堡垒机分为商业堡垒机和开源堡垒机,商业堡垒机选择好产商购买之后就会有专门负责部署实施的人员来负责对接相关事宜,有成熟的物理硬件堡垒机和纯软件的堡垒机,而开源堡垒机则需要花时间去选购硬件设备和搭建堡垒机的运行环境。

毫无疑问开源堡垒机会是未来的主流,从Jumpserver、Github Star近几年受欢迎的程度就可以看出,但开源堡垒机一般需要专门的熟悉Linux、Python的人负责维护。堡垒机像是一个大门的警卫控制那些人可以登录那些资产,起到了事前防范和事中控制的作用;堡垒机又像一个黑匣子,它记录着登录后对网络信息资产做了什么事情。所以准确来说堡垒机叫运维安全审计系统,它主要负责身份验证(Authentication)、账号管理(Account)、授权控制(Authorization)、安全审计(Audit)等,这就是专业人士所说的符合4A的堡垒机才是专业运维安全审计系统。

堡垒机是在怎样的环境下出现的?

随着时代的发展,企业不再是建一个网站就完成了与互联网接轨的时代。如今的信息化建设已经成为了企业发展的生命线,无纸化、精简审批流程和时间、大数据分析的要求使得企业把线下的线下的业务全部都搬迁至线上,比如ERP系统、CRM系统、OA系统等等。在信息安全事故频发的情况下,企业、对于内部信息安全的管控也变得越来越严苛。信息安全不仅仅来自于外部(如勒索病毒、木马等等),还来自于内部(比如删库,多个人使用一个账号等等)。

因此就需要堡垒机这样的跳板机将所有的风险进行过滤、阻隔、记录,并对所有的账号进行统一的授权。堡垒机可以对过去事件进行回溯追责,这是系统日志所达不到的,系统日志零散可读性差、可以被删除和篡改、账号和人员没有办法进行一一对应,即使有某个运维人员删库跑路了,也很难留下痕迹作为证据。

堡垒机不等同于跳板机,但可以说堡垒机是由跳板机发展而来。跳板机实际上就是一台服务器,运维的人员会统一登录到这台服务器之后,再由这台服务器登录到目标设备进行维护。跳板机仅此而已,缺乏运维人员操作行为的操控和审计,更别说4A,一旦跳板机被攻入,和完全暴露没有任何区别。05年前后堡垒机才开始作为一个独立的产品形态被广泛的部署。

堡垒机的噪点

堡垒机有点像全程录像机,录下了时间段内所有的行踪和轨迹,可以快速准确地定位到可疑位置,协助我们做提前的防范。

但用过堡垒机的人都有遇到过突然出了问题可能很长时间没有办法登录的情况,尤其在处理具体业务时,会严重的拉低其他人员对于运维人员的满意度。另外就像上面提到的,堡垒机需要专人维护,并且这个人需要非常熟悉Linux、Python等。

但即使是这样,运维人员还是要建议公司购买使用堡垒机,堡垒机也满足“信息安全等级保护”、“网络安全法”等对于企业网络风险内控和审计的要求。堡垒机的方案有很多,相应的坑也会有很多,避坑的代价要么请专业的认识,要么足够时间去了解它。