運維堡壘機

運維堡壘機的理念起源于跳板機。2000年左右，行業(yè)用戶為了對運維人員的遠程登錄進行集中管理，會在機房里部署跳板機。跳板機就是一臺服務(wù)器，維護人員在維護過程中，首先要統(tǒng)一登錄到這臺服務(wù)器上，然后從這臺服務(wù)器再登錄到目標設(shè)備進行維護。

但跳板機并沒有實現(xiàn)對運維人員操作行為的控制和審計，使用跳板機過程中還是會有誤操作、違規(guī)操作導致的操作事故，一旦出現(xiàn)操作事故很難快速定位原因和責任人。

運維堡壘機操作管理理念

1、審計是事后行為，從來沒有事前審計一說

審計可以發(fā)現(xiàn)問題，但是無法防止問題發(fā)生

只有在事前嚴格控制，才能從真正解決問題

2、系統(tǒng)賬號無法確認用戶身份

系統(tǒng)賬號的作用只是區(qū)分工作角色

多人共用一個系統(tǒng)賬號是合理的

運維人員的流動不應(yīng)影響系統(tǒng)賬號

3、人為操作難免會出問題

人有失手，馬有失蹄

不怕出問題，就怕出問題找不到原因

只要機器能做的，就不要人做

在這些理念的指引下，2005年前后，奇智科技研發(fā)出臺運維堡壘機，自此運維堡壘機以一個獨立的產(chǎn)品形態(tài)被廣泛部署，有效地降低了運維操作風險，使運維操作管理變得更簡單、更安全！

堡壘機的部署方式

單機部署

堡壘機主要都是旁路部署，旁掛在交換機旁邊，只要能訪問所有設(shè)備即可。

部署特定：旁路部署，邏輯串聯(lián)。不影響現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)。2、HA高可靠部署

旁路部署兩臺堡壘機，中間有心跳線連接，同步數(shù)據(jù)。對外提供一個虛擬IP。

部署特點：兩臺硬件堡壘機，一主一備/提供VIP。當主機出現(xiàn)故障時，備機自動接管服務(wù)。3、異地同步部署

通過在多個數(shù)據(jù)中心部署多臺堡壘機。堡壘機之間進行配置信息自動同步。

什么是堡壘機？

堡壘機針對內(nèi)部運維人員的運維安全審計系統(tǒng)。主要的功能是對運維人員的運維操作進行審計和權(quán)限控制。同時堡壘機還有賬號集中管理，單點登陸的功能。

堡壘機作為IT系統(tǒng)看門人的堡壘機其嚴格管控能力十分強大,能在很大程度上的攔截訪問和惡意攻擊,對不合法命令進行命令阻斷,過濾掉所有對目標設(shè)備的訪問行為,并對內(nèi)部人員誤操作和操作進行審計監(jiān)控,以便事后責任。

不過審計是事后行為,審計可以發(fā)現(xiàn)問題,但是無法防止問題發(fā)生只有在事前嚴格控制,才能從真正解決問題。

諸如任何人都只能通過堡壘機作為門戶單點登錄系統(tǒng)。堡壘機能集中管理和分配全部賬號,更重要的是堡壘機能對運維人員的運維操作進行嚴格審計和權(quán)限控制,確保運維的安全合規(guī)和運維人員的化權(quán)限管理,堡壘機的出現(xiàn)能夠保護企業(yè)網(wǎng)絡(luò)設(shè)備及服務(wù)器資源的安全性,使得企業(yè)網(wǎng)絡(luò)管理合理化和化。