作為全球動力技術先行者,康明斯(中國)投資有限公司(以下簡稱為康明斯中國)設計、制造、分銷多元的動力解決方案,并提供服務支援。公司産品囊括柴油及天然氣發動機、發電機組、交流發電機、排放處理系統、渦輪增壓系統、燃油系統、控制系統、變速箱、制動技術、車橋技術、濾清系統,以及氫能制造、存儲及燃料電池等産品。
康明斯公司創立于1919年,總部位于美國印第安納州哥倫布市,在全球擁有約59,900名員工,是全球最大的獨立發動機制造商。康明斯全球範圍内有10,600多家認證經銷網點和500多家分銷服務網點,面向190多個國家和地區的客戶提供産品和服務支援。2022年公司實作銷售額281億美元,淨利潤22億美元。
康明斯中國的運維安全審計需求
作為一家發動機制造企業,康明斯中國在運維安全審計方面的主要需求包括:
1. 等保合規要求
為了滿足公司外在安全合規的要求,康明斯中國迫切需要通過堡壘機來解決企業資料安全運維的問題,需要通過建設完善的運維安全審計平台,讓安全管理人員能夠對系統内的使用者和各種資源進行集中管理、集中權限配置設定和集中審計,同時整個運維管理體系需要遵從《網絡安全法》中資訊系統安全等級保護的相關規範和要求;
2. 資産統一入口通路
康明斯中國的資産主要分布在亞馬遜AWS、Azure等公有雲平台之上,通過專線打通辦公區域的網絡,公司内部各個業務系統均由各部門獨立進行管理,資産通路的入口不統一,管理起來十分繁瑣。
為了友善資産的統一管理,康明斯中國希望搭建統一的運維安全審計管理平台,對所有資産形成統一的通路運維入口,實作運維操作的路徑唯一;
3. 使用者系統內建,實作單點登入
目前康明斯中國的各個業務系統均采用OpenID實作SSO單點登入。為了滿足統一管理的需求,公司要求堡壘機同時具備身份認證系統和OpenID的對接能力,滿足使用者單點登入的需求,進而實作使用者身份的統一集中認證;
4. 實作各部門獨立管理和獨立審計
目前公司内部存在多個部門,各個部門的資産、人員權限的管理相對獨立。康明斯中國想要通過堡壘機實作對資産、人員的統一管理,既能滿足各部門獨立管理、獨立審計的需要,又能滿足公司層面統一管理、統一審計的要求。
堡壘機選型過程
基于以上的需求,康明斯中國開始在市面上尋找合适的堡壘機産品。經過多方比較和測試,最終選擇基于JumpServer來搭建統一的運維安全審計平台。康明斯中國認為,JumpServer的優勢包括:
1. 豐富的4A功能
作為一款被廣泛應用的開源堡壘機,JumpServer提供了強大的“4A”(即認證Authentication、賬号 Accounting、授權Authorization、審計Auditing)能力,能夠幫助康明斯中國建構符合等保合規要求的運維安全審計平台;
2. 易安裝、易維護
JumpServer的安裝過程很友善,支援線上和離線部署方式,維護也很簡單。特别是涉及到後續版本更新等問題時,JumpServer能夠實作平滑地向後相容,并且支援線上和離線的一鍵腳本化更新,真正實作了零門檻操作;
3. 使用者使用體驗佳
JumpServer支援B/S和C/S架構,使用者通路資産時無需安裝用戶端,通過浏覽器即可進行資産通路,真正做到了無插件化。同時,JumpServer可以滿足開發、運維、DBA(Database Administrator,資料管理者)等不同人員的通路需求,操作簡單便捷。
另外,在操作層面,JumpServer的操作界面布局清晰,功能設計也很簡約,對于沒有接觸過堡壘機的同僚來說,可以在極短時間内快速上手産品,不需要花費更多的學習成本,真正做到了易學和易用;
4. 架構靈活易擴充
JumpServer采用子產品化的設計架構,核⼼與節點解耦部署,真正實作了功能上的解耦。同時,JumpServer⽀持容器化部署或者在容器平台内部署運⾏,節點和核⼼可以随着資産與并發的增加⽆限擴充,靈活擴容。
除此之外,JumpServer還兼具單機、主備、主主、分布式等多種部署方案,可以滿足公司不同業務場景的使用需求。
JumpServer的部署架構
為了保證業務的高可用并提供良好的使用者體驗,康明斯中國采用了高可用設計架構,以確定公司業務和應用系統的持續穩定運作。
運維團隊也考慮了未來公司IT基礎設施的持續性建設程序,IT資産規模将不斷增加,是以系統需要具有水準擴充的能力。高可用架構同時也支援随時增加前端應用節點,進而進一步增強系統的支撐能力。康明斯中國的JumpServer部署架構如圖1所示。
▲圖1 康明斯中國JumpServer部署架構圖
這一部署架構對外提供統一域名,通過前端負載均衡裝置,對使用者的請求進行分發,實作負載均衡,同時對後端節點進行自動檢測。除了應用高可用外,MySQL、Reids均采用了高可用的部署方式,以確定資料庫服務不當機、資料不丢失。這樣的部署架構在滿足堡壘機服務高可用的同時,也可以靈活應對公司資産數量和使用者并發數持續增長的情況。
JumpServer的實踐場景
JumpServer堡壘機在康明斯中國内部主要有以下幾個高頻使用的場景:
■ 基于多租戶使用管理模式
JumpServer支援多租戶管理,通過劃分組織進行組織間資源與權限的隔離,進而實作不同組織的獨立管理、獨立審計。在統一管理、統一審計的前提下,管理者針對公司不同的業務部門進行組織劃分,并為各組織單獨設定組織管理者,由組織管理者對各組織内的成員進行資産授權和權限劃分,大幅提升了運維管理的效率;
▲圖2 JumpServer的多租戶管理體系
■ 資料庫資産統一納管
除了資産納管以外,JumpServer支援對MySQL、PostgreSQL、Oracle、SQL Server等多種資料庫的直接納管,同時支援Web CLI、Web GUI以及資料庫代理直連等多種資料庫連接配接方式,能夠很好地滿足不同人員對不同資料庫連接配接的需求;
▲圖3 JumpServer支援多種資料庫納管
■ 跨VPC資産的統一管理
康明斯中國的資産主要分布在亞馬遜AWS和Azure等公有雲環境中,為滿足業務的需求,公司劃分了多個VPC環境,但VPC環境的資産無法直接和JumpServer網絡進行通訊。JumpServer支援網域網關的功能,可以通過代理的方式和VPC環境的資産進行打通,進而實作對VPC環境下資産的直接納管;
▲圖4 JumpServer支援跨VPC資源管理
■ 通過服務端點規則分發使用者請求
JumpServer還支援服務端點的規則配置,可以針對指定資産指定固定的通路節點。服務端點是使用者通路服務的位址(端口),當使用者線上連接配接資産時,系統會根據端點規則和資産标簽選擇相應的服務端點作為通路入口建立連接配接,進而實作分布式資産連接配接。
注意:如果不同端點下的資産IP有沖突,可以使用資産标簽來實作該功能。
▲圖5 配置JumpServer服務端點
▲圖6 配置JumpServer端點規則
使用JumpServer的價值收益
部署并使用JumpServer後,康明斯中國所收獲的業務價值包括:
■ 很好地滿足了等保合規的要求。遇到安全事故,JumpServer能夠幫助管理者第一時間啟動網絡安全事件應急預案,對網絡安全事件進行調查和評估,并采取相應的技術措施,快速消除安全隐患;
■ IT資産統一納管。基于JumpServer實作對雲伺服器、Linux伺服器、Windows伺服器、資料庫的統一管理,統一操作的通路管理入口。同時,對使用者操作等網絡通路行為進行了有效的控制,避免使用者直接接觸目标伺服器等重要資源,搭建安全、規範的唯一通路通道;
■ 提升運維管理效率。在保障系統整體安全的前提下,康明斯中國通過多租戶的管理模式,實作了各部門之間資産和權限的獨立管理和審計,并且滿足了公司層面統一管理和統一審計的要求。在提升系統整體安全性的同時,還對公司運維管理機制進行了優化。