如今互聯(lián)網(wǎng)時(shí)代說到安全防護(hù)，特別是在web應(yīng)用安全、數(shù)據(jù)安全、審計(jì)、安全合規(guī)、安全評(píng)估等方面，企業(yè)現(xiàn)在主要關(guān)注的是堡壘機(jī)和云計(jì)算安全方面的工作。

[[167523]]

　　為了更好的分析堡壘機(jī)和云計(jì)算，首先要了解什么是堡壘機(jī)?

　　簡(jiǎn)單的說堡壘機(jī)是針對(duì)企業(yè)的運(yùn)維人員、開發(fā)人員，還有企業(yè)所管理的設(shè)備，就是我們所謂的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備對(duì)他們的操作過程或者行為進(jìn)行管理、控制和審計(jì)的工作。這個(gè)方面包括很多的內(nèi)容。

　　比如說數(shù)據(jù)庫(kù)、RDS也好，包括一些虛機(jī)，包括物理服務(wù)器、網(wǎng)絡(luò)設(shè)備，就是要被管理的設(shè)備。那企業(yè)在做運(yùn)維的時(shí)候，企業(yè)是要經(jīng)常對(duì)系統(tǒng)進(jìn)行調(diào)試，或者要登錄系統(tǒng)內(nèi)部進(jìn)行開發(fā)或者進(jìn)行調(diào)試，那這個(gè)過程的話，是有一定的風(fēng)險(xiǎn)的，可能會(huì)導(dǎo)致數(shù)據(jù)的泄漏。那堡壘機(jī)的話，那就是架在運(yùn)維人員和開發(fā)人員的中間，實(shí)現(xiàn)對(duì)這類人員的登陸服務(wù)器之前一個(gè)身份的核實(shí)和認(rèn)證，然后對(duì)權(quán)限進(jìn)行控制。也就是說登陸了堡壘機(jī)之后，才能執(zhí)行什么命令，堡壘機(jī)是有控制的，不允許關(guān)機(jī)，或者不允許去刪除某個(gè)文件，堡壘機(jī)是可以進(jìn)行控制。甚至它同樣還能夠控制到，個(gè)人進(jìn)到堡壘機(jī)之后，能登陸哪幾臺(tái)服務(wù)器?；蛘呤悄艿顷戇@個(gè)服務(wù)器里面的哪個(gè)賬號(hào)或者是哪個(gè)協(xié)議，它是能做這樣層次的控制的。

　　只有經(jīng)過堡壘機(jī)合法授權(quán)的，才能夠登錄到服務(wù)器，否則行為就會(huì)被堡壘機(jī)所阻斷。這大概就是一個(gè)堡壘機(jī)的功能。以前登陸服務(wù)器的時(shí)候，直接就是SH或者RDB直接連接過去了，現(xiàn)在不行，必須先登錄到登陸機(jī)，然后在堡壘機(jī)里面才會(huì)看到有權(quán)限的設(shè)備，然后再進(jìn)行操作，而且整個(gè)操作過程會(huì)被錄像下來。這是堡壘機(jī)控制的一個(gè)簡(jiǎn)單的介紹。

[[167524]]

　　云計(jì)算會(huì)對(duì)堡壘機(jī)的部署或者是實(shí)施會(huì)帶來什么問題?

　　云上的運(yùn)維風(fēng)險(xiǎn)更高了。

　　企業(yè)在云上最近做了很多的一些工作、一些項(xiàng)目，企業(yè)會(huì)發(fā)現(xiàn)，跟很多用戶聊完之后，業(yè)務(wù)系統(tǒng)在云上的時(shí)候，客戶對(duì)堡壘機(jī)的需求非常大。為什么?后面聊完之后，大家可以很清楚的知道，就是它做攻擊的，一旦業(yè)務(wù)系統(tǒng)在云上，受攻擊的可能性會(huì)更高一些。特別是運(yùn)維環(huán)境會(huì)帶來一些新的風(fēng)險(xiǎn)。

　　企業(yè)要做運(yùn)維時(shí)，可能需要把企業(yè)的云服務(wù)器，公共IP或者是某個(gè)端口開放出來，讓維護(hù)人員進(jìn)入，但另一方面可能企業(yè)的外包人員在這期間連接服務(wù)器，就可以把一些敏感的數(shù)據(jù)導(dǎo)出，甚至可以上傳一些木馬。這樣的話，以后的話哪怕企業(yè)更改了密碼，病毒也可以控制系統(tǒng)。這樣的話，企業(yè)的計(jì)算機(jī)病毒來源方可以隨時(shí)登陸，隨時(shí)去拿企業(yè)的數(shù)據(jù)，這是一種很典型的場(chǎng)景，也是很多系統(tǒng)上了云之后，企業(yè)最怕的一個(gè)點(diǎn)。

　　實(shí)際現(xiàn)在市場(chǎng)，就是在云上，就是堡壘機(jī)的話，基本上是成為一個(gè)必備的安全管理工具?，F(xiàn)在目前，在阿里云上，包括在騰訊云上面，可以看到他們都有一個(gè)云安全市場(chǎng)?？梢钥吹戒N量排行前幾的，基本上是堡壘機(jī)、VPN或者是防火墻這種產(chǎn)品。也就是說現(xiàn)在堡壘機(jī)這塊，在云上的必要性還是比較高的。布了堡壘機(jī)的作用，它要達(dá)到的目的，所有的運(yùn)維都必須經(jīng)過堡壘機(jī)。布了堡壘機(jī)之后，所有的服務(wù)器端口就不需要對(duì)外開放了，只需要對(duì)允許堡壘機(jī)能夠防范這些端口就可以了，然后再把堡壘機(jī)對(duì)外放在企業(yè)公司，允許公司的人訪問就可以了。

　　部署堡壘機(jī)之后，堡壘機(jī)反而成為第一個(gè)攻擊目標(biāo)了。堡壘機(jī)反而成為企業(yè)最重要的一個(gè)風(fēng)險(xiǎn)點(diǎn)，這又是云上的一個(gè)比較重要的變化，因?yàn)槠髽I(yè)的運(yùn)維，像以前堡壘機(jī)都放在自己內(nèi)網(wǎng)里面的，它不會(huì)對(duì)外開放，所以說它就不存在，就不會(huì)擔(dān)心堡壘機(jī)被人攻陷或者怎么樣的，一般都不會(huì)有這個(gè)顧慮。但是放在云上的時(shí)候，就不能把堡壘機(jī)的公共IP開放出來，因?yàn)槠髽I(yè)的人也是移動(dòng)辦公或者怎么樣，到處要連到堡壘機(jī)里面。如果企業(yè)這個(gè)堡壘機(jī)被開放了之后，黑客會(huì)攻擊企業(yè)的堡壘機(jī)。但是黑客想入侵系統(tǒng)，必須要拿到服務(wù)器IP或者賬號(hào)、密碼這類信息才能進(jìn)去并且黑客即使通過某臺(tái)機(jī)子入到內(nèi)網(wǎng)，但不知道哪臺(tái)機(jī)子是干嘛的，所以偷企業(yè)的數(shù)據(jù)是很困難的事情。

　　堡壘機(jī)之后，這種東西就變得很簡(jiǎn)單了。因?yàn)楸緳C(jī)它要去幫企業(yè)維護(hù)安全，它里面實(shí)際上可能會(huì)存儲(chǔ)了企業(yè)所有的服務(wù)器的IP地址信息、賬號(hào)信息，甚至包括個(gè)人的密碼信息，都在里面。所以說把堡壘機(jī)拿下之后，企業(yè)任何的服務(wù)器都是暢通無阻的，這是第一個(gè)。堡壘機(jī)里面，為了做管理，可能把某個(gè)服務(wù)器的功能都已經(jīng)做了標(biāo)識(shí)，這個(gè)是做財(cái)務(wù)系統(tǒng)的，這個(gè)是做客戶管理系統(tǒng)的，這個(gè)是做網(wǎng)站的，都會(huì)分好，不同的服務(wù)器歸類歸好。黑客就會(huì)利用這樣的信息，很精準(zhǔn)的就找到數(shù)據(jù)，沒有辦法讓他走。所以這一塊也是在云上之后布的一個(gè)很重要的特點(diǎn)，以前可能沒那么重要，現(xiàn)在這個(gè)問題變得越來越突出了。因?yàn)楸旧肀緳C(jī)它自己可能就有漏洞，它也是個(gè)系統(tǒng)，它本身自己就有漏洞。那它有漏洞的情況之下，就會(huì)被人利用，他就直接入侵，利用企業(yè)的邏輯漏洞，直接進(jìn)到企業(yè)堡壘里面。

　　那么堡壘機(jī)的安全到底該怎么保障呢?這個(gè)地方，這是一個(gè)比較空的，但是也是大家要考慮的，就是大家在選擇部署堡壘機(jī)的時(shí)候，大家一定要選擇至少在堡壘機(jī)廠家的安全經(jīng)驗(yàn)這一塊是要有的，不要是一個(gè)完全沒有安全經(jīng)驗(yàn)的廠家去做堡壘機(jī)，這個(gè)肯定是有風(fēng)險(xiǎn)的，風(fēng)險(xiǎn)更大一些。同時(shí)它也可以在烏云上面，或者是在補(bǔ)天漏洞平臺(tái)上面，哪些堡壘機(jī)的安全性相對(duì)出的事故比較多一些，這個(gè)可以做一個(gè)參考。

　　當(dāng)然更多的是堡壘機(jī)的一些安全策略的問題，所以說企業(yè)如果去部署堡壘機(jī)之后，企業(yè)一定要重點(diǎn)把它當(dāng)做保護(hù)對(duì)象，做一些規(guī)則測(cè)試。首先比如說通信的加密，那在選擇的時(shí)候，運(yùn)維人員的PC機(jī)連到堡壘機(jī)的過程，檢查鏈路是不是全部加密的。還有就是密碼策略，因?yàn)閯倓傊v到過堡壘機(jī)有賬號(hào)體系，它的密碼會(huì)被人爆的，所以要保證這個(gè)堡壘機(jī)賬號(hào)是安全可靠的。還可以做一些端口的變形，讓其他人沒有那么容易識(shí)別掃除它是堡壘機(jī)，或者它所開放的端口。還可以做一些ERP的限制等等。這個(gè)是實(shí)際需要在云上去做的一些必須考慮的一點(diǎn)。

[[167525]]

　　自動(dòng)化運(yùn)維

　　自動(dòng)化運(yùn)維也是大家可能很熟悉的一個(gè)點(diǎn)。那么自動(dòng)化運(yùn)維到底會(huì)帶來什么風(fēng)險(xiǎn)呢?其中一個(gè)很重要的方面，一般布了堡壘機(jī)之后，自動(dòng)運(yùn)維就干不了了?？赡懿糠肿詣?dòng)化運(yùn)維就沒法做了。在沒有堡壘機(jī)的情況下企業(yè)是一個(gè)自動(dòng)化服務(wù)器，可以直接連接所有的服務(wù)器，但是部署了堡壘機(jī)之后，堡壘機(jī)禁止掉了自動(dòng)化服務(wù)器的鏈接，必須手動(dòng)選擇要登錄的服務(wù)器，這是很多互聯(lián)網(wǎng)公司遇到的問題。

　　現(xiàn)在為了解決這個(gè)問題，建議在堡壘機(jī)里面做了一層SH的網(wǎng)關(guān)代理。可以通過第三方信息的傳遞去鏈接服務(wù)器。但并不是所有的堡壘機(jī)都可以完美的契合這一項(xiàng)，企業(yè)在選擇堡壘機(jī)時(shí)要考慮自動(dòng)化的運(yùn)用驗(yàn)證。