網(wǎng)絡(luò)安全問題是企業(yè)信息化建設(shè)過程中非常重要的一環(huán),,近年來安全事故的頻發(fā),,越來越多的企業(yè)意識(shí)到網(wǎng)絡(luò)安全對(duì)于企業(yè)的重要性。伴隨著企業(yè)IT進(jìn)入深度異構(gòu)化和分布式的發(fā)展階段,,更多的企業(yè)出于兼顧資源彈性伸縮,,以及核心業(yè)務(wù)應(yīng)用安全管控與法規(guī)遵從的需要,,選擇采納混合IT架構(gòu),。混合IT基礎(chǔ)設(shè)施由此成為企業(yè)IT的新常態(tài),。
堡壘機(jī)是企業(yè)面向分布式IT架構(gòu)進(jìn)行運(yùn)維安全審計(jì)的必備組件,。借助堡壘機(jī),企業(yè)可以對(duì)異構(gòu)IT資產(chǎn)進(jìn)行集中管理,,并且構(gòu)建統(tǒng)一訪問入口,,從而有效地控制IT系統(tǒng)的運(yùn)維風(fēng)險(xiǎn)。針對(duì)上述背景,,安全牛發(fā)布本期牛品推薦——JumpServer開源堡壘機(jī),。與傳統(tǒng)堡壘機(jī)相比,JumpServer 堡壘機(jī)采用了分布式架構(gòu)設(shè)計(jì),,支持多云環(huán)境并可自動(dòng)同步云上資產(chǎn);JumpServer 支持水平擴(kuò)展,、以及超大規(guī)模資產(chǎn)數(shù)量(萬臺(tái)資產(chǎn)以上)和高并發(fā)訪問,,其采用的容器化部署方式,能夠?yàn)橛脩籼峁┦褂眯Ч玫腤eb Terminal,。
#牛品推薦第十五期 #
01 標(biāo)簽
開源,、運(yùn)維安全審計(jì)、分布式架構(gòu),、容器化部署,、分層解耦、多云支持
02 用戶痛點(diǎn)
■ 資產(chǎn)規(guī)模的快速增加帶來的管理復(fù)雜度提升
傳統(tǒng)的堡壘機(jī)是通過手動(dòng)錄入IP或者Excel表格進(jìn)行資產(chǎn)導(dǎo)入,,但是對(duì)于現(xiàn)在動(dòng)輒幾千甚至上萬臺(tái)的機(jī)器,,如果需要人工錄入,這種方式不僅效率低還容易出錯(cuò),。而且在資產(chǎn)頻繁變更的情況下,,這樣的管理方式可能會(huì)逐步發(fā)展到不可控的階段。
■ 復(fù)雜的訪問端環(huán)境造成額外的維護(hù)成本
傳統(tǒng)堡壘機(jī)方案中用戶接入門檻高,,維護(hù)成本偏高,。越來越多的企業(yè)需要堡壘機(jī)能夠提供“傳統(tǒng)客戶端+Web接入”的雙重訪問模式,尤其是Web接入的需求越來越強(qiáng)烈,。傳統(tǒng)方案在Web接入方式上普遍采用較為原始的瀏覽器插件模式,,導(dǎo)致大量的瀏覽器插件不匹配、用戶無法升級(jí)瀏覽器等影響用戶使用體驗(yàn)的問題,,嚴(yán)重影響了堡壘機(jī)的接入訪問效率,。
■ 分散資產(chǎn)帶來的管理成本增加
企業(yè)的IT資產(chǎn)分散在全國各地,各個(gè)地區(qū)間網(wǎng)絡(luò)連接的帶寬,、穩(wěn)定性給堡壘機(jī)的管理帶來了很多的不確定因素,。分支機(jī)構(gòu)越多,,機(jī)構(gòu)之間的距離越遠(yuǎn),往往會(huì)帶來更高的管理成本,。傳統(tǒng)堡壘機(jī)的解決方案是在每個(gè)區(qū)域購買一臺(tái)堡壘機(jī),,多個(gè)區(qū)域組成一個(gè)大的集群,這種方案不僅造成了大量的成本浪費(fèi),,也給管理上帶來了很多不必要的麻煩,。
■ 審計(jì)對(duì)象的復(fù)雜化
當(dāng)下IT技術(shù)的演進(jìn)速度越來越快,基礎(chǔ)設(shè)施層面隨著Kubernetes成為容器云建設(shè)的首選標(biāo)準(zhǔn),,以及數(shù)據(jù)庫層一些新型數(shù)據(jù)庫產(chǎn)品的出現(xiàn),,傳統(tǒng)堡壘機(jī)支持的審計(jì)對(duì)象已經(jīng)遠(yuǎn)遠(yuǎn)不夠,需要將新出現(xiàn)的IT基礎(chǔ)設(shè)施對(duì)象考慮進(jìn)來,。
03 解決方案
JumpServer是一款完全開源,、符合4A規(guī)范(包含認(rèn)證Authentication、授權(quán)Authorization,、賬號(hào)Accounting和審計(jì)Auditing)的運(yùn)維安全審計(jì)系統(tǒng),。JumpServer的后端技術(shù)棧為Python/Django,前端技術(shù)棧為Vue.js/Element UI,,遵循Web 2.0規(guī)范,。
與傳統(tǒng)堡壘機(jī)相比,JumpServer采用了分布式架構(gòu)設(shè)計(jì),,可靈活擴(kuò)展,,水平擴(kuò)容。JumpServer還采用了領(lǐng)先的容器化部署方式,,并且提供純?yōu)g覽器化Web Terminal,。同時(shí)支持對(duì)接多種公有云平臺(tái),滿足企業(yè)在多云環(huán)境下部署使用,。針對(duì)企業(yè)用戶網(wǎng)絡(luò)安全等級(jí)保護(hù)要求,,JumpServer堡壘機(jī)已經(jīng)獲得公安部頒發(fā)的“計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證”,能夠助力企業(yè)快速構(gòu)建身份鑒別,、訪問控制,、安全審計(jì)等方面的能力,為企業(yè)通過等級(jí)保護(hù)評(píng)估提供支持,。
相比 JumpServer開源版,,JumpServer企業(yè)版提供面向企業(yè)級(jí)應(yīng)用場景的X-Pack增強(qiáng)包,以及高等級(jí)的原廠企業(yè)級(jí)支持服務(wù),,有效助力企業(yè)快速構(gòu)建并運(yùn)營自己的運(yùn)維安全審計(jì)系統(tǒng),。目前,JumpServer堡壘機(jī)企業(yè)版用戶已經(jīng)廣泛覆蓋銀行,、證券,、制造,、交通運(yùn)輸、互聯(lián)網(wǎng)等行業(yè)企業(yè),。
JumpServer充分吸收了過去多年互聯(lián)網(wǎng)產(chǎn)品的發(fā)展經(jīng)驗(yàn),,采用了分層解耦的設(shè)計(jì)理念。其產(chǎn)品架構(gòu)如下圖所示:
附圖JumpServer的產(chǎn)品架構(gòu)
從附圖可以看出,,JumpServer產(chǎn)品從下至上可以分為存儲(chǔ)層,、數(shù)據(jù)層、核心層,、接入層和負(fù)載層,,包括MySQL/Redis、CORE,、Koko/Guacamole,、Luna等核心組件。
■存儲(chǔ)層用于產(chǎn)品的各種數(shù)據(jù)存儲(chǔ)(包括元數(shù)據(jù)及各種審計(jì)數(shù)據(jù)),,存儲(chǔ)可以是本地存儲(chǔ),,也可以是傳統(tǒng)SAN存儲(chǔ)、文件存儲(chǔ)或者對(duì)象存儲(chǔ)等,;
■數(shù)據(jù)層采用MySQL存儲(chǔ)產(chǎn)品中的用戶、資產(chǎn),、授權(quán)等核心數(shù)據(jù),,并使用Redis提供對(duì)核心數(shù)據(jù)的訪問加速,提升用戶的訪問體驗(yàn),;
■核心層用于對(duì)用戶,、資產(chǎn)和授權(quán)等核心數(shù)據(jù)進(jìn)行處理,并提供相應(yīng)的管理控制臺(tái),。位于該層的CORE組件使用Django Class Based View風(fēng)格開發(fā),,支持Restful API接口;
■接入層負(fù)載接入來自終端客戶(Web終端或者傳統(tǒng)客戶端)的連接請求,。JumpServer根據(jù)接入的連接類型是字符型還是圖形型提供兩個(gè)獨(dú)立的接入組件,,分別是Koko和Guacamole。其中,,Koko組件實(shí)現(xiàn)了SSH Server和Web Terminal Server,,提供SSH和WebSocket接口,以方便用戶通過Web端和傳統(tǒng)SSH客戶端登錄使用,。組件實(shí)現(xiàn)RDP連接功能,,提供純Web方式的圖形化界面操作能力。JumpServer也為數(shù)據(jù)庫提供了一個(gè)單獨(dú)的接入組件——OmniDB,。通過集成OmniDB開源項(xiàng)目,,JumpServer的用戶能像使用Navicat一樣,,在Web端操作數(shù)據(jù)庫,目前支持的數(shù)據(jù)庫種類包括MySQL,、MariaDB,、Oracle和PostgreSQL。另外,,接入層還提供純Web模式的接入,,JumpServer設(shè)計(jì)了一個(gè)純?yōu)g覽器版本的終端,即Luna組件,;
■負(fù)載層承載用戶接入流量的負(fù)載均衡,。用戶可以選擇純軟件的負(fù)載均衡方案(例如Nginx),或者傳統(tǒng)的硬件負(fù)載均衡設(shè)備(例如F5),。
04 用戶反饋
“通過采納JumpServer堡壘機(jī)企業(yè)版,,我們在幾天內(nèi)就完成了JumpServer堡壘機(jī)從0.3.2到1.4.9版本的升級(jí),將超大規(guī)模的資產(chǎn)遷移至新平臺(tái),。整個(gè)遷移過程數(shù)據(jù)完整,,平臺(tái)使用無影響。與此同時(shí),,F(xiàn)IT2CLOUD飛致云的專業(yè)服務(wù)團(tuán)隊(duì)還在持續(xù)保障平臺(tái)安全運(yùn)營和專業(yè)服務(wù)支持方面給我們提供了非常大的幫助,。”
——小紅書 潘雨順
“很早就使用JumpServer了,,主要還是針對(duì)”網(wǎng)絡(luò)設(shè)備+服務(wù)器“運(yùn)維管理,,全Web操作,還提供了Koko直連操作,,無需安裝額外插件,,很棒;也推薦給身邊得很多朋友,,很多用過得朋友都說很棒,,都用得很好,希望JumpServer做得越來越好,?!?/p>
——盧煒君
“2016年年底接觸Django的時(shí)候就稍微關(guān)注了下JumpServer,真正開始使用是的1.5.x版本,。對(duì)我們運(yùn)維來說最大的好處就是可以強(qiáng)制提升服務(wù)器的密碼復(fù)雜度和密鑰登陸,,只需要接入公司的LDAP就可以讓所有研發(fā)連接服務(wù)器而不需要再給他們密碼或者密鑰,大大減少了密碼密鑰泄漏的幾率,?!?/p>
——路先生
“從2018年開始,隨著公司人員規(guī)模增加及各種人需要服務(wù)器權(quán)限,,為了方便管理,,找了幾款跳板機(jī),,最終使用JumpServer;JumpServer的資產(chǎn)管理非常不錯(cuò),,可以精細(xì)化的授權(quán),;作為公司唯一的運(yùn)維,有效保證了服務(wù)器安全訪問,,也方便了遠(yuǎn)程辦公時(shí)間的遠(yuǎn)程處理,。”
——黃再生
“去年公司開始數(shù)字化轉(zhuǎn)型,,業(yè)務(wù)上云,,之前的齊治堡壘機(jī)對(duì)部分云服務(wù)器不兼容,所以支持多云環(huán)境的堡壘機(jī)進(jìn)行選型,。在比較了多個(gè)堡壘機(jī)之后,,最終選擇了JumpServer。優(yōu)點(diǎn)就不一一列出了哈,,確實(shí)好用,。今年公司在測試飛致云云管平臺(tái)(可以對(duì)接JumpServer),希望合作愉快,。感謝JumpServer軟件和團(tuán)隊(duì),。”
——陳建新
“18年4月份開始使用訂閱版本的JumpServer,,在這之后逐步統(tǒng)一了公司的所有生產(chǎn)設(shè)備的管理,,在JumpServer的專業(yè)支持下順利完成了等保三級(jí)的認(rèn)證?!?/p>
——酷友
安全牛評(píng)
堡壘機(jī)是實(shí)現(xiàn)運(yùn)維監(jiān)控的重要產(chǎn)品。隨著網(wǎng)絡(luò)規(guī)模的增加以及分支機(jī)構(gòu)的成立,,傳統(tǒng)的堡壘機(jī)部署模式,,不僅會(huì)增加管理成本,也會(huì)降低堡壘機(jī)的工作效率,。未來堡壘機(jī)將向云化和服務(wù)化發(fā)展,。借助云平臺(tái),JumpServer堡壘機(jī)將以一主多從的賬號(hào)管理方式,,以云化的方式為不同物理空間的運(yùn)維人員提供統(tǒng)一的賬號(hào)登錄,。同時(shí),依托云架構(gòu)JumpServer可以對(duì)云端資產(chǎn)進(jìn)行統(tǒng)一運(yùn)維,,為未來云服務(wù)交付模式提供運(yùn)維基礎(chǔ),。
