有不少朋友讓我分享一些堡壘機(jī)的選購(gòu)經(jīng)驗(yàn)，這是由于他們知道我從07年開始先后在多個(gè)公司任職IT運(yùn)維部門的負(fù)責(zé)人，并為公司選購(gòu)并部署過(guò)從傳統(tǒng)堡壘機(jī)到云堡壘機(jī)的多款產(chǎn)品，積累了不少的經(jīng)驗(yàn)。我們知道，堡壘機(jī)的主要功能是做一個(gè)IT系統(tǒng)的看門人，任何人都只能通過(guò)堡壘機(jī)作為門戶單點(diǎn)登錄系統(tǒng)。

堡壘機(jī)不僅集中管理和分配全部賬號(hào)，更重要的是能對(duì)運(yùn)維人員的運(yùn)維操作進(jìn)行嚴(yán)格審計(jì)和權(quán)限控制，確保運(yùn)維的安全合規(guī)和運(yùn)維人士的最小化權(quán)限管理，堡壘機(jī)出現(xiàn)可以解決許多切實(shí)的問(wèn)題。在沒有部署堡壘機(jī)以前，很多公司都會(huì)遇到不少安全運(yùn)維問(wèn)題，比如：

a)登錄賬號(hào)管理混亂，多個(gè)用戶使用一個(gè)賬號(hào)或者一個(gè)用戶使用多個(gè)賬號(hào)；

b)運(yùn)維權(quán)限劃分不明，越權(quán)操作頻頻發(fā)生；

c)認(rèn)證方式過(guò)于簡(jiǎn)單，無(wú)雙因子認(rèn)證賬號(hào)容易丟失被盜；

d)對(duì)運(yùn)維過(guò)程沒有監(jiān)控措施，出現(xiàn)網(wǎng)絡(luò)安全故障難以排查原因和準(zhǔn)確追責(zé)。

而以上這些問(wèn)題都可以通過(guò)堡壘機(jī)來(lái)解決，作為看門人的堡壘機(jī)其嚴(yán)格管控能力十分強(qiáng)大，能在很大程度上的攔截非法訪問(wèn)，和惡意攻擊，對(duì)不合法命令進(jìn)行命令阻斷，過(guò)濾掉所有對(duì)目標(biāo)設(shè)備的非法訪問(wèn)行為，并對(duì)內(nèi)部人員誤操作和非法操作進(jìn)行審計(jì)監(jiān)控，以便事后責(zé)任追蹤。

市面上堡壘機(jī)很多，那么該如何選購(gòu)呢？我主要根據(jù)自己的經(jīng)驗(yàn)，從幾個(gè)要點(diǎn)進(jìn)行分析和比較，分享給大家參考。

首先說(shuō)下傳統(tǒng)的堡壘機(jī)，多為軟硬件結(jié)合且價(jià)格昂貴，其管控能力十分強(qiáng)大，是銀行、國(guó)營(yíng)大型企業(yè)IT運(yùn)維團(tuán)隊(duì)的首要選項(xiàng)。傳統(tǒng)堡壘機(jī)的缺點(diǎn)是，價(jià)格很高動(dòng)輒數(shù)十上百萬(wàn)，而且部署起來(lái)困難，需要專業(yè)的團(tuán)隊(duì)統(tǒng)籌部署，維護(hù)成本高。同時(shí)對(duì)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)侵入大，軟件和硬件升級(jí)都不方便，并不怎么適合中小型企業(yè)、一般創(chuàng)業(yè)企業(yè)。

如果你的團(tuán)隊(duì)規(guī)模不是超大型，服務(wù)器的數(shù)量不是過(guò)萬(wàn)臺(tái)級(jí)別，那么我主要建議大家選購(gòu)我們的堡壘機(jī)即可。在選購(gòu)合適的堡壘機(jī)之前，首先分解一下堡壘機(jī)的主要選購(gòu)指標(biāo)。

1、侵入性：如果要每臺(tái)主機(jī)安裝Agent，安全性不好保障，工作量也大。對(duì)于局域網(wǎng)主機(jī)而言，最好是只需要在網(wǎng)絡(luò)內(nèi)安裝一個(gè)代理軟件即可，保持其它主機(jī)的純凈和安全。如果是公有云主機(jī)，最好是支持API導(dǎo)入，方便快捷；

2、審計(jì)方式：這點(diǎn)要特別注意，目前很多堡壘機(jī)只有錄像審計(jì)，事實(shí)上如果真要回溯追責(zé)，光靠錄像可是不夠的，誰(shuí)會(huì)有那么多時(shí)間去逐幀看錄像呢！所以最好是要有指令審計(jì)，比如追查是誰(shuí)刪除了某個(gè)文件，只需輸入文件名即可檢索。還有一些堡壘機(jī)是不支持Windows指令審計(jì)的，如果您的主機(jī)包含了Windows，可一定要求具備Windows指令審計(jì)功能哦；Windows服務(wù)器指令檢索

3、安全性：要支持身份授權(quán)、訪問(wèn)控制、雙因子認(rèn)證等安全策略。同時(shí)還要有高危命令阻斷功能，要能夠設(shè)置命令的黑白名單，主動(dòng)攔截高危命令；雙因子驗(yàn)證登錄

4、配套功能考慮：是否具備其它運(yùn)維相關(guān)功能，比如主機(jī)監(jiān)控、遠(yuǎn)程協(xié)同、自動(dòng)化運(yùn)維。需要注意的是，堡壘機(jī)對(duì)于自動(dòng)化運(yùn)維的影響，如果堡壘機(jī)成為自動(dòng)化運(yùn)維的羈絆，那么可就得不償失了；

5、部署難度：部署難度是否大，一般SaaS模式是無(wú)需部署的，免維護(hù)，這對(duì)于小團(tuán)隊(duì)來(lái)說(shuō)非常適用，能夠減少很大的人力成本；

6、產(chǎn)品更新頻率：既然是堡壘機(jī)，那么產(chǎn)品的更新迭代頻率應(yīng)該要快，不能像傳統(tǒng)堡壘機(jī)一樣幾年不更新，畢竟產(chǎn)業(yè)發(fā)展的速度是很快的；

7、價(jià)格：選擇堡壘機(jī)的用戶一般來(lái)說(shuō)對(duì)價(jià)格較敏感，在能夠滿足需求的前提下，自然是越便宜越好。

以上這些指標(biāo)基本涵蓋的堡壘機(jī)的主要選購(gòu)點(diǎn)，您可以根據(jù)所在公司和自己團(tuán)隊(duì)的實(shí)際需求情況來(lái)標(biāo)示要點(diǎn)，根據(jù)這些要點(diǎn)對(duì)不同的堡壘機(jī)品牌進(jìn)行比較，選出最合適的即可。目前市場(chǎng)上的堡壘機(jī)品牌也較多，至于價(jià)格嘛，我們的堡壘機(jī)應(yīng)該都屬于大家能接受的范圍，相對(duì)傳統(tǒng)堡壘機(jī)來(lái)講，真的是非常實(shí)惠的?？偟膩?lái)說(shuō)，選購(gòu)堡壘機(jī)并非越貴的就越好，而是要綜合考量各項(xiàng)指標(biāo)與運(yùn)維團(tuán)隊(duì)本身的契合度，以及在實(shí)際應(yīng)用中的真實(shí)需求。如果您所在的團(tuán)隊(duì)是金融、政府等對(duì)安全性要求極高的組織，建議您考慮傳統(tǒng)堡壘機(jī)。但是對(duì)于一些互聯(lián)網(wǎng)企業(yè)、創(chuàng)業(yè)企業(yè)而言，我比較傾向于向大家推薦使用我們的堡壘機(jī)，無(wú)論是從價(jià)格還是靈活性來(lái)說(shuō)他都具備優(yōu)勢(shì)。