安全資訊

有不少朋友讓我分享一些堡壘機的選購經(jīng)驗，這是由于他們知道我從07年開(kāi)始先后在多個(gè)公司任職IT運維部門(mén)的負責人，并為公司選購并部署過(guò)從傳統堡壘機到云堡壘機的多款產(chǎn)品，積累了不少的經(jīng)驗。我們知道，堡壘機的主要功能是做一個(gè)IT系統的看門(mén)人，任何人都只能通過(guò)堡壘機作為門(mén)戶(hù)單點(diǎn)登錄系統。

堡壘機不僅集中管理和分配全部賬號，更重要的是能對運維人員的運維操作進(jìn)行嚴格審計和權限控制，確保運維的安全合規和運維人士的最小化權限管理，堡壘機出現可以解決許多切實(shí)的問(wèn)題。在沒(méi)有部署堡壘機以前，很多公司都會(huì )遇到不少安全運維問(wèn)題，比如：

a)登錄賬號管理混亂，多個(gè)用戶(hù)使用一個(gè)賬號或者一個(gè)用戶(hù)使用多個(gè)賬號；

b)運維權限劃分不明，越權操作頻頻發(fā)生；

c)認證方式過(guò)于簡(jiǎn)單，無(wú)雙因子認證賬號容易丟失被盜；

d)對運維過(guò)程沒(méi)有監控措施，出現網(wǎng)絡(luò )安全故障難以排查原因和準確追責。

而以上這些問(wèn)題都可以通過(guò)堡壘機來(lái)解決，作為看門(mén)人的堡壘機其嚴格管控能力十分強大，能在很大程度上的攔截非法訪(fǎng)問(wèn)，和惡意攻擊，對不合法命令進(jìn)行命令阻斷，過(guò)濾掉所有對目標設備的非法訪(fǎng)問(wèn)行為，并對內部人員誤操作和非法操作進(jìn)行審計監控，以便事后責任追蹤。

市面上堡壘機很多，那么該如何選購呢？我主要根據自己的經(jīng)驗，從幾個(gè)要點(diǎn)進(jìn)行分析和比較，分享給大家參考。

首先說(shuō)下傳統的堡壘機，多為軟硬件結合且價(jià)格昂貴，其管控能力十分強大，是銀行、國營(yíng)大型企業(yè)IT運維團隊的首要選項。傳統堡壘機的缺點(diǎn)是，價(jià)格很高動(dòng)輒數十上百萬(wàn)，而且部署起來(lái)困難，需要專(zhuān)業(yè)的團隊統籌部署，維護成本高。同時(shí)對現有網(wǎng)絡(luò )結構侵入大，軟件和硬件升級都不方便，并不怎么適合中小型企業(yè)、一般創(chuàng )業(yè)企業(yè)。

如果你的團隊規模不是超大型，服務(wù)器的數量不是過(guò)萬(wàn)臺級別，那么我主要建議大家選購我們的堡壘機即可。在選購合適的堡壘機之前，首先分解一下堡壘機的主要選購指標。

1、侵入性：如果要每臺主機安裝Agent，安全性不好保障，工作量也大。對于局域網(wǎng)主機而言，最好是只需要在網(wǎng)絡(luò )內安裝一個(gè)代理軟件即可，保持其它主機的純凈和安全。如果是公有云主機，最好是支持API導入，方便快捷；

2、審計方式：這點(diǎn)要特別注意，目前很多堡壘機只有錄像審計，事實(shí)上如果真要回溯追責，光靠錄像可是不夠的，誰(shuí)會(huì )有那么多時(shí)間去逐幀看錄像呢！所以最好是要有指令審計，比如追查是誰(shuí)刪除了某個(gè)文件，只需輸入文件名即可檢索。還有一些堡壘機是不支持Windows指令審計的，如果您的主機包含了Windows，可一定要求具備Windows指令審計功能哦；Windows服務(wù)器指令檢索

3、安全性：要支持身份授權、訪(fǎng)問(wèn)控制、雙因子認證等安全策略。同時(shí)還要有高危命令阻斷功能，要能夠設置命令的黑白名單，主動(dòng)攔截高危命令；雙因子驗證登錄

4、配套功能考慮：是否具備其它運維相關(guān)功能，比如主機監控、遠程協(xié)同、自動(dòng)化運維。需要注意的是，堡壘機對于自動(dòng)化運維的影響，如果堡壘機成為自動(dòng)化運維的羈絆，那么可就得不償失了；

5、部署難度：部署難度是否大，一般SaaS模式是無(wú)需部署的，免維護，這對于小團隊來(lái)說(shuō)非常適用，能夠減少很大的人力成本；

6、產(chǎn)品更新頻率：既然是堡壘機，那么產(chǎn)品的更新迭代頻率應該要快，不能像傳統堡壘機一樣幾年不更新，畢竟產(chǎn)業(yè)發(fā)展的速度是很快的；

7、價(jià)格：選擇堡壘機的用戶(hù)一般來(lái)說(shuō)對價(jià)格較敏感，在能夠滿(mǎn)足需求的前提下，自然是越便宜越好。

以上這些指標基本涵蓋的堡壘機的主要選購點(diǎn)，您可以根據所在公司和自己團隊的實(shí)際需求情況來(lái)標示要點(diǎn)，根據這些要點(diǎn)對不同的堡壘機品牌進(jìn)行比較，選出最合適的即可。目前市場(chǎng)上的堡壘機品牌也較多，至于價(jià)格嘛，我們的堡壘機應該都屬于大家能接受的范圍，相對傳統堡壘機來(lái)講，真的是非常實(shí)惠的?？偟膩?lái)說(shuō)，選購堡壘機并非越貴的就越好，而是要綜合考量各項指標與運維團隊本身的契合度，以及在實(shí)際應用中的真實(shí)需求。如果您所在的團隊是金融、政府等對安全性要求極高的組織，建議您考慮傳統堡壘機。但是對于一些互聯(lián)網(wǎng)企業(yè)、創(chuàng )業(yè)企業(yè)而言，我比較傾向于向大家推薦使用我們的堡壘機，無(wú)論是從價(jià)格還是靈活性來(lái)說(shuō)他都具備優(yōu)勢。