ZD至顶网服务器频道 03月17日 新闻消息:随着SOX 法案的实施和国内等级保护体系的建设,企业对IT风险控制的要求也越来越高。在IT运维时,管理员都通过特权帐号对各类IT系统进行维护和管理,特权帐号可以给管理员带来维护管理的便利性,但同时也会带来风险。一旦帐号被黑客盗取,会造成信息泄漏,给企业带来巨大损失。另外,如何防止人员误操作以及消除由于帐号共享导致的责任界定问题越发重要。
对企业来说,IT风险控制很重要的一点是对各类主机、网络设备、应用系统管理员的特权帐号和操作行为进行监控和管理。哪些人可以通过特权帐号在特定的访问协议下访问IT设备,并执行什么样的操作,所有的这些都需要精细的控制与记录。
对各类主机、网络设备、应用系统常见的访问方式包括RDP、telnet、SSH、VNC等,都是基于网络协议,统称为带内管理。与之对应的带外管理是指通过对设备的带外接口或带外管理协议进行维护,包括IP KVM、串口、vKVM(IPMI)。带内和带外只是不同的访问通道。对运维人员来说,有运维需求时,可以方便快捷的建立与目标设备的连接,获得对目标设备的控制权,完成运维工作。
vKVM是对传统IP KVM的一次升级,是现在最流行的带外访问方式。vKVM(IPMI)是服务器自带的带外管理接口,通过vKVM可以对服务器建立虚拟KVM会话和SoL,获知服务器内部运行的温度,能耗状态。vKVM物理接口都是采用RJ-45以太网的接口形式,但各个服务器厂家有各自不同的协议,如HP iLO, Dell iDRAC等。对运维人员来说,对不同厂家的服务器进行运维时,需要登录访问不同的管理界面,然后在各自的管理界面内再开启虚拟KVM会话和SoL。一方面,vKVM(IPMI)的特权帐号需要管理,另一方面,操作过程复杂。
德讯科技作为国内领先的IT运维安全厂商,一直致力于为客户提供安全、可靠、便捷的运维管理方案。本月,德讯科技将盛大推出最新版本的特权访问管理产品DCLive。不但具备网内运维堡垒机的功能,同时还能很好的整合特权帐号管理、带外运维的功能。部署图如下所示:
DCLive特权访问管理具备以下功能:
统一访问控制
所有的运维人员如果要访问后台数据中心内的IT基础设施,必须先经过DCLive的认证。DCLive支持与第三方认证平台集成(LDAP/AD, Radius, RSA SecureID),实现精确的用户身份验证。
管理目标设备的特权帐号
DCLive可以帮助用户保管目标设备的特权帐号,如root、administrator帐号,动态定期更改密码,并将特权帐号授权给运维人员使用。实现了运维人员与特权帐号的分离,消除了由于帐号共享导致的安全漏洞。
会话操作的监控、告警、阻断
管理员可以在后台对某些运维操作会话连接实时监控。当运维人员向特定的目标设备发起会话或执行敏感的命令操作时,可以自动产生告警,甚至阻断会话操作。
审计内容回放与检索
DCLive通过协议代理的方式,实现对运维人员整个操作过程的记录。如同回放录像一样可以对之前的操作内容进行回放,运维人员通过RDP、VNC、SSH等协议对目标设备的操作过程会完整准确显示到屏幕上。通过对键盘输入关键字的检索,可以精确定位时间点,实现问题的快速查找和分析。
vKVM管理(业界唯一支持vKVM的堡垒机产品)
DCLive支持对服务器vKVM(HP iLO, Dell iDRAC, IBM IMM)的管理,运维人员可以建立vKVM会话、SoL会话,并可对会话过程进行全面的审计记录。
支持带外管理、电源管理
DCLive可连接各类带外管理装置,包括德讯DSE系列IP KVM,OCS系列串口服力器;Avocent MPU系列IP KVM,ACS系列串口服务器。支持对目标设备的带内、带外双通道运维。DCLive可连接德讯NPC系列智能PDU,实现对目标设备的电源控制(开/关/重启);用电情况监测(电流、电压、用电量)。
高可用性系统架构
DCLive支持Active-Active双机备份部署模式,满足多数据中心、多分支机构的应用需求,支持多节点部署。DCLive硬件采用冗余设计,支持双电源、RAID硬盘。
虚拟化环境部署
DCLive可以支持部署到VMware虚拟化环境,提供更加便利、低成本的交付部署模式。
德讯科技DCLive能够被部署在企业的多个数据中心和各类分支机构,从而形成一个整合的特权访问管理系统。DCLive作为行业领先的特权访问管理解决方案,为客户提供运维管理的“黑科技”。具体产品详情可关注德讯科技官网微信,并报名参加DCLive线上发布会,共同探讨DCLive产品特点与应用分享。
原文发布时间为:2016-03-17