国产在线观看精品免费,亚洲日本VA久久一区二区,香蕉久久99综合一区二区三区,久久精品99国产精品蜜桃小说

什么是堡壘機?為什么需要堡壘機?

2021-11-03 13:33:30 shuai.chang

什么是堡壘機

堡壘機,即在一個(gè)特定的網(wǎng)絡(luò )環(huán)境下,為了保障網(wǎng)絡(luò )和數據不受來(lái)自外部和內部用戶(hù)的入侵和破壞,而運用各種技術(shù)手段監控和記錄運維人員對網(wǎng)絡(luò )內的服務(wù)器、網(wǎng)絡(luò )設備、安全設備、數據庫等設備的操作行為,以便集中報警、及時(shí)處理及審計定責。

用一句話(huà)來(lái)說(shuō),堡壘機就是用來(lái)后控制哪些人可以登錄哪些資產(chǎn)(事先防范和事中控制),以及錄像記錄登錄資產(chǎn)后做了什么事情(事溯源)

堡壘機很多時(shí)候也叫運維審計系統,它的核心是可控及審計??煽厥侵笝嘞蘅煽?、行為可控。權限可控,比如某個(gè)工程師要離職或要轉崗了。如果沒(méi)有一個(gè)統一的權限管理入口,是一場(chǎng)夢(mèng)魘。行為可控,比如我們需要集中禁用某個(gè)危險命令,如果沒(méi)有一個(gè)統一入口,操作的難度可想而知。

為什么需要堡壘機

堡壘機是從跳板機(也叫前置機)的概念演變過(guò)來(lái)的。早在2000年左右,一些中大型企業(yè)為了能對運維人員的遠程登錄進(jìn)行集中管理,會(huì )在機房部署一臺跳板機。跳板機其實(shí)就是一臺unix/windows操作系統的服務(wù)器,所有運維人員都需要先遠程登錄跳板機,然后再從跳板機登錄其他服務(wù)器中進(jìn)行運維操作。

但跳板機并沒(méi)有實(shí)現對運維人員操作行為的控制和審計,使用跳板機過(guò)程中還是會(huì )有誤操作、違規操作導致的操作事故,一旦出現操作事故很難快速定位原因和責任人。此外,跳板機存在嚴重的安全風(fēng)險,一旦跳板機系統被攻入,則將后端資源風(fēng)險完全暴露無(wú)遺。同時(shí),對于個(gè)別資源(如telnet)可以通過(guò)跳板機來(lái)完成一定的內控,但是對于更多更特殊的資源(ftp、rdp等)來(lái)講就顯得力不從心了。

人們逐漸認識到跳板機的不足,進(jìn)而需要更新、更好的安全技術(shù)理念來(lái)實(shí)現運維操作管理。需要一種能滿(mǎn)足角色管理與授權審批、信息資源訪(fǎng)問(wèn)控制、操作記錄和審計、系統變更和維護控制要求,并生成一些統計報表配合管理規范來(lái)不斷提升IT內控的合規性的產(chǎn)品。在這些理念的指導下,2005年前后,堡壘機開(kāi)始以一個(gè)獨立的產(chǎn)品形態(tài)被廣泛部署,有效地降低了運維操作風(fēng)險,使得運維操作管理變得更簡(jiǎn)單、更安全。

堡壘機的設計理念

堡壘機主要是有4A理念,即認證(Authen)、授權(Authorize)、賬號(Account)、審計(Audit)。

堡壘機的目標

堡壘機的建設目標可以概括為5W,主要是為了降低運維風(fēng)險。具體如下:

  • 審計:你做了什么?(What)
  • 授權:你能做哪些?(Which)
  • 賬號:你要去哪?(Where)
  • 認證:你是誰(shuí)?(Who)
  • 來(lái)源:訪(fǎng)問(wèn)時(shí)間?(When)

堡壘機的價(jià)值

  • 集中管理
  • 集中權限分配
  • 統一認證
  • 集中審計
  • 數據安全
  • 運維高效
  • 運維合規
  • 風(fēng)險管控

堡壘機的原理

目前常見(jiàn)堡壘機的主要功能架構

睿智創(chuàng  )新RAIZ,一體化IT服務(wù)提供商

推薦給你:手把手從0開(kāi)始教你搭建Jumpserver,為服務(wù)器安全保駕護航!

目前常見(jiàn)堡壘機的主要功能分為以下幾個(gè)模塊:

1、運維平臺

RDP/VNC運維;SSH/Telnet運維;SFTP/FTP運維;數據庫運維;Web系統運維;遠程應用運維;

2、管理平臺

三權分立;身份鑒別;主機管理;密碼托管;運維監控;電子工單;

3、自動(dòng)化平臺

自動(dòng)改密;自動(dòng)運維;自動(dòng)收集;自動(dòng)授權;自動(dòng)備份;自動(dòng)告警;

4、控制平臺

IP防火墻;命令防火墻;訪(fǎng)問(wèn)控制;傳輸控制;會(huì )話(huà)阻斷;運維審批;

5、審計平臺

命令記錄;文字記錄;SQL記錄;文件保存;全文檢索;審計報表;

說(shuō)明:三權分立
三權的理解:配置,授權,審計
三員的理解:系統管理員,安全保密管理員,安全審計員
三員之三權:廢除超級管理員;三員是三角色并非三人;安全保密管理員與審計員必須非同一個(gè)人。

堡壘機的身份認證

堡壘機主要就是為了做統一運維入口,所以登錄堡壘機必須支持靈活的身份認證方式,比如:

1、本地認證

  • 本地賬號密碼認證,一般支持強密碼策略

2、遠程認證

  • 一般可支持第三方AD/LDAP/Radius認證

3、雙因子認證

  • UsbKey、動(dòng)態(tài)令牌、短信網(wǎng)關(guān)、手機APP令牌等

4、第三方認證系統

  • OAuth2.0、CAS等。

堡壘機的常見(jiàn)運維方式

  • B/S運維:通過(guò)瀏覽器運維。
  • C/S運維:通過(guò)客戶(hù)端軟件運維,比如Xshell,CRT等。
  • H5運維:直接在網(wǎng)頁(yè)上可以打開(kāi)遠程桌面,進(jìn)行運維。無(wú)需安裝本地運維工具,只要有瀏覽器就可以對常用協(xié)議進(jìn)行運維操作,支持ssh、telnet、rlogin、rdp、vnc協(xié)議
  • 網(wǎng)關(guān)運維:采用SSH網(wǎng)關(guān)方式,實(shí)現代理直接登錄目標主機,適用于運維自動(dòng)化場(chǎng)景。

堡壘機的其他常見(jiàn)功能

  • 文件傳輸:一般都是登錄堡壘機,通過(guò)堡壘機中轉。使用RDP/SFTP/FTP/SCP/RZ/SZ等傳輸協(xié)議傳輸。
  • 細粒度控制:可以對訪(fǎng)問(wèn)用戶(hù)、命令、傳輸等進(jìn)行精細化控制。
  • 支持開(kāi)放的API

堡壘機的部署方式

1、單機部署

堡壘機主要都是旁路部署,旁?huà)煸诮粨Q機旁邊,只要能訪(fǎng)問(wèn)所有設備即可。

部署特定:

  • 旁路部署,邏輯串聯(lián)。
  • 不影響現有網(wǎng)絡(luò )結構。

2、HA高可靠部署

旁路部署兩臺堡壘機,中間有心跳線(xiàn)連接,同步數據。對外提供一個(gè)虛擬IP。

部署特點(diǎn):

  • 兩臺硬件堡壘機,一主一備/提供VIP。
  • 當主機出現故障時(shí),備機自動(dòng)接管服務(wù)。

3、異地同步部署

通過(guò)在多個(gè)數據中心部署多臺堡壘機。堡壘機之間進(jìn)行配置信息自動(dòng)同步。

部署特點(diǎn):

  • 多地部署,異地配置自動(dòng)同步
  • 運維人員訪(fǎng)問(wèn)當地的堡壘機進(jìn)行管理
  • 不受網(wǎng)絡(luò )/帶寬影響,同時(shí)祈禱災備目的

4、集群部署(分布式部署)

當需要管理的設備數量很多時(shí),可以將n多臺堡壘機進(jìn)行集群部署。其中兩臺堡壘機一主一備,其他n-2臺堡壘機作為集群節點(diǎn),給主機上傳同步數據,整個(gè)集群對外提供一個(gè)虛擬IP地址。

部署特點(diǎn):

  • 兩臺硬件堡壘機,一主一備、提供VIP
  • 當主機出現故障時(shí),備機自動(dòng)接管服務(wù)。

開(kāi)源堡壘機產(chǎn)品

目前,常用的堡壘機有收費和開(kāi)源兩類(lèi)。收費的有行云管家、紐盾堡壘機,開(kāi)源的有jumpserver。這幾種各有各的優(yōu)缺點(diǎn),如何選擇,大家可以根據實(shí)際場(chǎng)景來(lái)判斷。


我要咨詢(xún)
洪雅县| 佳木斯市| 利辛县| 渭南市| 乃东县| 中牟县| 洛隆县| 汉寿县| 井冈山市| 胶南市| 孝义市| 龙陵县| 石楼县| 商水县| 武胜县| 吴旗县| 广州市| 和林格尔县| 肇庆市| 西安市| 乳源| 蛟河市| 广平县| 无棣县| 上虞市| 星座| 拜城县| 都兰县| 始兴县| 怀仁县| 沁源县| 内江市| 陵川县| 田林县| 阳泉市| 奉节县| 玉环县| 宝兴县| 岚皋县| 新民市| 慈利县|