堡垒机都有哪些核心功能?堡垒机的核心功能介绍?

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了堡垒机都有哪些核心功能?堡垒机的核心功能介绍?相关的知识,希望对你有一定的参考价值。

参考技术A 单点登录功能、账号管理、身份认证、资源授权、访问控制、操作审计。介绍同一楼~~,碉堡堡垒机具备这些功能 参考技术B 第一、访问控制
支持不同用户制定不同策略的云堡垒机,细粒度的访问控制可以最大限度地保护用户资源的安全,防止非法、越权访问事件的发生。备用基于用户、目标设备、时间、协议类IP、行为等因素,实现细粒度操作授权,最大限度地保护用户资源的安全。
第二、操作审计
可以审计字符串、图形、文件传输、数据库等全过程操作行为,通过设备视频实时监控操作系统、安全设备、网络设备、数据库等操作,并控制非法行为,终端指令信息可以准确搜索,视频可以准确定位。
第三、登录功能
支持数据库、网络设备、安全设备等一系列授权账户自动更改密码周期,简化密码管理,使用者无需记忆多个系统密码即可自动登录目标设备,方便安全。
第四、账户管理
设备支持统一的账户管理策略,可以集中管理所有服务器、网络设备、安全设备等账户,完成对账户整个生命周期的监控,设备可以设置特殊的角色,比如审计检查员、运输操作员、设备管理员等。
第五、身份认证
设备提供统一的认证接口,对用户进行认证,支持身份认证模式包括动态口令、静态密码、硬件Key、生物特征等多种认证方式,设备具有灵活的定制接口,可以与其他第三方认证服务器之间结合;安全的认证模式,有效提高了认证的安全性和可靠性。 参考技术C

目前市面上比较流行的云堡垒机像安恒云、行云管家、云匣子等等,他们的主要功能基本相似,但优势和侧重点各有不同。

如果我们的团队规模不是超大型,服务器的数量不是过万台级别,那么主要建议大家选购云堡垒机即可。在选购合适的云堡垒级之前,首先分解一下云堡垒机的主要选购指标。

1、侵入性:如果每台主机都必须安装Agent,这样对安全性不好保障,工作量也大。对于局域网主机而言,最好是只需要在网络内安装一个代理(Proxy)软件即可,保持其它主机的纯净和安全。如果是公有云主机,最好是支持API导入,方便快捷;

2、审计方式:这点要特别注意,目前很多堡垒机只有录像审计,事实上如果真要回溯追责,光靠录像可是不够的,谁会有那么多时间去逐帧看录像呢!所以最好是要有指令审计,比如追查是谁删除了某个文件,只需输入文件名即可检索。还有一些堡垒机是不支持Windows指令审计的,如果您的主机包含了Windows,可一定要求具备Windows指令审计功能哦;

3、安全性:要支持身份授权、访问控制、双因子认证等安全策略。同时还要有高危命令阻断功能,要能够设置命令的黑白名单,通过正则匹配的方式主动拦截高危命令;

4、配套功能考虑:是否具备其它运维相关功能,比如主机监控、远程协同、自动化运维。需要注意的是,堡垒机对于自动化运维的影响,如果堡垒机成为自动化运维的羁绊,那么可就得不偿失了;

5、部署难度:部署难度是否大,一般SaaS模式是无需部署的,免维护,这对于小团队来说非常适用,能够减少很大的人力成本;

6、产品更新频率:既然是云堡垒机,那么产品的更新迭代频率应该要快,不能像传统堡垒机一样几年不更新,毕竟产业发展的速度是极快的;

7、价格:选择云堡垒机的用户一般来说对价格较敏感,在能够满足需求的前提下,自然是越便宜越好;

以上这些指标基本涵盖的云堡垒机的主要选购点,我们可以根据所在公司和自己团队的实际需求情况来标示要点,根据这些要点对不同的云堡垒机品牌进行比较,选出最合适的即可。

4.1、几款主流“云堡垒机”横向对比

目前市场上的云堡垒机品牌也较多,这里想以安恒云、云匣子、行云管家、三个产品来介绍,之所以选择这三款产品,是因为它们属于云堡垒机领域做得不错的产品。

安恒云、云匣子、行云管家三者对现有网络体系和主机的侵入性都比较低(都是旁路部署),其中安恒云和云匣子只支持私有部署(私有部署既需安装在自己的服务器上或者重新购买一台服务器用以部署云堡垒机服务),不提供SaaS模式,运维成本也相对较高(SaaS模式:软件既服务,开箱既用不需额外的服务器来部署)。而行云管家同时支持SaaS模式和私有部署模式(私有部署模式支持高可用),这样也给我们有更多的选择余地和解决不必要的运维成本开支,安全性和服务可用性也大大提高。

因为如果我们只能选择私有部署模式,那么一定要考虑是否支持高可用,如果是私有部署不支持高可用,宕机了云堡垒机的服务也就停止了。

在审计方式层面,三者都支持指令审计,但只有行云管家能够支持全系列Windows的指令审计,安恒云无法支持Windows2012和2016。

在产品定位上,安恒云专注做安全审计一点,没有提供额外的其它功能,而行云管家提供的是一个一站式的IT运维管理平台,除了堡垒机,还有主机监控、自动化运维、跨云统一管理、文件传输、远程协同等相对较丰富的功能,基本上你想的到的功能都有。

另外值得一提的是,行云管家产品更新频率较快,三周左右一个新版本,经常会推出一些新功能,其它两款产品更新较少。

至于价格嘛,云堡垒机应该都属于大家能接受的范围,相对传统堡垒机来讲,真的是非常实惠的。

总的来说,选购堡垒机并非越贵的就越好,而是要综合考量各项指标与运维团队本身的契合度,以及在实际应用中的真实需求。如果您所在的团队是金融、政府等对安全性要求极高的组织,建议您考虑传统堡垒机。但是对于一些互联网企业、创业企业而言,我比较倾向于向大家推荐使用云堡垒机,无论是从价格还是灵活性来说他都具备优势。况且随着云计算市场的发展,上云成为主流,未来的堡垒机发展趋势也必然是偏向于云堡垒机。

传送门:行云管家

 参考技术D 单点登录功能
支持对X11、linux、unix、数据库、网络设备、安全设备等一系列授权账号进行密码的自动化周期更改,简化密码管理,让使用者无需记忆众多系统密码,即可实现自动登录目标设备,便捷安全。
账号管理
设备支持统一账户管理策略,能够实现对所有服务器、网络设备、安全设备等账号进行集中管理,完成对账号整个生命周期的监控,并且可以对设备进行特殊角色设置如:审计巡检员、运维操作员、设备管理员等自定义设置,以满足审计需求
身份认证
设备提供统一的认证接口,对用户进行认证,支持身份认证模式包括动态口令、静态密码、硬件key 、生物特征等多种认证方式,设备具有灵活的定制接口,可以与其他第三方认证服务器之间结合;安全的认证模式,有效提高了认证的安全性和可靠性。
资源授权
设备提供基于用户、目标设备、时间、协议类型IP、行为等要素实现细粒度的操作授权,最大限度保护用户资源的安全
访问控制
设备支持对不同用户进行不同策略的制定,细粒度的访问控制能够最大限度的保护用户资源的安全,严防非法、越权访问事件的发生。
操作审计
设备能够对字符串、图形、文件传输、数据库等全程操作行为审计;通过设备录像方式实时监控运维人员对操作系统、安全设备、网络设备、数据库等进行的各种操作,对违规行为进行事中控制。对终端指令信息能够进行精确搜索,进行录像精确定位。
碉堡堡垒机软件可以实现这些功能,可以下载试用一下。本回答被提问者采纳

Teleport堡垒机介绍

什么是堡垒机

堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录工程师对服务器、网络设备等的操作行为,以便问题溯源和审计定责。堡垒机的核心功能是身份验证,授权控制,账号管理,安全审计,也就是我们常说的4A规范,通过堡垒机可以实现统一的运维入口,规范运维工作,提高标准化水平,并为生产环境的安全添砖加瓦。

Teleport介绍

在堡垒机的选择上,有开源堡垒机、自建堡垒机和商用堡垒机三种,自建堡垒机成本较高,大部分企业都会选择开源或者商用堡垒机,经过一番调研和对比,我们最终选择了海外的一款开源产品 Teleport,大部分堡垒机主要工作方式是作为一个代理,实现用户登录,和 SSH/RDP 跳转,在被管理的终端实例上,仍然使用用户名密码,或者 SSH Key 的方式进行登录,但是Teleport与此有很大不同。Teleport基于自动下发证书的方式,实现用户和被管终端之间连接的认证和登录,不再依赖ssh服务,也不需要借助 SSH 用户密码或 SSH Key去登录服务器。

Teleport 是一个身份管理、多协议的访问代理,兼容 SSH、HTTPS、Kubernetes API、MySQL 和 PostgreSQL 协议,支持对内网的 Linux 计算实例、Kubernetes 集群、Web 应用程序、PostgreSQL 和 MySQL 数据库的安全访问,可以方便在 Linux 守护进程或Kubernetes pod 中部署。Teleport 对用户端使用的工具透明,在完成认证后,用户可以继续使用原有的 SSH,Kubectl,psql,mysql等其他远程连接工具,接入到被管理的资源中。

主要功能和优势:

  • 使用自动下发证书的方式实现与目标资源之间的安全认证和通信,不需要在目标操作系统上管理密码和 SSH Key
  • 除了支持 SSH 外,还支持 Kubernetes, MySQL,PostgreSQL 和 HTTP 的安全远程代理访问,用户可选择使用 Web 或 CLI 进行连接
  • 用户可以继续使用原有的 CLI/GUI 工具进行远程安全连接,例如 OpenSSH, kubectl,mysql client, MySQL workbench等,为用户提供一致的运维体验
  • 功能完善,原生支持 MFA 认证,用户会话审计日志和屏幕录制
  • 云原生集成,用户会话审计日志可发送到 DynamoDB,会话屏幕录制文件可存放到 S3
  • 企业版还支持企业SSO统一认证,权限申请和审批工作流等

Teleport 主要包含三个组件:

  • Teleport Proxy Service: 允许从外部访问集群资源,只有 Proxy 服务才需要对公网开放。
  • Teleport Auth Service: 集群的证书颁发机构,它向客户端颁发证书并维护审计日志。
  • Teleport Node: 一个 Node 就是一个需要被远程访问的目标资源, Node 服务在目标资源上或者附近运行,并使用其原生协议,例如 SSH、Kubernetes API、HTTPS、PostgreSQL 或 MySQL 协议,它将用户请求从 Proxy 路由到其目标资源。

另外Teleport 提供两个 CLI 工具:

  • tctl (Teleport Control): 管理员用来管理 Teleport 集群的命令行工具
  • tsh: 终端用户命令行工具,运行在用户的个人电脑中,用来发起到堡垒机的认证和连接,支持Linux,MacOS,Windows

Teleport 各组件需要开放的端口:

Service

Port

Description

Proxy

3023

For clients SSH connect

Proxy

3024

Used to create “reverse SSH tunnels”

Proxy

3026

For clients database connect

Proxy

3080

HTTPS connection to authenticate tsh users and web users

Auth

3025

Serve its API to other nodes in a cluster.

Node

3022

Teleport’s equivalent of port #22 for SSH.

Teleport 主要目录:

  • /etc/teleport.yaml: Teleport 配置文件
  • /var/lib/teleport : 数据目录
  • /usr/local/bin/: Teleport 命令行工具目录,包括 teleport, tctl, tsh

Teleport 架构介绍:

Teleport堡垒机介绍_teleport


  1. 用户登录到 Teleport Proxy,并进行认证,可通过 Proxy 提供的 Web Console,或者 tsh 命令行工具
  2. Proxy 服务将用户连接请求转发到 Auth 服务进行认证, 通过认证后 Auth 服务将为用户颁发的证书,证书将被 Proxy 服务转发回用户,保存在用户电脑中的 ~/.tsh 目录下,证书默认有效期为12h
  3. 用户通过认证后,利用原有CLI或GUI工具,例如 SSH,Kubectl,mysql等,进行远程连接,连接将被 Proxy 代理到后端的目标资源
  4. 被连接的目标资源通过 Auth 验证用户的证书,验证通过后建立与 Proxy 的连接

后端存储:

Teleport 集群将不同类型的数据存储在不同的位置。默认情况下,所有内容都存储在 Auth 服务器的本地目录中,下图为各种数据的可选存储方式,我们选择用etcd存储集群状态信息,用ceph 的对象存储保存操作日志。

Teleport堡垒机介绍_堡垒机_02

部署架构图:

Teleport堡垒机介绍_堡垒机_03

server和node节点的安装包是一致的,他们的区别是两者配置文件不同,只有server启动了proxy和auth服务。

授权:

Teleport支持基于角色的访问控制机制,即RBAC授权,在角色中可以定义不同的标签,角色中的标签对应node节点上的标签,最终可以根据需要赋予用户期望的机器权限,

kind: role
metadata:
  description: prod-ke-mysql
  id: 37057560
  name: prod-ke-mysql
spec:
  allow:
    app_labels:
      *: *
    db_labels:
      *: *
    kubernetes_labels:
      *: *
    logins:
    - internal.logins
    node_labels:
      app: mysql
      env: prod
      lob: ke
    rules:
    - resources:
      - event
      verbs:
      - list
      - read
  deny: 
  options:
    cert_format: standard
    enhanced_recording:
    - command
    - network
    forward_agent: true
    max_session_ttl: 30h0m0s
    port_forwarding: true
version: v3

上面是一个名为prod-ke-mysql 的角色,里面定义了“app: mysql , env: prod ,lob: ke”,这三个标签,如果给用户授予此角色,那么用户登录teleport以后,就只能看到同时满足这三个标签的node节点(服务器),但是,如果业务耦合比较严重,按照此方法授权,就会出现权限过大的问题,那么可以把角色中的标签改为主机名或者ip地址,这样每个角色可以只对应一台机器,就可以做到单机授权了。

需要说明的是,授予用户服务器登录权限以后,只是说明用户可以看到对应的机器,如果服务器上没有对应的用户,依然无法成功登录,不过teleport支持在用户登录服务器的时候调用linux pam模块,自动创建用户,具体操作方法请参考官网文档

简单演示:

Teleport堡垒机介绍_teleport_04

Teleport堡垒机介绍_teleport_05

Teleport堡垒机介绍_teleport_06

Teleport堡垒机介绍_teleport_07

以上是关于堡垒机都有哪些核心功能?堡垒机的核心功能介绍?的主要内容,如果未能解决你的问题,请参考以下文章

堡垒机与数据库审计区别,国内堡垒机品牌都有哪些

Teleport堡垒机介绍

目前国内堡垒机厂家有哪些?哪家比较好?

堡垒机的功能之解决账号密码管理不规范问题

堡垒机作用之事后审计详细讲解

堡垒机作用之事后审计详细讲解