堡壘機目前也有很多叫運維審計系統。
簡單總結一句話:堡壘機是用來控制哪些人可以登入哪些資產(事先防範和事中控制),以及錄影記錄登入資產後做了什麼事情(事後溯源.)
堡壘機的核心是可控及審計。
可控是指許可權可控、行為可控。
許可權可控,比如某個工程師要離職或要轉崗了。如果沒有乙個統一的許可權管理入口,是一場夢魘。行為可控,比如我們需要集中禁用某個危險命令,如果沒有乙個統一入口,操作的難度可想而知。
圖:堡壘機工作原理
堡壘機是從跳板機(也叫前置機)的概念演變過來的。早在2023年左右的時候,一些中大型企業為了能對運維人員的遠端登入進行集中管理,會在機房部署一台跳板機。
跳板機其實就是一台unix/windows作業系統的伺服器。所有運維人員都需要先遠端登入跳板機,然後從跳板機登入其他伺服器中進行運維操作。
隨著技術和需求的發展,越來越多的客戶需要對運維操作進行審計。因此,堡壘機應運而生。
堡壘機的發展大致經歷了三個方面:
工具時代
主要是作為跳板機的運維工具
場景化時代
自動運維、自動改密、工單、應用中心
雲計算時代
雲資產平滑接入、vpc、資料庫運維、ai運維推薦、雲中心。
這是因為在運維方面存在以下安全挑戰:
集中管理難
主機分散(多中心,雲主機);運維入口分散,辦公網路、家庭網路均需要訪問。
許可權管理難
賬號多人共享;高許可權賬號濫用;越權操作、誤操作等
第三方外包
運維外包;賬號洩露;操作不透明;無審計;發生事故,難以定位定責
法律法規
企業運維需要監控;等級保護要求;合規性要求;
堡壘機主要是有**4「a」理念。即認證(authen)、授權(authorize)、賬號(account)、審計(audit)**為核心。
堡壘的建設目標可以概括為5「w」,主要是為了降低運維風險。具體如下:
審計:你做了什麼?(what)
授權:你能做哪些?(which)
賬號:你要去哪?(where)
認證:你是誰?(who)
集中管理
集中許可權分配
統一認證
集中審計
資料安全
運維高效
運維合規
風險管控
堡壘機分為商業堡壘機和開源堡壘,開源軟體毫無疑問將是未來的主流。jumpserver 是全球首款完全開源的堡壘機,是符合 4a 的專業運維審計系統,github star 數超過 1.1 萬,star 趨勢就可以看出其受歡迎程度。
目前常見堡壘機主要功能分為以下幾個模組:
三權分立:堡壘機主要就是為了做統一運維入口,所以登入堡壘機就支援靈活的身份認證方式:堡壘機主要都是旁路部署,旁掛在交換機旁邊,只要能訪問所有裝置即可。
部署特定:
旁路部署兩台堡壘機,中間有心跳線連線,同步資料。對外提供乙個虛擬ip。
部署特點:
通過在多個資料中心部署多台堡壘機。堡壘機之間進行配置資訊自動同步。
部署特點:
當需要管理的裝置數量很多時,可以將n多台堡壘機進行集群部署。其中兩台堡壘機一主一備,其他n-2臺堡壘機作為集群節點,給主機上傳同步資料,整個集群對外提供乙個虛擬ip位址。
部署特點:
日誌審計系統的基本原理與部署方式
綜合日誌審計平台,通過集中採集資訊系統中的系統安全事件 使用者訪問記錄 系統執行日誌 系統執行狀態等各類資訊,經過規範化 過濾 歸併和告警分析等處理後,以統一格式的日誌形式進行集中儲存和管理,結合豐富的日誌統計彙總及關聯分析功能,實現對資訊系統日誌的全面審計。日誌審計的合規要求,由於網路安全法的頒布...
資料庫審計系統基本原理與部署方式
資料庫審計是記錄資料庫被訪問行為的日誌系統。訪問資料庫的一般有兩種行為,一種是應用服務區的訪問,一種是資料庫運維人員的訪問。資料庫審計 簡稱dbaudit 能夠實時記錄網路上的資料庫活動,對資料庫操作進行細粒度審計的合規性管理,對資料庫遭受到的風險行為進行告警,對攻擊行為進行阻斷。它通過對使用者訪問...
mysql的基本原理 Mysql 基本原理
mysql 基本原理 mysql是一種關聯式資料庫管理系統,關聯式資料庫將資料儲存在不同的表中,而不是將所有資料放在乙個大倉庫內,這樣就增加了速度並提高了靈活性 ysql是資料庫登入命令 uroot預設超級使用者登入 p 預設沒密碼 中寫密碼 mysqladmin uroot password 12...