什麼是堡壘機以及堡壘機的發展方向是怎樣的

2021-10-06 08:35:55 字數 2421 閱讀 5133

2023年12月1日,國家網路安全等級保護2.0制度(以下簡稱等保2.0)正式實施,這意味著在鐵路、銀行、海關、稅務、民航、電力、**、保險、外交、科技、國防、公安、財政、審計、商務、水利、能源、交通、文化、教育等行業,因為主管單位的明確要求,這些行業的資訊系統均要開展安全等級保護工作,而堡壘機又是等保2.0中必不可少的工具手段,於是乎,堡壘機也從乙個面向特定行業的、少數人知曉的概念,逐漸變得為廣大it從業人員所熟知。

本文將向各位讀者普及一下堡壘機的基本概念,以及**一下未來堡壘機的發展方向。

堡壘機是一種非常形象的叫法,在國內,更直白、更易於理解的一種叫法是「合規運維與安全審計系統「,在國外,往往歸類為」特權賬號管理系統「。

1.1堡壘機是用來解決「運維混亂」的

堡壘機到底是幹什麼的?簡而言之一句話:堡壘機是用於解決「運維混亂」的。何謂運維混亂?當公司的it運維人員越來越多,當需要管理的it裝置越來越多,當參與運維的崗位越來越多樣性,如果沒有一套好的機制,就會產生運維混亂。具體而言,你很想知道「哪些人允許以哪些賬號訪問哪些it裝置」而不可得。

1.2 堡壘機讓「運維混亂」變「運維有序」

於是乎,堡壘機便誕生了,它承擔起了運維人員在運維過程中的唯一入口,通過精細化授權,可以明確「哪些人以哪些身份訪問哪些裝置」,從而讓運維混亂變得有序起來。在這種場景下,堡壘機更像是一種「跳板機「,換言之,it運維人員並不會直接訪問目標裝置,而是通過堡壘機間接訪問。

1.3 堡壘機讓「運維混亂」變「運維安全」

更重要的一點是:堡壘機不僅可以明確每乙個運維人員的訪問路徑,還可以將每一次訪問過程變得可「審計」,一旦出現問題,可追溯回源。

為方便大家理解,我們以業界知名的某堡壘機產品為例,以下截圖是其主機運維過程的雲端錄影與指令檢索介面。

如前文所述,我們已經明白了什麼是堡壘機,以及堡壘機主要的用途是什麼,那麼,堡壘機的發展方向是怎樣的呢?回顧堡壘機的發展歷程,我們可以將其劃分為四個階段:

2.1 軟硬一體化的堡壘機

軟硬一體化的堡壘機,顧名思義,是將堡壘機軟體和硬體(往往是一u或者2u的物理主機)整合在一起,打包銷售。這種做法優缺點都很分明,優點是符合國人的消費習慣,為使用者提供一攬子解決方案;缺點是不易維護,缺乏可擴充套件性。

2.2 純軟體的堡壘機

從技術上來說,純軟體的堡壘機和軟硬一體化的堡壘機並沒有質的區別,無非是純軟體的堡壘機是以產品安裝包或者映象形式向使用者提供安裝介質,而不再是以物理主機形式提供。相比較而言,純軟體的堡壘機的優勢更為明顯,易於維護,易於公升級,方便未來的擴充套件。

2.3 雲化的堡壘機

隨著雲計算的發展,傳統的堡壘機越來越不適應雲的變化,因此,業界逐漸衍生發展出「雲化的堡壘機「。這裡的雲化指代兩層含義:其一,需要堡壘機納管的it裝置對雲計算有著更好的支援,包括支援統一納管不同的公有雲主機以及私有雲主機等,同時,需要納管的it資產也不再僅僅只是主機資源,還包括雲資料庫、物件儲存等paas資源;其二,堡壘機產品自身的體系架構也支援雲原生特性,堡壘機自身可以直接部署在公有雲環境,並能夠充分利用雲計算豐富的基礎設施能力,舉例而言,雲化的堡壘機原生支援公有雲的load balance和auto scaling以獲得高併發能力;通過將審計錄影儲存在公有雲的物件儲存bucket之中以獲得海量、廉價的儲存能力等。

2.4 服務化的堡壘機

現階段,隨著雲計算已經發展成為企業it架構的基礎支撐,雲化的堡壘機已經成為業界的主流。如果眼光稍微放長遠一些,未來的堡壘機將發展成怎樣的形態?筆者認為,服務化的堡壘機將成為未來堡壘機的首選形態。

何謂服務化的堡壘機?我們不妨回顧一下雲計算的起源。雲計算的本質是服務化,無論是iaas(infrastructure as a service)將it的基礎設施服務化,還是paas(platform as a service)將it的平台能力服務化,其核心思想都是希望以服務的形式獲取所需的資源。同樣道理,針對堡壘機這一產品,使用者的本質需求是「針對it系統的合規運維與安全審計」,如果這種能力能夠以服務的形式觸手可及、隨用隨取,顯然,這就是堡壘機終極發展形態。

華為堡壘機 堡壘機是幹什麼的?

雲堡壘機 cloud bastion host,cbh 是用於提供雲計算安全管控的系統和元件,可以實現對運維資源的4a安全管控。雲堡壘機包含使用者管理 資源管理 策略 審計和工單等功能模組,支援對windows或linux等作業系統的主機提供安全管控保護。雲堡壘機是集統一資產管理與單點登入 多種終端...

堡壘機 是個什麼東東?

其從功能上講,它綜合了核心系統運維和安全審計管控兩大主幹功能,從技術實現上講,通過切斷終端計算機對網路和伺服器資源的直接訪問,而採用協議 的方式,接管了終端計算機對網路和伺服器的訪問。形象地說,終端計算機對目標的訪問,均需要經過運維安全審計的翻譯。打乙個比方,運維安全審計扮演著看門者的工作,所有對網...

什麼是跳板機(堡壘機)

現在一定規模網際網路企業,往往都擁有大量伺服器,如何安全並高效的管理這些伺服器是每個系統運維或安全運維人員必要工作。現在比較常見的方案是搭建堡壘機環境作為線上伺服器的入口,所有伺服器只能通過堡壘機進行登陸訪問。因此需要通過終端連線到遠端開發機進行工作,由於安全等因素,登入開發機時需要先登入跳板機,然...