Buat kebijakan kontrol dan asosiasikan dengan aset dan pengguna - Bastionhost

Bastionhost mendukung kebijakan kontrol. Anda dapat mengonfigurasi kontrol perintah, protokol kontrol, kontrol akses, dan kebijakan kontrol masuk untuk mengelola operasi O&M. Ini mencegah pengguna menjalankan perintah berisiko tinggi atau melakukan kesalahan operasi, memastikan keamanan O&M.

Langkah 1: Buat kebijakan kontrol

Masuk ke Konsol Bastionhost dan pilih wilayah tempat bastion host Anda diterapkan di bilah navigasi atas.
Dalam daftar bastion host, temukan instance target dan klik Manage.
Di panel navigasi sisi kiri, klik Control Policies.
Di halaman Control Policies, klik Create Control Policy.

Di halaman Create Control Policy, konfigurasikan parameter yang diperlukan dan klik Create Control Policy.

Prioritas

Nilai valid: 1 hingga 100. Nilai default: 1. Nilai default menentukan prioritas tertinggi.
Anda dapat mengonfigurasi prioritas yang sama untuk kebijakan kontrol yang berbeda. Jika beberapa kebijakan kontrol memiliki prioritas yang sama, kebijakan terbaru memiliki prioritas tertinggi. Jika kebijakan kontrol perintah dan kebijakan persetujuan perintah memiliki perintah yang sama, perintah diprioritaskan dalam urutan menurun: tolak, izinkan, dan setujui.

Kebijakan Perintah

Host Command Policy

Commands That Require Control

Catatan

Bidang ini hanya berlaku untuk host Linux.

Tentukan perintah yang dapat atau tidak dapat dijalankan oleh pengguna atau pada host tempat kebijakan berlaku.

(Blacklist) Listed Commands Are Not Allowed: Jika Anda memilih opsi ini, Anda dapat meninggalkan bidang Perintah yang Memerlukan Kontrol kosong. Perintah dalam daftar hitam tidak dapat dijalankan oleh pengguna atau pada host tempat kebijakan berlaku.
(Whitelist) Only Listed Commands Are Allowed: Jika Anda memilih opsi ini, Anda harus mengonfigurasi bidang Perintah yang Memerlukan Kontrol. Hanya perintah dalam daftar putih yang dapat dijalankan oleh pengguna dan pada host tempat kebijakan berlaku.

Untuk informasi lebih lanjut, lihat Kebijakan yang Direkomendasikan untuk Perintah Host.

Commands That Require Approval

Jika pengguna menjalankan perintah yang memerlukan persetujuan, administrator harus memilih apakah akan menyetujui eksekusi perintah di konsol bastion host. Hanya perintah yang disetujui yang dapat dijalankan. Untuk informasi lebih lanjut, lihat Tinjau perintah.

Catatan

Kebijakan kontrol perintah memiliki prioritas lebih tinggi daripada kebijakan persetujuan perintah selama validasi.

Database Command Policy

Commands That Require Control

(Blacklist) Listed Commands Are Not Allowed: Jika Anda memilih opsi ini, Anda dapat meninggalkan bidang Perintah yang Memerlukan Kontrol kosong. Perintah dalam daftar hitam tidak dapat dijalankan oleh pengguna atau pada database tempat kebijakan berlaku.
(Whitelist) Only Listed Commands Are Allowed: Jika Anda memilih opsi ini, Anda harus mengonfigurasi bidang Perintah yang Memerlukan Kontrol. Hanya perintah dalam daftar putih yang dapat dijalankan oleh pengguna dan pada database tempat kebijakan berlaku.
Match Method: Dukungan untuk parsing SQL dan pencocokan ekspresi reguler.

Kebijakan yang Direkomendasikan untuk Perintah Host

Tabel berikut menjelaskan beberapa perintah dan kebijakan yang direkomendasikan untuk perintah host.

Perintah	Deskripsi	Kebijakan rekomendasi
reboot	Memulai ulang sistem.	Perintah ini harus disetujui sebelum dapat dijalankan.
restart	Memulai ulang sistem.	Perintah ini harus disetujui sebelum dapat dijalankan.
shutdown	Mematikan sistem.	Perintah ini harus disetujui sebelum dapat dijalankan.
halt	Mematikan sistem.	Perintah ini harus disetujui sebelum dapat dijalankan.
poweroff	Mematikan sistem.	Perintah ini harus disetujui sebelum dapat dijalankan.
init 0	Menghentikan sistem.	Perintah ini harus disetujui sebelum dapat dijalankan.
pkill	Menghentikan beberapa proses sekaligus.	Perintah ini harus disetujui sebelum dapat dijalankan.
kill	Menghentikan satu proses.	Perintah ini harus disetujui sebelum dapat dijalankan.
rm -rf	Menghapus direktori secara rekursif dan mengabaikan prompt.	Perintah ini harus disetujui sebelum dapat dijalankan.
mount	Memasang sistem file. Ini dapat menyebabkan risiko replikasi virus.	Perintah ini harus disetujui sebelum dapat dijalankan.
umount	Melepas sistem file.	Perintah ini harus disetujui sebelum dapat dijalankan.
parted	Mempartisi sistem file.	Perintah ini harus disetujui sebelum dapat dijalankan.
format	Memformat disk.	Perintah ini harus ditambahkan ke daftar hitam.
dd if=/dev/zero of=/dev/had	Membersihkan disk.	Perintah ini harus ditambahkan ke daftar hitam.
:(){:\|:&};:	Membuat fork bomb.	Perintah ini harus ditambahkan ke daftar hitam.
(mv)(\|.*)(/dev/null)	Memindahkan direktori ke file /dev/null.	Perintah ini harus ditambahkan ke daftar hitam.
(wget)(\|.*)(-O- \\| sh)	Mengunduh file dan langsung mengeksekusi file tersebut.	Perintah ini harus ditambahkan ke daftar hitam.
mkfs.ext3 *	Memformat disk.	Perintah ini harus ditambahkan ke daftar hitam.
dd if=/dev/random of=/dev/*	Menulis data ke perangkat blok secara acak.	Perintah ini harus ditambahkan ke daftar hitam.

Kontrol Protokol

Konfigurasikan bidang RDP Options, SSH Options, dan SFTP Options.

Setelah Anda memilih opsi yang diperlukan, pengguna tempat kebijakan berlaku dapat melakukan operasi berdasarkan opsi yang dipilih. Misalnya, jika Anda memilih Unggah File, pengguna dapat mengunggah file.

Penting

Anda harus memilih setidaknya salah satu dari opsi Saluran SSH dan Saluran SFTP. Jika Anda menghapus Saluran SSH, logon berbasis SSH dinonaktifkan untuk akun. Lanjutkan dengan hati-hati.
Jika Anda mengaktifkan Enable Only SFTP Permission untuk akun host, jangan nonaktifkan Saluran SSH dan Saluran SFTP untuk akun host dalam kebijakan kontrol. Jika tidak, akun host tidak dapat digunakan untuk mengakses host menggunakan bastion host.

Kontrol Akses

Tentukan apakah alamat IP sumber dapat mengakses aset tempat kebijakan berlaku.

(Whitelist) Only Listed IP Addresses Are Allowed: Jika Anda memilih opsi ini, Anda harus mengonfigurasi bidang Alamat IP. Pengguna dapat menggunakan alamat IP sumber hanya dalam daftar putih untuk mengakses aset tempat kebijakan berlaku.
(Blacklist) Listed IP Addresses Are Not Allowed: Jika Anda memilih opsi ini, Anda dapat meninggalkan bidang Alamat IP kosong. Pengguna tidak dapat menggunakan alamat IP sumber dalam daftar hitam untuk mengakses aset tempat kebijakan berlaku.

Kontrol Masuk

O&M Approval: Setelah Anda mengaktifkan persetujuan O&M, insinyur O&M dapat masuk ke aset yang diperlukan dan melakukan operasi O&M hanya setelah administrator menyetujui aplikasi O&M. Untuk informasi lebih lanjut, lihat Tinjau aplikasi O&M.
Logon Remarks: Setelah Anda mengaktifkan catatan masuk, personel O&M harus memasukkan catatan saat mereka melakukan operasi O&M berbasis halaman web dan single sign-on (SSO), serta mengajukan token O&M. Gambar berikut menunjukkan catatan masuk saat Anda melakukan operasi O&M pada aset di portal O&M bastion host.

Langkah 2: Asosiasikan kebijakan kontrol dengan aset dan pengguna

Di halaman Assets and Users to Which Policy Is Attached, Anda harus mengasosiasikan kebijakan kontrol dengan aset dan pengguna agar kebijakan berlaku pada aset dan pengguna.

Asosiasikan kebijakan kontrol dengan aset. Anda dapat memilih Takes Effect on All Assets atau Takes Effect on Selected All Assets.
- Jika Anda memilih Takes Effect on All Assets, kebijakan kontrol berlaku untuk semua akun aset.
- Jika Anda memilih Takes Effect on Selected All Assets, pilih aset yang ingin Anda asosiasikan dengan kebijakan kontrol dan kemudian pilih Asosiasikan Semua Akun atau Asosiasikan Akun Spesifik.
Catatan
Untuk mengasosiasikan kebijakan kontrol dengan beberapa aset atau akun aset, tambahkan aset ke grup aset dan kemudian asosiasikan kebijakan kontrol.
Asosiasikan kebijakan kontrol dengan pengguna. Anda dapat memilih Apply to All Users atau Apply to Selected Users.