引言
堡垒机的集成场景
堡垒机(也多称为运维审计系统)能够实现对云上资产运维过程的事先防范、事中控制和事后溯源,集中管控用户访问系统和资产的权限,并全程记录用户的操作行为、识别运维风险,帮助用户建立完善的运维管理与内控体系。
很多客户都使用堡垒机来提供运维的安全准入,在使用骞云运维管理平台进行云资源的创建、编排、变更操作后,资源的安全访问也需要得到保障,因此骞云运维管理平台提供了将平台和堡垒机进行集成的能力。
当前大部分客户在堡垒机集成上有如下几个基本场景:
同步资产:用户申请资源同时填写能够访问该资产的用户名称,平台在创建资源后,将资源注册到堡垒机和对应的申请人名下,平台删除资源后会执行资产注销操作;
同步部门:将骞云平台的业务组(部门)同步到堡垒机的组织,包括创建、删除组织;
同步应用系统:将骞云平台的应用系统同步对应到堡垒机的主机组和用户组;
同步用户:将骞云平台的用户同步对应到堡垒机的用户,包括用户的创建和删除。
骞云平台与堡垒机的集成方案
骞云平台拥有开放的生态,有着强大的基于组件和低代码的集成与被集成能力,能够通过多种灵活的方案与其他系统集成。
骞云平台通过服务集成模块能力实现与堡垒机平台的集成,通过定义堡垒机服务的属性并将属性作为参数传递给操作脚本,将堡垒机服务抽象成为配置属性标准化的组件,实现可灵活自定义的堡垒机服务集成。
组件之间存在继承关系,Bastion Host就是其他堡垒机集成的基类,基类的核心作用是定义堡垒机组件的通用操作,如:同步资产、同步用户和部门等。
有了堡垒机场景的基类,就可以灵活定义具体的堡垒机服务的实现。按需自定义堡垒机集成组件的属性(参数),规范堡垒机资产对接时需要填写的对应的用户、部门和资源组等。添加和编辑对应的操作的脚本内容,实现堡垒机的使用场景的集成涵盖。
堡垒机属性自定义
堡垒机操作脚本定义堡垒机实际操作场景
*更多骞云平台的云服务组件化能力,可以查阅官网的相关技术资料介绍。
堡垒机对接的配置步骤
基于平台的组件服务集成,骞云平台提供对任意堡垒机的对接能力。那么这些能力是如何运用到客户的堡垒机使用场景上的呢?接下来我们可以对接一个堡垒机服务,并形成资源注册、用户和组织同步的功能配置。
首先需要对接堡垒机平台实现连接认证。通过服务集成菜单,添加堡垒机对接入口,一般需要堡垒机地址、用户名、密码信息。对接堡垒机平台成功后,可以进行堡垒机实例的注册,配置在哪些区域启用新注册的堡垒机。
*P.S.通过上述步骤在堡垒机组件中定义的其他属性,也可在此进行配置填写,实现数据库堡垒机等高级场景。
经过这样配置,用户在骞云平台创建的资产,都会自动同步到堡垒机系统上对应的用户和组织下,确保了数据的准确性、实时性,也避免了大量的人工操作。
本文介绍了骞云平台和堡垒机集成的最基本场景,我们将会在下一篇介绍一些深度集成的能力,从而带来更好的用户体验。
集成骞云平台和堡垒机系统的UI交互,让用户在通过骞云平台进行资源访问时,平滑无感地过渡到堡垒机的UI; 用户提权的自服务和自动化; 数据库堡垒机的实现,联动数据库审计平台; …
敬请期待!
