堡壘機簡介
堡壘機是什麼?
堡壘機,即在一個特定的網絡環境下,爲了保障網絡和數據不受來自外部和內部用戶的入侵和破壞,而運用各種技術手段監控和記錄運維人員對網絡內的服務器、網絡設備、安全設備、數據庫等設備的操作行爲,以便集中報警、及時處理及審計定責。[百度百科解釋]
堡壘機目前也有很多叫運維審計系統。
簡單總結一句話:堡壘機是用來控制哪些人可以登錄哪些資產(事先防範和事中控制),以及錄像記錄登錄資產後做了什麼事情(事後溯源.)
堡壘機的核心是可控及審計。
可控是指權限可控、行爲可控。
權限可控,比如某個工程師要離職或要轉崗了。如果沒有一個統一的權限管理入口,是一場夢魘。
行爲可控,比如我們需要集中禁用某個危險命令,如果沒有一個統一入口,操作的難度可想而知。
堡壘機的由來:
堡壘機是從跳板機(也叫前置機)的概念演變過來的。早在2000年左右的時候,一些中大型企業爲了能對運維人員的遠程登錄進行集中管理,會在機房部署一臺跳板機。
跳板機其實就是一臺unix/windows操作系統的服務器。所有運維人員都需要先遠程登錄跳板機,然後從跳板機登錄其他服務器中進行運維操作。
隨着技術和需求的發展,越來越多的客戶需要對運維操作進行審計。因此,堡壘機應運而生。
堡壘機的發展:
堡壘機的發展大致經歷了三個方面:
-
工具時代
主要是作爲跳板機的運維工具
-
場景化時代
自動運維、自動改密、工單、應用中心
-
雲計算時代
雲資產平滑接入、VPC、數據庫運維、AI運維推薦、雲中心。
爲什麼需要堡壘機?
這是因爲在運維方面存在以下安全挑戰:
-
集中管理難
主機分散(多中心,雲主機);運維入口分散,辦公網絡、家庭網絡均需要訪問。
-
權限管理難
賬號多人共享;高權限賬號濫用;越權操作、誤操作等
-
第三方外包
運維外包;賬號泄露;操作不透明;無審計;發生事故,難以定位定責
-
法律法規
企業運維需要監控;等級保護要求;合規性要求;
設計理念:
堡壘機主要是有**4“A”理念。即認證(Authen)、授權(Authorize)、賬號(Account)、審計(Audit)**爲核心。
堡壘機的目標是什麼?
堡壘的建設目標可以概括爲5“W”,主要是爲了降低運維風險。具體如下:
- 審計:你做了什麼?(What)
- 授權:你能做哪些?(Which)
- 賬號:你要去哪?(Where)
- 認證:你是誰?(Who)
- 來源:訪問時間?(When)
堡壘機的價值:
- 集中管理
- 集中權限分配
- 統一認證
- 集中審計
- 數據安全
- 運維高效
- 運維合規
- 風險管控
堡壘機的分類:
堡壘機分爲商業堡壘機和開源堡壘,開源軟件毫無疑問將是未來的主流。Jumpserver 是全球首款完全開源的堡壘機,是符合 4A 的專業運維審計系統,GitHub Star 數超過 1.1 萬,Star 趨勢就可以看出其受歡迎程度。
堡壘機原理
目前常見堡壘機的主要功能架構:
目前常見堡壘機主要功能分爲以下幾個模塊:
-
運維平臺
RDP/VNC運維;SSH/Telnet運維;SFTP/FTP運維;數據庫運維;Web系統運維;遠程應用運維;
-
管理平臺
三權分立;身份鑑別;主機管理;密碼託管;運維監控;電子工單;
-
自動化平臺
自動改密;自動運維;自動收集;自動授權;自動備份;自動告警;
-
控制平臺
IP防火牆;命令防火牆;訪問控制;傳輸控制;會話阻斷;運維審批;
-
審計平臺
命令記錄;文字記錄;SQL記錄;文件保存;全文檢索;審計報表;
三權分立:
三權的理解:配置,授權,審計
三員的理解:系統管理員,安全保密管理員,安全審計員
三員之三權:廢除超級管理員;三員是三角色並非三人;安全保密管理員與審計員必須非同一個人。
堡壘機的身份認證:
堡壘機主要就是爲了做統一運維入口,所以登錄堡壘機就支持靈活的身份認證方式:
- 本地認證:本地賬號密碼認證,一般支持強密碼策略
- 遠程認證:一般可支持第三方AD/LDAP/Radius認證
- 雙因子認證:UsbKey、動態令牌、短信網關、手機APP令牌等
- 第三方認證系統:OAuth2.0、CAS等。
堡壘機的運維方式常見有以下幾種:
-
B/S運維:通過瀏覽器運維。
-
C/S運維:通過客戶端軟件運維,比如Xshell,CRT等。
-
H5運維:直接在網頁上可以打開遠程桌面,進行運維。
無需安裝本地運維工具,只要有瀏覽器就可以對常用協議進行運維操作,支持ssh、telnet、rlogin、rdp、vnc協議
-
網關運維:採用SSH網關方式,實現代理直接登錄目標主機,適用於運維自動化場景。
堡壘機其他常見功能:
- 文件傳輸:一般都是登錄堡壘機,通過堡壘機中轉。使用RDP/SFTP/FTP/SCP/RZ/SZ等傳輸協議傳輸。
- 細粒度控制:可以對訪問用戶、命令、傳輸等進行精細化控制。
- 支持開放的API
堡壘機常見部署方式
單機部署:
堡壘機主要都是旁路部署,旁掛在交換機旁邊,只要能訪問所有設備即可。
部署特定:
- 旁路部署,邏輯串聯。
- 不影響現有網絡結構。
HA高可靠部署:
旁路部署兩臺堡壘機,中間有心跳線連接,同步數據。對外提供一個虛擬IP。
部署特點:
- 兩臺硬件堡壘機,一主一備/提供VIP。
- 當主機出現故障時,備機自動接管服務。
異地同步部署模式:
通過在多個數據中心部署多臺堡壘機。堡壘機之間進行配置信息自動同步。
部署特點:
- 多地部署,異地配置自動同步
- 運維人員訪問當地的堡壘機進行管理
- 不受網絡/帶寬影響,同時祈禱災備目的
集羣部署(分佈式部署):
當需要管理的設備數量很多時,可以將n多臺堡壘機進行集羣部署。其中兩臺堡壘機一主一備,其他n-2臺堡壘機作爲集羣節點,給主機上傳同步數據,整個集羣對外提供一個虛擬IP地址。
部署特點:
- 兩臺硬件堡壘機,一主一備、提供VIP
- 當主機出現故障時,備機自動接管服務。
參考資料:
三權分立:https://blog.csdn.net/chelp/article/details/42062489
堡壘機是幹什麼的? https://www.zhihu.com/question/21036511
推薦鏈接:
【堡壘機測評】關於紐盾堡壘機、jumpserver堡壘機、行雲管家堡壘機的使用對比:https://zhuanlan.zhihu.com/p/114677806