JumpServer 堡壘機護航順豐科技超大規模資產安全運維

2020-12-12 FIT2CLOUD飛致雲

面對體量龐大且仍在保持飛速增長的IT基礎設施,作為順豐的IT定向服務商,順豐科技需要構建更加靈活、支持彈性擴張和高可用的運維安全審計體系。

挑戰:堡壘機要兼顧海量資產納管與高可用

順豐科技現實的運維管理需求,對堡壘機的能力提出了更高的要求:

■ 堡壘機需要支持多雲基礎設施。混合雲的持續推廣使用加大了IT基礎設施管理的複雜程度。針對包含傳統KVM、私有雲、公有雲等類型的IT基礎設施,企業需要堡壘機能夠適配和納管不同的IT組件,並進行統一的安全審計;

■ 堡壘機需要支持水平擴容。目前順豐科技管理的虛擬機資產已達到數萬規模,後續隨著業務的增長,資產數量也將持續增長。龐大且快速增長的IT資產需要堡壘機在資產納管方面更具可擴展性,並且能夠應對突發性的業務需求。

■ 堡壘機需要具備成熟的高可用以及容災部署架構。高可用的分布式技術為支撐平臺正常運行提供關鍵性的技術支持。容災系統在斷電、通信失敗、硬體/軟體錯誤等災難時確保用戶數據的安全性,並快速甚至不間斷地提供應用服務。順豐科技需要堡壘機提供持續可用、且快速容災切換的能力,保障企業內部不間斷的統一安全運維能力,有效支撐業務的持續運營。

■ 堡壘機服務能夠支持海量資產的軟體訂閱服務模式。傳統的堡壘機大都採用許可證銷售模式,對於具有超大規模資產的用戶來說,企業需要一次性地投入大額支出。一些堡壘機廠商雖然提供了軟體訂閱服務模式,卻並沒有針對企業擁有超大規模資產的實際場景提供更加靈活、經濟的服務模式。從自身的需求出發,順豐科技希望堡壘機能夠提供針對海量資產納管的軟體訂閱服務解決方案。

實現:JumpServer支持超大規模資產高效、安全運維

通過前期的技術選型,以及中期完整的功能測試和性能測試,順豐科技對JumpServer堡壘機的產品設計、水平擴容能力、高可用和容災部署架構、API接口體系等特性進行了充分驗證,最終選擇基於JumpServer堡壘機構建面向超大規模資產管理的安全運維審計系統。

附圖1 順豐科技運維安全審計系統架構

附圖2 順豐科技容災系統架構

在實現大規模資產納管的基礎上,順豐科技還基於JumpServer堡壘機軟體訂閱服務所附含的X-Pack增強包實現了對IT資產的多層級管理需求。對於登錄用戶的身份鑑別,JumpServer堡壘機對接了順豐科技的LDAP和Radius,提供多因子認證功能,延續了順豐科技之前身份令牌的使用習慣,有效避免了帳號混用等安全隱患。

JumpServer堡壘機還提供面向Windows、Linux系統的審計能力,可對每一位用戶的每次操作進行記錄和留痕,所有通過堡壘機的操作都會進行錄像,並且對接了企業內部的Swift對象存儲,防止錄屏文件丟失。管理員可在事後對所有連接操作進行審計,有效杜絕了安全責任不清晰等問題。

此外,為了保障用戶使用的便捷性,順豐科技還在JumpServer堡壘機的操作細節上進行了很多優化,例如用戶的創建、用戶登錄驗證流程、LDAP用戶查詢和導入、API接口、資產信息過濾查詢等,大幅提升了用戶的使用體驗。

突發:疫情期間經受遠程辦公考驗

JumpServer堡壘機在順豐科技上線後不久便遇到了新冠肺炎疫情的突發情況。在這一特殊時期,堡壘機需要承載順豐科技大量用戶的遠程辦公需求,JumpServer堡壘機成功經受住了一系列的嚴苛挑戰,支持順豐科技有效解決了遠程安全運維問題。

■ 大規模的遠程辦公從終端和鏈路的角度看,遠程辦公員工訪問的身份、設備、網絡都是很難可控的。站在企業伺服器的角度,在遠程訪問時,企業服務暴露在公網上,傳統的安全邊界被打破,而僅僅依靠防火牆等傳統安全防護措施難以抵禦,可能面臨機密信息外洩的風險。

順豐科技通過JumpServer堡壘機對接其統一認證服務中心的多因子認證系統,同時提供了文件上傳/下載,文本複製/粘貼、命令過濾器和中斷危險會話等精細化的控制能力,防止核心機密信息的外洩。這樣一來,認證體系不僅能為業務訪問提供保障,還使得用戶操作全過程可管可控,有效降低了信息安全管控的風險。

■ 疫情期間,遠程辦公需求呈現指數級增長的態勢,傳統堡壘機應對如此爆發式的訪問需求是十分困難的。JumpServer堡壘機通過分布式的架構設計,在保障現有服務平穩運行的前提下,快速進行水平擴容,為順豐科技數千人的遠程辦公保駕護航。

附圖3 JumpServer堡壘機支持順豐科技遠程辦公

收益:用戶體驗更優,實現成本更經濟

通過部署並上線運營JumpServer堡壘機,順豐科技獲得的收益包括:

■ 獲得了強大的可擴展能力和優秀的安全管控能力。JumpServer採用了分布式的設計架構,不同組件可以實現獨立部署,並進行橫向擴展,提供強大的水平擴容能力。這種架構能夠應對遠程辦公急速增長的訪問需求,並且提供優質、穩定的服務。另外,基於多因子認證機制,上傳/下載和複製/粘貼等權限控制能夠更好地管控遠程辦公等場景下的安全運維風險;

■ 用戶體驗更優。JumpServer堡壘機支持用戶通過瀏覽器登錄,以及通過多種客戶端登錄,用戶的傳統使用習慣得以延續,為用戶操作提供了充分的便利性。JumpServer堡壘機軟體訂閱服務附含的X-Pack增強包提供多組織管理功能,支持混合雲資產的一鍵導入,有效降低管理員的工作量。

■ 合理、可預期的建設成本,以及可靠的商業技術支持。藉助JumpServer堡壘機軟體訂閱服務(旗艦版),順豐科技實現了對海量資產的高效管理,同時支持高並發訪問,服務價格不會因為資產數量的擴張而增加,有效控制安全運維體系的建設成本,並且可以持續獲得JumpServer堡壘機原廠的專業技術支持,保證整體方案的平穩落地和高效運營。

在未來,順豐科技將根據自身的IT建設規劃,對JumpServer堡壘機運維管理體系進行持續建設,包括對遠程辦公模式的深入探索,以及與順豐科技Kafka消息隊列、順豐雲平臺等系統進行對接,對用戶、資產和授權信息實現流程化、自動化的管理,持續提升用戶體驗和工作效率。

相關焦點

  • CentOS7下部署JumpServer開源堡壘機
    本文轉載自【微信公眾號:WalkingCloud,ID:WalkingCloud2018】,經微信公眾號授權轉載,如需轉載與原文作者聯繫JumpServer 是全球首款完全開源的堡壘機, 使用 GNU GPL v2.0 開源協議, 是符合 4A 的專業運維審計系統。
  • 堡壘機測評 紐盾、JumpServer、行雲管家三款堡壘機產品使用對比
    有幾個方面表現得特別突出:一是業務系統在不斷膨脹,用到的主機和服務(如資料庫)也隨之膨脹;二是業務系統在逐漸往雲上搬,使用的雲資源在逐漸增多;三是對安全要求越來越高了,業務系統本身要求穩定運行,運維操作也不容有失。
  • 全面適配IPv6,Jumpserver 堡壘機 V1.5.6 發布丨Release Notes
    2020年1月3日,Jumpserver堡壘機發布V1.5.6版本。該版本全面適配IPv6網絡環境,可在純IPv6網絡下運行和管理資產。此外,新版本還增加了對資料庫應用的授權管理,目前僅支持MySQL資料庫。
  • Docker 快速部署兩個開源堡壘服務-Webterminal和JumpServer
    我一直在尋找一種安全的方法來管理我的雲基礎架構,並在Guihub中找到了這兩個項目。兩者都提供了一個Web GUI,以支持主要的遠程管理協議以連接到遠程目標。JumpServer項目地址:https://github.com/jumpserver官網地址:https://www.jumpserver.org/相信諸位對堡壘機(跳板機)不會陌生,為了保證伺服器安全,加個堡壘機,所有ssh連接都通過堡壘機來完成,堡壘機也需要有身份認證,授權
  • 新增資產收藏功能,Jumpserver 堡壘機V1.5.4發布丨Release Notes
    2019年10月31日發布的 Jumpserver 堡壘機 1.5.4 版本新增資產收藏功能,支持用戶收藏常用資產。另外,該版本優化了前端界面顯示,升級組件依賴,使用了 Django 2.1.11 版本。新增功能1.
  • 支持Windows資產上傳/下載控制,JumpServer開源堡壘機v2.1.0發布
    7月20日,JumpServer開源堡壘機正式發布v2.1.0版本,在該版本中,Koko新增了支持GBK編碼的SSH Server連接,Guacamole新增Windows資產上傳/下載文件的審計記錄和對Windows資產上傳/下載的控制,同時該版本還完成了若干功能優化和Bug修復
  • 支持在線會話監控,JumpServer 堡壘機 V1.5.8 發布
    4月20日,JumpServer堡壘機發布V1.5.8版本,該版本新增在線會話監控等功能,並完成了若干功能優化和Bug修復。在JumpServer V1.5.8版本中,新增的在線會話監控功能允許管理員實時地監控在線SSH/Telnet會話,且不影響該會話的正常操作。
  • 知名網絡公司前員工刪庫,企業該如何保障雲環境下的運維安全
    雲計算給企業帶來了發展機遇,也讓企業面臨雲運維的安全挑戰隨著雲計算產業的發展,企業利用雲計算、上雲已成事實,根據IDC和Gartner的統計,2020年中國雲市場增速巨大,市場規模增長率超過近45%,預計到2021年中國雲市場將達到100億。
  • 新增系統監控功能,JumpServer堡壘機v2.6.0發布
    12月21日,JumpServer開源堡壘機正式發布v2.6.0版本。該版本的新增功能包括:新增系統監控功能,方便監控各個組件健康狀態;支持通過Excel文件對資源進行導入/導出;支持手動修改資產信息配置;支持對指定資產進行批量推送系統用戶;以及統一社區版和企業版Release包。
  • 綠牌續航我全都要,順豐找上了「增程式」
    ……順豐作為國內快遞物流代表企業,多年來秉承綠色低碳理念,致力於在企業運營管理、業務開展等方面實現綠色發展。以順豐速運重慶分公司(以下稱重慶順豐)為例。2020年,重慶正式開始淘汰國三、國四標準油車,重慶順豐也開始更大規模擁抱新能源物流車。
  • 支持CAS用戶登錄日誌審計,JumpServer堡壘機v2.3.0發布
    9月21日,JumpServer開源堡壘機正式發布v2.3.0版本。在該版本中,新增配置項可關閉工單菜單,用戶修改配置文件TICKETS_ENABLED=false,工單即隱藏。
  • 帕拉迪統一安全管理與運維審計系統PLDSEC SMS通過IPv6認證
    帕拉迪統一安全管理與運維審計系統PLDSEC SMS通過IPv6認證 2020年01月07日 16:35作者:網絡編輯:宏偉
  • Zero數據平臺 :保障用戶資產安全刻不容緩
    但是,由於安全基礎設施建設和防護不足,區塊鏈成為黑客攻擊的「重災區」,黑客事件層出不窮,保障用戶資產安全刻不容緩。 面對頻頻發生的黑客攻擊事件以及愈發「高明」的黑客攻擊手段,交易所各方應提高警惕,鳴響警鐘,切實守住行業生命線,通過與專業的安全公司展開合作,加固安全防線,建立完善和全面的安全防護機制。
  • 一個運維的存在感:微盟36小時事件,我們該反思什麼?
    一個運維的存在感:微盟36小時事件,我們該反思什麼? 今日,微盟發布有關微盟系統故障通告。通告指出,2月23日19點,系統監控報警,服務出現故障,大面積服務集群無法響應,生產環境及數據遭受嚴重破壞。
  • 創動科技:領航智能風光運維
    創動科技在展會上表現出蓬勃的創新活力,這背後源於創動科技多年來一直堅持促進能源網際網路的技術創新路線,密切關注分布式戶用光伏運維中存在的種種痛點,潛心研發,推出了緊貼時代需求的新產品。展會期間,5月29日,國際能源網/光伏頭條記者採訪了深圳創動科技有限公司總工程師尹成慶,當談到創動科技展出的新產品,尹成慶顯得躊躇滿志,他向記者介紹了創動科技新產品的新潮應用,也談了創動科技未來的技術研發路線和產品策略。尹成慶認為,智能風光運維是一個藍海市場,創動科技會繼續推進技術創新,努力培育市場,成為智能風光運維領域的領航者。
  • 優秀產品推薦——HYDO智能運維應用場景分享
    大數據時代,智能運維大數據平臺開創性實現了大規模數據中心的統一集中管理、實時監控、安全高效運行和自動化運維,它可以涵蓋動力環境、IT基礎設施、IT硬體、軟體、業務系統、雲服務等,實現多類型指標的精準管理和可視化呈現;具有故障自愈功能,協助運維人員開啟全天候無人值守模式。
  • 藍小歐車載安全機器人,車載安全黑科技為您行車保駕護航
    藍小歐車載安全機器人,車載安全黑科技為您行車保駕護航 來源:財訊網 • 2020-11-03 17:20:53
  • 青島交警體驗順豐同城急送騎士:高效配送安全先行
    然而,為了搶時間、提高效率,一些配送員便會出現超速、逆行、闖紅燈等交通違法行為,因此配送員的交通安全問題受到了社會各界的廣泛關注。那麼,配送員該如何在遵守交通規則、確保安全的前提下,實現配送服務的高效、及時呢?近日,青島市交警「變身」順豐同城急送騎士,親身體驗騎士平日裡的配送工作,按照順豐同城急送的標準服務模式為用戶提供幫送服務。
  • 4S+出行服務賦能經銷商,GOFUN科技推動汽車資產流通升級
    現場,GOFUN科技成功入圍「經營服務模式創新企業」,並以疫情期間守護安全出行的優秀表現獲得「傑出社會責任獎」。同時GOFUN科技CEO譚奕圍繞「經銷商如何在出行領域突破」進行主題演講,對經銷商轉型升級發表前瞻性見解。