《2022新一代堡垒机建设指南.docx》由会员分享,可在线阅读,更多相关《2022新一代堡垒机建设指南.docx(51页珍藏版)》请在三一办公上搜索。
1、新一代堡垒机建设指南20221 .弓I舌11.1 编写本白皮书的目的11.2 如何组织、发布和维护本白皮书11.3 本白皮书给企业带来的价值12 .堡垒机发展历史回顾22.1 堡垒机的诞生22.2 堡垒机的发展历程22.3 等级保护推动堡垒机的发展32.4 传统堡垒机面临的挑战43 .新一代堡垒机的内涵63.1 多-63.2 分布式架构73.3 简单易用73.4 开源开放83.5 5软件部署94 .基于JUmPSerVer构建新一代堡垒机104.1 JumpServer的发展历程104.2 JumpServer的架构设计114.3 JumpServer的功能列表124.4 JumpServer
2、的核心优势144.4.1 灵活扩展的分布式架构144.4.2 多云环境的支持164.4.3 简单高效的访问体验164.4.4 开源开放的运营模式184.4.5 软硬兼顾的部署模式184.5 JumpServer的典型部署场景194.5.1 传统的集中部署场景194.5.2 多资产高并发下的分布式部署场景214.5.3 分散资产下的分布式部署场景214.5.4 总部-分支机构”模式的分布式部署场景225 .案例研究24JUmPSerVer护航顺丰科技超大规模资产安全运维24JumpServer助力江苏农信行业云安全运维28东方明珠通过JumpServer高效管控分布式云端资产一一31小红书JUm
3、PSerVer大规模资产跨版本迁移之路34JiJmPSerVer让“大智慧”的混合IT运维更智慧37JUmPSerVer助力中手游提升安全运维能力411.引言1.1编写本白皮书的目的安全问题是企业信息化建设过程中非常重要的一环,伴随着近年来安全事故的频发,越来越多的企业意识到安全对于企业的耋要性。安全涉及的领域也非常广泛,从网络安全、身份与访问安全到应用安全、数据安全等方方面面,它们共同在当今企业的信息化系统中起到保驾护航的作用。随着近十年来IT行业的快速变化,云计算及软件定义的浪潮席卷而来,传统的安全解决方案在新的IT环境下面临着各种各样的挑俄,为此业界也发展出很多新的安全概念,比如最近几年
4、比较流行的零信任安全、云安全等。同时,随着等保2.0新规的颁发和落地实施,无论是国家层面还是企业层面对于信息安全的重视越来越高。在于2019年12月硕布实施的信息安全技术网络安全等级保护基本要求中,针对相关技术要求所涉及的“安全区域边界”、“安全计算环境”、“安全管理中心”等环节,在身份鉴别、访问控制、安全审计等方面提出了明确的要求。定位于解决企业IT运维安全审计的堡垒机正是解决此类问题的主要手段。尽管堡垒机的诞生已经有接近20年的时间,但是在当前云时代及等保2.0新规的要求下,堡垒机产品自身也面临着更新换代的强烈诉求。为此,JUmPSerVer开源项目组希望借助本白皮书和业界同仁们系统地回顾
5、堡垒机的发展历程,及其在云计算时代所面临的问题,以及新一代堡垒机建设的一丝想法与思路。以此为契机与大家进行深入的探讨,共同推动中国堡垒机市场的进化,用更好的产品支持企业在云计算时代的安全运维审计需求。1.2如何组织、发布和维护本白皮书本白皮书由JUmPSerVer开源项目组编写而成。编写团队从企业实践和技术演进的双重视角出发,结合自身在身份与访问安全领域的长期研发及落地经验组织撰写,同时积极听取行业内专家的意见和建议,在此基础上完成了本白皮书的编写任务。本白皮书采用线上渠道(网站、微信公众号等)为主的分发模式。在本白皮书第一版线上发行之后,JumpServer开源项目组还将通过线上渠道广泛收集
6、用户反馈并定期更新白皮书内容。更新版本的白皮书仍将通过线上渠道再次对外提供下裁。欢迎广大用户及业界各位同仁积极提交修正和改进意见,协助我们对本书进行持续完善,使之更加准确、全面和深入。1.3本白皮书给企业带来的价值本白皮书为企业的安全运维人员、安全合规专员、审计部门人员以及高层技术管理者所准备。希望能够通过本白皮书让相关读者更好地理解在云计算浪潮中新一代堡垒机建设的理念和关键要点,能够为企业构建运维安全审计体系等相关工作提供技术性的指引。当然,企业新一代堡垒机建设涉及的各个方面和细节无法在一本简短的白皮书内详尽描述。期待本白皮书能够抛德引玉,引发大家更加全面和深入地思考新时代下运维安全审计体系
7、的建设思路和实现路径。2.堡垒机发展历史2.1 堡垒机的诞生过去几十年来,伴随着信息技术的发展,信息化系统逐渐渗透到企业日常运营的方方面面,也使得需要参与IT运维的人员越来越多。来自于企业内部人员或者第三方维护人员的技能参差不齐,误操作、恶意操作造成的信息安全事故日益增多,而此类安全事故往往会给企业造成极大的损失。因此,企业信息安全防护已经从单纯传统的网络安全防护逐步延伸到运维操作安全防护领域。在这一背景下,侧重于运维安全审计的堡垒机应运而生。堡垒机是指对用户的操作进行权限控制和操作行为审计的安全产品,属于身份与访问安全的范畴。一般认为的运维安全审计系统属于身份与访问安全领域,即在企业IT系统
8、运维的过程中,为了保障内部系统不受内外部入侵的破坏,通过访问控制、身份认证、张号管理、行为审计等多种信息安全技术,对网络设备、主机系统、应用系统的运维访问进行精细化管理,从而帮助企业在IT运维过程中建立全面的事前识别与规划、事中控制,以及事后审计的安全管理体系。堡垒机的核心功能是“运维+安全审计”。要实现这一目标,需要在终端计算机和服务器资产中间加一层协议转发节点,所有对目标资产的谪求都要经过这一节点。该节点能够拦截非法访问,阻断不合规的危险命令,并对内部人员的所有操作进行审计监控,以便进行事后追溯。以上所说的中间节点就是堡垒机,堡垒机在网络环境中的经典拓扑如图1所示。办公网图1堡垒机运营逻辑
9、拓扑图2.2 堡垒机的发展历程按照业界的普遍共识,堡垒机最早诞生于2005年前后。在过去的十五年间,堡垒机的发展经历了如下几个莹要的时间节点,具体如图2“堡垒机发展简史”所示。200520062007第一代堡垒机诞生图形运维审计文件传输审计此时的版本只支持字符级别的运维安 全审i+。堡垒机开始支持图形界面的运维审计, 堡垒机迸入等保要求。堂垒机开始支持文件传输的审计。201120102008运维审核SQL操作审计应用访问审计屡呈机开始支持线上运维操作的审核, 运维人员的操作需要管理人员进行审 批,审批后方可继候操作。堡皇机的审计范围扩展至SQL皴别的操 作中计,壁垒机支持数据库SQL审计, 所
10、有的SQL操作都可以审计并记录下来, 支持审核、阻断等操作。侵金机开始加入“应用访问审计”功能, 即大冢皆遇使用的应用发布”功能O至此, 堡垒机不仅可以管理MndoWS资产和 LinUX资产,以及对文件传硼进行授权和 审计,还可以对目标资产上的某个应用的 访问和操作进行授权和审计。图2堡垒机发展简史在2005年以前,当运维人员需要登录到目标服务器进行操作时,会在中间部署一台WindoWS/Unix的服务器作为跳板机(或者叫做前置机)。所有的运维人员都需要先远程登录到跳板机,然后再从跳板机登录到其他服务器中进行运维操作。但跳板机只是为了解决用户集中登录的问题,并不能回答“谁在什么时间点登泵了哪台
11、服务器进行了什么操作”的问题,所以一旦出现问题很难快速定位具体的原因和相关人员。另外,在这种模式下,后端资产的账号安全性也没有得到保障,每个用户均能拿到资产的用户名和密码。因此,需要用更新、更好的安全技术理念来实现运维操作管理。2005年前后,堡垒机开始以一个独立的产品形态出现,并且陆续得到广泛采纳。堡垒机的广泛部署有效降低了企业IT系统运维操作的风险,使得运维操作管理变得更加简单、更加安全。2.3 等级保护推动堡垒机的发展N随着信息化技术的普及,国家对于信息化安全的重视程度越来越高。从1994年起,国家各级部门颁布了各种信息安全相关的法律法规,其中比较重要的几个事件所图3所示。1994199
12、92008中华人民共和国计算机信息系统安全发布计算机信息系统安全等级保护划这一年被称为等级保护元年。等级保护LO保护条例国务院147号令发布,U分准则。(C8息安全技术信息系统安全等级保护次提出信息系统要实行等皴保护,并定级指南GB2224O-2008x信息安全确定了等级保护的职员单位。技术-信息系统安全等级保护基本要求GBJ22239-2008)相关标准发布实施。20192016信息安全技术网络安全等级保护2。标准中华人民共和国网络安全法发布,这是网正式实施,等级保护正式进入2.0时代络安全的.基本法“,具有强制性规范作用。图3信息安全法律法规大事件我们经常听到的“等保”,即上文出现的信息系
13、统安全等级保护。根据其在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,等级保护被划分为五个等级(如表1所示)。表1等级保护的划分第一级一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络;第二级一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危吉国家安全的一般网络;第三级一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,鸵者会
14、对社会秩序和社会公共利益造成严重危害,或者对国冢安全造成危害的fl要网络;第四级一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络;第五级一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。在以上的等级划分中,明确要求第三级及以上等级保护需要具备身份鉴别(Authentication)、访问控制(Authorization)、安全审计(AUditing)等运维安全审计的能力和措施。因此,等保的出现使得堡垒机在全国受监管的企事业单位及关系国计民生的重要行业内快速落地,同时也推动了堡垒机产品和技术的快速演进,让越来越多的客户认识到堡垒机在安全运维过程
15、中所带来的价值。2.4 传统堡垒机面临的挑战随着企业内部的安全需求和各种合规要求,堡垒机的市场空间被快速打开,产品和技术也快速发展。但遗憾的是,进入21世纪第二个十年后,堡垒机的产品和技术发展进入了明显的瓶颈期。与此同时,随着互联网技术及智能手机的快速普及,数字化转型已经深入到每个人生活的方方面面。对于企业来说,内部IT系统的使用无论是规模还是深度都在快速提升,企业信息安全部门对于堡垒机的需求也发生了巨大的变化。这种变化主要体现在堡垒机所处的企业IT环境在进行深度变革,具体可以从两个视角来观察:堡垒机管理的目标资产端A企业内部的资产爆炸式增长,且频繁变更。企业IT规模从一百台资产到几千台甚至上
16、万台资产,资产的数快速增长,这使得资产和用户的管理难度呈现出指数级增长。与此同时,资产的变更也日益频繁。之前企业内部上线一套系统后,一般是等到业务下线才会回收机器。但是现在前端市场需求的多变导致业务系统的频繁变更,扩容与缩容也让资产的变更更加频繁。尤其是这些年基于弹性和API设计的云基础设施快速迸入企业内部,资产的规模和变更频率进一步加快;A基础设施高度异构化。中国企业的IT架构在过去三十年间发生了巨大的变化。基础设施层面从早期的物理机、虚拟化到现在的私有云、公有云、容器云等;数据库从之前的DB2、SQLSerVer到现在流行的开源数据库MySQL、MariaDB、MongoDB等;基础设施分
17、布范围广。互联网的兴起使得企业的业务不受地域限制,业务可以在全国乃至全球范围内广泛布局,这就使得传统的集中式单一数据中心向多地分散的数据中心布局转变。堡垒机系统的使用端A堡垒机使用端平台的变革。2010年之后,互联网快速兴起,我们访问互联网的设备从早期的台式机、笔记本到现在随处可见的智能手机和平板电脑。操作系统从早期的WindoWS到现在的iOS、Androido堡垒机的使用端也发生了巨大变化;A堡垒机使用端人群的扩张。随着企业IT系统快速渗透到企业内部的方方面面,堡垒机使用的人群也已经从传统的IT专业运维人员扩张到大的泛IT人群,包括开发测试人员、业务运营人员乃至部分公司的管理人员等。这些人
18、群普遍缺少对于IT运维软件的使用经验,期待堡垒机的使用能够更加简单,对访问端的环境要求也可以更低一些。这些外部环境的变化对于传统堡垒机而言是极大的挑战。具体体现在以下几个方面:A资产规模的快速增加带来的管理复杂度提升。传统的堡垒机是通过手动录入IP或者EXCel表格进行资产导入,但是对于现在动辄几千甚至上万台的机器,如果需要人工录入,这种方式不仅效率低还容易出错。而且在资产频繁变更的情况下,这样的管理方式可能会逐步发展到不可控的阶段;A复杂的访问端环境造成额外的维护成本。传统堡垒机方案中用户接入门槛高,维护成本偏高。越来越多的企业需要堡垒机能够提供“传统客户端+Web接入”的双重访问模式,尤其
19、是Web接入的需求越来越强烈。传统方案在VVeb接入方式上普遍采用较为原始的浏览器插件模式,导致大的浏览器插件不匹配、用户无法升级浏览器等影响用户使用体验的问题,严重影响了堡垒机的接入访问效率;A分散资产带来的管理成本增加。企业的IT资产分散在全国各地,各个地区间网络连接的带宽、稳定性给堡垒机的管理带来了很多的不确定因素。在传统架构中,部署在A地的堡垒机需要去管理B地的资产,一般是谓要在A地和B地之间部署专线来解决。分支机构越多,机构之间的距离越远,往往会带来更高的管理成本。传统堡垒机的解决方案是在每个区域购买一台堡垒机,多个区域组成一个大的集群,这种方案不仅造成了大的成本浪费,也给管理上带来
20、了很多不必要的麻烦;A审计对敛的复杂化。当下IT技术的演进速度越来越快,基的设施层面随着KUbemeteS成为容器云建设的首选标准,以及数据库层一些新型数据库产品的出现,传统堡垒机支持的审计对象已经远远不够,需要将新出现的IT基础设施对象考虑进来。因此,对于当下云计算时代的基砒架构,传统的堡垒机解决方案在实际应用中的短板日趋明显,企业用户迫切地需要新一代堡垒机的出现,以应对新时代运维安全审计的实际需要。3新一代堡垒机的内涵如前所述,过去十年堡垒机所处的外部环境发生了期天覆地的变化,这给传统堡垒机带来了非常大的挑战O特别是在企业IT领域,尤其是软件领域的技术架构也有了长足的进步,技术组件从闭源走
21、向开源,并且涌现出非常多丰富好用的组件。外部的基础设施,从资源载体(宿主机、虚拟化、私有云、公有云、容器等),到操作系统(Windows、Linux),再到应用层均发生了剧烈的变化。新的外部环境和新产品技术共同促使了新一代堡垒机的诞生。新一代的堡垒机的内涵体现在多云支持、分布式架构、简单易用、开源开放和软件部署五个方面。3.1多云支持在数字化转型的时代,业务的需求变化已经缩短到以天为单位。企业为了满足部分业务的快速迭代,同时又要保证核心业务的稳定运行,业务形态不得不同时保持“稳态+敏态”的双态IT模式OIl要快速迭代的业务,部署在公有云、容器云平台之上,充分发挥云的“弹性”优势;而追求稳定的业
22、务,则部署在本地化云平台上,充分发挥本地“稳定压倒一切”的优势。这样一来,最终企业内部的IT架构往往会呈现为多云架构。新一代的堡垒机必须要适应这种多云架构。为此,堡垒机建设时需要从以下几点进行考量:云资产的基繁变更和尚化壁垒机管理之间的平衡。企业一旦采纳了云,则要考验云的“弹性优势是否能够发挥出来。资产频繁扩缩容,导致资产越来越“弹性”。业务较高和较低时,资产数量可能会相差好几倍。这种资产数的不确定性,在纳入到堡垒机进行管理时,是否能够进行灵活管理变得十分重要。否则刚刚纳入堡垒机的资产,可能在一天后又被删除,这对于堡垒机运维人员来说是一件极其痛苦的事情,频繁的操作意味着更高的出错率。既然公有云
23、的API非常丰富,那么是否能利用公有云的标准APl实现资源的自动同步和分组呢?基础设施云化后,要求堡垒机能够在资产接入和管理上有较好的适配性和灵活性,最好能蜉适配云平台的APl接口,有效降低平台资源管理的难度;多云环境下资产网络连接适配。在云架构中,传统堡垒机直通网络的部署方式在云时代面临很大的挑战,云时代的资产部署在不同的云平台、不同的云账号、不同的VPC、不同子网下,堡垒机对它们的管理需要能够在网络层面进行更好地适配;充分利用公有云上优秀的服务能力。云上的对象存储因为其极低的使用成本、巨大的容优势和完整的数据全生命周期管理能力而被广泛采纳,而堡垒机正好有庞大的审计数据存储需求。新一代堡垒机
24、如果能够充分利用对象存储服务来存储大的视坂录像操作,将为运维审计提供充分的便利性,用户还可以利用对象存储的生命周期策略设置审计数据需要存储的时间及存储介质等,全方位地方便运维人员的管理工作;集成KUbemeteS容器云平台的审计。随着KUbemeteS成为大家建设容器云平台的事实标准,很多企业在开发测试及生产环境中都部署了多套KUbemeteS集群,使用人员也越来越多,这也就造成了安全合规的不确定性。新一代堡垒机需要将KUbemeteS集群运维的安全审计纳入到能力范围之内。3.2 分布式架构软件架构的分布式发展已经在互联网业务系统中被广泛使用,并取得了巨大的成功。而对于大部分堡垒机产品,分布式
25、还是一个比较新的概念,被采纳的程度并不理想。但就像前面所介绍的那样,堡垒机外部环境的剧烈变化对堡垒机的分布式架构提出了迫切的需求。具体表现在如下几个方面:A堡垒机需要纳管的资产规模在快速增加,最终使用的用户从几十人发展到几百人,乃至几千人。这意味着堡垒机需要承受非常高的并发压力,而且这种并发压力已经达到靠传统垂直伸缩的模式无法支撑的阶段。面对这一问题,传统壁垒机的解决方案经常是部署多套独立运行的堡垒机。这种方案无疑会带来部署成本和维护成本的显著上升。显然,软件分布式架构是一种更好地面对这一问题的解决方案。为此,基于分布式架构的水平伸缩能力成为新一代堡垒机的必然之选。要建设这种分布式架构,堡垒机
26、产品架构的每一层逻辑都需要能够独立解超,从前端到业务层,再到后端数据库。这样在将来资产快速扩张和并发压力快速增加的时候,就能够做到在线水平犷容,不会对正常业务造成负面影响;堡垒机需要纳管的资产分布与访问分散化。由于企业内越来越多的运营环节依赖于IT系统的支撑,随着线上数字业务的发展,企业业务覆盖的区域也在快速拓展。为此,原来人员集中、资产集中的堡垒机使用场景快速分散化。新一代堡垒机需要能够解决来自各地不同人员对分散在各地的不同资产进行快速访问的需求。而且,这种访问最好能够遵循“网络就近原则”以提供更好的使用体验。与之相比,传统堡垒机的解决方案还是以分地域多套部署为主。传统方案一方面增加部署和管
27、理成本,另外一方面也达不到分散资源统一管理的目标。通过分布式架构,新一代壁垒机可以做到组件分布式部署,并通过网络路由达到最优访问路径的选择,从而实现分散资产集中管理和分散人员就近访问的平衡;A堡垒机的分布式架构还可以让系统的每个组件都具备独立高可用部署的能力。当赘体架构中任一组件的任一节点出现问题时,对整体业务做到不中断、无感知,保证可用且具备快速容灾切换的能力,保障运维安全系统的稳定高效运营。3.3 简单易用随着越来越多的企业经营环节进行数字化改造,企业内必然有越来越多的泛IT人员需要使用堡垒机。这给原来为专业IT运维人员设计使用的堡垒机带来了用户使用体验的新挑战O新一代堡垒机需要在产品的简
28、单易用性方面明显上一个台阶才能够满足企业在堡垒机应用体验方面的需求。用户使用体验上的简单易用主要表现在以下几个方面:低使用门槛。好的产品可以让使用者以最低的学习成本快速地使用起来。堡垒机的用户角色多种多样,但是终端使用者是其最主要的使用群体。而且,由于越来越多IT设备和应用需要接入堡垒机,堡垒机的终端使用者也由传统11专业人员扩展到企业内任何和IT设备和应用需要打交道的泛IT群体。在这种情况下,我们要考虑的是产品对于众多使用者是否轻便?能否达到1傻瓜式”操作的目标?这就需要访问入口尽可能简单直观,对于没有任何IT背景的用户也能够快速上手,不需要安装任何复杂的客户端或者插件即可访问。而在“浏览器
29、为王”的时代,通过浏览器访问是最简便的方式,在任何只要有浏览器的终端上就能访问,这才是真正的简单易用。A交互方式友好。很多传统堡垒机的交互方式还停敞在上个时代的桌面软件时代。在互联网产品交互模式和技术越发丰富和灵活的当下,新一代堡垒机的交互方式应该遵循主流互联网产品的体验模式O这会让大量泛IT人群更容易接受,并育汰幅降低软件培训和学习的成本;支持多租户管理。对于现在集团型企业或者多数据中心企业而言,堡垒机的部署和管理模式是一个难题。传统方式是每个子公司或者每个数据中心部署一套独立的堡垒机,这样带来的问题是部署成本快速攀升,需要不断地扩充硬件,并且每套堡垒机都得独立管理,管理成本快速提升,需要重
30、复管理。而云计算中的特性之一“多租户”如果能够融入到堡垒机的设计理念中,让一套堡垒机能够统一管理不同数据中心乃至不同租户(子公司或者业务部门)的资产无疑会实现关键性的改进。而且,多租户模式还给管理权力下放带来了可能O用户可以在一套堡垒机内管理全部资产,又可以给每个租户独立的运维管理权利。这样不仅帮助用户削减了管理的复杂性,还能降低用户的购买成本;A集成多种审计对象。运维安全审计从早期的字符集、图形、文件传输层审计逐步发展到后期出现的基于SQL级别的审计,由此诞生了多种形态的产品。随着企业IT系统部署方式和技术栈的变化,未来肯定还会出现新的运维安全审计需求。作为新一代堡垒机,需要考虑尽可能地在一
31、套系统内满足多种运维安全审计需求。比如,新一代堡垒机可以考虑将SQL级别的数据库运维安全审计回归到堡垒机产品中。另外,面向KUbemeteS集群的运维管理操作也会成为企业即将面临的一个重要审计对象,新一代堡垒机也应考虑将其管理纳入设计之中。3.4 开源开放/当前IT行业有两个重要的趋势:一是软件吞噬一切。传统的计算、网络、存储各个方面都在向软件演变,有软件定义一切的势头;另一个趋势是开源。越来越多的公司在拥抱开源。开源变得越来越被用户所接受。据统计,80%的企业用户在使用开源组件或者开源系统。开源模式使得越来越多的用户和贡献者参与进来O参与的用户越多,绐产品提建议的人越多,产品的功能就越丰富,
32、迭代速度也更快,产品就愈加稳定和安全。产品更稳定、更安全、功能更丰富,又带来了更大的用户规模。如此反复,开源的飞轮快速自动高速运转,这就是开源的魔力。图4开源软件的飞轮效应除开源外,软件领域的另外一个显著趋势就是软件的开放化。随着企业采纳的软件越来越多,企业越需要形成不同软件之间的协同和数据交换。为此,软件的开放接口支持能力正在成为现代软件重要的考核指标。业界为此也先后发展出各种软件接口交互协议(例如WebServicexRestfuIAPI等)。作为基础安全产品之一,传统堡垒机基本以封闭式软件或者硬件一体机的方式进行运营和交付。这种模式有其独特性和时代背景,但这一模式也明显限制了堡垒机产品技
33、术的迭代以及广泛的市场采纳。作为新一代堡垒机产品,选择开源模式运营并特别童视产品的对外开放性是其最为显著的特征。具体表现在以下几个方面:开源模式让量垒机产品可以更加广泛地被企业所采纳。尽管等保规范和企业安全管理需求的快速提升推动了堡垒机的企业采纳率,但传统封闭模式下的运营方式还是极大地限制了大新型企业采纳堡垒机产品。尤其是过去几年间中国高速发展的数字经济催生了大堡的互联网企业,他们的业务发展快,自我研发能力强,广泛采纳各种开源软件。开源模式运营的堡垒机让他们可以以极低的成本和极快的速度基于堡垒机构建自己的运维安全审计平台,并且帮助企业在发展早期就形成较好的运维安全管理体系;A开源模式屋予安全软
34、件快速进行产品迭代的动能。基于开源模式运营,堡垒机产品会被广泛采纳,产品功能需求和缺陷发现的迭代动能从来自一个单独的原厂变成整个庞大的用户社区。开源软件的研发孙作方式经过多年的发展已经变得十分成熟,国内庞大的工程师群体可以充分利用这个机制共同推进软件产品的进步和成熟;A开源模式推动了产品的研发和发展。由于开放源代码的公开性和接口APl的标准化,用户会基于开源软件进行广泛的二次开发和周边系统对接。这让堡垒机从一个独立的开源产品发展成为能够无缝融合到企业安全建设体系内的开放产品。3.5 软件部署传统堡垒机多以硬件形式进行售卖,硬件一体机本质上就是将软件部署在独立的硬件设备之上。尽管硬件一体机在部署
35、上线和独立运维上有其优势,但在面临新一代堡垒机需要解决的各种需求时越来越成为一种限制。同时,硬件一体机带来的额外硬件维护管理工作也成为运维人员的一种负担。随着硬件虚拟化技术及云平台的普及,软件部署方式越来越成为堡垒机的首选部署方式。因此,相较于硬件而言,软件模式不仅更易于部署和维护,还在扩缩容、高可用方案上更具灵活的优势。A易于部署和维护。软件形式的堡垒机只需要一台虚拟机或者云主机即可部署,省去了前期的布线、上架等操作,也不需要进行后期繁重的硬件运维任务。尤其是在公有云环境下的部署,软件已经成为其唯一的选择;易于扩容和缩容。软件形式部署的堡垒机,在后期需要扩容时,不需要考虑硬件的交付周期,可以
36、随时部署一台虚拟机或者云主机,即可实现分钟级的扩容;在需要对堡垒机容进行犷缩容时,软件部署方式可以灵活地支持水平和垂直扩容模式,以实现分钟级犷缩容。对于业务弹性较大的互联网类应用体系来说,软件部署方式最大程度上降低了用户的总体拥有成本,减轻了运维人员的工作;A混合云架构下易于搭建灾备切换方案。对于一些多云环境或者混合云环境的客户,软件形式部署的堡垒机可以在多云之间灵活部署实现高可用模式,例如阿里云部署主节点,腾讯云上部署备用节点,实现多云之间堡垒机业务的高可用。4,基于JumpServer构建新一代堡垒机JUmPSerVer是全球首款完全开源、符合4A规范(包含认证AUthentiCatiOn
37、、授权AUthoriZation、账号ACCOUnting和审计AUditing)的运维安全审计系统OJUmPSerVer的后端技术栈为Python/Django,前端技术栈为Vue.jsElementUI,遵循Web2.0规范O与传统堡垒机相比,JUmPSerVer采用了分布式架构设计,可灵活犷展,水平扩容。JUmPSerVer还采用了领先的容器化部署方式,并且提供体验极佳的纯浏览器化WebTerminaI。产品交互界面美观、用户体验优异,同时支持对接多种公有云平台,满足企业在多云环境下部署使用。针对企业用户网络安全等级保护要求,JUmPSerVer堡垒机已经获得公安部颁发的“计算机信息系统
38、安全专用产品销售许可证”,助力企业快速构建身份鉴别、访问控制、安全审计等方面的能力,为企业通过等级保护评估提供支持。4.1JumpServer的发展历程由于日常运维管理工作的需要,JllmPSerVer项目的创始人老广(广宏伟)于2014年在代码托管平台GitHUb上写下了JUmPSerVer项目的第一行代码,并于当年8月发布了JUmPSerVer项目的首个vl版本。从2014年至今七年的时间里,JUmPSerVer每一年都有不同的变化,持续保持着高速演进的状态。JUmPSerVer开源项目发展的重要事件如图5所示。JumpServGr 项目 写下第一行代码v.032版本发布 v.1.0里程碑
39、版本发布获计Jl机信息系 统安全专用产品销 售许可证)软件订阅服务发布,GithubStar 10.000+发布多数据库 审计功能VL5版本发布V2.0版本发布2014.6I2014.8I2016.4I2017.11I2018.3I2018.8I2018.10I2019.5I2019.8I2020.6I2020.11v.0.1.0版本发布加入FIT2CL0UD飞致云大家庭vl.4版本发布图5JumpServer开源项目发展历程JUmPSerVer项目从诞生之日起就对外开源。整个项目坚持“基于开源、拥抱开源和超越开源”的理念进行运营。项目中所有组件优先选择已经成熟的主流开源组件构建,将项目主要精
40、力放在解决用户在堡垒机使用场景中的真实痛点之上。2017年11月,JUmPserVer在加入FIT2CL0UD飞致云大家庭后,项目获得更多的开发资源支持,并且开始坚持每月发布一个新版本,得到了越来越多社区用户和企业客户的认可。截止到2021年4月,JUmPserVer在GitHUb上的Star数量超过15,000个,累计安装部署次数已经超过200,000次,成为业内具有最广泛安装基础的堡垒机。4.2JumpServer的架构设计JUmPSerVer充分吸收了过去多年互联网产品的发展经验,在构建之初就采用了分层解耦的设计理念,JUmPSerVer的产品架构如图6所示。(SSH、MySQL )Om
41、niDB (MySQLx OradeW)GuaCamole (PDPx VNCx RemoteApp 31)接入负我存储本地存储云存储图6JUmPSerVer的产品架构从图6可以看出,JUmPSerVer产品从下至上可以分为存储层、数据层、核心层、接入层和负载层,包括MySQL/RedisCORE、Koko/GuaCamoleLuna等核心组件。A存储层用于产品的各种数据存储(包括元数据及各种审计数据),存储可以是本地存储,也可以是传统SAN存储、文件存储或者对象存储等;A数据层采用MySQL存储产品中的用户、资产、授权等核心数据,并使用RediS提供对核心数据的访问加速,提升用户的访问体验;
42、A核心层用于对用户、资产和授权等核心数据进行处理,并提供相应的管理控制台。位于该层的CoRE组件使用DjangoCIaSSBaSedView风格开发,支持RestfulAPI接口;A接入层负载接入来自终端客户(Web终端或者传统客户端)的连接请求OJUmPSerVer根据接入的连接类型是字符型还是图形型提供两个独立的接入组件,分别是KOkO和GUaCamOIe。其中,KOkO组件实现了SSHSerVer和WebTerminaISerVer,提供SSH和WebSoCket接口,以方便用户通过Web端和传统SSH客户端登录使用。GUaCarnole组件实现RDP连接功能,提供纯Web方式的图形化界
43、面操作能力。JUmPSerVer也为数据库提供了一个单独的接入组件OmniDB。通过集成OmniDB开源项目,JUmPSerVer的用户能像使用NaViCat一样,在Web端操作数据库,目前支持的数据库种类包括MySQI、MariaDBsOraCIe和PoStgreSQLO另外,接入层还提供纯Web模式的接入,JUmPSerVer设计了一个纯浏览器版本的终端,即LUna组件;负教层承载用户接入流的负载均衡。用户可以选择纯软件的负载均衡方案(例如Nginx),或者传统的硬件负载均衡设备(例如F5)。4.3 JumpServer的功能列表介绍了JUmPSerVer的产品架构设计后,我们来总结一下J
44、UmPSerVer所提供的堡垒机具体功能(如表2所示注:部分功能仅在JumpServer堡垒机企业版提供。表2JUmPSerVer堡垒机功能列表功能模块功能描述系统部署支持主流云平台:VMware、AWS.阿里云、华为云等;支持多云资产纳管,对私有云、公有云资产进行统一管理;分布式架构设计无限扩展,轻松对接混合云资产,会话/命令记录可直接使用云存储服务;支持NFS、CephsSWift等对象存储,阿里云OSS、AWSS3BucketAZiJre等多种云对象存储服务,并支持录像保存在本地,同时在云端进行备份;容器化的部署方式,部罟过程方便快捷,可持续升级,无需重复部濯;堡垒机以软件形态交付,部署
45、在物理服务器或虚拟化服务器之上;支持在云平台(虚拟化环境)中快速选用堡垒机的镜像即可自动完成安装,无需手工安装运维审计系统程序;用户管理堡垒机采用系统盘与数据盘分阍部署,操作系统存储在系统盘中,数据保存在数据盘中,防止因操作系统出现故障而造成数据损坏;堡垒机的操作系统版本不低于CentOS7;支持多台堡隹机的配置信息自动同步,提高配置备份和运维服务冗余,防止单系统故障;堡垒机支持集群管理模式,即集群中心统一管理、统一授权、统一审计,提供堡垒机的并发性能,解决海量客户使用时遭遇性能瓶颈等问题;支持与外围第三方系统(例如云管平台)对接,实现用户、资产、授权信息自动同步;支持OPenID,可以向多个
46、系统认证,无需管理多个帐户,实现单点登录;支持用户的批量导入/导出,按用户类型等进行分组;支持用户安全策B8功能,例如密码锁定次数、定:码复杂度、用户有效期等;支持动态用户的创建和推送;支持按部门组织架构进行组织管理;身份认证每个部门可以管理本部门的用户角色,例如部门管理员、普通用户;每个部门的部门管理员可以管理本部门及下级部门的主机、授权关系和策略;每个部门的审计管理员可以管理本部门及下级部门的运维会话日志;支持密码过期后引导用户重置密码;提供运维人员集中身份认证功能,使得运维人员仅需经过一次身份认证,就可以直接访问多台目标设备;支持对运维人员登录过程由管理员进行确认和验证;当失败的用户身份
47、鉴别尝试次数达到规定的数值时,能够中止用户与系统之间的会话过程,并对身份差别失败事件进行审计霰踪,保证审计信息不能被未授权的用户更改或破坏;每个授权用户具有唯一的用户标识(ID)和唯一的身份鉴别信息。如果进行用户和系统之间的相互身份鉴别,系统也具有唯一的身份鉴别信息O用户和系统的身份睡别信息是不可伪造的;认证方式支持动态口令认证软件和硬件令牌等多种方式;支持与AD、LDAP、CAS、RadiUS等认证系统联动后登录堡垒机,支持同步AD/LDAP用户;支持以手机APP动态口令认证方式登录堡垒机,且新用户首次登录后需强制绑定APP动态口令;支持只针对部分用户开启双因子认证;支持域认证与双因子认证结合使用,例如同时使用AD/LDAP用户名+AD/LDAP密码+动态口令登录堡垒机;支持认证方式的全局设置,可以选择启用哪种或者嘟几种认证登录窗口;访问和权限控制采用资产树组织资产,管理起来更加方便。授权时采用资产树授权,当节点资产变化时,自动继承授权;支持依据远程管理方式对运维人员(用户/用户组)进行细粒度的权限控制;支持依据访问的对象对运维人员(用户/用户组)进行细粒度的权限控制;提供的网域功能适用于多云的业务架构,通过JUmPSerVer系统不仅可以直接登录私有云资源,也可以登录公有云资源;统一SFrP文件的上传与下载,支持WebSFTP文件管理,
