将 "数据与人" 设为 "星标⭐"
第一时间收到文章更新
什么是堡垒机
为什么需要堡垒机
堡垒机的设计理念
堡垒机的目标
审计:你做了什么?(What) 授权:你能做哪些?(Which) 账号:你要去哪?(Where) 认证:你是谁?(Who) 来源:访问时间?(When)
堡垒机的价值
集中管理 集中权限分配 统一认证 集中审计 数据安全 运维高效 运维合规 风险管控
堡垒机的原理
说明:三权分立三权的理解:配置,授权,审计三员的理解:系统管理员,安全保密管理员,安全审计员三员之三权:废除超级管理员;三员是三角色并非三人;安全保密管理员与审计员必须非同一个人。
堡垒机的身份认证
本地账号密码认证,一般支持强密码策略
一般可支持第三方AD/LDAP/Radius认证
UsbKey、动态令牌、短信网关、手机APP令牌等
OAuth2.0、CAS等。
堡垒机的常见运维方式
B/S运维:通过浏览器运维。
C/S运维:通过客户端软件运维,比如Xshell,CRT等。
H5运维:直接在网页上可以打开远程桌面,进行运维。无需安装本地运维工具,只要有浏览器就可以对常用协议进行运维操作,支持ssh、telnet、rlogin、rdp、vnc协议
网关运维:采用SSH网关方式,实现代理直接登录目标主机,适用于运维自动化场景。
堡垒机的其他常见功能
文件传输:一般都是登录堡垒机,通过堡垒机中转。使用RDP/SFTP/FTP/SCP/RZ/SZ等传输协议传输。
细粒度控制:可以对访问用户、命令、传输等进行精细化控制。
支持开放的API
堡垒机的部署方式
旁路部署,逻辑串联。
不影响现有网络结构。
两台硬件堡垒机,一主一备/提供VIP。
当主机出现故障时,备机自动接管服务。
多地部署,异地配置自动同步
运维人员访问当地的堡垒机进行管理
不受网络/带宽影响,同时祈祷灾备目的
两台硬件堡垒机,一主一备、提供VIP
当主机出现故障时,备机自动接管服务。
开源堡垒机产品
来源:https://www.toutiao.com/i6881462700229329421
更多精彩内容,关注我们▼▼
