4A和堡垒机的关系与区别

最新推荐文章于 2024-07-19 17:35:15 发布
最新推荐文章于 2024-07-19 17:35:15 发布
阅读量3.1k 收藏 13
点赞数 3
文章标签: 运维 python 大数据 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63668886/article/details/127739672
版权

2008年,随着中国移动4A的建设落地,拉开了4A在国内发展的序幕,至今已有十四年时间了。4A从最初主要在运营商行业建设,到如今已覆盖如烟草、政府、金融、能源矿业、公检法司、企业等众多行业,大家对4A的认可度也越来越高。

4A作为国内IAM的典型代表,自然也着重于对身份和访问进行统一管理。然而,在4A的应用推广过程中,一些厂商基于“帐号、认证、授权、审计”4个A的元素,把堡垒机也当作4A进行宣传,让大家误以为堡垒机也是4A。但两者相比,还是存在明显的不同。

本文将从多个维度详细介绍4A和堡垒机,帮助大家理清楚4A和堡垒机的关系与区别。

4A和堡垒机的关系

谈到4A与堡垒机的关系,如果以人为喻,就像大脑与四肢的关系:大脑负责收集、存储、处理信息,发号施令;四肢负责接收指令,完成动作。

同样,4A作为管理平台主要负责录入、存储数据,制定权限规则,校验用户身份和权限,下发策略;堡垒机作为能力组件主要负责接收策略并执行。

在实际的使用中,堡垒机会根据客户网络情况部署在各个网络节点,提供各自网络的运维入口,但多台堡垒机之间则无法有效地统一管理,此时就需要4A承担堡垒机大脑的角色,统一管理和调配下面的多台堡垒机。所有的用户数据、资源数据都录入4A,访问授权关系也在4A上配置,再根据堡垒机所在网络的用户、资源情况对应下发,从而实现多台堡垒机的集中统一管理。

4A和堡垒机的区别

1

产品定位

4A源于IT设施爆发式增长的大背景,传统的帐号管理措施已不能满足日益增长的业务需求,为了解决传统管理带来的帐号身份不清、认证强度不够、访问权限不明、操作审计不细等问题,诞生了4A的概念。4A产品定位是:“一种以身份为中心,实现被管资源的帐号、认证、授权和审计统一管理的安全管控平台”,其本质是提供了一种集中统一的管理方式。

堡垒机其实起源更早,从最初的旁路审计产品演进而来。当IT设施全面升级为需要通过加密协议访问时(如SSH、SFTP),为了解决加密协议无法解析和审计的问题,一部分旁路审计产品实现了协议代理的方式,接管了终端对资源的访问,在审计的同时还能对操作命令进行细粒度管控,这就是最初的堡垒机。堡垒机产品定位是:“一种管控和审计运维人员操作的网络安全设备”,其本质是提供了资源运维统一入口。

从产品定位来看,4A侧重于身份管理,堡垒机侧重于运维和审计。

2

应用场景

4A是基于身份的统一安全管控平台,而身份又是安全防护的基石,只有明确了身份,才能做好安全管控,所以只要涉及到身份统一管理的场景,都可以用4A来完成,比如多个应用系统的统一认证和单点登录。再有就是4A可以作为多个能力组件的集中管理平台,为能力组件提供统一的帐号、认证、授权和审计管理能力,并借助能力组件覆盖不同场景的安全管控需求,比如运维管控场景、应用管控场景、数据管控场景、零信任场景等。

对堡垒机而言,产品定位就已经决定了其应用场景主要就是针对运维管控,在终端和被访问资源之间充当关卡,对所有通过的待执行命令进行审计记录和权限校验,对不合规命令进行阻断、对高危命令进行二次审批,拦截非法操作和恶意攻击,防止用户误操作。

从应用场景来看,4A支持的应用场景可以涵盖堡垒机的运维管控场景,这也是很多人认为4A和堡垒机没有区别的主要原因。

3

核心能力

4A统一安全管控平台,其核心能力围绕身份与访问而展开:

🔹帐号全生命周期管理:为自然人创建网络唯一身份标识,实现帐号的创建、帐号的变更、帐号的维护和离职帐号注销的全生命周期管理及对应的认证、权限和审计的统一管控。

🔹多因素身份认证:针对用户帐号支持一种或多种身份认证方式及组合,可根据需要对认证方式进行扩展。

🔹标准身份认证协议:支持标准协议(Radius、Tacacs、LDAP、CAS、OAuth2、OIDC),实现网络设备、主机、数据库的认证接入和应用系统单点登录。

🔹访问权限控制:支持基于RBAC和ABAC权限模型,对用户访问资源权限进行细粒度控制,并可基于终端环境风险和用户行为风险,实现用户权限的动态管控。

🔹流程化管理:支持基于4A自身业务实现流程化工单管理,包括用户自注册和访问授权自助申请。

堡垒机作为运维管控产品,其核心能力围绕运维和审计而展开:

🔹协议代理:支持对主机、数据库、网络设备等资产维护过程中的协议数据包代理转发、操作行为记录及还原、高危/违规行为阻断等功能。

🔹命令策略:支持运维操作命令维度的访问控制,根据命令策略实现对用户操作指定命令时实现阻断命令、中断会话、二次审批。

🔹操作审计:支持对运维人员登录目标设备上进行的操作进行全程记录,包括字符协议(SSH、TELNET)、文件传输协议(FTP、SFTP)、数据库协议的所有操作命令的完整详细记录,图形协议(RDP、VNC)的完整操作图形记录。

从核心能力来看,4A对外输出的是身份和访问管理能力,堡垒机对外输出的是运维管控能力。

综上所述,要理清4A和堡垒机的区别,我们不要只从功能的维度去比较,也不要只看有没有帐号、认证、授权、审计4个A的元素,那样是找不出有多大区别的。比如堡垒机上虽然也有帐号管理、登录认证、访问授权和运维审计4个A的功能,但其服务对象主要是堡垒机自身,并未作为核心能力对外输出,因此堡垒机并不能称之为是4A或者IAM类产品,这也是堡垒机和4A最大的区别。

PS:4A发展至今,早已超越了帐号、认证、授权、审计4个A的组合,已经成为了统一身份管理、集中化管理的代称。以身份为中心的理念也已经从过去的运维管控和应用访问向数据安全、零信任等方向延伸。

未来,4A的发展趋势一个是服务化,身份即服务(ID-As-A-Service),提供更为灵活、更为安全的身份管理机制,满足更多场景下的统一身份管理的需求;再一个就是授权与业务系统高度融合,业务系统不再本地化管理细粒度的权限,而是将权限管理外置到4A上,真正将细粒度的业务系统权限纳入4A统一管理的范畴。

TeenagSu
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
堡垒是什么
08-10 1887
堡垒,也叫做运维安全审计系统,它的核心功能是 4A: 身份验证 Authentication[ɔːˌθentɪˈkeɪʃn] 账号管理 Account[əˈkaʊnt] 授权控制 Authorization[ˌɔːθəraɪˈzeɪʃn] 安全审计 Audit[ˈɔːdɪt] 简单总结一句话:堡垒是用来控制哪些人可以登录哪些资产(事先防范和事中控制),以及录像记录登录资产后做了什么事情(事后溯源.)。 堡垒分为商业堡垒和开源堡垒,开源软件毫无疑问将是未来的主流。Ju...
IAM整体方案介绍
08-23
IAM整体方案介绍
堡垒是什么?堡垒有什么用?
N2O_666的博客
06-08 2502
一、什么是堡垒堡垒,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。 用一句话来说,堡垒就是用来控制哪些人可以登录哪些资产(事前授权和事中控制),以及录像记录登录资产后做了什么事情(事后溯源)。 堡垒很多时候也叫运维审计系统,它的核心是可控及审计。可控是指权限可控、行为可控。权限可控,比如某个工程师要离职或要转岗了。如果没有一个统一的
全球首款完全开源的堡垒,符合 4A 的专业运维审计系统Jumpserver
aecuhty88306453的博客
12-25 952
Jumpserver是全球首款完全开源的堡垒,是符合 4A 的专业运维审计系统。http://www.jumpserver.org https://github.com/jumpserver/jumpserver 转载于:https://www.cnblogs.com/DataArt/p/10175972.html...
堡垒4a认证是什么意思?是指哪4a?
行云管家
05-17 2373
堡垒4a认证是什么意思?是指哪4a?很多人对于这两个问题不是很了解,今天我们小编就给大家来简单回答一下。 堡垒4a认证是什么意思?是指哪4a? 【回答】:堡垒4A认证其实是4个以A开头的英语单词,分别是Authentication(认证)、Account(账号)、Authorization(授权)、Audit(审计),为了方便统称为4A。其绝体解释如下: 1、集中认证(authentication) 目前很多系统采用基本的帐号与口令方式进行认证,由于没有技术制的限制,口令的设置过于简单,无法实现用户
jumpserver:JumpServer 是全球首款开源的堡垒,是符合 4A 的专业运维安全审计系统
05-11
JumpServer 多云环境下更好用的堡垒 安全通知 2021年1月15日 JumpServer 发现远程执行漏洞,请速度修复 , 非常感谢 reactivity of Alibaba Hackerone bug bounty program(瑞典) 向我们报告了此 BUG JumpServer 是全球首款开源的堡垒,使用 GNU GPL v2.0 开源协议,是符合 4A 规范的运维安全审计系统。 JumpServer 使用 Python / Django 为主进行开发,遵循 Web 2.0 规范,配备了业界领先的 Web Terminal 方案,交互界面美观、用户体验好。 JumpServer 采纳分布式架构,支持多房跨区域部署,支持横向扩展,无资产数量及并发限制。 改变世界,从一点点开始。 特色优势 开源: 零门槛,线上快速获取和安装; 分布式: 轻松支持大规模并发访问; 无
JumpServer 是全球首款开源的堡垒,是符合 4A 的专业运维安全审计系统。-Python开发
05-24
JumpServer 是全球首款开源的堡垒,是符合 4A 的专业运维安全审计系统。 JumpServer 多云环境下更好用的堡垒 Developer Wanted JumpServer 正在寻找开发者,一起为改变世界做些贡献吧,哪怕一点点,联系我 [email protected] JumpServer 是全球首款开源的堡垒,使用 GNU GPL v2.0 开源协议,是符合 4A 规范的运维安全审计系统。 JumpServer 使用 Python / Django 为主进行开发,遵循 Web 2.0 规范,配备了业界领先的 Web Terminal 方案,交互界面美观、用户体验好。 JumpServer 采纳分布式架构,支持多房跨区域部署,支持横向扩展,无资产数量及并发限制。 改变世界,从一点点开始。 注: KubeOperator 是 JumpServer 团队在 Kubernetes 领域的的又一全新力作,欢迎关注和使用。 特色优势 开源: 零门槛,线上快速获取和安装; 分布式: 轻松支持大规模并发访问; 无插件: 仅需浏览器,极致的
JumpServer 是广受欢迎的开源堡垒,是符合 4A 规范的专业运维安全审计系统
04-06
Jumpserver 是广受欢迎的开源堡垒,遵循GPL v3开源许可协议,是符合4A(包含认证Authentication 、授权Authorization、 账号Accounting和审计Auditing)规范的运维安全审计系统。它通过企业版或者软硬件一体的...
jumpserver堡垒系统
03-07
全球首款完全开源的堡垒,使用GNU GPL v2.0开源协议,是符合 4A 的专业运维审计系统。 使用Python / Django 进行开发,遵循 Web 2.0 规范,配备了业界领先的 Web Terminal 解决方案,交互界面美观、用户体验好...
帕拉迪堡垒使用简述PAILADI
07-19
帕拉迪堡垒使用简述
jumpserver堡垒
06-28
Jumpserver 是全球首款完全开源的堡垒,使用 GNU GPL v2.0 开源协议,是符合 4A 的专业运维审计系统。 Jumpserver 使用 Python / Django 进行开发,遵循 Web 2.0 规范,配备了业界领先的 Web Terminal 解决方案,...
跳板堡垒都是什么东西?
万事俱备,就差一个程序员了
07-10 2284
第一代堡垒叫做跳板。在十几年前,一些高端产业用户为便于远程监控与管理运维人员,多会在房设置跳板。跳板服务器只有 1 台,维修人员在检修时需要统一登录至该服务器内,随后在服务器中再次登录到目标设备展开维护。不过,跳板在应用时存在诸多问题。 二代堡垒 因为一代跳板在使用过程中存在较多不足,因此,出现二代堡垒,对其不足进行完善。二代堡垒设置在网络系统内,是一种特殊的资源安全访问形式。主要利用SSLVPN 模式,针对内部网络特殊资源的访问还需要事先登录在堡垒中进行,进而达到用
堡垒的初步认识
qq_47743668的博客
11-25 624
堡垒的初步认识
网络安全产品之认识4A统一安全管理平台
学而思(xiejava的blog)
03-28 1728
4A统一安全管理平台是一个以身份为中心,实现帐号、认证、授权和审计统一管控的安全访问平台。它可为企业IT系统提供综合安全防护,其核心目的是提高系统的安全性、管理效率和用户访问的便捷性。
4A(统一安全管控平台)解析
热门推荐
田攀的日志
01-01 1万+
4A是指帐号(Account)、认证(Authentication)、授权(Authorization)和审计(Audit),4A统一安全管控平台是以身份为中心,实现帐号、认证、授权和审计统一管控的安全访问平台,可为企业IT系统提供综合安全防护。此类产品国际上通常称为IAM(Identity and Access Management ),即“身份鉴别与访问管理”。
帕拉迪Core4A-UTM堡垒使用手册
MinggeQingchun的博客
03-05 9430
一、打开页面配置 1、通过IE浏览器访问系统登录页面,推荐使用IE8或者更高版本的IE浏览器 2、如果打开网页报错 单 IE 浏览器 【工具】 ----> 【Internet选项】 ---->【安全】 ----> 【受信任的站点】 ---->【站点】 ---->【添加】,加入堡垒的URL即可 3、选择高级,将Http,SSL 和 TLS设置勾选上 二、 ...
docker build时的网络问题
最新发布
flynetcn的专栏
07-19 118
docker build网络问题
jesd79-4a和4b的区别
06-27
### 回答1: JESD79-4A和4B都是关于DDR4 SDRAM规格的标准文档,它们之间的主要区别在于其时序要求的不同。JESD79-4A是2012年发布的第一个版本,其中规定了DDR4 SDRAM的基本要求和时序。而在2014年,JESD79-4B发布了一个修订版本,其中更加详细地指定了DDR4 SDRAM的时序和电气特性。 具体来说,JESD79-4B对于传输速率大于2.4 GT/s的DDR4 SDRAM时序要求更加严格,也规定了更多的信令和命令,以支持更高的数据传输带宽。此外,JESD79-4B 还增加了针对功耗的新规范,要求DDR4 SDRAM在各种负载情况下均能够达到标准的功率要求。因此,虽然JESD79-4A和JESD79-4B都是DDR4 SDRAM规格的标准文档,但是在时序和功耗等方面存在一些区别。为了保证系统的正常运行和兼容性,设计者应能够充分了解并遵守这些规范。 ### 回答2: JESD79-4a和4b是关于DDR SDRAM和LPDDR SDRAM的JEDEC标准。其中JESD79-4a适用于DDR2 SDRAM和DDR3 SDRAM,而JESD79-4b适用于DDR4 SDRAM和LPDDR4 SDRAM。它们之间的区别主要体现在以下几个方面: 1. 数据传输速率:JESD79-4a支持DDR2和DDR3的传输速率最高可达2400 Mbps,而JESD79-4b则支持DDR4和LPDDR4的传输速率最高可达3200 Mbps。 2. 性能和功耗优化:JESD79-4b在性能和功耗方面进行了优化,相较于JESD79-4a,更加节能、性能更强。 3. 频率调节:DDR4和LPDDR4在频率调节方面相对于DDR2和DDR3更加灵活,这也是JESD79-4b相较于JESD79-4a的一项重要更新。 4. 数据位宽:JESD79-4a支持的数据位宽是32位和64位,而JESD79-4b则扩展到了支持16位和32位。 总之,JESD79-4b相较于JESD79-4a在性能、功耗和灵活性方面都有了显著提升。不过,这并不意味着JESD79-4a已经过时,它仍然在某些专门领域或低端应用中得到广泛应用。根据具体应用场景和需求选用不同标准是非常必要的。 ### 回答3: JESD79-4a和4b是用于DDR4 SDRAM存储器的JEDEC(Joint Electron Device Engineering Council)标准。其中JESD79-4a是2012年6月发布的第一版标准,而JESD79-4b是2014年7月发布的修订版标准。 这两个标准的主要区别在于其支持的存储器容量和速度。JESD79-4a仅支持最大容量为8GB的DDR4存储器,并且其时钟频率范围只能达到1600MHz。而JESD79-4b则扩展了其支持的容量范围,最大容量可达到16GB。此外,JESD79-4b还将DDR4存储器的时钟频率范围扩展到了3200MHz。 除了更高的容量和速度外,JESD79-4b还在某些特定的方面进行了优化。例如,对于DDR4存储器的自动刷新和自动变频功能进行了改进,以提高系统的能效和可靠性。 总之,尽管JESD79-4b与JESD79-4a相似,但其在存储器容量和速度方面进行了扩展和改进,以满足更高的存储容量和更快的数据传输速率需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值