運(yùn)維堡壘機(jī)操作管理理念

1、審計(jì)是事后行為，從來(lái)沒(méi)有事前審計(jì)一說(shuō)

審計(jì)可以發(fā)現(xiàn)問(wèn)題，但是無(wú)法防止問(wèn)題發(fā)生

只有在事前嚴(yán)格控制，才能從真正解決問(wèn)題

2、系統(tǒng)賬號(hào)無(wú)法確認(rèn)用戶身份

系統(tǒng)賬號(hào)的作用只是區(qū)分工作角色

多人共用一個(gè)系統(tǒng)賬號(hào)是合理的

運(yùn)維人員的流動(dòng)不應(yīng)影響系統(tǒng)賬號(hào)

3、人為操作難免會(huì)出問(wèn)題

人有失手，馬有失蹄

不怕出問(wèn)題，就怕出問(wèn)題找不到原因

只要機(jī)器能做的，就不要人做

在這些理念的指引下，2005年前后，奇智科技研發(fā)出臺(tái)運(yùn)維堡壘機(jī)，自此運(yùn)維堡壘機(jī)以一個(gè)獨(dú)立的產(chǎn)品形態(tài)被廣泛部署，有效地降低了運(yùn)維操作風(fēng)險(xiǎn)，使運(yùn)維操作管理變得更簡(jiǎn)單、更安全！

為什么需要堡壘機(jī)？

堡壘機(jī)是從跳板機(jī)（也叫前置機(jī)）的概念演變過(guò)來(lái)的。早在2000年左右，一些中大型企業(yè)為了能對(duì)運(yùn)維人員的遠(yuǎn)程登錄進(jìn)行集中管理，會(huì)在機(jī)房部署一臺(tái)跳板機(jī)。跳板機(jī)其實(shí)就是一臺(tái)unix/windows操作系統(tǒng)的服務(wù)器，所有運(yùn)維人員都需要先遠(yuǎn)程登錄跳板機(jī)，然后再?gòu)奶鍣C(jī)登錄其他服務(wù)器中進(jìn)行運(yùn)維操作。

但跳板機(jī)并沒(méi)有實(shí)現(xiàn)對(duì)運(yùn)維人員操作行為的控制和審計(jì)，使用跳板機(jī)過(guò)程中還是會(huì)有誤操作、違規(guī)操作導(dǎo)致的操作事故，一旦出現(xiàn)操作事故很難快速定位原因和責(zé)任人。此外，跳板機(jī)存在嚴(yán)重的安全風(fēng)險(xiǎn)，一旦跳板機(jī)系統(tǒng)被攻入，則將后端資源風(fēng)險(xiǎn)完全暴露無(wú)遺。同時(shí)，對(duì)于個(gè)別資源（如telnet）可以通過(guò)跳板機(jī)來(lái)完成一定的內(nèi)控，但是對(duì)于更多更特殊的資源（ftp、rdp等）來(lái)講就顯得力不從心了。

為什么要用堡壘機(jī)，堡壘機(jī)能給公司帶來(lái)什么？

使用堡壘機(jī)可以保護(hù)公司網(wǎng)絡(luò)安全，對(duì)信息有很好的管控。可以為公司帶來(lái)以下服務(wù)：

1、安全審計(jì)管理

審計(jì)服務(wù)：記錄終端用戶在其安全接入堡壘機(jī)平臺(tái)上運(yùn)行的各部件的有關(guān)事件，包括用戶登錄、驗(yàn)證、數(shù)據(jù)傳輸?shù)龋瑢徲?jì)信息可以通過(guò)WEB界面查詢。

2、應(yīng)用集中管理

應(yīng)用集中于溝通安全接入堡壘機(jī)平臺(tái)統(tǒng)一管理和部署，低安全域用戶無(wú)需關(guān)注應(yīng)用的升級(jí)維護(hù)和部署，實(shí)現(xiàn)了應(yīng)用的集中管控和統(tǒng)一部署。

堡壘機(jī)的作用

訪問(wèn)控制

運(yùn)維人員合法訪問(wèn)操作時(shí)，堡壘機(jī)可以很好的解決操作資源的問(wèn)題。通過(guò)對(duì)訪問(wèn)資源的嚴(yán)格控制，堡壘機(jī)可以確保運(yùn)維人員在其賬號(hào)有效權(quán)限、期限內(nèi)合法訪問(wèn)操作資源，降低操作風(fēng)險(xiǎn)，以實(shí)現(xiàn)安全監(jiān)管目的，保障運(yùn)維操作人員的安全、合法合規(guī)、可控制性。

賬號(hào)管理

當(dāng)運(yùn)維人員在使用堡壘機(jī)時(shí)，無(wú)論是使用云主機(jī)還是局域網(wǎng)的主機(jī)，都可以同步導(dǎo)入堡壘機(jī)進(jìn)行賬號(hào)集中管理與密碼的批量修改，并可一鍵批量設(shè)置SSH秘鑰對(duì)。

資源授權(quán)

堡壘機(jī)可以支持云主機(jī)、局域網(wǎng)主機(jī)等多種形式的主機(jī)資源授權(quán)，并且堡壘機(jī)采用基于角色的訪問(wèn)控制模型，能夠?qū)τ脩簟①Y源、功能作用進(jìn)行細(xì)致化的授權(quán)管理，解決人員眾多、權(quán)限交叉、資產(chǎn)繁瑣、各類權(quán)限等眾多運(yùn)維人員遇到的運(yùn)維難題。