東方明珠新媒體股份有限公司（以下簡稱為東方明珠）擁有國內最大的多渠道視頻集成與分發平臺及豐富的文化娛樂消費資源，為用戶提供豐富多元、特色鮮明的視頻內容服務及一流的視頻購物、文旅消費、影視劇及游戲等文娛產品，是上海廣播電視臺、上海文化廣播影視集團有限公司（SMG）旗下統一的產業平臺和資本平臺。

東方明珠注重企業IT建設，是國內最早大規模采納公有云服務的文化傳媒企業之一。通過在內部成立獨立云平臺事業部的方式，東方明珠穩步推進企業云平臺的建設，并持續擴展云平臺在的使用范圍。目前，東方明珠正通過混合云的建設積極推動企業IT的云化轉型，并通過混合云服務體系面向整個集團提供高效、靈活的企業級云服務。

客戶挑戰

隨著企業IT云化轉型的深入，混合云建設成為東方明珠的首選方向。作為廣播電視文化的傳播平臺，其信息系統的安全性至關重要。針對性地構建面向混合云架構的安全合規體系，是東方明珠云平臺建設的重要內容。

作為東方明珠云平臺安全體系的重要部件，堡壘機承擔著在混合云環境下進行安全合規審計的關鍵作用，而其建設的過程又面臨著諸多挑戰：

■ 基礎設施高度異構化、分布范圍廣。首先，混合云平臺的建設引入了大量不同類型的IT基礎設施，包括企業內部的傳統物理設備、虛擬化平臺、私有云，以及廣泛采用的公有云。這要求堡壘機能夠在資產接入和管理上有較好的適配性和靈活性，最好能夠適配云平臺的API接口，降低平臺資源管理的難度；另一方面，由于文化傳媒企業需要通過大量的CDN邊緣節點來保障視頻流播放的流暢性，導致IT資產分布范圍廣，管理也相對分散。基于堡壘機構建的運維安全審計系統需要提供多級授權管理體系，以適配東方明珠當前的IT管理模式；

■ 混合云中的主機規模持續增長，需要堡壘機具備充分的可擴展性。隨著業務的快速增長，堡壘機需要管理的主機規模也在快速增加。同時，運維安全管理的工作量也在迅速攀升。這需要堡壘機能夠對分布式架構提供良好的支持，并通過水平擴容來支持不斷增加的資產和不斷提升的并發數。管理規模的增長也帶來了堡壘機授權模式的挑戰，傳統按管理節點、并發數進行授權的模式給企業帶來昂貴的采購和維護成本；

■ 傳統堡壘機方案用戶接入門檻高，維護成本偏高。越來越多的企業需要堡壘機能夠提供傳統客戶端+Web接入的雙重模式，尤其是Web接入的需求越來越強烈。傳統方案在Web接入方式上普遍采用較為原始的瀏覽器插件模式，導致大量的瀏覽器插件不匹配、用戶無法升級瀏覽器等影響用戶使用體驗的問題，嚴重影響了堡壘機的運營效率。

解決方案

通過技術選型，東方明珠選擇了使用Jumpserver堡壘機應對其在運維安全審計方面的挑戰。通過采購Jumpserver堡壘機軟件訂閱服務，東方明珠有效控制了堡壘機部署與運營的成本。

作為全球首款完全開源、符合4A（認證Authentication、授權Authorization、賬號Accounting、審計Auditing）規范的運維安全審計系統，Jumpserver在資產管理方面不設定并發和資產數量限制，同時支持水平擴容。

東方明珠運維安全審計系統架構

東方明珠的堡壘機采用的是高可用部署模式，實現鑒權和接入端的分離，支持接入端的水平擴展。借助Jumpserver軟件訂閱服務所搭載的X-Pack增強包，東方明珠還實現了堡壘機授權管理模式與當前多級分級授權管理體系的無縫匹配。同時，對接公有云接口，一鍵導入公有云資源，實時同步公有云上的資產情況。

X-Pack增強包是Jumpserver面向企業應用場景的商業功能軟件包，為用戶提供組織管理、多云資產納管、MFA（多因子認證）等功能。

Jumpserver軟件訂閱服務由FIT2CLOUD專業服務團隊提供產品的安裝、部署和日常維護服務，以及現場的培訓和緊急救援服務，有效保障系統的安全可靠運行。

客戶收益

■ 與企業云平臺無縫對接，堡壘機有機融合到企業云平臺的整體框架中。隨著企業云平臺的不斷延伸和發展，各種云主機資產都能通過接口和插件的模式自動納入到堡壘機的安全合規管理體系中；

■ 優秀的用戶接入體驗。由于傳統堡壘機存在多種接入限制，導致其資產管理的覆蓋面和維護成本效果不理想。Jumpserver堡壘機既可以支持技術人員通過瀏覽器零成本接入，也支持各種登錄客戶端，客戶可以保留傳統的使用習慣；

■ 云平臺運維安全審計成本可預期。由于Jumpserver堡壘機采用了軟件訂閱服務模式，用戶的使用成本不會隨著云平臺資產的管理規模和用戶數量增長而增加。這種授權方式非常適用于管理規模大、業務增長快的應用場景。

在完成堡壘機的部署和云資源的接入管理之后，東方明珠還計劃接入Jumpserver堡壘機的更多高級功能，例如基于Ansible的自動化運維功能，將主機安全審計和主機高效運維無縫結合。