编者注:2022年1月,JumpServer开源社区与雪花啤酒(成都)有限公司的王工就堡垒机使用的话题进行了在线访谈。以下内容根据本次访谈的内容整理而成。
华润雪花啤酒成立于1993年,总部位于北京,省级公司覆盖全国,下辖70间啤酒酿造厂。2020年,华润雪花啤酒国内市场占有率超过30%,年销售总量达到了超过1110万千吨,年产能超过1800万千吨。近年来,华润雪花啤酒相继启动品牌重塑、产能优化、营运变革、信息化升级等举措,构建高端品牌矩阵。除雪花啤酒品牌外,公司还发力高端品牌,陆续收购了喜力、苏尔、红爵、虎牌等国外知名品牌,业务规模持续扩大。
作为一家全国性的专业啤酒公司,华润雪花啤酒一直严格遵循相关的信息安全标准。无论是在总部层面,还是下辖分支机构,对于相关IT资产都会进行规范的运维安全审计操作。华润雪花啤酒四川有限责任公司(以下简称为雪花啤酒四川公司)是华润雪花啤酒在成都成立的一家区域公司,拥有成都、绵阳、德阳、内江、乐山、南充、广安、遂宁、凉山等9家啤酒生产工厂,产品覆盖西南地区。
目前,雪花啤酒四川公司的内部IT资产通过JumpServer开源堡垒机进行运维安全审计。在使用JumpServer堡垒机之前,公司内部存在着远程操作混乱、数据库直连操作存在安全隐患等问题,内部很多针对IT资产的操作并未保留操作记录,出现问题无法追溯。这些问题的存在催生了雪花啤酒四川公司的堡垒机使用需求,IT运维团队需要在内部环境中构建一个可记录操作并且可审计的“跳板”系统,方便内部用户安全地连接和管理公司的IT资产。
为什么会选择JumpServer?
在使用JumpServer堡垒机之前,雪花啤酒四川公司的IT运维团队也阶段性地使用过传统的堡垒机。但是在实际使用的过程中,我们发现了一些传统堡垒机的短板,让我们在使用的过程中感受到了一些不便。具体体现在以下几个方面:
1.我之前使用过的堡垒机采用的是Client的方式,也就是RDP客户端的方式。传统堡垒机是通过安装插件的方式来模拟微软的RDP远程桌面,这就给使用者的操作技能制造了门槛。不过,通过RDP客户端的访问也有自己的优势,使用者可以沿用Windows中Ctrl+C、Ctrl+V的操作习惯进行复制和粘贴,这也是一些用户刚开始使用JumpServer堡垒机时需要适应的部分;
2. 市面上大部分的堡垒机采用的是软硬件一体化的交付模式。对于IT运维团队来说,堡垒机需要作为一个独立的物理资产去进行管理。而管理物理资产并不是件轻松的事情,我们需要进行申报、管理、报废、更新等操作,每年都需要进行盘点,涉及到方方面面的流程。在提供IT资产管理的能力的同时,传统堡垒机的维护也给我们带来了额外的工作。
考虑到传统堡垒机存在使用门槛高和使用不轻便的问题,我开始在网上寻找更加合适我们实际业务需求的堡垒机。由于日常工作中经常会使用Python,在GitHub上找一些与Python相关的内容成了我的一种习惯。机缘巧合下我发现了JumpServer开源堡垒机这款使用Python语言开发的产品。
在使用JumpServer的过程中,我们发现这款堡垒机解决了前面提到的传统堡垒机所存在的一些不便和不足,给我们带来了十分便利的使用体验:
■ JumpServer堡垒机支持Web Terminal,不需要安装插件,适用于多种浏览器,免去了安装使用上的复杂操作;
■ JumpServer堡垒机更加轻便,运维人员自行安装部署十分方便,对服务器要求也不是很高,可以省去物理资产管理上的繁琐环节。企业用户完全可以在现有的硬件设备上快速部署JumpServer,快速拥有一台堡垒机。
JumpServer的部署架构
目前,雪花啤酒四川公司通过JumpServer纳管内网中分布于不同地点的IT资产,内网通过MPLS的方式进行连接。在使用过程中,我们可以通过Web页面和SSH客户端访问JumpServer。为了提升安全等级,JumpServer支持MFA多因子认证的方式,并且支持录像审计和SSH协议访问。JumpServer也完整具备4A(即身份验证、授权控制、账号管理、安全审计)四大核心功能,为服务器、网络设备、数据库和安全设备等内网设备提供了统一的安全管理保障。
▲ 图1 JumpServer在雪花啤酒四川公司的部署架构
JumpServer亮点功能
使用JumpServer开源堡垒机有几年的时间了,我使用过很多的版本。JumpServer一些实用、亮眼的功能确实可以提升运维团队的工作效率,也能够很好地保障系统运维的安全性。例如:
■ JumpServer的界面美观直接,提供了一个IT资产的控制台,可以方便地查看服务器、网络设备等资产;
■ 支持MFA二次认证等多种认证方式,支持水印、多种密码策略,提升了安全性;
■ 支持录像文件上传至公有云对象存储等功能,实用且安全;
对JumpServer的期望与建议
■ 保持更新迭代的频率,倾听用户的心声
我公司主要使用SQL Server数据库,而之前的JumpServer版本支持的数据库种类有限。最近看到JumpServer在v2.17.0版本中实现了对SQL Server数据库的管理和审计,今年我们也打算尝试一下这个功能。很多用户都希望JumpServer能够支持更多的数据库类型,我们也看到了JumpServer研发团队的努力。希望JumpServer能够保持这种高速迭代的节奏,倾听用户的需求,不断改进产品;
■ 文件传输有时存在不稳定的情况
我在使用文件传输时,有时候在文件比较大的情况下,偶尔会碰到传输中断的情况。目前可以根据客户实际场景来调整Nginx超时设置,解决大部分文件传输中断的情况,希望在今后的版本中能够继续优化和改进;
■ 新增更多消息通知方式
目前我们使用的消息订阅通知方式是邮件。而从使用习惯上,我们还是希望JumpServer能够提供短信接口的配置功能,让我们能够使用短信的方式去发送消息通知,期待在后续更新的功能里能够实现。