堡壘機、運維堡壘機、開源堡壘機、雲堡壘機全面解析

1、概述

1.0、數據丟失危機

1.一、面臨的挑戰
複製代碼

2、堡壘機的概念和種類

2.0、網關型堡壘機

2.一、運維審計型堡壘機

	2.1.一、主要功能
複製代碼

3、主流堡壘機解決方案

3.0、使用開源堡壘機

3.一、內部自研

3.二、使用傳統硬件堡壘機

3.三、使用雲堡壘機
複製代碼

4、主流雲堡壘機

4.0、雲堡壘機的主要選購指標

4.一、幾款主流「雲堡壘機」橫向對比
複製代碼

1、概述

近日新聞爆料，臺灣一名女產品經理在被遣散時，趁其餘人不注意，只花了15分鐘就將公司大量的研發成果刪除，雖然她最後受到了法律的懲治，但事故已經形成，若是被刪除的數據沒法恢復，將會給企業帶來致命的打擊。這是一個很典型的企業內部數據安全管控問題，而相似的事件近些年咱們已經見過太屢次，它充分暴露出許多企業在數據安全領域的忽視已經到了很嚴重的地步。如何由內而外作好數據安全管控，已經成爲當今企業廣泛面臨的問題。

1.0、數據丟失危機

毋庸置疑，數據是企業最大的資產，是21世紀的石油，用好數據不只能夠提升企業本身的產品和服務，也能夠攫取大量利潤。一旦沒有守好數據，那麼頗有可能成爲下一個負面信息的主角。數據已經成爲每一個企業生存的關鍵，如何更安全的確保數據安全性與可用性是每一個企業都必須思考的問題。從跳板機到硬件堡壘機，從硬件堡壘機到軟件堡壘機、雲堡壘機。在保障數據安全這條路上，咱們都在不斷探索安全的邊緣。

運維圈內有這麼一句話：70%故障來自內部人員的操做失誤。

企業裏的運維人員都掌握着數據應用服務器的最高權限，一旦運維操做出現安全問題，將爲企業帶來巨大的損失。所以，增強對運維人員的操做監管、操做審計、事前嚴格控制，才能從源頭真正解決問題。在這種狀況下，針對運維操做的管理與審計的堡壘機應運而生。提早設置好邊界、作好規則，將是企業發展中最重要的一步。

1.一、面臨的挑戰

在沒有部署堡壘機之前，不少公司都會遇到很多安全運維問題，好比：

而以上這些問題均可以經過堡壘機來解決，做爲IT系統看門人的堡壘機其嚴格管控能力十分強大，能在很大程度上的攔截非法訪問和惡意攻擊，對不合法命令進行命令阻斷，過濾掉全部對目標設備的非法訪問行爲，並對內部人員誤操做和非法操做進行審計監控，以便過後責任追蹤。

不過審計是過後行爲，審計能夠發現問題，可是沒法防止問題發生只有在事前嚴格控制，才能從源頭真正解決問題。

諸如任何人都只能經過堡壘機做爲門戶單點登陸系統。堡壘機能集中管理和分配所有帳號，更重要的是能對運維人員的運維操做進行嚴格審計和權限控制，確保運維的安全合規和運維人員的最小化權限管理，堡壘機的出現可以保護企業網絡設備及服務器資源的安全性，使得企業網絡管理合理化和專業化。

2、堡壘機的概念和種類

堡壘機從使用拓樸上說，分爲網關型堡壘機和運維審計堡壘機二種，下面對這二種堡壘機進行說明。

2.0、網關型堡壘機

通常採用二層透明橋方式接入網絡，通常拓樸位置在運維人員前方，運維人員作運維時，流量經過網關堡壘機，堡壘機對用戶的操做進行審計。這種堡壘機在2012年前在國外的一些廠商曾經這樣設計，國內廠商不多有這樣設計。由於這種堡壘機上線須要修改網絡拓樸，而且難實現SSO（Single Sign On，單點登陸）、應用發佈等功能，所以，目前已經很是少見，市場佔有率不到1%。

2.一、運維審計型堡壘機

目前通用堡壘機爲旁路接入模式，物理上旁路、邏輯上串行，用戶想要運維時，必須經過堡壘機進行跳轉登陸。這種堡壘機爲通用模式，由於不修改網絡拓樸而且能夠實現SO（Single Sign On，單點登陸）、應用發佈等多種功能，已經成爲國內堡壘機的主流模式。

2.1.一、主要功能

自動化操做：有效提升運維效率的關鍵，可讓堡壘機自動幫助運維人員執行大量、重複的常規操做，提升運維效率。

操做審計：解決操做事故責任認定的問題，確保事故發生後，能快速定位操做者和事故緣由，還原事故現場和舉證。

訪問控制：解決操做者合法訪問操做資源的問題，經過對訪問資源的嚴格控制，確保操做者在其帳號有效權限和期限內合法訪問操做資源，下降操做風險。

身份管理：解決操做者身份惟一的問題，身份惟一性的肯定，是操做行爲管理的基礎，將確保操做管理的各項內容成爲有根之本。

集中管理：解決操做分散、無序的問題，管理的模式決定了管理的有效性，對操做進行集中統一的管理，是解決運維操做管理諸多問題的前提與基礎。

3、主流堡壘機解決方案

目前主流的堡壘機解決方案不少，那麼該如何選擇適合咱們的呢？我主要根據本身的經驗，從幾個要點進行分析和比較，分享給你們參考。

3.0、使用開源堡壘機

目前的開源堡壘機方案有不少，目前作的較好的諸若有CrazyEye、Teleport、Jumpserver、GateOne、麒麟開源堡壘機等。

當咱們公司選擇使用開源堡壘機時，便擁有初始投入少、使用靈活等特色。不過在管理成本、學習曲線和安全性方面很可貴到，可能咱們未曾考慮開源堡壘機需專人進行維護，大多開源堡壘機的功能相對簡單，可以知足最最基本的企業的安全需求。若是咱們想更進一步的發揮堡壘機真正的價值或者說是用好堡壘機，那麼根據公司業務進而定製開發就是必經之路。

而開發堡壘機這我的必須很是熟悉Linux、公司業務並且還要會玩Python（大多與運維相關的應用使用Python開發的較多，具有這樣能力的人薪資每每不低），固然咱們也能夠選擇開源堡壘機的商業支持服務，不過需支付高昂的技術支持服務費用，這自己就是一個運維成本。

3.一、內部自研

堡壘機是多種技術協調整合造成的。能夠說，堡壘機技術是一個看似簡單，其實複雜而精細的分佈式系統集羣。

堡壘機對於運維操做人員至關於一臺代理服務器（Proxy Server），若是從主幹技術原理的角度概述的話，目前主流的堡壘機所應用的主要技術包括：邏輯命令自動識別技術、分佈式架構處理技術、圖形協議代理技術、多進程/線程與同步技術、數據加密技術等。下面摘其一二概要簡述淺析之。

一、邏輯命令自動識別技術是指自動識別當前操做終端，對當前終端的輸入輸出進行控制，組合輸入輸出流，自動識別邏輯語義命令。系統會根據輸入輸出上下文，肯定邏輯命令編輯過程，進而自動捕獲出用戶使用的邏輯命令。該項技術解決了邏輯命令自動捕獲功能，在傳統鍵盤捕獲與控制領域取得新的突破，能夠更加準確的控制用戶意圖。該技術能自動識別命令狀態和編輯狀態以及私有工做狀態，準確捕獲邏輯命令。

二、分佈式處理技術是指堡壘機採用分佈式架構進行處理。

啓用命令捕獲引擎機制，經過策略模塊完成策略審計，經過日誌模塊存儲操做審計日誌，並經過實時監視中心模塊，實時查看用戶在服務器上的行爲。

每個模塊組件能夠獨立工做，能夠分佈於不一樣的服務器上，亦可全部模塊組件安裝於一臺服務器。這種分佈式架構設計有利於策略的正確執行和操做記錄日誌的安全。同時，各模塊組件之間採用安全鏈接進行通訊，防止策略和日誌被篡改。

三、正則表達式匹配技術是指堡壘機採用正則表達式匹配技術，將正則表達式組合入樹形可遺傳策略結構，實現控制命令的自動匹配與控制。樹形可遺傳策略適合現代企業事業架構，對於服務器的分層分級管理與控制，至關有用。

四、圖形協議代理是指爲了對圖形終端操做行爲進行審計和監控，堡壘機對圖形終端使用的協議進行代理，實現多平臺的多種圖形終端操做的審計，例如Windows平臺的RDP方式圖形終端操做，Linux/Unix平臺的XWindow方式圖形終端操做。

五、多進程/線程與同步技術是指堡壘機主體採用多進程/線程技術實現，利用獨特的通訊和數據同步技術，準確控制程序行爲。多進程/線程方式邏輯處理準確，事務處理不會發生干擾，這有利於保證系統的穩定性、健壯性。

六、數據加密功能是指堡壘機在處理用戶數據時都採用相應的數據加密技術來保護用戶通訊的安全性和數據的完整性。防止惡意用戶截獲和篡改數據。充分保護用戶在操做過程當中不被惡意破壞。

七、操做還原技術是指將用戶在系統中的操做行爲以真實的環境模擬顯現出來，審計管理員能夠根據操做還原技術還原出真實的操做，以斷定問題出在哪裏。目前，綠盟科技、極地安全、方正安全等國內主流內控堡壘主機採用操做還原技術可以將用戶的操做流程自動地展示出來，可以監控用戶的每一次行爲，斷定用戶的行爲是否對企業內部網絡安全性形成危害。

中小企業或創業公司其實並不推薦本身開發堡壘機。對於每一個企業或創業者來講，保持專一是咱們必備的品質，咱們不可能什麼都本身作。有些機遇註定是他人的機遇，咱們要作的就是專一於本身的業務和選擇的道路，同時藉助第三方的力量，作出一款了不得的產品。

內部研發堡壘機在性能和穩定性上都會有所欠缺，出問題後，同事不能登陸，影響不少團隊幹活，尤爲在處理業務故障的時候，忽然發現某服務器進不去，別提多尷尬了，嚴重影響周圍團隊對運維團隊的滿意度。

運維自己是個服務性質的工做，儘可能不要搞得周圍部門不滿意纔好。

3.二、使用傳統硬件堡壘機

傳統堡壘機供應商諸如：齊治、網禦神州、綠盟科技、極地安全、方正安全、捷成世紀等。

傳統堡壘機多爲軟硬件結合且價格昂貴，其管控能力十分強大，是銀行、國營大型企業IT運維團隊的首要選項。

但傳統堡壘機的缺點是，價格很高動輒數十上百萬，並且部署起來困難,須要專業的團隊統籌部署，維護成本高。同時對現有網絡結構侵入大，軟件和硬件升級都不方便，並不怎麼適合中小型企業、通常創業企業。

過去買傳統堡壘機，須要銷售人員屢次上門介紹產品。簽定合約以後，須要運輸、安裝、調試、配置……整個流程通常長達數月。但在雲上，只需簡單三步就能搞定。

3.三、使用雲堡壘機

如今雲堡壘機產品在功能上比較成熟，藉助雲計算平臺，雲堡壘機在資源的交互性、易用性、性價比、維護成本、產品自身安全性等方面又獲得了進一步提高，尤爲解決了以往的單點故障問題。雲堡壘機提供了一套多維度運維操做管控與審計的解決方案，使得管理人員能夠面對多種雲資源（什麼是雲資源？）進行集中管理與細粒度的權限管理和訪問審計，幫助企業提高內部風險控制水平。

雲堡壘機還有許多特性，諸如免安裝、免維護、開箱即用，支持Windows\Linux等雲主機運維審計、指令檢索、監控預警、自動化運維等。

這裏須要注意的是，堡壘機對於自動化運維的影響甚大，由於咱們使用了堡壘機實現了雲環境下的統一運維管理，成爲全部運維的惟一入口。那麼堡壘機既會成爲自動化運維的羈絆，那麼可就得不償失了，因此咱們選擇使用堡壘機時，也需對配套功能進行考慮（是否具有其它運維相關功能，好比主機監控、遠程協同、自動化運維等）；

至於雲堡壘機的價格，雲堡壘機應該都屬於你們能接受的範圍，相對傳統堡壘機來說，真的是一個很是不錯的選擇。

總的來講，選購堡壘機並不是越貴的就越好，而是要綜合考量各項指標與運維團隊自己的契合度，以及在實際應用中的真實需求。若是咱們所在的團隊是金融、政府等對安全性要求極高的組織，建議考慮傳統堡壘機。可是對於一些互聯網企業、創業企業而言，我比較傾向於向你們推薦使用雲堡壘機，不管是從價格仍是靈活性來講他都具有優點。何況隨着雲計算市場的發展，上雲成爲主流，將來的堡壘機發展趨勢也必然是偏向於雲堡壘機。

4、主流雲堡壘機

4.0、雲堡壘機的主要選購指標

目前市面上比較流行的雲堡壘機像安恆雲、行雲管家、雲匣子等等，他們的主要功能基本類似，但優點和側重點各有不一樣。

若是咱們的團隊規模不是超大型，服務器的數量不是過萬臺級別，那麼主要建議你們選購雲堡壘機便可。在選購合適的雲堡壘級以前，首先分解一下雲堡壘機的主要選購指標。

一、侵入性：若是每臺主機都必須安裝Agent，這樣對安全性很差保障，工做量也大。對於局域網主機而言，最好是隻須要在網絡內安裝一個代理（Proxy）軟件便可，保持其它主機的純淨和安全。若是是公有云主機，最好是支持API導入，方便快捷；

二、審計方式：這點要特別注意，目前不少堡壘機只有錄像審計，事實上若是真要回溯追責，光靠錄像但是不夠的，誰會有那麼多時間去逐幀看錄像呢！因此最好是要有指令審計，好比追查是誰刪除了某個文件，只需輸入文件名便可檢索。還有一些堡壘機是不支持Windows指令審計的，若是您的主機包含了Windows，可必定要求具有Windows指令審計功能哦；

三、安全性：要支持身份受權、訪問控制、雙因子認證等安全策略。同時還要有高危命令阻斷功能，要可以設置命令的黑白名單，經過正則匹配的方式主動攔截高危命令；

四、配套功能考慮：是否具有其它運維相關功能，好比主機監控、遠程協同、自動化運維。須要注意的是，堡壘機對於自動化運維的影響，若是堡壘機成爲自動化運維的羈絆，那麼可就得不償失了；

五、部署難度：部署難度是否大，通常SaaS模式是無需部署的，免維護，這對於小團隊來講很是適用，可以減小很大的人力成本；

六、產品更新頻率：既然是雲堡壘機，那麼產品的更新迭代頻率應該要快，不能像傳統堡壘機同樣幾年不更新，畢竟產業發展的速度是極快的；

七、價格：選擇雲堡壘機的用戶通常來講對價格較敏感，在可以知足需求的前提下，天然是越便宜越好；

以上這些指標基本涵蓋的雲堡壘機的主要選購點，咱們能夠根據所在公司和本身團隊的實際需求狀況來標示要點，根據這些要點對不一樣的雲堡壘機品牌進行比較，選出最合適的便可。

4.一、幾款主流「雲堡壘機」橫向對比

目前市場上的雲堡壘機品牌也較多，這裏想以安恆雲、雲匣子、行雲管家、三個產品來介紹，之因此選擇這三款產品，是由於它們屬於雲堡壘機領域作得不錯的產品。

安恆雲、雲匣子、行雲管家三者對現有網絡體系和主機的侵入性都比較低（都是旁路部署），其中安恆雲和雲匣子只支持私有部署（私有部署既需安裝在本身的服務器上或者從新購買一臺服務器用以部署雲堡壘機服務），不提供SaaS模式，運維成本也相對較高（SaaS模式：軟件既服務，開箱既用不需額外的服務器來部署）。而行雲管家同時支持SaaS模式和私有部署模式（私有部署模式支持高可用），這樣也給咱們有更多的選擇餘地和解決沒必要要的運維成本開支，安全性和服務可用性也大大提升。

由於若是咱們只能選擇私有部署模式，那麼必定要考慮是否支持高可用，若是是私有部署不支持高可用，宕機了雲堡壘機的服務也就中止了。

在審計方式層面，三者都支持指令審計，但只有行雲管家可以支持全系列Windows的指令審計，安恆雲沒法支持Windows2012和2016。

在產品定位上，安恆雲專一作安全審計一點，沒有提供額外的其它功能，而行雲管家提供的是一個一站式的IT運維管理平臺，除了堡壘機，還有主機監控、自動化運維、跨雲統一管理、文件傳輸、遠程協同等相對較豐富的功能，基本上你想的到的功能都有。

另外值得一提的是，行雲管家產品更新頻率較快，三週左右一個新版本，常常會推出一些新功能，其它兩款產品更新較少。

至於價格嘛，雲堡壘機應該都屬於你們能接受的範圍，相對傳統堡壘機來說，真的是很是實惠的。

總的來講，選購堡壘機並不是越貴的就越好，而是要綜合考量各項指標與運維團隊自己的契合度，以及在實際應用中的真實需求。若是您所在的團隊是金融、政府等對安全性要求極高的組織，建議您考慮傳統堡壘機。可是對於一些互聯網企業、創業企業而言，我比較傾向於向你們推薦使用雲堡壘機，不管是從價格仍是靈活性來講他都具有優點。何況隨着雲計算市場的發展，上雲成爲主流，將來的堡壘機發展趨勢也必然是偏向於雲堡壘機。

行雲管家堡壘機在線演示：www.cloudbility.com

行雲管家新手有禮活動網頁：www.cloudbility.com/zt/coupon.h…