开发者学习笔记【阿里云云安全助理工程师认证(ACA)课程:01-基础设施安全-6-云堡垒机-ACA】
课程地址:https://edu.aliyun.com/course/3111981/lesson/18870
01-基础设施安全-6-云堡垒机-ACA
内容介绍:
一、云堡垒机产品简介
二、云堡垒机功能特性
三、云堡垒机快速入门
一、云堡垒机产品简介
以下是阿里云官网上关于云堡垒机的功能介绍截图:
据此可以发现,堡垒机是一款核心系统运维和安全审计的管控平台,为操作人员提供统一的运维入口,集认证、授权、审计于一体,具备了高效运维、身份鉴别、全线监控、高危阻断、审计溯源及合规遵循等特点。
1、高效运维
堡垒机提供了统一的入口管理,同时支持双因素的认证,增加了认证的强度,此外,也解决了登录分散的问题,还可以给每位登录的用户赋以细粒度的全线管控。通过以下张架构图我们可以发现:
把不同运维侧的人员统一的收敛至堡垒机,再以堡垒机为跳板登陆最终的服务器。对于非保垒机用户,或者试图绕过堡垒机的运营人员会默认被禁止。
综上,通过该种登录原理,可以增加资产的安全性。
2、安全运维
云堡垒机提供多因子的身份鉴别以及非法行为的阻断和安全事件的追溯能力。
多因子身份鉴别可以提供除密码之外的其他验证手段增强认证,例如短信验证码、动态令牌等。对于非法行为的阻断可以实现高危命令的及时拦截以及进行风险操作时的阻断能力;对于登录的用户,可以提供详细的日志记录,还可以录播的形式全量还原操作行为。
3、高效安全运维
即在高效的基础上又叠加了安全的能力。
通过事前准备、事中拦截以及事后审计来进行描述。事前准备可以实现统一用户身份的收敛以及权限的划分;事中拦截可以精准实现高危行为的拦截以及越权操作审批能力;事后审计可以支持通过日志查询以及录播的形式回放,进行事件过程的还原。通过事前、事中和事后的维度综合实现了高效运维和安全管理与防护的特点。
4、堡垒机的运维逻辑
云堡垒机是基于协议正向代理实现的,通过下图可以发现:
从运维人员操作的pc电脑,基于向SSH/RDP协议登录堡垒机,以这台堡垒机为跳板跳转到最终的服务器,据此堡垒机就可以实现运维协议的数据流全程记录,以及权限统一分配等功能。通过协议数据流重组的方式进行录像回放,以此达到运维审计的目的。
5、云化架构(云堡垒机在云上的架构)
首先,堡垒机云上的架构是基于计算和存储分离的一种架构。通过架构图,可以发现:
前端的计算主要是由阿里云ECS集群提供的,产生的一些结构化以及非结构化的数据是由后端的存储类产品来进行承载的,例如日志服务、oss对象存储以及rds数据库等。通过云上架构,可以有效提高服务的高可用性,实现规模的自动扩展,也可提高数据的安全性。由于写入的每条日志会被自动保存为三份,在磁盘损坏的情况下,也可以实现数据的自动恢复;同时,基于云原生的架构,还大大提高了服务的稳定性。
二、云堡垒机的功能特性
1、功能特性
(1)双引擎架构
云堡垒机基于双引擎的架构,分为基础版和高可用版。基础版适用于业务较小的场景,运维侧使用的人员不多,连接的实时性不强;高可用版相较于基础版就更适合一些较大的业务场景。
通过上图,可以发现在前端的计算部分采用分布式的SLB,负载均衡的架构提高了堡垒机业务的可用性,适用于像电商、金融、游戏等高并发、高实时的行业客户,以及1000资产以上规模的运维场景,通过高可用的架构分担了业务的压力,提高了运维的效率。
(2)按需弹性扩容
①业务弹性扩容
可以随着业务的增长实现一键扩容,其适用于资产数量的急剧增加的情境,适于升配或功能升级。
②带宽和存储空间的弹性扩容
带宽包的升级适用于运维线下的服务或者跨区域运维的场景,且多为占用带宽较高的RDP及其他的图形类协议;存储扩展包适用运维量比较大、持续的时间较长并且存储的日志保留的时间较久的场景。
③国际化适配
以下是阿里云的国际站英文的界面:
通过云堡垒机的购买界面,可以看到在国际站选配的界面与中文版的结构几乎一样,除了可以选择中国大陆各地域的云堡垒机资源以外,还开通了亚太地区、欧洲地区以及美洲地区和中东及印度等地区的资源,也同样支持业务弹性选配、带宽的选配以及存储容量的选配等。同时,在海外节点选配的云堡垒机也支持手机号双因子认证的适配。
综上所述,云堡垒机为一些跨国用户,如电商、游戏、金融等行业的运维侧能力提供了有力的支撑。
2、云堡垒机的优势
主要分为以下三个方面:
(1)云化的架构
即基于主机与存储分离的架构,提供更稳定、更灵活、更安全的产品特性,同时减少硬件的维护成本,支持存储及带宽资源的弹性扩展。
(2)支持一键同步功能
即支持阿里云云上资产的一键导入,同时配合RAM及AD域的功能,实现用户同步及统一的认证和授权功能。
(3)广泛的应用场景
支持国际站、海外区域的部署,以及英文、繁体、国际手机号的双因素的认证适配能力,同时还支持异构云、线下IDC等混合运维。
3、混合云场景下,云堡垒机的部署方案
观察以下架构图:
在原运维模式下,云上保垒机要触达线下向IDC以及异构的云平台,需要通过拉专线的方式或者通过资产的公网IP对外映射的方式进行链接。
但这两种方式也带来了一些问题,如专线的成本较高、全开放公网IP不安全等。
在现有的方案中,相比于原有的运维模式,增加了代理服务器的角色,通过云堡垒机公网链接代理服务器,以代理服务器为跳板统一对内部的主机进行连接,有效地规避了全开放公网IP的风险,更加安全,客户部署也更加便捷。
4、云堡垒机产品的选型逻辑
云堡垒机选型过程中,最重要的参数有三个,分别为资产数量、并发会话数以及公网带宽。资产数量就代表堡垒机可以管理到的服务器资产的数量,并发会话数表示同一时间可以通过堡垒机连接的运维会话数,即SSH和RDP等远程链接的数量,公网带宽表示同一时间可以在公网访问云堡垒机以及云堡垒机通过公网链接服务器资源所需要的带宽,往往这一参数与运维的协议以及运维过程中所使用的实际带宽相关联。
选型应遵照资产数和并发会话数最大的参数作为标准选择规格,如某企业在阿里云上有“50资产,100并发”,根据选型原则应以最大的参数作为选型标准,则在所给的各类型号的堡垒机中应选“100资产 100并发”款型号的云堡垒机。
5、云堡垒机全球化部署
阿里云云堡垒机覆盖北美、中东、新加坡、澳大利亚、中国大陆以及香港等地域,无论客户的业务部署在全球的哪个节点,都可以就近使用云堡垒机的资源。
对于一些业务横跨海外及大陆地区或者大陆以外的多个国家的企业,维侧还需要较大的并发链接以及公网带宽资源,阿里云云保垒机可以满足上述要求,在不同地域之间通过阿里云的云堡垒机集群提供高可用的能力,网络侧通过阿里云的骨干网络实现全球网络加速的效果。基于此也支持了较大的网络并发场景。
综上所述,阿里云云堡垒机为企业各类由简单到复杂的运维环境提供有力的支撑。
三、云堡垒机快速入门
云堡垒机的接入方式包括创建主机、创建用户、运维授权以及主机运维。
1、创建主机
分为三种方式,一种是手动导入,一种是导入现有云上的ECS主机,最后一种是通过文件的方式导入来添加主机。
2、创建用户
也分为三种方式,分别为导入RAM的用户、新增本地用户、通过本地的文件导入创建本地用户。
3、运维授权
为新添加的用户设置访问权限,以及访问主机时可使用的凭据等。
4、主机运维
即堡垒机开放的公网以及内网运维的地址,以及堡垒机运维相关端口号。
相关的操作如下图:
通过以上四个步骤,就可以快速的使用云堡垒机进行运维操作。
