首页 > 其他分享 >为什么需要堡垒机

为什么需要堡垒机

时间:2023-06-12 12:38:49浏览次数:40  
标签:审计 为什么 需要 跳板 运维 部署 认证 堡垒

为什么需要堡垒机_堡垒机

什么是堡垒机

堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。

用一句话来说,堡垒机就是用来后控制哪些人可以登录哪些资产(事先防范和事中控制),以及录像记录登录资产后做了什么事情(事溯源)

堡垒机很多时候也叫运维审计系统,它的核心是可控及审计。可控是指权限可控、行为可控。权限可控,比如某个工程师要离职或要转岗了。如果没有一个统一的权限管理入口,是一场梦魇。行为可控,比如我们需要集中禁用某个危险命令,如果没有一个统一入口,操作的难度可想而知。

为什么需要堡垒机

堡垒机是从跳板机(也叫前置机)的概念演变过来的。早在2000年左右,一些中大型企业为了能对运维人员的远程登录进行集中管理,会在机房部署一台跳板机。跳板机其实就是一台unix/windows操作系统的服务器,所有运维人员都需要先远程登录跳板机,然后再从跳板机登录其他服务器中进行运维操作。

但跳板机并没有实现对运维人员操作行为的控制和审计,使用跳板机过程中还是会有误操作、违规操作导致的操作事故,一旦出现操作事故很难快速定位原因和责任人。此外,跳板机存在严重的安全风险,一旦跳板机系统被攻入,则将后端资源风险完全暴露无遗。同时,对于个别资源(如telnet)可以通过跳板机来完成一定的内控,但是对于更多更特殊的资源(ftp、rdp等)来讲就显得力不从心了。

人们逐渐认识到跳板机的不足,进而需要更新、更好的安全技术理念来实现运维操作管理。需要一种能满足角色管理与授权审批、信息资源访问控制、操作记录和审计、系统变更和维护控制要求,并生成一些统计报表配合管理规范来不断提升IT内控的合规性的产品。在这些理念的指导下,2005年前后,堡垒机开始以一个独立的产品形态被广泛部署,有效地降低了运维操作风险,使得运维操作管理变得更简单、更安全。

堡垒机的设计理念

堡垒机主要是有4A理念,即认证(Authen)、授权(Authorize)、账号(Account)、审计(Audit)。

堡垒机的目标

堡垒机的建设目标可以概括为5W,主要是为了降低运维风险。具体如下:

  1. 审计:你做了什么?(What)
  2. 授权:你能做哪些?(Which)
  3. 账号:你要去哪?(Where)
  4. 认证:你是谁?(Who)
  5. 来源:访问时间?(When)

堡垒机的价值

  1. 集中管理
  2. 集中权限分配
  3. 统一认证
  4. 集中审计
  5. 数据安全
  6. 运维高效
  7. 运维合规
  8. 风险管控

堡垒机的原理

为什么需要堡垒机_堡垒机_02

目前常见堡垒机的主要功能架构

目前常见堡垒机的主要功能分为以下几个模块:

1、运维平台

  • RDP/VNC运维;SSH/Telnet运维;SFTP/FTP运维;数据库运维;Web系统运维;远程应用运维;

2、管理平台

  • 三权分立;身份鉴别;主机管理;密码托管;运维监控;电子工单;

3、自动化平台

  • 自动改密;自动运维;自动收集;自动授权;自动备份;自动告警;

4、控制平台

  • IP防火墙;命令防火墙;访问控制;传输控制;会话阻断;运维审批;

5、审计平台

  • 命令记录;文字记录;SQL记录;文件保存;全文检索;审计报表;

说明:三权分立

三权的理解:配置,授权,审计

三员的理解:系统管理员,安全保密管理员,安全审计员

三员之三权:废除超级管理员;三员是三角色并非三人;安全保密管理员与审计员必须非同一个人。

堡垒机的身份认证

堡垒机主要就是为了做统一运维入口,所以登录堡垒机必须支持灵活的身份认证方式,比如:

1、本地认证

本地账号密码认证,一般支持强密码策略

2、远程认证

一般可支持第三方AD/LDAP/Radius认证

3、双因子认证

UsbKey、动态令牌、短信网关、手机APP令牌等

4、第三方认证系统

OAuth2.0、CAS等。

堡垒机的常见运维方式

  • B/S运维:通过浏览器运维。
  • C/S运维:通过客户端软件运维,比如Xshell,CRT等。
  • H5运维:直接在网页上可以打开远程桌面,进行运维。无需安装本地运维工具,只要有浏览器就可以对常用协议进行运维操作,支持ssh、telnet、rlogin、rdp、vnc协议
  • 网关运维:采用SSH网关方式,实现代理直接登录目标主机,适用于运维自动化场景。

堡垒机的其他常见功能

  • 文件传输:一般都是登录堡垒机,通过堡垒机中转。使用RDP/SFTP/FTP/SCP/RZ/SZ等传输协议传输。
  • 细粒度控制:可以对访问用户、命令、传输等进行精细化控制。
  • 支持开放的API

堡垒机的部署方式

1、单机部署

堡垒机主要都是旁路部署,旁挂在交换机旁边,只要能访问所有设备即可。

部署特定:

  • 旁路部署,逻辑串联。
  • 不影响现有网络结构。

2、HA高可靠部署

旁路部署两台堡垒机,中间有心跳线连接,同步数据。对外提供一个虚拟IP。

部署特点:

  • 两台硬件堡垒机,一主一备/提供VIP。
  • 当主机出现故障时,备机自动接管服务。

3、异地同步部署

通过在多个数据中心部署多台堡垒机。堡垒机之间进行配置信息自动同步。

部署特点:

  • 多地部署,异地配置自动同步
  • 运维人员访问当地的堡垒机进行管理
  • 不受网络/带宽影响,同时祈祷灾备目的

4、集群部署(分布式部署)

当需要管理的设备数量很多时,可以将n多台堡垒机进行集群部署。其中两台堡垒机一主一备,其他n-2台堡垒机作为集群节点,给主机上传同步数据,整个集群对外提供一个虚拟IP地址。

部署特点:

  • 两台硬件堡垒机,一主一备、提供VIP
  • 当主机出现故障时,备机自动接管服务。

开源产品

目前,常用的堡垒机有收费和开源两类。收费的有行云管家、纽盾堡垒机,开源的有jumpserver。这几种各有各的优缺点,如何选择,大家可以根据实际场景来判断。



标签:审计,为什么,需要,跳板,运维,部署,认证,堡垒
From: https://blog.51cto.com/u_14347868/6461349

相关文章

  • 如今做泛娱乐出海,你需要融云《社交泛娱乐出海作战地图》
    出海需要的从来都不是上头,而是专业。关注【融云全球互联网通信云】了解更多星期四的下午,笔者收到了一份特殊的“投喂”——一份详实到出乎意料的《社交泛娱乐出海作战地图》(下称《作战地图》)。内容上,它覆盖了从理论到实践、从产品设计到商业变现、从市场选择到合法合规的方方面面,泛......
  • 学好Java爬虫需要什么技巧
    Java爬虫是一种利用Java编程语言编写的网络爬虫程序,它可以自动化地浏览和抓取互联网上的数据,并将数据进行处理和保存。Java爬虫通常使用HTTP协议模拟浏览器请求来获取网页内容,并通过解析HTML网页标签和属性等信息来提取有用的数据。Java爬虫也需要应对反爬虫机制,如IP封禁、验证码......
  • 堡垒机密码过期
    <2HZHD-ELK-[root]:>#dockerpsCONTAINERIDIMAGECOMMANDCREATEDSTATUSPORTSNAMES7844badd813d56b90ffd1994......
  • 架构师需要通过技术手段为企业注入更多的外部适应性
    架构师要通过优化架构方案、干预架构活动,以保证最终交付的项目不仅能满足既定目标,还能适应不断变化的外部环境。这个过程有一个总的指导原则,那就是为最终产生的架构设计不断注入外部适应性。外部适应性是指一个企业对外部环境变化的适应能力,以及对新机会的捕捉能力。架构师是技术职......
  • 男人为什么总想搞自己的初恋-带走了我一整个青春的女孩
    初恋,就是人生中爱情里面的第一个喜欢的人,那些曾经刻骨铭心地相爱、相知、难以忘怀地结束、回想起来还心存不甘的那段爱恋里的男女主角。对于大多数男人来说,体会到初恋的滋润,初恋都是在比较年轻的年龄,愿意为一个女孩子做很多事情,心甘情愿的。大多数男孩子幼稚、干净、满腔热情追求......
  • 美SEC主席公开演讲:我们为什么起诉币安和Coinbase?
       在SEC闪击币圈后,美SEC主席GaryGensler在PiperSandler全球交易所和金融科技大会发表演讲,他再次强调了监管的重要性,并指出监管已经明确,发行人、经纪交易商和交易所应该遵守。这不是指导方针不充分的问题,只是他们不想按照被监管机构告知的去做。   Gensler认为,美国资本市场......
  • 思考-为什么不想做事还特别累
    问题描述每天起来特别的累,以至于做事情的动力和欲望降到很多,直到最后不想做任何事情,这是为什么?原因分析1.心力、脑力、体力的耗尽,不是不想,而是特别累的不想做事2.想各种其他的东西,耗费所剩无几的脑力3.不知道做哪一件事情,产生矛盾的内耗......
  • 程序员需要达到什么水平才能不被性别歧视?顺利拿到 20k 无压力?
    被歧视,不存在?我是女生,大三,却没人这样对我,因为我从来都是队长!谁敢砍我代码他试试!我就把他砍掉!而且,我写的代码他们很少能看懂,因为我一般都写算法或者一个项目里比较难的部分,比通信啊,多线程啊,并发啊,线程管理。。。男生怎么了作为一个萌妹子还不是直接秒掉他们还不是奖项妥妥拿所以......
  • 使用Python预处理机器学习需要的手写体数字图像文件数据集
    封面图片:《Python程序设计实验指导书》,董付国,清华大学出版社=============问题描述:为演示机器学习算法对手写体数字识别与分类,需要准备大量数据,如果自己写的话需要很长时间,于是找很多同学帮忙,每位同学提供30张图片,每个图片包含一个数字的手写体,分别命名为0_1.png、0_2.png、0_3.png......
  • 定积分上下限为什么有时候需要变有时候不需要不变?
    简单的说就是:能在式子中看到原来的积分变量就不需要重新计算积分上下限,否则就需要重新确定积分上下限,这里还有一个具体的例子和更加详细的说明可以帮助我们理解这个问题:定积分运算时的积分上下限:什么时候变?什么时候不变?——荒原之梦考研数学......