由于我從2007年開(kāi)始在多個(gè)公司任職IT運(yùn)維部門的負(fù)責(zé)人，為公司選購(gòu)并部署過(guò)從傳統(tǒng)堡壘機(jī)到云堡壘機(jī)的多款產(chǎn)品，積累了不少的經(jīng)驗(yàn)。本文為大家分享一些堡壘機(jī)的選購(gòu)經(jīng)驗(yàn)，供參考!

堡壘機(jī)的主要功能是做一個(gè)IT系統(tǒng)的看門人，任何人都只能通過(guò)堡壘機(jī)這一門戶單點(diǎn)登錄系統(tǒng)。堡壘機(jī)不僅集中管理和分配全部賬號(hào)，更重要的是能對(duì)運(yùn)維人員的運(yùn)維操作進(jìn)行嚴(yán)格審計(jì)和權(quán)限控制，確保運(yùn)維的安全合規(guī)和對(duì)運(yùn)維人員的最小化權(quán)限管理。

在沒(méi)有部署堡壘機(jī)以前，很多公司遇到了不少安全運(yùn)維問(wèn)題，比如：

a)登錄賬號(hào)管理混亂，多個(gè)用戶使用一個(gè)賬號(hào)或者一個(gè)用戶使用多個(gè)賬號(hào)。

b)運(yùn)維權(quán)限劃分不明，越權(quán)操作頻頻發(fā)生。

c)認(rèn)證方式過(guò)于簡(jiǎn)單，無(wú)雙因子認(rèn)證賬號(hào)容易丟失被盜。

d)對(duì)運(yùn)維過(guò)程沒(méi)有監(jiān)控措施，出現(xiàn)網(wǎng)絡(luò)安全故障難以排查原因和準(zhǔn)確追責(zé)。

而以上這些問(wèn)題都可以通過(guò)堡壘機(jī)來(lái)解決，作為看門人的堡壘機(jī)，它的嚴(yán)格管控能力十分強(qiáng)大，能在很大程度上攔截非法訪問(wèn)和惡意攻擊，對(duì)不合法命令進(jìn)行命令阻斷，過(guò)濾掉所有對(duì)目標(biāo)設(shè)備的非法訪問(wèn)行為，并對(duì)內(nèi)部人員的誤操作和非法操作進(jìn)行審計(jì)監(jiān)控，以便事后責(zé)任追蹤。

市面上的堡壘機(jī)很多，那么該如何選購(gòu)呢?我根據(jù)自己的經(jīng)驗(yàn)，從幾個(gè)要點(diǎn)進(jìn)行了分析和比較：

首先說(shuō)下傳統(tǒng)的堡壘機(jī)，它多為軟硬件結(jié)合且價(jià)格昂貴，管控能力十分強(qiáng)大，是銀行、國(guó)營(yíng)大型企業(yè)IT運(yùn)維團(tuán)隊(duì)的首要選項(xiàng)。傳統(tǒng)堡壘機(jī)的缺點(diǎn)是，價(jià)格很高，動(dòng)輒數(shù)十、上百萬(wàn)，而且部署起來(lái)困難，需要專業(yè)的團(tuán)隊(duì)統(tǒng)籌部署，維護(hù)成本高。同時(shí)對(duì)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)侵入大，軟件和硬件升級(jí)都不方便，并不適合中小型企業(yè)和一般創(chuàng)業(yè)企業(yè)使用。

隨著云服務(wù)技術(shù)的廣泛普及，堡壘機(jī)的形態(tài)也在隨之演變，在傳統(tǒng)堡壘機(jī)的基礎(chǔ)上又出現(xiàn)了云堡壘機(jī)。云堡壘機(jī)相對(duì)靈活的多，其價(jià)格便宜、維護(hù)成本低(甚至不用維護(hù))，多為旁路部署，不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，擴(kuò)展能力強(qiáng)。基于這些優(yōu)點(diǎn)，云堡壘機(jī)近兩年大受歡迎，是許多企業(yè)IT運(yùn)維團(tuán)隊(duì)的選購(gòu)重點(diǎn)。目前市面上比較流行的云堡壘機(jī)像安恒、行云管家、碉堡、云匣子等等，他們的主要功能基本相似，但優(yōu)勢(shì)和側(cè)重點(diǎn)各有不同。

如果你的團(tuán)隊(duì)規(guī)模不是超大型，服務(wù)器的數(shù)量不是過(guò)萬(wàn)臺(tái)級(jí)別，那么我建議大家選購(gòu)云堡壘機(jī)即可。在選購(gòu)合適的云堡壘級(jí)之前，首先分解一下云堡壘機(jī)的主要選購(gòu)指標(biāo)。

1. 侵入性：如果在每臺(tái)主機(jī)安裝Agent，安全性不好保障，工作量也大。對(duì)于局域網(wǎng)主機(jī)而言，最好是只在網(wǎng)絡(luò)內(nèi)安裝一個(gè)代理軟件即可，保持其他主機(jī)的純凈和安全。如果是公有云主機(jī)，最好是支持API導(dǎo)入，方便快捷。

2. 審計(jì)方式：這點(diǎn)要特別注意，目前很多堡壘機(jī)只有錄像審計(jì)，事實(shí)上如果真要回溯追責(zé)，光靠錄像是不夠的，誰(shuí)會(huì)有那么多時(shí)間去逐幀看錄像呢!所以最好是有指令審計(jì)，比如追查是誰(shuí)刪除了某個(gè)文件，只需輸入文件名即可檢索。還有一些堡壘機(jī)不支持Windows指令審計(jì)，如果您的主機(jī)包含了Windows，可一定要求具備Windows指令審計(jì)功能哦!

Windows服務(wù)器指令檢索

3. 安全性：要支持身份授權(quán)、訪問(wèn)控制、雙因子認(rèn)證等安全策略。同時(shí)還要有高危命令阻斷功能，要能夠設(shè)置命令的黑白名單，主動(dòng)攔截高危命令。

雙因子驗(yàn)證登錄

4. 配套功能考慮：是否具備其他運(yùn)維相關(guān)功能，比如主機(jī)監(jiān)控、遠(yuǎn)程協(xié)同、自動(dòng)化運(yùn)維。需要注意的是，堡壘機(jī)對(duì)于自動(dòng)化運(yùn)維的影響，如果堡壘機(jī)成為自動(dòng)化運(yùn)維的羈絆，那么可就得不償失了。

5. 部署難度：部署難度是否大，一般SaaS模式是無(wú)需部署的，免維護(hù)，這對(duì)于小團(tuán)隊(duì)來(lái)說(shuō)非常適用，能夠減少很大的人力成本。

6. 產(chǎn)品更新頻率：既然是云堡壘機(jī)，那么產(chǎn)品的更新迭代頻率應(yīng)該要快，不能像傳統(tǒng)堡壘機(jī)一樣幾年不更新，畢竟產(chǎn)業(yè)發(fā)展的速度是很快的。

7. 價(jià)格：選擇云堡壘機(jī)的用戶一般來(lái)說(shuō)對(duì)價(jià)格較敏感，在能夠滿足需求的前提下，自然是越便宜越好。

以上這些指標(biāo)基本涵蓋了云堡壘機(jī)的主要選購(gòu)點(diǎn)，您可以根據(jù)所在公司和自己團(tuán)隊(duì)的實(shí)際需求情況來(lái)標(biāo)示要點(diǎn)，根據(jù)這些要點(diǎn)對(duì)不同的云堡壘機(jī)品牌進(jìn)行比較，選出最合適的即可。

目前市場(chǎng)上的云堡壘機(jī)品牌也較多，這里想以安恒云堡壘機(jī)、行云管家、碉堡云三個(gè)產(chǎn)品來(lái)介紹，之所以選擇這三款產(chǎn)品，是因?yàn)樗鼈儗儆谠票緳C(jī)領(lǐng)域做得不錯(cuò)的產(chǎn)品，同時(shí)在很多方面又比較相似。

安恒堡壘機(jī)和碉堡云是阿里系的產(chǎn)品，而行云管家是一個(gè)完全第三方的產(chǎn)品，三者對(duì)現(xiàn)有網(wǎng)絡(luò)體系和主機(jī)的侵入性都比較低，其中安恒只支持私有部署，不提供SaaS模式，價(jià)格也相對(duì)較高。

在審計(jì)方式層面，三者都支持指令審計(jì)，但只有行云管家能夠支持全系列Windows的指令審計(jì)，碉堡云只支持Linux，安恒無(wú)法支持Windows 2012和2016。

安全性層面，安恒堡壘機(jī)能夠提供較豐富的安全策略，例如雙因子認(rèn)證。

在產(chǎn)品定位上，安恒和碉堡云專注做安全審計(jì)一點(diǎn)，沒(méi)有提供額外的其他功能，而行云管家提供的是一個(gè)一站式的IT運(yùn)維管理平臺(tái)，除了堡壘機(jī)，還有主機(jī)監(jiān)控、自動(dòng)化運(yùn)維等相對(duì)較豐富的功能，基本上你想的到的功能都有。

另外值得一提的是，行云管家產(chǎn)品更新頻率較快，大概一個(gè)月左右一個(gè)新版本，經(jīng)常會(huì)推出一些新功能，其他兩款產(chǎn)品更新較少。

至于價(jià)格嘛，云堡壘機(jī)應(yīng)該都屬于大家能接受的范圍，相對(duì)傳統(tǒng)堡壘機(jī)來(lái)講，真的是非常實(shí)惠的。

總的來(lái)說(shuō)，選購(gòu)堡壘機(jī)并非越貴的就越好，而是要綜合考量各項(xiàng)指標(biāo)與運(yùn)維團(tuán)隊(duì)本身的契合度，以及在實(shí)際應(yīng)用中的真實(shí)需求。如果您所在的團(tuán)隊(duì)是金融、政府等對(duì)安全性要求極高的組織，建議您考慮傳統(tǒng)堡壘機(jī)。但是對(duì)于一些互聯(lián)網(wǎng)企業(yè)、創(chuàng)業(yè)企業(yè)而言，我比較傾向于向大家推薦使用云堡壘機(jī)，無(wú)論是從價(jià)格還是靈活性來(lái)說(shuō)它都具備優(yōu)勢(shì)。況且隨著云計(jì)算市場(chǎng)的發(fā)展，上云成為主流，未來(lái)的堡壘機(jī)發(fā)展趨勢(shì)也必然是偏向于云堡壘機(jī)。

【本文是51CTO專欄作者郅偉的原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)注明出處】

戳這里，看該作者更多好文