密码明文,同时为了确保主机的安全,支持一次一密的方式,审批者根据申请者的使用时间,指定密码在某个时间自动执行改密操作,避免密码的泄露。


行云堡垒V7.4新特性 版本发布 第5张-行云管家-产品社区


2.5  资产访问串批量更换

为资产访问串提供批量更换功能,可一次性更换某个资产的全部访问串。支持单独更换密码、单独变更有效期。


行云堡垒V7.4新特性 版本发布 第6张-行云管家-产品社区


2.6  网络管理中支持直接增删网络

在网络管理功能界面,支持直接增删局域网云账户网络;


行云堡垒V7.4新特性 版本发布 第7张-行云管家-产品社区


2.7  申请资产权限时,显示资产名片

在团队成员申请资产权限时,若资产/凭证数量较多,标识性不强,需要通过资产/凭证描述进一步定位对象。本版本提供的资产名片,可以方便申请者确认所选择的对象。


行云堡垒V7.4新特性 版本发布 第8张-行云管家-产品社区


2.8  SSH 会话支持按键序列自定义

某些交换机等特殊设备,由于系统的特征,在 SSH 访问时,删除键和退格键并非标准按键,需要进行自定义映射。


行云堡垒V7.4新特性 版本发布 第9张-行云管家-产品社区


2.9  VNC 协议管理优化

对 VNC 协议访问资产做了以下改进:

  • 本地工具限制:在使用 VNC 访问资产时,由于各类原生的 VNC 本地工具不支持会话水印,因此部分用户希望将不支持会话水印的 VNC 本地工具给屏蔽掉,只允许使用行云堡垒提供的 VNC 工具。目前行云堡垒提供了 TigerVNC 和 TurboVNC 两款支持会话水印的工具;

  • VNC 访问串:若用户不需要开启 VNC 会话水印,不限制 VNC 本地工具,可开启 VNC 访问串功能,将 VNC 的访问串放到各类工具中使用。


行云堡垒V7.4新特性 版本发布 第10张-行云管家-产品社区


2.10  活跃会话批量监管

管理员在监管团队内活跃会话时,每个会话均是一个独立的浏览器标签页,无法像创建会话一样在一个浏览器标签页中显示。本版本提供了批量监管及批量打开活跃会话的功能,方便管理员一次性的监管全部会话。


行云堡垒V7.4新特性 版本发布 第11张-行云管家-产品社区


2.11  支持导出主机/数据库的描述字段

导出资产信息时,支持将描述字段导出;


行云堡垒V7.4新特性 版本发布 第12张-行云管家-产品社区


2.12  体检中心优化

体检结果概览增加“全部问题”的维度,避免一进到体检中心页面时,容易下意识将第一项“系统安全”当成整体概览;

另外,在某个维度展示问题主机时,默认最多只展示 30 台主机,避免因主机数量过多引起页面加载缓慢的问题;


行云堡垒V7.4新特性 版本发布 第13张-行云管家-产品社区


三、 资源管控

3.1  运维策略支持拖拽方式排序

运维策略优先级调整,支持鼠标拖拽的方式进行排序。


行云堡垒V7.4新特性 版本发布 第14张-行云管家-产品社区


3.2  用户查看自己资产的授权情况

普通用户可直接在资产列表中查看资产的授权情况,区别永久授权和临时授权(图中橙色为临时授权);


行云堡垒V7.4新特性 版本发布 第15张-行云管家-产品社区


四、 审计日志

4.1  会话审计录像优化

1、对于 RDP/VNC 这类图形协议,在存储录像时转存为 MP4 格式,可以大大降低审计日志占用的存储空间;

2、提供审计录像下载,图形协议直接导出 MP4 格式,利用本地播放器播放;对于 SSH/telnet 这类字符集命令行协议,直接将审计日志内容保存为一个网页,下载时用浏览器打开本地网页即可;


行云堡垒V7.4新特性 版本发布 第16张-行云管家-产品社区


4.2  SQL 审计优化

在某些特定 SQL(如 delete table),由于清理一个表需要较长时间,管理员发现该 SQL 存在风险或者时间太久,将其强行中断,SQL 未执行完成时,依然会对此条 SQL 进行记录。


行云堡垒V7.4新特性 版本发布 第17张-行云管家-产品社区


4.3  会话审计日志记录关联工单

在各类会话审计日志中,涉及资产访问审批、指令执行审批、文件传输审批等行为,可以看到审批所关联的工单和实际执行人。


行云堡垒V7.4新特性 版本发布 第18张-行云管家-产品社区


五、 工单中心

5.1  移动端第三方应用支持工单审批

在移动终端设备商使用第三方应用接受工单审批消息时,支持移动端直接审批。


行云堡垒V7.4新特性 版本发布 第19张-行云管家-产品社区


5.2  增加凭证密码申请工单

为资产密码申请功能所新增的工单业务类型。


行云堡垒V7.4新特性 版本发布 第20张-行云管家-产品社区


5.3  审批工单可限制客户端 IP

为所有业务类型的工单,增加可配置的“客户端 IP 限制”开关,开启后,若申请者和审批者为同一客户端 IP,将被禁止审批,建议此特性仅在内网部署的环境下启用。


行云堡垒V7.4新特性 版本发布 第21张-行云管家-产品社区


5.4  指令审批工单支持双敲复核模式

指令执行审批这一类型的业务工单,可以开启“双敲复核”特性,开启后,会在工单最后节点固定增加一个“复核”节点,复核节点仅支持单用户审批,审批时,需要将申请者所提交的指令完全输入一遍方可审批。


行云堡垒V7.4新特性 版本发布 第22张-行云管家-产品社区


六、 管理控制台

6.1  中转选择算法优化

提供通信质量、会话数量、负载均衡三种中转选择算法,通信质量将作为系统缺省算法,管理员可根据需要修改为其它算法,在用户创建会话时,将使用指定的算法选择中转服务。

通信质量:根据目标服务器到中转服务器的通信质量为用户推荐会话中转;

负载均衡:根据每个中转服务器的性能均衡的为用户推荐会话中转;

会话数量:根据每个中转服务器的当前会话数均衡的为用户推荐会话中转;


行云堡垒V7.4新特性 版本发布 第23张-行云管家-产品社区


6.2  CAS 协议支持用户属性映射

在 CAS 协议中,强制使用 username 作为用户名字段,导致有些非标准 CAS 无法实现认证,因此需要在 CAS 协议中支持用户名字段属性映射的自定义。


行云堡垒V7.4新特性 版本发布 第24张-行云管家-产品社区


6.3  SAML2 认证兼容 Azure

Azure 的 SAML2 认证具有特殊性,本版本在 SAML2 请求报文中忽略 requestedAuthnContext,不限定 Password 认证方式,使其支持 Azure 的 SAML2 认证。

6.4  备份还原、日志归档、日志采集等策略的调整

由于安全性限制,在非 K8S 集群环境下,将不允许直接在控制台执行备份还原、日志采集、日志归档、访问协议及端口修改等操作,需要登录到服务器上进行手动设置。


行云堡垒V7.4新特性 版本发布 第25张-行云管家-产品社区


用户头像

行云管家

关注

行云管家-领先的多云管理平台 2021-07-12 加入

还未添加个人简介

评论

发布
暂无评论
行云堡垒V7.4新特性_行云管家_InfoQ写作社区