大型企业往往分为集团中心、省中心及地市公司等多级部门,很多大型企业都已经安装了堡垒机,堡垒机往往以省中心为单位进行管理,而很多省公司往往也因为业务需要采购了很多台堡垒机,这样的方式造成如下问题:

1. 运维人员不得不记录多台堡垒机的IP、多台堡垒机的用户名和口令,特别是当几台堡垒机之间的密码策略不统一的时候,非常容易造成密码混乱问题

2. 缺少集中统一的管理系统,各台堡垒机很难做到安全策略、帐号策略、备份策略等统一一致,容易造成管理混乱

3. 审计员审计,不得不分别登录到所有的堡垒机上,费时、费力而且容易出错

4. 缺少统一的分析能力,各堡垒机的分析报表独立运行,很难集中的分析整个企业的运维状态和情况;

总之,这种分散式部署模式,造成企业运维管理难度大、易混乱、成本高等问题。

 

    集中管控平台可以实现在一个界面上管理多台堡垒机,将堡垒机纳入集中管控平台管理以后,管理员可以直接在集中管控平台上对堡垒机的资产、权限进行设置,并且可以在集中管控平台上输出各种报表,不需要在到每一台堡垒机上进行操作,大大减化了操作过程。

 

    同时对于运维人员,也不需要记录多台堡垒机IP和帐号,只需要登录到集中管控平台,就可以看到自己能登录的所有设备,也减化了运维人员的操作过程。

 

    集中管控平台一般部署在集团中心,使用HA架构解决单点故障,集中管控平台主要用于总部管理人员进行报表输出和分析同时,总部有一些运维人员需要跨多个省进行运维操作时,也可以通过集中管控平台。

 

    集中管控平台一般二台,采用HA架构,二台集中管控平台使用VRRP协议共同使用一个热备份IP,当主服务器出现问题时,从服务器会自动将热备份IP切换到本机,进行服务接管,以保证不会出现单点故障。

 

集中管控平台拓朴如下:

wKiom1cWBrWCkZyiAAILQ6TpZfk967.jpg

 

 

集中管控平台上线后可以实现:

1. 堡垒机管理员,可以在集中管控平台上对所有的堡垒机进行策略设置,让所有的堡垒机密码、帐号、备份等策略一致;

2. 堡垒机的管理员可以在集中管控平台上为任何一台堡垒机添加、删除帐号权限等操作,不需要记住地市堡垒机的IP和用户名密码;

3. 堡垒机的审计员可以在集中管控平台上为所有的堡垒机进行审计及报表打印,不需要登录到分行堡垒机或记住分行堡垒机IP帐号;

4. 运维人员,只需要连接登录集中管控平台,不需要记住任何一个堡垒机的IP、用户名和密码就可以进行运维操作

 

    综上所述,集中管控平台上线后,管理员、审计员、运维人员都只需要记录管理平台的一个IP、用户名以及密码,同时,在做操作时也只需要登录管控平台,大大简化了管理流程和成本。