企业怎么选购合适的堡垒机？

1、市面上门门类类的堡垒机很多，那么该如何选购呢？我主要根据自己的经验，从几个要点进行分析和比较，分享给大家参考。

首先说下传统的堡垒机，多为软硬件结合且价格昂贵，其管控能力十分强大，是银行、国营大型企业IT运维团队的首要选项。传统堡垒机的缺点是，价格很高动辄数十上百万，而且部署起来困难，需要专业的团队统筹部署，维护成本高。同时对现有网络结构侵入大，软件和硬件升级都不方便，并不怎么适合中小型企业、一般创业企业。

2、随着云服务技术的广泛普及，堡垒机的形态也在随之演变，在传统堡垒机的基础上又出现了云堡垒机。云堡垒机相对灵活的多，其价格便宜、维护成本低（甚至不用维护），多为旁路部署，不改变现有网络结构，扩展能力强。基于这些优点云堡垒机近两年开始大受欢迎，是许多企业IT运维团队的选购重点。目前市面上比较流行的云堡垒机像安恒、行云管家、碉堡、云匣子等等，他们的主要功能基本相似，但优势和侧重点各有不同。

如果你的团队规模不是超大型，服务器的数量不是过万台级别，那么我主要建议大家选购云堡垒机即可。在选购合适的云堡垒级之前，首先分解一下云堡垒机的主要选购指标。

3、侵入性：如果要每台主机安装Agent，安全性不好保障，工作量也大。对于局域网主机而言，最好是只需要在网络内安装一个代理软件即可，保持其它主机的纯净和安全。如果是公有云主机，最好是支持API导入，方便快捷；

2、审计方式：这点要特别注意，目前很多堡垒机只有录像审计，事实上如果真要回溯追责，光靠录像可是不够的，谁会有那么多时间去逐帧看录像呢！所以最好是要有指令审计，比如追查是谁删除了某个文件，只需输入文件名即可检索。还有一些堡垒机是不支持Windows指令审计的，如果您的主机包含了Windows，可一定要求具备Windows指令审计功能哦；

4、安全性：要支持身份授权、访问控制、双因子认证等安全策略。同时还要有高危命令阻断功能，要能够设置命令的黑白名单，主动拦截高危命令；

4、配套功能考虑：是否具备其它运维相关功能，比如主机监控、远程协同、自动化运维。需要注意的是，堡垒机对于自动化运维的影响，如果堡垒机成为自动化运维的羁绊，那么可就得不偿失了；

5、部署难度：部署难度是否大，一般SaaS模式是无需部署的，免维护，这对于小团队来说非常适用，能够减少很大的人力成本；

5、产品更新频率：既然是云堡垒机，那么产品的更新迭代频率应该要快，不能像传统堡垒机一样几年不更新，毕竟产业发展的速度是很快的；

7、价格：选择云堡垒机的用户一般来说对价格较敏感，在能够满足需求的前提下，自然是越便宜越好。

以上这些指标基本涵盖的云堡垒机的主要选购点，您可以根据所在公司和自己团队的实际需求情况来标示要点，根据这些要点对不同的云堡垒机品牌进行比较，选出最合适的即可。

6、总的来说，选购堡垒机并非越贵的就越好，而是要综合考量各项指标与运维团队本身的契合度，以及在实际应用中的真实需求。如果您所在的团队是金融、政府等对安全性要求极高的组织，建议您考虑传统堡垒机。但是对于一些互联网企业、创业企业而言，我比较倾向于向大家推荐使用云堡垒机，无论是从价格还是灵活性来说他都具备优势。况且随着云计算市场的发展，上云成为主流，未来的堡垒机发展趋势也必然是偏向于云堡垒机。