公司的业务开展得越来越广,对IT的支撑能力要求也越来越高了。有几个方面表现得特别突出:一是业务系统在不断膨胀,用到的主机和服务(如数据库)也随之膨胀;二是业务系统在逐渐往云上搬,使用的云资源在逐渐增多;三是对安全要求越来越高了,业务系统本身要求稳定运行,运维操作也不容有失。
近日,公司准备上堡垒机了,作为运维老兵,本人也参与了堡垒机产品的试用和选型工作,期间根据安排测试试用了几款产品:行云管家、纽盾堡垒机、Jumpserver堡垒机。
堡垒机测评
下面根据我的测试试用过程,从产品的安装部署、产品功能、使用体验、产品报价等几个方面介绍下上述几款产品的特点,权作选型试用作业的答卷,也希望能给大家一个参考。
一、堡垒机产品部署
堡垒机作为IT基础设施的一部分,其本身也是需要维护的,那么熟知堡垒机的运行环境,对堡垒机进行安装部署就是对堡垒机本身进行运维的一部分了。
总的来说,在我所试用的这几款堡垒机产品中,相对最容易安装部署的是行云管家;纽盾堡垒机需要准备机房环境和额外的网络环境;Jumpserver即便是快捷安装,也需要自行手工安装诸多依赖组件,过程较繁琐。
分述如下:
(1)行云管家堡垒机:
产品形态:纯软件,有SaaS版和私有部署版
安装环境要求:物理服务器或虚拟机,最低2核4G,50G存储空间,CentOS操作系统
安装准备:CentOS7.4/7.5/7.6/7.7均可,最小化安装即可,无需额外准备其它组件或环境
安装方式:一键式安装,执行一个安装命令即可
部署方式:一体化部署或分布式部署,支持高可用部署
(2)纽盾堡垒机:
产品形态:物理硬件
安装环境要求:需提供机房环境(机架机位、电源),单独的网络
安装准备:获取厂家提供的硬件(可申请试用),准备机房环境和网络环境
安装方式:硬件设备安装+网络调试
部署方式:支持高可用部署(所需硬件翻倍)
(3)Jumpserver堡垒机
产品形态:纯软件,无SaaS版,需要自行部署
安装环境要求:2个CPU核心, 4G 内存, 50G 硬盘,CentOS或Ubuntu操作系统
安装准备:Centos7/8或Ubuntu18.04,安装服务器需要能够连接互联网
安装方式:需手工逐一安装MySQL、Redis、Nginx等各个组件
部署方式:一体化部署或分布式部署
二、堡垒机产品功能:
作为堡垒机的最终使用者,更多的是考察产品的功能,结合我们自身当前的使用需求,兼顾向云上特别是公有云迁移的态势,来考察几款堡垒机的需求满足能力以及扩展性等方面。
我主要从可管理资源、资源授权、访问控制策略、资源访问、会话控制策略、访问审计这6个方面对三个堡垒机品牌进行了试用考察。
(1)行云管家、纽盾堡垒机、Jumpserver堡垒机之可管理资源对比
堡垒机可管理资源
从可管理资源角度看,三款试用产品基本都能管理IP化的设备,其中行云管家支持以API方式管理几乎所有公有云厂商的云资源,能很好的满足我们向云迁移的需求,这点优势比较突出。
行云管家堡垒机可管理资源:
支持管理任何IP化的资源,支持以API方式管理几乎所有公有云厂商资源
纽盾堡垒机可管理资源:
支持管理IP化资源,因为其访问方式限制,必须要其浏览器插件支持的本地工具可以对资源进行访问才能管理该资源;不支持以API方式管理公有云厂商资源
Jumpserver堡垒机可管理资源:
支持管理IP化资源;不支持以API方式管理公有云厂商资源
(2)行云管家、纽盾堡垒机、Jumpserver堡垒机之资源授权对比
授权控制作为堡垒机的关键核心能力,需要灵活的授权能力和统一的授权视图。
行云管家堡垒机资源授权:
支持将任意资源授权予用户、用户组或角色;可以以授权组形式,显式地进行资源授权—-将资源与用户(或用户组、角色)显式的进行关联授权管理
纽盾堡垒机资源授权:
支持将单个或一组资源授权予用户或用户组,无角色概念,授权欠清晰
Jumpserver堡垒机资源授权:
同样亦支持支持将单个或一组资源授权予用户或用户组,无角色的概念,授权欠清晰
(3)行云管家、纽盾堡垒机、Jumpserver堡垒机之访问控制策略对比
行云管家堡垒机访问控制:
支持控制来源IP、访问时段;登录审批、指令审批;控制是否允许使用本地工具;控制主机操作动作(启/停等);控制文件传输;运维会话背景加水印
纽盾堡垒机访问控制:
支持控制来源IP、访问时段;命令过滤
Jumpserver堡垒机访问控制:
命令过滤
(4)行云管家、纽盾堡垒机、Jumpserver堡垒机之资源访问方式对比
行云管家堡垒机资源访问:
支持跳板机、Web桌面(终端)、本地工具,支持移动终端访问(手机、平板等设备访问有特别优化)
纽盾堡垒机资源访问:
仅支持PC端的本地工具
Jumpserver堡垒机资源访问:
支持跳板机、Web桌面(终端)
(5)行云管家、纽盾堡垒机、Jumpserver堡垒机之会话过程控制对比
行云管家堡垒机会话过程控制:
管理员可查看会话列表、进入并查看会话、剥夺会话控制权(鼠标/键盘输入)、终断会话
纽盾堡垒机会话过程控制:
管理员可查看会话列表、进入并查看会话、终断会话
Jumpserver堡垒机会话过程控制:
管理员可查看会话列表、终断会话
(6)行云管家、纽盾堡垒机、Jumpserver堡垒机之访问审计对比
行云管家堡垒机访问审计:
访问过程录像回放、Windows指令审计,指令检索、指令录像定位
纽盾堡垒机访问审计:
访问过程录像回放、指令检索、指令录像定位
Jumpserver堡垒机访问审计:
访问过程录像回放
三、堡垒机操作体验
行云管家堡垒机体验:
界面风格及提示友好,操作界面引导性强,无陌生词,基本无需培训(文档)即可使用
纽盾堡垒机体验:
界面风格略显笨重,需培训或文档指引,界面操作缺乏引导性(无向导)
Jumpserver堡垒机体验:
界面风格基本友好,界面操作缺乏引导性(无向导)
四、堡垒机产品价格
行云管家堡垒机报价:
有SaaS版,基础版免费,根据资产规模有阶梯式报价,私有部署版根据资产规模报价,资产规模梯级粒度较细
纽盾堡垒机报价:
物理设备报价,价格梯级间差距略粗
Jumpserver堡垒机报价:
为开源产品,有商业版
五、堡垒机试用总结
1.通过测试试用发现,从堡垒机的安装部署及维护角度来看,行云管家堡垒机执行一个脚本即可完成部署,无需手工安装依赖组件,相对较容易部署和维护;
2.从产品功能来看,几款堡垒机基本都能够满足公司当前的使用场景需求,但从向云迁移这个需求角度来看,行云管家堡垒机更加适合;
3.产品体验方面来说,行云管家特点比较突出,相对易用和友好,Jumpserver堡垒机的界面也比较友好,只是其在引导性方面稍微欠缺。
4.从价格方面来说,行云管家堡垒机更具有多种选择性!
为了方便各位看官参考,对三款堡垒机产品之间的差异以表格展列如下:
最后,提示一下,本文所述内容仅仅是作者自身对行云管家堡垒机、纽盾堡垒机、Jumpserver堡垒机的三款堡垒机产品的测试试用总结,其结果可能会因为产品版本不同、使用场景不同等原因,而与各位看官获得的结果不一致,堡垒机测评仅供参考!
京公网安备 11010802041100号