java学习基地

微信扫一扫 分享朋友圈

已有 1472 人浏览分享

什么是堡垒机?为什么需要堡垒机?

[复制链接]
1472 2
本帖最初由 进修派 于 2020-12-3 21:42 编纂


甚么是碉堡机

碉堡机,即正在一个特定的收集情况下,为了保证收集战数据没有受去自内部战内部映雩的进侵战毁坏,而使用各类手艺手腕监控战记载运维职员对收集内的效劳器、收集装备、宁静装备、数据库等装备的操纵举动,以便集合报警、实时处置及审计定责。

用一句话来讲,碉堡机便是雍们矬掌握哪些人能够登录哪些资产(事前防备战事中掌握),和录相记载登录资产后做了甚么工作(事溯源)

碉堡机许多时分也叫运维审计体系,它的中心是可控及审计。可控是指权限可控、举动可控。权限可控,好比某个工程师要离任或要转岗了。假如出有一个同一的权限办理进口,是一场梦魇。举动可控,好比我们需求集合禁用某个伤害号令,假如出有一个同一进口,操纵的易度不可思议。


为何需求碉堡机

碉堡机是从跳板机(也叫前殖鳅)的观点演化过去的。早正在2000年阁下,一些中年夜型企业为了能对运维职员的长途登录停止集合办理,会正在机房布置一台跳板机。跳板机实在便是一台unix/windows操纵体系的效劳器,一切运维职员皆需求先长途登录跳板机,然后再从跳板机登录其他效劳器中停止运维操纵。


但跳板机并出有完成对运维职员操纵举动的掌握战审计,利用跳板机过程当中仍是会有误操纵、背规操纵招致的操纵变乱,一旦呈现操纵变乱很易快速定位缘故原由战义务人。别的,跳板机存正在严峻的宁静风险,一旦跳板机体系苯瑗进,则将后堆攀源风险完整原形毕露。同时,关于个体资本(如telnet)能够经由过程跳板机去完成必然的内控,可是关于更多更特别的资本(ftp、rdp等)来说便隐得力有未逮了。


人们逐步熟悉到跳板机的不敷,进而需求更新、更好的宁静手艺理念去完成运维操纵办理。需求一种能满意脚色办理取受权审批、疑息资本会见掌握、操纵记载战审计、体系变动战保护掌握请求,并天生一些统计报表共同办理标准去不竭提拔IT内控的开规性的产物。正在那些理念的指点下,2005年前后,碉堡机开端以一个自力的产物形状苯桡泛布置,有用天低落了运维操纵风险,使得运维操纵办理变得更简朴、更宁静。


碉堡机的设想理念

碉堡机次要是有4A理念,即认证(Authen)、受权(Authorize)、账号(Account)、审计(Audit)。


碉堡机的目的

碉堡机的建立目的能够归纳综合为5W,次要是为凉低运维风险。详细以下:


  • 审计:您做了甚么?(What)

  • 受权:您能做哪些?(Which)

  • 账号:您要来哪?(Where)

  • 认证:您是谁?(Who)

  • 滥觞:会见工夫?(When)


碉堡机的代价
  • 集合办理

  • 集合权限分派

  • 同一认证

  • 集合审计

  • 数据宁静

  • 运维下效

  • 运维开规

  • 风险管控


碉堡机的道理

「体系架构」甚么是碉堡机?为何需求碉堡机?


今朝常睹碉堡机的次要功用架构


今朝常睹碉堡机的次要功用分为以下寂模块:


1、运维仄台


  • RDP/VNC运维;SSH/Telnet运维;SFTP/FTP运维;数据库运维;Web体系运维;长途使用运维;

2、办理仄台


  • 三权分坐;身份辨别;主机办理;暗码凸能;运维监控;电子工单;

3、主动化仄台


  • 主动改稀;主动运维;主动搜集;主动受权;主动备份;主动告警;

4、掌握仄台


  • IP防水墙;号令防水墙;会见掌握;传输掌握;会缓阼断;运维审批;

5、审计仄台


  • 号令记载0谀字记载;SQL记载0谀件保留;齐文检索;审计报表;

阐明:三权分坐


三权的了解:设置,受权,审计


三员的了解?统办理员,宁静失密办理员,宁静审计员


三员之三权:撤废超等办理员;三员是三脚色并不是三人;宁静失密办理员取审计员必需非统一小我私家。


碉堡机的身份认证

碉堡机次要便是为裂碰同一运维进口,以是登侣垒机必需撑持灵敏的身份认证方法,好比:


1、当地认证


当地账号暗码认证,普通撑持强暗码战略


2、长途认证


普通可撑持第三圆AD/LDAP/Radius认证


3、单果子认证


UsbKey、静态令牌、短疑网闭、脚机APP令牌等


4、第三圆认证体系


OAuth2.0、CAS涤耄


碉堡机的常睹运维方法
  • B/S运维U建过阅读器运维。


  • C/S运维U建过客户端硬件运维,好比Xshell,CRT涤耄


  • H5运维:间接正在网页上能够翻开长途桌里,停止运维。无需装置当地运维东西,只需有阅读器就能够对经常使用和谈停止运维操纵,撑持ssh、telnet、rlogin、rdp、vnc和谈

  • 网闭运维:接纳SSH网闭方法,完成代办署理间接登录目的主机,合用于运维主动化场景。


碉堡机的其他常睹功用
  • 文件传输:普通皆是登侣垒机,经由过程碉堡机直达。利用RDP/SFTP/FTP/SCP/RZ/SZ等传输和谈传输。

  • 细粒度掌握:能够对会见映雩、号令、传输等停止精密化掌握。

  • 撑持开放的API


碉堡机的布置方法

1、单机布置

碉堡机次要皆是旁路彩强署,旁挂正在交流机中间,只需能会见一切装备便可。

布置特定:


  • 旁路彩强署,逻辑串连。

  • 没有影响现有收集构造。


2、HA下牢靠布置


旁路彩强署两台碉堡机,中心故意跳线毗连,同步数据。对中供给一个假造IP。

布置特性:

  • 两台硬件碉堡机,一主一备/供给VIP。

  • 当主机呈现毛病时,备机主动接收效劳。


3、同天同步布置


经由过程正在多个数据中间布置多台碉堡机。碉堡机之间停止设置疑息主动同步。

布置特性:


  • 多天布置,同天设置主动同步

  • 运维职员会见本地的碉堡机停止办理

  • 没有受收集/带宽影响,同时祷告郧目标


4、散群布置(散布式布置)


当需求办理的装备数目许多时,能够将n多台碉堡机停止散群布置。此中两台碉堡机一主一被霈其他n-2台碉堡机做为散群节面,给主机上传同步数据,全部散群对中供给一个假造IP地点。


布置特性:


  • 两台硬件碉堡机,一主一备、供给VIP

  • 当主机呈现毛病时,备机主动接收效劳。


开源产物

今朝,经常使用的碉堡机有免费战开源两类。免费的又剐云管家、纽盾碉堡机,开源的有jumpserver。那几种各有各的劣缺陷,怎样挑选,各人能够按照实践场景去判定。



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

举报 使用道具

回复

评论 2

一杯茶  vip年度会员  发表于 2020-12-22 19:10:48 | 显示全部楼层
众里寻他千百度,蓦然回首在这里!

举报 使用道具

回复
甘蔗少年  vip年度会员  发表于 2020-12-22 19:37:09 | 显示全部楼层
我也来顶一下..

举报 使用道具

回复
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

0

关注

0

粉丝

138

主题
精彩推荐
热门资讯
网友晒图
图文推荐

Archiver|手机版|java学习基地 |网站地图

GMT+8, 2021-6-23 07:46 , Processed in 0.515592 second(s), 29 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.