新钛云服已为您服务1469天
什么是堡垒机?
堡垒机,也叫做运维安全审计系统,它的核心功能是:
• 帐号管理
• 身份验证
• 安全审计
• 授权控制
简单总结一句话:堡垒机是用来控制哪些人可以登录哪些资产(预先防范和控制),以及记录登录资产之后做了什么操作(事后溯源)。
一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。
堡垒机很多时候也叫运维审计系统,它的核心是可控制和审计。可控是指权限可控、行为可控。权限可控,比如某个工程师要离职或要转岗了。如果没有一个统一的权限管理入口,是很难细粒度的做到权限的清空和集成的。行为可控,比如我们需要集中禁用某个危险命令,如果没有一个统一入口,操作的难度可想而知。
1、传统无堡垒机运维
传统无堡垒机的方式,终端连接网络设备,由防火墙或者三层交换机做路由,进而为终端和服务器建立连接。所有的访问控制和策略都基于网络层进行控制。那么在应用层面,可以说是直连的,无法做到权限的管控和操作的审计等操作。这是网络层无法做到的事情。
2、堡垒机运维
在网络设备和服务器中间架设堡垒机设备,可以是旁路部署,也可以是串联部署,具体看实际的使用场景。这种架构下,不仅可以在网络层实现管控策略,还可以在应用方面进行细粒度的权限管控。比如