朝花夕拾4-Jumpserver堡垒机
下面聊一下公司运维对堡垒机的需求情况,公司做系统集成有供应商若干个每个供应商有工程师若干人,以网络项目为主包括FW,Router,vmware,各种portal等, 分布在各个DC或客户机房。其他--远程应用,作业中心(跑playbook),个性化,db资产,高清rdp,录像云存储,k8s运维等。3.堡垒机的维护,升级及硬件扩容;3. 账号管理全面整合,支持列表,模板,收集,推送等,更容易发现僵尸
之前管理过公司堡垒机一段时间有所了解,整理一下。
堡垒机可以解决访问控制、行为审计、安全防护等,顺便满足等保需求,通俗来说主要解决哪些运维人员,在哪些时间,用何种方式可以访问哪些设备的问题。
4A核心能力的具体含义:
常见的传统品牌有齐治,安恒,启明星辰,绿盟,以管理本地资产为主;
云厂商有:阿里云,腾讯云,华为云等,以管理云上服务为主。
典型行业应用场景有:金融,制造, 政府国企,服务业,医疗医药,房地产及酒店。
公司使用的是Jumpserver,官网JumpServer - 开源堡垒机 - 官网,适应多云环境开源好用。
主要功能有:
身份验证--登录,MFA,x-pack,登陆限制(时间段,黑白名单)
授权控制--多维度,资产授权,动作授权,时间授权,命令过滤,文件管理
账户管理--账号的列表模板和推送,x-pack功能里有收集改密和备份
安全审计--会话,路线,命令,文件传输等审计,登录改密作业活动等日志
其他--远程应用,作业中心(跑playbook),个性化,db资产,高清rdp,录像云存储,k8s运维等
以下是Jumpserver V3的基本架构
V3共有三种连接方式分别是
1.基于原始协议级实现的本地客户端连接方式
2.基于Web实现的Web连接方式
3.RemoteApp实现代理的远程应用连接方式,支持应用商店几十种APPFIT2CLOUD 飞致云 - 应用商店
新增的组件magnus用于代理直连数据库,chen用于webGUI连接数据库。
下面聊一下公司运维对堡垒机的需求情况,公司做系统集成有供应商若干个每个供应商有工程师若干人,以网络项目为主包括FW,Router,vmware,各种portal等, 分布在各个DC或客户机房。
如何解决互信问题:
1.运维人员和堡垒机之间:sslvpn,特定信任地址段,dc内网,mfa,工单授权
2.堡垒机和客户网之间:出口IP,sslvpn(含跳板机mac,主机ID),ipsecVPN,特定网络
日常工作内容:
1.堡垒机三台主机日常管理,包括负载,监控,虚机的创建删除等
2.外网防火墙上各种VPN和策略的管理(根据项目需求),安全过滤及hostcheck等
3.堡垒机的维护,升级及硬件扩容;和厂家互动解决各种性能空间和用户咨询等问题
4. 几十台windows跳板机管理,杀软的管理;几百个账号运维
关于测试过的V3新功能:
1. 账号定时自动改密,改密结果邮件通知人员,测试过windows和linux,forti思科各种设备是可以的。因为原理上是特权用户ssh上去执行ansible剧本,有些提交生效缓慢如paloalto,或本身不提供命令行的设备并不支持自动改密。
2. 账号推送:测试过windows和linux,直到3.5仍不支持网络设备;
3. 账号代填,通过应用发布机将web网页的用户名代码通过windows2019的远程应用能力可以自动填好,这样可以避免账密在运维人员侧丢失或泄露;
支持的web元素定位方式:ID,name,CSS,Xpath四种;
对连接设备的代填测试过:windows和linux; Forti,思科,Ivanti等web或命令行测试均可以。
Jumpserver V3的特点有:
1.资产应用统一纳管,如上述应用也可作为资产可以申请连接
2.资产账号统一关联,一个资产可以对多个账号,如思科设备一般账号和enable账号
3. 账号管理全面整合,支持列表,模板,收集,推送等,更容易发现僵尸或后门账号
4.系统平台重新设计,可以clone既存平台并制作个性化平台
应用发布机要求是windows server2019以上版本,干净专用环境,安装openssh,具体Remoteapp装在堡垒机一侧,不用在发布机上安装;另外要求路由上发布机到目标地址可达。
虽然ssh等cli据厂家介绍8c16G即可支持10~20连接,测试看经过32G内存的发布机连接一个paloalto的GUI要将近两分钟,参考其他厂家推荐的配置,个人认为高并发环境下发布机的性能容易成为瓶颈;另外经测试操作设备的上传下载配置,要经过发布机的个人文件夹来进行,发布机上的安全控制也容易成为安全木桶上的短板。
更多推荐
所有评论(0)