什么是堡垒机

Fort machine，即在特定的网络环境下，为了保护网络和数据免受来源外部和内部用户的入侵和破坏，利用各种技术手段对网络中的服务器、网络设备、安全设备、数据库等设备上的运维人员的操作行为进行监控和记录，从而给予集中报警、及时处理和审计的责任。

总之，堡垒机器是用来控制谁可以登录哪些资产的(事前预防和事中控制)，记录登录资产后做了什么(追根溯源)。

堡机常被称为运维审计系统，其核心是可控性和审计性。可控是指权限可控，行为可控。权限是可以控制的，比如一个工程师离职或者换工作。如果没有统一的门禁管理入口，那就是噩梦。行为是可以控制的，比如我们需要集中禁用一个危险的命令。如果没有统一的入口，操作难度可想而知。

为什么需要堡垒机

堡机是从跳板机(也叫前置机)的概念演变而来的。早在2000年左右，一些中大型企业为了集中管理运维人员的远程登录，在机房部署了跳板机。跳板机实际上是unix/windows操作系统的服务器。所有操作人员都需要先远程登录跳板机，再从跳板机登录其他服务器进行操作维护。

但是跳板机并不控制和审核运维人员的操作行为。跳板机在使用过程中，仍然会出现误操作、违章操作导致的操作事故。一旦发生手术事故，很难快速定位原因和责任人。另外，跳板机存在严重的安全隐患。跳板机系统一旦被攻击，后端资源的风险就会完全暴露。同时，对于个别资源(如telnet)，可以通过跳板机实现内部控制，但是对于越来越多的特殊资源(ftp、rdp等)。)，好像不够用。

人们逐渐意识到跳板机的不足，进而需要更新更好的安全技术理念来实现运维管理。我们需要一个产品，能够满足角色管理和授权审批、信息资源访问控制、操作记录和审计、系统变更和维护控制的要求，并生成一些统计报表，配合管理规范，不断提高it内控的合规性。在这些思路的指导下，2005年左右，Fort Machine作为一种独立的产品形态开始被广泛部署，有效降低了运维风险，使运维的操作管理更加简单安全。

堡垒机的设计理念

堡垒所有者主要有4A概念，即认证、授权、账户和审计。

堡垒机的目标

要塞机的建设目标可以概括为5W，主要是降低运维风险。详情如下:

审计：你做了什么？（What）授权：你能做哪些？（Which）账号：你要去哪？（Where）认证：你是谁？（Who）来源：访问时间？（When）堡垒机的价值集中管理集中权限分配统一认证集中审计数据安全运维高效运维合规风险管控堡垒机的原理当前，常见的堡垒机器的主要功能分为以下几个模块:

1.操作和维护平台

RDP/VNC运维；SSH/Telnet运维；SFTP/FTP运维；数据库运维；Web系统运维；远程应用运维；

2.管理平台

三权分立；身份鉴别；主机管理；密码托管；运维监控；电子工单；

3.自动化平台

自动改密；自动运维；自动收集；自动授权；自动备份；自动告警；

4.控制平台

IP防火墙；命令防火墙；访问控制；传输控制；会话阻断；运维审批；

5.审计平台

命令记录；文字记录；SQL记录；文件保存；全文检索；审计报表；

注:权力分立

对三权的理解:配置、授权和审计

了解三个成员:系统管理员、安全管理员、安全审计员。

三个成员的第三个权力:废除超级管理员；三个成员是三个角色，不是三个人；安全管理员和审计员不能是同一个人。

堡垒机的身份认证

堡垒机器主要是为了统一操作和维护入口，所以登录堡垒机器必须支持灵活的认证方式，例如:

1.本地认证

本地帐户密码认证通常支持强密码策略。

2.远程认证

通常，可以支持第三方AD/LDAP/Radius身份验证。

3.双因素认证

UsbKey、动态令牌、短信网关、手机APP令牌等。

4.第三方认证系统

OAuth2.0，CAS等。

堡垒机的常见运维方式B/S运维：通过浏览器运维。C/S运维：通过客户端软件运维，比如Xshell，CRT等。H5运维：直接在网页上可以打开远程桌面，进行运维。无需安装本地运维工具，只要有浏览器就可以对常用协议进行运维操作，支持ssh、telnet、rlogin、rdp、vnc协议网关运维：采取SSH网关方式，实现代理直接登录目标主机，适用于运维自动化场景。堡垒机的其他常见功能文件传输：一般都是登录堡垒机，通过堡垒机中转。使用RDP/SFTP/FTP/SCP/RZ/SZ等传输协议传输。细粒度控制：可以对访问用户、命令、传输等进行精细化控制。支持开放的API堡垒机的部署方式

1、单一部署

堡垒机器主要部署在旁路，挂在交换机旁边，只要能接入所有设备。

特定于部署:

旁路部署，逻辑串联。不影响现有网络结构。

2.HA高度可靠的部署

两台堡垒机旁路部署，中间有一个跳线同步数据。向外界提供一个虚拟IP。

部署特征:

两台硬件堡垒机，一主一备/提供VIP。当主机出现故障时，备机自动接管服务。

3.异地同步部署

通过在多个数据中心部署多个堡垒机器。堡垒机器之间配置信息的自动同步。

部署特征:

多地部署，异地配置自动同步运维人员访问当地的堡垒机进行管理不受网络/带宽影响，同时祈祷灾备目的

4.集群部署(分布式部署)

当需要管理大量设备时，可以在集群中部署N台以上的堡垒机器。其中两台堡垒机一主一备，另外n-2台堡垒机作为集群节点向主机上传同步数据，整个集群提供一个虚拟IP地址。

部署特征:

两台硬件堡垒机，一主一备、提供VIP当主机出现故障时，备机自动接管服务。开源产品

当前常用的堡垒机器有两种:收费和开源。收费的有云管家，纽敦堡和棒球机，开源的有jumpserver。这几种各有利弊。如何选择它们可以依据实际场景来判断。