编者注:在2021年10月16日举办的“2021 JumpServer开源堡垒机城市遇见· 成都站”活动中,容联七陌的运维专家张大炜分享了题为《容联七陌JumpServer实战分享》的演讲。以下内容根据本次演讲整理而成。
容联七陌是一家企业营销与服务全链路解决方案提供商,也是一家“以AI和通讯技术为核心、数据为驱动”的科技型公司。作为国内智能客服领域的领创者,容联七陌通过不断的技术创新推出面向企业营销、服务、数字化转型方向的多维度产品,向用户交付云客服、X-Bot、云呼叫中心、MoPower零代码开发平台等产品及解决方案。
▲ 图1 容联七陌运维专家 张大炜
安全运维面临的痛点和需求
和所有业务飞速发展,且IT资产快速增加的企业一样,容联七陌在IT运维管理的日常工作中也面临着许多的挑战:
首先是大规模资产运维审计的需求。从七年前的创业公司到成为美股上市企业,容联七陌的业务规模不断扩大,随之而来的是IT资产规模的快速扩张。从早期的几十台资产迅速扩展到目前的1500台资产,未来这个数字还会持续增加。因此,如何做到大规模IT资产的高效管理就成为了容联七陌IT运维管理的重中之重;
其次是混合云管理。容联七陌目前在阿里云、华为云以及腾讯云等主流的云平台上都部署了IT资产,除此之外还有一些混合云资产,包括部署在IDC机房和客户本地的资产。这样一来,混合云资产的纳管就是一个比较头疼的问题。我们需要一个能够更好地适配混合云,并且能够做到多云资产纳管,跨不同公有云平台统一管理的堡垒机。同时,我们也希望能够通过堡垒机来实现管理系统与公有云主机服务API的对接,从而形成企业内部的IT运维平台;
最后是安全审计。作为一家上市公司,我们在每年的各个时期都有内外部数据和资产审计的需求。国家在政策层面也对互联网安全管理提出了越来越严格和细致的要求,安全审计成为了我们日常运维管理工作中的一项重要工作内容。除此之外,随着IT系统运维对堡垒机依赖程度的不断加强,系统稳定运行的重要性不断攀升,这也就催生出审计资料的有效存储以及支持随时进行审计操作的要求。
综合上述选型背景,我们需要的是一款能够有效管理大规模资产、支持多云应用环境,并且符合运维安全审计要求的堡垒机。
基于这样的痛点和需求,经过一系列选型之后,我们认为JumpServer堡垒机更加符合我们的实际需求,能够帮我们解决实际工作中的痛点问题:
1. 开源:JumpServer堡垒机提供了一个开放、兼容的平台,让更多的用户可以相互沟通进步,共筑安全生态;
2. 安全:JumpServer符合4A规范,保障企业运维安全审计的要求;
3. 多云支持:JumpServer支持多云和API对接,能够实现多云资产的统一管理;
4. 用户体验优异:终端用户在访问JumpServer时,可以享受到简洁的使用界面,容易上手,没有很复杂的客户端流程,很大程度提升了用户的使用体验。
JumpServer的部署架构
目前,容联七陌主要使用JumpServer管理云上资产,因此我们最终采用了主从架构的部署方式。依托云上一些比较稳定的组件,用户可以通过Web页面和SSH客户端访问JumpServer,同时兼容了WAF防火墙(Web Application Firewall)、ELB(Elastic Load Balance),还单独拆分了Redis和RDS(Relational Database Service),再加上对接LDAP统一管理门户网站,以及通过MAIL进行邮件推送。
现在更加方便的是,JumpServer也支持通过飞书、企业微信、钉钉进行扫码登录。另外,对于细分场景,我们将生产环境和测试环境进行资源的分组隔离,这样就可以将私有云、公有云以及IDC机房或者客户本地物理机上的资产统一纳管到JumpServer堡垒机上。
▲ 附图 针对多云资产的主从部署架构
不同维度授权方式对比
经过一系列的JumpServer运维实战,我们也总结出了基于不同维度授权的比较分析,在此分享出来供大家参考。
第一种授权方式是以用户及用户组为核心的维度。只读或读写账号对接用户组和资产,基于不同账户权限形成Pool模式来管控设备的访问权限,把管控受理的防御权限以组的形式来分配给相应的群体,这种维度更符合群体访问同类型设备的场景,非常便于管理;
第二种授权方式是以资产为核心维度。只读或读写权限对接资产和用户组,不同用户账户加入不同权限用户组授权访问单台设备。因为我们的产品种类和微服务比较多,所以就会涉及到不同用户之间进行协同操作或者跨部门操作。在这种场景下,就需要进行精细化的权限管理,从以单个资产为核心的维度进行授权,在此基础上再划分资产组,临时或者有期限的授权给相对应的用户和用户组。这种维度的授权把控力度更加细致,也更符合设备授权方式差异比较大的场景。
JumpServer的工单申请体系
由于容联七陌涉及到部门比较多,产品种类也比较丰富,因此人员登录等申请的管理就相对更加复杂。而通过JumpServer堡垒机的工单系统,我们可以实现从多个维度权限申请多个云厂商的主机设施,从而形成了统一的管理平台。比如,可以从申请人员、申请使用时间范围、申请主机/主机组范围、申请操作权限范围等多个维度,将审批人员进行流程化管理。
除此之外,我们还借助了标准API接口,打通云上资产同步、发布、运维、安全等环节,形成自有的运维工单平台资产库,在持续提升系统安全性和稳定性的同时,不断优化IT系统运营效率。
基于JumpServer管理统计异常操作
目前,容联七陌已经基于JumpServer形成了自己的资产管理平台。这样一来,我们就可以深挖硬件资产信息,串联自身各模块来进行统一展示,从而达到资产统一管理的目的。通过JumpServer的仪表盘,我们可以清楚地看到用户操作和资产状态的统计信息,这些数据能够直观地告诉我们哪些人员频繁使用了哪些资产,可以让我们及时发现一些系统的问题。同时,站内消息及邮件也会及时通知异常事件。当有用户操作了一些拟设置的危险操作,我们能够及时地有效阻止这些人为操作导致的故障,防范误操作等危害平台使用安全的行为,做到维护平台的稳定、安全运行。
谈谈对JumpServer的期望
一直以来,JumpServer堡垒机都保持着按月更新版本的迭代速度,不断完善自身的功能。在未来,我们也期待JumpServer提供更多、更丰富的功能和使用形式。
1. 希望未来能够看到更多基于JumpServer的生态串联,比如JumpServer与FIT2CLOUD飞致云旗下MeterSphere开源持续测试平台、KubeOperator开源容器平台以及CloudExplorer多云管理平台等产品的结合,能够在企业内形成一个生态的闭环。同时,也希望JumpServer能够在操作体验上不断优化,带给用户更加方便和便捷的使用体验;
2. JumpServer堡垒机企业版所搭载的X-Pack增强包在过去给了我们太多的惊喜,提供了许多非常贴合我们实际需求的增强功能。我们也期待着X-Pack增强包在未来能够提供更多更加强大和丰富的功能,带给我们更多的惊喜。