新时代、新运维、新堡垒

堡垒机，即统一运维审计产品，具有中国特色的信息安全产品，从诞生之初就注定了他的不一样。

随着国内等级保护制度及运维管理的需求，已成为了最为基础的标配安全产品之一。成为身份与访问安全最为方便落地的产品，对企业内部运维人员的权限进行了有效的管理，推动了传统的以账号管理为中心向以人为核心纬度的管理方式的发展，为运维侧的安全管理提供了行之有效的管理工具，也一定程度上影响了围绕运维端的相关产品的发展。国外类似产品以CyberArk为代表。国内则是百花齐放，据不完全统计有近50家的堡垒机品牌。以下是安全牛全景图列出的较为代表性的几家。

从国内堡垒机的定义可以明显看出其与国外的差别。统一运帷审计：即堡垒机，切断终端计算机对网络设备、服务器、数据库及业务软件等目标资产的直接访问，采用协议代理的方式接管了终端计算机对网络设备、服务器、数据库及业务软件等目标资产的访问，拦截非法访问和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为，记录终端计算机对网络设备、服务器、数据库及业务软件等的访问的整个过程。

一句话，堡垒机采用的是“Outside(外挂式)”的方式，主要是根据终端访问的方式的变化以代理的方式围绕“C”端来解决问题。而国外的产品，以CyberArk为例，则是多采用“Inside（内置式&入侵式）”方式。即主要通过在服务器端安装代理或者系统插件，围绕“S”端的变化提供相应的解决方案。

随着信息化发展的浪潮推进，信息化的基础设备种类日趋增多，数量日趋增大，运维方式多种多样。面对越来越复杂的业务层面和多样化的用户需求，要求企业不断扩展信息应用需要，开发越来越合理的模式来保障运维服务能灵活便捷、安全稳定地持续保障。

从初期的几台服务器发展到庞大的数据中心，单靠传统的人工运维已经无法满足在技术、业务、管理等方面的要求。标准化、自动化、架构优化、过程优化等降低运维服务成本的因素越来越被人们所重视。其中，自动化运维作为代替人工操的最佳实践方案正逐步的得到客户的认可和落地。

随着DevOps&AIOps日益盛行，推动运维从人工运维时代向自动化运维时代迈进，运维的“C”端从人工操作向自动化运维软件、运维机器人的转变，从人机交互正走向机机交互。传统意义上的堡垒机已无法满足自动化运维时代的运维审计需求。自动化运维时代需要新的堡垒机。

一、采用更加便捷的数据流通方式，提供可编程环境通道, 为数据中心提供访问基础设施的账号管理及通道控制服务

可编程环境通道又分为两类：一类是其它运维平台与堡垒机自身底层之间的交付联动，如ITSM、CMDB之类平台在变更和使用权限的时候与堡垒机联动配合，这类配合主要是通过API接口或Webservice接口通信完成；

另一类则是各类自动化平台通过堡垒机提供的安全通道与目标主机通信交付，这里堡垒机提供的可编程环境通道起到目标主机账号的授权管理和行为审计的作用，所有的特权账号的生命周期管理都在堡垒机上进行，自动化运维平台需要使用任何权限都向堡垒机请求，以达到任意自动化平台的交付都是安全可管可控可追溯的，这类配合主要是通过SSH、SCP、RDP、FTP/SFTP等协议穿透技术完成。

目前，堡垒机提供数据流的API接口一般是固定的，数据格式固定、调用方式固定、调用模式固定。数据单向反馈，数据分散，各API直接无法进行关联通信。一个小的功能调用，一般需要近十个API接口对后续的维护造成了很大的麻烦。特别是AIOps要保证数据能够顺畅地从多个数据源流入一个大的数据平台中，堡垒机是集账号、认证、授权、审计为一身的核心数据源，如何更方便的打通数据的流通是一个关键。

堡垒机的数据流通对接方案必须具备智能的、便捷的数据流通对接方案：

1. 统一的对接接口，可视化、可编程化；如同统一的运维交互界面一样，提供智能可编程的数据对接操作界面，对需要的数据可见、可得。

2. 可根据业务场景进行数据应用，而不依赖于堡垒机指定的API接口，大大减少了对API接口的调用的数量，简化了开发工作量及维护成本。

3. 打破对编程语言的的限定；基于业务场景的数据应用需求，打破了API接口的限制，就可根据数据需求平台的不同或者开发者编程语言的不同，提供多种可选的编程语言。

4. 提供可编程环境通道后；特权身份的调用和使用不再是法外之地，自动化运维平台或者其他管理平台的运维操作不再难以管理和审计，也能满足合规合法要求。

5. 对任何平台或客户端通过SCP、RDP和FTP/SFTP传输的脚本及内容可以透明审计；且对数据流的传输通道可以单向控制，以满足数据防泄密安全管理需求。

二、高可靠，高扩展，能够支持异地灾备和多分支机构环境实现统一管理

随着堡垒机在数据中心的应用越来越广泛，已成为数据中心日常安全运维的核心业务系统，高可用和高并发已成为大型数据中心新的挑战，能否支持集群和分级部署已成为了堡垒机是否可“大用”的一个关键性指标了。

高可靠和高扩展应当满足以下条件：

1. 实现多活集群，配置及审计日志达到实时同步，且支持任意节点变更配置同步至所有节点；

2. 可无缝支持快速横向扩展，性能不足时，扩展一台机器，立马生效，且不影响当前运维；

3. 审计日志可支持集中式存储和分布式存储两种方式以应对不同数据中心架构，且分布式存储方式支持无论登录哪个节点，均可看见所有中心和节点上的运维日志列表，点击日志播放的时候会跳转到存储节点播放；

4. 支持自带基于会话的负载均衡应对大并发环境，也可支持第三方的负载均衡设备。

三、对资产变化具有感知能力，特别是对IP、账号等具备实时发现，定期巡检的能力

目前，堡垒机对资产的IP、账号等均通过人工梳理收集等方式进行输入。资产数量众多难免会有疏漏，人工干预势必存在泄密隐患。现在，CMDB常常被认为是构建其运维平台的基础而优先考虑，堡垒机必须对CMDB有很好的协作能力。

1. CMDB建设初期，堡垒机作为一个已有的核心资产信息的输出平台，通过智能接口平台为新CMDB平台提供基础数据源，如IP、系统类型等。

2. CMDB为了更好的收集系统信息，必须要进行客户端软件的安装。CMDB根据已收集的IP、系统类型等系统，通过堡垒机提供目标资产权限，对目标资产实现自动化客户端软件安装。

3. 堡垒机必须具备自动发现账号的能力，根据策略对资产账号定期的巡检，对僵尸账号、幽灵账号等非法账号进行及时预警。

4. 堡垒机需要和CMDB对资产相应的信息变化进行及时的自动化更新，如IP修改、资产报废、资产停用等情况进行及时对自身数据进行跟新。

四、适应移动时代的发展需要，由移动运维走向移动管理

随着5G技术的应用，移动时代已经到来。移动时代势必会推动新兴应用发展，带来新的管理模式。从传统的移动运维到移动管理势在必行。BYOD时代，如何安全、智能、高效的运维，成为广大信息化管理人员共同思索的目标。

1. 专有移动端APP以适应移动操作系统的版本变化，并保障连接通路、操作过程的安全可靠。

2. 通过移动端对重大风险事件进行实时掌控，及时便捷的应急运维操作。

3. 通过移动端对运维流程的审批、管理等。特别是对核心敏感资产的运维动作，结合内部运维管理制度，制定运维流程，可以通过移动端进行申请和审批，方便、安全、快捷。

五、具备自动化风险分析与评估，及时发现与管理风险

堡垒机一直来是作为一款运维 工具 发挥其作用，如何更有效的发挥其管理功效，是堡垒机发展的重要目标。更好的适配不断变换的“C”端仅是基础，如何对堡垒机自身的数据进行发现、挖掘、分析才是发挥管理功能的关键。

堡垒机基本存储了目标资产的所有账号，通过以账号维度的分析，可以发现僵尸账号、幽灵账号、绕行登入等存在安全隐患的问题。对账号进行有效的安全评估，有助于账号的安全管理。

同时堡垒机又是所有运维人员的账号中心、权限中心，通过对用户行为、运维行为等分析与评估，异常登录、异常会话、异常操作、敏感操作等行为有效的安全评估与威胁分析。对分析结果进行标准化输出，通过SOC、SIEM或态势感知等平台的综合处理，与相关事件关联分析，及时准确的追溯分析安全事件成因。

总之，堡垒机通过十几年的发展，本身又为方案创新型产品，日趋成熟。如何更好的适应新的信息化环境、融合新的运维工具是持续不变的探索目标。

堡垒机将会发展为独立、统一以账号为中心的安全管理平台。包含账号的生命周期，账号的访问控制矩阵，提供统一的人机界面与编程界面。为自动化软件、自动化设备提供账号管理及通道服务，将会掌管数据中心基础设施的账号及访问控制，成为未来数据中心的核心管理平台。

新技术推动堡垒机的发展，同时也推进了新的运维管理工具或平台的改变。