Bastionhost は、運用保守 (O&M) とセキュリティ監査のプラットフォームです。特権アクセス制御を一元化し、最小権限を適用し、すべてのセッションを記録することで、組織は誰が、いつ、どのアセットで何を行ったかについて、完全で監査可能なレコードを取得できます。
Basic Edition、Enterprise Edition、SM エディションで利用できます。
Bastionhost の利用対象者
IT 管理者:組織全体のサーバー、データベース、その他のアセットへのアクセス権の付与と取り消しを一元的に行う必要がある場合。
セキュリティエンジニア:等級保護などのコンプライアンス要件を満たすために、完全な監査証跡、セッション録画、高リスク操作のリアルタイムインターセプトが必要な場合。
運用保守 (O&M) エンジニア:SSH キーや共有パスワードを管理することなく、権限のあるアセットへの合理的で安全なアクセスを求めている場合。
仕組み
ユーザーは二要素認証を使用して Bastionhost 経由で認証します。
Bastionhost はユーザーの権限を確認し、アクセスが許可されているアセットのみを表示します。
ユーザーは Bastionhost を経由してターゲットアセットに接続します。
すべての操作はリアルタイムで記録されます。管理者はセッションを再生し、任意の運用保守 (O&M) イベントのテキストベースの監査レコードを確認できます。
メリット
運用保守 (O&M) のための統合ポータル
Bastionhost はすべてのアセットアクセスの単一のエントリーポイントとして機能し、攻撃対象領域を縮小します。各サーバーへの直接接続を開く代わりに、ユーザーは 1 つのポータルを介してすべての認可されたリソースにアクセスします。これにより、セキュリティリスクと個別のアクセスパスを管理する運用オーバーヘッドの両方が削減されます。
二要素認証
パスワードに加えて、Bastionhost は 2 番目の認証要素を要求します。これには、テキストメッセージ、E メール、DingTalk のワークメッセージ、OTP トークン、SM USB キーが含まれます。これにより、アカウントの認証情報が漏洩した場合でも不正アクセスを防ぎ、パスワード漏洩とブルートフォース攻撃の両方から保護します。
きめ細かな権限割り当て
権限は、ユーザー、アセット、アセットアカウントの組み合わせで定義されます。ユーザーは、明示的に認可された特定のアセットとアカウントにのみアクセスできます。一元化された権限管理により、環境全体でアクセス権を簡単に更新できます。
アセット認証情報のセキュリティ保護
Bastionhost はアセットのパスワードを自動的にローテーションし、資格情報ホスティングによるパスワードレスログインをサポートします。これにより、運用保守担当者へのパスワードの露出が減り、定期的なメンテナンス中にパスワードがコピー、共有、または漏洩するリスクが低減されます。
運用保守 (O&M) 操作の継続的なモニタリング
rm -rf /* やディスクのフォーマットなどの高リスクコマンドは、実行される前にリアルタイムでインターセプトされます。ファイルのアップロードおよびダウンロード操作を制限できます。ビジネス上の機密資産については、O&M 操作に二次承認を有効にすることで、機密性の高い操作が実行される前に管理者が直接コントロールできるようになります。
イベント追跡のための可視化された監査
すべての運用保守 (O&M) セッションは、セッション録画とテキストベースの監査レコードの両方としてキャプチャされます。管理者は操作シーケンス全体をビデオとして再生できるため、インシデント発生時に何が起こったかを正確に追跡し、監査リクエストに対応し、等級保護要件を満たすことが容易になります。