堡壘機，即在一個特定的網絡環境下，為了保障網絡和數據不受來自外部和内部用戶的入侵和破壞，而運用各種技術手段監控和記錄運維人員對網絡内的服務器、網絡設備、安全設備、數據庫等設備的操作行為，以便集中報警、及時處理及審計定責。

用一句話來說，堡壘機就是用來後控制哪些人可以登錄哪些資産（事先防範和事中控制），以及錄像記錄登錄資産後做了什麼事情（事溯源）

堡壘機很多時候也叫運維審計系統，它的核心是可控及審計。可控是指權限可控、行為可控。權限可控，比如某個工程師要離職或要轉崗了。如果沒有一個統一的權限管理入口，是一場夢魇。行為可控，比如我們需要集中禁用某個危險命令，如果沒有一個統一入口，操作的難度可想而知。

堡壘機是從跳闆機（也叫前置機）的概念演變過來的。早在2000年左右，一些中大型企業為了能對運維人員的遠程登錄進行集中管理，會在機房部署一台跳闆機。跳闆機其實就是一台unix/windows操作系統的服務器，所有運維人員都需要先遠程登錄跳闆機，然後再從跳闆機登錄其他服務器中進行運維操作。

但跳闆機并沒有實現對運維人員操作行為的控制和審計，使用跳闆機過程中還是會有誤操作、違規操作導緻的操作事故，一旦出現操作事故很難快速定位原因和責任人。此外，跳闆機存在嚴重的安全風險，一旦跳闆機系統被攻入，則将後端資源風險完全暴露無遺。同時，對于個别資源（如telnet）可以通過跳闆機來完成一定的内控，但是對于更多更特殊的資源（ftp、rdp等）來講就顯得力不從心了。

人們逐漸認識到跳闆機的不足，進而需要更新、更好的安全技術理念來實現運維操作管理。需要一種能滿足角色管理與授權審批、信息資源訪問控制、操作記錄和審計、系統變更和維護控制要求，并生成一些統計報表配合管理規範來不斷提升IT内控的合規性的産品。在這些理念的指導下，2005年前後，堡壘機開始以一個獨立的産品形态被廣泛部署，有效地降低了運維操作風險，使得運維操作管理變得更簡單、更安全。

堡壘機主要是有4A理念，即認證（Authen）、授權（Authorize）、賬号（Account）、審計（Audit）。

堡壘機的建設目标可以概括為5W，主要是為了降低運維風險。具體如下：

1. 審計：你做了什麼？（What）
2. 授權：你能做哪些？（Which）
3. 賬号：你要去哪？（Where）
4. 認證：你是誰？（Who）
5. 來源：訪問時間？（When）

1. 集中管理
2. 集中權限分配
3. 統一認證
4. 集中審計
5. 數據安全
6. 運維高效
7. 運維合規
8. 風險管控

目前常見堡壘機的主要功能架構

目前常見堡壘機的主要功能分為以下幾個模塊：

1、運維平台

• RDP/VNC運維；SSH/Telnet運維；SFTP/FTP運維；數據庫運維；Web系統運維；遠程應用運維；

2、管理平台

• 三權分立；身份鑒别；主機管理；密碼托管；運維監控；電子工單；

3、自動化平台

• 自動改密；自動運維；自動收集；自動授權；自動備份；自動告警；

4、控制平台

• IP防火牆；命令防火牆；訪問控制；傳輸控制；會話阻斷；運維審批；

5、審計平台

• 命令記錄；文字記錄；SQL記錄；文件保存；全文檢索；審計報表；

說明：三權分立

三權的理解：配置，授權，審計

三員的理解：系統管理員，安全保密管理員，安全審計員

三員之三權：廢除超級管理員；三員是三角色并非三人；安全保密管理員與審計員必須非同一個人。

堡壘機的身份認證

堡壘機主要就是為了做統一運維入口，所以登錄堡壘機必須支持靈活的身份認證方式，比如：

1、本地認證

本地賬号密碼認證，一般支持強密碼策略

2、遠程認證

一般可支持第三方AD/LDAP/Radius認證

3、雙因子認證

UsbKey、動态令牌、短信網關、手機APP令牌等

4、第三方認證系統

OAuth2.0、CAS等。

堡壘機的常見運維方式

• B/S運維：通過浏覽器運維。
• C/S運維：通過客戶端軟件運維，比如Xshell，CRT等。
• H5運維：直接在網頁上可以打開遠程桌面，進行運維。無需安裝本地運維工具，隻要有浏覽器就可以對常用協議進行運維操作，支持ssh、telnet、rlogin、rdp、vnc協議
• 網關運維：采用SSH網關方式，實現代理直接登錄目标主機，适用于運維自動化場景。

堡壘機的其他常見功能

• 文件傳輸：一般都是登錄堡壘機，通過堡壘機中轉。使用RDP/SFTP/FTP/SCP/RZ/SZ等傳輸協議傳輸。
• 細粒度控制：可以對訪問用戶、命令、傳輸等進行精細化控制。
• 支持開放的API

堡壘機的部署方式

1、單機部署

堡壘機主要都是旁路部署，旁挂在交換機旁邊，隻要能訪問所有設備即可。

部署特定：

• 旁路部署，邏輯串聯。
• 不影響現有網絡結構。

2、HA高可靠部署

旁路部署兩台堡壘機，中間有心跳線連接，同步數據。對外提供一個虛拟IP。

部署特點：

• 兩台硬件堡壘機，一主一備/提供VIP。
• 當主機出現故障時，備機自動接管服務。

3、異地同步部署

通過在多個數據中心部署多台堡壘機。堡壘機之間進行配置信息自動同步。

部署特點：

• 多地部署，異地配置自動同步
• 運維人員訪問當地的堡壘機進行管理
• 不受網絡/帶寬影響，同時祈禱災備目的

4、集群部署（分布式部署）

當需要管理的設備數量很多時，可以将n多台堡壘機進行集群部署。其中兩台堡壘機一主一備，其他n-2台堡壘機作為集群節點，給主機上傳同步數據，整個集群對外提供一個虛拟IP地址。

部署特點：

• 兩台硬件堡壘機，一主一備、提供VIP
• 當主機出現故障時，備機自動接管服務。

開源産品

目前，常用的堡壘機有收費和開源兩類。收費的有行雲管家、紐盾堡壘機，開源的有jumpserver。這幾種各有各的優缺點，如何選擇，大家可以根據實際場景來判斷。

,

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!

查看全部