網(wǎng)絡(luò)安全問(wèn)題是企業(yè)信息化建設(shè)過(guò)程中非常重要的一環(huán)，近年來(lái)安全事故的頻發(fā)，越來(lái)越多的企業(yè)意識(shí)到網(wǎng)絡(luò)安全對(duì)于企業(yè)的重要性。伴隨著企業(yè)IT進(jìn)入深度異構(gòu)化和分布式的發(fā)展階段，更多的企業(yè)出于兼顧資源彈性伸縮，以及核心業(yè)務(wù)應(yīng)用安全管控與法規(guī)遵從的需要，選擇采納混合IT架構(gòu)?；旌螴T基礎(chǔ)設(shè)施由此成為企業(yè)IT的新常態(tài)。

　　堡壘機(jī)是企業(yè)面向分布式IT架構(gòu)進(jìn)行運(yùn)維安全審計(jì)的必備組件。借助堡壘機(jī)，企業(yè)可以對(duì)異構(gòu)IT資產(chǎn)進(jìn)行集中管理，并且構(gòu)建統(tǒng)一訪問(wèn)入口，從而有效地控制IT系統(tǒng)的運(yùn)維風(fēng)險(xiǎn)。針對(duì)上述背景，安全牛發(fā)布本期牛品推薦——JumpServer開(kāi)源堡壘機(jī)。與傳統(tǒng)堡壘機(jī)相比，JumpServer 堡壘機(jī)采用了分布式架構(gòu)設(shè)計(jì)，支持多云環(huán)境并可自動(dòng)同步云上資產(chǎn)；JumpServer 支持水平擴(kuò)展、以及超大規(guī)模資產(chǎn)數(shù)量（萬(wàn)臺(tái)資產(chǎn)以上）和高并發(fā)訪問(wèn)，其采用的容器化部署方式，能夠?yàn)橛脩籼峁┦褂眯Ч玫腤eb Terminal。

　　#牛品推薦第十五期 #

　　01 標(biāo)簽

　　開(kāi)源、運(yùn)維安全審計(jì)、分布式架構(gòu)、容器化部署、分層解耦、多云支持

　　02 用戶痛點(diǎn)

　　■ 資產(chǎn)規(guī)模的快速增加帶來(lái)的管理復(fù)雜度提升

　　傳統(tǒng)的堡壘機(jī)是通過(guò)手動(dòng)錄入IP或者Excel表格進(jìn)行資產(chǎn)導(dǎo)入，但是對(duì)于現(xiàn)在動(dòng)輒幾千甚至上萬(wàn)臺(tái)的機(jī)器，如果需要人工錄入，這種方式不僅效率低還容易出錯(cuò)。而且在資產(chǎn)頻繁變更的情況下，這樣的管理方式可能會(huì)逐步發(fā)展到不可控的階段。

　　■ 復(fù)雜的訪問(wèn)端環(huán)境造成額外的維護(hù)成本

　　傳統(tǒng)堡壘機(jī)方案中用戶接入門檻高，維護(hù)成本偏高。越來(lái)越多的企業(yè)需要堡壘機(jī)能夠提供“傳統(tǒng)客戶端+Web接入”的雙重訪問(wèn)模式，尤其是Web接入的需求越來(lái)越強(qiáng)烈。傳統(tǒng)方案在Web接入方式上普遍采用較為原始的瀏覽器插件模式，導(dǎo)致大量的瀏覽器插件不匹配、用戶無(wú)法升級(jí)瀏覽器等影響用戶使用體驗(yàn)的問(wèn)題，嚴(yán)重影響了堡壘機(jī)的接入訪問(wèn)效率。

　　■ 分散資產(chǎn)帶來(lái)的管理成本增加

　　企業(yè)的IT資產(chǎn)分散在全國(guó)各地，各個(gè)地區(qū)間網(wǎng)絡(luò)連接的帶寬、穩(wěn)定性給堡壘機(jī)的管理帶來(lái)了很多的不確定因素。分支機(jī)構(gòu)越多，機(jī)構(gòu)之間的距離越遠(yuǎn)，往往會(huì)帶來(lái)更高的管理成本。傳統(tǒng)堡壘機(jī)的解決方案是在每個(gè)區(qū)域購(gòu)買一臺(tái)堡壘機(jī)，多個(gè)區(qū)域組成一個(gè)大的集群，這種方案不僅造成了大量的成本浪費(fèi)，也給管理上帶來(lái)了很多不必要的麻煩。

　　■ 審計(jì)對(duì)象的復(fù)雜化

　　當(dāng)下IT技術(shù)的演進(jìn)速度越來(lái)越快，基礎(chǔ)設(shè)施層面隨著Kubernetes成為容器云建設(shè)的首選標(biāo)準(zhǔn)，以及數(shù)據(jù)庫(kù)層一些新型數(shù)據(jù)庫(kù)產(chǎn)品的出現(xiàn)，傳統(tǒng)堡壘機(jī)支持的審計(jì)對(duì)象已經(jīng)遠(yuǎn)遠(yuǎn)不夠，需要將新出現(xiàn)的IT基礎(chǔ)設(shè)施對(duì)象考慮進(jìn)來(lái)。

　　03 解決方案

　　JumpServer是一款完全開(kāi)源、符合4A規(guī)范（包含認(rèn)證Authentication、授權(quán)Authorization、賬號(hào)Accounting和審計(jì)Auditing）的運(yùn)維安全審計(jì)系統(tǒng)。JumpServer的后端技術(shù)棧為Python/Django，前端技術(shù)棧為Vue.js/Element UI，遵循Web 2.0規(guī)范。

　　與傳統(tǒng)堡壘機(jī)相比，JumpServer采用了分布式架構(gòu)設(shè)計(jì)，可靈活擴(kuò)展，水平擴(kuò)容。JumpServer還采用了領(lǐng)先的容器化部署方式，并且提供純?yōu)g覽器化Web Terminal。同時(shí)支持對(duì)接多種公有云平臺(tái)，滿足企業(yè)在多云環(huán)境下部署使用。針對(duì)企業(yè)用戶網(wǎng)絡(luò)安全等級(jí)保護(hù)要求，JumpServer堡壘機(jī)已經(jīng)獲得公安部頒發(fā)的“計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證”，能夠助力企業(yè)快速構(gòu)建身份鑒別、訪問(wèn)控制、安全審計(jì)等方面的能力，為企業(yè)通過(guò)等級(jí)保護(hù)評(píng)估提供支持。

　　相比 JumpServer開(kāi)源版，JumpServer企業(yè)版提供面向企業(yè)級(jí)應(yīng)用場(chǎng)景的X-Pack增強(qiáng)包，以及高等級(jí)的原廠企業(yè)級(jí)支持服務(wù)，有效助力企業(yè)快速構(gòu)建并運(yùn)營(yíng)自己的運(yùn)維安全審計(jì)系統(tǒng)。目前，JumpServer堡壘機(jī)企業(yè)版用戶已經(jīng)廣泛覆蓋銀行、證券、制造、交通運(yùn)輸、互聯(lián)網(wǎng)等行業(yè)企業(yè)。

　　JumpServer充分吸收了過(guò)去多年互聯(lián)網(wǎng)產(chǎn)品的發(fā)展經(jīng)驗(yàn)，采用了分層解耦的設(shè)計(jì)理念。其產(chǎn)品架構(gòu)如下圖所示：

　　附圖JumpServer的產(chǎn)品架構(gòu)

　　從附圖可以看出，JumpServer產(chǎn)品從下至上可以分為存儲(chǔ)層、數(shù)據(jù)層、核心層、接入層和負(fù)載層，包括MySQL/Redis、CORE、Koko/Guacamole、Luna等核心組件。

　　■存儲(chǔ)層用于產(chǎn)品的各種數(shù)據(jù)存儲(chǔ)（包括元數(shù)據(jù)及各種審計(jì)數(shù)據(jù)），存儲(chǔ)可以是本地存儲(chǔ)，也可以是傳統(tǒng)SAN存儲(chǔ)、文件存儲(chǔ)或者對(duì)象存儲(chǔ)等；

　　■數(shù)據(jù)層采用MySQL存儲(chǔ)產(chǎn)品中的用戶、資產(chǎn)、授權(quán)等核心數(shù)據(jù)，并使用Redis提供對(duì)核心數(shù)據(jù)的訪問(wèn)加速，提升用戶的訪問(wèn)體驗(yàn)；

　　■核心層用于對(duì)用戶、資產(chǎn)和授權(quán)等核心數(shù)據(jù)進(jìn)行處理，并提供相應(yīng)的管理控制臺(tái)。位于該層的CORE組件使用Django Class Based View風(fēng)格開(kāi)發(fā)，支持Restful API接口；

　　■接入層負(fù)載接入來(lái)自終端客戶（Web終端或者傳統(tǒng)客戶端）的連接請(qǐng)求。JumpServer根據(jù)接入的連接類型是字符型還是圖形型提供兩個(gè)獨(dú)立的接入組件，分別是Koko和Guacamole。其中，Koko組件實(shí)現(xiàn)了SSH Server和Web Terminal Server，提供SSH和WebSocket接口，以方便用戶通過(guò)Web端和傳統(tǒng)SSH客戶端登錄使用。組件實(shí)現(xiàn)RDP連接功能，提供純Web方式的圖形化界面操作能力。JumpServer也為數(shù)據(jù)庫(kù)提供了一個(gè)單獨(dú)的接入組件——OmniDB。通過(guò)集成OmniDB開(kāi)源項(xiàng)目，JumpServer的用戶能像使用Navicat一樣，在Web端操作數(shù)據(jù)庫(kù)，目前支持的數(shù)據(jù)庫(kù)種類包括MySQL、MariaDB、Oracle和PostgreSQL。另外，接入層還提供純Web模式的接入，JumpServer設(shè)計(jì)了一個(gè)純?yōu)g覽器版本的終端，即Luna組件；

　　■負(fù)載層承載用戶接入流量的負(fù)載均衡。用戶可以選擇純軟件的負(fù)載均衡方案（例如Nginx），或者傳統(tǒng)的硬件負(fù)載均衡設(shè)備（例如F5）。

　　04 用戶反饋

　　“通過(guò)采納JumpServer堡壘機(jī)企業(yè)版，我們?cè)趲滋靸?nèi)就完成了JumpServer堡壘機(jī)從0.3.2到1.4.9版本的升級(jí)，將超大規(guī)模的資產(chǎn)遷移至新平臺(tái)。整個(gè)遷移過(guò)程數(shù)據(jù)完整，平臺(tái)使用無(wú)影響。與此同時(shí)，F(xiàn)IT2CLOUD飛致云的專業(yè)服務(wù)團(tuán)隊(duì)還在持續(xù)保障平臺(tái)安全運(yùn)營(yíng)和專業(yè)服務(wù)支持方面給我們提供了非常大的幫助?！?/p>

　　——小紅書 潘雨順

　　“很早就使用JumpServer了，主要還是針對(duì)”網(wǎng)絡(luò)設(shè)備+服務(wù)器“運(yùn)維管理，全Web操作，還提供了Koko直連操作，無(wú)需安裝額外插件，很棒；也推薦給身邊得很多朋友，很多用過(guò)得朋友都說(shuō)很棒，都用得很好，希望JumpServer做得越來(lái)越好。”

　　——盧煒君

　　“2016年年底接觸Django的時(shí)候就稍微關(guān)注了下JumpServer，真正開(kāi)始使用是的1.5.x版本。對(duì)我們運(yùn)維來(lái)說(shuō)最大的好處就是可以強(qiáng)制提升服務(wù)器的密碼復(fù)雜度和密鑰登陸，只需要接入公司的LDAP就可以讓所有研發(fā)連接服務(wù)器而不需要再給他們密碼或者密鑰，大大減少了密碼密鑰泄漏的幾率?！?/p>

　　——路先生

　　“從2018年開(kāi)始，隨著公司人員規(guī)模增加及各種人需要服務(wù)器權(quán)限，為了方便管理，找了幾款跳板機(jī)，最終使用JumpServer；JumpServer的資產(chǎn)管理非常不錯(cuò)，可以精細(xì)化的授權(quán)；作為公司唯一的運(yùn)維，有效保證了服務(wù)器安全訪問(wèn)，也方便了遠(yuǎn)程辦公時(shí)間的遠(yuǎn)程處理?！?/p>

　　——黃再生

　　“去年公司開(kāi)始數(shù)字化轉(zhuǎn)型，業(yè)務(wù)上云，之前的齊治堡壘機(jī)對(duì)部分云服務(wù)器不兼容，所以支持多云環(huán)境的堡壘機(jī)進(jìn)行選型。在比較了多個(gè)堡壘機(jī)之后，最終選擇了JumpServer。優(yōu)點(diǎn)就不一一列出了哈，確實(shí)好用。今年公司在測(cè)試飛致云云管平臺(tái)（可以對(duì)接JumpServer），希望合作愉快。感謝JumpServer軟件和團(tuán)隊(duì)?！?/p>

　　——陳建新

　　“18年4月份開(kāi)始使用訂閱版本的JumpServer，在這之后逐步統(tǒng)一了公司的所有生產(chǎn)設(shè)備的管理，在JumpServer的專業(yè)支持下順利完成了等保三級(jí)的認(rèn)證?！?/p>

　　——酷友

　　安全牛評(píng)

　　堡壘機(jī)是實(shí)現(xiàn)運(yùn)維監(jiān)控的重要產(chǎn)品。隨著網(wǎng)絡(luò)規(guī)模的增加以及分支機(jī)構(gòu)的成立，傳統(tǒng)的堡壘機(jī)部署模式，不僅會(huì)增加管理成本，也會(huì)降低堡壘機(jī)的工作效率。未來(lái)堡壘機(jī)將向云化和服務(wù)化發(fā)展。借助云平臺(tái)，JumpServer堡壘機(jī)將以一主多從的賬號(hào)管理方式，以云化的方式為不同物理空間的運(yùn)維人員提供統(tǒng)一的賬號(hào)登錄。同時(shí)，依托云架構(gòu)JumpServer可以對(duì)云端資產(chǎn)進(jìn)行統(tǒng)一運(yùn)維，為未來(lái)云服務(wù)交付模式提供運(yùn)維基礎(chǔ)。