WOT2016郑赳：堡垒机的最佳部署位即是最好控制运维流量的位置

有人觉得云堡垒机只是在商业模式上有所创新，但在实际功能上与传统堡垒机没有多少区别。那么，云堡垒机与传统堡垒机到底能够解决的都是什么问题?下面我们听听专家是怎么说的。

近日，记者采访了【WOT2016互联网运维与开发者峰会】特邀讲师，安恒信息高级产品经理郑赳，就传统堡垒机和云堡垒机区别，云堡垒机功能及市场前景，企业堡垒机的部署与采购等一系列问题进行了探讨。

【讲师简介】

杭州安恒信息技术有限公司高级产品经理郑赳

郑赳，杭州安恒信息技术有限公司高级产品经理。毕业之初曾就职于一个做安全集成和安全外包服务的公司——三零卫士，2010年4月他正式加入安恒信息，开始主要负责数据库审计的产品经理，2011年，他开始兼任堡垒机产品经理，带队开发堡垒机产品。现在仍主要负责堡垒机产品，同时兼任云安全方面的运营探索。希望在云安全道路上能够不断创新，做出让自己骄傲的产品。

传统堡垒机和云堡垒机

针对传统堡垒机和云堡垒机，有些人认为云堡垒机只是在商业模式上有所创新，但在实际功能上与传统堡垒机没有多少区别。郑赳认为：“如果严格从功能角度来说，云堡垒和传统堡垒确实有百分之八九十是相同的。但云堡垒还是和传统堡垒是有区别的，比如：如何适应虚拟机迁移?如何实现按需交付、弹性扩容?如何降低云上的运维成本?如何适应混合云、异地灾备等场景。这些都是需要我们去创新、改进的，并不是将传统堡垒机软件帮上来就能够用的。”

去年9月安恒信息的云堡垒正式登陆登陆阿里云生态市场，成为第一个登陆云安全生态市场的堡垒机产品。在郑赳看来，堡垒机登陆阿里云生态市场后，取得的成绩还是非常不错的。半年多时间，不仅仅让安恒积累了一大批云上用户，也带来了不错的收入。但更重要的是帮助安恒全面进军云安全方向积累了宝贵经验。

现在安恒云堡垒机产品不仅仅在阿里云上线，腾讯云、UCLOUD、青云等已经上线，也兼容了亚马逊AWS、华为云、华三云、VMWARE、微软云等众多云平台。

谈到堡垒机的主要功能及应用领域，郑赳表示：“堡垒机解决是运维环节的安全风险控制问题，主要是实现运维人员身份管理、运维权限的控制、运维行为审计分析，然后兼顾了部分自动化运维功能。目前，安恒堡垒机的主要应用领域是政府、金融、互联网企业、运营商、教育等行业。政府行业主要满足等级保护等法律法规要求，而金融、互联网企业则更多是基于自身数据的敏感性、业务的连续性等考虑来部署堡垒机的。”

此外，他还介绍了安恒信息帮助乐视网LETV部署堡垒机的案例。目前，安恒为乐视网分布在中国、美国、香港的30000多台服务器提供服务，通过组建一个跨地区、跨机房的大型堡垒机集群提供支持。乐视网的2000多名开发、运维人员每天都需要通过堡垒机进行工作。

堡垒机的部署及采购

那么，企业如何判断自己是否需要堡垒机?堡垒机的部署有何要求?怎样安装部署?郑赳认为堡垒机已经是必备品了，企业根本无需去考虑要不要的问题，而是应该考虑选择什么样的堡垒机。另外，堡垒机的部署是比较简单的，因为堡垒机是一个旁路部署设备，不会影响到原有网络结构。在部署时只需要考虑一点，即“在什么位置最好控制运维的流量?”，而这个位置就是堡垒机的最佳部署位置。安恒信息提供硬件堡垒机和云堡垒机，它们支持单机、HA、集群、分布式部署等不同模式，可以为几十台到几十万台服务器之间不同规模企业提供针对性的方案。

用户该如何选择一款合适的堡垒机?郑赳建议，选择堡垒机应该考虑功能的适应性和品牌两个点：

一是，功能适应性是堡垒机最关键的，因为堡垒机不同于防火墙等产品，堡垒机是运维人员、开发人员每天都要使用的工具，和他们的工作效率息息相关。其中有几个又最为关键：

运维易用性：部署堡垒机或多或少会改变运维人员的一些习惯，所以所选堡垒机能否让运维人员满意是非常关键的。比如能否支持苹果电脑运维，能否支持谷歌、firefox浏览器，能否保持原理的运维工具?

是否会影响自动化运维：企业现在都在开展自动化运维，以提升运维效率，部分堡垒机部署后，自动化运维就无法开展了，这个是需要认真测试的。

审计分析能力：堡垒机最关键的功能是审计分析，windows图形审计搜索能力、文件传输审计能力、报表分析能力等也是重点关注的。举个例子，运维人员经常通过复制粘贴、磁盘映射、SZ/RZ、FTP/SFTP等上传了木马、下载了敏感文件，是否能够发现和审计出来?

安全性：安全性往往被大家忽略，但因为堡垒机存储了所有服务器的帐号信息，所以其往往又成为黑客攻击的重要目标，因为一旦拿下堡垒机，整个网络就在控制之中了。所以强烈建议选择有安全能力的厂家产品。

二是，在品牌方面建议选择市场排行、口碑较靠前的品牌，虽然堡垒机已经发展多年，但是产品真的还是参差不齐的。而且我强烈建议，在选型采购之前一定要进行堡垒机的测试，让运维人员好好用用，评估一下推广可行性。

云堡垒机市场需求将增长

针对云堡垒机的市场前景，郑赳表示他对云堡垒机市场是很乐观的，随着企业的重要业务逐步上云后，云上的堡垒机需求将会越来越大。虽然目前相对云上几十万的企业，虽然安恒还仅仅占有了很小的一部分，但是随着品牌和宣传的推进，安恒相信目前基于云上的创新性功能，也能够满足未来云上企业的需求。虽然安恒堡垒机并不是最早的堡垒机，但一定是是国内最具创新性的堡垒机。安恒堡垒机非常注重运维人员的使用体验、堡垒机自身的安全性、稳定性，以及运维数据的挖掘等。未来，安恒云堡垒机还会继续创新，将推出更多的创新性功能和模式。

最后，记者询问郑赳在【WOT2016互联网运维与开发者峰会】上将分享哪些内容?他表示将带来关于“堡垒机如何应对云计算和自动化运维的挑战”的主题演讲，主要分享他近期对云堡垒机拓展、互联网企业拓展的一些心得体会。帮助大家识别和解决堡垒机推广应用的一些困惑，包括：怎么实现堡垒机的共用现有账户体系?如何解决自动化运维和堡垒机的冲突?如何实现简单、自动化的运维权限控制?如何解决安全审计的分析困惑?如何解决异地负载均衡、灾备?如何让堡垒机对运维习惯的改变最小，从而顺利的推广堡垒机?如何在解决公、私有云环境下的运维管理?等一系列问题。