堡垒机、运维堡垒机、开源堡垒机、云堡垒机全面解析

1、概述

1.0、数据丢失危机

1.一、面临的挑战
复制代码

2、堡垒机的概念和种类

2.0、网关型堡垒机

2.一、运维审计型堡垒机

	2.1.一、主要功能
复制代码

3、主流堡垒机解决方案

3.0、使用开源堡垒机

3.一、内部自研

3.二、使用传统硬件堡垒机

3.三、使用云堡垒机
复制代码

4、主流云堡垒机

4.0、云堡垒机的主要选购指标

4.一、几款主流“云堡垒机”横向对比
复制代码

1、概述

近日新闻爆料，台湾一名女产品经理在被遣散时，趁其余人不注意，只花了15分钟就将公司大量的研发成果删除，虽然她最后受到了法律的惩治，但事故已经形成，若是被删除的数据没法恢复，将会给企业带来致命的打击。这是一个很典型的企业内部数据安全管控问题，而相似的事件近些年咱们已经见过太屡次，它充分暴露出许多企业在数据安全领域的忽视已经到了很严重的地步。如何由内而外作好数据安全管控，已经成为当今企业广泛面临的问题。

1.0、数据丢失危机

毋庸置疑，数据是企业最大的资产，是21世纪的石油，用好数据不只能够提升企业本身的产品和服务，也能够攫取大量利润。一旦没有守好数据，那么颇有可能成为下一个负面信息的主角。数据已经成为每一个企业生存的关键，如何更安全的确保数据安全性与可用性是每一个企业都必须思考的问题。从跳板机到硬件堡垒机，从硬件堡垒机到软件堡垒机、云堡垒机。在保障数据安全这条路上，咱们都在不断探索安全的边缘。

运维圈内有这么一句话：70%故障来自内部人员的操做失误。

企业里的运维人员都掌握着数据应用服务器的最高权限，一旦运维操做出现安全问题，将为企业带来巨大的损失。所以，增强对运维人员的操做监管、操做审计、事前严格控制，才能从源头真正解决问题。在这种状况下，针对运维操做的管理与审计的堡垒机应运而生。提早设置好边界、作好规则，将是企业发展中最重要的一步。

1.一、面临的挑战

在没有部署堡垒机之前，不少公司都会遇到很多安全运维问题，好比：

而以上这些问题均可以经过堡垒机来解决，做为IT系统看门人的堡垒机其严格管控能力十分强大，能在很大程度上的拦截非法访问和恶意攻击，对不合法命令进行命令阻断，过滤掉全部对目标设备的非法访问行为，并对内部人员误操做和非法操做进行审计监控，以便过后责任追踪。

不过审计是过后行为，审计能够发现问题，可是没法防止问题发生只有在事前严格控制，才能从源头真正解决问题。

诸如任何人都只能经过堡垒机做为门户单点登陆系统。堡垒机能集中管理和分配所有帐号，更重要的是能对运维人员的运维操做进行严格审计和权限控制，确保运维的安全合规和运维人员的最小化权限管理，堡垒机的出现可以保护企业网络设备及服务器资源的安全性，使得企业网络管理合理化和专业化。

2、堡垒机的概念和种类

堡垒机从使用拓朴上说，分为网关型堡垒机和运维审计堡垒机二种，下面对这二种堡垒机进行说明。

2.0、网关型堡垒机

通常采用二层透明桥方式接入网络，通常拓朴位置在运维人员前方，运维人员作运维时，流量经过网关堡垒机，堡垒机对用户的操做进行审计。这种堡垒机在2012年前在国外的一些厂商曾经这样设计，国内厂商不多有这样设计。由于这种堡垒机上线须要修改网络拓朴，而且难实现SSO（Single Sign On，单点登陆）、应用发布等功能，所以，目前已经很是少见，市场占有率不到1%。

2.一、运维审计型堡垒机

目前通用堡垒机为旁路接入模式，物理上旁路、逻辑上串行，用户想要运维时，必须经过堡垒机进行跳转登陆。这种堡垒机为通用模式，由于不修改网络拓朴而且能够实现SO（Single Sign On，单点登陆）、应用发布等多种功能，已经成为国内堡垒机的主流模式。

2.1.一、主要功能

自动化操做：有效提升运维效率的关键，可让堡垒机自动帮助运维人员执行大量、重复的常规操做，提升运维效率。

操做审计：解决操做事故责任认定的问题，确保事故发生后，能快速定位操做者和事故缘由，还原事故现场和举证。

访问控制：解决操做者合法访问操做资源的问题，经过对访问资源的严格控制，确保操做者在其帐号有效权限和期限内合法访问操做资源，下降操做风险。

身份管理：解决操做者身份惟一的问题，身份惟一性的肯定，是操做行为管理的基础，将确保操做管理的各项内容成为有根之本。

集中管理：解决操做分散、无序的问题，管理的模式决定了管理的有效性，对操做进行集中统一的管理，是解决运维操做管理诸多问题的前提与基础。

3、主流堡垒机解决方案

目前主流的堡垒机解决方案不少，那么该如何选择适合咱们的呢？我主要根据本身的经验，从几个要点进行分析和比较，分享给你们参考。

3.0、使用开源堡垒机

目前的开源堡垒机方案有不少，目前作的较好的诸若有CrazyEye、Teleport、Jumpserver、GateOne、麒麟开源堡垒机等。

当咱们公司选择使用开源堡垒机时，便拥有初始投入少、使用灵活等特色。不过在管理成本、学习曲线和安全性方面很可贵到，可能咱们未曾考虑开源堡垒机需专人进行维护，大多开源堡垒机的功能相对简单，可以知足最最基本的企业的安全需求。若是咱们想更进一步的发挥堡垒机真正的价值或者说是用好堡垒机，那么根据公司业务进而定制开发就是必经之路。

而开发堡垒机这我的必须很是熟悉Linux、公司业务并且还要会玩Python（大多与运维相关的应用使用Python开发的较多，具有这样能力的人薪资每每不低），固然咱们也能够选择开源堡垒机的商业支持服务，不过需支付高昂的技术支持服务费用，这自己就是一个运维成本。

3.一、内部自研

堡垒机是多种技术协调整合造成的。能够说，堡垒机技术是一个看似简单，其实复杂而精细的分布式系统集群。

堡垒机对于运维操做人员至关于一台代理服务器（Proxy Server），若是从主干技术原理的角度概述的话，目前主流的堡垒机所应用的主要技术包括：逻辑命令自动识别技术、分布式架构处理技术、图形协议代理技术、多进程/线程与同步技术、数据加密技术等。下面摘其一二概要简述浅析之。

一、逻辑命令自动识别技术是指自动识别当前操做终端，对当前终端的输入输出进行控制，组合输入输出流，自动识别逻辑语义命令。系统会根据输入输出上下文，肯定逻辑命令编辑过程，进而自动捕获出用户使用的逻辑命令。该项技术解决了逻辑命令自动捕获功能，在传统键盘捕获与控制领域取得新的突破，能够更加准确的控制用户意图。该技术能自动识别命令状态和编辑状态以及私有工做状态，准确捕获逻辑命令。

二、分布式处理技术是指堡垒机采用分布式架构进行处理。

启用命令捕获引擎机制，经过策略模块完成策略审计，经过日志模块存储操做审计日志，并经过实时监视中心模块，实时查看用户在服务器上的行为。

每个模块组件能够独立工做，能够分布于不一样的服务器上，亦可全部模块组件安装于一台服务器。这种分布式架构设计有利于策略的正确执行和操做记录日志的安全。同时，各模块组件之间采用安全链接进行通讯，防止策略和日志被篡改。

三、正则表达式匹配技术是指堡垒机采用正则表达式匹配技术，将正则表达式组合入树形可遗传策略结构，实现控制命令的自动匹配与控制。树形可遗传策略适合现代企业事业架构，对于服务器的分层分级管理与控制，至关有用。

四、图形协议代理是指为了对图形终端操做行为进行审计和监控，堡垒机对图形终端使用的协议进行代理，实现多平台的多种图形终端操做的审计，例如Windows平台的RDP方式图形终端操做，Linux/Unix平台的XWindow方式图形终端操做。

五、多进程/线程与同步技术是指堡垒机主体采用多进程/线程技术实现，利用独特的通讯和数据同步技术，准确控制程序行为。多进程/线程方式逻辑处理准确，事务处理不会发生干扰，这有利于保证系统的稳定性、健壮性。

六、数据加密功能是指堡垒机在处理用户数据时都采用相应的数据加密技术来保护用户通讯的安全性和数据的完整性。防止恶意用户截获和篡改数据。充分保护用户在操做过程当中不被恶意破坏。

七、操做还原技术是指将用户在系统中的操做行为以真实的环境模拟显现出来，审计管理员能够根据操做还原技术还原出真实的操做，以断定问题出在哪里。目前，绿盟科技、极地安全、方正安全等国内主流内控堡垒主机采用操做还原技术可以将用户的操做流程自动地展示出来，可以监控用户的每一次行为，断定用户的行为是否对企业内部网络安全性形成危害。

中小企业或创业公司其实并不推荐本身开发堡垒机。对于每一个企业或创业者来讲，保持专一是咱们必备的品质，咱们不可能什么都本身作。有些机遇注定是他人的机遇，咱们要作的就是专一于本身的业务和选择的道路，同时借助第三方的力量，作出一款了不得的产品。

内部研发堡垒机在性能和稳定性上都会有所欠缺，出问题后，同事不能登陆，影响不少团队干活，尤为在处理业务故障的时候，忽然发现某服务器进不去，别提多尴尬了，严重影响周围团队对运维团队的满意度。

运维自己是个服务性质的工做，尽可能不要搞得周围部门不满意才好。

3.二、使用传统硬件堡垒机

传统堡垒机供应商诸如：齐治、网御神州、绿盟科技、极地安全、方正安全、捷成世纪等。

传统堡垒机多为软硬件结合且价格昂贵，其管控能力十分强大，是银行、国营大型企业IT运维团队的首要选项。

但传统堡垒机的缺点是，价格很高动辄数十上百万，并且部署起来困难,须要专业的团队统筹部署，维护成本高。同时对现有网络结构侵入大，软件和硬件升级都不方便，并不怎么适合中小型企业、通常创业企业。

过去买传统堡垒机，须要销售人员屡次上门介绍产品。签定合约以后，须要运输、安装、调试、配置……整个流程通常长达数月。但在云上，只需简单三步就能搞定。

3.三、使用云堡垒机

如今云堡垒机产品在功能上比较成熟，借助云计算平台，云堡垒机在资源的交互性、易用性、性价比、维护成本、产品自身安全性等方面又获得了进一步提高，尤为解决了以往的单点故障问题。云堡垒机提供了一套多维度运维操做管控与审计的解决方案，使得管理人员能够面对多种云资源（什么是云资源？）进行集中管理与细粒度的权限管理和访问审计，帮助企业提高内部风险控制水平。

云堡垒机还有许多特性，诸如免安装、免维护、开箱即用，支持Windows\Linux等云主机运维审计、指令检索、监控预警、自动化运维等。

这里须要注意的是，堡垒机对于自动化运维的影响甚大，由于咱们使用了堡垒机实现了云环境下的统一运维管理，成为全部运维的惟一入口。那么堡垒机既会成为自动化运维的羁绊，那么可就得不偿失了，因此咱们选择使用堡垒机时，也需对配套功能进行考虑（是否具有其它运维相关功能，好比主机监控、远程协同、自动化运维等）；

至于云堡垒机的价格，云堡垒机应该都属于你们能接受的范围，相对传统堡垒机来说，真的是一个很是不错的选择。

总的来讲，选购堡垒机并不是越贵的就越好，而是要综合考量各项指标与运维团队自己的契合度，以及在实际应用中的真实需求。若是咱们所在的团队是金融、政府等对安全性要求极高的组织，建议考虑传统堡垒机。可是对于一些互联网企业、创业企业而言，我比较倾向于向你们推荐使用云堡垒机，不管是从价格仍是灵活性来讲他都具有优点。何况随着云计算市场的发展，上云成为主流，将来的堡垒机发展趋势也必然是偏向于云堡垒机。

4、主流云堡垒机

4.0、云堡垒机的主要选购指标

目前市面上比较流行的云堡垒机像安恒云、行云管家、云匣子等等，他们的主要功能基本类似，但优点和侧重点各有不一样。

若是咱们的团队规模不是超大型，服务器的数量不是过万台级别，那么主要建议你们选购云堡垒机便可。在选购合适的云堡垒级以前，首先分解一下云堡垒机的主要选购指标。

一、侵入性：若是每台主机都必须安装Agent，这样对安全性很差保障，工做量也大。对于局域网主机而言，最好是只须要在网络内安装一个代理（Proxy）软件便可，保持其它主机的纯净和安全。若是是公有云主机，最好是支持API导入，方便快捷；

二、审计方式：这点要特别注意，目前不少堡垒机只有录像审计，事实上若是真要回溯追责，光靠录像但是不够的，谁会有那么多时间去逐帧看录像呢！因此最好是要有指令审计，好比追查是谁删除了某个文件，只需输入文件名便可检索。还有一些堡垒机是不支持Windows指令审计的，若是您的主机包含了Windows，可必定要求具有Windows指令审计功能哦；

三、安全性：要支持身份受权、访问控制、双因子认证等安全策略。同时还要有高危命令阻断功能，要可以设置命令的黑白名单，经过正则匹配的方式主动拦截高危命令；

四、配套功能考虑：是否具有其它运维相关功能，好比主机监控、远程协同、自动化运维。须要注意的是，堡垒机对于自动化运维的影响，若是堡垒机成为自动化运维的羁绊，那么可就得不偿失了；

五、部署难度：部署难度是否大，通常SaaS模式是无需部署的，免维护，这对于小团队来讲很是适用，可以减小很大的人力成本；

六、产品更新频率：既然是云堡垒机，那么产品的更新迭代频率应该要快，不能像传统堡垒机同样几年不更新，毕竟产业发展的速度是极快的；

七、价格：选择云堡垒机的用户通常来讲对价格较敏感，在可以知足需求的前提下，天然是越便宜越好；

以上这些指标基本涵盖的云堡垒机的主要选购点，咱们能够根据所在公司和本身团队的实际需求状况来标示要点，根据这些要点对不一样的云堡垒机品牌进行比较，选出最合适的便可。

4.一、几款主流“云堡垒机”横向对比

目前市场上的云堡垒机品牌也较多，这里想以安恒云、云匣子、行云管家、三个产品来介绍，之因此选择这三款产品，是由于它们属于云堡垒机领域作得不错的产品。

安恒云、云匣子、行云管家三者对现有网络体系和主机的侵入性都比较低（都是旁路部署），其中安恒云和云匣子只支持私有部署（私有部署既需安装在本身的服务器上或者从新购买一台服务器用以部署云堡垒机服务），不提供SaaS模式，运维成本也相对较高（SaaS模式：软件既服务，开箱既用不需额外的服务器来部署）。而行云管家同时支持SaaS模式和私有部署模式（私有部署模式支持高可用），这样也给咱们有更多的选择余地和解决没必要要的运维成本开支，安全性和服务可用性也大大提升。

由于若是咱们只能选择私有部署模式，那么必定要考虑是否支持高可用，若是是私有部署不支持高可用，宕机了云堡垒机的服务也就中止了。

在审计方式层面，三者都支持指令审计，但只有行云管家可以支持全系列Windows的指令审计，安恒云没法支持Windows2012和2016。

在产品定位上，安恒云专一作安全审计一点，没有提供额外的其它功能，而行云管家提供的是一个一站式的IT运维管理平台，除了堡垒机，还有主机监控、自动化运维、跨云统一管理、文件传输、远程协同等相对较丰富的功能，基本上你想的到的功能都有。

另外值得一提的是，行云管家产品更新频率较快，三周左右一个新版本，常常会推出一些新功能，其它两款产品更新较少。

至于价格嘛，云堡垒机应该都属于你们能接受的范围，相对传统堡垒机来说，真的是很是实惠的。

总的来讲，选购堡垒机并不是越贵的就越好，而是要综合考量各项指标与运维团队自己的契合度，以及在实际应用中的真实需求。若是您所在的团队是金融、政府等对安全性要求极高的组织，建议您考虑传统堡垒机。可是对于一些互联网企业、创业企业而言，我比较倾向于向你们推荐使用云堡垒机，不管是从价格仍是灵活性来讲他都具有优点。何况随着云计算市场的发展，上云成为主流，将来的堡垒机发展趋势也必然是偏向于云堡垒机。

行云管家堡垒机在线演示：www.cloudbility.com

行云管家新手有礼活动网页：www.cloudbility.com/zt/coupon.h…