堡壘機，即在一個特定的網絡環境下，為了保障網絡和數據不受來自外部和内部用戶的入侵和破壞，而運用各種技術手段監控和記錄運維人員對網絡内的服務器、網絡設備、安全設備、數據庫等設備的操作行為，以便集中報警、及時處理及審計定責。

①多人共同運維一個賬号

小高和小李在同一個工作組，系統管理賬号唯一，由于工作需要，兩人就一起用這一個賬号。一天一個很早之前的升級導緻的bug導緻整個業務半個小時不能正常使用，造成了一次不小的安全事故。可是由于升級時間過去了很久，大家也很難定位實際使用者和責任人是誰，導緻内部存在着較大的安全風險和隐患。

② 一個用戶使用多個賬号

老張是公司的技術工程師，要維護和管理多個主機，每台主機都用同樣的密碼，但是這樣存在安全風險，一旦一個密碼被破解了其他的服務器密碼也都不保。因此老王之後費力的記憶多有口令去管理主機，管理非常複雜效率也不夠高。

③ 權限管理粗放

小陳的公司從創立到逐漸在市場中創出名氣業務慢慢的做大，服務器的權限分配還是原來的粗放式管理，下面的技術支持都在用root權限訪問生産機，系統安全性無法保證，也容易出現誤操作或者沒有權限的人員随意翻閱重要數據的問題。

④難以對運維人員操作行為監管

運維人員經常會對主機進行各種操作，但是沒辦法對之進行内容審計，在發現違規操作行為和追否取證上就缺乏依據。

以上這些場景廣泛存在于企業信息化管理中，為了避免因為運維人員的操作失誤帶來安全問題給企業造成損失，企業選擇使用保些機來降低内控風險。雲匣子系統(雲保壘機)為用戶提供了一套運維管理解決方案，使得管理人員可以對雲主機進行集中賬号管理、細粒度的權限管理和審計，幫助用戶提升風險内控水平。

1、堡壘機 是用來解決“運維混亂”的

簡而言之一句話，行雲管家堡壘機 是用于解決“運維混亂”的。

何謂運維混亂？當公司的運維人員越來越多，當需要運維的設備越來越多，當參與運維的崗位越來越多樣性，如果沒有一套好的機制，就會産生運維混亂。具體而言，你很想知道“哪些人允許以哪些身份訪問哪些設備“而不可得。

2、堡壘機 讓“運維混亂”變“運維有序”

于是乎，堡壘機便誕生了，它承擔起了運維人員在運維過程中的唯一入口，通過精細化授權，可以明确“哪些人以哪些身份訪問哪些設備”，從而讓運維混亂變得有序起來。

由于信息化建設、業務不斷擴展等因素，在各信息系統中的服務器及各種網絡設備 備的不斷增加，對目标主機的管理必須經過各種認證和登錄過程。

在某個主機及賬戶被多個管理人員共同使用的情況下，引發了如帳号管理混亂、授權關系不清晰、越權操作、數據洩漏等各類安全 問題，并加大了 IT 内控審計的難度大。

3、堡壘機 讓“運維混亂”變“運維安全”

更重要的一點是：堡壘機不僅可以明确每一個運維人員的訪問路徑，還可以将每一次訪問過程變得可“審計”，一旦出現問題，可追溯回源。

如何做到可審計？顯而易見的方法是“全程錄像”和“指令查詢”。全程錄像很好理解，那麼何謂指令查詢呢？所謂指令查詢是指将運維操作指令化。

舉例而言，你家裡在過去24小時内進小偷了，你有監控錄像，但需要你翻閱這24小時的錄像顯然不是一個聰明的做法，如果這時系統能夠幫助你把24小時錄像中出現的所有人頭像直接識别并羅列出來，你自然可以知道什麼時間進來的小偷。

“指令查詢”也是如此，錄像文件是你最後的保障，但通過指令查詢可以幫助你快速的定位到錄像文件的可疑位置。

集中賬号管理

無論企業采用的是公有雲主機還是傳統的局域網主機（物理機或虛拟機），均可同步導入行雲管家進行賬号集中管理與密碼批量修改，并可一鍵批量下發SSH密鑰對。

集中認證管理

為用戶提供不同強度的認證方式，既可以保持原有的靜态口令方式，又可以提供微信、短信等雙因子認證方式，不僅可以實現用戶認證的統一管理，并且能夠為運維人員提供統一的認證門戶，實現企業信息資源訪問的單點登錄。

集中授權管理

支持雲主機、局域網主機等任意形式的主機資源，并采用基于角色的訪問控制模型，能夠對用戶、資源、功能進行精細化的授權管理，解決人員衆多、權限交叉、資産繁多、各類權限複雜的運維難題。

集中操作審計

将用戶所有的操作日志集中記錄管理和分析，不僅可以對用戶行為進行監控與攔截，還可以通過集中的審計數據進行數據挖掘，以便于事後的安全事故責任的認定。