堡壘機(jī)是什么？

堡壘機(jī)，即在一個(gè)特定的網(wǎng)絡(luò)環(huán)境下，為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來(lái)自外部和內(nèi)部用戶的入侵和破壞，而運(yùn)用各種技術(shù)手段監(jiān)控和記錄運(yùn)維人員對(duì)網(wǎng)絡(luò)內(nèi)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)等設(shè)備的操作行為，以便集中報(bào)警、及時(shí)處理及審計(jì)定責(zé)。[百度百科解釋]

堡壘機(jī)目前也有很多叫運(yùn)維審計(jì)系統(tǒng)。

簡(jiǎn)單總結(jié)一句話：堡壘機(jī)是用來(lái)控制哪些人可以登錄哪些資產(chǎn)（事先防范和事中控制），以及錄像記錄登錄資產(chǎn)后做了什么事情（事后溯源.）

堡壘機(jī)的核心是可控及審計(jì)。

可控是指權(quán)限可控、行為可控。

權(quán)限可控，比如某個(gè)工程師要離職或要轉(zhuǎn)崗了。如果沒(méi)有一個(gè)統(tǒng)一的權(quán)限管理入口，是一場(chǎng)夢(mèng)魘。
行為可控，比如我們需要集中禁用某個(gè)危險(xiǎn)命令，如果沒(méi)有一個(gè)統(tǒng)一入口，操作的難度可想而知。

堡壘機(jī)的由來(lái)：

圖：堡壘機(jī)工作原理

堡壘機(jī)是從跳板機(jī)（也叫前置機(jī)）的概念演變過(guò)來(lái)的。早在2000年左右的時(shí)候，一些中大型企業(yè)為了能對(duì)運(yùn)維人員的遠(yuǎn)程登錄進(jìn)行集中管理，會(huì)在機(jī)房部署一臺(tái)跳板機(jī)。

跳板機(jī)其實(shí)就是一臺(tái)unix/windows操作系統(tǒng)的服務(wù)器。所有運(yùn)維人員都需要先遠(yuǎn)程登錄跳板機(jī)，然后從跳板機(jī)登錄其他服務(wù)器中進(jìn)行運(yùn)維操作。

隨著技術(shù)和需求的發(fā)展，越來(lái)越多的客戶需要對(duì)運(yùn)維操作進(jìn)行審計(jì)。因此，堡壘機(jī)應(yīng)運(yùn)而生。

堡壘機(jī)的發(fā)展：

堡壘機(jī)的發(fā)展大致經(jīng)歷了三個(gè)方面：

工具時(shí)代

主要是作為跳板機(jī)的運(yùn)維工具

場(chǎng)景化時(shí)代

自動(dòng)運(yùn)維、自動(dòng)改密、工單、應(yīng)用中心

云計(jì)算時(shí)代

云資產(chǎn)平滑接入、VPC、數(shù)據(jù)庫(kù)運(yùn)維、AI運(yùn)維推薦、云中心。

為什么需要堡壘機(jī)？

這是因?yàn)樵谶\(yùn)維方面存在以下安全挑戰(zhàn)：

集中管理難

主機(jī)分散（多中心，云主機(jī)）；運(yùn)維入口分散，辦公網(wǎng)絡(luò)、家庭網(wǎng)絡(luò)均需要訪問(wèn)。

權(quán)限管理難

賬號(hào)多人共享；高權(quán)限賬號(hào)濫用；越權(quán)操作、誤操作等

第三方外包

運(yùn)維外包；賬號(hào)泄露；操作不透明；無(wú)審計(jì)；發(fā)生事故，難以定位定責(zé)

法律法規(guī)

企業(yè)運(yùn)維需要監(jiān)控；等級(jí)保護(hù)要求；合規(guī)性要求；

設(shè)計(jì)理念：

堡壘機(jī)主要是有**4“A”理念。即認(rèn)證（Authen）、授權(quán)（Authorize）、賬號(hào)（Account）、審計(jì)（Audit）**為核心。

堡壘機(jī)的目標(biāo)是什么？

堡壘的建設(shè)目標(biāo)可以概括為5“W”，主要是為了降低運(yùn)維風(fēng)險(xiǎn)。具體如下：

審計(jì)：你做了什么？（What）

授權(quán)：你能做哪些？（Which）

賬號(hào)：你要去哪？（Where）

認(rèn)證：你是誰(shuí)？（Who）

來(lái)源：訪問(wèn)時(shí)間？（When）

堡壘機(jī)的價(jià)值：

集中管理

集中權(quán)限分配

統(tǒng)一認(rèn)證

集中審計(jì)

數(shù)據(jù)安全

運(yùn)維高效

運(yùn)維合規(guī)

風(fēng)險(xiǎn)管控

堡壘機(jī)的分類：

堡壘機(jī)分為商業(yè)堡壘機(jī)和開(kāi)源堡壘，開(kāi)源軟件毫無(wú)疑問(wèn)將是未來(lái)的主流。Jumpserver 是全球首款完全開(kāi)源的堡壘機(jī)，是符合 4A 的專業(yè)運(yùn)維審計(jì)系統(tǒng)，GitHub Star 數(shù)超過(guò) 1.1 萬(wàn)，Star 趨勢(shì)就可以看出其受歡迎程度。

堡壘機(jī)原理

目前常見(jiàn)堡壘機(jī)的主要功能架構(gòu)：

目前常見(jiàn)堡壘機(jī)主要功能分為以下幾個(gè)模塊：

運(yùn)維平臺(tái)

RDP/VNC運(yùn)維；SSH/Telnet運(yùn)維；SFTP/FTP運(yùn)維；數(shù)據(jù)庫(kù)運(yùn)維；Web系統(tǒng)運(yùn)維；遠(yuǎn)程應(yīng)用運(yùn)維；

管理平臺(tái)

三權(quán)分立；身份鑒別；主機(jī)管理；密碼托管；運(yùn)維監(jiān)控；電子工單；

自動(dòng)化平臺(tái)

自動(dòng)改密；自動(dòng)運(yùn)維；自動(dòng)收集；自動(dòng)授權(quán)；自動(dòng)備份；自動(dòng)告警；

控制平臺(tái)

IP防火墻；命令防火墻；訪問(wèn)控制；傳輸控制；會(huì)話阻斷；運(yùn)維審批；

審計(jì)平臺(tái)

命令記錄；文字記錄；SQL記錄；文件保存；全文檢索；審計(jì)報(bào)表；

三權(quán)分立：

三權(quán)的理解：配置，授權(quán)，審計(jì)

三員的理解：系統(tǒng)管理員，安全保密管理員，安全審計(jì)員

三員之三權(quán)：廢除超級(jí)管理員；三員是三角色并非三人；安全保密管理員與審計(jì)員必須非同一個(gè)人。

堡壘機(jī)的身份認(rèn)證：

堡壘機(jī)主要就是為了做統(tǒng)一運(yùn)維入口，所以登錄堡壘機(jī)就支持靈活的身份認(rèn)證方式：

本地認(rèn)證：本地賬號(hào)密碼認(rèn)證，一般支持強(qiáng)密碼策略

遠(yuǎn)程認(rèn)證：一般可支持第三方AD/LDAP/Radius認(rèn)證

雙因子認(rèn)證：UsbKey、動(dòng)態(tài)令牌、短信網(wǎng)關(guān)、手機(jī)APP令牌等

第三方認(rèn)證系統(tǒng)：OAuth2.0、CAS等。

堡壘機(jī)的運(yùn)維方式常見(jiàn)有以下幾種：

B/S運(yùn)維：通過(guò)瀏覽器運(yùn)維。

C/S運(yùn)維：通過(guò)客戶端軟件運(yùn)維，比如Xshell，CRT等。

H5運(yùn)維：直接在網(wǎng)頁(yè)上可以打開(kāi)遠(yuǎn)程桌面，進(jìn)行運(yùn)維。

無(wú)需安裝本地運(yùn)維工具，只要有瀏覽器就可以對(duì)常用協(xié)議進(jìn)行運(yùn)維操作，支持ssh、telnet、rlogin、rdp、vnc協(xié)議

網(wǎng)關(guān)運(yùn)維：采用SSH網(wǎng)關(guān)方式，實(shí)現(xiàn)代理直接登錄目標(biāo)主機(jī)，適用于運(yùn)維自動(dòng)化場(chǎng)景。

堡壘機(jī)其他常見(jiàn)功能：

文件傳輸：一般都是登錄堡壘機(jī)，通過(guò)堡壘機(jī)中轉(zhuǎn)。使用RDP/SFTP/FTP/SCP/RZ/SZ等傳輸協(xié)議傳輸。

細(xì)粒度控制：可以對(duì)訪問(wèn)用戶、命令、傳輸?shù)冗M(jìn)行精細(xì)化控制。

支持開(kāi)放的API

堡壘機(jī)常見(jiàn)部署方式

單機(jī)部署：

堡壘機(jī)主要都是旁路部署，旁掛在交換機(jī)旁邊，只要能訪問(wèn)所有設(shè)備即可。

部署特定：

旁路部署，邏輯串聯(lián)。

不影響現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)。

HA高可靠部署：

旁路部署兩臺(tái)堡壘機(jī)，中間有心跳線連接，同步數(shù)據(jù)。對(duì)外提供一個(gè)虛擬IP。

部署特點(diǎn)：

兩臺(tái)硬件堡壘機(jī)，一主一備/提供VIP。

當(dāng)主機(jī)出現(xiàn)故障時(shí)，備機(jī)自動(dòng)接管服務(wù)。

異地同步部署模式：

通過(guò)在多個(gè)數(shù)據(jù)中心部署多臺(tái)堡壘機(jī)。堡壘機(jī)之間進(jìn)行配置信息自動(dòng)同步。

部署特點(diǎn)：

多地部署，異地配置自動(dòng)同步

運(yùn)維人員訪問(wèn)當(dāng)?shù)氐谋緳C(jī)進(jìn)行管理

不受網(wǎng)絡(luò)/帶寬影響，同時(shí)祈禱災(zāi)備目的

集群部署（分布式部署）：

當(dāng)需要管理的設(shè)備數(shù)量很多時(shí)，可以將n多臺(tái)堡壘機(jī)進(jìn)行集群部署。其中兩臺(tái)堡壘機(jī)一主一備，其他n-2臺(tái)堡壘機(jī)作為集群節(jié)點(diǎn)，給主機(jī)上傳同步數(shù)據(jù)，整個(gè)集群對(duì)外提供一個(gè)虛擬IP地址。

部署特點(diǎn)：

兩臺(tái)硬件堡壘機(jī)，一主一備、提供VIP

當(dāng)主機(jī)出現(xiàn)故障時(shí)，備機(jī)自動(dòng)接管服務(wù)。

編輯：黃飛