主要目录
1. 背景
公司集群有堡垒机节点,不知不觉听到“堡垒机”这个词已经有些日子了。
emmm…(由于周围的小伙伴搞开发表较多,这个属实得问运维…询问未果后决定自己查资料!)
2. 讲个故事吧(堡垒机的作用)
了解或是学习一个东西,我还是喜欢以简单轻松的方式开始。
下面写个小故事吧~
某员工在离职的时候为了发泄自己的愤怒,在离职的时候删除了公司内部的核心代码、文件等重要的东西。(很多搞大数据开发的可能会说过:大不了就跑路吧,rm -r * 一个命令删除所有然后就走了)。
一个账号可能多个人使用,谁删的还真查不出来,而且公司有很多部门,一个部门访问另一个部门的数据也不太安全,谁知道谁一不小心下载或是删除些重要数据?
这个时候堡垒机应运而生。。。
( 可以实现不同的账号授予不同的权限, 也可以实现监控录像功能 )
[你敢乱来,你的骚操作都会录下来!]
3. 什么是堡垒机
3.1 定义define
堡垒机是指在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。
堡垒机,也叫做运维安全审计系统,它的核心功能是 4A:
身份验证 Authentication 账号管理 Account 授权控制 Authorization 安全审计 Audit
简单总结一句话:堡垒机是用来控制哪些人可以登录哪些资产(事先防范和事中控制)(远程登录和权限分离),以及录像记录登录资产后做了什么事情(事后溯源)。
3.2 工作机制
3.3 堡垒机运维操作审计的工作原理
在实际使用场景中,堡垒机的使用人员通常可分为管理人员、运维操作人员、审计人员三类用户。
管理员最重要的职责是根据相应的安全策略和运维人员应有的操作权限来配置堡垒机的安全策略。堡垒机管理员登录堡垒机后,在堡垒机内部,“策略管理”组件负责与管理员进行交互,并将管理 员输入的安全策略存储到堡垒机内部的策略配置库中。
“应用代理”组件是堡垒机的核心,负责中转运维操作用户的操作,并与堡垒机内部其他组件进行交互。“应用代理”组件收到运维人员的操作请求后,调用“策略管理”组件对该操作行为进行核查,核查依据便是管理员已经配置好的策略配置库,如此次操作不符合安全策略,代理”组件将拒绝该操作行为的执行。
运维人员的操作行为通过“策略管理”组件的核查之后,“应用代理”组件则代替运维人员连接目标设备完成相应操作,并将操作返回结果返回给对应的运维操作人员;同时此次操作过程被提交给堡垒机内部的“审计模块”,然后此次操作过程被记录到审计日志数据库中。
最后,当需要调查运维人员的历史操作记录时,由审计员登录堡垒机进行查询,然后“审计模块”从审计日志数据库中读取相应日志记录,并展示在审计员交互界面上。
4. 使用堡垒机
4.1 堡垒机部署
4.2 配置思路
-
创建资源
-
创建角色,将用户加入到相应的角色。
-
将角色关联到相应的资源
4.3 堡垒机的使用
具体的搜索网上的案例吧(或者去官网找文档):
行云管家文档
shell通过堡垒机传输文件到目标机器
如何使用堡垒机?
Jumpserver堡垒机连接阿里云的6个步骤!
百度文库-堡垒机使用手册.
5. 堡垒机品牌
比较知名的是阿里云、西部数码、百度云,还有行云管家、德讯科技等各地一些厂家。
1904
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
