作为全球动力技术先行者,康明斯(中国)投资有限公司(以下简称为康明斯中国)设计、制造、分销多元的动力解决方案,并提供服务支持。公司产品囊括柴油及天然气发动机、发电机组、交流发电机、排放处理系统、涡轮增压系统、燃油系统、控制系统、变速箱、制动技术、车桥技术、滤清系统,以及氢能制造、存储及燃料电池等产品。
康明斯公司创立于1919年,总部位于美国印第安纳州哥伦布市,在全球拥有约59,900名员工,是全球最大的独立发动机制造商。康明斯全球范围内有10,600多家认证经销网点和500多家分销服务网点,面向190多个国家和地区的客户提供产品和服务支持。2022年公司实现销售额281亿美元,净利润22亿美元。
康明斯中国的运维安全审计需求
作为一家发动机制造企业,康明斯中国在运维安全审计方面的主要需求包括:
1.等保合规要求
为了满足公司外在安全合规的要求,康明斯中国迫切需要通过堡垒机来解决企业数据安全运维的问题,需要通过建设完善的运维安全审计平台,让安全管理人员能够对系统内的用户和各种资源进行集中管理、集中权限分配和集中审计,同时整个运维管理体系需要遵从《网络安全法》中信息系统安全等级保护的相关规范和要求;
2.资产统一入口访问
康明斯中国的资产主要分布在亚马逊AWS、Azure等公有云平台之上,通过专线打通办公区域的网络,公司内部各个业务系统均由各部门独立进行管理,资产访问的入口不统一,管理起来十分繁琐。
为了方便资产的统一管理,康明斯中国希望搭建统一的运维安全审计管理平台,对所有资产形成统一的访问运维入口,实现运维操作的路径唯一;
3.用户系统集成,实现单点登录
目前康明斯中国的各个业务系统均采用OpenID实现SSO单点登录。为了满足统一管理的需求,公司要求堡垒机同时具备身份认证系统和OpenID的对接能力,满足用户单点登录的需求,从而实现用户身份的统一集中认证;
4.实现各部门独立管理和独立审计
当前公司内部存在多个部门,各个部门的资产、人员权限的管理相对独立。康明斯中国想要通过堡垒机实现对资产、人员的统一管理,既能满足各部门独立管理、独立审计的需要,又能满足公司层面统一管理、统一审计的要求。
堡垒机选型过程
基于以上的需求,康明斯中国开始在市面上寻找合适的堡垒机产品。经过多方比较和测试,最终选择基于JumpServer来搭建统一的运维安全审计平台。康明斯中国认为,JumpServer的优势包括:
1.丰富的4A功能
作为一款被广泛应用的开源堡垒机,JumpServer提供了强大的“4A”(即认证Authentication、账号 Accounting、授权Authorization、审计Auditing)能力,能够帮助康明斯中国构建符合等保合规要求的运维安全审计平台;
2.易安装、易维护
JumpServer的安装过程很方便,支持在线和离线部署方式,维护也很简单。特别是涉及到后续版本升级等问题时,JumpServer能够实现平滑地向后兼容,并且支持在线和离线的一键脚本化升级,真正实现了零门槛操作;
3.用户使用体验佳
JumpServer支持B/S和C/S架构,用户访问资产时无需安装客户端,通过浏览器即可进行资产访问,真正做到了无插件化。同时,JumpServer可以满足开发、运维、DBA(Database Administrator,数据管理员)等不同人员的访问需求,操作简单便捷。
另外,在操作层面,JumpServer的操作界面布局清晰,功能设计也很简约,对于没有接触过堡垒机的同事来说,可以在极短时间内快速上手产品,不需要花费更多的学习成本,真正做到了易学和易用;
4.架构灵活易扩展
JumpServer采用模块化的设计架构,核⼼与节点解耦部署,真正实现了功能上的解耦。同时,JumpServer⽀持容器化部署或者在容器平台内部署运⾏,节点和核⼼可以随着资产与并发的增加⽆限扩展,灵活扩容。
除此之外,JumpServer还兼具单机、主备、主主、分布式等多种部署方案,可以满足公司不同业务场景的使用需求。
JumpServer的部署架构
为了保证业务的高可用并提供良好的用户体验,康明斯中国采用了高可用设计架构,以确保公司业务和应用系统的持续稳定运行。
运维团队也考虑了未来公司IT基础设施的持续性建设进程,IT资产规模将不断增加,因此系统需要具有水平扩展的能力。高可用架构同时也支持随时增加前端应用节点,从而进一步增强系统的支撑能力。康明斯中国的JumpServer部署架构如图1所示。
▲图1 康明斯中国JumpServer部署架构图
这一部署架构对外提供统一域名,通过前端负载均衡设备,对用户的请求进行分发,实现负载均衡,同时对后端节点进行自动检测。除了应用高可用外,MySQL、Reids均采用了高可用的部署方式,以确保数据库服务不宕机、数据不丢失。这样的部署架构在满足堡垒机服务高可用的同时,也可以灵活应对公司资产数量和用户并发数持续增长的情况。
JumpServer的实践场景
JumpServer堡垒机在康明斯中国内部主要有以下几个高频使用的场景:
■ 基于多租户使用管理模式
JumpServer支持多租户管理,通过划分组织进行组织间资源与权限的隔离,从而实现不同组织的独立管理、独立审计。在统一管理、统一审计的前提下,管理员针对公司不同的业务部门进行组织划分,并为各组织单独设置组织管理员,由组织管理员对各组织内的成员进行资产授权和权限划分,大幅提升了运维管理的效率;
▲图2 JumpServer的多租户管理体系
■ 数据库资产统一纳管
除了资产纳管以外,JumpServer支持对MySQL、PostgreSQL、Oracle、SQL Server等多种数据库的直接纳管,同时支持Web CLI、Web GUI以及数据库代理直连等多种数据库连接方式,能够很好地满足不同人员对不同数据库连接的需求;
▲图3 JumpServer支持多种数据库纳管
■ 跨VPC资产的统一管理
康明斯中国的资产主要分布在亚马逊AWS和Azure等公有云环境中,为满足业务的需求,公司划分了多个VPC环境,但VPC环境的资产无法直接和JumpServer网络进行通讯。JumpServer支持网域网关的功能,可以通过代理的方式和VPC环境的资产进行打通,从而实现对VPC环境下资产的直接纳管;
▲图4 JumpServer支持跨VPC资源管理
■ 通过服务端点规则分发用户请求
JumpServer还支持服务端点的规则配置,可以针对指定资产指定固定的访问节点。服务端点是用户访问服务的地址(端口),当用户在线连接资产时,系统会根据端点规则和资产标签选择相应的服务端点作为访问入口建立连接,从而实现分布式资产连接。
注意:如果不同端点下的资产IP有冲突,可以使用资产标签来实现该功能。
▲图5 配置JumpServer服务端点
▲图6 配置JumpServer端点规则
使用JumpServer的价值收益
部署并使用JumpServer后,康明斯中国所收获的业务价值包括:
■ 很好地满足了等保合规的要求。遇到安全事故,JumpServer能够帮助管理员第一时间启动网络安全事件应急预案,对网络安全事件进行调查和评估,并采取相应的技术措施,快速消除安全隐患;
■ IT资产统一纳管。基于JumpServer实现对云服务器、Linux服务器、Windows服务器、数据库的统一管理,统一操作的访问管理入口。同时,对用户操作等网络访问行为进行了有效的控制,避免用户直接接触目标服务器等重要资源,搭建安全、规范的唯一访问通道;
■ 提升运维管理效率。在保障系统整体安全的前提下,康明斯中国通过多租户的管理模式,实现了各部门之间资产和权限的独立管理和审计,并且满足了公司层面统一管理和统一审计的要求。在提升系统整体安全性的同时,还对公司运维管理机制进行了优化。