亚洲熟妇av一区二区三区,久久久久久精品观看sss,免费观看四虎精品国产永久,国产成人精品一区二三区熟女,天堂网在线最新版www资源网

什么是堡壘機(jī)?為什么需要堡壘機(jī)?(什么是堡壘機(jī)-為什么需要堡壘機(jī)呢)

什么是堡壘機(jī)

什么是堡壘機(jī)?為什么需要堡壘機(jī)?(什么是堡壘機(jī)-為什么需要堡壘機(jī)呢)

堡壘機(jī),即在一個(gè)特定的網(wǎng)絡(luò)環(huán)境下,為了保障網(wǎng)絡(luò)和數(shù)據(jù)不受來(lái)自外部和內(nèi)部用戶的入侵和破壞,而運(yùn)用各種技術(shù)手段監(jiān)控和記錄運(yùn)維人員對(duì)網(wǎng)絡(luò)內(nèi)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)等設(shè)備的操作行為,以便集中報(bào)警、及時(shí)處理及審計(jì)定責(zé)。

用一句話來(lái)說,堡壘機(jī)就是用來(lái)后控制哪些人可以登錄哪些資產(chǎn)(事先防范和事中控制),以及錄像記錄登錄資產(chǎn)后做了什么事情(事溯源)

堡壘機(jī)很多時(shí)候也叫運(yùn)維審計(jì)系統(tǒng),它的核心是可控及審計(jì)。可控是指權(quán)限可控、行為可控。權(quán)限可控,比如某個(gè)工程師要離職或要轉(zhuǎn)崗了。如果沒有一個(gè)統(tǒng)一的權(quán)限管理入口,是一場(chǎng)夢(mèng)魘。行為可控,比如我們需要集中禁用某個(gè)危險(xiǎn)命令,如果沒有一個(gè)統(tǒng)一入口,操作的難度可想而知。

為什么需要堡壘機(jī)

堡壘機(jī)是從跳板機(jī)(也叫前置機(jī))的概念演變過來(lái)的。早在2000年左右,一些中大型企業(yè)為了能對(duì)運(yùn)維人員的遠(yuǎn)程登錄進(jìn)行集中管理,會(huì)在機(jī)房部署一臺(tái)跳板機(jī)。跳板機(jī)其實(shí)就是一臺(tái)unix/windows操作系統(tǒng)的服務(wù)器,所有運(yùn)維人員都需要先遠(yuǎn)程登錄跳板機(jī),然后再?gòu)奶鍣C(jī)登錄其他服務(wù)器中進(jìn)行運(yùn)維操作。

但跳板機(jī)并沒有實(shí)現(xiàn)對(duì)運(yùn)維人員操作行為的控制和審計(jì),使用跳板機(jī)過程中還是會(huì)有誤操作、違規(guī)操作導(dǎo)致的操作事故,一旦出現(xiàn)操作事故很難快速定位原因和責(zé)任人。此外,跳板機(jī)存在嚴(yán)重的安全風(fēng)險(xiǎn),一旦跳板機(jī)系統(tǒng)被攻入,則將后端資源風(fēng)險(xiǎn)完全暴露無(wú)遺。同時(shí),對(duì)于個(gè)別資源(如Telnet)可以通過跳板機(jī)來(lái)完成一定的內(nèi)控,但是對(duì)于更多更特殊的資源(ftp、RDP等)來(lái)講就顯得力不從心了。

人們逐漸認(rèn)識(shí)到跳板機(jī)的不足,進(jìn)而需要更新、更好的安全技術(shù)理念來(lái)實(shí)現(xiàn)運(yùn)維操作管理。需要一種能滿足角色管理與授權(quán)審批、信息資源訪問控制、操作記錄和審計(jì)、系統(tǒng)變更和維護(hù)控制要求,并生成一些統(tǒng)計(jì)報(bào)表配合管理規(guī)范來(lái)不斷提升IT內(nèi)控的合規(guī)性的產(chǎn)品。在這些理念的指導(dǎo)下,2005年前后,堡壘機(jī)開始以一個(gè)獨(dú)立的產(chǎn)品形態(tài)被廣泛部署,有效地降低了運(yùn)維操作風(fēng)險(xiǎn),使得運(yùn)維操作管理變得更簡(jiǎn)單、更安全。

堡壘機(jī)的設(shè)計(jì)理念

堡壘機(jī)主要是有4A理念,即認(rèn)證(Authen)、授權(quán)(Authorize)、賬號(hào)(Account)、審計(jì)(Audit)。

堡壘機(jī)的目標(biāo)

堡壘機(jī)的建設(shè)目標(biāo)可以概括為5W,主要是為了降低運(yùn)維風(fēng)險(xiǎn)。具體如下:

  • 審計(jì):你做了什么?(What)
  • 授權(quán):你能做哪些?(Which)
  • 賬號(hào):你要去哪?(Where)
  • 認(rèn)證:你是誰(shuí)?(Who)
  • 來(lái)源:訪問時(shí)間?(When)

堡壘機(jī)的價(jià)值

  • 集中管理
  • 集中權(quán)限分配
  • 統(tǒng)一認(rèn)證
  • 集中審計(jì)
  • 數(shù)據(jù)安全
  • 運(yùn)維高效
  • 運(yùn)維合規(guī)
  • 風(fēng)險(xiǎn)管控

堡壘機(jī)的原理

目前常見堡壘機(jī)的主要功能架構(gòu)

什么是堡壘機(jī)?為什么需要堡壘機(jī)?(什么是堡壘機(jī)-為什么需要堡壘機(jī)呢)

目前常見堡壘機(jī)的主要功能分為以下幾個(gè)模塊:

1、運(yùn)維平臺(tái)

RDP/VNC運(yùn)維;SSH/Telnet運(yùn)維;SFTP/FTP運(yùn)維;數(shù)據(jù)庫(kù)運(yùn)維;Web系統(tǒng)運(yùn)維;遠(yuǎn)程應(yīng)用運(yùn)維;

2、管理平臺(tái)

三權(quán)分立;身份鑒別;主機(jī)管理;密碼托管;運(yùn)維監(jiān)控;電子工單;

3、自動(dòng)化平臺(tái)

自動(dòng)改密;自動(dòng)運(yùn)維;自動(dòng)收集;自動(dòng)授權(quán);自動(dòng)備份;自動(dòng)告警;

4、控制平臺(tái)

IP防火墻;命令防火墻;訪問控制;傳輸控制;會(huì)話阻斷;運(yùn)維審批;

5、審計(jì)平臺(tái)

命令記錄;文字記錄;SQL記錄;文件保存;全文檢索;審計(jì)報(bào)表;

說明:三權(quán)分立三權(quán)的理解:配置,授權(quán),審計(jì)三員的理解:系統(tǒng)管理員,安全保密管理員,安全審計(jì)員三員之三權(quán):廢除超級(jí)管理員;三員是三角色并非三人;安全保密管理員與審計(jì)員必須非同一個(gè)人。

堡壘機(jī)的身份認(rèn)證

堡壘機(jī)主要就是為了做統(tǒng)一運(yùn)維入口,所以登錄堡壘機(jī)必須支持靈活的身份認(rèn)證方式,比如:

1、本地認(rèn)證

  • 本地賬號(hào)密碼認(rèn)證,一般支持強(qiáng)密碼策略

2、遠(yuǎn)程認(rèn)證

  • 一般可支持第三方AD/LDAP/Radius認(rèn)證

3、雙因子認(rèn)證

  • UsbKey、動(dòng)態(tài)令牌、短信網(wǎng)關(guān)、手機(jī)APP令牌等

4、第三方認(rèn)證系統(tǒng)

  • OAuth2.0CAS等。

堡壘機(jī)的常見運(yùn)維方式

  • B/S運(yùn)維:通過瀏覽器運(yùn)維。
  • C/S運(yùn)維:通過客戶端軟件運(yùn)維,比如Xshell,CRT等。
  • H5運(yùn)維:直接在網(wǎng)頁(yè)上可以打開遠(yuǎn)程桌面,進(jìn)行運(yùn)維。無(wú)需安裝本地運(yùn)維工具,只要有瀏覽器就可以對(duì)常用協(xié)議進(jìn)行運(yùn)維操作,支持ssh、telnet、rlogin、rdp、vnc協(xié)議
  • 網(wǎng)關(guān)運(yùn)維:采用SSH網(wǎng)關(guān)方式,實(shí)現(xiàn)代理直接登錄目標(biāo)主機(jī),適用于運(yùn)維自動(dòng)化場(chǎng)景。

堡壘機(jī)的其他常見功能

  • 文件傳輸:一般都是登錄堡壘機(jī),通過堡壘機(jī)中轉(zhuǎn)。使用RDP/SFTP/FTP/SCP/RZ/SZ等傳輸協(xié)議傳輸。
  • 細(xì)粒度控制:可以對(duì)訪問用戶、命令、傳輸?shù)冗M(jìn)行精細(xì)化控制。
  • 支持開放的API

堡壘機(jī)的部署方式

1、單機(jī)部署

堡壘機(jī)主要都是旁路部署,旁掛在交換機(jī)旁邊,只要能訪問所有設(shè)備即可。

部署特定:

  • 旁路部署,邏輯串聯(lián)。
  • 不影響現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)。

2、HA高可靠部署

旁路部署兩臺(tái)堡壘機(jī),中間有心跳線連接,同步數(shù)據(jù)。對(duì)外提供一個(gè)虛擬IP。

部署特點(diǎn):

  • 兩臺(tái)硬件堡壘機(jī),一主一備/提供VIP。
  • 當(dāng)主機(jī)出現(xiàn)故障時(shí),備機(jī)自動(dòng)接管服務(wù)。

3、異地同步部署

通過在多個(gè)數(shù)據(jù)中心部署多臺(tái)堡壘機(jī)。堡壘機(jī)之間進(jìn)行配置信息自動(dòng)同步。

部署特點(diǎn):

  • 多地部署,異地配置自動(dòng)同步
  • 運(yùn)維人員訪問當(dāng)?shù)氐谋緳C(jī)進(jìn)行管理
  • 不受網(wǎng)絡(luò)/帶寬影響,同時(shí)祈禱災(zāi)備目的

4、集群部署(分布式部署)

當(dāng)需要管理的設(shè)備數(shù)量很多時(shí),可以將n多臺(tái)堡壘機(jī)進(jìn)行集群部署。其中兩臺(tái)堡壘機(jī)一主一備,其他n-2臺(tái)堡壘機(jī)作為集群節(jié)點(diǎn),給主機(jī)上傳同步數(shù)據(jù),整個(gè)集群對(duì)外提供一個(gè)虛擬IP地址。

部署特點(diǎn):

  • 兩臺(tái)硬件堡壘機(jī),一主一備、提供VIP
  • 當(dāng)主機(jī)出現(xiàn)故障時(shí),備機(jī)自動(dòng)接管服務(wù)。

開源堡壘機(jī)產(chǎn)品

目前,常用的堡壘機(jī)有收費(fèi)和開源兩類。收費(fèi)的有行云管家、紐盾堡壘機(jī),開源的有jumpserver。這幾種各有各的優(yōu)缺點(diǎn),如何選擇,大家可以根據(jù)實(shí)際場(chǎng)景來(lái)判斷。

版權(quán)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn),該文觀點(diǎn)僅代表作者本人。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如發(fā)現(xiàn)本站有涉嫌抄襲侵權(quán)/違法違規(guī)的內(nèi)容, 請(qǐng)發(fā)送郵件至 舉報(bào),一經(jīng)查實(shí),本站將立刻刪除。