文档章节

方企业安全之设备选型方案设计和实现(堡垒机)

o
 osc_wws45aot
发布于 2019/08/20 15:18
字数 1433
阅读 27
收藏 0

精选30+云产品,助力企业轻松上云!>>>

最近很多朋友都会问我设备选型这个问题,在安全产品众多的当下,如何选择最适合的厂商品牌,并且如何向高层请款去购买选型设备成为了甲方朋友比较重视的问题。之所以会产生这类问题原因不外乎以下几点:

  • 高层不懂安全产品的意义与使用
  • 高层会重点考虑投入成本与效益问题
  • 没有一个很好的切入点去说服高层重视安全设备投入
  • 涉及经济投入问题会走一些列问题,导致懒得交涉

针对以上这些问题,朋友们在设备选型的时候一定要体现这些点:

  • 设备投入目的

为什么要投入设备

 

  • 设备测试内容
  1. 对岗位的支持能力
  2. 产品各模块的可用性与和业务的适配性
  3. 功能需求的完整性
  4. 产品的安全性
  5. 产品的投入成本与效益

 

  • 拓扑位置
  1. 网络位置
  2. 整体测试环境

 

  • 总结
  1. 各设备的优缺点
  2. 最终选取设备的综合理由
  3. 设备最终定价以及后续费用

 

举例时间~以下已堡垒机设备选型为例

 

  • 测试目的

随着公司业务的开展,运营工作需要安全审计,要购进堡垒机,来加强运营及运维工作的安全管理,同时大幅度降低人工审计成本,规范管理所有人的登录行为(解释为什么投入设备)。此次测试,旨在为给公司堡垒机选型提供技术支撑和科学论据,特搭建模拟环境,对参选厂家提供的测试设备进行性能、功能、管理等关键指标进行评测并记录相关结果(测评项总结)。

 

  • 测试拓扑

注:这里为什么要接交换机,正常来说堡垒机应该是串联进整个访问线路的,这里是为了在测试时更加突出堡垒机的管理和审计功能,与原先直接访问做一个对比,这是必要的,能更直观的看出堡垒机的优势所在。

 

注:这里标记测试的覆盖面(主流操作系统、网络设备、主流业务协议)以及选型设备厂商进行同步测试

 

  • 设备测试内容(测试功能点,这要根据整体环境来制定,每个人的关注点都不一样,尽量全面)
  1. 角色及权限划分

1)绿盟堡垒机

2)齐治堡垒机

 

3)泰然神州堡垒机

 

4)思福迪堡垒机

 

1、开放端口

 

2、系统管理功能测试

3、资源管理

 

4、协议支持测试

 

 

5、单点登录功能测试

 

5、账号管理

 

6、审计功能测试

 

  • 测试小结(各厂商优缺点以及最终选型,选型理由,投入成本等)

1、绿盟堡垒机(硬件)XXX元:功能较全面,能很好的记录运维操作日志。但:

Ø账户权限划分不太合理,设备管理员不仅可以添加删除设备,还可以不受限制的访问设备。

Ø图形会话日志较大,当windows设备上运行gif文件时,产生的图形会话日志较大,接近齐治的两倍。

Ø图形会话回放拖拉有延迟,需要缓冲时间。

2、齐治堡垒机(硬件)XXX元:功能全面,支持大部分协议工具,能很好的记录运维操作日志,角色/权限划分更细,图形会话回放拖拉无延迟。但:

Ø数据库审计需要单独采购相应模块。

Ø采用USB-key认证时,需要单独进行采购。

Ø对ftp会话只能审计操作行为,不能中断会话。

3、思福迪堡垒机(硬件)XXX元:功能全面,对运维工具支持更全面,能很好的记录运维日志,角色/权限比齐治划分更细。且集成前置机,无须另外部署前置机。但:

Ø如需在前置机中发布特殊软件,需厂商配合。

Ø图形会话回放拖拉也存在延迟,需要缓冲时间。

Ø无法真正实现中断ftp会话。

Ø只能使用IE下载审计日志,使用chrome/firefox时无法下载。

4、泰然神州堡垒机(软件)XXX元:功能不全,很多功能不支持,图形会话回放效果差,无法控制回话速度。且为更好的压缩图形日志,所有图形会话均处理成黑白图形。但:

Ø软件堡垒机部署比较灵活,可部署多台,按运维点数授权,而不是按堡垒机个数授权。

Ø无须额外部署前置机。

 

综上,四类堡垒机产品各有优缺点,但相比较,齐治堡垒机使用效果最好,思福迪其次。建议采购齐治堡垒机,可选思福迪堡或绿盟垒机,不建议采购泰然神州(软件)堡垒机。齐治堡垒机的使用成本为XXX(脱敏)元,后续扩容成本为XXX元/XXX管理数(脱敏),请领导抉择投入成本与效益选型。

 

其实高层不会去看具体你完成了哪些测试,基本上也看不懂,但是高层在意的是你有没有从全面的角度去考虑这个问题,测试点尽量要考虑全面,最终结论一定要通俗易懂,给出总结,并给出成本,让高层有更多角度去考虑问题。

 

o
粉丝 0
博文 500
码字总数 0
作品 0
私信 提问
加载中
请先登录后再评论。
甲方企业安全之设备选型方案设计和实现(堡垒机)

最近很多朋友都会问我设备选型这个问题,在安全产品众多的当下,如何选择最适合的厂商品牌,并且如何向高层请款去购买选型设备成为了甲方朋友比较重视的问题。之所以会产生这类问题原因不外乎...

X安全
2019/08/20
1
0
随笔记录

50人,200人,500人,1000人,5万人园区网架构怎么规划设计?如何配置实现? 网络架构选择传统三层架构,还是两层架构? 扁平化和大二层是什么鬼? 双核心冗余怎么做?网络多出口怎么实现负载...

朋友好运
2019/03/29
0
0
如何防止删库跑路?运维堡垒机高效安全运维设计与实践落地

在刚刚结束的 2020 全球新一代软件工程线上峰会上,有着近七年自动化运维平台研发经验的京东智联云产品架构师任龙涛,分享了《运维堡垒机高效安全运维设计与实践落地》议题。本篇文章将为大家...

京东智联云开发者
07/08
0
0
跳板机和堡垒机

百度了好久,翻了好几页,也没有把跳板机和堡垒机讲明白,知道看到了这篇:原文链接:http://blog.51cto.com/3436673/1761000,才算是把堡垒机和跳板机搞明白,推荐给大家!!!! 跳板机 1....

osc_4rna5n4p
2018/05/24
2
0
跳板机和堡垒机

跳板机 1.跳板机简介 跳板机就是一台服务器,运维人员在维护过程中首先要统一登录到这台服务器,然后再登录到目标设备进行维护和操作; 在腾讯,跳板机是开发者登录到服务器的唯一途径,开发...

osc_uwpj27el
2019/09/09
1
0

没有更多内容

加载失败,请刷新页面

加载更多

等到所有jQuery Ajax请求都完成了吗? - Wait until all jQuery Ajax requests are done?

问题: How do I make a function wait until all jQuery Ajax requests are done inside another function? 我如何让一个函数等到所有jQuery Ajax请求都在另一个函数中完成之后? In short...

富含淀粉
16分钟前
0
0
OSChina 周日乱弹 —— 那么长的绳子,你这是放风筝呢

Osc乱弹歌单(2020)请戳(这里) 【今日歌曲】 @ 巴拉迪维:黑豹乐队的单曲《无地自容》 耳畔突然响起旋律,是那首老歌。中国摇滚有了《一无所有》不再一无所有;中国摇滚有了《无地自容》不...

小小编辑
今天
65
1
《吐血整理》-顶级程序员书单集

你知道的越多,你不知道的越多 给岁月以文明,而不是给文明以岁月 前言 王潇:格局决定了一个人的梦想,梦想反过来决定行为。 那格局是什么呢? 格局是你能够看见的深度、广度和密度。 王潇认...

敖丙
2019/12/11
11
0
我可以在Android版式中加下划线吗? - Can I underline text in an Android layout?

问题: 如何在Android布局xml文件中定义带下划线的文本? 解决方案: 参考一: https://stackoom.com/question/A31z/我可以在Android版式中加下划线吗 参考二: https://oldbug.net/q/A31z/...

法国红酒甜
今天
26
0
干掉ELK | 使用Prometheus+Grafana搭建监控平台

什么是Prometheus? Prometheus是由SoundCloud开发的开源监控报警系统和时序列数据库(TSDB)。Prometheus使用Go语言开发,是Google BorgMon监控系统的开源版本。 Prometheus的特点 · 多维度...

木九天
今天
34
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部