近年来,得益于人民消费水平的提升以及版权意识的加强,用户付费意愿和在线用户数量持续增长,中国在线音乐市场呈现出稳定增长的发展态势。随着腾讯音乐于2018年12月上市,进一步推动了中国在线音乐市场的发展。
腾讯音乐娱乐集团(以下简称为“TME”)作为中国在线音乐娱乐服务的开拓者,主要提供在线音乐和以音乐为核心的社交娱乐两大服务。TME在中国有着广泛的用户基础,总月活用户数超过8亿。TME一直致力于用科技创造音乐无限可能,让更多的用户能够参与到音乐的创作、欣赏、分享和互动中。
为了助力公司持续创新,提升数据安全可控与高效运维能力,TME需要构建更加灵活、安全以及自主可控的运维安全审计体系,以高效管理TME不断扩张的IT基础设施,解决其统一访问鉴权及安全审计的问题。
期望:数据安全可控与资产高效运维
随着资产规模的不断扩张,对比原有的运维安全审计方案,TME的IT安全运维团队对运维审计管理系统的运维体验、开放性和可扩展性提出了更高的要求。因此,也催生了TME对于新一代堡垒机的迫切需求。
经过严谨、长期的调研和验证,TME的IT运维团队最终选择了JumpServer堡垒机,主要原因有以下几个方面:
■ 更友好的运维操作体验
TME原有的运维审计平台只提供CLI命令行的管理界面,无论是运维管理还是访问连接,使用起来都不够友好。JumpServer不仅拥有各种传统协议客户端直连的良好使用体验,还为用户提供了更加贴近国人使用习惯的纯浏览器管理界面。同时,JumpServer简约直白的视图布局,直观丰富的数据展示,也大幅提升了用户的使用效率;
■ 更多样的资产类型纳管
除了常规的Linux服务器资产纳管以外,JumpServer还支持纳管更多类型的数据库、容器云以及应用软件系统等。JumpServer通过SQL级的审计方式和重要软件系统留痕审计,来满足DBA(数据库管理员)和泛IT人群的使用需求;
■ 更开放的集成解决方案
堡垒机作为企业IT信息安全系统的重要一环,既要考虑安全管理的便利性,又要兼顾用户使用的友好度,这也是企业在构建一体化安全运维体系的过程中不可或缺的两个要素。
传统软硬一体化的安全产品形态对于集成解决方案而言正在成为一种限制和束缚,JumpServer堡垒机“开源软件产品+原厂专业服务保障”的组合为企业构建自主可控解决方案提供了坚实的基础。
实现:分权提权运营与协同运维体系并行
账号是访问资产的登录凭证。资产数据的绝对安全不仅仅依赖于堡垒机在事前、事中、事后每个阶段提供的预防监控审计能力,也应该考虑在资产系统层面进行账号权限隔离的设计。
面向不同的使用人员、场景和环境,需要合理地设计账号分权提权运营方案来满足企业日常运维需求,以及安全管理的要求。
在JumpServer的“账号管理”模块中,TME的IT运维团队将每台服务器资产的账号凭证分为“特权用户”、“只读用户”、“App用户”以及“高权用户”,数据库资产又分为“程序账号”和“个人账号”。根据实际人员业务的需要,管理员提前预置规范的资产授权规则,在紧急或特殊情况下,配合JumpServer授权规则更新和工单申请功能来实现用户的账号提权需求。
同时,基于JumpServer的账号收集、账号改密、账号备份等功能,也为资产账号凭证的安全性提供了持续、有效的安全保护。
▲ 图1 TME分权提权运营架构
在协同运维体系中,从登录访问认证,到人员、组织、资产的数据同步,流程的规范、体系化,以及广泛类型的资产运维审计等需求出发,TME的IT运维团队将持续完善与JumpServer堡垒机的集成解决方案,为托管的服务器、数据库、云服务以及重要系统提供统一的安全管理保障。
解决方案特点:
1. 集中统一的鉴权认证
JumpServer支持单点登录认证方式,TME的IT运维团队基于OAuth2.0协议将自研的统一认证系统与JumpServer进行打通,通过统一的用户体系保障,满足安全合规要求,减轻运维管理的压力;
2. 广泛资产类型的自动同步
通过调用JumpServer堡垒机的API接口与CMDB(配置管理数据库)系统进行联动,在JumpServer支持纳管主机、网络设备、数据库、云服务、软件应用等多种资产类型的前提下,实现与CMDB资产信息的数据同步;
3. 高效的协同工单流转
在组织协同方面,基于JumpServer堡垒机灵活的资产授权体系,TME的IT运维团队打通内部流程工单系统,实现了各类资产的自动化授权。在保留员工原有使用习惯的基础上,减少了跨部门之间的沟通成本,同时又无缝融入堡垒机系统,提高了公司整体协同运维体系的管理效率和水平;
4. 资产连接方式的管理
JumpServer提供“Web接入+原生客户端”双重访问模式,面向管理员提供浏览器的访问途径,资产管理和授权管理做到了真正的简单、易用。
面向普通用户,JumpServer提供了原生客户端访问方式,一方面维护了用户原有的使用习惯,另一方面,JumpServer也支持自定义认证逻辑,实现了TME独有的“Pin+Token”统一登录认证方式,从细小源头规避风险。
▲ 图2 TME协同运维体系
规划:部署架构全面升级
当前TME正在规划将JumpSever原有的云主机集群的部署模式升级为Kubernetes集群部署方案,为未来资产规模的迅速增加提前做好准备,提供更加稳定、高效的运行环境。
收益:极佳使用体验和专业贴身服务
JumpServer堡垒机的上线运营,帮助TME的IT安全运维团队获得以下几个方面的收益:
1. 交互使用全新体验
区别于传统堡垒机的产品设计,JumpServer更强调用户的访问体验。考虑到用户的真实反馈,JumpServer堡垒机设计了更贴合用户使用习惯和场景的访问方式,在降低管理员运维工作量的同时,也让最终用户能够遵循他们最为熟悉的操作方式;
2. 资产数据全面托管
在JumpServer堡垒机广泛资产类型的支持下,结合应用虚拟化方案,不仅为资产的集中管理提供了全面的安全审计保障,也为企业各种软件系统中用户所做的重要操作提供了审计依据;
3. 原厂支持合作探索
JumpServer堡垒机坚持产品的每月迭代,持续提升产品在企业不同应用场景下的相关能力。同时,JumpServer的研发和客户成功团队高度重视用户的需求、建议和疑问,随时响应。在探索集成解决方案的过程中,JumpServer的客户成功团队也及时提供专业、有效的建议方案,双方共同探索更加符合实际业务场景和需求的安全运维审计解决方案。