挑战四：堡垒机配置工作量巨大，如何自动化

　　堡垒机自身的配置工作量这么大是最开始大家都没有想到的坑，但是现在回想起来，其实也很正常。30000多台主机，2000多个人，要想做权限的严格控制，也就是说要将2000多个运维人员和30000多台主机的对应关系建立起来，想想就理解了。总结下来堡垒机配置工作最复杂的地方是：

　　1) 人员配置：AD域包含了全公司的人员，可以采用AD域来进行同步，但是公司部门划分并不等同于授权分组划分，那如何将人员合理分组，并快速分组，工作量很大。

　　2) 资产配置：公司已经拥有了CMDB固资管理系统，堡垒机怎么和CMDB进行同步更新、删除。

　　3) 授权规则配置：公司的配置规则已经上万条，在堡垒机自身web界面维护这么大量规则是个非常困难的。

　　4) 人员调动、资产故障变更报废、新增人员等非常普遍，如何快速完成配置。

　　为了解决堡垒机配置的问题，和安恒合作做了定制开发，安恒堡垒机将自身的用户管理、资产管理、权限管理做成标准的API，公司根据API实现CMDB固资系统、帐号管理系统、自动化运维系统的对接。现在基本实现了：

　　1) CMDB固资系统的资产增删改，都会主动推动到堡垒机;

　　2) 可以根据资产的分组属性变更，自动完成堡垒机的授权规则变更;

　　3) 人员帐号的增删改也都可以主动推送到堡垒机，可以自动调整堡垒机的授权规则;

　　换句话说，现在公司的堡垒机配置基本实现自动化，以下是安恒堡垒机API调用实现逻辑的说明。

▲

　　(图8)

　　挑战五：堡垒机双因子认证困难重重

　　堡垒机自身安全是大家都能够意识到的一个问题，其中尤其以用户认证环节最重要，一般大家很自然就会想到双因子认证。但是实际推行堡垒机过程中，双因子认证也是一个非常大的坑。主要有几个点：

　　1) 启用双因子认证后，自动化运维基本瘫痪，自动化服务器无法登录了;

　　2) 采用哪种可靠、安全、高效的双因子认证手段;

　　经过多种方案论证，目前采用『手机APP认证+多种认证并存』来解决，具体是：

　　1) 对于自动化运维服务器、跳板机等还是采用单因子认证，对于运维人员采用双因子认证。这得益于安恒堡垒机支持按照用户、用户组设置不同的认证模式。

　　2) 双因子认证采用手机APP模式，安装使用也方便，还可以避免usbkey、动态口令分发、丢失、损坏等麻烦事情。

　　堡垒机目前可以支持的手机OTP认证APP比较多，主流的谷歌认证、FreeOTP、洋葱、阿里身份宝都可以支持。而且这些OTP认证手机APP都有IOS、安卓、windows phone等不同平台，适应性非常广。

▲

　　(图9)

　　总体来说，堡垒机的推广应用过程还是挺复杂的，大家在选择堡垒机的时候千万别仅仅关注厂家说的功能有无，更多还是要基于实际运维环境做出适配性的选择。对于这样规模的互联网企业来说，选择堡垒机的几个关注点是：

　　1) 堡垒机对运维习惯、自动化运维的影响情况评估;

　　2) 堡垒机的开放性评估，因为互联网企业基本都有自己的运维开发团队;

　　3) 堡垒机的扩展性评估;

　　另外不仅仅是互联网行业，金融、运营商、能源、省部级政府等只要服务器超过500台以上，这些关键点都可能会成为推广堡垒机的障碍。