云堡垒机架构设计漫谈

原创

bowenerchen

修改于 2023-12-31 18:47:43

7132

修改于 2023-12-31 18:47:43

文章被收录于专栏：梵高先生梵高先生

云堡垒机的数据流

控制面

从用户视角出发，用户最能直观感受的是控制面对云资源的管理。

云平台控制台，是云租户资源管理的集中入口，堡垒机实例作为一种标准的云产品资源，用户同样可以通过云平台对堡垒机资源进行管理。

云平台控制台云平台控制台是云堡垒机的核心入口之一，主要负责管理云计算资源的分配和调度。堡垒机服务通过与云计算平台的紧密集成，实现了对堡垒机实例的动态创建、配置和管理。云平台控制还负责监控堡垒机实例的运行状态，确保其稳定运行，并根据需求进行资源的自动扩展或缩减。
运维控制台堡垒机运维平台控制台是云堡垒机的集中管理界面，提供了丰富的管理功能和安全策略配置选项。通过因运维控制台，管理员可以配置安全策略、管理用户权限等。控制台还支持可视化操作，使得管理员能够直观地了解数据流走向和安全事件处理情况。此外，控制台还支持多租户模式，允许多个用户或部门共享同一套堡垒机资源。
策略下发堡垒机后台还通过内网进行安全策略下发。这些策略包括访问控制、身份认证、数据加密等，以确保用户只能访问其授权的资源，并保证数据的安全性。策略下发可以是动态的，即根据实际情况实时调整安全策略，以应对潜在的安全威胁。

数据面

用户访问请求用户通过公网或内网发起访问请求，目标资产可能包括企业内部的服务器、数据库或其他关键资源。
堡垒机代理服务集群当用户的访问请求到达堡垒机时，首先会经过代理服务集群的处理。代理服务集群由多个代理服务器组成，它们负责接收和处理用户的访问请求。代理服务器会对请求进行合法性验证、流量清洗、协议转换等操作，确保数据的安全性和合规性。同时，代理服务器还会对请求进行审计和日志记录，以便后续的安全事件分析和追溯。
目标资产访问经过代理服务集群处理的请求，将被转发到目标资产。在此过程中，代理服务器还可能对数据流进行加密、压缩等进一步处理，以确保数据传输的安全性和效率。

不同场景下的代理网络架构

常见的代理服务一般是端口个数固定且端口固定的，比如SSH代理服务、Mysql代理服务

但是也有一些场景如MongoDB的代理服务，由于MongoDB本身具有分片集与副本集的区分，而分片集场景下又存在多端口、动态增减端口的场景，因此对于类似于MongoDB的代理服务，需要做好多端口的映射管理。

典型的MongoDB代理架构如下：

其中关于端口节点的拉取和管理，就必须依赖内网的策略下发通道进行实时的管理。

堡垒机的数据阻断审计上报

堡垒机的数据面基于策略下发通道可以实现阻断策略的实时拉取，用以实现灵活动态的对运维用户的操作进行阻断与放通的判断。

运维用户的每一次动作执行可以基于审计上报通道进行行为审计的上报，运维用户可以在运维控制台上进行审计数据的查看与回放。

代理层面可以实现的策略管控包括但不限于：

访问控制策略这是最基础的策略管控，可以根据用户的身份、所属组织、IP地址等因素，限制其对特定资源或服务的访问权限。例如，可以设置某些用户只能访问特定的服务器或服务，而不能访问其他资源。
数据传输策略云堡垒机代理可以对数据传输进行加密和压缩，确保数据在传输过程中的安全性和效率。同时，还可以限制某些敏感数据的传输，防止信息泄露。
命令控制策略对于需要执行特定命令的场景，可以通过命令控制策略来限制用户可以执行的命令。例如，可以设置禁止用户在服务器上执行某些高危命令，从而减少安全风险。
日志审计策略云堡垒机代理会对用户的所有操作进行详细记录，并生成日志文件。通过审计这些日志文件，可以发现潜在的安全威胁和违规操作，并及时进行处理。
会话管理策略会话管理策略可以控制用户的会话时长、会话类型等参数，例如可以设置用户在一段时间内无操作后自动断开连接，或者限制用户的并发会话数量。
协议控制策略根据实际需求，云堡垒机代理可以限制用户只能使用特定的网络协议，例如只允许HTTP协议或只允许SSH协议。
流量控制策略通过流量控制策略，可以限制用户的网络流量，防止恶意用户使用大量流量进行攻击或占用过多网络资源。
IP黑白名单策略可以将某些IP地址加入黑名单或白名单，对于黑名单中的IP地址，云堡垒机代理会拒绝其访问请求；对于白名单中的IP地址，则允许其访问请求通过。