編者注:在2022年8月20日舉辦的“2022 JumpServer開源堡壘機城市遇見· 武漢站”活動中,東風康明斯資深資訊安全工程師蔡陽分享了題為《JumpServer在東風康明斯的實踐》的主題演講。以下内容根據本次演講整理而成。
東風康明斯發動機有限公司(以下簡稱為東風康明斯)位于湖北省襄陽市,是湖北省代表性的制造業企業。該公司由東風汽車股份有限公司和美國康明斯公司各占50%的股權比例合資興建,以柴油發動機制造為主要經營業務。
東風康明斯資深資訊安全工程師 蔡陽
在工業4.0浪潮的影響之下,包括東風康明斯在内的制造業企業都開始進行數字化轉型。“數字化”簡而言之就是要打通各個系統,打破資料孤島,實作各個系統的實時連接配接,最後建立統一的資料湖等應用體系。
“數字化”對IT資産的連接配接性要求非常高,特别是對于智能制造企業來說,很多工業裝置都需要連接配接到網絡中,這其中的資訊安全隐患不容忽視,是以需要從管理、運維等多個方面進行考慮。
資産管理的痛點
對于東風康明斯來說,數字化轉型的過程中對IT及工業裝置的規範化管理和安全運維是一項非常重要的工作。而在實際的工作中,對IT資産和工業裝置的統一運維一直存在着挑戰,主要展現在以下幾個方面:
1. 資産碎片化,運維工作量大
東風康明斯目前擁有虛拟伺服器有300多台,實體機50多台,還有一些工業裝置分布在不同的工廠中的房間,資産和基礎設施的分布範圍很廣,這就導緻了日常的審計和運維的工作量都非常大。如果這些工作交給不同的服務商去處理,一方面是工作比較分散不好控制,另一方面也存在着很大的安全隐患。是以,公司急需一個統一的資産管理和運維審計平台來處理這些繁雜的工作;
2. 監管難
作為一家智能制造企業,東風康明斯需要與很多外部供應商進行對接,其中也有很多的外國廠商。在這種情況下,如果沒有一個安全審計的平台,使用者的通路和操作都會存在風險。如果沒有嚴格的通路管控體系,非常容易發生資料丢失的情況,且無法對系統故障進行有效的追溯。是以,加強對資訊系統安全性的監控是急需解決的問題;
3. 需要專業的支援服務
為了減少使用上的學習成本,以及更快速地排查問題,東風康明斯希望這個統一的運維安全管理平台能夠提供專業化的日常支援服務,在使用過程中出現任何問題都可以及時向專業的技術人員咨詢并得到解答。
為什麼選擇JumpServer?
經過對市場上主流堡壘機的考察和實際測試,東風康明斯最終選擇部署JumpServer堡壘機企業版。相比傳統的堡壘機,JumpServer堡壘機所具有的優勢包括:
1. 開源
JumpServer是一款開源軟體。開源軟體在對接東風康明斯的OA系統(也就是工單系統)上具有很大的優勢。在OA系統中使用者發起權限審批之後,我們可以通過JumpServer在審批後給使用者自動賦權,不需要運維人員進行重複性的操作。
此外,JumpServer還是一款每月進行更新疊代的開源軟體,在版本的更新過程中會增加很多我們需要的新功能,不斷提升我們對堡壘機的使用體驗;
2. 安全
在等保2.0規範的要求下,企業對網絡安全保護的要求越來越嚴格。事實上,不管是運維安全審計,還是伺服器的專業化管理,都對企業提出了更高的要求,“通過一個統一的平台管理多種類IT資産”已經成為一種必需。JumpServer滿足4A規範,能夠滿足企業運維安全審計的實際要求;
3. 易用
JumpServer這款堡壘機是非常容易上手的,其設計很符合中國使用者的使用習慣。此外,JumpServer還提供了多元化的部署方式,并且可以同步管理雲上的主機和本地虛拟化平台的主機,有效降低了管理多雲資産的成本;
4. 專業服務支援
JumpServer企業版提供四大服務支援:一是提供專業教育訓練,幫助我們系統地學習如何正确地使用JumpServer,避免走彎路;二是提供原廠服務,遇到的技術問題能夠快速解決,減少問題排查和定位的時間;三是提供解決方案,針對于企業内部資産管理的需求提供專業的解決方案;四是快速響應,對于我們提出的問題和需求,都能夠快速地給予回報和解決。
JumpServer在東風康明斯的應用場景
1. 部署模式
目前,東風康明斯主要使用JumpServer來管理私有雲資産,是以我們最終采用的是主備架構的部署方式,并将資料庫MySQL和Redis進行了抽離部署,即MySQL采用主主同步,Redis采用主從同步。錄像存儲則對接到了NFS伺服器之上。
▲ 東風康明斯JumpServer部署架構圖
2. 工單管理
外部供應商對公司資源的通路授權需要通過工單進行申請,登入和連接配接資産等操作都需要管理者進行審批。管理者審批通過後,JumpServer不需要再進行手動授權,可以自動給帳号配置設定相應的伺服器資源以及相應的權限。
▲ 工單申請
3. 對接企業微信
JumpServer支援對接企業微信入口。管理者可以免密登入到JumpServer背景,不需要登入OA系統,在企業微信中就可以使用移動裝置直接進行工單審批,大大減少了運維的工作量。
▲ 企業微信工作台添加JumpServer入口
▲ 在企業微信中即可進行工單審批
4. 批量改密
在使用JumpServer之前,我們修改密碼需要各個系統的管理者進行手動操作。一方面工作量很大,另一方面密碼設定的安全性也不高,經常出現使用弱密碼的情況。JumpServer的批量改密功能幫助我們解決了這一問題。
使用JumpServer進行定期批量改密之後,密碼設定滿足等保合規的要求,還很好地解決了資産種類和數量過多帶來的重複工作問題。
▲ 批量改密計劃
5. 通過Syslog對接到日志系統
基于JumpServer,東風康明斯通過Syslog對接到日志系統,實作了日志的統一管理。這樣一來,我們的操作審計、高危指令、操作審計檔案上傳/下載下傳等指令都可以得到記錄。
▲ 通過Syslog對接到日志系統
6. 資料庫代理直連審計
對于公司的研發和DBA同僚來說,他們更習慣使用用戶端的形式進行資料庫連接配接和操作。JumpServer的Magnus元件支援資料庫代理直連審計,在完成資料庫審計操作的同時,還保留了使用者之前的操作習慣。
▲ 資料庫代理直連
總結
對于東風康明斯來說,通過JumpServer堡壘機,我們實作了對伺服器等資産的統一管理,實作了運維操作路徑的唯一性,滿足了我們内部對于安全運維的要求。權限控制方面,基于JumpServer的工單管理、登入控制、指令過濾等功能,有效實作了對外部供應商的權限控制,不必再擔心賦權問題的錯亂給IT營運帶來負面影響。
此外,JumpServer還支援主備高可用的部署方式,提供了容災備份能力,在面對突發情況時可以迅速啟用備份系統,確定系統安全運維能力可持續。