朝花夕拾4-Jumpserver堡垒机

之前管理过公司堡垒机一段时间有所了解，整理一下。

堡垒机可以解决访问控制、行为审计、安全防护等，顺便满足等保需求，通俗来说主要解决哪些运维人员，在哪些时间，用何种方式可以访问哪些设备的问题。

4A核心能力的具体含义：

常见的传统品牌有齐治，安恒，启明星辰，绿盟，以管理本地资产为主；

云厂商有：阿里云，腾讯云，华为云等，以管理云上服务为主。

典型行业应用场景有：金融，制造， 政府国企，服务业，医疗医药，房地产及酒店。

公司使用的是Jumpserver，官网JumpServer - 开源堡垒机 - 官网，适应多云环境开源好用。

主要功能有：

身份验证--登录，MFA，x-pack，登陆限制（时间段，黑白名单）

授权控制--多维度，资产授权，动作授权，时间授权，命令过滤，文件管理

账户管理--账号的列表模板和推送，x-pack功能里有收集改密和备份

安全审计--会话，路线，命令，文件传输等审计，登录改密作业活动等日志

其他--远程应用，作业中心（跑playbook），个性化，db资产，高清rdp，录像云存储，k8s运维等

以下是Jumpserver V3的基本架构

V3共有三种连接方式分别是

1.基于原始协议级实现的本地客户端连接方式

2.基于Web实现的Web连接方式

3.RemoteApp实现代理的远程应用连接方式，支持应用商店几十种APPFIT2CLOUD 飞致云 - 应用商店

新增的组件magnus用于代理直连数据库，chen用于webGUI连接数据库。

下面聊一下公司运维对堡垒机的需求情况，公司做系统集成有供应商若干个每个供应商有工程师若干人，以网络项目为主包括FW，Router，vmware，各种portal等， 分布在各个DC或客户机房。

如何解决互信问题：

1.运维人员和堡垒机之间：sslvpn，特定信任地址段，dc内网，mfa，工单授权

2.堡垒机和客户网之间：出口IP，sslvpn(含跳板机mac，主机ID),ipsecVPN，特定网络

 日常工作内容：

1.堡垒机三台主机日常管理，包括负载，监控，虚机的创建删除等

2.外网防火墙上各种VPN和策略的管理（根据项目需求），安全过滤及hostcheck等

3.堡垒机的维护，升级及硬件扩容；和厂家互动解决各种性能空间和用户咨询等问题 

4. 几十台windows跳板机管理，杀软的管理；几百个账号运维

关于测试过的V3新功能：

1. 账号定时自动改密，改密结果邮件通知人员，测试过windows和linux，forti思科各种设备是可以的。因为原理上是特权用户ssh上去执行ansible剧本，有些提交生效缓慢如paloalto，或本身不提供命令行的设备并不支持自动改密。

2. 账号推送：测试过windows和linux，直到3.5仍不支持网络设备；

3. 账号代填，通过应用发布机将web网页的用户名代码通过windows2019的远程应用能力可以自动填好，这样可以避免账密在运维人员侧丢失或泄露；

   支持的web元素定位方式：ID，name，CSS，Xpath四种；

   对连接设备的代填测试过：windows和linux； Forti，思科，Ivanti等web或命令行测试均可以。

Jumpserver V3的特点有：

1.资产应用统一纳管，如上述应用也可作为资产可以申请连接

2.资产账号统一关联，一个资产可以对多个账号，如思科设备一般账号和enable账号

3. 账号管理全面整合，支持列表，模板，收集，推送等，更容易发现僵尸或后门账号

4.系统平台重新设计，可以clone既存平台并制作个性化平台

应用发布机要求是windows server2019以上版本，干净专用环境，安装openssh，具体Remoteapp装在堡垒机一侧，不用在发布机上安装；另外要求路由上发布机到目标地址可达。

虽然ssh等cli据厂家介绍8c16G即可支持10~20连接，测试看经过32G内存的发布机连接一个paloalto的GUI要将近两分钟，参考其他厂家推荐的配置，个人认为高并发环境下发布机的性能容易成为瓶颈；另外经测试操作设备的上传下载配置，要经过发布机的个人文件夹来进行，发布机上的安全控制也容易成为安全木桶上的短板。