案例研究|萤石网络通过JumpServer解决安全运维难题

news2024/11/16 15:58:57

杭州萤石网络股份有限公司(以下简称为萤石网络)于2015年在杭州成立,是安全智能生活主流品牌,核心产品包括智能家居摄像头、智能门锁、智能服务机器人等。2021年,萤石网络家用摄像头占国内出货量市场份额的25%,占全球市场份额的18%。
在这里插入图片描述

安全运维的挑战

萤石网络的业务处在快速发展的状态,这为其IT系统的日常运维管理带来了很多挑战,同时公司所使用的传统运维审计平台也面临着版本老旧、功能缺失、缺少鲁棒性( 即Robust,指健壮性、稳健性、强健性)设计等问题。总结来说可以概括为以下几个方面:

1.传统运维审计平台无法满足鲁棒性需求

在萤石网络以往的实际工作场景中,出现过云平台故障导致服务器意外宕机的情况,系统运行不稳定,并且之前在使用的传统运维审计平台没有针对风险情况(如云平台故障宕机、网络断开等)进行鲁棒性设计,因此难以抵抗系统风险。

在咨询原厂商后得知,如果采用传统运维审计平台的方案,鲁棒性方案的投入成本较大。而且后续如果资产增加、项目扩大,对审计平台的架构进行变更或者横向拓展会比较困难;

2.现存传统运维审计平台版本老旧,升级需额外资金投入

萤石网络之前一直使用的是传统的运维审计平台,该审计平台已经运行了较长时间,所使用的版本较为老旧,相比最新稳定的版本之间存在较大的版本差异。升级操作较为复杂和困难,原厂商在收到萤石网络运维团队对系统平台升级的请求时,提出因版本代差较大、升级繁琐等原因需要额外付费,升级的成本较高;

3.自动化工作方面,传统堡垒机和Jira对接存在挑战

在日常的工作中,萤石网络有一个常见的场景是,新员工入职后需要开通一些默认的堡垒机授权访问权限。入职的新人需要按入职引导,提交内部工单,通过Jira推送到堡垒机,经授权审批后,即可获得部分默认资产的访问权限,日常资产授权申请的流程也需要进行类似的操作。

这种纯人工的推进操作流程流转速度慢,会给运维人员带来大量机械性的运维工作,运维工作效率低下;

4.统一管理以及权限隔离的需求

萤石网络拥有多个项目和多个组织,希望通过堡垒机对分属不同部门的用户、不同来源的资产、细化分层的授权权限进行隔离,并且还要通过技术手段来隔离不同来源的用户、资产和授权权限,同时还要保持在公司层面对资产、用户以及访问权限的统一管理。

原有的运维审计平台难以实现IT资产统一管理和权限隔离的需求,萤石网络的运维团队需要寻求新的运维审计平台解决方案。

为什么选择JumpServer?

萤石网络在经过一系列的市场调研和选型之后,对JumpServer堡垒机进行了内部测试,发现其核心功能能够满足公司对堡垒机的核心诉求。JumpServer开源堡垒机的优势主要体现在以下几个方面:

■ 支持负载均衡和系统鲁棒性

JumpServer堡垒机能够很好地支持负载均衡和鲁棒性架构。JumpServer堡垒机的代理层可负载均衡以及调整系统鲁棒性架构,并在此基础之上对负载均衡节点进行高可用化处理,进一步强化系统的鲁棒性,满足了企业安全运维的要求。

在鲁棒性架构之下,当堡垒机发生宕机事故时,可以保障最终用户至少能够通过一套堡垒机环境来正常访问资产;

■ 开源开放,版本迭代速度快

JumpServer作为一款开源堡垒机,提供了一个开源开放的平台,拥有非常活跃的开源社区,社区用户可以随时在GitHub上提交对项目的建议和想法。JumpServer每月会发布一个新版本,用户可以顺滑地升级版本。对于企业版用户来说,版本的升级并不需要支付额外的费用;

■ 采用OpenAPI规范,内置RESTful API

JumpServer堡垒机提供了标准的REST API接口,可以正常对接Jira,实现自动化的工单管理,提升了系统的自动化程度,有效提高运维效率;

■ 组织管理功能

JumpServer堡垒机企业版支持组织管理功能,能够实现多租户管理和权限隔离。公司可以按照部门或者项目的维度进行细分,将用户、资产、授权权限等分别按需隔离在不同的组织中,同时也很好地满足了公司层面IT资产统一管理的需求。

JumpServer的部署架构

基于企业的自身需求,萤石网络最终选用了强鲁棒性负载均衡架构的JumpServer部署方式。为了营造更好的用户体验,JumpServer前端为最终用户提供了两个域名入口,分别用于日常工作访问/上传下载和批量调用。

JumpServer的部署架构分为四层,并可进行分层解耦,易于扩展:

■ 代理层的负载均衡节点采用高可用方案,在架构实施完成后的多次灾备演练中,在最少有一个负载均衡节点存活的前提下,堡垒机服务可正常访问;

■ 节点层的JumpServer节点可随资产和访问并发的增加进行合理的横向拓展,在多次灾备演练中,堡垒机服务均可正常访问;

■ 数据库节点采用高可用方案,在多次灾备演练中,堡垒机服务均可正常访问;

■ 数据存储层采用远端数据盘方案,异机留存历史数据、备份数据等。
图片

JumpServer的功能亮点

实际使用下来,JumpServer的两个功能给萤石网络的运维团队留下了深刻的印象。

■ 远程应用(RemoteApp)

JumpServer堡垒机企业版支持远程应用(RemoteApp)。远程应用作为微软内置的应用发布工具,可用于运行Web页面资产,例如网络设备网页管理界面、内部业务页面等。远程应用也可以用于拉起安装在远程发布机上的自定义应用,例如Navicat、PL/SQL等数据库连接工具等。

对上述应用的访问进行监控并提供录像回放,能够很好地满足公司层面的安全审计的要求;

■ 账号备份

JumpServer堡垒机企业版支持对资产账户的定期备份功能。资产的账户信息托管到JumpServer后,管理员可以根据公司安全运维的规范要求,制定账号备份计划,自动定期异机保存全量资产的登录账号及密码。

账号备份作为一种极端场景下的逃生方案,可以很好地满足公司安全运维的需求,提高了公司应对系统故障的能力。

对JumpServer的建议

经过两年的实际使用,萤石网络积累了丰富的JumpServer使用经验,也希望JumpServer能够越来越强大。

在目前的使用场景中,萤石网络在通过JumpServer进行大规模批量推送用户、通过API批量创建资产授权等自动化作业(2000条以上)时,会遇到无法得知任务结束时间的问题,也无法判定什么时候可以继续公司的内部流程,希望JumpServer能够增加异步化的任务反馈。

此外,针对之前已成功推送到资产的系统用户,希望JumpServer在推送流程中能够提供加以校验并自动跳过的功能。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/504829.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

代码随想录算法训练营day32 | 贪心算法:122.买卖股票的最佳时机II ,55. 跳跃游戏,45.跳跃游戏II

代码随想录算法训练营day32 | 贪心算法:122.买卖股票的最佳时机II ,55. 跳跃游戏,45.跳跃游戏II 122.买卖股票的最佳时机II55. 跳跃游戏45.跳跃游戏II 122.买卖股票的最佳时机II 教程视频:https://www.bilibili.com/video/BV1ev4…

Java基础(33)Java集合详解

集合类主要负责保存、盛装其他数据,因此集合类也被称为容器类。Java 所有的集合类都位于 java.util 包下,提供了一个表示和操作对象集合的统一构架,包含大量集合接口,以及这些接口的实现类和操作它们的算法。 集合类和数组不一样&…

2023年湖北安全员ABC证报考条件都有哪些?有什么区别?启程别

2023年湖北安全员ABC证报考条件都有哪些?有什么区别?启程别 一、安全员ABC证是什么? 安全员A、B、C证属于建筑三类人员证书。建筑三类人员:是指建筑施工企业主要负责人、项目负责人和专职安全生产管理人员。 建筑企业的法人代表&…

【Linux下】 线程操作及线程互斥

【Linux下】 线程操作及线程互斥 线程操作 注&#xff1a;以下函数使用时&#xff0c;编译文件时需带上-lpthread选项&#xff0c;因为下面的函数都是线程库里面的函数 pthread_self #include <pthread.h> pthread_t pthread_self(void);**作用&#xff1a;**获取当前…

淘宝天猫1688京东商品详情API接口,封装接口可高并发

要提供商品详情数据需要知道具体的商品信息&#xff0c;但通常商品详情数据应包括以下内容&#xff1a; 商品名称&#xff1a;商品的名称&#xff0c;以方便顾客对其进行识别和区分。 商品描述&#xff1a;一段让顾客能够全面认识商品的描述。应能够有效地展示商品的特性、功能…

大数据赛项|2023年广东省大学生计算机设计大赛初赛结果公示

2023年广东省大学生计算机设计大赛 暨第16届中国大学生计算机设计大赛 粤港澳大湾区赛初赛结果公示 根据《广东省教育厅关于做好2023年广东省本科高校大学生学科竞赛工作的通知》&#xff0c;广东外语外贸大学承办2023年“广东省大学生计算机设计大赛”。 在广大师生的热情…

迅为国产化RK3588开发平台16G大内存64G存储2路千兆以太网4G/5G通信

iTOP-3588开发板采用瑞芯微RK3588处理器&#xff0c;是全新一代AloT高端应用芯片采用8nmLP制程&#xff0c;搭载八核64位CPU(四核Cortex-A76四核Cortex-A55架构)集成MaliG610MP4四核GPU&#xff0c;内置AI加速器NPU&#xff0c;算力达6Tops&#xff0c;集成独立的8K视频硬件编码…

OpenCV-Python图像阈值

目录 简单阈值 自适应阈值 Otsu的二值化 所谓的图像阈值&#xff0c;就是图像二值化&#xff0c;什么是二值化&#xff0c;就是只有0和1&#xff0c;没有其他的。在OpenCV的图像里面&#xff0c;二值化表示图像的像素为0和255&#xff0c;并没有其他的值&#xff0c;它跟灰度…

js逆向-某东h5st

声明 本文仅供学习参考&#xff0c;如有侵权可私信本人删除&#xff0c;请勿用于其他途径&#xff0c;违者后果自负&#xff01; 如果觉得文章对你有所帮助&#xff0c;可以给博主点击关注和收藏哦&#xff01; 文章标题 声明前言参数分析扣代码算法还原 前言 目标网站&…

SpringCloud项目实例3--通信服务负载均衡

只是在pom.xml文件中添加了spring-cloud-starter-loadbalancer依赖并且在RestTemplate类中添加了一个LoadBalance的注解。这就是另外一种负载均衡的实现方案 Spring Cloud LoadBalancer 介绍 这种方案有什么优点呢&#xff1f; 减少整个系统的复杂度&#xff0c;不需要额外部…

BDD行为驱动开发+Python案例解析

简介&#xff1a;BDD&#xff08;Behavior-Driven Development&#xff0c;行为驱动开发&#xff09;是一种敏捷软件开发方法&#xff0c;它强调软件应该按照预期的行为来开发。BDD的核心理念是使用自然语言编写的可读性强、易于理解的用户故事&#xff08;User Stories&#x…

【前端三剑客之CSS】

目录 1.CSS1.1什么是CSS1.2 引入方式1.2.1内部样式1.2.2 行内样式表1.2.3 外部样式 2.选择器2.1 基础选择器2.1.1 标签选择器2.1.2 类选择器2.1.3 id选择器2.1.4 通配符选择器 2.2 基础选择器小结2.3 复合选择器2.3.1 后代选择器 3.元素属性3.1 字体元素3.2 文本属性3.3 背景属…

滨海县一中学被指为苏醒全国感恩教育巡回演讲营销搭台

梦想与爱同行—苏醒全国感恩教育巡回演讲活动今天下午一点半在滨海西湖路一中操场举行&#xff0c;数千学生和家长参加。 苏醒全国感恩教育巡回演讲开始&#xff0c;苏醒先生先用一口流利的英语做自我介绍&#xff0c;然后又用中文向前来参加的学生和学生家长介绍说&#xff0…

FS4055B是一款3.2V最高3.6V磷酸铁锂充电IC

FS4055B是一款3.2V最高3.6V磷酸铁锂充电IC&#xff0c;输入电源正负极反接保护的单芯片&#xff0c;兼容大小 REV_1.0 是一款完整的单节锂电池充电器&#xff0c;电池正负极反接保护、 3mA-500mA 充电电流。采用涓流、 恒流、恒压控制&#xff0c;SOT23-5 封装与较少的外部元件…

【MySqL】 表的创建,查看,删除

目录 一.使用Cmd命令执行操作 1.使用&#xff08; mysql -uroot -p)命令进入数据库 2.创建表之前先要使用数据库 3.创建表之前要先确定表的名称&#xff0c;列名&#xff0c;以及每一列的数据类型及属性 4.创建表 注意&#xff1a; 5.查看所有已创建的表 6.查看单表 …

H3C防火墙单机旁路部署(网关在防火墙)

防火墙旁路部署在核心交换机上&#xff0c;内网有三个网段vlan 10&#xff1a;172.16.10.1/24、vlan 20&#xff1a;172.16.20.1/24、vlan30&#xff1a;172.16.30.1。要求内网网关在防火墙设备上&#xff0c;由防火墙作为DHCP服务器给终端下发地址&#xff0c;同时由防火墙来控…

算法笔记Day1 | 时间复杂度和空间复杂度的七七八八

文章目录 时间空间复杂度1. 时间空间复杂度的重要性(作用)2. 时间复杂度和大O表示法1&#xff09;算法图解2&#xff09;代码随想录3&#xff09;王道《数据结构》 3. 大O指的是最糟的情形和一般的情形1&#xff09;大O表示的是一般情况&#xff0c;并不是严格的上界2&#xff…

海量请求下,高并发接口的设计思路

1. 背 景 虽然现在很多人&#xff0c;动不动就提什么高并发、请求量多大&#xff0c;数据量多少多少&#xff0c;但我可以很认真地说&#xff0c;那都是他妈的在吹牛&#xff01; 生产环境&#xff0c;真正有大请求量的&#xff0c;就那么几个业务场景&#xff0c;而且多是面…

应急物流 | 灾后早期阶段多目标选址路径问题的混合元启发式算法

解读作者&#xff1a;李奡&#xff0c;闫同仁 A hybrid meta-heuristic algorithm for the multi-objective location-routing problem in the early post-disaster stage Tongren Yan, Fuqiang Lu, Suxin Wang, Leizhen Wang, Hualing Bi Journal of industrial and managem…

云原生应用架构

本博客地址&#xff1a;https://security.blog.csdn.net/article/details/130566883 一、什么是云原生应用架构 成为云原生应用至少需要满足下面几个特点&#xff1a; ● 使用微服务架构对业务进行拆分。单个微服务是个自治的服务领域&#xff0c;对这个领域内的业务实体能够…