面向云主机和云堡垒机实现云资源多账户权限管控的方法技术

本发明专利技术涉及云计算及信息安全技术领域，具体涉及一种面向云主机和云堡垒机实现云资源多账户权限管控的方法。本发明专利技术通过构建适合云业务场景的堡垒机，打通云堡垒机与云计算平台的身份认证和权限管理，实现对云主机资源账户权限进行统一管理；通过建立自定义限制云租户的高危的命令过滤响应规则，加强云资源多账户权限管控；获取不同账户的类型后，通过对每个云租户的云主机操作系统权限的统一管控，保证不同账户类型的云租户登录时可以选择对应的账户类型进行登录。本发明专利技术还提供对应的装置，解决了传统堡垒机存在的门槛高、时效性低的问题的同时，在云租户权限变更后，可直接通过云计算平台登入云主机的对应云账户，实现云计算平台的高效管控。平台的高效管控。

【技术实现步骤摘要】
面向云主机和云堡垒机实现云资源多账户权限管控的方法


[0001]本专利技术涉及云计算以及信息安全
，具体涉及一种面向云主机和云堡垒机实现云资源多账户权限管控的方法。

技术介绍

[0002]云主机是云计算在基础设施应用上的重要组成部分，位于云计算产业链金字塔底层，产品源自云计算平台。该平台整合了互联网应用三大核心要素：计算、存储、网络，面向用户提供公用化的互联网基础设施服务。云主机是一种类似VPS主机的虚拟化技术，VPS是采用虚拟软件，VZ或VM在一台主机上虚拟出多个类似独立主机的部分，能够实现单机多用户，每个部分都可以做单独的操作系统，管理方法同主机一样。而随着云主机云计算的发展的网络安全问题也不容忽视。
[0003]堡垒机作为云计算平台安全体系重要部件，堡垒机承担着在混合云环境下进行安全合规审计的关键作用，同时也面临许多问题：基础设施高度异构化、分布范围广；混合云中的云资源规模持续增长，需要堡垒机具备充分的可扩展性。
[0004]云计算平台的建设引入了大量不同类型的IT基础设施，包括企业内部的传统物理设备、虚拟化平台、私有云，以及公有云。传统堡垒机在资产接入和管理上，适配性和灵活性差，平台资源管理的难度高；另一方面，由于目前云计算平台采用多组织多租户模式，导致IT资产分布范围广，管理也相对分散，资产维护难度大。
[0005]云计算平台与传统堡垒机相对孤立，云计算平台租户所属云主机资源账户权限与云堡垒机权限难以联动，云计算平台租户角色发生变化，所属云资源进行调整后，需要同步在堡垒机上进行云主机资源账号权限调整，需要投入较高的人工成本。
[0006]云计算平台用户所属组织租户同，云主机资源账户权限也不同，云主机资源账户分权难以与堡垒机联动，云主机资源账户权限管控较为混乱，需要手动维护云计算平台与堡垒机两套系统，角色权限变更后手动维护存在人为误差因素，时效性差。云主机资源超级管理员用户(administrator/root)与应用用户(app)分权难以同步至堡垒机权限，手工维护存在时效性差，人为误差等问题。

技术实现思路

[0007]针对传统堡垒机存在需要人工维护的门槛高、时效性低的问题，以及云计算平台的基础设施高度异构化、分布散乱、用户杂乱，导致云计算平台的管控效率较低、安全隐患较多，本专利技术提供了一种面向云主机和堡垒机实现云资源多账户权限管控的方法。
[0008]本专利技术请求保护以下技术方案：
[0009]本专利技术提供了一种面向云主机和云堡垒机实现云资源多账户权限管控的方法，包括以下步骤：
[0010]S1构建适合云业务场景的堡垒机：通过开源堡垒机自身的开放的api接口，在云计算平台上构建了适合云业务场景的云堡垒机；
[0011]S2对接云计算平台：将构建后的所述云堡垒机与云计算平台的身份认证和权限管理进行对接；通过所述云计算平台将所有来自于云计算平台的云主机资源账户信息同步至所述云堡垒机，同时由所述云计算平台对云主机资源账户权限进行统一管理；
[0012]S3建立自定义命令过滤响应规则：建立高危命令操作的命令过滤响应规则，实现自动过滤高危命令操作，来加强云资源多账户权限管控，保障系统安全；
[0013]S4多账户权限管控：在所述云计算平台，对云租户的云主机操作系统的权限进行管控；获取多个账户类型的云租户的权限，并通过所述云计算平台联动获得与之对接后的所述堡垒机的对应的账户类型的权限，实现多个账户类型的云租户由云计算平台登录到云主机的Web终端时可以选择对应的账户类型进行登录；同时响应自定义命令过滤响应规则，自动过滤高危命令操作，保障系统安全。
[0014]进一步的，所述云堡垒机，除堡垒机系统本身可以提供的功能外，实现云计算平台与云堡垒机一体化的效果，将云堡垒机登录能力作为云计算平台服务之一提供给终端云租户。
[0015]优选的，所述云堡垒机采用分布式架构，支持多机房跨区域部署，支持横向扩展，无资产数量及并发限制。
[0016]进一步的，在所述步骤S2中，所述对云主机资源账户权限进行统一管理包括：云主机资源在云计算平台上的所有操作将通过云堡垒机统一身份认证和日志记录的基础上进行，上传/下载和复制/粘贴等权限控制能够更好地管控远程办公等场景下的安全运维风险，保证所有云主机的使用的安全性。
[0017]进一步的，在所述步骤S3中，所述高危命令操作包括：云租户登录系统后执行关机、重启、改密、提权、删除根目录等操作；
[0018]所述自定义命令过滤是指：云计算平台可以定义多种允许安全的可操作命令，或者定义一些危险的、不允许操作的命令，以此保证云租户无法通过堡垒机操作这些云主机，包括限制云租户登录系统后执行关机、重启、改密、提权、删除根目录等操作。
[0019]进一步的，所述不同的多个账户权限包括：在云计算平台中对所有云主机资源的管理信息进行收集和配置，通过云计算平台创建的云主机自动会有相应云资源信息；若非通过云计算平台创建的，存量云主机资源，可以通过配置管理信息的方式进行维护。
[0020]优选的，所述的多账户权限管控的方法支持异构操作系统；所述异构操作系统包括：Windows、Redhat、Centos、麒麟v10等。
[0021]本专利技术还提供了一种面向云主机和堡垒机实现云资源多账户权限管控装置，包括：
[0022]构建堡垒机模块：用于通过开源堡垒机自身的开放的api接口，在云计算平台上构建适合云业务场景的云堡垒机；
[0023]云计算平台对接模块：用于将构建后的所述云堡垒机与云计算平台的身份认证和权限管理进行对接；通过所述云计算平台将所有来自于云计算平台的云主机资源账户信息同步至所述云堡垒机，同时由所述云计算平台对云主机资源账户权限进行统一管理；
[0024]命令过滤模块：用于自动响应高危命令操作的命令过滤响应规则，实现自动过滤高危命令操作，来加强云资源多账户权限管控，保障系统安全；
[0025]多账户权限管控模块：用于在所述云计算平台，对云租户的云主机操作系统的权
限进行管控；获得多个账户类型的云租户的权限，并通过所述云计算平台联动获得与之对接后的所述堡垒机的对应的账户类型的权限，实现多个账户类型的云租户由云计算平台登录到云主机的Web终端时可以选择对应的账户类型进行登录；同时通过调用所述命令过滤模块，响应自定义命令过滤响应规则，自动过滤高危命令操作，保障系统安全。
[0026]本专利技术还提供了一种电子装置，该装置包括存储器、处理器，所述存储器上存储有可在所述处理器上运行所述实现云资源多账户权限管控装置的配置程序，所述配置程序被所述处理器执行时可以实现所述的一种面向云主机和堡垒机实现云资源多账户权限管控的方法。
[0027]本专利技术还提供了一种计算机可读存储介质，其特征在于，所述计算机可读的存储介质上存储有所述实现云资源多账户权限管控装置的配置程序，所述配置程序可以被一个或多个处理器执行，以实现所述的一种面向云主机和堡垒机实现云资源多账户权限管控本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向云主机和云堡垒机实现云资源多账户权限管控的方法，其特征在于，包括以下步骤：S1构建适合云业务场景的堡垒机：通过开源堡垒机自身的开放的api接口，在云计算平台上构建了适合云业务场景的云堡垒机；S2对接云计算平台：将构建后的所述云堡垒机与云计算平台的身份认证和权限管理进行对接；通过所述云计算平台将所有来自于云计算平台的云主机资源账户信息同步至所述云堡垒机，同时由所述云计算平台对云主机资源账户权限进行统一管理；S3建立自定义命令过滤响应规则：建立高危命令操作的命令过滤响应规则，实现自动过滤高危命令操作，来加强云资源多账户权限管控，保障系统安全；S4多账户权限管控：在所述云计算平台，对云租户的云主机操作系统的权限进行管控；获取多个账户类型的云租户的权限，并通过所述云计算平台联动获得与之对接后的所述堡垒机的对应的账户类型的权限，实现多个账户类型的云租户由云计算平台登录到云主机的Web终端时可以选择对应的账户类型进行登录；同时响应自定义命令过滤响应规则，自动过滤高危命令操作，保障系统安全。2.根据权利要求1所述的多账户权限管控的方法，其特征在于，所述云堡垒机，除堡垒机系统本身可以提供的功能外，实现云计算平台与云堡垒机一体化的效果，将云堡垒机登录能力作为云计算平台服务之一提供给终端云租户。3.根据权利要求1所述的多账户权限管控的方法，其特征在于，所述云堡垒机采用分布式架构，支持多机房跨区域部署，支持横向扩展，无资产数量及并发限制。4.根据权利要求1所述的多账户权限管控的方法，其特征在于，在所述步骤S2中，所述对云主机资源账户权限进行统一管理包括：云主机资源在云计算平台上的所有操作将通过云堡垒机统一身份认证和日志记录的基础上进行，上传/下载和复制/粘贴等权限控制能够更好地管控远程办公等场景下的安全运维风险，保证所有云主机的使用的安全性。5.根据权利要求1所述的多账户权限管控的方法，其特征在于，在所述步骤S3中，所述高危命令操作包括：云租户登录系统后执行关机、重启、改密、提权、删除根目录等操作；所述自定义命令过滤是指：云计算平台可以定义多种允许安全的可操作命令，或者定义一些危险的、不允许操作的命令，以此保证云租户无法通过堡垒机操作这些云主机，包括限制云租户登录系统后执行关机、重启、改密、提权、删除...

【专利技术属性】
技术研发人员：王骏翔，吴中岱，郭磊，胡蓉，韩冰，韩德志，刘晋，杨珉，徐一言，
申请(专利权)人：上海船舶运输科学研究所有限公司上海海事大学复旦大学，
类型：发明
国别省市：