如今互聯(lián)網(wǎng)時代說到安全防護，特別是在web應用安全、數(shù)據(jù)安全、審計、安全合規(guī)、安全評估等方面，企業(yè)現(xiàn)在主要關注的是堡壘機和云計算安全方面的工作。

[[167523]]

　　為了更好的分析堡壘機和云計算，首先要了解什么是堡壘機?

　　簡單的說堡壘機是針對企業(yè)的運維人員、開發(fā)人員，還有企業(yè)所管理的設備，就是我們所謂的服務器、網(wǎng)絡設備、安全設備對他們的操作過程或者行為進行管理、控制和審計的工作。這個方面包括很多的內(nèi)容。

　　比如說數(shù)據(jù)庫、RDS也好，包括一些虛機，包括物理服務器、網(wǎng)絡設備，就是要被管理的設備。那企業(yè)在做運維的時候，企業(yè)是要經(jīng)常對系統(tǒng)進行調(diào)試，或者要登錄系統(tǒng)內(nèi)部進行開發(fā)或者進行調(diào)試，那這個過程的話，是有一定的風險的，可能會導致數(shù)據(jù)的泄漏。那堡壘機的話，那就是架在運維人員和開發(fā)人員的中間，實現(xiàn)對這類人員的登陸服務器之前一個身份的核實和認證，然后對權(quán)限進行控制。也就是說登陸了堡壘機之后，才能執(zhí)行什么命令，堡壘機是有控制的，不允許關機，或者不允許去刪除某個文件，堡壘機是可以進行控制。甚至它同樣還能夠控制到，個人進到堡壘機之后，能登陸哪幾臺服務器。或者是能登陸這個服務器里面的哪個賬號或者是哪個協(xié)議，它是能做這樣層次的控制的。

　　只有經(jīng)過堡壘機合法授權(quán)的，才能夠登錄到服務器，否則行為就會被堡壘機所阻斷。這大概就是一個堡壘機的功能。以前登陸服務器的時候，直接就是SH或者RDB直接連接過去了，現(xiàn)在不行，必須先登錄到登陸機，然后在堡壘機里面才會看到有權(quán)限的設備，然后再進行操作，而且整個操作過程會被錄像下來。這是堡壘機控制的一個簡單的介紹。

[[167524]]

　　云計算會對堡壘機的部署或者是實施會帶來什么問題?

　　云上的運維風險更高了。

　　企業(yè)在云上最近做了很多的一些工作、一些項目，企業(yè)會發(fā)現(xiàn)，跟很多用戶聊完之后，業(yè)務系統(tǒng)在云上的時候，客戶對堡壘機的需求非常大。為什么?后面聊完之后，大家可以很清楚的知道，就是它做攻擊的，一旦業(yè)務系統(tǒng)在云上，受攻擊的可能性會更高一些。特別是運維環(huán)境會帶來一些新的風險。

　　企業(yè)要做運維時，可能需要把企業(yè)的云服務器，公共IP或者是某個端口開放出來，讓維護人員進入，但另一方面可能企業(yè)的外包人員在這期間連接服務器，就可以把一些敏感的數(shù)據(jù)導出，甚至可以上傳一些木馬。這樣的話，以后的話哪怕企業(yè)更改了密碼，病毒也可以控制系統(tǒng)。這樣的話，企業(yè)的計算機病毒來源方可以隨時登陸，隨時去拿企業(yè)的數(shù)據(jù)，這是一種很典型的場景，也是很多系統(tǒng)上了云之后，企業(yè)最怕的一個點。

　　實際現(xiàn)在市場，就是在云上，就是堡壘機的話，基本上是成為一個必備的安全管理工具?，F(xiàn)在目前，在阿里云上，包括在騰訊云上面，可以看到他們都有一個云安全市場?？梢钥吹戒N量排行前幾的，基本上是堡壘機、VPN或者是防火墻這種產(chǎn)品。也就是說現(xiàn)在堡壘機這塊，在云上的必要性還是比較高的。布了堡壘機的作用，它要達到的目的，所有的運維都必須經(jīng)過堡壘機。布了堡壘機之后，所有的服務器端口就不需要對外開放了，只需要對允許堡壘機能夠防范這些端口就可以了，然后再把堡壘機對外放在企業(yè)公司，允許公司的人訪問就可以了。

　　部署堡壘機之后，堡壘機反而成為第一個攻擊目標了。堡壘機反而成為企業(yè)最重要的一個風險點，這又是云上的一個比較重要的變化，因為企業(yè)的運維，像以前堡壘機都放在自己內(nèi)網(wǎng)里面的，它不會對外開放，所以說它就不存在，就不會擔心堡壘機被人攻陷或者怎么樣的，一般都不會有這個顧慮。但是放在云上的時候，就不能把堡壘機的公共IP開放出來，因為企業(yè)的人也是移動辦公或者怎么樣，到處要連到堡壘機里面。如果企業(yè)這個堡壘機被開放了之后，黑客會攻擊企業(yè)的堡壘機。但是黑客想入侵系統(tǒng)，必須要拿到服務器IP或者賬號、密碼這類信息才能進去并且黑客即使通過某臺機子入到內(nèi)網(wǎng)，但不知道哪臺機子是干嘛的，所以偷企業(yè)的數(shù)據(jù)是很困難的事情。

　　堡壘機之后，這種東西就變得很簡單了。因為堡壘機它要去幫企業(yè)維護安全，它里面實際上可能會存儲了企業(yè)所有的服務器的IP地址信息、賬號信息，甚至包括個人的密碼信息，都在里面。所以說把堡壘機拿下之后，企業(yè)任何的服務器都是暢通無阻的，這是第一個。堡壘機里面，為了做管理，可能把某個服務器的功能都已經(jīng)做了標識，這個是做財務系統(tǒng)的，這個是做客戶管理系統(tǒng)的，這個是做網(wǎng)站的，都會分好，不同的服務器歸類歸好。黑客就會利用這樣的信息，很精準的就找到數(shù)據(jù)，沒有辦法讓他走。所以這一塊也是在云上之后布的一個很重要的特點，以前可能沒那么重要，現(xiàn)在這個問題變得越來越突出了。因為本身堡壘機它自己可能就有漏洞，它也是個系統(tǒng)，它本身自己就有漏洞。那它有漏洞的情況之下，就會被人利用，他就直接入侵，利用企業(yè)的邏輯漏洞，直接進到企業(yè)堡壘里面。

　　那么堡壘機的安全到底該怎么保障呢?這個地方，這是一個比較空的，但是也是大家要考慮的，就是大家在選擇部署堡壘機的時候，大家一定要選擇至少在堡壘機廠家的安全經(jīng)驗這一塊是要有的，不要是一個完全沒有安全經(jīng)驗的廠家去做堡壘機，這個肯定是有風險的，風險更大一些。同時它也可以在烏云上面，或者是在補天漏洞平臺上面，哪些堡壘機的安全性相對出的事故比較多一些，這個可以做一個參考。

　　當然更多的是堡壘機的一些安全策略的問題，所以說企業(yè)如果去部署堡壘機之后，企業(yè)一定要重點把它當做保護對象，做一些規(guī)則測試。首先比如說通信的加密，那在選擇的時候，運維人員的PC機連到堡壘機的過程，檢查鏈路是不是全部加密的。還有就是密碼策略，因為剛剛講到過堡壘機有賬號體系，它的密碼會被人爆的，所以要保證這個堡壘機賬號是安全可靠的。還可以做一些端口的變形，讓其他人沒有那么容易識別掃除它是堡壘機，或者它所開放的端口。還可以做一些ERP的限制等等。這個是實際需要在云上去做的一些必須考慮的一點。

[[167525]]

　　自動化運維

　　自動化運維也是大家可能很熟悉的一個點。那么自動化運維到底會帶來什么風險呢?其中一個很重要的方面，一般布了堡壘機之后，自動運維就干不了了?？赡懿糠肿詣踊\維就沒法做了。在沒有堡壘機的情況下企業(yè)是一個自動化服務器，可以直接連接所有的服務器，但是部署了堡壘機之后，堡壘機禁止掉了自動化服務器的鏈接，必須手動選擇要登錄的服務器，這是很多互聯(lián)網(wǎng)公司遇到的問題。

　　現(xiàn)在為了解決這個問題，建議在堡壘機里面做了一層SH的網(wǎng)關代理?？梢酝ㄟ^第三方信息的傳遞去鏈接服務器。但并不是所有的堡壘機都可以完美的契合這一項，企業(yè)在選擇堡壘機時要考慮自動化的運用驗證。