運維堡壘機的起源、發(fā)展和未來趨勢

隨著信息安全的快速發(fā)展，來自內部的安全威脅日益增多，綜合防護、內部威脅防護等思想越來越受到重視，而各個層面的政策合規(guī)，如“薩班斯法案” (Sarbanes-Oxley Act)、“信息系統(tǒng)等級保護”等法律法規(guī)也紛紛對運維人員的操作行為審計提出明確要求。運維堡壘機作為運維安全審計產品將成為信息系統(tǒng)安全的最后一道防線，其作用也將越來越重要，應用范圍快速擴展到各個行業(yè)的信息系統(tǒng)，同時自身發(fā)展也出現(xiàn)了新的趨勢。因此在當前的形勢之下，讓大家更加清楚的了解堡壘機的發(fā)展歷史和趨勢就十分必要了。

    堡壘機的起源

2000年前后，隨著全球信息技術的不斷發(fā)展和信息化建設的不斷進步，電信、財政、稅務、公安、金融、電力、石油等重要行業(yè)的大型機構和企業(yè)內網(wǎng)中，開始使用數(shù)量較多的服務器主機來運行關鍵業(yè)務，并逐步把服務器主機集中到機房中統(tǒng)一管理。隨著服務器的大集中和IT系統(tǒng)的日趨復雜，系統(tǒng)管理員、系統(tǒng)運維人員、系統(tǒng)應用高權限用戶、第三方廠商的維護人員以及其他臨時高權限人員等不同背景的運維人員開始給企業(yè)信息系統(tǒng)安全運行帶來較大的潛在風險。同時，隨著薩班斯法案等合規(guī)性法律要求開始生效，企業(yè)的經(jīng)營活動，企業(yè)管理、項目和投資等，都要有控制和審計手段。管理人員需要有有效的技術手段和專業(yè)產品來控制、限制和追蹤用戶的行為，判定用戶的行為是否對企業(yè)內部網(wǎng)絡的安全運行帶來威脅。因此，運維堡壘機應運而生。

    第一代堡壘機

跳板機可被稱為第一代堡壘機。2000年左右，高端行業(yè)用戶為了對運維人員的遠程登錄進行集中管理，會在機房里部署跳板機。跳板機就是一臺服務器，維護人員在維護過程中，首先要統(tǒng)一登錄到這臺服務器上，然后從這臺服務器再登錄到目標設備進行維護。但跳板機并沒有實現(xiàn)對運維人員操作行為的控制和審計，使用跳板機過程中還是會有誤操作、違規(guī)操作導致的操作事故，一旦出現(xiàn)操作事故很難快速定位原因和責任人。

    第二代堡壘機

由于跳板機存在的各類問題，出現(xiàn)了改進后的第二代堡壘機。第二代堡壘機被部署在外部網(wǎng)絡和企業(yè)內部網(wǎng)絡之間，提供對內部網(wǎng)絡特定資源的安全訪問，主要采用SSL ×××方式工作。對內部網(wǎng)絡特定資源的訪問則必須先登錄到堡壘機上方可完成。主要滿足用戶對最常用的運維協(xié)議的功能性需求，支持對文本類（如Telnet，SSH）和圖形類（如RDP）等運維協(xié)議的審計。

    第三代堡壘機

隨著運維審計需求的增多，用戶對堡壘機支持的協(xié)議種類需求越來越多，第二代堡壘機在響應這些需求方面顯得力不從心，因此，出現(xiàn)了采用協(xié)議代理的方式的第三代堡壘機，它切斷了終端計算機對網(wǎng)絡和服務器資源的直接訪問，接管了終端計算機對網(wǎng)絡和服務器的訪問。第三代堡壘機綜合了更多的用戶應用需求，其支持的協(xié)議相應增加了如數(shù)據(jù)庫協(xié)議、web應用協(xié)議等。目前市面上銷售的堡壘機大多屬于第三代堡壘機。

    下一代堡壘機會是什么樣呢？

目前部分運維堡壘機廠商的產品普遍存在以下問題：

1.  運維堡壘機成為了新的系統(tǒng)脆弱點。由于運維堡壘機是連接前后端的唯一途徑，首當其沖成為了被***的重要目標，風險加大。因此應該盡量減少系統(tǒng)加載的服務或模塊，從而盡可能減少可被***的風險。

2. 部署困難，管理繁瑣，用戶操作體驗不佳。特別是在管理設備種類較多、設備數(shù)量規(guī)模較大的情況下，存在配置界面復雜，操作方式不連貫，部署費工費時等問題。

尚思卓越公司的研發(fā)團隊多年致力于提供全球領先的運維風險管理服務，他們預測，下一代堡壘機應該是智慧的堡壘機，能充分感知用戶的需求，做到操作智能、安全可靠。

尚思卓越公司的研發(fā)團隊認為，下一代堡壘機將通過一種更智慧的方法來改變運維人員和IT基礎設施交互的方式，顯著提高交互的安全性、合規(guī)性、效率、靈活性和響應速度，既能很好地解決運維操作風險，又能便捷支持各類運維終端應用，部署簡單使用方便，使得管理者將會從復雜的運維管理中解脫出來，而專注于提升數(shù)據(jù)中心的核心價值。