umpServer 堡壘機(jī)護(hù)航順豐科技超大規(guī)模資產(chǎn)安全運(yùn)維
面對(duì)體量龐大且仍在保持飛速增長的IT基礎(chǔ)設(shè)施,作為順豐的IT定向服務(wù)商,順豐科技需要構(gòu)建更加靈活、支持彈性擴(kuò)張和高可用的運(yùn)維安全審計(jì)體系。
挑戰(zhàn):堡壘機(jī)要兼顧海量資產(chǎn)納管與高可用
順豐科技現(xiàn)實(shí)的運(yùn)維管理需求,對(duì)堡壘機(jī)的能力提出了更高的要求:
■ 堡壘機(jī)需要支持多云基礎(chǔ)設(shè)施。混合云的持續(xù)推廣使用加大了IT基礎(chǔ)設(shè)施管理的復(fù)雜程度。針對(duì)包含傳統(tǒng)KVM、私有云、公有云等類型的IT基礎(chǔ)設(shè)施,企業(yè)需要堡壘機(jī)能夠適配和納管不同的IT組件,并進(jìn)行統(tǒng)一的安全審計(jì);
■ 堡壘機(jī)需要支持水平擴(kuò)容。目前順豐科技管理的虛擬機(jī)資產(chǎn)已達(dá)到數(shù)萬規(guī)模,后續(xù)隨著業(yè)務(wù)的增長,資產(chǎn)數(shù)量也將持續(xù)增長。龐大且快速增長的IT資產(chǎn)需要堡壘機(jī)在資產(chǎn)納管方面更具可擴(kuò)展性,并且能夠應(yīng)對(duì)突發(fā)性的業(yè)務(wù)需求。
■ 堡壘機(jī)需要具備成熟的高可用以及容災(zāi)部署架構(gòu)。高可用的分布式技術(shù)為支撐平臺(tái)正常運(yùn)行提供關(guān)鍵性的技術(shù)支持。容災(zāi)系統(tǒng)在斷電、通信失敗、硬件/軟件錯(cuò)誤等災(zāi)難時(shí)確保用戶數(shù)據(jù)的安全性,并快速甚至不間斷地提供應(yīng)用服務(wù)。順豐科技需要堡壘機(jī)提供持續(xù)可用、且快速容災(zāi)切換的能力,保障企業(yè)內(nèi)部不間斷的統(tǒng)一安全運(yùn)維能力,有效支撐業(yè)務(wù)的持續(xù)運(yùn)營。
■ 堡壘機(jī)服務(wù)能夠支持海量資產(chǎn)的軟件訂閱服務(wù)模式。傳統(tǒng)的堡壘機(jī)大都采用許可證銷售模式,對(duì)于具有超大規(guī)模資產(chǎn)的用戶來說,企業(yè)需要一次性地投入大額支出。一些堡壘機(jī)廠商雖然提供了軟件訂閱服務(wù)模式,卻并沒有針對(duì)企業(yè)擁有超大規(guī)模資產(chǎn)的實(shí)際場景提供更加靈活、經(jīng)濟(jì)的服務(wù)模式。從自身的需求出發(fā),順豐科技希望堡壘機(jī)能夠提供針對(duì)海量資產(chǎn)納管的軟件訂閱服務(wù)解決方案。
實(shí)現(xiàn):JumpServer支持超大規(guī)模資產(chǎn)高效、安全運(yùn)維
通過前期的技術(shù)選型,以及中期完整的功能測試和性能測試,順豐科技對(duì)JumpServer堡壘機(jī)的產(chǎn)品設(shè)計(jì)、水平擴(kuò)容能力、高可用和容災(zāi)部署架構(gòu)、API接口體系等特性進(jìn)行了充分驗(yàn)證,最終選擇基于JumpServer堡壘機(jī)構(gòu)建面向超大規(guī)模資產(chǎn)管理的安全運(yùn)維審計(jì)系統(tǒng)。
在實(shí)現(xiàn)大規(guī)模資產(chǎn)納管的基礎(chǔ)上,順豐科技還基于JumpServer堡壘機(jī)軟件訂閱服務(wù)所附含的X-Pack增強(qiáng)包實(shí)現(xiàn)了對(duì)IT資產(chǎn)的多層級(jí)管理需求。對(duì)于登錄用戶的身份鑒別,JumpServer堡壘機(jī)對(duì)接了順豐科技的LDAP和Radius,提供多因子認(rèn)證功能,延續(xù)了順豐科技之前身份令牌的使用習(xí)慣,有效避免了賬號(hào)混用等安全隱患。
JumpServer堡壘機(jī)還提供面向Windows、Linux系統(tǒng)的審計(jì)能力,可對(duì)每一位用戶的每次操作進(jìn)行記錄和留痕,所有通過堡壘機(jī)的操作都會(huì)進(jìn)行錄像,并且對(duì)接了企業(yè)內(nèi)部的Swift對(duì)象存儲(chǔ),防止錄屏文件丟失。管理員可在事后對(duì)所有連接操作進(jìn)行審計(jì),有效杜絕了安全責(zé)任不清晰等問題。
此外,為了保障用戶使用的便捷性,順豐科技還在JumpServer堡壘機(jī)的操作細(xì)節(jié)上進(jìn)行了很多優(yōu)化,例如用戶的創(chuàng)建、用戶登錄驗(yàn)證流程、LDAP用戶查詢和導(dǎo)入、API接口、資產(chǎn)信息過濾查詢等,大幅提升了用戶的使用體驗(yàn)。
突發(fā):疫情期間經(jīng)受遠(yuǎn)程辦公考驗(yàn)
JumpServer堡壘機(jī)在順豐科技上線后不久便遇到了新冠肺炎疫情的突發(fā)情況。在這一特殊時(shí)期,堡壘機(jī)需要承載順豐科技大量用戶的遠(yuǎn)程辦公需求,JumpServer堡壘機(jī)成功經(jīng)受住了一系列的嚴(yán)苛挑戰(zhàn),支持順豐科技有效解決了遠(yuǎn)程安全運(yùn)維問題。
■ 大規(guī)模的遠(yuǎn)程辦公從終端和鏈路的角度看,遠(yuǎn)程辦公員工訪問的身份、設(shè)備、網(wǎng)絡(luò)都是很難可控的。站在企業(yè)服務(wù)器的角度,在遠(yuǎn)程訪問時(shí),企業(yè)服務(wù)暴露在公網(wǎng)上,傳統(tǒng)的安全邊界被打破,而僅僅依靠防火墻等傳統(tǒng)安全防護(hù)措施難以抵御,可能面臨機(jī)密信息外泄的風(fēng)險(xiǎn)。
順豐科技通過JumpServer堡壘機(jī)對(duì)接其統(tǒng)一認(rèn)證服務(wù)中心的多因子認(rèn)證系統(tǒng),同時(shí)提供了文件上傳/下載,文本復(fù)制/粘貼、命令過濾器和中斷危險(xiǎn)會(huì)話等精細(xì)化的控制能力,防止核心機(jī)密信息的外泄。這樣一來,認(rèn)證體系不僅能為業(yè)務(wù)訪問提供保障,還使得用戶操作全過程可管可控,有效降低了信息安全管控的風(fēng)險(xiǎn)。
■ 疫情期間,遠(yuǎn)程辦公需求呈現(xiàn)指數(shù)級(jí)增長的態(tài)勢,傳統(tǒng)堡壘機(jī)應(yīng)對(duì)如此爆發(fā)式的訪問需求是十分困難的。JumpServer堡壘機(jī)通過分布式的架構(gòu)設(shè)計(jì),在保障現(xiàn)有服務(wù)平穩(wěn)運(yùn)行的前提下,快速進(jìn)行水平擴(kuò)容,為順豐科技數(shù)千人的遠(yuǎn)程辦公保駕護(hù)航。
收益:用戶體驗(yàn)更優(yōu),實(shí)現(xiàn)成本更經(jīng)濟(jì)
通過部署并上線運(yùn)營JumpServer堡壘機(jī),順豐科技獲得的收益包括:
■ 獲得了強(qiáng)大的可擴(kuò)展能力和優(yōu)秀的安全管控能力。JumpServer采用了分布式的設(shè)計(jì)架構(gòu),不同組件可以實(shí)現(xiàn)獨(dú)立部署,并進(jìn)行橫向擴(kuò)展,提供強(qiáng)大的水平擴(kuò)容能力。這種架構(gòu)能夠應(yīng)對(duì)遠(yuǎn)程辦公急速增長的訪問需求,并且提供優(yōu)質(zhì)、穩(wěn)定的服務(wù)。另外,基于多因子認(rèn)證機(jī)制,上傳/下載和復(fù)制/粘貼等權(quán)限控制能夠更好地管控遠(yuǎn)程辦公等場景下的安全運(yùn)維風(fēng)險(xiǎn);
■ 用戶體驗(yàn)更優(yōu)。JumpServer堡壘機(jī)支持用戶通過瀏覽器登錄,以及通過多種客戶端登錄,用戶的傳統(tǒng)使用習(xí)慣得以延續(xù),為用戶操作提供了充分的便利性。JumpServer堡壘機(jī)軟件訂閱服務(wù)附含的X-Pack增強(qiáng)包提供多組織管理功能,支持混合云資產(chǎn)的一鍵導(dǎo)入,有效降低管理員的工作量。
■ 合理、可預(yù)期的建設(shè)成本,以及可靠的商業(yè)技術(shù)支持。借助JumpServer堡壘機(jī)軟件訂閱服務(wù)(旗艦版),順豐科技實(shí)現(xiàn)了對(duì)海量資產(chǎn)的高效管理,同時(shí)支持高并發(fā)訪問,服務(wù)價(jià)格不會(huì)因?yàn)橘Y產(chǎn)數(shù)量的擴(kuò)張而增加,有效控制安全運(yùn)維體系的建設(shè)成本,并且可以持續(xù)獲得JumpServer堡壘機(jī)原廠的專業(yè)技術(shù)支持,保證整體方案的平穩(wěn)落地和高效運(yùn)營。
在未來,順豐科技將根據(jù)自身的IT建設(shè)規(guī)劃,對(duì)JumpServer堡壘機(jī)運(yùn)維管理體系進(jìn)行持續(xù)建設(shè),包括對(duì)遠(yuǎn)程辦公模式的深入探索,以及與順豐科技Kafka消息隊(duì)列、順豐云平臺(tái)等系統(tǒng)進(jìn)行對(duì)接,對(duì)用戶、資產(chǎn)和授權(quán)信息實(shí)現(xiàn)流程化、自動(dòng)化的管理,持續(xù)提升用戶體驗(yàn)和工作效率。