堡垒机也叫运维安全审计系统,他的核心功能是4A
1.身份验证 Authentication
2.账号管理 Account
3.授权控制 Authorization
4.安全审计 Audit
简单来说:堡垒机就是控制那些人可以登录那些资产(时间防范和事件控制),以及录像(记录登记资产之后做了哪些事情)(事后溯源)
堡垒机分为商业堡垒机和开源堡垒机,开源堡垒机毫无疑问是未来主流的堡垒机。JumpServer是全球首款完全开源的堡垒机,是符合4A的专业云维审计系统。
堡垒机的目标
堡垒机的建设目标可以概括为5W,主要是为了降低运维风险。具体如下:
1.审计:你做了什么?(What)
2.授权:你能做什么?(Which)
3.账号:你要去哪?(Where)
4.认证:你是谁?(Who)
5.来源:访问时间?(When)
堡垒机的价值
1.集中管理
2.集中权限分配
3.统一认证
4.集中审计
5.数据安全
6.运维高效
7.运维合规
8.风险管控
堡垒机的原理
堡垒机上的用户大致可以分为三种类型:管理员、运维人员、审计人员。首先,运维人员连接堡垒机发送操作请求,请求通过权限之后,堡垒机会直接连接到目标设备,操作的结果也会返回给堡垒机,然后堡垒机就会将该结果返回给运维人员
目前常见的堡垒机的主要功能分为一下几个模块:
1、运维平台
· RDP/VNC运维;SSH/Tenlent运维;SFTP/FTP运维;数据库运维;Web系统运维;远程应用运维;
2、管理平台
·三权分立;身份鉴别;主机管理;密码托管;运维监控;电子工单;
3、自动化平台
· 自动改密;自动运维;自动手机;自动授权;自动备份;自动警告;
4、控制平台
·IP防火墙;命令防火墙;访问控制;传输控制;回话阻断;运维审批;
5、审计平台
· 命令记录;文字记录;SQL记录;文件保存;全文检索;审计报表;
说明:三圈分立
三权的理解:配置,授权,审计
三员的理解:系统管理员,安全保密管理员,安全审计员
三员之三权:费除超级管理员;三员是三角色并非三个人;安全保密管理员与审计人员必须非同一个人。
堡垒机的身份认证
堡垒机主要就是为了做统一的运维入口,所以登录堡垒机必须支持灵活的省份认证方式,比如:
1、本地认证
本地账号密码认证,一般支持抢密码策略
2、远程认证
一般支持第三方AD/LDAP/Radius认证
3、双因子认证
USbKey、动态令牌、短信网关。手机APP令牌等
4、第三方认证系统
OAuthoh2.0、CAS等。
堡垒机常见的运维方式
· B/S运维:通过浏览器运维。
· C/S运维:通过客户端运维软件,比如Xshell,CRT等。
·H5运维:直接在页面上可以打开远程桌面,进行运维。无需安装本地运维工具,只要有浏览器就可以对常用协议进行运维操作,支持ssh、telnet,rlogin、rdp、vnc协议
·网关运维:采用SSH网关方式,实现代理直接登录目标主机,适用于运维自动化场景。
堡垒机的其他常见功能
· 文件传输:一般都是登录堡垒机,通过堡垒机中转。使用PDP/SFTP/FTP/SCP/RZ/SZ等传输协议传输。
· 细粒度控制:可以对访问用户、命令、传输等进行精细分化控制。
· 支持开放的API
堡垒机的部署方式
1、单机部署
堡垒机主要都是旁路部署,旁挂在交换机旁边,只要能访问所有设备即可。
部署特点:
· 旁路部署,逻辑串联。
· 不影响现有的网络结构。
2、HA高可靠部署
旁路部署两台堡垒机,中间有心跳线连接,数据同步。对外提供一个人虚拟的IP。
部署特点:
· 两台硬件堡垒机,一主一备提供VIP
· 当主设备出现故障时,备用机自动接管服务
3、异地同步部署
通过在多个数据中心部署多台堡垒机。堡垒机之间进行配置信息自动同步。
部署特点:
· 多地部署,异地配置自动同步
· 运维人员访问当地的堡垒机进行管理
· 不受网络/宽带影响,同时起到备灾目的
4、集群部署(分布式部署)
当需要管理的设备数量很多事,可以将n多台堡垒机进行集群部署。其中两台堡垒机一主一备,其他n-2台堡垒机座位集群节点,给主机上传同步数据,整个集群对外提供一个虚拟的IP地址。
部署特点:
· 两台硬件主机,一主一备,提供VIP
· 当主机出现故障时,备用机自动接管服务
