網路工程師必知：什麼是堡壘機？

首先要知道什麼是堡壘機？

堡壘機是種具備強大防禦功能和安全審計功能的伺服器。基於跳板機理念，作為內外網路的個安全審計監測點，以達到把所有網站安全問題集中到某臺伺服器上解決，從而省時省力，同時，運維堡壘機還具備了對運維人員的遠端登入進行集中管理的功能作用。

近年來資料安全事故頻發，資料安全與防止洩露成為政府和企業都非常關心的議題，因此雲堡壘機也應運而生。

什麼是雲堡壘機？

雲堡壘機（Cloud Bastion Host，CBH）是一款4A統一安全管控平臺，為企業提供集中的帳號（Account）、授權（Authorization）、認證（Authentication）和審計（Audit）管理服務。

雲堡壘機是一種可提供高效運維、認證管理、訪問控制、安全審計和報表分析功能的雲安全服務。雲租戶運維人員可透過雲堡壘機完成資產的運維和操作審計。堡壘機透過基於協議正向代理可實現對SSH、Windows遠端桌面、SFTP等常見的運維協議的資料流進行全程記錄，再透過資料流重置的方式進行錄影回放，達到運維審計的目的。

雲堡壘機提供雲計算安全管控的系統和元件，包含部門、使用者、資源、策略、運維、審計等功能模組，集單點登入、統一資產管理、多終端訪問協議、檔案傳輸、會話協同等功能於一體。透過統一運維登入入口，基於協議正向代理技術和遠端訪問隔離技術，實現對伺服器、雲主機、資料庫、應用系統等雲上資源的集中管理和運維審計。

雲堡壘機無需安裝部署，可透過HTML5技術連線管理多個雲伺服器，企業使用者只需使用主流瀏覽器或手機APP，即可隨時隨地實現高效運維。雲堡壘機支援RDP/SSH/Telnet/VNC等多種協議，可訪問所有Windows、Linux/Unix作業系統。企業使用者可以透過雲堡壘機管理多臺雲伺服器，滿足等保三級對使用者身份鑑別、訪問控制、安全審計等條款的要求。

雲堡壘機的主要功能

1、運維協議全面性

雲堡壘機支援多種運維訪問協議，能夠充分滿足日常運維需要字元協議：SSHv1、SSHv2、TELNET。

圖形協議：RDP、VNC。
檔案傳輸協議：FTP、SFTP。
資料庫訪問：Oracle、SQL Server、DB2、Sybase、Informix、Teradata、MySQL、PostgreSQL。

2、審計效果精細化

支援字元協議和檔案傳輸協議的協議審計，審計詳細的操作語句和操作語句的執行結果。
支援RDP、VNC圖形操作過程中鍵盤輸入操作記錄、滑鼠點選行為記錄和視窗標題審計。
資料庫協議深度解析、資料庫返回行數記錄、Oracle資料庫變數繫結解析。
支援透過應用釋出實現資料庫、字元協議、檔案傳輸協議命令和錄影的雙重審計效果。

3、管控方式嚴格性

雲堡壘機系統提供嚴格的管控方式以保證運維過程的規範性命令限制與複核：對於高危命令實現實時告警或阻斷，對於特別重要的命令實現多人稽核。

應用釋出防跳轉：防止透過應用釋出伺服器進行跳轉登入未授權資源，進行http/https訪問過程時運維人員僅允許訪問授權地址，保證運維的規範性。
運維賬號IP、MAC限制：透過繫結運維賬號IP、MAC地址，避免使用者在不安全的工作崗位進行重要的運維操作。

4、操作使用便捷性

雲堡壘機系統提供多種功能以保證運維過程的自動和快捷性多種運維方式：瀏覽器呼叫運維工具訪問、瀏覽器內嵌WEB控制元件訪問、客戶端（SSH、TELNET、RDP、VNC）直連選單模式方式。

C/S運維客戶端：安全性高、通用性強、效率更高，避免了安裝和除錯Active和JAVA控制元件的繁瑣工作。
資源批次登入：支援TELNET、SSH協議使用SecureCRT工具批次登入目標資源，避免進行多次連線的重複工作量。
命令批次執行：在資源批次登入的基礎上，透過SecureCRT實現命令的多資源批次執行功能，減少同類型裝置上重複的操作工作。
裝置自動改密：支援對目標裝置自動定期修改密碼，特別是資料庫協議（包括Oracle、SQL Server、DB2、Sybase、Informix、MySQL、PostgreSQL）。

雲堡壘機優勢

1、HTML5一站式管理

無需安裝特定客戶端，無需安裝任何外掛，任意終端的主流瀏覽器，包括移動端APP瀏覽器登入，使用者隨時隨地開啟即可進行運維。

系統HTML5管理介面簡潔易用，集中管理使用者、資源和許可權，支援批次建立使用者、批次匯入資源、批次授權運維、批次登入資源等高效運維管理方式。

2、操作指令精準攔截

針對資源敏感操作進行二次複核，系統預置標準Linux字元命令庫或自定義命令，對運維操作指令和指令碼的精準攔截，並可透過非同步“動態授權”，實現對敏感操作的動態管控，防止誤操作或惡意操作的發生。

3、核心資源二次授權

借鑑銀行金庫授權機制，針對重要資源的運維許可權設定多人授權，若需登入此類資源，需多位授權候選人進行“二次授權”，加強對核心資源資料的保護，提升資料安全防護能力和管理能力，保障核心資產資料的絕對安全。

4、應用釋出擴充套件

針對資料庫類、Web應用類、客戶端程式類等不同應用資源，提供統一訪問入口，並可提高對應用操作的圖形化審計。

5、資料庫運維審計

針對DB2、MySQL、SQL Server和Oracle等雲資料庫，支援統一資源運維管理，以及SSO單點登入工具一鍵登入資料庫，提供對資料庫操作的全程記錄，實現對雲資料庫的操作指令進行解析，100%還原操作指令。

6、自動化運維

自動化運維是將系統運維管理中複雜的、重複的、數量基數大的操作，透過統一的策略、任務將複雜運維精準化和效率化，幫助運維人員從重複的體力勞動中解放出來，提高運維效率。

雲堡壘機應用場景

1、內部人員操作的安全隱患

隨著企業資訊化程序不斷深入，企業的業務系統變得日益複雜，由內部員工違規操作導致的安全問題變得日益突出起來。防火牆、防病毒、入侵檢測系統等常規的安全產品可以解決一部分安全問題，但對於內部人員的違規操作卻無能為力。雲堡壘機在運維過程中，透過事前預防、事中控制和事後審計，有效減少內部人員操作的安全隱患。

2、第三方維護人員安全隱患

企業在發展的過程中，因為戰略定位和人力等諸多原因，越來越多的會將非核心業務外包給裝置商或者其他專業代維公司。如何有效地監控裝置廠商和代維人員的操作行為,並進行嚴格的審計是企業面臨的一個關鍵問題。嚴格的規章制度只能約束一部分人的行為，只有透過嚴格的許可權控制和操作審計才能確保安全管理制度的有效執行。雲堡壘機在運維過程中，透過事前預防、事中控制和事後審計，有效減少第三方維護人員安全隱患。

3、高許可權賬號濫用風險

因為種種歷史遺留問題，並不是所有的資訊系統都有嚴格的身份認證和許可權劃分，許可權劃分混亂，高許可權賬號（比如root賬號）共用等問題一直困擾著網路管理人員，高許可權賬號往往掌握著資料庫和業務系統的命脈，任何一個操作都可能導致資料的修改和洩露，最高許可權的濫用，讓運維安全變得更加脆弱，也讓責任劃分和威脅追蹤變得更加困難。雲堡壘機透過建立“自然人-資源-資源賬號”關係，實現統一認證和授權。