堡垒机架构

堡垒机的主要作用权限控制和用户行为审计,堡垒机就像一个城堡的大门,城堡里的所有建筑就是你不同的业务系统 , 每个想进入城堡的人都必须经过城堡大门并经过大门守卫的授权,每个进入城堡的人必须且只能严格按守卫的分配进入指定的建筑,且每个建筑物还有自己的权限访问控制,不同级别的人可以到建筑物里不同楼层的访问级别也是不一样的。还有就是,每个进入城堡的人的所有行为和足迹都会被严格的监控和纪录下来,一旦发生犯罪事件,城堡管理人员就可以通过这些监控纪录来追踪责任人。

堡垒要想成功完全记到他的作用,只靠堡垒机本身是不够的, 还需要一系列安全上对用户进行限制的配合,堡垒机部署上后,同时要确保你的网络达到以下条件:

  • 所有人包括运维、开发等任何需要访问业务系统的人员,只能通过堡垒机访问业务系统

    • 回收所有对业务系统的访问权限,做到除了堡垒机管理人员,没有人知道业务系统任何机器的登录密码
    • 网络上限制所有人员只能通过堡垒机的跳转才能访问业务系统
  • 确保除了堡垒机管理员之外,所有其它人对堡垒机本身无任何操作权限,只有一个登录跳转功能
  • 确保用户的操作纪录不能被用户自己以任何方式获取到并篡改  

堡垒机功能实现需求

业务需求:

  1. 兼顾业务安全目标与用户体验,堡垒机部署后,不应使用户访问业务系统的访问变的复杂,否则工作将很难推进,因为没人喜欢改变现状,尤其是改变后生活变得更艰难
  2. 保证堡垒机稳定安全运行, 没有100%的把握,不要上线任何新系统,即使有100%把握,也要做好最坏的打算,想好故障预案

功能需求:

  1. 所有的用户操作日志要保留在数据库中
  2. 每个用户登录堡垒机后,只需要选择具体要访问的设置,就连接上了,不需要再输入目标机器的访问密码
  3. 允许用户对不同的目标设备有不同的访问权限,例:
    1. 对10.0.2.34 有mysql 用户的权限
    2. 对192.168.3.22 有root用户的权限
    3. 对172.33.24.55 没任何权限
  4. 分组管理,即可以对设置进行分组,允许用户访问某组机器,但对组里的不同机器依然有不同的访问权限    

设计表结构:

最新文章

  1. 在ubuntu/deepin/mint等系统中使用命令删除文件或文件夹
  2. SAP 采购订单收货时报错:对于采购订单xxxx无收货可能
  3. 整理BOM时写的关于拆分单元格的VB代码
  4. [译]angularjs directive design made easy
  5. 【Cocos2d-Js基础教学(7)界面UI更新方法(会用到第三方类库)】
  6. Android TextView结合SpannableString使用
  7. LINQ,EF联合查询join
  8. mac webstrom在线激活
  9. CSS写动态下拉菜单 -----2017-03-27
  10. Java中swap()实现
  11. CSS3阴影 box-shadow的使用总结
  12. 编程:在屏幕中间分别显示绿色、绿底红色、白底蓝色的字符串 'welcome to masm!'
  13. Oracle Rac创建表空间及用户
  14. XML相关知识
  15. 428 Setup MySQL + - 改
  16. linux时区和时间设置
  17. html:class名命名规范
  18. asp.net 基础内容
  19. swift4.2 - UIDynamic
  20. Django 创建第一个项目

热门文章

  1. Linux系统中配置jdk
  2. Android之HttpURLConnection
  3. python出输出字符串方式:
  4. C++中string查找和取子串和整形转化
  5. Javascript 截取2位小数
  6. 理解soft-clipped reads
  7. Java getResourceAsStream() 方法会缓存文件的问题
  8. Sql Server 2008卸载后再次安装一直报错
  9. hibernate(1)
  10. json改造优化无刷新分页