4A和堡垒机的关系与区别

2008年，随着中国移动4A的建设落地，拉开了4A在国内发展的序幕，至今已有十四年时间了。4A从最初主要在运营商行业建设，到如今已覆盖如烟草、政府、金融、能源矿业、公检法司、企业等众多行业，大家对4A的认可度也越来越高。

4A作为国内IAM的典型代表，自然也着重于对身份和访问进行统一管理。然而，在4A的应用推广过程中，一些厂商基于“帐号、认证、授权、审计”4个A的元素，把堡垒机也当作4A进行宣传，让大家误以为堡垒机也是4A。但两者相比，还是存在明显的不同。

本文将从多个维度详细介绍4A和堡垒机，帮助大家理清楚4A和堡垒机的关系与区别。

一

4A和堡垒机的关系

谈到4A与堡垒机的关系，如果以人为喻，就像大脑与四肢的关系：大脑负责收集、存储、处理信息，发号施令；四肢负责接收指令，完成动作。

同样，4A作为管理平台主要负责录入、存储数据，制定权限规则，校验用户身份和权限，下发策略；堡垒机作为能力组件主要负责接收策略并执行。

在实际的使用中，堡垒机会根据客户网络情况部署在各个网络节点，提供各自网络的运维入口，但多台堡垒机之间则无法有效地统一管理，此时就需要4A承担堡垒机大脑的角色，统一管理和调配下面的多台堡垒机。所有的用户数据、资源数据都录入4A，访问授权关系也在4A上配置，再根据堡垒机所在网络的用户、资源情况对应下发，从而实现多台堡垒机的集中统一管理。

二

4A和堡垒机的区别

1

产品定位

4A源于IT设施爆发式增长的大背景，传统的帐号管理措施已不能满足日益增长的业务需求，为了解决传统管理带来的帐号身份不清、认证强度不够、访问权限不明、操作审计不细等问题，诞生了4A的概念。4A产品定位是：“一种以身份为中心，实现被管资源的帐号、认证、授权和审计统一管理的安全管控平台”，其本质是提供了一种集中统一的管理方式。

堡垒机其实起源更早，从最初的旁路审计产品演进而来。当IT设施全面升级为需要通过加密协议访问时（如SSH、SFTP），为了解决加密协议无法解析和审计的问题，一部分旁路审计产品实现了协议代理的方式，接管了终端对资源的访问，在审计的同时还能对操作命令进行细粒度管控，这就是最初的堡垒机。堡垒机产品定位是：“一种管控和审计运维人员操作的网络安全设备”，其本质是提供了资源运维统一入口。

从产品定位来看，4A侧重于身份管理，堡垒机侧重于运维和审计。

2

应用场景

4A是基于身份的统一安全管控平台，而身份又是安全防护的基石，只有明确了身份，才能做好安全管控，所以只要涉及到身份统一管理的场景，都可以用4A来完成，比如多个应用系统的统一认证和单点登录。再有就是4A可以作为多个能力组件的集中管理平台，为能力组件提供统一的帐号、认证、授权和审计管理能力，并借助能力组件覆盖不同场景的安全管控需求，比如运维管控场景、应用管控场景、数据管控场景、零信任场景等。

对堡垒机而言，产品定位就已经决定了其应用场景主要就是针对运维管控，在终端和被访问资源之间充当关卡，对所有通过的待执行命令进行审计记录和权限校验，对不合规命令进行阻断、对高危命令进行二次审批，拦截非法操作和恶意攻击，防止用户误操作。

从应用场景来看，4A支持的应用场景可以涵盖堡垒机的运维管控场景，这也是很多人认为4A和堡垒机没有区别的主要原因。

3

核心能力

4A统一安全管控平台，其核心能力围绕身份与访问而展开：

🔹帐号全生命周期管理：为自然人创建网络唯一身份标识，实现帐号的创建、帐号的变更、帐号的维护和离职帐号注销的全生命周期管理及对应的认证、权限和审计的统一管控。

🔹多因素身份认证：针对用户帐号支持一种或多种身份认证方式及组合，可根据需要对认证方式进行扩展。

🔹标准身份认证协议：支持标准协议（Radius、Tacacs、LDAP、CAS、OAuth2、OIDC），实现网络设备、主机、数据库的认证接入和应用系统单点登录。

🔹访问权限控制：支持基于RBAC和ABAC权限模型，对用户访问资源权限进行细粒度控制，并可基于终端环境风险和用户行为风险，实现用户权限的动态管控。

🔹流程化管理：支持基于4A自身业务实现流程化工单管理，包括用户自注册和访问授权自助申请。

堡垒机作为运维管控产品，其核心能力围绕运维和审计而展开：

🔹协议代理：支持对主机、数据库、网络设备等资产维护过程中的协议数据包代理转发、操作行为记录及还原、高危/违规行为阻断等功能。

🔹命令策略：支持运维操作命令维度的访问控制，根据命令策略实现对用户操作指定命令时实现阻断命令、中断会话、二次审批。

🔹操作审计：支持对运维人员登录目标设备上进行的操作进行全程记录，包括字符协议（SSH、TELNET）、文件传输协议（FTP、SFTP）、数据库协议的所有操作命令的完整详细记录，图形协议（RDP、VNC）的完整操作图形记录。

从核心能力来看，4A对外输出的是身份和访问管理能力，堡垒机对外输出的是运维管控能力。

综上所述，要理清4A和堡垒机的区别，我们不要只从功能的维度去比较，也不要只看有没有帐号、认证、授权、审计4个A的元素，那样是找不出有多大区别的。比如堡垒机上虽然也有帐号管理、登录认证、访问授权和运维审计4个A的功能，但其服务对象主要是堡垒机自身，并未作为核心能力对外输出，因此堡垒机并不能称之为是4A或者IAM类产品，这也是堡垒机和4A最大的区别。

PS：4A发展至今，早已超越了帐号、认证、授权、审计4个A的组合，已经成为了统一身份管理、集中化管理的代称。以身份为中心的理念也已经从过去的运维管控和应用访问向数据安全、零信任等方向延伸。

未来，4A的发展趋势一个是服务化，身份即服务（ID-As-A-Service），提供更为灵活、更为安全的身份管理机制，满足更多场景下的统一身份管理的需求；再一个就是授权与业务系统高度融合，业务系统不再本地化管理细粒度的权限，而是将权限管理外置到4A上，真正将细粒度的业务系统权限纳入4A统一管理的范畴。