对下一代堡垒机建设的思考-优快云博客

本文链接：https://blog.youkuaiyun.com/dengzhangsong/article/details/130671792

一、堡垒机的起源

2000年前后，随着全球信息技术的不断发展和信息化建设的不断进步，电信、财政、税务、公安、金融、电力、石油等重要行业的大型机构和企业内网中，开始使用数量较多的服务器主机来运行关键业务，并逐步把服务器主机集中到机房中统一管理。随着服务器的大集中和IT系统的日趋复杂，系统管理员、系统运维人员、系统应用高权限用户、第三方厂商的维护人员以及其他临时高权限人员等不同背景的运维人员开始给企业信息系统安全运行带来较大的潜在风险。同时，随着萨班斯法案等合规性法律要求开始生效，企业的经营活动，企业管理、项目和投资等，都要有控制和审计手段。管理人员需要有有效的技术手段和专业产品来控制、限制和追踪用户的行为，判定用户的行为是否对企业内部网络的安全运行带来威胁。因此，运维堡垒机应运而生。

第一代堡垒机

跳板机可被称为第一代堡垒机。2000年左右，高端行业用户为了对运维人员的远程登录进行集中管理，会在机房里部署跳板机。跳板机就是一台服务器，维护人员在维护过程中，首先要统一登录到这台服务器上，然后从这台服务器再登录到目标设备进行维护。但跳板机并没有实现对运维人员操作行为的控制和审计，使用跳板机过程中还是会有误操作、违规操作导致的操作事故，一旦出现操作事故很难快速定位原因和责任人。

第二代堡垒机

由于跳板机存在的各类问题，出现了改进后的第二代堡垒机。第二代堡垒机被部署在外部网络和企业内部网络之间，提供对内部网络特定资源的安全访问，主要采用SSL
×××方式工作。对内部网络特定资源的访问则必须先登录到堡垒机上方可完成。主要满足用户对最常用的运维协议的功能性需求，支持对文本类（如Telnet，SSH）和图形类（如RDP）等运维协议的审计。

第三代堡垒机

随着运维审计需求的增多，用户对堡垒机支持的协议种类需求越来越多，第二代堡垒机在响应这些需求方面显得力不从心，因此，出现了采用协议代理的方式的第三代堡垒机，它切断了终端计算机对网络和服务器资源的直接访问，接管了终端计算机对网络和服务器的访问。第三代堡垒机综合了更多的用户应用需求，其支持的协议相应增加了如数据库协议、web应用协议等。目前市面上销售的堡垒机大多属于第三代堡垒机。

第四代堡垒机

随着云计算的发展，传统的堡垒机越来越不适应云的变化，因此，业界逐渐衍生发展出“云化的堡垒机“。这里的云化指代两层含义：其一，需要堡垒机纳管的IT设备对云计算有着更好的支持，包括支持统一纳管不同的公有云主机以及私有云主机等，同时，需要纳管的IT资产也不再仅仅只是主机资源，还包括云数据库、对象存储等PaaS资源；其二，堡垒机产品自身的体系架构也支持云原生特性，堡垒机自身可以直接部署在公有云环境，并能够充分利用云计算丰富的基础设施能力，举例而言，云化的堡垒机原生支持公有云的LoadBalance和Auto Scaling以获得高并发能力；通过将审计录像存储在公有云的对象存储Bucket之中以获得海量、廉价的存储能力等。

二、传统堡垒机的不足

从功能上来看从第一代到第四代堡垒机可以称为传统型堡垒机，虽然第四代堡垒机采用了云部署，但其实还是没有对堡垒机产品进行创新。其综合解决的还是“人”、“账号”、“设备”、“行为”四大要素之间的关联性，即某个人采用某个授权的账号对某个设备进行了某个操作。主要还是围绕设备解决5W的问题，是以降低运维风险和满足监管运维要求为管理目标。

5W主要指：

审计：你做了什么？（What）
授权：你能做哪些？（Which）
账号：你要去哪？（Where）
认证：你是谁？（Who）
来源：访问时间？（When）

监管要求

事前预防：建立“自然人-资源-资源账号”关系，实现统一认证和授权
事中控制：建立“自然人-操作-资源”关系，实现操作审计和控制
事后审计：建立“自然人-资源-审计日志”关系，实现事后溯源和责任界定

然而在新的互联网时代，系统成倍增长、资产成指数倍增长，我们需要管理的不仅仅是生产环境，还有更多的测试环境，对于一个大中型项目来说，测试环境可能就存在几十套，各种登录地址，用户名，密码更是不计其数，各种管理风险系数随着系统的增长也在不断的增长，面对人员的调岗离职、如何做到平稳交接;面对复杂的系统架构，如果对做到快速运维响应;面对越来越多的系统资产，如何做到安全管控;这些问题并不是传统堡垒机能够解决的问题，那么我们就必须思考下一化堡垒机的建设方案。将管理与安全进行融合，让堡垒机的功能发挥到极致。

三、下一代堡垒机的建设思考

对于下一代的堡垒机的思考是我从业十多年在开发与运维过程实际产生的问题所引发的思考，主要基于以下几个因素：

管理系统越来越多、架构越来越复杂，随着年龄的增长，想要记住很多系统细节信息已然力不从心，在遇到生产问题是，老是需要翻看代码或者查阅接口文档和其它文档。来回在生产和测试之间切换，及大的降低了运维效率和解决问题的速度。
在面对人员离职调岗时，每一次系统交接都是一个非常头疼事，不管是我交出去的还是从别人手上接过来的系统，或多或少都会有所遗忘，特别是对于离职人员，遇到问题总不可能老打电话麻烦他，往往会产生一些运维风险。导致很多重复发生的问题得不到及时的解决，需要花大量的时间去重新研究。
突发运维事件的处理，有一次突发停电，导致很多系统在通电以后不能及时启动，而值班人员对各系统的管理员根本不知道，又没有地方可以查询，极大的延误了启动系统的时间。同时还暴露了一个严重的问题，当时我们使用的堡垒机是一体机，整个堡垒机无法启动，而运维虽然及时放开网络权限，但大家都不知道系统的用户名和密码，无法解决问题，最终也只能等堡垒机修复后才进行处理。导致我部发生了重大运维事故，被监管部门通报写小楷。
开发运维不协同，对于很多管理规范的公司，开发和运维是相对分离开的，但是遇到问题还是得开发去解决，对于大中型企业有100多套系统，运维根据不掌握系统的信息，如在什么时间可以停机，停机时长，停机影响，停机是否需要监管报备等基础信息。甚至连管理员是谁都不知道，往往在做数据库升级、云平台升级、操作系统升级等需要停机时，都需要向开发问题发放系统调研表。
资产安全管理问题，随着信息技术的迅猛发展，信息安全问题更加日显突出。如何确保信息系统的安全更是成为全社会关注的问题。在项目建设过程中，很多项目都是由外包厂商进行开发的，如何有效防止外包人员风险、敏感信息泄露，涉密文档管理等安全问题已经成为一个必须解决的问题。同时很多测试环境的数据都是从生产转入，虽然对很多数据进行了脱敏处理，但难免还是有遗落的数据。所以对于整个测试环境的管控是非常有必要的。
内部管理安全问题，随着新技术的发展，大中型企业自研能力降低，对外包服务依赖增加，内部管理系统的不断增加，科技人员信息安全意识薄弱，对于系统的密码都是弱口令，有些甚至直接给到外包人员，导致外包风险凸显，信息泄露，重要文档，敏感技术资料丢失事件频发。
连接终端管理问题，对于外包项目，人员流动性强，每个人习惯使用的终端连接软件不一样，导致项目组内存在大量的破解软件，企业经常收到终端软件使用侵权律师函，随时面临法律风险。

基于以上原因我们通过分析认为在堡垒机上对功能进行扩充最为实际，因为机任何进入企业内部网络的人必须经过堡垒机的安全过滤。堡垒机就好比一个IT系统的看门人，任何人都只能通过堡垒机单点登录内部网络系统。对过对堡垒机的功能扩充，将所有系统资产拿入管控，对人员的操作进行严格审计和权限控制，确保运维的安全合规和人员的最小化权限管理。那么我们就需要研究实现一套新的堡垒机系统，打破传统堡垒机的功能，重新定义下一代堡垒机产品功能，在资产管理的基础上引入系统资产管理的概念。让安全与管理进行重新整合，把安全和管理在系统层面进行无缝集成，让安全和管理不再是两个独立的问题，而是相互协同、相互促进的关系。这样不仅能够确保企业的安全，还能够帮助企业提升管理效率，降低管理成本。让开发和运维人员在解决生产问题时能够在线查阅、快速定位、快速响应。在遇到重大突发运维事件时，能够快速组织协调各系统管理员进行响应解决。在面对人员离职调岗能做到平稳交接。让运维和开发协同起来，提高运维效率，提升服务质量，降低运维成本。

在对比了很多传统堡垒机厂商的堡垒机功能后，我们没有找到一套能满足我们使用的产品，于是我们经过一年的研发，从最初的系统管理系统，逐步迭代演变成一套综合性的堡垒机系统。这个系统不仅具备了堡垒机的全部功能，还将系统相关的信息全部进行管理，可以对系统的文档（office套件、xmind等）常见的文档在线查看，增加水印，保护文档。还将系统的核心信息（信息、人员、接口、库表、运维知识、代码、环境）进行分类管理，通过授权访问。目前已经初步实现了所有的功能，后继还将继续实现更多更智能的运维功能。欢迎大家在线体验，提供更好的想法与建议。关注我，我将整理收集后发布下一代堡垒机建设方案供大家学习探讨。