(科普)堡壘機的基本原理與部署方式

堡壘機是什么？

堡壘機，即在一個特定的網絡環境下，為了保障網絡和數據不受來自外部和內部用戶的入侵和破壞，而運用各種技術手段監控和記錄運維人員對網絡內的服務器、網絡設備、安全設備、數據庫等設備的操作行為，以便集中報警、及時處理及審計定責。[百度百科解釋]

堡壘機目前也有很多叫運維審計系統。

簡單總結一句話：堡壘機是用來控制哪些人可以登錄哪些資產（事先防范和事中控制），以及錄像記錄登錄資產后做了什么事情（事后溯源.）

堡壘機的核心是可控及審計。

可控是指權限可控、行為可控。

權限可控，比如某個工程師要離職或要轉崗了。如果沒有一個統一的權限管理入口，是一場夢魘。行為可控，比如我們需要集中禁用某個危險命令，如果沒有一個統一入口，操作的難度可想而知。

堡壘機的由來：

圖：堡壘機工作原理

堡壘機是從跳板機（也叫前置機）的概念演變過來的。早在2000年左右的時候，一些中大型企業為了能對運維人員的遠程登錄進行集中管理，會在機房部署一臺跳板機。

跳板機其實就是一臺unix/windows操作系統的服務器。所有運維人員都需要先遠程登錄跳板機，然后從跳板機登錄其他服務器中進行運維操作。

隨著技術和需求的發展，越來越多的客戶需要對運維操作進行審計。因此，堡壘機應運而生。

堡壘機的發展：

堡壘機的發展大致經歷了三個方面：

1. 工具時代
2. 主要是作為跳板機的運維工具
3. 場景化時代
4. 自動運維、自動改密、工單、應用中心
5. 云計算時代
6. 云資產平滑接入、VPC、數據庫運維、AI運維推薦、云中心。

為什么需要堡壘機？

這是因為在運維方面存在以下安全挑戰：

1. 集中管理難
2. 主機分散（多中心，云主機）；運維入口分散，辦公網絡、家庭網絡均需要訪問。
3. 權限管理難
4. 賬號多人共享；高權限賬號濫用；越權操作、誤操作等
5. 第三方外包
6. 運維外包；賬號泄露；操作不透明；無審計；發生事故，難以定位定責
7. 法律法規
8. 企業運維需要監控；等級保護要求；合規性要求；

設計理念：

堡壘機主要是有4A理念。即認證（Authen）、授權（Authorize）、賬號（Account）、審計（Audit）為核心。

堡壘機的目標是什么？

堡壘的建設目標可以概括為5“W”，主要是為了降低運維風險。具體如下：

1. 審計：你做了什么？（What）
2. 授權：你能做哪些？（Which）
3. 賬號：你要去哪？（Where）
4. 認證：你是誰？（Who）
5. 來源：訪問時間？（When）

堡壘機的價值：

1. 集中管理
2. 集中權限分配
3. 統一認證
4. 集中審計
5. 數據安全
6. 運維高效
7. 運維合規
8. 風險管控

堡壘機的分類：

堡壘機分為商業堡壘機和開源堡壘，開源軟件毫無疑問將是未來的主流。Jumpserver 是全球首款完全開源的堡壘機，是符合 4A 的專業運維審計系統，GitHub Star 數超過 1.1 萬，Star 趨勢就可以看出其受歡迎程度。

堡壘機原理

目前常見堡壘機的主要功能架構：

功能架構

目前常見堡壘機主要功能分為以下幾個模塊：

• 運維平臺
• RDP/VNC運維；SSH/Telnet運維；SFTP/FTP運維；數據庫運維；Web系統運維；遠程應用運維；
• 管理平臺
• 三權分立；身份鑒別；主機管理；密碼托管；運維監控；電子工單；
• 自動化平臺
• 自動改密；自動運維；自動收集；自動授權；自動備份；自動告警；
• 控制平臺
• IP防火墻；命令防火墻；訪問控制；傳輸控制；會話阻斷；運維審批；
• 審計平臺
• 命令記錄；文字記錄；SQL記錄；文件保存；全文檢索；審計報表；

三權分立：

• 三權的理解：配置，授權，審計
• 三員的理解：系統管理員，安全保密管理員，安全審計員
• 三員之三權：廢除超級管理員；三員是三角色并非三人；安全保密管理員與審計員必須非同一個人。

堡壘機的身份認證：

堡壘機主要就是為了做統一運維入口，所以登錄堡壘機就支持靈活的身份認證方式：

• 本地認證：本地賬號密碼認證，一般支持強密碼策略
• 遠程認證：一般可支持第三方AD/LDAP/Radius認證
• 雙因子認證：UsbKey、動態令牌、短信網關、手機APP令牌等
• 第三方認證系統：OAuth2.0、CAS等。

堡壘機的運維方式常見有以下幾種：

• B/S運維：通過瀏覽器運維。
• C/S運維：通過客戶端軟件運維，比如Xshell，CRT等。
• H5運維：直接在網頁上可以打開遠程桌面，進行運維。
• 無需安裝本地運維工具，只要有瀏覽器就可以對常用協議進行運維操作，支持ssh、telnet、rlogin、rdp、vnc協議
• 網關運維：采用SSH網關方式，實現代理直接登錄目標主機，適用于運維自動化場景。

堡壘機其他常見功能：

• 文件傳輸：一般都是登錄堡壘機，通過堡壘機中轉。使用RDP/SFTP/FTP/SCP/RZ/SZ等傳輸協議傳輸。
• 細粒度控制：可以對訪問用戶、命令、傳輸等進行精細化控制。
• 支持開放的API

堡壘機常見部署方式

單機部署：

堡壘機主要都是旁路部署，旁掛在交換機旁邊，只要能訪問所有設備即可。

部署特定：

• 旁路部署，邏輯串聯。
• 不影響現有網絡結構。

HA高可靠部署：

旁路部署兩臺堡壘機，中間有心跳線連接，同步數據。對外提供一個虛擬IP。

部署特點：

• 兩臺硬件堡壘機，一主一備/提供VIP。
• 當主機出現故障時，備機自動接管服務。

異地同步部署模式：

通過在多個數據中心部署多臺堡壘機。堡壘機之間進行配置信息自動同步。

部署特點：

• 多地部署，異地配置自動同步
• 運維人員訪問當地的堡壘機進行管理
• 不受網絡/帶寬影響，同時祈禱災備目的

集群部署（分布式部署）：

當需要管理的設備數量很多時，可以將n多臺堡壘機進行集群部署。其中兩臺堡壘機一主一備，其他n-2臺堡壘機作為集群節點，給主機上傳同步數據，整個集群對外提供一個虛擬IP地址。

部署特點：

• 兩臺硬件堡壘機，一主一備、提供VIP
• 當主機出現故障時，備機自動接管服務。

參考資料：

三權分立：https://blog.csdn.net/chelp/article/details/42062489

堡壘機是干什么的？https://www.zhihu.com/question/21036511

推薦鏈接：

【堡壘機測評】關于紐盾堡壘機、jumpserver堡壘機、行云管家堡壘機的使用對比：https://zhuanlan.zhihu.com/p/114677806