堡壘機是干什么的? 看完這篇你就懂了
來源:https://www.toutiao.com/i6881462700229329421
1、什么是堡壘機
堡壘機,即在一個特定的網絡環(huán)境下,為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞,而運用各種技術手段監(jiān)控和記錄運維人員對網絡內的服務器、網絡設備、安全設備、數據庫等設備的操作行為,以便集中報警、及時處理及審計定責。
用一句話來說,堡壘機就是用來后控制哪些人可以登錄哪些資產(事先防范和事中控制),以及錄像記錄登錄資產后做了什么事情(事溯源)
堡壘機很多時候也叫運維審計系統(tǒng),它的核心是可控及審計。可控是指權限可控、行為可控。權限可控,比如某個工程師要離職或要轉崗了。如果沒有一個統(tǒng)一的權限管理入口,是一場夢魘。行為可控,比如我們需要集中禁用某個危險命令,如果沒有一個統(tǒng)一入口,操作的難度可想而知。
2、為什么需要堡壘機
堡壘機是從跳板機(也叫前置機)的概念演變過來的。早在2000年左右,一些中大型企業(yè)為了能對運維人員的遠程登錄進行集中管理,會在機房部署一臺跳板機。跳板機其實就是一臺unix/windows操作系統(tǒng)的服務器,所有運維人員都需要先遠程登錄跳板機,然后再從跳板機登錄其他服務器中進行運維操作。
但跳板機并沒有實現對運維人員操作行為的控制和審計,使用跳板機過程中還是會有誤操作、違規(guī)操作導致的操作事故,一旦出現操作事故很難快速定位原因和責任人。此外,跳板機存在嚴重的安全風險,一旦跳板機系統(tǒng)被攻入,則將后端資源風險完全暴露無遺。同時,對于個別資源(如telnet)可以通過跳板機來完成一定的內控,但是對于更多更特殊的資源(ftp、rdp等)來講就顯得力不從心了。
人們逐漸認識到跳板機的不足,進而需要更新、更好的安全技術理念來實現運維操作管理。需要一種能滿足角色管理與授權審批、信息資源訪問控制、操作記錄和審計、系統(tǒng)變更和維護控制要求,并生成一些統(tǒng)計報表配合管理規(guī)范來不斷提升IT內控的合規(guī)性的產品。在這些理念的指導下,2005年前后,堡壘機開始以一個獨立的產品形態(tài)被廣泛部署,有效地降低了運維操作風險,使得運維操作管理變得更簡單、更安全。
3、堡壘機的設計理念
堡壘機主要是有4A理念,即認證(Authen)、授權(Authorize)、賬號(Account)、審計(Audit)。
4、堡壘機的目標
堡壘機的建設目標可以概括為5W,主要是為了降低運維風險。具體如下:
審計:你做了什么?(What) 授權:你能做哪些?(Which) 賬號:你要去哪?(Where) 認證:你是誰?(Who) 來源:訪問時間?(When)
5、堡壘機的價值
集中管理 集中權限分配 統(tǒng)一認證 集中審計 數據安全 運維高效 運維合規(guī) 風險管控
6、堡壘機的原理
目前常見堡壘機的主要功能架構
目前常見堡壘機的主要功能分為以下幾個模塊:
1、運維平臺
RDP/VNC運維;SSH/Telnet運維;SFTP/FTP運維;數據庫運維;Web系統(tǒng)運維;遠程應用運維;
2、管理平臺
三權分立;身份鑒別;主機管理;密碼托管;運維監(jiān)控;電子工單;
3、自動化平臺
自動改密;自動運維;自動收集;自動授權;自動備份;自動告警;
4、控制平臺
IP防火墻;命令防火墻;訪問控制;傳輸控制;會話阻斷;運維審批;
5、審計平臺
命令記錄;文字記錄;SQL記錄;文件保存;全文檢索;審計報表;
說明:三權分立
三權的理解:配置,授權,審計
三員的理解:系統(tǒng)管理員,安全保密管理員,安全審計員
三員之三權:廢除超級管理員;三員是三角色并非三人;安全保密管理員與審計員必須非同一個人。
6、堡壘機的身份認證
堡壘機主要就是為了做統(tǒng)一運維入口,所以登錄堡壘機必須支持靈活的身份認證方式,比如:
1、本地認證
本地賬號密碼認證,一般支持強密碼策略
2、遠程認證
一般可支持第三方AD/LDAP/Radius認證
3、雙因子認證
UsbKey、動態(tài)令牌、短信網關、手機APP令牌等
4、第三方認證系統(tǒng)
OAuth2.0、CAS等。
7、堡壘機的常見運維方式
B/S運維:通過瀏覽器運維。 C/S運維:通過客戶端軟件運維,比如Xshell,CRT等。 H5運維:直接在網頁上可以打開遠程桌面,進行運維。無需安裝本地運維工具,只要有瀏覽器就可以對常用協(xié)議進行運維操作,支持ssh、telnet、rlogin、rdp、vnc協(xié)議 網關運維:采用SSH網關方式,實現代理直接登錄目標主機,適用于運維自動化場景。
8、堡壘機的其他常見功能
文件傳輸:一般都是登錄堡壘機,通過堡壘機中轉。使用RDP/SFTP/FTP/SCP/RZ/SZ等傳輸協(xié)議傳輸。 細粒度控制:可以對訪問用戶、命令、傳輸等進行精細化控制。 支持開放的API
9、堡壘機的部署方式
1、單機部署
堡壘機主要都是旁路部署,旁掛在交換機旁邊,只要能訪問所有設備即可。
部署特定:
旁路部署,邏輯串聯(lián)。 不影響現有網絡結構。
2、HA高可靠部署
旁路部署兩臺堡壘機,中間有心跳線連接,同步數據。對外提供一個虛擬IP。
部署特點:
兩臺硬件堡壘機,一主一備/提供VIP。 當主機出現故障時,備機自動接管服務。
3、異地同步部署
通過在多個數據中心部署多臺堡壘機。堡壘機之間進行配置信息自動同步。
部署特點:
多地部署,異地配置自動同步 運維人員訪問當地的堡壘機進行管理 不受網絡/帶寬影響,同時祈禱災備目的
4、集群部署(分布式部署)
當需要管理的設備數量很多時,可以將n多臺堡壘機進行集群部署。其中兩臺堡壘機一主一備,其他n-2臺堡壘機作為集群節(jié)點,給主機上傳同步數據,整個集群對外提供一個虛擬IP地址。
部署特點:
兩臺硬件堡壘機,一主一備、提供VIP 當主機出現故障時,備機自動接管服務。
10、開源堡壘機產品
目前,常用的堡壘機有收費和開源兩類。收費的有行云管家、紐盾堡壘機,開源的有jumpserver。這幾種各有各的優(yōu)缺點,如何選擇,大家可以根據實際場景來判斷。
- END -
?推薦閱讀? DevOps、CI、CD到底是什么?十分鐘理解 為什么不建議把數據庫部署在Docker容器內? 一文搞懂藍綠發(fā)布、灰度發(fā)布和滾動發(fā)布 詳解負載神器 LVS、Nginx及HAProxy工作原理 運維工程師必備技能:網絡排錯思路大講解 在項目實踐中,進行了以下DevOps方案建設 年薪30W+的DevOps工程師需要掌握的技能?
點亮,服務器三年不宕機
