堡壘機(jī)分為商業(yè)堡壘機(jī)和開源堡壘機(jī)��,商業(yè)堡壘機(jī)選擇好產(chǎn)商購(gòu)買之后就會(huì)有專門負(fù)責(zé)部署實(shí)施的人員來(lái)負(fù)責(zé)對(duì)接相關(guān)事宜���,有成熟的物理硬件堡壘機(jī)和純軟件的堡壘機(jī)�����,而開源堡壘機(jī)則需要花時(shí)間去選購(gòu)硬件設(shè)備和搭建堡壘機(jī)的運(yùn)行環(huán)境�。
毫無(wú)疑問(wèn)開源堡壘機(jī)會(huì)是未來(lái)的主流�,從Jumpserver、Github Star近幾年受歡迎的程度就可以看出��,但開源堡壘機(jī)一般需要專門的熟悉Linux��、Python的人負(fù)責(zé)維護(hù)。堡壘機(jī)像是一個(gè)大門的警衛(wèi)控制那些人可以登錄那些資產(chǎn)����,起到了事前防范和事中控制的作用;堡壘機(jī)又像一個(gè)黑匣子���,它記錄著登錄后對(duì)網(wǎng)絡(luò)信息資產(chǎn)做了什么事情��。所以準(zhǔn)確來(lái)說(shuō)堡壘機(jī)叫運(yùn)維安全審計(jì)系統(tǒng)�,它主要負(fù)責(zé)身份驗(yàn)證(Authentication)�����、賬號(hào)管理(Account)���、授權(quán)控制(Authorization)�、安全審計(jì)(Audit)等���,這就是專業(yè)人士所說(shuō)的符合4A的堡壘機(jī)才是專業(yè)運(yùn)維安全審計(jì)系統(tǒng)�����。
堡壘機(jī)是在怎樣的環(huán)境下出現(xiàn)的���?
隨著時(shí)代的發(fā)展����,企業(yè)不再是建一個(gè)網(wǎng)站就完成了與互聯(lián)網(wǎng)接軌的時(shí)代�����。如今的信息化建設(shè)已經(jīng)成為了企業(yè)發(fā)展的生命線�����,無(wú)紙化���、精簡(jiǎn)審批流程和時(shí)間、大數(shù)據(jù)分析的要求使得企業(yè)把線下的線下的業(yè)務(wù)全部都搬遷至線上��,比如ERP系統(tǒng)���、CRM系統(tǒng)����、OA系統(tǒng)等等��。在信息安全事故頻發(fā)的情況下,企業(yè)���、政府對(duì)于內(nèi)部信息安全的管控也變得越來(lái)越嚴(yán)苛�����。信息安全不僅僅來(lái)自于外部(如勒索病毒���、木馬等等),還來(lái)自于內(nèi)部(比如刪庫(kù)���,多個(gè)人使用一個(gè)賬號(hào)等等)���。
因此就需要堡壘機(jī)這樣的跳板機(jī)將所有的風(fēng)險(xiǎn)進(jìn)行過(guò)濾、阻隔���、記錄�����,并對(duì)所有的賬號(hào)進(jìn)行統(tǒng)一的授權(quán)�����。堡壘機(jī)可以對(duì)過(guò)去事件進(jìn)行回溯追責(zé)�����,這時(shí)系統(tǒng)日志所達(dá)不到的���,系統(tǒng)日志零散可讀性差����、可以被刪除和篡改���、賬號(hào)和人員沒(méi)有辦法進(jìn)行一一對(duì)應(yīng)�,即使有某個(gè)運(yùn)維人員刪庫(kù)跑路了���,也很難留下痕跡作為證據(jù)。
堡壘機(jī)不等同于跳板機(jī)����,但可以說(shuō)堡壘機(jī)是由跳板機(jī)發(fā)展而來(lái)。跳板機(jī)實(shí)際上就是一臺(tái)服務(wù)器����,運(yùn)維的人員會(huì)統(tǒng)一登錄到這臺(tái)服務(wù)器之后�,再由這臺(tái)服務(wù)器登錄到目標(biāo)設(shè)備進(jìn)行維護(hù)�。跳板機(jī)僅此而已,缺乏運(yùn)維人員操作行為的操控和審計(jì)�����,更別說(shuō)4A��,一旦跳板機(jī)被攻入����,和完全暴露沒(méi)有任何區(qū)別。2005年前后堡壘機(jī)才開始作為一個(gè)獨(dú)立的產(chǎn)品形態(tài)被廣泛的部署�����。
堡壘機(jī)的噪點(diǎn)
堡壘機(jī)有點(diǎn)像全稱錄像機(jī)���,錄下了時(shí)間段內(nèi)所有的行蹤和軌跡���,可以快速準(zhǔn)確地定位到可以位置,協(xié)助我們做提前的防范��。
但用過(guò)堡壘機(jī)的人都有遇到過(guò)突然出了問(wèn)題可能很長(zhǎng)時(shí)間沒(méi)有辦法登錄的情況,尤其在處理具體業(yè)務(wù)時(shí)���,會(huì)嚴(yán)重的拉低其他人員對(duì)于運(yùn)維人員的滿意度���。另外就像上面提到的,堡壘機(jī)需要專人維護(hù)����,并且這個(gè)人需要非常熟悉Linux、Python等����。
但即使是這樣,運(yùn)維人員還是要建議公司購(gòu)買使用堡壘機(jī)�����,堡壘機(jī)也滿足“信息安全等級(jí)保護(hù)”���、“網(wǎng)絡(luò)安全法”等對(duì)于企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)內(nèi)控和審計(jì)的要求�����。堡壘機(jī)的方案有很多,相應(yīng)的坑也會(huì)有很多,避坑的代價(jià)要么請(qǐng)專業(yè)的認(rèn)識(shí)���,要么足夠時(shí)間去了解它����。
以上個(gè)人淺見(jiàn)�����,歡迎批評(píng)指正�����。
認(rèn)同我的看法�,請(qǐng)點(diǎn)個(gè)贊再走,感謝��!
喜歡我的��,請(qǐng)關(guān)注我�����,再次感謝�����!
贊同0
評(píng)論0
加載中...
