腾讯云零信任堡垒机上线，安全效率两手抓

传统运 维模式 痛点和风险

 ●  多套身份认证体系，维护成本高： 管理员需手动添加运维用户信息，员工离职变动无法自动删除账号，易导致僵尸账号清理不彻底。

 ●  VPN访问 堡垒机模式 ，操作繁琐： 远程办公时访问路径冗长，需要完成多次身份认证才能进入运维操作界面。

 ●  静态认证机制，运 维用户端不可 控： 传统运维平台仅验证用户身份，无法实时检测终端环境和设备状态，终端一旦失陷难以有效阻断访问。

企业如何提升运维管理效率的同时加强安全？腾讯云堡垒机零信任模式，从运维用户端出发，优化身份认证机制，加强运维终端安全检测，整体提升运维用户端到资产端安全和管理效率。

零信任重塑运 维安全 的 三大突破

 ●  办公身份无缝对接，管理成本降低： 打通企业 微信 、微信、AAD等办公平台身份源，单点登录完成身份认证，即可连接运维资源，身份状态实时同步；

 ●  免VPN远程 安全运 维，运维效率提升： 基于零信任提供安全加密隧道远程登录堡垒机，一次认证即可进入运维工作状态；

 ●  运维终端动态验证，从源头解决非法接入： 实时检测终端设备状态、异常IP、病毒进程等安全指标，自动阻断非法运维来源；可结合终端安全检测与响应等能力实现双重防御。

运 维安全 中心（堡垒机）暴露面收敛实践

案例分析

某企业运维平台直接对公网暴露，黑客通过泄漏的运维账密实现边界突破，并通过内网横移获取核心服务器权限，对该企业用户批量发送诈骗信息，造成严重负面影响。

★  关键资产和服务的公网暴露，极易导致攻击者利用传统静态防御体系弱点入侵

常见攻击模式： 在攻击前期探测入口，使用扫描工具锁定常见端口如SSH、RDP等，利用弱密码爆破拿下跳板机，获取内网访问权限，再横向渗透到其他数据库，最终窃取企业数据，形成“入口突破-权限升级-数据窃取”的攻击链。

腾讯云堡垒机零 信任模式构建安全防护体系，四步闭环运维暴露面收敛

 ●  攻击路径收敛： 堡垒机默认内网，资源多层管控，零信任运维模式默认实现云堡垒机仅内网访问，并将云内云外各类资产统一纳入云堡垒机管控，启用自动化资产管理能力，识别影子资产。

 ●  账号密码收敛： 用户MFA认证，资源定期改密，运维端通过身份认证的安全配置实现多因素认证，基于自动化资源改密任务确保账密可控。

 ●  权限精细管控： 启用动态验证，限制访问来源，基于云堡垒机零信任模式的动态授权访问策略，根据用户行为、设备状态、网络环境实时评估风险，阻断非法来源；用户、资产、账号、权限和高危命令5层授权模型，管控资源服务安全稳定。

 ●  全链路审计： 完整记录包括用户、操作时间、命令执行、文件传输、数据库 SQL、会话录像等操作日志，确保高效准确溯源。