本技术涉及信息安全,尤其涉及一种适配多企业的堡垒机处理方法、堡垒机、产品及介质。
背景技术:
1、随着信息技术的快速发展,企业对网络安全和运维管理的需求日益增长。在这种背景下,堡垒机作为一种重要的安全管理系统,被广泛应用于企业网络环境中。堡垒机主要提供集中的用户身份认证、权限管理和行为审计等功能,有效提升了企业的信息安全水平和运维效率。
2、然而,目前,市场上的堡垒机解决方案通常采用一对一的方式为单个企业提供服务。开发人员会根据特定企业的具体需求,设计并实现一套完整的堡垒机。
3、但是,相关技术中的堡垒机处理方法,每增加一个企业客户,就需要部署一套独立的堡垒机,这导致了硬件资源的极大浪费和管理成本的显著增加。其次,当多个企业同时需要更新配置时,又要设计一个新的堡垒机,这些问题严重影响了堡垒机在多企业服务场景下的整体性能、可扩展性和可靠性。综上所述,相关技术中的堡垒机处理方法无法满足多家企业多样化的运维管理需求。
技术实现思路
1、本技术提供了一种适配多企业的堡垒机处理方法、堡垒机、产品及介质,用于满足多家企业多样化的运维管理需求。
2、第一方面,本技术提供了一种适配多企业的堡垒机处理方法,包括:接收到企业终端发送的定制配置文件的情况下,提取该定制配置文件,其中该定制配置文件为该企业终端定制的配置;解析该定制配置文件获取需求配置项;将该需求配置项与当前配置项进行比对,识别发生变更的配置项,生成配置变更集;基于该配置变更集执行热更新操作;若热更新成功,则同步更新缓存数据;对该配置变更集涉及的每个服务,将其对应的计数器增加1;判断是否存在任一该服务的计数器值超过对应的预设频率阈值;若存在该服务的计数器值超过对应的预设频率阈值,则将对应的该服务进行微服务化处理。
3、通过采用上述技术方案,首先,方法通过接收和解析企业定制的配置文件,实现了对企业个性化需求的支持。能够针对性地识别每个企业的独特需求。这种方法避免了为每个企业部署独立堡垒机的资源浪费;其次,通过热更新操作和缓存数据同步,实现了配置的实时更新,避免了重启服务或重新编译应用的问题。再者,通过计数器机制和微服务化处理,堡垒机能够根据企业的实际使用情况动态调整服务结构,优化资源分配。这种方法不仅提高了堡垒机的灵活性和可用性,还能为不同规模和需求的企业提供最优的服务体验,满足多家企业多样化的运维管理需求。
4、结合第一方面的一些实施例,在一些实施例中,该若热更新成功,则同步更新缓存数据的步骤之后,该方法还包括:接收到该企业终端发送的加密需求文件的情况下,对该加密需求文件进行解析得到需加密的数据及对应的加密级别;根据该加密级别选择对应的加密算法,对该加密需求文件进行加密处理并进行存储;解析预定义的访问控制规则,构建基于角色、资源和相关因素的多维访问权限矩阵;在接收到用户终端发送的资源访问请求的情况下,基于该多维访问权限矩阵确定该用户终端的授权范围,该授权范围用于允许该用户终端在该授权范围内访问资源;实时捕获并记录该用户终端的用户行为得到审计日志,该用户行为包括登录事件、操作行为和资源访问活动。
5、通过采用上述技术方案,首先,通过对加密需求文件的解析和处理,实现了灵活的数据加密机制,提高了数据安全性。其次,通过构建多维访问权限矩阵,实现了精细化的访问控制,增强了堡垒机的安全性。再者,通过实时捕获和记录用户行为,生成审计日志,提供了全面的行为监控和追溯能力。这些功能的结合不仅提高了堡垒机的整体安全性,还为企业提供了更加全面和灵活的安全管理选项。同时,这种方法也提高了堡垒机的可用性,使得企业能够根据自身需求定制安全策略,实现更加精准的安全管理。
6、结合第一方面的一些实施例,在一些实施例中,该基于该配置变更集执行热更新操作的步骤,具体包括:对于该配置变更集中标记为停用的服务,通过功能标志在该当前配置项中对标记为停用的服务进行禁用;对于该配置变更集中标记为新增的服务,判断该当前配置项中是否存在;若存在,则通过该功能标志在该当前配置项中对标记为新增的服务进行启用。
7、通过采用上述技术方案,首先,通过功能标志机制,堡垒机能够在不重启服务的情况下动态启用或禁用特定服务,提高了堡垒机的灵活性。对于标记为停用的服务,堡垒机可以通过功能标志直接在当前配置项中禁用,避免了不必要的资源消耗。对于新增服务,堡垒机会先判断是否存在,然后通过功能标志启用,确保了服务的平滑添加。这种方法不仅提高了堡垒机的响应速度,还减少了服务变更对堡垒机整体稳定性的影响。同时,它也为企业提供了更加灵活的服务定制选项,使得堡垒机能够更好地适应企业的动态需求。
8、结合第一方面的一些实施例,在一些实施例中,该在接收到用户终端发送的资源访问请求的情况下,基于该多维访问权限矩阵确定该用户终端的授权范围,该授权范围用于允许该用户终端在该授权范围内访问资源的步骤之后,该方法还包括:通过该功能标志对该用户终端该授权范围内的功能进行启用、对用于安全的功能进行禁用;该实时捕获并记录该用户终端的用户行为得到审计日志,该用户行为包括登录事件、操作行为和资源访问活动的步骤之后,该方法还包括:根据该审计日志确定该用户终端不安全的情况下;通过该功能标志对该用户终端该授权范围内的功能进行禁止、对用于安全的功能进行启用。
9、通过采用上述技术方案,首先,堡垒机通过功能标志机制,能够在用户授权范围内精确控制功能的启用和禁用,提高了访问控制的精确度。其次,通过实时捕获和分析用户行为,堡垒机能够动态判断用户终端的安全状态。在检测到不安全情况时,堡垒机可以立即通过功能标志禁止授权范围内的功能,并启用安全相关功能,实现了对潜在安全威胁的快速响应。这种方法不仅提高了堡垒机的安全性,还增强了堡垒机对安全威胁的实时应对能力,为企业提供了更加主动和智能的安全防护机制。
10、结合第一方面的一些实施例,在一些实施例中,该若热更新成功,则同步更新缓存数据的步骤,具体包括:该若热更新成功,则更新旧缓存数据中的配置变更集得到新缓存数据使用原子操作切换到该新缓存数据;清理该旧缓存数据;通知依赖于缓存的服务刷新其本地缓存,使从该旧缓存数据的一部分更新为对应的该新缓存数据的一部分。
11、通过采用上述技术方案,首先,通过原子操作切换到新缓存数据,确保了缓存更新的原子性和一致性。其次,通过清理旧缓存数据,避免了内存泄漏和数据冗余。再者,通过通知依赖服务刷新本地缓存,确保了整个堡垒机缓存的一致性。这种方法不仅提高了缓存更新的效率和可靠性,还减少了缓存不一致可能带来的堡垒机异常。同时,它也优化了堡垒机的资源利用,提高了堡垒机的整体性能和响应速度,为企业提供了更加稳定和高效的服务体验。
12、结合第一方面的一些实施例,在一些实施例中,该基于该配置变更集执行热更新操作的步骤之后,该方法还包括:若热更新失败,则将该热更新操作判定为全部失败;在全部失败的情况下,恢复至该当前配置项。
13、通过采用上述技术方案,通过将热更新操作判定为全部失败,避免了部分更新可能带来的堡垒机不一致问题。
14、结合第一方面的一些实施例,在一些实施例中,该在全部失败的情况下,恢复至该当前配置项的步骤,具体包括:在全部失败的情况下,加载该当前配置项;将当前状态与该当前配置项进行比对,识别发生变更的配置项,生成配置滚回集;按照该配置滚回集逐一回滚已应用的配置变更;在全部滚回后,重置所有对应的服务内部状态和缓存;生成恢复操作日志。
15、通过采用上述技术方案,本方法实现了更加可靠和可追溯的配置恢复机制。首先,通过加载当前配置项并与当前状态比对,堡垒机能够精确识别需要回滚的配置项。其次,通过逐一回滚已应用的配置变更,确保了恢复过程的精确性和完整性。再者,通过重置服务内部状态和缓存,避免了残留数据可能带来的问题。最后,通过生成恢复操作日志,提供了完整的审计追踪能力。
16、第二方面,本技术提供了一种适配多企业的堡垒机,该适配多企业的堡垒机包括:一个或多个处理器和存储器;该存储器与该一个或多个处理器耦合,该存储器用于存储计算机程序代码,该计算机程序代码包括计算机指令,该一个或多个处理器调用该计算机指令以使得该适配多企业的堡垒机执行如第一方面以及第一方面中任一可能的实现方式描述的方法。
17、第三方面,本技术提供了一种包含指令的计算机程序产品,当该计算机程序产品在适配多企业的堡垒机上运行时,使得该适配多企业的堡垒机执行如第一方面以及第一方面中任一可能的实现方式描述的方法。
18、第四方面,本技术提供了一种计算机可读存储介质,包括指令,当该指令在适配多企业的堡垒机上运行时,使得该适配多企业的堡垒机执行如第一方面以及第一方面中任一可能的实现方式描述的方法。
19、本技术实施例中提供的一个或多个技术方案,至少具有如下技术效果或优点:
20、1、首先,方法通过接收和解析企业定制的配置文件,实现了对企业个性化需求的支持。能够针对性地识别每个企业的独特需求。这种方法避免了为每个企业部署独立堡垒机的资源浪费;其次,通过热更新操作和缓存数据同步,实现了配置的实时更新,避免了重启服务或重新编译应用的问题。再者,通过计数器机制和微服务化处理,堡垒机能够根据企业的实际使用情况动态调整服务结构,优化资源分配。这种方法不仅提高了堡垒机的灵活性和可用性,还能为不同规模和需求的企业提供最优的服务体验,满足多家企业多样化的运维管理需求。
21、2、首先,通过功能标志机制,堡垒机能够在不重启服务的情况下动态启用或禁用特定服务,提高了堡垒机的灵活性。对于标记为停用的服务,堡垒机可以通过功能标志直接在当前配置项中禁用,避免了不必要的资源消耗。对于新增服务,堡垒机会先判断是否存在,然后通过功能标志启用,确保了服务的平滑添加。这种方法不仅提高了堡垒机的响应速度,还减少了服务变更对堡垒机整体稳定性的影响。同时,它也为企业提供了更加灵活的服务定制选项,使得堡垒机能够更好地适应企业的动态需求。
22、3、首先,堡垒机通过功能标志机制,能够在用户授权范围内精确控制功能的启用和禁用,提高了访问控制的精确度。其次,通过实时捕获和分析用户行为,堡垒机能够动态判断用户终端的安全状态。在检测到不安全情况时,堡垒机可以立即通过功能标志禁止授权范围内的功能,并启用安全相关功能,实现了对潜在安全威胁的快速响应。这种方法不仅提高了堡垒机的安全性,还增强了堡垒机对安全威胁的实时应对能力,为企业提供了更加主动和智能的安全防护机制。
1.一种适配多企业的堡垒机处理方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述若热更新成功,则同步更新缓存数据的步骤之后,所述方法还包括:
3.根据权利要求1所述的方法,其特征在于,所述基于所述配置变更集执行热更新操作的步骤,具体包括:
4.根据权利要求2和3所述的方法,其特征在于,所述在接收到用户终端发送的资源访问请求的情况下,基于所述多维访问权限矩阵确定所述用户终端的授权范围,所述授权范围用于允许所述用户终端在所述授权范围内访问资源的步骤之后,所述方法还包括:
5.根据权利要求1所述的方法,其特征在于,所述若热更新成功,则同步更新缓存数据的步骤,具体包括:
6.根据权利要求1所述的方法,其特征在于,所述基于所述配置变更集执行热更新操作的步骤之后,所述方法还包括:
7.根据权利要求6所述的方法,其特征在于,所述在全部失败的情况下,恢复至所述当前配置项的步骤,具体包括:
8.一种适配多企业的堡垒机,其特征在于,所述适配多企业的堡垒机包括:一个或多个处理器和存储器;所述存储器与所述一个或多个处理器耦合,所述存储器用于存储计算机程序代码,所述计算机程序代码包括计算机指令,所述一个或多个处理器调用所述计算机指令以使得所述适配多企业的堡垒机执行如权利要求1-7中任一项所述的方法。
9.一种包含指令的计算机程序产品,其特征在于,当所述计算机程序产品在适配多企业的堡垒机上运行时,使得所述适配多企业的堡垒机执行如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,包括指令,其特征在于,当所述指令在适配多企业的堡垒机上运行时,使得所述适配多企业的堡垒机执行如权利要求1-7中任一项所述的方法。
