在(zài)大(dà)型企業從事過運維工作的(de)朋友想必都清楚，公司運維混亂是(shì)非常常見的(de)現象。人(rén)數一旦多了(le／liǎo)起來(lái)，就(jiù)會出(chū)現多人(rén)共用一個(gè)賬号，或者一人(rén)使用多個(gè)賬号的(de)問題，時(shí)間一長難免會增加賬号洩露的(de)風險，而(ér)且也(yě)會導緻一些違規操作行爲(wéi / wèi)的(de)發生，對于(yú)公司信息安全的(de)風險是(shì)非常大(dà)的(de)。因此運維人(rén)員都深知堡壘機所帶來(lái)的(de)特殊意義，堡壘機的(de)使用也(yě)開始流行起來(lái)。那麽，堡壘機究竟是(shì)用來(lái)幹嘛的(de)？下面一起來(lái)了(le／liǎo)解一下吧！

跳闆機

1.跳闆機簡介

跳闆機就(jiù)是(shì)一台服務器，運維人(rén)員在(zài)維護過程中首先要(yào / yāo)統一登錄到(dào)這(zhè)台服務器，然後再登錄到(dào)目标設備進行維護和(hé / huò)操作；

在(zài)騰訊，跳闆機是(shì)開發者登錄到(dào)服務器的(de)唯一途徑，開發者必須先登錄跳闆機，再通過跳闆機登錄到(dào)應用服務器。

2.跳闆機的(de)驗證方式

• 固定密碼

• 證書+固定密碼+動态驗證碼三重認證方式

作用：

• 保護業務機器的(de)安全；

• 通過證書避免身份僞造，通過動态token避免證書丢失後的(de)身份假冒，最大(dà)限度的(de)保證安全性；

證書：Certificate證書爲(wéi / wèi)文本格式，長度爲(wéi / wèi)2048bit；是(shì)應用登錄到(dào)機器上(shàng)的(de)唯一身份标識，每個(gè)用戶有且僅有一個(gè)證書。

固定密碼：分配LDAP賬号時(shí)，同時(shí)也(yě)會分配一個(gè)固定密碼

動态驗證碼（token）：是(shì)一個(gè)6位數的(de)數字串，每個(gè)動态驗證碼有效期3分鍾。

3.跳闆機的(de)優勢和(hé / huò)不(bù)足：

優勢：集中管理

不(bù)足：沒有實現對運維人(rén)員操作行爲(wéi / wèi)的(de)控制和(hé / huò)審計，使用跳闆機的(de)過程中還是(shì)會出(chū)現誤操作、違規操作導緻的(de)事故，一旦出(chū)現操作事故很難快速定位到(dào)原因和(hé / huò)責任人(rén)。

4.運維思想：

• 審計是(shì)事後行爲(wéi / wèi)，可以(yǐ)發現問題及責任人(rén)，但無法防止問題發生；

• 隻有事先嚴格控制，才能從源頭真正解決問題；

• 系統賬号的(de)作用隻是(shì)區分工作角色，但無法确認用戶身份；

• 隻要(yào / yāo)是(shì)機器能做的(de)，就(jiù)不(bù)要(yào / yāo)人(rén)去做；

運維堡壘機

1.堡壘機簡介

1）堡壘機的(de)理念起于(yú)跳闆機；

2）堡壘機的(de)功能：

• 集中管理是(shì)前提；

• 身份管理是(shì)基礎；

• 訪問控制是(shì)手段；

• 操作審計是(shì)保證；

• 自動化是(shì)目标。

3）堡壘機是(shì)通過切斷終端對計算機網絡和(hé / huò)服務器資源的(de)直接訪問，采用協議代理的(de)方式接管終端計算機對網絡和(hé / huò)服務器的(de)訪問。

2.堡壘機作用

• 核心系統運維和(hé / huò)安全審計管控；

• 過濾和(hé / huò)攔截非法訪問、惡意攻擊，阻斷不(bù)合法命令，審計監控、報警、責任追蹤；

• 報警、記錄、分析、處理；

3.堡壘機核心功能

1）單點登錄功能

支持對X11、Linux、Unix、數據庫、網絡設備、安全設備等一系列授權賬号進行密碼的(de)自動化周期更改，簡化密碼管理，讓使用者無需記憶衆多系統密碼，即可實現自動登錄目标設備，便捷安全。

2）賬号管理

設備支持統一賬戶管理策略，能夠實現對所有服務器、網路設備、安全設備等賬号進行集中管理，完成對賬号整個(gè)生命周期的(de)監控，并且可以(yǐ)對設備進行特殊角設置，如：審計巡檢員、運維操作員、設備管理員等自定義，以(yǐ)滿足審計需求。

3）身份認證

設備提供統一的(de)認證接口，對用戶進行認證，支持身份認證模式包括動态口令、靜态密碼、硬件key、生物特征等多種認證方式，設備具有靈活的(de)定制接口，可以(yǐ)與其他(tā)第三方認證服務器直接結合安全的(de)認證模式，有效提高了(le／liǎo)認證的(de)安全性和(hé / huò)可靠性。

4）資源授權

設備提供基于(yú)用戶、目标設備、時(shí)間、協議類型IP、行爲(wéi / wèi)等要(yào / yāo)素實現細粒度的(de)操作授權，最大(dà)限度保護用戶資源的(de)安全。

5）訪問控制

設備支持對不(bù)同用戶進行不(bù)同策略的(de)制定，細粒度的(de)訪問控制能夠最大(dà)限度的(de)保護用戶資源的(de)安全，嚴防非法、越權訪問事件的(de)發生；

6）操作審計

設備能夠對字符串、圖形、文件傳輸、數據庫等安全操作進行行爲(wéi / wèi)審計；通過設備錄像方式監控運維人(rén)員對操作系統、安全設備、網絡設備、數據庫等進行的(de)各種操作，對違規行爲(wéi / wèi)進行事中控制；對終端指令信息能夠進行精确搜索，進行錄像精确定位；

4.堡壘機應用場景

1）多個(gè)用戶使用同一賬号

多出(chū)現在(zài)同一工作組中，由于(yú)工作需要(yào / yāo)，同時(shí)系統管理員賬号唯一，因此隻能多用戶共享同一賬号；如果發生安全事故，不(bù)僅難以(yǐ)定位賬号的(de)實際使用者和(hé / huò)責任人(rén)，而(ér)且無法對賬号的(de)使用範圍進行有效控制，存在(zài)較大(dà)的(de)安全風險和(hé / huò)隐患；

2）一個(gè)用戶使用多個(gè)賬号。

目前一個(gè)維護人(rén)員使用多個(gè)賬号時(shí)較爲(wéi / wèi)普遍的(de)情況，用戶需要(yào / yāo)記憶多套口令同時(shí)在(zài)多套主機系統、網絡設備之(zhī)間切換，降低工作效率，增加工作複雜度；

3）缺少統一的(de)權限管理平台，難以(yǐ)實現更細粒度的(de)命令權限控制。

維護人(rén)員的(de)權限大(dà)多是(shì)粗放管理，無基于(yú)最小權限分配原則的(de)用戶權限管理，難以(yǐ)實現更細粒度的(de)命令權限控制，系統安全性無法充分保證；

4）無法制定統一的(de)訪問審計策略，審計粒度粗。

各個(gè)網絡設備、主機系統、數據庫是(shì)分别單獨審計記錄訪問行爲(wéi / wèi)，由于(yú)沒有統一審計策略，而(ér)且各系統自身審計日志内容深淺不(bù)一，難以(yǐ)及時(shí)通過系統自身審計發現違規操作行爲(wéi / wèi)和(hé / huò)追查取證；

5）傳統的(de)網路安全審計系統無法對維護人(rén)員經常使用的(de)SSH、RDP等加密、圖形操作協議進行内容審計。

5.目标價值

1）目标

堡壘機的(de)核心思路是(shì)邏輯上(shàng)将人(rén)與目标設備分離，建立“人(rén)-〉主賬号（堡壘機用戶賬号）-〉授權—>從賬号（目标設備賬号）的(de)模式;在(zài)這(zhè)種模式下，基于(yú)唯一身份标識，通過集中管控安全策略的(de)賬号管理、授權管理和(hé / huò)審計，建立針對維護人(rén)員的(de)“主賬号-〉登錄—〉訪問操作-〉退出(chū)”的(de)全過程完整審計管理，實現對各種運維加密/非加密、圖形操作協議的(de)命令級審計。

2）系統價值

堡壘機的(de)作用主要(yào / yāo)體現在(zài)下述幾個(gè)方面：

企業角度

通過細粒度的(de)安全管控策略，保證企業的(de)服務器、網絡設備、數據庫、安全設備等安全可靠運行，降低人(rén)爲(wéi / wèi)安全風險，避免安全損失，保障企業效益。

管理員角度

• 所有運維賬号的(de)管理在(zài)一個(gè)平台上(shàng)進行管理，賬号管理更加簡單有序；

• 通過建立用戶與賬号的(de)唯一對應關系，确保用戶擁有的(de)權限是(shì)完成任務所需的(de)最小權限；

• 直觀方便的(de)監控各種訪問行爲(wéi / wèi)，能夠及時(shí)發現違規操作、權限濫用等。

• 鑒于(yú)多賬号同時(shí)使用超管進行的(de)操作，便于(yú)實名制的(de)認證和(hé / huò)自然人(rén)的(de)關聯。

普通用戶角度

運維人(rén)員隻需記憶一個(gè)賬号和(hé / huò)口令，一次登錄，便可實現對其所維護的(de)多台設備的(de)訪問，無須記憶多個(gè)賬号和(hé / huò)口令，提高了(le／liǎo)工作效率，降低工作複雜度。

6.應用

一種用于(yú)單點登陸的(de)主機應用系統，目前電信、移動、聯通三個(gè)運營商廣泛采用堡壘機來(lái)完成單點登陸和(hé / huò)薩班斯要(yào / yāo)求的(de)審計。

在(zài)銀行、證券等金融業機構也(yě)廣泛采用堡壘機來(lái)完成對财務、會計操作的(de)審計。

在(zài)電力行業的(de)雙網改造項目後，采用堡壘機來(lái)完成雙網隔離之(zhī)後跨網訪問的(de)問題，能夠很好的(de)解決雙網之(zhī)間的(de)訪問的(de)安全問題。