成都依能科技股份有限公司(以下簡稱為“依能科技”)成立于2004年,是一家總部位于四川成都的教育資訊化行業軟體企業,主要為學曆教育和職業教育訓練機構提供SaaS雲平台及配套産品和服務。在其所服務的客戶中,很多高等院校對于IT服務的資訊安全有着非常嚴格的要求。
出于安全審計以及業務拓展的需要,依能科技在IT運維的安全性、管理規範性等方面進行了深入的考量,這些實際的需求驅動着依能科技建構自己的運維安全審計平台。
業務面臨的痛點和需求
依能科技的業務主要面向職校、高校客戶,随着公司業務的快速發展,依能科技的運維團隊所管理的IT資産規模迅速擴張,并且擁有衆多包含阿裡雲、華為雲、亞馬遜AWS在内的混合雲資産以及本地部署的資産,IT環境較為複雜。
同時,高校對于運維安全的要求越來越高,依能科技運維團隊日常的運維工作日趨繁重,同時也面臨着更多的挑戰:
1. IT資産缺乏統一的通路途徑
依能科技的運維團隊成員通常是通過各自常用的終端工具連接配接到伺服器進行運維工作的,公司的IT資産缺乏統一的通路入口和途徑。每次連接配接新的伺服器都需要在終端工具中建立伺服器,伺服器的密碼更新也需要運維人員手動操作來維護,工作效率低下,管理維護成本也比較高;
2. 系統存在安全隐患
在使用堡壘機之前,依能科技的伺服器密碼是由運維人員通過Excel表格進行維護和管理的。這樣的維護方式使得伺服器密碼存在很大的洩露風險,系統具有很大的安全隐患,不利于公司進行安全運維和規範管理;
3. 操作審計問題
由于沒有統一的運維安全審計平台,運維團隊無法對團隊内外成員的操作行為進行追溯。使用者的一些誤操作行為很有可能會導緻系統出現問題。系統一旦出現故障,由于沒有錄像審計,公司很難定位是誰做了什麼操作造成了故障的發生。定位故障問題的成本很高,同時也會導緻系統無法及時進行排查和修複,影響公司業務的正常運作。
同時,伺服器還可能由于各種原因發生當機等故障,影響客戶的使用。在私有化部署傳遞的場景中,依能科技傳遞給客戶的最終形态是“軟體+硬體”的形式,硬體裝置由其他廠商提供。是以,如果伺服器出現故障,依能科技的運維人員就需要到客戶現場去确認故障到底是軟體還是硬體造成的,故障排查的時間成本和人力成本都非常高。
▲圖1 運維人員需分别進行操作審計
針對以上痛點和需求,依能科技急需改變IT運維的方式,建構一個更安全、更規範的運維安全管理系統。
為什麼選擇JumpServer?
為了解決運維過程中出現的種種問題和挑戰,依能科技啟動了建構企業級運維安全審計平台的工作。依能科技的運維團隊負責人白雲開始尋找運維審計解決方案,發現JumpServer開源堡壘機滿足了依能科技對堡壘機的所有想象,能夠很好地解決公司目前面臨的主要需求:
■ 統一資産通路門戶
通過登入JumpServer,運維人員可以直接通路已經授權的伺服器進行運維管理工作。這樣一來,就獲得了統一的運維通路門戶,使用起來十分便捷。同時,伺服器的賬号密碼統一托管在JumpServer中,運維人員無需再花費額外的精力來管理伺服器的賬号和密碼,大幅提高了運維團隊的管理效率;
■ 錄像審計
JumpServer堡壘機支援日志審計和會話管理功能,使用者可以通過JumpServer進行錄像審計,記錄所有使用者的操作行為。一旦伺服器發生故障,管理者可以通過錄像回放快速定位故障原因,確定問題及時得到解決,快速恢複業務的運作。同時,錄像回放還可以提供證據來證明故障是否是由于公司運維人員的誤操作行為引起的,有效避免了需要和硬體供應商厘清責任的情況發生;
■ 開源開放
JumpServer作為一款廣受歡迎的開源堡壘機,提供了一個開源開放的平台,使用者可以非常友善地在GitHub上下載下傳部署和體驗JumpServer。JumpServer開源堡壘機有着非常活躍的開源社群群,開源愛好者可以在裡面暢所欲言,交流各自遇到的問題,還能和JumpServer的支援團隊實時進行溝通,提出對JumpServer的需求和回報,讓JumpServer的功能不斷地進行疊代和改進。
▲圖2 JumpServer堡壘機的部署架構
考慮到運維的便利性,依能科技選擇了單機部署的部署方式。在公司内部部署JumpServer堡壘機,将所有的伺服器、網絡裝置、安全裝置和資料庫都部署在一台主機上,通過JumpServer堡壘機來運維管理公司内部以及學校客戶的伺服器。
在依能科技如今實行的CI/CD(持續內建/持續傳遞)傳遞模式下,公司的運維人員需要頻繁地通路和管理衆多伺服器,采用單機部署模式的JumpServer在如此高頻的使用場景中依然能夠持續穩定地提供服務。
JumpServer帶來的價值收益
在實際使用過程中,依能科技逐漸體驗到了JumpServer的很多功能亮點,以及其為公司業務營運帶來的價值收益:
■ 部署使用便捷
依能科技的運維團隊之前并沒有接觸過堡壘機這類産品,但是參照JumpServer的官方文檔,就可以輕松實作一鍵部署,部署過程非常簡單快捷,而且版本之間更新也十分順滑。
同時,JumpServer的UI界面簡潔明了,在公司内部推行的時候,使用者花費很少的時間成本就可以學會堡壘機的基本使用技能,在短時間内都可以非常容易地上手使用JumpServer,提升了使用者的使用體驗和效率;
■ 疊代速度快
JumpServer堅持按月疊代釋出新版本,每次發版都會聆聽社群使用者的聲音,收集使用者的建議,增加新的功能。在功能疊代的過程中,JumpServer也給依能科技帶來了很多驚喜,比如通過用戶端連接配接資料庫功能、RDP連接配接Windows資産的功能優化等。在後續的疊代中,JumpServer不斷提供的新功能,解決了依能科技在資料庫管理等方面的需求,滿足了公司的運維要求;
■ 穩定運作保障
依能科技向客戶傳遞的SaaS軟體主要采用CI/CD的傳遞模式,公司的運維人員需要頻繁地進行運維操作,是以堡壘機的穩定性對于依能科技的運維團隊來說至關重要。JumpServer符合4A規範,提供了專業的原廠技術服務支援,能夠有效保障企業運維安全審計系統的穩定運作。
目前,JumpServer在依能科技的SaaS服務叢集持續內建上發揮了重要作用。後續在私有化部署傳遞的場景中,依能科技也會繼續采用JumpServer進行高效的傳遞運維。同時,JumpServer安全規範的運維方式也讓客戶更加放心,提高了高校客戶的滿意度。
JumpServer的未來應用規劃與期望
經過兩年左右的實際使用,依能科技收獲了一些JumpServer的使用心得,在擴大JumpServer的應用範圍方面也有了自己的規劃和節奏。
首先,需要遵循權限最小化原則,進一步細化運維人員權限。基于JumpServer建構一套權限管控機制,提高系統的安全保障;
其次,針對危險指令增加高危指令複核,有效限制使用者的操作行為,從流程上提升公司安全管控的能力。
作為一款按月疊代的堡壘機,JumpServer每月都會釋出新增功能。在功能性方面,依能科技希望JumpServer能夠進一步強化批量指令功能,比如自動化腳本批量下發,交換機批量管理等,希望JumpServer在未來能夠持續增加對自動化運維的支援。
此外,如今各類高校以及政企的IT建設國産化趨勢日益明顯,也希望JumpServer未來能夠考慮增加對政企常用的政務雲的支援,擴大雲上資産的管理範圍。