关于堡垒机
来源:https://github.com/perfectstorm88/bblog/issues/5#关于未来的趋势看法
索引
前言
医院、政府类项目中对安全的合规要求比较高,会把网络整得很复杂,由此给项目实施相关人员带来诸多不便,令很多人头大得很。俗话说“难者不会、会者不难”,从原理上搞清楚,解决问题就只剩操作步骤了。
本文的尝试是用通俗的语言还原安全相关的网络原理,非专业网络工程师也能看懂,比如产品经理、前后端的开发人员、测试人员、项目经理等。
开发环境
先从我们最熟悉的开发环境说起,如下图所示: {% asset_img 4124540583.png [dddd] %} 在我们自己的开发环境,为了效率考虑,作为技术的开发运维都是直接访问数据库、后端服务器、web服务器,作为访问用户的产品经理、测试人员,也是直接访问web服务器提供的服务。
堡垒机
对于一个要部署上线的系统,安全就变得很重要了,作为技术的开发运维不能再随意访问、操作数据库和服务器了。因此就引入了一个叫做堡垒机的东东,对数据库和服务器进行保护,如下图所示: {% asset_img 2053743094.png %}
堡垒机只能让你访问被授权的主机事先防范“事先防范、访问过程对你的行为进行监控事中控制事中控制、出了安全事故可以回看操作录像(事后溯源)。
堡垒机的原理也不复杂,网上有开源代码,见jumpserver,感兴趣的也可以自己部署一套玩玩。有的堡垒机需要专门的客户端软件,有的可以直接通过浏览器访问,相信未来以浏览器作为访问方式的会越来越多。 使用堡垒机访问数据库和服务器有多种协议,比如ssh协议用来访问linux系统、DRP协议用来访问windows桌面。
别看现在堡垒机很常见,但是出现的历史却很短,也才十几年的时间;技术人员比较讨论堡垒机,因为每次通过堡垒机操作太麻烦,但是企业大客户和政府事业单位的领导非常喜欢这玩意,所以要适应这个东西,以后会更常见的。
VPN
对于医院、政府类项目,生产环境都在封闭内网,之前都需要去企业现场才能干活,有个VPN之后,在家里就可以干活了。
尤其现在VPN客户端都挺好用,可以同时访问互联网和企业内网,只要网络够快、VPN服务器够好,在家里跟去企业现场没太大区别,所以技术人员还是很喜欢用VPN的。
现在很多情况下,运维/开发都不需要去客户驻场了,所以经常的应用场景如下所示:需要先连上VPN,再登陆堡垒机,然后才能通过堡垒机上的软件进行干活。 {% asset_img 2594537473.png %}
原理如上图所示,但实际上我们在干活时还会碰到很多意外: 1、比如有的企业会对VPN进行限制,把VPN的访问权限限制在一个很小的区域,所以在内网能打开的网页通过VPN就不能打开了。 2、在这种情况下,也是有方法可以解决的,就是让网管给你开放一台经过授权的windows主机,然后通过这条线去打开网页:操作者-》VPN-》堡垒机-》windows主机-》打开网页。
云堡垒机
最近随着云计算越来越普及,医院、政府类项目很多都在上云,云堡垒机也应运而生,其使用场景如下图所示,不必在通过VPN,可以直接登录堡垒机使用。 {% asset_img 189612217.png %}
关于未来的趋势看法:
- 堡垒机会越来越多,甚至公司内部、团队内部的一些重要数据资产,也有采用堡垒机的方式进行保护
- 现在堡垒机的运维客户端很多还需要安装软件,以后会越来越多地采用浏览器方式直接访问,而且云堡垒机的场景会越来越多
- VPN技术单一,也比较成熟了,现在还有不少乱七八糟的客户端,会越来越少的
参考
堡垒机哲学史 堡垒机是干什么的? 云堡垒机应用场景 堡垒机运维审计系统运维审计系统的基本原理与部署方式 VPN和防火墙有什么关系? 什么是VPN以及VPN的工作原理是什么?新手指南(2020年) VPN保护企业内网安全?VPN了解一下 商业VPN和个人VPN有什么区别? :