跳板机和堡垒机的区别_一条策略实现堡垒机防绕过

堡垒机想必大家都很熟悉，许多大型数据中心均使用堡垒机进行单点登录及安全审计，也有部分用户使用跳板机的方式实现了部分堡垒机的能力。

但现实和梦想总是有差距，想象中有了堡垒机，大家访问服务器应该是这样的：

现实中是这样的：

解决思路无非是访问控制——所有服务器的远程连接服务只允许堡垒机进行访问。（嗯，给全体人员发邮件进行宣传教育是个好方法…）

解决思路有了，剩下的就是解决方案了：

解决方案一：防火墙

防火墙从诞生之日起就是为了解决访问控制问题的，目前用户最常用的方式是在办公区和生产区之间通过防火墙限制员工直接访问生产区服务器的远程连接服务。

想象中大家应该是这样的：

现实中是这样的：

解决方案二：多用几台防火墙

能想到纵深防御，安全就又进了一步。在数据中心中根据业务系统、重要级别划分多个安全域，用防火墙进行域间隔离，不仅可以限制堡垒机绕过后的行走范围，也同样减少了内部其他横向移动的范围。

例如某航空客户，其5000多台虚拟机、100多个业务系统，内部采用40多台防火墙进行隔离。这可能是基于现有技术能想到的最好方案，虽然每个区域内仍然有100多台可以横向移动，但40台防火墙每天调整80多条安全策略已经是安全部门能承担的上限了。

而且用过防火墙的都知道，时间一长几千上万条防火墙策略运维起来是很可怕的(当然也不是所有客户都有策略数太多的困扰——根据客户的吐槽，某国内大厂的某型号防火墙，只能有1700条策略，一多就崩，这也让客户保持了逼自己精简安全策略的习惯…)

好像有点跑题，多用几台防火墙解决堡垒机防绕过的缺点是什么：

01

每个防火墙都需要配置至少一条安全策略，有任何变化调整起来也是累心。

02

大型数据中心域内仍然存在较大可横移范围。

还有一种技术是安全组，安全组主要是公有云厂家提供的一种能力，各家的实现逻辑也不尽相同。以阿里云为例，“同一安全组内的实例之间默认私网网络互通，不同安全组的实例之间默认私网不通。”当安全组内存在多台虚拟机时，类似于防火墙域间隔离的作用。但除此之外，安全组最大问题可能是很多私有云并不支持。

解决方案三：主机防火墙

当每台虚拟机一个安全组时和主机防火墙就有些类似了，区别主要是一个控制点在外，一个控制点在内。主机防火墙的确能够将内部横向移动范围最小化，但缺点也很明确——太麻烦！50台虚拟机以下还能考虑，但在几百上千台虚拟机环境下，每一台通过iptables配置互相访问的策略根本无法想象。

解决方案四：使用蔷薇灵动蜂巢自适应微隔离安全平台

一条策略实现堡垒机防绕过

完整视频如下（1分45秒，6.52MB）：

第一步，产品管理界面搜索堡垒机，红色代表存在不合规访问

第二步，建立一条堡垒机全局策略集。

第三步，设置策略范围。策略范围选择“所有、所有、所有”，表示这个策略集中所有策略的生效范围是所有的工作组。

第四步，新增一条安全策略。指定服务者（被访问者）是所有角色，可被访问的服务是ssh服务，访问者是堡垒机。

产品利用标签标识工作负载（指承载业务的主机），改变原防火墙基于IP的策略管理方式，即简化安全策略的配置过程，又大大减少了安全策略的总数。而且在后续运维中，如果增加了工作负载，产品可以自动将此条策略配置到新工作负载上，无需人工调整。

第五步，查看拓扑图，堡垒机访问其他主机ssh服务的连接变为绿色。若存在windows主机，还可在拓扑图快速添加安全策略。

第六步，对策略进行发布，策略同步到工作负载并生效。

欢迎关注蔷薇灵动官方微信，关注后续技术讨论！