運維堡壘機操作管理理念

1、審計是事后行為，從來沒有事前審計一說

審計可以發現問題，但是無法防止問題發生

只有在事前嚴格控制，才能從真正解決問題

2、系統賬號無法確認用戶身份

系統賬號的作用只是區分工作角色

多人共用一個系統賬號是合理的

運維人員的流動不應影響系統賬號

3、人為操作難免會出問題

人有失手，馬有失蹄

不怕出問題，就怕出問題找不到原因

只要機器能做的，就不要人做

在這些理念的指引下，2005年前后，奇智科技研發出臺運維堡壘機，自此運維堡壘機以一個獨立的產品形態被廣泛部署，有效地降低了運維操作風險，使運維操作管理變得更簡單、更安全！

為什么需要堡壘機？

堡壘機是從跳板機（也叫前置機）的概念演變過來的。早在2000年左右，一些中大型企業為了能對運維人員的遠程登錄進行集中管理，會在機房部署一臺跳板機。跳板機其實就是一臺unix/windows操作系統的服務器，所有運維人員都需要先遠程登錄跳板機，然后再從跳板機登錄其他服務器中進行運維操作。

但跳板機并沒有實現對運維人員操作行為的控制和審計，使用跳板機過程中還是會有誤操作、違規操作導致的操作事故，一旦出現操作事故很難快速定位原因和責任人。此外，跳板機存在嚴重的安全風險，一旦跳板機系統被攻入，則將后端資源風險完全暴露無遺。同時，對于個別資源（如telnet）可以通過跳板機來完成一定的內控，但是對于更多更特殊的資源（ftp、rdp等）來講就顯得力不從心了。

為什么要用堡壘機，堡壘機能給公司帶來什么？

使用堡壘機可以保護公司網絡安全，對信息有很好的管控。可以為公司帶來以下服務：

1、安全審計管理

審計服務：記錄終端用戶在其安全接入堡壘機平臺上運行的各部件的有關事件，包括用戶登錄、驗證、數據傳輸等，審計信息可以通過WEB界面查詢。

2、應用集中管理

應用集中于溝通安全接入堡壘機平臺統一管理和部署，低安全域用戶無需關注應用的升級維護和部署，實現了應用的集中管控和統一部署。

堡壘機的作用

訪問控制

運維人員合法訪問操作時，堡壘機可以很好的解決操作資源的問題。通過對訪問資源的嚴格控制，堡壘機可以確保運維人員在其賬號有效權限、期限內合法訪問操作資源，降低操作風險，以實現安全監管目的，保障運維操作人員的安全、合法合規、可控制性。

賬號管理

當運維人員在使用堡壘機時，無論是使用云主機還是局域網的主機，都可以同步導入堡壘機進行賬號集中管理與密碼的批量修改，并可一鍵批量設置SSH秘鑰對。

資源授權

堡壘機可以支持云主機、局域網主機等多種形式的主機資源授權，并且堡壘機采用基于角色的訪問控制模型，能夠對用戶、資源、功能作用進行細致化的授權管理，解決人員眾多、權限交叉、資產繁瑣、各類權限等眾多運維人員遇到的運維難題。