- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
09-运维审计典型配置
本章节下载: 09-运维审计典型配置 (320.60 KB)
H3C SecCloud OMP安全云管理平台
运维审计典型配置
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文介绍了安全云运维审计服务的典型配置,包括安全设备配置和使用详情。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证的。如果您已经对设备和系统进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解运维审计的基本原理。
· 运维审计系统版本需在E6112版本以上。
· 如果使用硬件堡垒机需要以SSH方式远程登录堡垒机root账号,秘钥联系研发获取。在命令行配置用于安全云单点登录到堡垒机设备Web页面的重定向地址,具体配置命令:
vi /etc/shterm/shterm.conf
在最后一行添加:
referrer.accept=seccloud
然后输入:wq保存退出。最后输入cat /etc/shterm/shterm.conf查看配置。
图1 修改shterm.conf文件
某租户需要通过运维审计对运维操作过程进行监督,保障运维服务的安全运行。
图2 运维审计组网图
H3C SecPath SysScan运维审计产品一般部署在运维管理区,与防护资产IP可达,为保障网络和数据不受来自外部的入侵和破坏,运用各种技术实现对运维人员角色、访问资产、网络设备、数据库等设备的操作进行管控服务和审计,保证防护设备的安全。
本举例是在H3C SecCloud E1206及H3C SecPath2000AV-IMW310 E6112P05版本上进行配置和验证的。
· 通过纳管物理堡垒机设备,需要确保运维审计服务可正常连接并可以登录到堡垒机。
· 通过NFV创建运维审计虚机,需要先配置模板,安装授权服务器,同时需要导入授权文件。
(1) 使用系统管理员账号登录系统。
(2) 选择“资源管理 > 安全资源池 > 运维审计资源池”。
(3) 单击<新建>按钮,完成如下参数配置。
· 型号:H3C SecPath A2000-G,表示添加的是硬件运维审计服务。
· URL:输入运维审计访问地址。
· 管理员用户名:输入管理员对应用户名。
· 密码:输入管理员对应密码。
· 资源概况:该设备的License授权情况,包括可用IP数及各模块授权状态,由系统自动获取。
· 运维审计类型:创建运维审计服务对应的类型。
· 指定组织:“不限制用户”可将硬件资源共享给所有组织和用户使用;“指定租户”能够将该硬件资源指定给特定的组织或者用户去使用。
图3 配置运维审计资源池实例
(4) 单击<确定>按钮,完成运维审计资源池实例创建。
(5) 配置完参数以后,点击确定按钮提示添加成功,则代表运维审计设备可以正常连接使用,因为点击确定后安全云会对用户输入的地址和用户名密码信息进行校验,校验成功才能正常添加,否则弹窗提示资源池实例参数有误。
(1) 使用系统管理员账号登录系统。
(2) 选择“资源管理 > 安全资源池 > 运维审计资源池”,进入运维审计资源池页面。
(3) 单击资源分配优先级<修改>按钮,设置“资源池资源优先”。
图4 更改资源池优先级
(4) 单击<保存>按钮,完成配置。
(1) 使用组织管理员或系统管理员账号登录系统。
(2) 选择“安全市场”,输入名称、选择运维审计版本下的“v版本”,选择规格及开通时间后,单击运维审计对应的<立即开通>按钮,进入运维审计服务订购页面,完成参数配置。
(3) 单击<下一步>按钮,提交创建运维审计服务订单申请。
(4) 使用系统管理员账号登录系统。
(5) 选择“运营管理 > 审核订单”,在审核订单页面找到对应的未审核订单,单击<同意>按钮,提交订单审批意见,完成创建运维审计任务。
图5 审核订单
(6) 选择“服务管理 > 策略管理 > 运维审计”,进入运维审计服务列表页面,可查看所创建的运维审计服务。
图6 运维审计服务列表
单击运维审计服务页面<登录系统>按钮,可访问运维审计系统。
图7 登录运维审计系统
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
