无论何时，何种场景，堡垒机都是必要的。可以给你以下几点建议：
1.网络方面：阿里云使用的VPC（虚拟网络），你们公司到服务器走的是公网ssh？如果不是做了专线做了穿刺的话，那就是公网ssh，这是极其危险的。建议服务器web防火墙关闭所有外网的ssh端口，仅开放:192.168.0.0/16,172.10.0.0/12以及10.0.0.0/8 3个内网CIDR段；
2.堡垒机及跳板机，购买一台服务器具备公网IP，且与你生产服务器同一虚拟网络下，这台服务器既是跳板机也是堡垒机，安装jumpserver，录入线上服务器信息，录入前最好更改所有服务器密码，收归统一管理，所有人不得直接使用root用户登录，堡垒机录入用户也该为op或者dev用户，只有需要提权的时候使用sudo或者sudo -i进行操作，堡垒机对所有操作做审计，如果密码没有回收，其他用户仍然可以跳过堡垒机直接连接服务器，不能起到审计作用；
3.key与非key其实并不重要，看具体场景，但如果严格要求的话，是禁止使用key登录，堡垒机也禁止录入服务器key，因为根据安全要求，服务器密码也应该在90天更换一次，减少密码写录得风险。
上述组重要的是避免公网SSH，该操作风险为超高。如果一定要通过公网SSH，务必限制入站规则为限定IP，比如公司的静态公网出站IP。