由于我從2007年開始在多個公司任職IT運維部門的負(fù)責(zé)人，為公司選購并部署過從傳統(tǒng)堡壘機(jī)到云堡壘機(jī)的多款產(chǎn)品，積累了不少的經(jīng)驗。本文為大家分享一些堡壘機(jī)的選購經(jīng)驗，供參考!

堡壘機(jī)的主要功能是做一個IT系統(tǒng)的看門人，任何人都只能通過堡壘機(jī)這一門戶單點登錄系統(tǒng)。堡壘機(jī)不僅集中管理和分配全部賬號，更重要的是能對運維人員的運維操作進(jìn)行嚴(yán)格審計和權(quán)限控制，確保運維的安全合規(guī)和對運維人員的最小化權(quán)限管理。

在沒有部署堡壘機(jī)以前，很多公司遇到了不少安全運維問題，比如：

a)登錄賬號管理混亂，多個用戶使用一個賬號或者一個用戶使用多個賬號。

b)運維權(quán)限劃分不明，越權(quán)操作頻頻發(fā)生。

c)認(rèn)證方式過于簡單，無雙因子認(rèn)證賬號容易丟失被盜。

d)對運維過程沒有監(jiān)控措施，出現(xiàn)網(wǎng)絡(luò)安全故障難以排查原因和準(zhǔn)確追責(zé)。

而以上這些問題都可以通過堡壘機(jī)來解決，作為看門人的堡壘機(jī)，它的嚴(yán)格管控能力十分強(qiáng)大，能在很大程度上攔截非法訪問和惡意攻擊，對不合法命令進(jìn)行命令阻斷，過濾掉所有對目標(biāo)設(shè)備的非法訪問行為，并對內(nèi)部人員的誤操作和非法操作進(jìn)行審計監(jiān)控，以便事后責(zé)任追蹤。

市面上的堡壘機(jī)很多，那么該如何選購呢?我根據(jù)自己的經(jīng)驗，從幾個要點進(jìn)行了分析和比較：

首先說下傳統(tǒng)的堡壘機(jī)，它多為軟硬件結(jié)合且價格昂貴，管控能力十分強(qiáng)大，是銀行、國營大型企業(yè)IT運維團(tuán)隊的首要選項。傳統(tǒng)堡壘機(jī)的缺點是，價格很高，動輒數(shù)十、上百萬，而且部署起來困難，需要專業(yè)的團(tuán)隊統(tǒng)籌部署，維護(hù)成本高。同時對現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)侵入大，軟件和硬件升級都不方便，并不適合中小型企業(yè)和一般創(chuàng)業(yè)企業(yè)使用。

隨著云服務(wù)技術(shù)的廣泛普及，堡壘機(jī)的形態(tài)也在隨之演變，在傳統(tǒng)堡壘機(jī)的基礎(chǔ)上又出現(xiàn)了云堡壘機(jī)。云堡壘機(jī)相對靈活的多，其價格便宜、維護(hù)成本低(甚至不用維護(hù))，多為旁路部署，不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，擴(kuò)展能力強(qiáng)。基于這些優(yōu)點，云堡壘機(jī)近兩年大受歡迎，是許多企業(yè)IT運維團(tuán)隊的選購重點。目前市面上比較流行的云堡壘機(jī)像安恒、行云管家、碉堡、云匣子等等，他們的主要功能基本相似，但優(yōu)勢和側(cè)重點各有不同。

如果你的團(tuán)隊規(guī)模不是超大型，服務(wù)器的數(shù)量不是過萬臺級別，那么我建議大家選購云堡壘機(jī)即可。在選購合適的云堡壘級之前，首先分解一下云堡壘機(jī)的主要選購指標(biāo)。

1. 侵入性：如果在每臺主機(jī)安裝Agent，安全性不好保障，工作量也大。對于局域網(wǎng)主機(jī)而言，最好是只在網(wǎng)絡(luò)內(nèi)安裝一個代理軟件即可，保持其他主機(jī)的純凈和安全。如果是公有云主機(jī)，最好是支持API導(dǎo)入，方便快捷。

2. 審計方式：這點要特別注意，目前很多堡壘機(jī)只有錄像審計，事實上如果真要回溯追責(zé)，光靠錄像是不夠的，誰會有那么多時間去逐幀看錄像呢!所以最好是有指令審計，比如追查是誰刪除了某個文件，只需輸入文件名即可檢索。還有一些堡壘機(jī)不支持Windows指令審計，如果您的主機(jī)包含了Windows，可一定要求具備Windows指令審計功能哦!

Windows服務(wù)器指令檢索

3. 安全性：要支持身份授權(quán)、訪問控制、雙因子認(rèn)證等安全策略。同時還要有高危命令阻斷功能，要能夠設(shè)置命令的黑白名單，主動攔截高危命令。

雙因子驗證登錄

4. 配套功能考慮：是否具備其他運維相關(guān)功能，比如主機(jī)監(jiān)控、遠(yuǎn)程協(xié)同、自動化運維。需要注意的是，堡壘機(jī)對于自動化運維的影響，如果堡壘機(jī)成為自動化運維的羈絆，那么可就得不償失了。

5. 部署難度：部署難度是否大，一般SaaS模式是無需部署的，免維護(hù)，這對于小團(tuán)隊來說非常適用，能夠減少很大的人力成本。

6. 產(chǎn)品更新頻率：既然是云堡壘機(jī)，那么產(chǎn)品的更新迭代頻率應(yīng)該要快，不能像傳統(tǒng)堡壘機(jī)一樣幾年不更新，畢竟產(chǎn)業(yè)發(fā)展的速度是很快的。

7. 價格：選擇云堡壘機(jī)的用戶一般來說對價格較敏感，在能夠滿足需求的前提下，自然是越便宜越好。

以上這些指標(biāo)基本涵蓋了云堡壘機(jī)的主要選購點，您可以根據(jù)所在公司和自己團(tuán)隊的實際需求情況來標(biāo)示要點，根據(jù)這些要點對不同的云堡壘機(jī)品牌進(jìn)行比較，選出最合適的即可。

目前市場上的云堡壘機(jī)品牌也較多，這里想以安恒云堡壘機(jī)、行云管家、碉堡云三個產(chǎn)品來介紹，之所以選擇這三款產(chǎn)品，是因為它們屬于云堡壘機(jī)領(lǐng)域做得不錯的產(chǎn)品，同時在很多方面又比較相似。

安恒堡壘機(jī)和碉堡云是阿里系的產(chǎn)品，而行云管家是一個完全第三方的產(chǎn)品，三者對現(xiàn)有網(wǎng)絡(luò)體系和主機(jī)的侵入性都比較低，其中安恒只支持私有部署，不提供SaaS模式，價格也相對較高。

在審計方式層面，三者都支持指令審計，但只有行云管家能夠支持全系列Windows的指令審計，碉堡云只支持Linux，安恒無法支持Windows 2012和2016。

安全性層面，安恒堡壘機(jī)能夠提供較豐富的安全策略，例如雙因子認(rèn)證。

在產(chǎn)品定位上，安恒和碉堡云專注做安全審計一點，沒有提供額外的其他功能，而行云管家提供的是一個一站式的IT運維管理平臺，除了堡壘機(jī)，還有主機(jī)監(jiān)控、自動化運維等相對較豐富的功能，基本上你想的到的功能都有。

另外值得一提的是，行云管家產(chǎn)品更新頻率較快，大概一個月左右一個新版本，經(jīng)常會推出一些新功能，其他兩款產(chǎn)品更新較少。

至于價格嘛，云堡壘機(jī)應(yīng)該都屬于大家能接受的范圍，相對傳統(tǒng)堡壘機(jī)來講，真的是非常實惠的。

總的來說，選購堡壘機(jī)并非越貴的就越好，而是要綜合考量各項指標(biāo)與運維團(tuán)隊本身的契合度，以及在實際應(yīng)用中的真實需求。如果您所在的團(tuán)隊是金融、政府等對安全性要求極高的組織，建議您考慮傳統(tǒng)堡壘機(jī)。但是對于一些互聯(lián)網(wǎng)企業(yè)、創(chuàng)業(yè)企業(yè)而言，我比較傾向于向大家推薦使用云堡壘機(jī)，無論是從價格還是靈活性來說它都具備優(yōu)勢。況且隨著云計算市場的發(fā)展，上云成為主流，未來的堡壘機(jī)發(fā)展趨勢也必然是偏向于云堡壘機(jī)。

【本文是51CTO專欄作者郅偉的原創(chuàng)稿件，轉(zhuǎn)載請注明出處】

戳這里，看該作者更多好文