堡垒机、运维堡垒机、开源堡垒机、云堡垒机全面解析
一、概述
1.0、数据丢失危机
毋庸置疑,数据是企业最大的资产,是21世纪的石油,用好数据不仅可以提高企业自己的产品和服务,也可以攫取大量利润。一旦没有守好数据,那么很有可能成为下一个负面信息的主角。数据已经成为每个企业生存的关键,如何更安全的确保数据安全性与可用性是每个企业都必须思考的问题。从跳板机到硬件堡垒机,从硬件堡垒机到软件堡垒机、云堡垒机。在保障数据安全这条路上,我们都在不断探索安全的边缘。
运维圈内有这么一句话:70%故障来自内部人员的操作失误。
企业里的运维人员都掌握着数据应用服务器的最高权限,一旦运维操作出现安全问题,将为企业带来巨大的损失。因此,加强对运维人员的操作监管、操作审计、事前严格控制,才能从源头真正解决问题。在这种情况下,针对运维操作的管理与审计的堡垒机应运而生。提前设置好边界、做好规则,将是企业发展中最重要的一步。
1.1、面临的挑战
在没有部署堡垒机以前,很多公司都会遇到不少安全运维问题,比如:
而以上这些问题都可以通过堡垒机来解决,作为IT系统看门人的堡垒机其严格管控能力十分强大,能在很大程度上的拦截非法访问和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为,并对内部人员误操作和非法操作进行审计监控,以便事后责任追踪。
不过审计是事后行为,审计可以发现问题,但是无法防止问题发生只有在事前严格控制,才能从源头真正解决问题。
诸如任何人都只能通过堡垒机作为门户单点登录系统。堡垒机能集中管理和分配全部账号,更重要的是能对运维人员的运维操作进行严格审计和权限控制,确保运维的安全合规和运维人员的最小化权限管理,堡垒机的出现能够保护企业网络设备及服务器资源的安全性,使得企业网络管理合理化和专业化。
二、堡垒机的概念和种类
堡垒机从使用拓朴上说,分为网关型堡垒机和运维审计堡垒机二种,下面对这二种堡垒机进行说明。
2.0、网关型堡垒机
一般采用二层透明桥方式接入网络,一般拓朴位置在运维人员前方,运维人员做运维时,流量通过网关堡垒机,堡垒机对用户的操作进行审计。这种堡垒机在2012年前在国外的一些厂商曾经这样设计,国内厂商很少有这样设计。因为这种堡垒机上线需要修改网络拓朴,并且难实现SSO(Single Sign On,单点登录)、应用发布等功能,因此,目前已经非常少见,市场占有率不到1%。
2.1、运维审计型堡垒机
目前通用堡垒机为旁路接入模式,物理上旁路、逻辑上串行,用户想要运维时,必须通过堡垒机进行跳转登录。这种堡垒机为通用模式,因为不修改网络拓朴并且可以实现SO(Single Sign On,单点登录)、应用发布等多种功能,已经成为国内堡垒机的主流模式。
2.1.1、主要功能
自动化操作:有效提高运维效率的关键,可以让堡垒机自动帮助运维人员执行大量、重复的常规操作,提高运维效率。
操作审计:解决操作事故责任认定的问题,确保事故发生后,能快速定位操作者和事故原因,还原事故现场和举证。
访问控制:解决操作者合法访问操作资源的问题,通过对访问资源的严格控制,确保操作者在其账号有效权限和期限内合法访问操作资源,降低操作风险。
身份管理:解决操作者身份唯一的问题,身份唯一性的确定,是操作行为管理的基础,将确保操作管理的各项内容成为有根之本。
集中管理:解决操作分散、无序的问题,管理的模式决定了管理的有效性,对操作进行集中统一的管理,是解决运维操作管理诸多问题的前提与基础。
三、主流堡垒机解决方案
目前主流的堡垒机解决方案很多,那么该如何选择适合我们的呢?我主要根据自己的经验,从几个要点进行分析和比较,分享给大家参考。
3.0、使用开源堡垒机
目前的开源堡垒机方案有很多,目前做的较好的诸如有CrazyEye、Teleport、Jumpserver、GateOne、麒麟开源堡垒机等。
当我们公司选择使用开源堡垒机时,便拥有初始投入少、使用灵活等特点。不过在管理成本、学习曲线和安全性方面很难得到,可能我们不曾考虑开源堡垒机需专人进行维护,大多开源堡垒机的功能相对简单,能够满足最最基本的企业的安全需求。如果我们想更进一步的发挥堡垒机真正的价值或者说是用好堡垒机,那么根据公司业务进而定制开发就是必经之路。
而开发堡垒机这个人必须非常熟悉Linux、公司业务而且还要会玩Python(大多与运维相关的应用使用Python开发的较多,具备这样能力的人薪资往往不低),当然我们也可以选择开源堡垒机的商业支持服务,不过需支付高昂的技术支持服务费用,这本身就是一个运维成本。
3.1、内部自研
堡垒机是多种技术协调整合形成的。可以说,堡垒机技术是一个看似简单,其实复杂而精细的分布式系统集群。
堡垒机对于运维操作人员相当于一台代理服务器(Proxy Server),如果从主干技术原理的角度概述的话,目前主流的堡垒机所应用的主要技术包括:逻辑命令自动识别技术、分布式架构处理技术、图形协议代理技术、多进程/线程与同步技术、数据加密技术等。下面摘其一二概要简述浅析之。
1、逻辑命令自动识别技术是指自动识别当前操作终端,对当前终端的输入输出进行控制,组合输入输出流,自动识别逻辑语义命令。系统会根据输入输出上下文,确定逻辑命令编辑过程,进而自动捕获出用户使用的逻辑命令。该项技术解决了逻辑命令自动捕获功能,在传统键盘捕获与控制领域取得新的突破,可以更加准确的控制用户意图。该技术能自动识别命令状态和编辑状态以及私有工作状态,准确捕获逻辑命令。
2、分布式处理技术是指堡垒机采用分布式架构进行处理。
启用命令捕获引擎机制,通过策略模块完成策略审计,通过日志模块存储操作审计日志,并通过实时监视中心模块,实时查看用户在服务器上的行为。
每一个模块组件可以独立工作,可以分布于不同的服务器上,亦可所有模块组件安装于一台服务器。这种分布式架构设计有利于策略的正确执行和操作记录日志的安全。同时,各模块组件之间采用安全连接进行通信,防止策略和日志被篡改。
3、正则表达式匹配技术是指堡垒机采用正则表达式匹配技术,将正则表达式组合入树形可遗传策略结构,实现控制命令的自动匹配与控制。树形可遗传策略适合现代企业事业架构,对于服务器的分层分级管理与控制,相当有用。
4、图形协议代理是指为了对图形终端操作行为进行审计和监控,堡垒机对图形终端使用的协议进行代理,实现多平台的多种图形终端操作的审计,例如Windows平台的RDP方式图形终端操作,Linux/Unix平台的XWindow方式图形终端操作。
5、多进程/线程与同步技术是指堡垒机主体采用多进程/线程技术实现,利用独特的通信和数据同步技术,准确控制程序行为。多进程/线程方式逻辑处理准确,事务处理不会发生干扰,这有利于保证系统的稳定性、健壮性。
6、数据加密功能是指堡垒机在处理用户数据时都采用相应的数据加密技术来保护用户通信的安全性和数据的完整性。防止恶意用户截获和篡改数据。充分保护用户在操作过程中不被恶意破坏。
7、操作还原技术是指将用户在系统中的操作行为以真实的环境模拟显现出来,审计管理员可以根据操作还原技术还原出真实的操作,以判定问题出在哪里。目前,绿盟科技、极地安全、方正安全等国内主流内控堡垒主机采用操作还原技术能够将用户的操作流程自动地展现出来,能够监控用户的每一次行为,判定用户的行为是否对企业内部网络安全性造成危害。
中小企业或创业公司其实并不推荐自己开发堡垒机。对于每个企业或创业者来说,保持专注是我们必备的品质,我们不可能什么都自己做。有些机遇注定是他人的机遇,我们要做的就是专注于自己的业务和选择的道路,同时借助第三方的力量,做出一款了不起的产品。
内部研发堡垒机在性能和稳定性上都会有所欠缺,出问题后,同事不能登录,影响很多团队干活,尤其在处理业务故障的时候,突然发现某服务器进不去,别提多尴尬了,严重影响周围团队对运维团队的满意度。
运维本身是个服务性质的工作,尽量不要搞得周围部门不满意才好。
3.2、使用传统硬件堡垒机
传统堡垒机供应商诸如:齐治、网御神州、绿盟科技、极地安全、方正安全、捷成世纪等。
传统堡垒机多为软硬件结合且价格昂贵,其管控能力十分强大,是银行、国营大型企业IT运维团队的首要选项。
但传统堡垒机的缺点是,价格很高动辄数十上百万,而且部署起来困难,需要专业的团队统筹部署,维护成本高。同时对现有网络结构侵入大,软件和硬件升级都不方便,并不怎么适合中小型企业、一般创业企业。
过去买传统堡垒机,需要销售人员多次上门介绍产品。签订合约之后,需要运输、安装、调试、配置……整个流程一般长达数月。但在云上,只需简单三步就能搞定。
3.3、使用云堡垒机
现在云堡垒机产品在功能上比较成熟,借助云计算平台,云堡垒机在资源的交互性、易用性、性价比、维护成本、产品自身安全性等方面又得到了进一步提升,尤其解决了以往的单点故障问题。云堡垒机提供了一套多维度运维操作管控与审计的解决方案,使得管理人员可以面对多种云资源进行集中管理与细粒度的权限管理和访问审计,帮助企业提升内部风险控制水平。
云堡垒机还有许多特性,诸如免安装、免维护、开箱即用,支持Windows\Linux等云主机运维审计、指令检索、监控预警、自动化运维等。
这里需要注意的是,堡垒机对于自动化运维的影响甚大,因为我们使用了堡垒机实现了云环境下的统一运维管理,成为所有运维的唯一入口。那么堡垒机既会成为自动化运维的羁绊,那么可就得不偿失了,所以我们选择使用堡垒机时,也需对配套功能进行考虑(是否具备其它运维相关功能,比如主机监控、远程协同、自动化运维等);
至于云堡垒机的价格,云堡垒机应该都属于大家能接受的范围,相对传统堡垒机来讲,真的是一个非常不错的选择。
总的来说,选购堡垒机并非越贵的就越好,而是要综合考量各项指标与运维团队本身的契合度,以及在实际应用中的真实需求。如果我们所在的团队是金融、政府等对安全性要求极高的组织,建议考虑传统堡垒机。但是对于一些互联网企业、创业企业而言,我比较倾向于向大家推荐使用云堡垒机,无论是从价格还是灵活性来说他都具备优势。况且随着云计算市场的发展,上云成为主流,未来的堡垒机发展趋势也必然是偏向于云堡垒机。
四、主流云堡垒机
4.0、云堡垒机的主要选购指标
目前市面上比较流行的云堡垒机像安恒云、行云管家、云匣子等等,他们的主要功能基本相似,但优势和侧重点各有不同。
如果我们的团队规模不是超大型,服务器的数量不是过万台级别,那么主要建议大家选购云堡垒机即可。在选购合适的云堡垒级之前,首先分解一下云堡垒机的主要选购指标。
1、侵入性:如果每台主机都必须安装Agent,这样对安全性不好保障,工作量也大。对于局域网主机而言,最好是只需要在网络内安装一个代理(Proxy)软件即可,保持其它主机的纯净和安全。如果是公有云主机,最好是支持API导入,方便快捷;
2、审计方式:这点要特别注意,目前很多堡垒机只有录像审计,事实上如果真要回溯追责,光靠录像可是不够的,谁会有那么多时间去逐帧看录像呢!所以最好是要有指令审计,比如追查是谁删除了某个文件,只需输入文件名即可检索。还有一些堡垒机是不支持Windows指令审计的,如果您的主机包含了Windows,可一定要求具备Windows指令审计功能哦;