6

堡垒机(运维审计系统)的基本原理与部署方式

 2 years ago
source link: https://cshihong.github.io/2020/06/15/%E5%A0%A1%E5%9E%92%E6%9C%BA-%E8%BF%90%E7%BB%B4%E5%AE%A1%E8%AE%A1%E7%B3%BB%E7%BB%9F-%E7%9A%84%E5%9F%BA%E6%9C%AC%E5%8E%9F%E7%90%86%E4%B8%8E%E9%83%A8%E7%BD%B2%E6%96%B9%E5%BC%8F/
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

堡垒机简介

堡垒机是什么?

堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。[百度百科解释]

堡垒机目前也有很多叫运维审计系统。

简单总结一句话:堡垒机是用来控制哪些人可以登录哪些资产(事先防范和事中控制),以及录像记录登录资产后做了什么事情(事后溯源.)

堡垒机的核心是可控及审计

可控是指权限可控、行为可控。

权限可控,比如某个工程师要离职或要转岗了。如果没有一个统一的权限管理入口,是一场梦魇。
行为可控,比如我们需要集中禁用某个危险命令,如果没有一个统一入口,操作的难度可想而知。

堡垒机的由来:

堡垒机由来

图:堡垒机工作原理

堡垒机是从跳板机(也叫前置机)的概念演变过来的。早在2000年左右的时候,一些中大型企业为了能对运维人员的远程登录进行集中管理,会在机房部署一台跳板机。

跳板机其实就是一台unix/windows操作系统的服务器。所有运维人员都需要先远程登录跳板机,然后从跳板机登录其他服务器中进行运维操作。

随着技术和需求的发展,越来越多的客户需要对运维操作进行审计。因此,堡垒机应运而生。

堡垒机的发展:

堡垒机的发展大致经历了三个方面:

  1. 主要是作为跳板机的运维工具

  2. 场景化时代

    自动运维、自动改密、工单、应用中心

  3. 云计算时代

    云资产平滑接入、VPC、数据库运维、AI运维推荐、云中心。

为什么需要堡垒机?

这是因为在运维方面存在以下安全挑战:

  1. 集中管理难

    主机分散(多中心,云主机);运维入口分散,办公网络、家庭网络均需要访问。

  2. 权限管理难

    账号多人共享;高权限账号滥用;越权操作、误操作等

  3. 第三方外包

    运维外包;账号泄露;操作不透明;无审计;发生事故,难以定位定责

  4. 企业运维需要监控;等级保护要求;合规性要求;

设计理念:

堡垒机主要是有4“A”理念。即认证(Authen)、授权(Authorize)、账号(Account)、审计(Audit)为核心。

堡垒机的目标是什么?

堡垒的建设目标可以概括为5“W”,主要是为了降低运维风险。具体如下:

  1. 审计:你做了什么?(What)
  2. 授权:你能做哪些?(Which)
  3. 账号:你要去哪?(Where)
  4. 认证:你是谁?(Who)
  5. 来源:访问时间?(When)

堡垒机的价值:

  1. 集中权限分配

堡垒机的分类:

堡垒机分为商业堡垒机和开源堡垒,开源软件毫无疑问将是未来的主流。Jumpserver 是全球首款完全开源的堡垒机,是符合 4A 的专业运维审计系统,GitHub Star 数超过 1.1 万,Star 趋势就可以看出其受欢迎程度。

堡垒机原理

目前常见堡垒机的主要功能架构:

功能架构

目前常见堡垒机主要功能分为以下几个模块:

  • RDP/VNC运维;SSH/Telnet运维;SFTP/FTP运维;数据库运维;Web系统运维;远程应用运维;

  • 三权分立;身份鉴别;主机管理;密码托管;运维监控;电子工单;

  • 自动化平台

    自动改密;自动运维;自动收集;自动授权;自动备份;自动告警;

  • IP防火墙;命令防火墙;访问控制;传输控制;会话阻断;运维审批;

  • 命令记录;文字记录;SQL记录;文件保存;全文检索;审计报表;

三权分立:

  • 三权的理解:配置,授权,审计

  • 三员的理解:系统管理员,安全保密管理员,安全审计员

  • 三员之三权:废除超级管理员;三员是三角色并非三人;安全保密管理员与审计员必须非同一个人。

堡垒机的身份认证:

堡垒机主要就是为了做统一运维入口,所以登录堡垒机就支持灵活的身份认证方式:

  • 本地认证:本地账号密码认证,一般支持强密码策略
  • 远程认证:一般可支持第三方AD/LDAP/Radius认证
  • 双因子认证:UsbKey、动态令牌、短信网关、手机APP令牌等
  • 第三方认证系统:OAuth2.0、CAS等。

堡垒机的运维方式常见有以下几种:

  • B/S运维:通过浏览器运维。

  • C/S运维:通过客户端软件运维,比如Xshell,CRT等。

  • H5运维:直接在网页上可以打开远程桌面,进行运维。

    无需安装本地运维工具,只要有浏览器就可以对常用协议进行运维操作,支持ssh、telnet、rlogin、rdp、vnc协议

  • 网关运维:采用SSH网关方式,实现代理直接登录目标主机,适用于运维自动化场景。

堡垒机其他常见功能:

  • 文件传输:一般都是登录堡垒机,通过堡垒机中转。使用RDP/SFTP/FTP/SCP/RZ/SZ等传输协议传输。
  • 细粒度控制:可以对访问用户、命令、传输等进行精细化控制。
  • 支持开放的API

堡垒机常见部署方式

单机部署:

堡垒机主要都是旁路部署,旁挂在交换机旁边,只要能访问所有设备即可。

部署特定:

  • 旁路部署,逻辑串联。
  • 不影响现有网络结构。

HA高可靠部署:

旁路部署两台堡垒机,中间有心跳线连接,同步数据。对外提供一个虚拟IP。

部署特点:

  • 两台硬件堡垒机,一主一备/提供VIP。
  • 当主机出现故障时,备机自动接管服务。

异地同步部署模式:

通过在多个数据中心部署多台堡垒机。堡垒机之间进行配置信息自动同步。

部署特点:

  • 多地部署,异地配置自动同步
  • 运维人员访问当地的堡垒机进行管理
  • 不受网络/带宽影响,同时祈祷灾备目的

集群部署(分布式部署):

当需要管理的设备数量很多时,可以将n多台堡垒机进行集群部署。其中两台堡垒机一主一备,其他n-2台堡垒机作为集群节点,给主机上传同步数据,整个集群对外提供一个虚拟IP地址。

部署特点:

  • 两台硬件堡垒机,一主一备、提供VIP
  • 当主机出现故障时,备机自动接管服务。

参考资料:

三权分立:https://blog.csdn.net/chelp/article/details/42062489

堡垒机是干什么的? https://www.zhihu.com/question/21036511

推荐链接:

【堡垒机测评】关于纽盾堡垒机、jumpserver堡垒机、行云管家堡垒机的使用对比:https://zhuanlan.zhihu.com/p/114677806


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK