jumpserver-堡垒机

一、jumpserver的基本介绍

规避运维风险

1：跳板机

跳板机是一种用于单点登陆的主机应用系统。跳板机通常是由一台服务器能过特定的软件实现，维护人员在维护过程中，首先要统一登录到这台服务器上，然后从这台服务器再登录到目标设备进行维护。但跳板机没有实现对运维人员操作行为的控制和审计，此外，跳板机存在严重的安全风险，一旦跳板机系统被攻入，则将后端资源风险完全暴露无遗。对于一些服务（如:telnet）可以通过跳板机来完成一定的控制访问，但是对于更多的服务（SSH、RDP等）来讲，就显得力不从心了。

跳板机缺点：

①跳板机功能比较差，只能提供一个最基本的连接

②跳板机有控制功能，但是没有审计功能，规范性比较差；有安全风险

③只支持远程连接，不支持远程桌面、数据库RDP、也不支持K8S等

【注】：一旦加入到跳板机或者堡垒机，后面被控制的服务器、应用、数据节点、K8S等都被称为资产。

2：堡垒机

由于跳板机的不足，更多的组织需要更先进、更好的安全技术,来实现运维操作管理和安全。堡垒机开始以独立的产品形态被广泛部署，有效降低了运维操作风险，使得运维操作管理变得更简单、更安全。堡垒机能满足角色管理与授权审批、信息资源访问控制、操作记录和审计、系统变更和维护控制要求，并生成一些统计报表配合管理规范，从而不断提升IT内控的合规性。

3.jumpserver用到的场景

场景一：jumpserver一张网卡，只有私有地址；直接用jumpserver去管理后台资产，客户直接对接jumpserver

场景二：jumpserver两张网卡，公有、私有地址；直接用jumpserver去管理后台资产，客户直接对接jumpserver

场景三：jumpserver两张网卡，公有、私有地址；在客户端和jumpserver之间设置一个VPN隧道,设置vpn只能访问jumpserver,大大增加了安全机制

4.jumpServer 简介

①：基本介绍

JumpServer 是全球首款完全开源的堡垒机, 使用 GNU GPL v2.0 开源协议, 是符合 4A 的专业运维审计系统。为互联网企业提供了认证，授权，审计，自动化运维等功能。

JumpServer 使用 Python / Django 进行开发, 遵循 Web 2.0 规范, 配备了业界领先的 Web Terminal 解决方案, 交互界面美观、用户体验好。

JumpServer 采纳分布式架构, 支持多机房跨区域部署, 中心节点提供 API, 各机房部署登录节点, 可横向扩展、无并发访问限制。

JumpServer 现已支持管理 SSH、 Telnet、 RDP、 VNC 协议资产。

官方地址： JumpServer - 开源堡垒机 - 官网

②：特色优势   

开源: 零门槛，线上快速获取和安装

分布式: 轻松支持大规模并发访问；

无插件: 仅需浏览器，极致的 Web Terminal 使用体验

多云支持: 一套系统，同时管理不同云上面的资产

云端存储: 审计录像云端存储，永不丢失

多租户: 一套系统，多个子公司和部门同时使用

③：功能列表

堡垒机四个核心能力: 运维安全审计的4A规范

④