个人笔记,不同意见,望有交流
直接可以点击跳转连接
作者
老炮说java
Andot蚁点
随着企事业单位IT系统的不断发展,网络规模和设备数量迅速扩大,日趋复杂的IT系统与不同背景的运维人员的行为给信息系统安全带来较大风险。
堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。
堡垒机是从跳板机(也叫前置机)的概念演变过来的。早在2000年左右,一些中大型企业为了能对运维人员的远程登录进行集中管理,会在机房部署一台跳板机。跳板机其实就是一台unix/windows操作系统的服务器,所有运维人员都需要先远程登录跳板机,然后再从跳板机登录其他服务器中进行运维操作。
其从功能上讲,它综合了核心系统运维和安全审计管控两大主干功能,从技术实现上讲,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问。
核心功能
堡垒机的核心思路是逻辑上将人与目标设备分离,建立“人-〉主账号(堡垒机用户账号)-〉授权—>从账号(目标设备账号)的模式;在这种模式下,基于身份标识,通过集中管控安全策略的账号管理、授权管理和审计,建立针对维护人员的“主账号-〉登录—〉访问操作-〉退出”的全过程完整审计管理,实现对各种运维加密/非加密、图形操作协议的命令级审计
一般采用二层透明桥方式接入网络,一般拓朴位置在运维人员前方,运维人员做运维时,流量通过网关堡垒机,堡垒机对用户的操作进行审计。这种堡垒机在2012年前在国外的一些厂商曾经这样设计,国内厂商很少有这样设计。因为这种堡垒机上线需要修改网络拓朴,并且难实现SSO(Single
Sign On,单点登录)、应用发布等功能,因此,目前已经非常少见,市场占有率不到1%。
目前的开源堡垒机方案有很多,目前做的较好的诸如有CrazyEye、Teleport、Jumpserver、GateOne、麒麟开源堡垒机等。
堡垒机是多种技术协调整合形成的。可以说,堡垒机技术是一个看似简单,其实复杂而精细的分布式系统集群。
中小企业或创业公司其实并不推荐自己开发堡垒机。对于每个企业或创业者来说,保持专注是我们必备的品质,我们不可能什么都自己做。有些机遇注定是他人的机遇,我们要做的就是专注于自己的业务和选择的道路,同时借助第三方的力量,做出一款了不起的产品。
内部研发堡垒机在性能和稳定性上都会有所欠缺,出问题后,同事不能登录,影响很多团队干活,尤其在处理业务故障的时候,突然发现某服务器进不去,别提多尴尬了,严重影响周围团队对运维团队的满意度。
传统堡垒机供应商诸如:齐治、网御神州、绿盟科技、极地安全、方正安全、捷成世纪等。
现在云堡垒机产品在功能上比较成熟,借助云计算平台,云堡垒机在资源的交互性、易用性、性价比、维护成本、产品自身安全性等方面又得到了进一步提升,尤其解决了以往的单点故障问题。云堡垒机提供了一套多维度运维操作管控与审计的解决方案,使得管理人员可以面对多种云资源(什么是云资源?)进行集中管理与细粒度的权限管理和访问审计,帮助企业提升内部风险控制水平。
个人笔记,不同意见,望有交流
直接可以点击跳转连接
作者