【51CTO.com原创稿件】
一、传统堡垒机的崛起和没落
列宁曾经说过:“堡垒最容易从内部被攻破”。信息化浪潮席卷全球的这些年间,伟人这一名言已经得到充分验证。信息安全、网络安全的重大威胁不仅来自外部攻击,还来自内部的破坏。据IDC行业机构的调查数据,近年来,有超过半数的企业网络安全故障并非是因为外部攻击所导致,而是由于企业内部的不合规操作所造成的。就拿今年的亚马逊S3大规模宕机事件来说,就是由于其运维团队的程序员输错一个字母引发,这一误操作最终给亚马逊带来上千万美金的经济损失。
因此,近些年来企业该如何建设可靠的内部网络安全机制,成为一种迫切的需求,第一代堡垒机,通常称运维堡垒机或传统堡垒机解决方案也是在这个时候出现,并很快的被各大企业机构所采纳。拒不完全统计,全球500强企业中超过95%的企业采购了堡垒机,中国排名靠前的大型企业基本都上线了堡垒机系统,许多IT架构占企业比重大的中型企业也毫不犹豫的重金出手选购堡垒机来加强它们的内部网络安全。
堡垒机的技术原理是通过建立一个网络门户机制,将企业内部网络系统和外部隔离起来,任何进入企业内部网络的人必须经过堡垒机的安全过滤。堡垒机就好比一个IT系统的看门人,任何人都只能通过堡垒机单点登录内部网络系统。堡垒机不仅集中管理和分配全部账号,更重要的是能对运维人员的运维操作进行严格审计和权限控制,确保运维的安全合规和运维人士的最小化权限管理。从实际运用来看,堡垒机主要管控企业的服务器资源。
传统堡垒机在初期是相当有优势的,它们安全防护性尤为强大,通常以软硬件结合的形式部署,设备比较笨重。当然传统堡垒机部署起来也是非常复杂的,对企业现有网络结构改变很大,后期维护也不容易,小企业的IT团队往往难以完成这种技术任务。再加上传统堡垒机价格昂贵,即便是最便宜的也在数十万级别,所以即便在三五年前的传统堡垒机大放光彩的年间,也主要是被采用于不差钱的政府、国企和大型企业。这一时期国内涌现了一批不错的堡垒机供应商,如网御神州、绿盟科技、极地安全、方正安全、捷成世纪等。
然而,随着网络技术的进一步发展,尤其是移动互联网、云计算、人工智能等的发展,信息化呈现出一种全新的格局,网络已经深入民众生活的每一个角落。这给企业带来的直接挑战是,它们的IT系统唯有不断升级,采购更多的软硬件设备,招聘更多的运维人才,才能满足用户的旺盛需求。无论是大型企业、还是中小型企业都将面临更加复杂的IT系统环境和更为严峻的内部网络安全形势,系统运维的难度系数呈几何级倍增,为了应对这种挑战,即便是中小型企业也不得不花大价钱采购包括堡垒机在内的多种软硬件设备来就解决问题。
传统堡垒机因为成本高昂、难部署、难维护,对网络结构改变大等问题已经渐渐不太适应新时代下的企业IT系统。在中国,数量占大头的中小型企业渴望网络技术创新,同时又十分在意成本,传统堡垒机并不完全适合他们,这些中小型企业的IT团队正在寻找新的解决方案。就在这时,云计算技术的发展普及给了它们新的解决方案,云堡垒机顺势而生。我们知道,上云已经成为当今企业IT系统部署的主流选择,企业将他们的老旧机房关闭,并在云端租赁服务器,它们把数据和业务一一迁往云端,这给企业降低了系统维护难度而且大大减少了成本。与此同时,那些用来管理原有IT资源的传统堡垒机也面临下架,转而采用更适应云环境的云堡垒机。
二、云堡垒机取代传统堡垒机成为市场热点
所谓云堡垒机,就是基于云计算的堡垒机系统,云堡垒机没有硬件,以软件和其他形式提供服务,获取起来极为方便,理论上可以达到秒级部署。云堡垒机的灵活性远非传统堡垒机可比,单单从改变网络结构这一项上看,传统堡垒机会对企业已有的IT结构深度接入,维护和拓展起来非常麻烦;而云堡垒机通常是旁路部署,比较少改变甚至不改变已有的网络结构,拓展起来可以快速到位。互联网时代速度至关重要,这种甚少改变网络结构的优势是很有意义的,它可以大比例提高云堡垒机部署和拓展效率。更为重要的是,云堡垒机价格便宜、维护成本低,维护简单甚至不用维护,它很适合应用于中小型企业,弥补传统堡垒机的短板。
基于诸多优点云堡垒机近两年开始大受欢迎,是许多企业IT运维团队的选购重点。IDC行业报告显示,2019年中国IT安全市场规模将达294亿元,其中服务器安全市场的年增长率稳定在10%以上,而服务器安全的主要产品之一就是堡垒机。这种增长得益于越来越多的中小企业正在寻购云堡垒机类服务器安全产品,有需求就会有供应,事实上,目前市面上涌现出来的云堡垒机已经有不少,像安恒、行云管家、碉堡、云匣子等等,可以称之为初代云堡垒机。
初代的主要功能和传统堡垒机基本相似,即承担看门人的职能,拦截非法访问和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为,并对内部人员误操作和非法操作进行审计监控,以便事后责任追踪。不同的是,这些云堡垒机基于产品定位,其优势和侧重点各有不同。像安恒和碉堡云专注做安全审计,不提供额外的功能。而行云管家提供一站式IT运维管理平台,除了堡垒机,还拓展到主机监控、自动化运维等丰富功能。
比较有意思的是,行云管家是以SAAS形式提供服务,企业用户在WEB端登录并导入云服务器就可以获取堡垒机服务。从本质上来讲,这是一种商业模式的创新,进一步降低了中小型企业部署的难度。在以往,企业需要先对自身网络环境、IT资产等进行梳理,以适配堡垒机的部署,而现在就简单了,企业的IT人员只需要在浏览器登录堡垒机服务提供平台,再把服务器添加进去就可以立即使用。这种以SAAS形式提供的堡垒机也是有缺点的,就是受限于供应商的现有技术能力,其功能会相对传统堡垒机弱一些,所幸的是这种简单就能获取的堡垒机服务价格低廉,和传统堡垒机的大笔花费比起来简直不值一提。
传统堡垒机之所以还有相当的市场,主要是因为许多已经采用了那部分大型企业、政府机构等短期内难以接受大动作的改变现有的IT系统,况且许多大型企业对云计算的信任度还有待提高,他们依旧还在怀疑云是否安全?云堡垒机是否稳定?然后我们不得不承认的是,云计算已经是既定事实,政府也将发展云提升到国家战略层次并且制定了很多行动计划。无论从政策、经济、技术的角度看未来,依托云之下的众多网络服务包括云堡垒机在内,已经迎来历史性发展机遇,最终将会是全面开花的繁荣局面。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】