案例研究 | 玉湖冷鍊基于JumpServer實作管理安全一體化

玉湖冷鍊（中國）有限公司（以下簡稱為玉湖冷鍊）是玉湖集團旗下的冷鍊食品供應鍊企業。依托自有的國際高标數智化冷鍊園區産業叢集，玉湖冷鍊提供一站式國内外代采、倉幹配物流解決方案、全鍊路創新金融支援、高品質生活辦公服務，打造線下流通标準，賦能線上數智貿易，建構雙循環産業生态。

玉湖集團是一家跨國實業投資集團，總部設于香港。經過二十餘年的穩健發展，已經形成以國際食材供應鍊、産業綜合發展營運為雙核心，以冷鍊資産與智慧科技、漁農業投資經營與供應鍊管理、綜合體開發與營運為三大戰略業務闆塊的全鍊賦能型實業投資組合。

JumpServer的核心能力

為滿足玉湖冷鍊的運維要求，JumpServer所提供的核心安全運維管理能力包括：

1. 資産統一納管

通過使用JumpServer運維安全管理平台，玉湖冷鍊統一了資産通路的入口，實作了對所有IT資産的統一管理和控制，輕松實作各類資産的安全通路；

2. 遠端應用管理

通過JumpServer的遠端應用功能，使用者無需密碼即可進行安全的遠端通路，極大地簡化了工作流程，提高了工作效率和系統安全性；

3. 操作體驗優異

JumpServer的Web界面、工作台設計簡潔直覺，操作起來非常友善，使用者使用體驗優異；

4. 資産授權管控

JumpServer的資産授權管控功能可以通過細粒度的權限劃分，確定每個使用者隻能通路其被授權的資産，增加了系統的安全性和管理的可控性；

5. 工單稽核功能

通過JumpServer的工單申請系統，玉湖冷鍊的IT團隊實作了對高危操作指令的嚴格把守，最大程度避免人為操作失誤的發生，有效降低了安全風險。

目前，玉湖冷鍊的JumpServer采用的是單機部署架構，使用單節點伺服器，利用虛拟機做備份和快照。考慮到未來可能會擴充到全國多地的園區，後期會考慮采用分布式部署的方式，以提升系統的高可靠性和容錯性。

JumpServer帶來的價值收益

經過了一段時間的實際使用，玉湖冷鍊通過對JumpServer的采納獲得了一些價值收益。具體包括：

1. 權限治理

通過身份驗證功能和授權機制，JumpServer實作了對伺服器和裝置的通路控制。通過JumpServer的權限管理功能，管理者可以對使用者進行精細化的權限配置設定，確定隻有經過授權的人員才可以通路特定的伺服器或裝置，進而提高系統通路的安全性；

2. 審計追蹤

JumpServer提供了全面的審計功能，實時監控和追蹤使用者的操作記錄，有效保障了公司關鍵系統和資料的安全。同時，IT運維團隊能夠快速識别并響應潛在的安全問題，提高了系統的風險防範和應對能力；

3. 統一管控

使用JumpServer後，公司所有分散的伺服器和網絡裝置都被統一納入到一個集中的管控平台中。這樣一來，管理者就可以統一管理和配置這些資産，降低了運維工作的複雜性和工作量；

4. 風險管控

在登入通路方面，JumpServer采用Django預設的加密PBKDF2算法給使用者進行加密，設定強密碼規則，再結合多因子安全認證登入機制，保護使用者的敏感資料，提高個人隐私安全性，同時避免了因密碼洩露造成的安全問題。

另外，JumpServer還可以限制來源IP登入JumpServer堡壘機，進而減少未知或非授權來源的通路，并且管理者可以通過配置具體的使用者使用時間進行登入限制，提高了堡壘機登入通路的安全性；

在會話管理方面，通過JumpServer，管理者可以設定會話過期時間，使用者在一段時間内無操作後将自動登出，避免了未授權通路或資訊洩露的風險，提高了系統安全性；

在配置管理方面，JumpServer支援設定防火牆規則，開啟特定的端口以阻止非授權通路，保護伺服器和資産的安全；

5. 提升工作效率

通過JumpServer，玉湖冷鍊實作了運維管理的自動化。管理者可以進行批量執行指令、部署軟體、更新更新檔等操作，減少了手動操作的時間和工作量。此外，JumpServer還提供了資産管理和權限控制的功能，管理者可以根據需求靈活配置設定使用者權限，提高工作效率和安全性；

6. 提高合規性

JumpServer符合4A規範等多種合規性标準和安全要求。通過使用JumpServer，公司能夠更好地滿足合規審計的需求，保護關鍵系統和資料的安全，提升系統安全性，降低違規的風險；

7. 雲同步功能

JumpServer支援雲原生架構，并提供與雲服務商（如亞馬遜AWS、阿裡雲、騰訊雲等）的開發內建，這樣一來，使用者就可以更友善地管理和保護雲上的資産并托管到JumpServer堡壘機中。此外，管理者還可以自定義将需要同步的資産存放到目标組織或者節點下，實作了資源的細化管理。

未來展望

通過使用JumpServer開源堡壘機，玉湖冷鍊實作了對供應鍊環節的數字化管理、資料監控與分析，以及安全與合規管理。JumpServer的運維安全審計能力幫助玉湖冷鍊優化了供應鍊管理體系，提升了IT運維團隊的工作效率，加強了安全管理，提高了IT系統的運維審計能力和統一管控能力。

同時，玉湖冷鍊也對JumpServer提出了一些改進的意見和功能方面的期待，希望在未來能夠更好地滿足他們的實際業務需求。比如，在雲同步功能中，目前JumpServer隻同步某個時間點之後開通的伺服器，希望未來能夠将雲同步的資産放到在不同組織下，實作根據不同環境進行資産分組的需求，而不是将所有資産都放在執行雲同步目前的組織之下。

希望JumpServer未來能夠提供更加精細的比對規則，例如基于ECS名稱的正則比對、基于ECS建立時間的規則等。另外，希望JumpServer可以支援兩台Linux資産間的資料傳輸，為普通使用者提供更便利的管理方式。

未來玉湖冷鍊也會持續對JumpServer的新功能進行深入的了解和使用，包括但不限于更靈活的權限控制、更強大的審計和日志功能、更全面的資産管理等。利用JumpServer這些豐富的功能來增強公司運維管理的安全性和自動化能力，以滿足自身在安全管理和運維效率方面不斷增長的需求。