什么是堡垒机?

堡垒机,也叫做运维安全审计系统,它的核心功能是 4A:

  • 身份验证 Authentication
  • 账号管理 Account
  • 授权控制 Authorization
  • 安全审计 Audit

当然,堡垒机这个名词可能很多人第一次听说过,但是跳板机可能多少有所耳闻,所以简单来说

堡垒机就是具备上述4A功能的跳板机。

堡垒机解决的问题?

堡垒机(跳板机)本质上是为了解决运维和安全的问题。传统模式下,企业运维经常会出现下面的问题:

  • 主机账号管理混乱、密码长期不更换;

  • 主机管理权限不明确,操作系统自身难以实现权限最小化,从而导致过度授权、操作失误、数据泄露等一系列安全风险;

  • 访问控制不严格,在哪台设备上执行操作?操作是哪一位来执行?正在进行哪些运维操作?执行的操作是否合规?

  • 运维人员出现了操作失误,造成运营事故,如何溯源?

而堡垒机的出现,包含了严格的权限控制,账号管理以及审计功能,上诉问题基本都可以迎刃而解。

因此,企业运维中使用堡垒机的重要性不言而喻。

堡垒机的产品:

市面上的堡垒机主要分为以下几种,不过云堡垒机

硬件堡垒机

硬件堡垒机是以硬件形态部署和使用,外形就像个DVD影碟机。

  • 优势:本地部署,安全性强。

  • 不足:部署难度大,价格很高动辄数十上百万,后期拓展难,维护成本高,对原有网络结构入侵大。

  • 厂商:齐治、网御、绿盟等

软件堡垒机

软件堡垒机通常是以软件形态部署在本地使用。

  • 优势:相比硬件堡垒机而言部署难度较小,扩展相对方便。

  • 不足:对现有网络结构存在一定程度的入侵,会改变运维习惯。

  • 厂商:Jump Server、碉堡、极地等。

云堡垒机

云堡垒机是云计算时代发展的必然产物,是传统堡垒机的升级版,除了拥有传统堡垒机的全部功能,还借助了云计算的优势,使得云堡垒机在资源的交互性、易用性、性价比、维护成本、产品自身安全性等方面得到了进一步提升,尤其解决了传统堡垒机的单点故障问题。

  • 优势:性价比高、旁路部署不影响现有网络结构,可扩展性强

  • 不足:尚未发现明显不足之处

  • 厂商:安恒、行云管家、云匣子等。

这里还有一篇更细致的评测,大家有兴趣可以阅读一下

https://zhuanlan.zhihu.com/p/114677806

综合来看,硬件类适合大型企业或者安全性需求较高的企业,而软件类的堡垒机适合一些中小型企业。

如果你的服务器资源主要集中为公有云,云堡垒机会更适合。

那么,既然产品也很优秀,为什么我今天推荐开源JumpServer呢?

因为对于一些初创型企业来说,我们很省(qiong)。

JumpServe 简介