删库跑路，仅凭一己之力造成经济损失1.5 亿

一个程序员，凭一己之力，删除自家公司数据库，市值缩水近 24 亿元，直接经济损失达到 1.5 亿元。这不是段子，是真实发生在我们身边的故事。该公司研发中心工作人员通过其个人 API 登录公司内网的跳板机后，对生产环境进行了恶意破坏，导致旗下用户小程序全线宕机，300 多万商户的线上业务全部停止，历时一周才最终恢复数据。这个案例反映出一些企业对于运维权限的管控存在巨大漏洞，如此危险的删库操作，竟然在没有二次确认的情况下由一个人就可完成全程操作。

随着日常生产、生活对信息化系统依赖程度逐渐增加，近些年运维事故层出不穷。而由于运维过程中账号共用，范围难以控制，密码难以统一管理，人员权限分工不明确，导致事故发生后审计追查非常困难。

另一方面，我国针对数据安全逐步出台了一系列法律法规，对企业提出了严格的安全合规要求。例如网络安全法要求日志留存不少于 6 个月，必须采取网络安全措施；《等保》2.0 要求企业必须对用户身份进行鉴权，如用户访问的权限控制，最小化的授权原则，运维操作完整审计，定期进行数据备份等；运营商需满足电信行业的规定；证券、金融行业需满足银监、证监相关要求；上市公司要满足企业内控要求。

面对运维过程中的重重挑战，业内早已有多重探索。其中沉淀最深的便是运维堡垒机。运维堡垒机主要包含两方面功能：运维管理和审计，它可以对运维人员的运维操作进行统一身份认证、统一资产管理、统一访问授权和全程运维审计。

2000 年时，软件堡垒机出现了，它解决了硬件堡垒机的缺陷，但云时代的到来，又对软件堡垒机提出了一系列挑战：

• 第一个挑战是多云架构。云时代中目标资产发生了很大变化，企业IT 资产快速云化。尤其是在当前非监管行业、非金融行业中云化的进展很快。而随着业务快速拓展，用户总会面临一些安全合规要求。这时候用户会发现自己的资产越来越分散，管理起来越来越困难。混合云的持续推广也使得 IT 基础设施的管理复杂度越来越高，企业的基础设施包含传统的 KVM、私有云、公有云等不同类型。堡垒机需要适配、纳管不同的 IT 组件，并进行统一安全审计。
• 第二个挑战是资产管理方式发生改变。传统堡垒机通常是手工输入，或者通过文本导入、扫描 IP 导入。而由于云时代网络复杂度高，传统堡垒机的网络部署方式面临巨大挑战。云时代的资产通常分布在不同的云、不同的 VPC、不同的子网下面，堡垒机如何才能更好的适配这种网络环境？
• 第三个挑战是需要具备成熟的高可用容灾部署架构。高可用的分布式技术为支撑平台正常运行提供了关键技术支持，容灾系统在断电、通讯失败及软硬件错误时，依然要保证用户数据的安全，并提供不间断的应用服务。堡垒机需要提供持续的可用性，并快速进行容灾切换，保证企业内部统一的运维能力不间断，有效支撑企业业务正常开展。
• 第四个挑战是需要支持水平扩容。目前企业虚拟资产是动态变化的，随着后续业务的增长，资产数量也将持续增长。庞大且快速增长的 IT 资产需要堡垒机在资产纳管方面更具可扩展性，以应对突发性业务需求。

• 第一，统一身份认证。用户的角色、权限要进行统一的管理，实现三权分立、各司其职；支持短信、Google认证、LDAP、AD域等多种认证方式，便于对接用户已有运维方式；支持双因子验证；支持批量用户管理，如通过IAM接口批量导入子用户，通过文件批量导入用户，或是通过用户组进行用户的分类管理。
• 第二，统一资产管理。包含账号、模块化管理、支持密码、公私钥账号、用户无感知的SSO单点登陆，资产也支持批量导入和分组管理，可以根据主机组进行授权。资产的账号支持自动改密，用户通过设计改密计划，定期定时进行执行。密码改后用户无感知，可以自动登录，解决了账号管理困难的问题，减轻了运维管理工作量。
• 第三，统一访问授权。用一句话解释就是谁在什么时间，从哪个地方访问了哪些机器，以及他在这台机器上做了什么，没做什么，做过什么。通过访问授权都可以确切地知道这个人是谁。
• 第四，权限管理。堡垒机的访问策略主要包含IP限制、访问时间段限制、高位命令限制、二次授权等。通过这些规则限制可以保证整个运维过程中，用户必须在被分配的权限下进行操作，不会出现越权操作的情况，从而保证整体运维工作的安全性。

最后是运维全程审计。运维审计是保证运维安全的最后一道防线，它通过全程的运维审计，可以快速定位问题，确定责任人。这有助于快速解决问题，恢复正常服务。全程运维审计主要通过全程录像、指令全程记录和命令检索三种方案实现。全程录像的文件要可下载、可备份、可播放；指令全程记录主要针对字符型的操作；命令检索需要支持命令级别的全文检索，这样出现问题时就可以进行相关命令集的查询、检索，快速定位问题所在。