案例研究|康明斯中国通过JumpServer搭建统一的运维安全审计平台

news2024/11/13 11:27:11

作为全球动力技术先行者,康明斯(中国)投资有限公司(以下简称为康明斯中国)设计、制造、分销多元的动力解决方案,并提供服务支持。公司产品囊括柴油及天然气发动机、发电机组、交流发电机、排放处理系统、涡轮增压系统、燃油系统、控制系统、变速箱、制动技术、车桥技术、滤清系统,以及氢能制造、存储及燃料电池等产品。

康明斯公司创立于1919年,总部位于美国印第安纳州哥伦布市,在全球拥有约59,900名员工,是全球最大的独立发动机制造商。康明斯全球范围内有10,600多家认证经销网点和500多家分销服务网点,面向190多个国家和地区的客户提供产品和服务支持。2022年公司实现销售额281亿美元,净利润22亿美元。
在这里插入图片描述

康明斯中国的运维安全审计需求

作为一家发动机制造企业,康明斯中国在运维安全审计方面的主要需求包括:

1.等保合规要求

为了满足公司外在安全合规的要求,康明斯中国迫切需要通过堡垒机来解决企业数据安全运维的问题,需要通过建设完善的运维安全审计平台,让安全管理人员能够对系统内的用户和各种资源进行集中管理、集中权限分配和集中审计,同时整个运维管理体系需要遵从《网络安全法》中信息系统安全等级保护的相关规范和要求;

2.资产统一入口访问

康明斯中国的资产主要分布在亚马逊AWS、Azure等公有云平台之上,通过专线打通办公区域的网络,公司内部各个业务系统均由各部门独立进行管理,资产访问的入口不统一,管理起来十分繁琐。

为了方便资产的统一管理,康明斯中国希望搭建统一的运维安全审计管理平台,对所有资产形成统一的访问运维入口,实现运维操作的路径唯一;

3.用户系统集成,实现单点登录

目前康明斯中国的各个业务系统均采用OpenID实现SSO单点登录。为了满足统一管理的需求,公司要求堡垒机同时具备身份认证系统和OpenID的对接能力,满足用户单点登录的需求,从而实现用户身份的统一集中认证;

4.实现各部门独立管理和独立审计

当前公司内部存在多个部门,各个部门的资产、人员权限的管理相对独立。康明斯中国想要通过堡垒机实现对资产、人员的统一管理,既能满足各部门独立管理、独立审计的需要,又能满足公司层面统一管理、统一审计的要求。

堡垒机选型过程

基于以上的需求,康明斯中国开始在市面上寻找合适的堡垒机产品。经过多方比较和测试,最终选择基于JumpServer来搭建统一的运维安全审计平台。康明斯中国认为,JumpServer的优势包括:

1.丰富的4A功能

作为一款被广泛应用的开源堡垒机,JumpServer提供了强大的“4A”(即认证Authentication、账号 Accounting、授权Authorization、审计Auditing)能力,能够帮助康明斯中国构建符合等保合规要求的运维安全审计平台;

2.易安装、易维护

JumpServer的安装过程很方便,支持在线和离线部署方式,维护也很简单。特别是涉及到后续版本升级等问题时,JumpServer能够实现平滑地向后兼容,并且支持在线和离线的一键脚本化升级,真正实现了零门槛操作;

3.用户使用体验佳

JumpServer支持B/S和C/S架构,用户访问资产时无需安装客户端,通过浏览器即可进行资产访问,真正做到了无插件化。同时,JumpServer可以满足开发、运维、DBA(Database Administrator,数据管理员)等不同人员的访问需求,操作简单便捷。

另外,在操作层面,JumpServer的操作界面布局清晰,功能设计也很简约,对于没有接触过堡垒机的同事来说,可以在极短时间内快速上手产品,不需要花费更多的学习成本,真正做到了易学和易用;

4.架构灵活易扩展

JumpServer采用模块化的设计架构,核⼼与节点解耦部署,真正实现了功能上的解耦。同时,JumpServer⽀持容器化部署或者在容器平台内部署运⾏,节点和核⼼可以随着资产与并发的增加⽆限扩展,灵活扩容。

除此之外,JumpServer还兼具单机、主备、主主、分布式等多种部署方案,可以满足公司不同业务场景的使用需求。

JumpServer的部署架构

为了保证业务的高可用并提供良好的用户体验,康明斯中国采用了高可用设计架构,以确保公司业务和应用系统的持续稳定运行。

运维团队也考虑了未来公司IT基础设施的持续性建设进程,IT资产规模将不断增加,因此系统需要具有水平扩展的能力。高可用架构同时也支持随时增加前端应用节点,从而进一步增强系统的支撑能力。康明斯中国的JumpServer部署架构如图1所示。
在这里插入图片描述

▲图1 康明斯中国JumpServer部署架构图

这一部署架构对外提供统一域名,通过前端负载均衡设备,对用户的请求进行分发,实现负载均衡,同时对后端节点进行自动检测。除了应用高可用外,MySQL、Reids均采用了高可用的部署方式,以确保数据库服务不宕机、数据不丢失。这样的部署架构在满足堡垒机服务高可用的同时,也可以灵活应对公司资产数量和用户并发数持续增长的情况。

JumpServer的实践场景

JumpServer堡垒机在康明斯中国内部主要有以下几个高频使用的场景:

■ 基于多租户使用管理模式

JumpServer支持多租户管理,通过划分组织进行组织间资源与权限的隔离,从而实现不同组织的独立管理、独立审计。在统一管理、统一审计的前提下,管理员针对公司不同的业务部门进行组织划分,并为各组织单独设置组织管理员,由组织管理员对各组织内的成员进行资产授权和权限划分,大幅提升了运维管理的效率;
在这里插入图片描述

▲图2 JumpServer的多租户管理体系

■ 数据库资产统一纳管

除了资产纳管以外,JumpServer支持对MySQL、PostgreSQL、Oracle、SQL Server等多种数据库的直接纳管,同时支持Web CLI、Web GUI以及数据库代理直连等多种数据库连接方式,能够很好地满足不同人员对不同数据库连接的需求;
在这里插入图片描述

▲图3 JumpServer支持多种数据库纳管

■ 跨VPC资产的统一管理

康明斯中国的资产主要分布在亚马逊AWS和Azure等公有云环境中,为满足业务的需求,公司划分了多个VPC环境,但VPC环境的资产无法直接和JumpServer网络进行通讯。JumpServer支持网域网关的功能,可以通过代理的方式和VPC环境的资产进行打通,从而实现对VPC环境下资产的直接纳管;
在这里插入图片描述

▲图4 JumpServer支持跨VPC资源管理

■ 通过服务端点规则分发用户请求

JumpServer还支持服务端点的规则配置,可以针对指定资产指定固定的访问节点。服务端点是用户访问服务的地址(端口),当用户在线连接资产时,系统会根据端点规则和资产标签选择相应的服务端点作为访问入口建立连接,从而实现分布式资产连接。

注意:如果不同端点下的资产IP有冲突,可以使用资产标签来实现该功能。
在这里插入图片描述

▲图5 配置JumpServer服务端点

在这里插入图片描述

▲图6 配置JumpServer端点规则

使用JumpServer的价值收益

部署并使用JumpServer后,康明斯中国所收获的业务价值包括:

■ 很好地满足了等保合规的要求。遇到安全事故,JumpServer能够帮助管理员第一时间启动网络安全事件应急预案,对网络安全事件进行调查和评估,并采取相应的技术措施,快速消除安全隐患;

■ IT资产统一纳管。基于JumpServer实现对云服务器、Linux服务器、Windows服务器、数据库的统一管理,统一操作的访问管理入口。同时,对用户操作等网络访问行为进行了有效的控制,避免用户直接接触目标服务器等重要资源,搭建安全、规范的唯一访问通道;

■ 提升运维管理效率。在保障系统整体安全的前提下,康明斯中国通过多租户的管理模式,实现了各部门之间资产和权限的独立管理和审计,并且满足了公司层面统一管理和统一审计的要求。在提升系统整体安全性的同时,还对公司运维管理机制进行了优化。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/815806.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

使用AOP切面对返回的数据进行脱敏的问题

1.注解类 import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.Target;/*** Author: xiaoxin* Date: 2023/7/21 17:15*/ Retention(RetentionPolicy.RUNTIME) Targe…

java连接sftp服务器实现上传下载

一、准备SFTP服务器 我目前使用的是freeSSHd.exe,下载后按照步骤一步步安装,最后俩弹窗,第一个选是,第二个选否。 二、基础配置 双击打开安装好的程序,在右下角找到图标,右键,setting 按照步骤配置 …

根据端口号查找服务位置

已知服务的IP和端口,查找该服务所在位置 1、打开命令提示符(CMD) WINR快捷键打开运行对话框,输入CMD,回车即可。 2、找到对应的PID或程序名称 输入netstat -ano|findstr 端口号,回车找到对应的PID&…

msvcp140.dll丢失怎么修复?《绝地求生》报错msvcp140.dll丢失修复方法

在我运行《绝地求生》游戏的时候,出现msvcp140.dll丢失的错误提示时,感到有些困扰和不安,不知道该如何解决这个问题。同时,我也会担心这个问题会对我使用电脑产生什么不利影响。在尝试解决这个问题之前,我开始意识到我…

ScrumMaster认证课-PSM,了解一下

在敏捷学习的道路上继续前行,Leangoo领歌的PSM课程已经开启,认证全球认可,还不用续证,可以了解一下。 Scrum是目前运用最为广泛的敏捷开发方法,是一个轻量级的项目管理和产品研发管理框架,旨在最短时间内交…

Java课题笔记~数据库连接池

一、数据库连接池 1.1 数据库连接池简介 数据库连接池是个容器,负责分配、管理数据库连接(Connection) 它允许应用程序重复使用一个现有的数据库连接,而不是再重新建立一个; 释放空闲时间超过最大空闲时间的数据库连接来避免因为没有释放数…

前端Vue入门-day05-自定义指令、插槽、路由入门

(创作不易,感谢有你,你的支持,就是我前行的最大动力,如果看完对你有帮助,请留下您的足迹) 目录 自定义指令 基本语法 (全局&局部注册) 全局注册 局部注册 指令的值 v-loading 指令封装 插槽 …

电子贺卡蓝牙芯片,支U盘/SD卡音频播放蓝牙IC,WT2605-32N-L009

喜庆的时刻,向亲朋好友送上一份特别的祝福,是传递情谊、增进感情的最佳方式。然而,传统贺卡的简单文字和图片已经无法满足我们对个性化、创意化的需求。现在,深圳唯创知音,带来了一款颠覆传统贺卡的全新蓝牙BLE方案——…

使用Windbg分析从系统应用程序日志中找到的系统自动生成的dump文件去排查问题

目录 1、尝试将Windbg附加到目标进程上进行动态调试,但Windbg并没有捕获到 2、在系统应用程序日志中找到了系统在程序发生异常时自动生成的dump文件 2.1、查看应用程序日志的入口 2.2、在应用程序日志中找到系统自动生成的dump文件 3、使用Windbg静态分析dump文…

ardupilot 如何安装intelhex模块

目录 文章目录 目录摘要1.下载资源1.下载需要的软件2.编译带bt的固件摘要 本节主要记录ardupilot如何安装intelhex模块,实现编译ardupilot的bootloader文件并生成bootloader文件和固件合并的.hex文件。 1.下载资源 1.下载需要的软件 下载网址 intelhex-2.3.0.tar.gz 下载…

笔记本触摸板没反应怎么办?只需要4个方法!快速解决!

“大家知道为什么笔记本触摸板没反应吗?我的鼠标不见了现在触摸板也没反应,根本就用不了电脑了,有什么方法可以解决吗?” 触摸板是笔记本电脑上最重要的输入设备之一,它可以提供便捷的操作方式。对于很多朋友来说&…

SQL 执行计划管理(SPM)

一、SPM 需求背景 任何数据库应用程序的性能在很大程度上都依赖于查询执行,尽管优化器无需用户干预就可以评估最佳计划,但是 SQL 语句的执行计划仍可能由于以下多种原因发生意外更改:版本升级、重新收集优化器统计信息、改变优化器参数或模式…

Golang之路---01 Golang VS Code创建项目

Golang VS Code创建项目 代码组织 Golang使用包和模块来组织代码,包对应到文件系统就是文件夹,模块就是xxx.go的go源文件。一个包中会有多个模块,或者多个子包。 早期使用的是gopath来管理项目,不方便,比较麻烦&…

QWidget窗口类

QWidget窗口类 设置父对象窗口位置窗口尺寸窗口标题和图标信号槽函数例子1例子3例子3 设置父对象 // 构造函数 QWidget::QWidget(QWidget *parent nullptr, Qt::WindowFlags f Qt::WindowFlags());// 公共成员函数 // 给当前窗口设置父对象 void QWidget::setParent(QWidget…

中药配方煎药-亿发智能中药汤剂煎煮系统,智慧中药房的数字化升级

随着中药的普及,在治病、养生等方面都发挥这积极作用,但中药煎煮过程繁琐,如果有所差错将会影响药品的药性。为了满足当今用户对中药的需求,增强生产效率和业务水平,亿发中药煎配智能管理系统应运而生,为用…

线程同步问题——锁

文章目录 线程同步互斥锁(互斥量)相关操作函数应用 死锁读写锁相关操作函数 线程同步 临界区——代码 临界数据——共享数据 原子操作:不可以被其他操作打断 必须的,用以保证数据的安全性 实现线程同步的方式: 互斥量…

第十四章、【Linux】磁盘配额与进阶文件系统管理

14.1 磁盘配额 (Quota) 的应用与实作 14.1.1 什么是 Quota 在 Linux 系统中,由于是多用户多任务的环境,所以会有多人共同使用一个硬盘空间的情况发生, 如果其中有少数几个使用者大量的占掉了硬盘空间的话&#xff0c…

数字人会成为文旅行业的新增量吗?写实数字人定制包含哪些技术?

近年来,各大文旅机构均在围绕数字人展开了文旅营销创作,凭借着写实数字人定制技术,将数字人的人设、功能以及才艺得到创新,并由此在文旅形态上展开了诸多尝试。 比如会唱山歌多才多艺的数字人刘三姐,使用多种语言推介…

【Docker】Docker的工具实践及root概念和Docker容器安全性设置的详细讲解

前言 Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux或Windows操作系统的机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。 📕作者简介:热…

css滤镜:drop-shadow

一、用法 drop-shadow( offset-x offset-y blur-radius spread-radius color ) offset-x:此参数设置图像的水平偏移。正值将创建右侧的偏移量,负值将创建左侧的偏移量。offset-y:此参数设置图像的垂直偏移。正值创建到底部的偏移量&#xff…