【51CTO.com原創(chuàng)稿件】 

[[206925]]

一、傳統(tǒng)堡壘機的崛起和沒落

列寧曾經(jīng)說過：“堡壘最容易從內(nèi)部被攻破”。信息化浪潮席卷全球的這些年間，偉人這一名言已經(jīng)得到充分驗證。信息安全、網(wǎng)絡安全的重大威脅不僅來自外部攻擊，還來自內(nèi)部的破壞。據(jù)IDC行業(yè)機構(gòu)的調(diào)查數(shù)據(jù)，近年來，有超過半數(shù)的企業(yè)網(wǎng)絡安全故障并非是因為外部攻擊所導致，而是由于企業(yè)內(nèi)部的不合規(guī)操作所造成的。就拿今年的亞馬遜S3大規(guī)模宕機事件來說，就是由于其運維團隊的程序員輸錯一個字母引發(fā)，這一誤操作最終給亞馬遜帶來上千萬美金的經(jīng)濟損失。

因此，近些年來企業(yè)該如何建設可靠的內(nèi)部網(wǎng)絡安全機制，成為一種迫切的需求，第一代堡壘機，通常稱運維堡壘機或傳統(tǒng)堡壘機解決方案也是在這個時候出現(xiàn)，并很快的被各大企業(yè)機構(gòu)所采納。拒不完全統(tǒng)計，全球500強企業(yè)中超過95%的企業(yè)采購了堡壘機，中國排名靠前的大型企業(yè)基本都上線了堡壘機系統(tǒng)，許多IT架構(gòu)占企業(yè)比重大的中型企業(yè)也毫不猶豫的重金出手選購堡壘機來加強它們的內(nèi)部網(wǎng)絡安全。

堡壘機的技術(shù)原理是通過建立一個網(wǎng)絡門戶機制，將企業(yè)內(nèi)部網(wǎng)絡系統(tǒng)和外部隔離起來，任何進入企業(yè)內(nèi)部網(wǎng)絡的人必須經(jīng)過堡壘機的安全過濾。堡壘機就好比一個IT系統(tǒng)的看門人，任何人都只能通過堡壘機單點登錄內(nèi)部網(wǎng)絡系統(tǒng)。堡壘機不僅集中管理和分配全部賬號，更重要的是能對運維人員的運維操作進行嚴格審計和權(quán)限控制，確保運維的安全合規(guī)和運維人士的最小化權(quán)限管理。從實際運用來看，堡壘機主要管控企業(yè)的服務器資源。

傳統(tǒng)堡壘機在初期是相當有優(yōu)勢的，它們安全防護性尤為強大，通常以軟硬件結(jié)合的形式部署，設備比較笨重。當然傳統(tǒng)堡壘機部署起來也是非常復雜的，對企業(yè)現(xiàn)有網(wǎng)絡結(jié)構(gòu)改變很大，后期維護也不容易，小企業(yè)的IT團隊往往難以完成這種技術(shù)任務。再加上傳統(tǒng)堡壘機價格昂貴，即便是最便宜的也在數(shù)十萬級別，所以即便在三五年前的傳統(tǒng)堡壘機大放光彩的年間，也主要是被采用于不差錢的政府、國企和大型企業(yè)。這一時期國內(nèi)涌現(xiàn)了一批不錯的堡壘機供應商，如網(wǎng)御神州、綠盟科技、極地安全、方正安全、捷成世紀等。

然而，隨著網(wǎng)絡技術(shù)的進一步發(fā)展，尤其是移動互聯(lián)網(wǎng)、云計算、人工智能等的發(fā)展，信息化呈現(xiàn)出一種全新的格局，網(wǎng)絡已經(jīng)深入民眾生活的每一個角落。這給企業(yè)帶來的直接挑戰(zhàn)是，它們的IT系統(tǒng)唯有不斷升級，采購更多的軟硬件設備，招聘更多的運維人才，才能滿足用戶的旺盛需求。無論是大型企業(yè)、還是中小型企業(yè)都將面臨更加復雜的IT系統(tǒng)環(huán)境和更為嚴峻的內(nèi)部網(wǎng)絡安全形勢，系統(tǒng)運維的難度系數(shù)呈幾何級倍增，為了應對這種挑戰(zhàn)，即便是中小型企業(yè)也不得不花大價錢采購包括堡壘機在內(nèi)的多種軟硬件設備來就解決問題。

傳統(tǒng)堡壘機因為成本高昂、難部署、難維護，對網(wǎng)絡結(jié)構(gòu)改變大等問題已經(jīng)漸漸不太適應新時代下的企業(yè)IT系統(tǒng)。在中國，數(shù)量占大頭的中小型企業(yè)渴望網(wǎng)絡技術(shù)創(chuàng)新，同時又十分在意成本，傳統(tǒng)堡壘機并不完全適合他們，這些中小型企業(yè)的IT團隊正在尋找新的解決方案。就在這時，云計算技術(shù)的發(fā)展普及給了它們新的解決方案，云堡壘機順勢而生。我們知道，上云已經(jīng)成為當今企業(yè)IT系統(tǒng)部署的主流選擇，企業(yè)將他們的老舊機房關(guān)閉，并在云端租賃服務器，它們把數(shù)據(jù)和業(yè)務一一遷往云端，這給企業(yè)降低了系統(tǒng)維護難度而且大大減少了成本。與此同時，那些用來管理原有IT資源的傳統(tǒng)堡壘機也面臨下架，轉(zhuǎn)而采用更適應云環(huán)境的云堡壘機。

二、云堡壘機取代傳統(tǒng)堡壘機成為市場熱點

所謂云堡壘機，就是基于云計算的堡壘機系統(tǒng)，云堡壘機沒有硬件，以軟件和其他形式提供服務，獲取起來極為方便，理論上可以達到秒級部署。云堡壘機的靈活性遠非傳統(tǒng)堡壘機可比，單單從改變網(wǎng)絡結(jié)構(gòu)這一項上看，傳統(tǒng)堡壘機會對企業(yè)已有的IT結(jié)構(gòu)深度接入，維護和拓展起來非常麻煩；而云堡壘機通常是旁路部署，比較少改變甚至不改變已有的網(wǎng)絡結(jié)構(gòu)，拓展起來可以快速到位。互聯(lián)網(wǎng)時代速度至關(guān)重要，這種甚少改變網(wǎng)絡結(jié)構(gòu)的優(yōu)勢是很有意義的，它可以大比例提高云堡壘機部署和拓展效率。更為重要的是，云堡壘機價格便宜、維護成本低，維護簡單甚至不用維護，它很適合應用于中小型企業(yè)，彌補傳統(tǒng)堡壘機的短板。

基于諸多優(yōu)點云堡壘機近兩年開始大受歡迎，是許多企業(yè)IT運維團隊的選購重點。IDC行業(yè)報告顯示，2019年中國IT安全市場規(guī)模將達294億元，其中服務器安全市場的年增長率穩(wěn)定在10%以上，而服務器安全的主要產(chǎn)品之一就是堡壘機。這種增長得益于越來越多的中小企業(yè)正在尋購云堡壘機類服務器安全產(chǎn)品，有需求就會有供應，事實上，目前市面上涌現(xiàn)出來的云堡壘機已經(jīng)有不少，像安恒、行云管家、碉堡、云匣子等等，可以稱之為初代云堡壘機。

初代的主要功能和傳統(tǒng)堡壘機基本相似，即承擔看門人的職能，攔截非法訪問和惡意攻擊，對不合法命令進行命令阻斷，過濾掉所有對目標設備的非法訪問行為，并對內(nèi)部人員誤操作和非法操作進行審計監(jiān)控，以便事后責任追蹤。不同的是，這些云堡壘機基于產(chǎn)品定位，其優(yōu)勢和側(cè)重點各有不同。像安恒和碉堡云專注做安全審計，不提供額外的功能。而行云管家提供一站式IT運維管理平臺，除了堡壘機，還拓展到主機監(jiān)控、自動化運維等豐富功能。

比較有意思的是，行云管家是以SAAS形式提供服務，企業(yè)用戶在WEB端登錄并導入云服務器就可以獲取堡壘機服務。從本質(zhì)上來講，這是一種商業(yè)模式的創(chuàng)新，進一步降低了中小型企業(yè)部署的難度。在以往，企業(yè)需要先對自身網(wǎng)絡環(huán)境、IT資產(chǎn)等進行梳理，以適配堡壘機的部署，而現(xiàn)在就簡單了，企業(yè)的IT人員只需要在瀏覽器登錄堡壘機服務提供平臺，再把服務器添加進去就可以立即使用。這種以SAAS形式提供的堡壘機也是有缺點的，就是受限于供應商的現(xiàn)有技術(shù)能力，其功能會相對傳統(tǒng)堡壘機弱一些，所幸的是這種簡單就能獲取的堡壘機服務價格低廉，和傳統(tǒng)堡壘機的大筆花費比起來簡直不值一提。

傳統(tǒng)堡壘機之所以還有相當?shù)氖袌?，主要是因為許多已經(jīng)采用了那部分大型企業(yè)、政府機構(gòu)等短期內(nèi)難以接受大動作的改變現(xiàn)有的IT系統(tǒng)，況且許多大型企業(yè)對云計算的信任度還有待提高，他們依舊還在懷疑云是否安全？云堡壘機是否穩(wěn)定？然后我們不得不承認的是，云計算已經(jīng)是既定事實，政府也將發(fā)展云提升到國家戰(zhàn)略層次并且制定了很多行動計劃。無論從政策、經(jīng)濟、技術(shù)的角度看未來，依托云之下的眾多網(wǎng)絡服務包括云堡壘機在內(nèi)，已經(jīng)迎來歷史性發(fā)展機遇，最終將會是全面開花的繁榮局面。

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】