網友9984aa7 2013-06-26

單點登入功能、賬號管理、身份認證、資源授權、訪問控制、操作審計。介紹同一樓~~，碉堡堡壘機具備這些功能

老男孩教育 2021-12-15

第一、訪問控制

支援不同使用者制定不同策略的雲堡壘機，細粒度的訪問控制可以最大限度地保護使用者資源的安全，防止非法、越權訪問事件的發生。備用基於使用者、目標裝置、時間、協議類IP、行為等因素，實現細粒度操作授權，最大限度地保護使用者資源的安全。

第二、操作審計

可以審計字串、圖形、檔案傳輸、資料庫等全過程操作行為，透過裝置影片實時監控作業系統、安全裝置、網路裝置、資料庫等操作，並控制非法行為，終端指令資訊可以準確搜尋，影片可以準確定位。

第三、登入功能

支援資料庫、網路裝置、安全裝置等一系列授權賬戶自動更改密碼週期，簡化密碼管理，使用者無需記憶多個系統密碼即可自動登入目標裝置，方便安全。

第四、賬戶管理

裝置支援統一的賬戶管理策略，可以集中管理所有伺服器、網路裝置、安全裝置等賬戶，完成對賬戶整個生命週期的監控，裝置可以設定特殊的角色，比如審計檢查員、運輸操作員、裝置管理員等。

第五、身份認證

裝置提供統一的認證介面，對使用者進行認證，支援身份認證模式包括動態口令、靜態密碼、硬體Key、生物特徵等多種認證方式，裝置具有靈活的定製介面，可以與其他第三方認證伺服器之間結合；安全的認證模式，有效提高了認證的安全性和可靠性。

陳寶佳_DevOps 2018-11-16

目前市面上比較流行的雲堡壘機像安恆雲、行雲管家、雲匣子等等，他們的主要功能基本相似，但優勢和側重點各有不同。

如果我們的團隊規模不是超大型，伺服器的數量不是過萬臺級別，那麼主要建議大家選購雲堡壘機即可。在選購合適的雲堡壘級之前，首先分解一下雲堡壘機的主要選購指標。

1、侵入性：如果每臺主機都必須安裝Agent，這樣對安全性不好保障，工作量也大。對於區域網主機而言，最好是隻需要在網路內安裝一個代理（Proxy）軟體即可，保持其它主機的純淨和安全。如果是公有云主機，最好是支援API匯入，方便快捷；

2、審計方式：這點要特別注意，目前很多堡壘機只有錄影審計，事實上如果真要回溯追責，光靠錄影可是不夠的，誰會有那麼多時間去逐幀看錄影呢！所以最好是要有指令審計，比如追查是誰刪除了某個檔案，只需輸入檔名即可檢索。還有一些堡壘機是不支援Windows指令審計的，如果您的主機包含了Windows，可一定要求具備Windows指令審計功能哦；

3、安全性：要支援身份授權、訪問控制、雙因子認證等安全策略。同時還要有高危命令阻斷功能，要能夠設定命令的黑白名單，透過正則匹配的方式主動攔截高危命令；

4、配套功能考慮：是否具備其它運維相關功能，比如主機監控、遠端協同、自動化運維。需要注意的是，堡壘機對於自動化運維的影響，如果堡壘機成為自動化運維的羈絆，那麼可就得不償失了；

5、部署難度：部署難度是否大，一般SaaS模式是無需部署的，免維護，這對於小團隊來說非常適用，能夠減少很大的人力成本；

6、產品更新頻率：既然是雲堡壘機，那麼產品的更新迭代頻率應該要快，不能像傳統堡壘機一樣幾年不更新，畢竟產業發展的速度是極快的；

7、價格：選擇雲堡壘機的使用者一般來說對價格較敏感，在能夠滿足需求的前提下，自然是越便宜越好；

以上這些指標基本涵蓋的雲堡壘機的主要選購點，我們可以根據所在公司和自己團隊的實際需求情況來標示要點，根據這些要點對不同的雲堡壘機品牌進行比較，選出最合適的即可。

4。1、幾款主流“雲堡壘機”橫向對比

目前市場上的雲堡壘機品牌也較多，這裡想以安恆雲、雲匣子、行雲管家、三個產品來介紹，之所以選擇這三款產品，是因為它們屬於雲堡壘機領域做得不錯的產品。

安恆雲、雲匣子、行雲管家三者對現有網路體系和主機的侵入性都比較低（都是旁路部署），其中安恆雲和雲匣子只支援私有部署（私有部署既需安裝在自己的伺服器上或者重新購買一臺伺服器用以部署雲堡壘機服務），不提供SaaS模式，運維成本也相對較高（SaaS模式：軟體既服務，開箱既用不需額外的伺服器來部署）。而行雲管家同時支援SaaS模式和私有部署模式（私有部署模式支援高可用），這樣也給我們有更多的選擇餘地和解決不必要的運維成本開支，安全性和服務可用性也大大提高。

因為如果我們只能選擇私有部署模式，那麼一定要考慮是否支援高可用，如果是私有部署不支援高可用，宕機了雲堡壘機的服務也就停止了。

在審計方式層面，三者都支援指令審計，但只有行雲管家能夠支援全系列Windows的指令審計，安恆雲無法支援Windows2012和2016。

在產品定位上，安恆雲專注做安全審計一點，沒有提供額外的其它功能，而行雲管家提供的是一個一站式的IT運維管理平臺，除了堡壘機，還有主機監控、自動化運維、跨雲統一管理、檔案傳輸、遠端協同等相對較豐富的功能，基本上你想的到的功能都有。

另外值得一提的是，行雲管家產品更新頻率較快，三週左右一個新版本，經常會推出一些新功能，其它兩款產品更新較少。

至於價格嘛，雲堡壘機應該都屬於大家能接受的範圍，相對傳統堡壘機來講，真的是非常實惠的。

總的來說，選購堡壘機並非越貴的就越好，而是要綜合考量各項指標與運維團隊本身的契合度，以及在實際應用中的真實需求。如果您所在的團隊是金融、政府等對安全性要求極高的組織，建議您考慮傳統堡壘機。但是對於一些網際網路企業、創業企業而言，我比較傾向於向大家推薦使用雲堡壘機，無論是從價格還是靈活性來說他都具備優勢。況且隨著雲計算市場的發展，上雲成為主流，未來的堡壘機發展趨勢也必然是偏向於雲堡壘機。

傳送門：行雲管家

wrewqdqwdwq 2013-06-24

單點登入功能

支援對X11、linux、unix、資料庫、網路裝置、安全裝置等一系列授權賬號進行密碼的自動化週期更改，簡化密碼管理，讓使用者無需記憶眾多系統密碼，即可實現自動登入目標裝置，便捷安全。

賬號管理

裝置支援統一賬戶管理策略，能夠實現對所有伺服器、網路裝置、安全裝置等賬號進行集中管理，完成對賬號整個生命週期的監控，並且可以對裝置進行特殊角色設定如：審計巡檢員、運維操作員、裝置管理員等自定義設定，以滿足審計需求

身份認證

裝置提供統一的認證介面，對使用者進行認證，支援身份認證模式包括動態口令、靜態密碼、硬體key 、生物特徵等多種認證方式，裝置具有靈活的定製介面，可以與其他第三方認證伺服器之間結合；安全的認證模式，有效提高了認證的安全性和可靠性。

資源授權

裝置提供基於使用者、目標裝置、時間、協議型別IP、行為等要素實現細粒度的操作授權，最大限度保護使用者資源的安全

訪問控制

裝置支援對不同使用者進行不同策略的制定，細粒度的訪問控制能夠最大限度的保護使用者資源的安全，嚴防非法、越權訪問事件的發生。

操作審計

裝置能夠對字串、圖形、檔案傳輸、資料庫等全程操作行為審計；透過裝置錄影方式實時監控運維人員對作業系統、安全裝置、網路裝置、資料庫等進行的各種操作，對違規行為進行事中控制。對終端指令資訊能夠進行精確搜尋，進行錄影精確定位。

碉堡堡壘機軟體可以實現這些功能，可以下載試用一下。