安全管控总览
在自动化运维管理平台提供了全面的安全管控机制,确保各类自动化作业任务在安全可控的前提下发起和运行。
自动化运维管理平台的安全管控机制主要体现在以下几个方面:
1、多层次用户身份认证和权限控制:系统支持LDAP/AD/MFA多因子等多种安全身份认证模式,并提供客户端IP黑白名单设置功能,可限制用户从指定网段、指定客户端IP访问系统,全面提升系统访问和操作的安全。
2、完善的主机账号管理机制:系统内置与主流堡垒机产品的账号集成模块,自动化运维平台无需维护任何系统登录账号敏感信息。
安全管控能力
多层次用户身份认证和权限控制
除了常规LDAP、AD等统一身份认证控制用户对平台的访问外,平台通过集成MFA认证、客户端IP黑白名单等机制,对用户身份实现了更为严格的控制:
MFA多因子认证:平台内置了与MFA AAD服务的集成模块,能够快速与企业MFA AAD服务集成,在用户登录平台时采用多因子认证模式,确保对用户登录更为严格的控制;
客户端IP黑白名单:平台支持对访问客户端IP设置黑白名单,可以将登录平台的客户端限制在指定的IP、指定的IP网段内。此外,客户端IP可与具体账号进一步绑定,将具有特定操作权限的用户账号限制在特定的客户端机器上发起登录请求。通过这一机制,可以将非法用户登录的风险控制到最低限度。
任务级权限控制:平台支持按任务场景的颗粒度为不同用户定义相应操作任务场景的权限。此外,平台可设置用户对某些任务仅有查看权限,限制其对这些任务的执行、启用、禁用等实际操作权限。
完善的主机账号管理机制
自动化运维管理平台底层通过无代理方式完成各类作业任务,无代理作业任务的前提是获取主机账号。因此,平台提供了一套完善的账号管理机制,以适用不同场景的需求:
任务场景中直接设置账号:适用于单台主机、测试任务场景,平台对手工设置的账号进行加密处理,利用手工设置账号登录主机完成作业操作;
任务场景中引用预定义账号:适用与多台主机、生产任务的场景,平台对各台主机的账号进行集中加密管理,在任务中引用预定义账号登录主机完成作业操作;
任务场景集成堡垒机账号:适用与多台主机、安全要求更高的生产任务场景,平台通过与堡垒机的深度集成,在任务中通过堡垒机登录主机完成作业操作。