運維保障工作面臨的主要挑戰(zhàn)集中在資產賬號管理與共享、授權分配與身份識別及操作過程監(jiān)督三個方面，堡壘機核心能力的定位也圍繞集中授權管理，操作過程約束與規(guī)范，審核安全行為這三個方面展開。

受管運維對象普遍被堡壘機命名為資產，按照運維方式，可以分為命令行字符、桌面圖形、指定客戶端應用三個大類。

以命令行字符方式進行運維的設備類型較為廣泛，網絡設備的交換機、路由器，服務器中的Linux、UNIX都可以通過ssh進行遠程運維。

在這類受管資產的功能規(guī)劃中，需注意x11 forwarding(xdmcp)、本地端口轉發(fā)及sftp支持的完備性，這些特性在實際運維過程中雖然不是必備，但能為運維過程管理增添更多可塑性，并且對受管設備的文件傳輸，Web頁面功能普遍不能做到文件夾下載和多文件上傳、下載，相應功能有賴sftp客戶端的支持來補足。除此之外，telnet會作為各個堡壘機的標配協(xié)議，但因為telnet的安全性較弱一般不推薦使用。

桌面圖形以Windows的RDP和Linux的VNC兩個大類為主開展運維。RDP協(xié)議的考察重點在網絡級身份驗證的支持，這一加密特性對運維會話的安全性起到保護作用，而VNC則需注意Linux桌面默認啟用了屏保，若堡壘機代管了VNC密碼則需取消相應設置以避免第二次進入VNC時無法代填密碼。

指定的客戶端，如navicat、plsql、Toad等數據庫客戶端、瀏覽器，以及定制開發(fā)的C/S應用客戶端，這類應用的分散性是日常運維監(jiān)管中的痛點。

在堡壘機上的實現方式主要是虛擬應用發(fā)布，該方式以屏幕變化量顯示在Windows運行的客戶端程序窗口界面，從而實現客戶端應用的遠程管理，運維用戶僅需堡壘機的插件，無須安裝C/S應用的客戶端，根據堡壘機廠家的研發(fā)能力，還能進一步實現客戶端賬號的代填與賬號管控。

對運維工作而言，基于角色的訪問控制無疑是對運維用戶最佳的權限管控模式，超級管理員、配置管理員、審計管理員、操作員等每種角色都可以按層級、按部門或按人員類別實現分組授權與權限繼承，該功能的重點在權限配置靈活性滿足了運維的各種場景。

資產的訪問權限，是堡壘機與其他基礎設施設備的突出區(qū)別，每個運維對象可以使用的登錄賬號及密碼由堡壘機集中管理，每個運維用戶針對每個資產允許使用的登錄賬號須一對一可配置，才能從權限分配的角度實現管控的精細化。

作為安全設備，審計功能是核心能力，圖形界面的錄屏，命令行的指令與文本編輯，數據庫SQL語句等每一個操作細節(jié)，都需要完整記錄，可追溯，可查詢，可持久保存，相應的日志和保存的記錄應可同步到其他存儲空間，在此基礎上，可自定義高危操作命令以實現阻斷或操作復核。

需要注意的是，錄屏所選取的編碼壓縮方案對細節(jié)的丟失，錄屏對切片間隔與基于起止時間搜索的優(yōu)化，以及圖形界面剪切板操作記錄便于回溯信息泄漏。

基礎設施服務是堡壘機自身運行不可或缺的支撐服務，如NTP用于校準時間并精確記錄日志，郵件服務發(fā)送各類交互信息，DNS服務解析B/S應用，LDAP/AD對接運維用戶身份認證等，它們是堡壘機技術架構運行依賴的服務。

面向運維用戶，堡壘機僅開放有限的端口，包括SSH客戶端、RDP客戶端、Web入口界面等運維對象的連接操作都以堡壘機的IP作為入口。

暴露的端口越少，屏蔽運維對象的信息越多，對安全的幫助越大，該入口可根據設備的健壯性和運維環(huán)境的要求，發(fā)布在互聯網或通過VPN進行連接。

當運維用戶發(fā)起的運維對象是RDP和SSH時，堡壘機作為代理轉發(fā)請求到真實的運維對象相應的端口，這些運維對象僅需向堡壘機開放端口。

應用服務在安裝堡壘機專有插件后，作為堡壘機能力的擴展，以虛擬應用的形式向運維用戶提供應用程序的窗口界面，這里的應用程序指Windows上運行的B/S和C/S應用程序，如瀏覽器，數據庫客戶端，定制開發(fā)的應用系統(tǒng)等，這些應用都安裝并運行在應用服務這個角色中。

該角色本身部署了終端服務的Windows服務器，用戶一端接收和操作的只是窗口的屏幕變化量，不用安裝對應的B/S和C/S客戶端，所有真實的連接發(fā)生在應用服務和運維對象之間，運維對象僅需向堡壘機或應用服務開放端口，同時堡壘機配置和約束B/S、C/S允許運維用戶訪問的URL、IP、賬號等資產信息。

B/S應用最典型的莫過于各種設備帶外管理和系統(tǒng)的后臺管理等Web界面，這些Web界面在防火墻防護策略中很難精準對應到運維人員，而堡壘機則解決了這一痛點。