堡垒机是企业进行资产管理，并且进行运维安全审计的重要组件。几乎所有的企业都需要堡垒机，其本质上是解决IT运维过程的安全、可控与合规，帮助实现运维过程的“事前预防、事中控制、事后审计”。随着近两年等保2.0相关要求的普及，堡垒机越来越受到企业的广泛重视。

堡垒机发展的三个阶段

1. 软硬一体化的堡垒机，是将堡垒机软件和硬件整合在一起，打包销售。这种做法优缺点很明显，优点是符合国人的消费习惯，为用户提供一揽子解决方案。其缺点是不易维护，缺乏可扩展性。

2. 从技术上来说，纯软件的堡垒机和软硬一体化的堡垒机并没有质的区别，无非是纯软件的堡垒机是以产品安装包或者镜像形式向用户提供安装介质，而不再是以物理主机形式提供。相比较而言，纯软件的堡垒机的优势更为明显，易于维护，易于升级，方便未来的扩展；

3. 随着现在企业的资源分布越来越广、云资源的数量也越来越多，传统的管理方式跟不上变化，随着应用上线越来越迅速，如何快速的上线堡垒机，对这些资源统一管理起来，都是传统堡垒机无法解决的。而此时云堡垒机应运而生，云堡垒机具备多云、多中心的云资源的管理、海量资源的快速纳管和海量并发的能力。骞云云堡垒机属于第三代。

骞云云堡垒机的主要功能

1、多云资源统一管理

随着企业信息化的不断深入，越来越多的企业开始使用公有云来支撑业务的快速发展，搭建混合云架构成为了一个趋势，特别是今年两会，国家鼓励大力发展混合云架构的解决方案，使得这个趋势将进一步的加快；然而随着这种混合云架构的发展，如何对这些多云资源进行集中、统一的管理成为了急需解决的问题。

传统的堡垒机更多的采用的方式主要包括：

1）通过物理网络打通（比如专线、VNC等）来进行集中管理；   

2）每个隔离的数据中心安装一台堡垒机。这两种方式无论是从成本还是从管理的难度上来说，都无法从根本上解决企业的需求。只有从堡垒机的架构上做出改变才能够真正解决问题。

骞云的云堡垒机支持通过云网关，将多云、多账户上的云资源集中管理，为随后的“集中认证”、“权限控制”和“操作审计”打下坚实基础。通过骞云的云网关，运维人员可以有效的打破地域、网络界限，实现多云资源统一管理，并且骞云的云网关是完全无嵌入的，云网关一端不需要暴露对外访问接口，安全性更强，堡垒机跟云网关之间的链路是加密的，占用带宽更低。

2、特有分布式架构，支持无限横向扩展

云原生时代背景下，堡垒机除了要能够打通地域、网络的隔离实现资源的集中管理，还对云资源的纳管数量、并发数提出更高的要求。骞云云堡垒机采用特有的分布式架构，以满足、支撑后期的无限扩展。

骞云堡垒机包括一个中心平台，若干按地域分布的中转节点，若干分布的Gateway节点。用户的数据流量是：用户客户端->中转节点->Gateway节点。Gateway节点在通过内网IP访问我们最终需要访问的云主机，通过这种方式来支持更加复杂的多云场景，支持海量并发，这种架构是经过SaaS环境验证的。

此外，骞云平台数据都是存储在中心平台上面的，中转节点和云网关都是无状态的，可以很方便设置高可用，持续的支撑业务的运行。

3、基于组织架构快速导入、纳管多云资源

针对多云海量资源的纳管这块，骞云堡垒机会根据企业的业务组、部门来创建一个组织架构，然后快速的将不同云平台上的云资源按照组织架构自动地归属到业务组、人，为后面的权限控制打下基础。现阶段骞云云堡垒机能够管理的云资源主要包括：物理机、网络设备、云主机、数据库、Kubernetes等。

不同云平台的资源集中管理之后，平台会对管理的资源的账户名、密码等都收集起来并做统一的托管。云堡垒机的凭证支持关联到多个云主机中，后期我们在访问云主机、自动化运维的时候都能够使用凭证进行，极大的提高运维人员的运维效率。此外，平台支持通过更新凭证来实现云资源的批量改密，改密历史将全部记录，方便后期查看。

4、全面、多维度的操作审计

骞云堡垒机会记录发生在重要信息系统中各种各样的会话和事件，包括网络中的、主机操作系统中的以及应用系统中的如ORACLE数据库等，同时支持从不同维度查看操作记录。为企业IT管理者提供了全面、多维的操作审计。

现阶段骞云堡垒机对所有WebSSH和脚本执行都能够统一记录；且记录内容支持全文快速查询，支持按照不同维度查看操作记录：主机操作历史、用户操作轨迹、各类资源操作轨迹、起止时间等。

5、云资源高效运维

l 多协议支持

骞云云堡垒机提供多种运维协议的支持，例如ssh/rdp/vnc/sftp等，方便用户这边的日常运维。同时平台提供的vnc协议支持通过云平台无代理或者基于代理的模式进行远程访问，更加灵活。

l 高效运维

除了提供多协议的支持外，在满足安全管理需求的前提下，为IT运维工程师授予合适粒度权限的同时，骞云堡垒机也为运维工程师带来了丰富便捷的运维手段，例如：脚本库、批量脚本的运行、数据库的巡检等…通过这些手段来实现高效运维，在安全与效率之间取得一个最佳平衡，以最小权限完成所需运维操作。

l 软件安装变更标准化和自动化

平台提供了一个应用集市的概念，来帮助用户实现企业内部准入软件的统一管理。支持主流的中间件、主流的数据库、也支持根据实际的需求扩展任意的软件到骞云平台来。然后通过平台进行一键的安装和变更，无需在登录到主机上进行一系列的安装操作，使安装过程更加标准化自动化,简单易用。

l 与自动化和工单高度集成

现在堡垒机跟工单这块越来越分不开，针对工单这块我们平台也是做了大量的优化的工作，将工单系统和我们的自动化深度集成，实现特定场景下的工单自动化。

骞云堡垒机的功能特色

骞云云堡垒机是满足运维安全审计的4A规范的堡垒机，主要有以下优势：

多云统一管理：多云资源统一管理，自动导入，纳管存量资源；

访问凭证集中管理：支持云资源访问凭证的统一管理；

基于角色的访问控制：多租户完全隔离，基于策略驱动的访问权限；

工单操作自动化：用户提交工单，平台支持将工单转化为自动化操作无需人工参与；

在线回放操作记录：远程访问RDP、SSH，操作录屏存放在公有云OSS上，支持线上访问；

高效运维：支持多种管理协议，支持对主流数据库运维审计，支持中间件安装自动化。