在云计算的大背景下,企业基础架构正在向同构化快速迈进。其中,最具代表性的是x86服务器已成为企业业务运算的标准计算平台,相应的运维方式与手段也正发生着快速的演进。IPMI已成为x86服务器的标准管理接口。如下图所示,IPMI提供的管理服务衔接了操作系统及业务应用的运维入口与x86硬件平台的管理接口。
在IPMI标准接口上可提供服务器硬件健康监测与BIOS参数设置。IPMI扩展接口提供vKVM、SoL和vPower服务器,vKVM提供图形管理界面,用户可进入操作系统并操控业务应用;SoL提供字符管理界面,vPower可对服务器电源进行开、关、重启操作。IPMI接口提供了对x86服务器全方位的操控能力,若被侵入将对企业的信息安全造成不可估量的损失。
显然,IPMI隶属于特权访问接口,即:可获得IT设备完全操作权限的访问接口。特权访问管理(Privileged Access Management, PAM)解决方案,或我们常提及的堡垒机,需要能够提供对IPMI的全方面防护。德讯科技(www.datcent.com)最新发布的DCLive 2.9版本有效提供对IPMI的全面保护。
在构建包含IPMI接口的PAM特权访问管理系统时,IT经理通常面临五大挑战:
1. IPMI接口上特权账号的管理与保护
2. IPMI特权账号使用权限控制
3. 各品牌多型号x86服务器IPMI接口的管理
4. IPMI接口访问过程的风险控制与操作审计
5. PAM特权访问管理系统的可用性管理
德讯科技(www.datcent.com)的DCLive特权访问管理平台将有效协助IT运维经理从容应对这五大工作挑战。
DCLive特权访问管理平台的自动发现与采集功能,能够在网络中自动发现x86服务器的IPMI接口,并自动采集IPMI接口上的特权账号信息,无遗漏地完成对特权账号的接管。DCLive提供的特权账号口令自动更新机制,可定期更新特权账号口令,同时在更新完成后对新口令进行有效验证,并在出现异常时自动修复。DCLive为特权账号信息提供“保险箱”式存储服务,并将所有信息都加密保存,且对存储空间有入侵检测。
DCLive能够将运维人员身份识别与特权账号的使用分离开来。通过用户名+口令、双因素、生物信息识别等认证技术对运维人员身份进行唯一识别。DCLive有效集中管理IPMI特权账号信息,并细颗粒度地定义和控制运维人员使用特权账号登录目标系统的权限。譬如,对运维人员使用特权账号的场景做细致的分析,从操作位置、操作时间、人员身份、目标对象等四个角度来控制特权账号的使用。
DCLive提供最全面的特权访问接口管理。除了传统的带内特权访问接口,即由操作系统或业务应用提供的管理接口,例如RDP、VNC、X11、SSH、Telnet、Rlogin、HTTP/HTTPS等,DCLive 2.9版本全面支持各品牌、各型号的IPMI接口,并全面兼容IPMI标准接口的服务器硬件运行检测功能与IPMI扩展接口的vKVM、SoL、vPower功能。
DCLive 2.9版本在兼容IPMI接口的同时,提供对IPMI接口操作过程全程录像的优势功能。DCLive特权访问管理平台在记录操作人员身份、操作发起地址、操作目标系统、操作时间(起始、终止、时间片段)等关键信息上建立索引,对操作指令的风险进行实时分析,对恶意操作进行及时拦截,并在事后形成统计报表等。
DCLive系统采用经典的Hub + Spoke系统架构,在系统健壮性与网络可达性两方面获得最佳表现。主备双机配置的PAM特权访问管理系统可防止单点故障并提升系统健壮性,但是无法应对局部网络故障可能造成的PAM不可达现象。经典的“Hub+Spoke”分布式架构则可以更好地同时满足系统健壮性与网络可达性这两方面的具体要求。
德讯科技最新发布的DCLive 2.9版本将IPMI接口纳入PAM特权访问管理系统(或称堡垒机)的管理范围,协助IT运维管理人员成功应对构建PAM系统时的五大挑战。德讯科技(www.datcent.com)旨在协助您从传统IT向云IT转型保驾护航,帮助企业成功应对云IT带来的在IT运维安全与合规、调度与监控中心的坐席协作、应用接口开放与业务数据整合以及数据中心基础资源管理等诸多方面的挑战。