下一代堡垒机如何管理成千上万台服务器

对管理和运维成千上万台服务器来说，用户都是既想安全又想便捷。但是安全与便捷通常都是矛盾的，因为安全性越高，意味着便捷度越低。

要实现“统一认证、统一管理、统一授权、统一运维、统一审计”的要求，用户往往想到的是堡垒机。虽然堡垒机可以解决规范管理和运维审计的需求，但部署堡垒机却会给每个用户带来新的烦恼：

>>> 成千上万的服务器以及它们对应的账号和密码，如何才能快速地录入到堡垒机？

>>> 当服务器分散在多个部门时，协调“收集服务器信息”这一工作难度会更大，甚至出现不配合工作、漏收集等情况，这又应当如何处理？

>>> 如果网络环境中已经有了一套服务器管理系统，该如何将系统中的这些服务器自动同步到堡垒机中？

针对以上烦恼，国内商业堡垒机和开源堡垒机提供了多种方案，我们根据不同的方案类型可将堡垒机分为“传统型堡垒机”、“半传统型堡垒机”、“创新型堡垒机”和“下一代堡垒机”，下面我们对这几种类型的堡垒机在“管理服务器资源”方面进行一下总结：

传统型堡垒机

方案：批量导入。

实现：手动在表格中填写好服务器的IP、协议、端口号、账号和密码，然后通过堡垒机的导入入口，将编辑好的表格导入至堡垒机中。

优点：可以统一整理服务器信息。

缺点：手累、耗时长、难整理、漏录入。

场景：适用于服务器数量不多的用户。

半传统型堡垒机

方案：自动扫描

实现：类似“IPscan”的原理，自动扫描网络中的服务器IP、端口、协议，然后自动录入到堡垒机中。

优点：省去了人工收集服务器的IP、端口、协议。

缺点：无法自动扫描服务器的账号和密码，如果需要使用堡垒机的“单点登录”功能，还是要手工录入服务器的账号和密码。

场景：适用于服务器数量不多的用户。

创新型堡垒机

方案：自动收集

实现：运维人员只需要通过堡垒机登录过一次服务器，堡垒机就能自动收集这个服务器信息，包括IP、协议、端口号、账号和密码。

优点：管理员无需向运维人员收集他们所管辖的服务器信息，堡垒机会自动收集服务器的IP、协议、端口号、账号和密码。

缺点：需要运维人员通过堡垒机对每台服务器登录一次。

场景：适用于服务器数量庞大的用户，特别是有成千上万台服务器。

下一代堡垒机

方案：API接口

实现：堡垒机提供服务器管理的API接口，使用方在已有的服务器管理系统中开发API同步功能，在服务器管理系统中对服务器进行任何增删改，堡垒机都能保持服务器信息一致。

优点：完全自动化录入，运维人员无需知道堡垒机的存在。

缺点：需要使用方具备一定的运维开发能力。

场景：适用于服务器数量庞大的用户，更适合用户有自己的服务器管理平台，但是只想要堡垒机的“审计”功能。

目前，大多数堡垒机处于传统与半传统型堡垒机阶段，随着信息化的脚步加快，对提升运维工作效率的要求也越来越高。如果堡垒机不能满足用户“大规模、集团化”的管理模式，那么部署堡垒机随之变成了累赘，更加无法为用户提高运维管理的效率。

安恒信息基于多年的安全管理经验和多个大型客户案例，率先实现了“创新型堡垒机”的要求，同时推出“下一代堡垒机”的运维管理模式，让堡垒机的存在变得越来越透明！