ITPub博客

首页 > IT基础架构 > 网络安全 > 【堡垒机知识】三款大品牌堡垒机对比与分析

【堡垒机知识】三款大品牌堡垒机对比与分析

原创 网络安全 作者:行云管家 时间:2021-11-25 13:44:00 0 删除 编辑

目前市面上堡垒机品牌比较多,质量也是参差不齐的。很多企业在选购堡垒机时候往往是迷茫的,不知道自己的需求,也不知道哪款好。今天我们就给大家对比与分析一下三款大品牌堡垒机。

一、Jumpserver堡垒机

作为GitHub开源的当红炸子鸡,JumpServer堡垒机热度一直很高,JumpServer使用 Python/Django为主进行开发。

安装部署方面:

免费开源版支持本地化的源码部署,采取HTTPS方式远程管理,安装成功后组件需另外安装,如MySQL、Redis、Nginx等,安装环境要求:2个CPU核心、4G内存、50G 硬盘,CentOS或Ubuntu操作系统。值得注意的一点:新手在部署过程中,容易遇到端口配置错误、反向代理域名访问异常等问题。

功能使用体验方面:

1)支持协议、运维管理方式、身份认证

支持SSH/Telnet/RDP/FTP等,Windows下通过浏览器管理资产,Linux下支持常用客户端对Uinx资产管理,带有ansible可自动获取linux服务器数据和批量执行命令,IP化的资源管理方式,身份认证上支持本地账号+密码认证登录。

2)用户角色、用户管理、部门管理

用户角色分为:管理员、普通用户、审计员,支持按用户类型分组,支持如:密码锁定次数、密码复杂度等用户安全策略,部门管理上有独立部门管理员、资产隔离、授权管理等。

3)密码策略、文件管理、设备管理

若采用静态口令方式,口令有复杂度要求并定期更换以及修改策略,文件上传/下载支持SFTP,通过Web SFTP进行文件管理,支持设备批量导入/导出并通过资产树来分类和管理。

4)授权管理、访问控制、审计管理

在权限控制上,有三种方式:1、远程管理访问对象;2)访问对象账号;3、设备与用户的授权关系,访问控制上有命令阻断、命令黑白名单、登录时段限制,审计方面基础的审计能力都有,如登录日志、用户配置日志、运维访问日志等记录,及依据操作时间、IP地址、用户名等查询日志,不支持windows指令审计、指令检索、指令录像定位,另外也有访问控制策略、安全策略等功能。

产品套餐价格:

Jumpserver堡垒机开源版可以理解为“产品试用体验版“,企业版即商业付费版分为三个版本:标准、专业、旗舰,均包含X-Pack增强包,标准版单套30000元/年。

二、安恒堡垒机

安恒堡垒机实指安恒信息的堡垒机,老牌安全厂商的产品之一,产品全称“明御®运维审计与风险控制系统“(简称“DASUSM”)。

安装部署方面:

安装程序式部署,支持本地部署和混合云部署,本地部署通过VPN交付需将VPN服务端口映射互联网,云上部署要在企业内网配置一台proxy代理机与云上堡垒机互通,采用HTTPS方式远程安全管理,无需安装客户端。云主机Uhost最低配置:1核CPU-1G内存-1M带宽,100G数据盘,最大资产数5,最大并发数3。

功能使用体验方面:

1)支持协议、运维管理方式、身份认证

支持SSH/RDP/FTP/TELNET/VNC/Rlogin等协议,Windows/Linux资产可通过浏览器运维管理,支持常用客户端对Windows/Unix资产运维管理,支持本地账号+密码认证,支持短信口令/USBKEY/手机APP口令认证。

2)用户角色、用户管理、部门管理

用户角色分为:管理员、系统管理员、审计管理员、运维管理员,支持用户安全策略功能,通过逻辑分组实现部门功能。

3)密码策略、文件管理、设备管理

支持改密计划,可以手动执行、定时执行、周期执行,支持密码复杂性要求,支持通过FTP、邮件、SFTP将改密内容发送出来,支持SFTP文件上传/下载,支持SCP,支持设备批量导入/导出。

4)授权管理、访问控制、审计管理

授权管理上:列表结构显示资产,可通过操作系统、主机网络、部门等对整个页面继续过滤,授权对象包括用户、用户角色、资产和用户行为;访问控制上可对用户、服务器、网络设备的访问进行审计和阻断,有特殊命令审批、登录限制、IP来源黑名单等差异化功能;审计管理上支持运维审计、授权登录审核、系统自审、运维报表等一般审计功能,不支持Windows server2012和2016。

产品套餐价格:

根据购买的license确定可管理设备(资产数)、并发访问数,企业版(100资产)单套28560元/年,定价策略相较Jumpserver堡垒机更符合大众习惯。

三、行云管家堡垒机

行云管家是国内唯一一家以SaaS形态提供服务的云计算管理平台,内置了云堡垒机模块,可整合操作多个公有云、多个私有云 、混合云、局域网主机以及各种IT异构资源。

安装部署方面:

分为SaaS版和私有部署版,SaaS版无需安装在线注册即可使用,私有部署建议安装在全新纯净版CentOS7.9,安装包自带mysql、mongodb、redis、nginx、influxdb等,根据不同的版本(标准版、企业版、运营版)部署形态分为单实例部署、双实例部署和分布式部署,安装部署省事省心,且能满足个性化诉求。单实例标准版部署配置:4核CPU、8G内存、300G磁盘空间,主机数小于等于100,并发会话数小于等于20。

功能使用体验方面:

1)支持协议、运维管理方式、身份认证

支持RDP/SSH/VNC/Telnet/FTP/SFTP等协议,以及Oracle/MySQL/SQLServer/PostgreSQL/Hive/Redis/MongoDB/Vertica/Redshift/GaussDB等各类主流数据库。

支持B/S浏览器桌面运维Windows/Linux资产,支持本地C/S客户端工具运维Windows/Linux资产,还支持公有云厂商原生的管理终端访问,并额外提供了原厂终端工具所欠缺的运维审计能力,支持本地用户、企业微信/微信、钉钉、QQ、Google、企业AD域、LDAP用户、Radius认证用户等用户来源,支持账户强密码策略、USBKEY、短信/微信验证码、OTP双因子身份认证。

2)用户角色、用户管理、部门管理

用户角色分为:管理员、业务管理员、安全审计员、操作员、所有成员、自定义角色;用户进入团队,纳入团队进行团队成员管理;部门管理以组织架构视图的方式进行。

3)密码策略、文件管理、设备管理

支持密码/密钥登录、支持强密码策略、支持批量自动改密/密钥下发,在文件传输上功能更为灵活,Web端支持RDP/SSH/VCN/TELNET文件传输,本地工具支持RDP/SFTP/FTP文件传输,此外还开创性的提供团队网盘进行文件传输,支持设备的批量导入/导出。

4)授权管理、访问控制、审计管理

基于团队协作的工作模式,采用基于角色的访问控制模型,支持将任意资源授权予用户、用户组或角色,以授权组形式显式地进行资源授权;支持来源IP控制、访问时段控制、登录审批控制、指令审批控制、本地工具使用控制、主机操作动作(启/停等)控制、高危指令自定义处理/拦截阻断、文件传输控制、会话水印等访问控制能力;审计管理方面有运维全程云端录像、关键词全文检索及定位、Windows全系/Linux/Unix指令检索、SQL执行语句指令检索、指令录像定位等,全方位无死角确保运维审计的安全合规。

产品套餐价格:

根据购买的license确定可管理设备(资产数)、并发访问数,专业版版(100资产)单套19080元/年,如需了解报价详情可带上自己的资产数,联系行云管家官网在线客服。


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/70002658/viewspace-2844084/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2021-07-13

  • 博文量
    125
  • 访问量
    43914