【最佳实践】如何让用户使用某个工具访问某个应用时，也能具备远程协助、云端录像、全程审计等堡垒机特性？

众所周知&＃xff0c;堡垒机的典型用途是当用户通过堡垒机运维管理目标主机时&＃xff0c;由于堡垒机支持RDP/VNC/SSH等远程终端协议的代理转发&＃xff0c;从而实现对运维过程进行远程协助、云端录像、全程审计等目的。

而当用户使用某种特定的工具软件访问某个特定的应用系统时&＃xff0c;也希望具备远程协助、云端录像、全程审计等堡垒机特性&＃xff0c;又该如何满足对应用进行审计呢&＃xff1f;

一、 应用审计的实际场景

• 场景一&＃xff1a;

某企业的生产环境构建在阿里云之上&＃xff0c;只有运维主管拥有阿里云的主账号密码&＃xff0c;他希望运维工程师能够在不告知主账号密码的情况下登录阿里云管理控制台&＃xff0c;且在阿里云管理控制台中的操作能够云端录像、全程审计。
**问题&＃xff1a;**如何做到通过浏览器免密码登录阿里云管理控制台&＃xff1f;如何做到在阿里云管理控制台中的操作过程能够云端录像、全程审计&＃xff1f;

• 场景二&＃xff1a;

某电商企业的运维部门负责运维管理数十个业务系统&＃xff0c;运维工程师需要经常性的访问业务系统的数据库&＃xff0c;在出现一系列安全性问题后&＃xff0c;公司希望统一所有的数据库管理工具&＃xff0c;且对数据库的运维过程做全面的合规性监管&＃xff0c;而运维工程师的PC部分是Windows&＃xff0c;部分是Mac。
**问题&＃xff1a;**公司决定全部采用基于Windows的数据库管理工具&＃xff0c;如何在Mac系统中运行基于Windows 的数据库管理工具&＃xff1f;如何做到数据库运维管理过程中的云端录像、全程审计&＃xff1f;

• 场景三&＃xff1a;

某银行网点的客户经理在给客户办理业务时需要通过互联网访问某个政府网站&＃xff0c;该网站年老失修只支持IE 6.0浏览器&＃xff0c;而银行客户经理只有一台能够访问互联网的iPad和一个只能访问银行内网的PC。
**问题&＃xff1a;**如何做到在iPad中用IE 6.0访问政府网站&＃xff1f;银行的网点有数百个之多&＃xff0c;如何做到这么多的客户经理能够同时通过iPad使用IE 6.0&＃xff1f;

二、 解决方案&＃xff1a;行云管家应用中心

行云管家堡垒机内置应用中心模块&＃xff0c;可在应用中心内添加“应用宿主机”&＃xff0c;并将用户希望用到的工具软件&＃xff08;如浏览器、数据库管理工具等&＃xff09;安装到宿主机节点&＃xff0c;再将工具软件发布成应用&＃xff0c;即可基于微软RemoteApp机制远程启动发布后的应用。
发布后的应用可在Windows、Mac、iOS、Android等系统中一键启动&＃xff0c;当启动后的应用访问目标业务系统时&＃xff0c;具备远程协助、云端录像、全程审计等堡垒机特性。

2.1 什么是应用宿主机

在行云管家应用中心内可以添加多个应用宿主机&＃xff0c;应用宿主机是一个虚拟概念&＃xff0c;它由1台或者多台宿主机节点组成&＃xff1b;
在一个应用宿主机内包含多个宿主机节点本质上是一种集群部署模式&＃xff0c;这意味着当某个应用的并发使用量过高时&＃xff0c;可将应用的实际负载平均分布在不同的宿主机节点。

我们强烈建议&＃xff0c;在同一个应用宿主机之内的所有宿主机节点&＃xff0c;其操作系统版本、安装的工具软件、甚至工具软件的安装路径&＃xff0c;都应该保持一致。

2.2 应用宿主机节点与行云管家门户之间的网络通信

应用宿主机节点与行云管家门户之间的网络通信有两种情况&＃xff1a;
**网络互通&＃xff1a;**这意味着门户可以直接访问到应用宿主机的IP&＃xff0c;这种情况下访问应用时的效果最佳。

**只有宿主机节点可以访问到门户&＃xff1a;**这意味着门户无法直接访问到宿主机IP&＃xff0c;此时&＃xff0c;需要通过行云管家的配置向导生成一段“安装代理访问服务”的脚本&＃xff0c;并在宿主机节点中执行这段脚本即可。

2.3 应用宿主机节点的操作系统要求

考虑到绝大部分的工具软件依赖于Windows系统&＃xff0c;行云管家的应用宿主机基于Windows Server 2012、2016、2019这三个版本。
行云管家为您提供两种应用宿主机的获取方式&＃xff0c;分别是镜像版本与初始化包&＃xff1a;
**宿主机镜像版本&＃xff1a;**基于Windows 2019的镜像格式&＃xff0c;获取该镜像后可在VMWare、VirtualBox等虚拟化环境中打开&＃xff0c;内置一些已经安装后的工具软件&＃xff0c;如Chrome、MySQL Workbench等。
**初始化包&＃xff1a;**您可以找一台干净的Windows Server 201X系统&＃xff0c;在上面运行初始化包即可。

三、 工具

通过镜像获取的应用宿主机已经内置了五个工具软件&＃xff0c;如下图所示&＃xff1a;

但显然&＃xff0c;内置的工具软件是无法满足用户需求的&＃xff0c;因此&＃xff0c;行云管家允许用户发布自己的工具&＃xff0c;我们把用户在应用宿主机中安装工具软件且在行云管家中进行配置的过程称之为 “工具发布”。

3.1 工具发布与密码代填

一个“工具”包含有名称、版本、安装路径等基本信息&＃xff0c;但同时&＃xff0c;工具还拥有“参数代填”的能力。当工具启动时&＃xff0c;参数信息将自动代填到工具的信息采集区&＃xff0c;从而避免让用户自行录入这些参数信息。
**举例&＃xff1a;**用户希望在启动Oracle数据库管理工具 sqlplus 时能够自动输入数据库的IP和连接信息&＃xff1a;

3.2 应用

当有了工具后&＃xff0c;我们就可以基于工具以及工具的参数代填能力&＃xff0c;发布成一个个具体的应用&＃xff1a;
举例&＃xff1a;在行云管家中发布一个浏览器工具“Chrome”&＃xff0c;当我们基于此工具配置其访问的URL为阿里云管理控制台且只能访问URL白名单“*.aliyun.com”&＃xff0c;并配置自动代填的主账号和密码后&＃xff0c;则发布成了一个应用“阿里云管理控制台”&＃xff1b;当我们基于“Chrome” 工具&＃xff0c;配置URL为企业OA系统以及用户名和密码后&＃xff0c;则发布成了另一个应用“企业OA系统”。

针对具体的应用&＃xff0c;可以对用户、角色、组织单元进行授权&＃xff1a;

3.3 启动应用

您可以在浏览器、Windows、Mac、iOS、Android等不同的环境中启动并运行应用&＃xff0c;启动后的应用拥有远程协助、云端录像、全程审计等特性。

在浏览器中启动并运行发布后的应用&＃xff1a;同时还拥有远程协助等特性&＃xff1a;

在 Windows 中启动并运行发布后的应用&＃xff1a;

在苹果 Mac 系统中启动并运行发布后的应用&＃xff1a;

iOS、Android 等智能终端中启动并运行发布后的应用&＃xff1a;

但我们要始终谨记&＃xff1a;这些应用实际运行在某一台具体的应用宿主机节点中&＃xff0c;您当前操作的其实只是远程应用的一种UI镜像。

3.4 应用审计&＃xff1a;云端录像、全程审计

在行云管家中启动应用时&＃xff0c;可以对应用中进行的所有操作进行全程录像&＃xff0c;一旦出现问题&＃xff0c;可以随时回溯追责。

四、 总结

用户通过行云管家应用中心以指定的工具运维管理特定的业务系统&＃xff0c;具备远程协助、云端录像、全程审计等堡垒机特性的同时&＃xff0c;又满足了对应用进行审计的需求&＃xff0c;从而保障企业数据安全。