怎么選購合適的堡壘機?從實際運維角度進行分析和比較
由于我從2007年開始在多個公司任職IT運維部門的負責人,為公司選購并部署過從傳統堡壘機到云堡壘機的多款產品,積累了不少的經驗。本文為大家分享一些堡壘機的選購經驗,供參考!
堡壘機的主要功能是做一個IT系統的看門人,任何人都只能通過堡壘機這一門戶單點登錄系統。堡壘機不僅集中管理和分配全部賬號,更重要的是能對運維人員的運維操作進行嚴格審計和權限控制,確保運維的安全合規和對運維人員的最小化權限管理。
在沒有部署堡壘機以前,很多公司遇到了不少安全運維問題,比如:
a)登錄賬號管理混亂,多個用戶使用一個賬號或者一個用戶使用多個賬號。
b)運維權限劃分不明,越權操作頻頻發生。
c)認證方式過于簡單,無雙因子認證賬號容易丟失被盜。
d)對運維過程沒有監控措施,出現網絡安全故障難以排查原因和準確追責。
而以上這些問題都可以通過堡壘機來解決,作為看門人的堡壘機,它的嚴格管控能力十分強大,能在很大程度上攔截非法訪問和惡意攻擊,對不合法命令進行命令阻斷,過濾掉所有對目標設備的非法訪問行為,并對內部人員的誤操作和非法操作進行審計監控,以便事后責任追蹤。
市面上的堡壘機很多,那么該如何選購呢?我根據自己的經驗,從幾個要點進行了分析和比較:
首先說下傳統的堡壘機,它多為軟硬件結合且價格昂貴,管控能力十分強大,是銀行、國營大型企業IT運維團隊的首要選項。傳統堡壘機的缺點是,價格很高,動輒數十、上百萬,而且部署起來困難,需要專業的團隊統籌部署,維護成本高。同時對現有網絡結構侵入大,軟件和硬件升級都不方便,并不適合中小型企業和一般創業企業使用。
隨著云服務技術的廣泛普及,堡壘機的形態也在隨之演變,在傳統堡壘機的基礎上又出現了云堡壘機。云堡壘機相對靈活的多,其價格便宜、維護成本低(甚至不用維護),多為旁路部署,不改變現有網絡結構,擴展能力強。基于這些優點,云堡壘機近兩年大受歡迎,是許多企業IT運維團隊的選購重點。目前市面上比較流行的云堡壘機像安恒、行云管家、碉堡、云匣子等等,他們的主要功能基本相似,但優勢和側重點各有不同。
如果你的團隊規模不是超大型,服務器的數量不是過萬臺級別,那么我建議大家選購云堡壘機即可。在選購合適的云堡壘級之前,首先分解一下云堡壘機的主要選購指標。
1. 侵入性:如果在每臺主機安裝Agent,安全性不好保障,工作量也大。對于局域網主機而言,最好是只在網絡內安裝一個代理軟件即可,保持其他主機的純凈和安全。如果是公有云主機,最好是支持API導入,方便快捷。
2. 審計方式:這點要特別注意,目前很多堡壘機只有錄像審計,事實上如果真要回溯追責,光靠錄像是不夠的,誰會有那么多時間去逐幀看錄像呢!所以最好是有指令審計,比如追查是誰刪除了某個文件,只需輸入文件名即可檢索。還有一些堡壘機不支持Windows指令審計,如果您的主機包含了Windows,可一定要求具備Windows指令審計功能哦!
Windows服務器指令檢索
3. 安全性:要支持身份授權、訪問控制、雙因子認證等安全策略。同時還要有高危命令阻斷功能,要能夠設置命令的黑白名單,主動攔截高危命令。
雙因子驗證登錄
4. 配套功能考慮:是否具備其他運維相關功能,比如主機監控、遠程協同、自動化運維。需要注意的是,堡壘機對于自動化運維的影響,如果堡壘機成為自動化運維的羈絆,那么可就得不償失了。
5. 部署難度:部署難度是否大,一般SaaS模式是無需部署的,免維護,這對于小團隊來說非常適用,能夠減少很大的人力成本。
6. 產品更新頻率:既然是云堡壘機,那么產品的更新迭代頻率應該要快,不能像傳統堡壘機一樣幾年不更新,畢竟產業發展的速度是很快的。
7. 價格:選擇云堡壘機的用戶一般來說對價格較敏感,在能夠滿足需求的前提下,自然是越便宜越好。
以上這些指標基本涵蓋了云堡壘機的主要選購點,您可以根據所在公司和自己團隊的實際需求情況來標示要點,根據這些要點對不同的云堡壘機品牌進行比較,選出最合適的即可。
目前市場上的云堡壘機品牌也較多,這里想以安恒云堡壘機、行云管家、碉堡云三個產品來介紹,之所以選擇這三款產品,是因為它們屬于云堡壘機領域做得不錯的產品,同時在很多方面又比較相似。
安恒堡壘機和碉堡云是阿里系的產品,而行云管家是一個完全第三方的產品,三者對現有網絡體系和主機的侵入性都比較低,其中安恒只支持私有部署,不提供SaaS模式,價格也相對較高。
在審計方式層面,三者都支持指令審計,但只有行云管家能夠支持全系列Windows的指令審計,碉堡云只支持Linux,安恒無法支持Windows 2012和2016。
安全性層面,安恒堡壘機能夠提供較豐富的安全策略,例如雙因子認證。
在產品定位上,安恒和碉堡云專注做安全審計一點,沒有提供額外的其他功能,而行云管家提供的是一個一站式的IT運維管理平臺,除了堡壘機,還有主機監控、自動化運維等相對較豐富的功能,基本上你想的到的功能都有。
另外值得一提的是,行云管家產品更新頻率較快,大概一個月左右一個新版本,經常會推出一些新功能,其他兩款產品更新較少。
至于價格嘛,云堡壘機應該都屬于大家能接受的范圍,相對傳統堡壘機來講,真的是非常實惠的。
總的來說,選購堡壘機并非越貴的就越好,而是要綜合考量各項指標與運維團隊本身的契合度,以及在實際應用中的真實需求。如果您所在的團隊是金融、政府等對安全性要求極高的組織,建議您考慮傳統堡壘機。但是對于一些互聯網企業、創業企業而言,我比較傾向于向大家推薦使用云堡壘機,無論是從價格還是靈活性來說它都具備優勢。況且隨著云計算市場的發展,上云成為主流,未來的堡壘機發展趨勢也必然是偏向于云堡壘機。
【本文是51CTO專欄作者郅偉的原創稿件,轉載請注明出處】
