作為全球動(dòng)力技術(shù)先行者，康明斯（中國(guó)）投資有限公司（以下簡(jiǎn)稱為康明斯中國(guó)）設(shè)計(jì)、制造、分銷多元的動(dòng)力解決方案，并提供服務(wù)支持。公司產(chǎn)品囊括柴油及天然氣發(fā)動(dòng)機(jī)、發(fā)電機(jī)組、交流發(fā)電機(jī)、排放處理系統(tǒng)、渦輪增壓系統(tǒng)、燃油系統(tǒng)、控制系統(tǒng)、變速箱、制動(dòng)技術(shù)、車橋技術(shù)、濾清系統(tǒng)，以及氫能制造、存儲(chǔ)及燃料電池等產(chǎn)品。

康明斯公司創(chuàng)立于1919年，總部位于美國(guó)印第安納州哥倫布市，在全球擁有約59,900名員工，是全球最大的獨(dú)立發(fā)動(dòng)機(jī)制造商?？得魉谷蚍秶鷥?nèi)有10,600多家認(rèn)證經(jīng)銷網(wǎng)點(diǎn)和500多家分銷服務(wù)網(wǎng)點(diǎn)，面向190多個(gè)國(guó)家和地區(qū)的客戶提供產(chǎn)品和服務(wù)支持。2022年公司實(shí)現(xiàn)銷售額281億美元，凈利潤(rùn)22億美元。

康明斯中國(guó)的運(yùn)維安全審計(jì)需求

作為一家發(fā)動(dòng)機(jī)制造企業(yè)，康明斯中國(guó)在運(yùn)維安全審計(jì)方面的主要需求包括：

1. 等保合規(guī)要求

為了滿足公司外在安全合規(guī)的要求，康明斯中國(guó)迫切需要通過(guò)堡壘機(jī)來(lái)解決企業(yè)數(shù)據(jù)安全運(yùn)維的問(wèn)題，需要通過(guò)建設(shè)完善的運(yùn)維安全審計(jì)平臺(tái)，讓安全管理人員能夠?qū)ο到y(tǒng)內(nèi)的用戶和各種資源進(jìn)行集中管理、集中權(quán)限分配和集中審計(jì)，同時(shí)整個(gè)運(yùn)維管理體系需要遵從《網(wǎng)絡(luò)安全法》中信息系統(tǒng)安全等級(jí)保護(hù)的相關(guān)規(guī)范和要求；

2. 資產(chǎn)統(tǒng)一入口訪問(wèn)

康明斯中國(guó)的資產(chǎn)主要分布在亞馬遜AWS、Azure等公有云平臺(tái)之上，通過(guò)專線打通辦公區(qū)域的網(wǎng)絡(luò)，公司內(nèi)部各個(gè)業(yè)務(wù)系統(tǒng)均由各部門獨(dú)立進(jìn)行管理，資產(chǎn)訪問(wèn)的入口不統(tǒng)一，管理起來(lái)十分繁瑣。

為了方便資產(chǎn)的統(tǒng)一管理，康明斯中國(guó)希望搭建統(tǒng)一的運(yùn)維安全審計(jì)管理平臺(tái)，對(duì)所有資產(chǎn)形成統(tǒng)一的訪問(wèn)運(yùn)維入口，實(shí)現(xiàn)運(yùn)維操作的路徑唯一；

3. 用戶系統(tǒng)集成，實(shí)現(xiàn)單點(diǎn)登錄

目前康明斯中國(guó)的各個(gè)業(yè)務(wù)系統(tǒng)均采用OpenID實(shí)現(xiàn)SSO單點(diǎn)登錄。為了滿足統(tǒng)一管理的需求，公司要求堡壘機(jī)同時(shí)具備身份認(rèn)證系統(tǒng)和OpenID的對(duì)接能力，滿足用戶單點(diǎn)登錄的需求，從而實(shí)現(xiàn)用戶身份的統(tǒng)一集中認(rèn)證；

4. 實(shí)現(xiàn)各部門獨(dú)立管理和獨(dú)立審計(jì)

當(dāng)前公司內(nèi)部存在多個(gè)部門，各個(gè)部門的資產(chǎn)、人員權(quán)限的管理相對(duì)獨(dú)立?？得魉怪袊?guó)想要通過(guò)堡壘機(jī)實(shí)現(xiàn)對(duì)資產(chǎn)、人員的統(tǒng)一管理，既能滿足各部門獨(dú)立管理、獨(dú)立審計(jì)的需要，又能滿足公司層面統(tǒng)一管理、統(tǒng)一審計(jì)的要求。

堡壘機(jī)選型過(guò)程

基于以上的需求，康明斯中國(guó)開(kāi)始在市面上尋找合適的堡壘機(jī)產(chǎn)品。經(jīng)過(guò)多方比較和測(cè)試，最終選擇基于JumpServer來(lái)搭建統(tǒng)一的運(yùn)維安全審計(jì)平臺(tái)?？得魉怪袊?guó)認(rèn)為，JumpServer的優(yōu)勢(shì)包括：

1. 豐富的4A功能

作為一款被廣泛應(yīng)用的開(kāi)源堡壘機(jī)，JumpServer提供了強(qiáng)大的“4A”（即認(rèn)證Authentication、賬號(hào) Accounting、授權(quán)Authorization、審計(jì)Auditing）能力，能夠幫助康明斯中國(guó)構(gòu)建符合等保合規(guī)要求的運(yùn)維安全審計(jì)平臺(tái)；

2. 易安裝、易維護(hù)

JumpServer的安裝過(guò)程很方便，支持在線和離線部署方式，維護(hù)也很簡(jiǎn)單。特別是涉及到后續(xù)版本升級(jí)等問(wèn)題時(shí)，JumpServer能夠?qū)崿F(xiàn)平滑地向后兼容，并且支持在線和離線的一鍵腳本化升級(jí)，真正實(shí)現(xiàn)了零門檻操作；

3. 用戶使用體驗(yàn)佳

JumpServer支持B/S和C/S架構(gòu)，用戶訪問(wèn)資產(chǎn)時(shí)無(wú)需安裝客戶端，通過(guò)瀏覽器即可進(jìn)行資產(chǎn)訪問(wèn)，真正做到了無(wú)插件化。同時(shí)，JumpServer可以滿足開(kāi)發(fā)、運(yùn)維、DBA（Database Administrator，數(shù)據(jù)管理員）等不同人員的訪問(wèn)需求，操作簡(jiǎn)單便捷。

另外，在操作層面，JumpServer的操作界面布局清晰，功能設(shè)計(jì)也很簡(jiǎn)約，對(duì)于沒(méi)有接觸過(guò)堡壘機(jī)的同事來(lái)說(shuō)，可以在極短時(shí)間內(nèi)快速上手產(chǎn)品，不需要花費(fèi)更多的學(xué)習(xí)成本，真正做到了易學(xué)和易用；

4. 架構(gòu)靈活易擴(kuò)展

JumpServer采用模塊化的設(shè)計(jì)架構(gòu)，核?與節(jié)點(diǎn)解耦部署，真正實(shí)現(xiàn)了功能上的解耦。同時(shí)，JumpServer?持容器化部署或者在容器平臺(tái)內(nèi)部署運(yùn)?，節(jié)點(diǎn)和核?可以隨著資產(chǎn)與并發(fā)的增加?限擴(kuò)展，靈活擴(kuò)容。

除此之外，JumpServer還兼具單機(jī)、主備、主主、分布式等多種部署方案，可以滿足公司不同業(yè)務(wù)場(chǎng)景的使用需求。

JumpServer的部署架構(gòu)

為了保證業(yè)務(wù)的高可用并提供良好的用戶體驗(yàn)，康明斯中國(guó)采用了高可用設(shè)計(jì)架構(gòu)，以確保公司業(yè)務(wù)和應(yīng)用系統(tǒng)的持續(xù)穩(wěn)定運(yùn)行。

運(yùn)維團(tuán)隊(duì)也考慮了未來(lái)公司IT基礎(chǔ)設(shè)施的持續(xù)性建設(shè)進(jìn)程，IT資產(chǎn)規(guī)模將不斷增加，因此系統(tǒng)需要具有水平擴(kuò)展的能力。高可用架構(gòu)同時(shí)也支持隨時(shí)增加前端應(yīng)用節(jié)點(diǎn)，從而進(jìn)一步增強(qiáng)系統(tǒng)的支撐能力。康明斯中國(guó)的JumpServer部署架構(gòu)如圖1所示。

這一部署架構(gòu)對(duì)外提供統(tǒng)一域名，通過(guò)前端負(fù)載均衡設(shè)備，對(duì)用戶的請(qǐng)求進(jìn)行分發(fā)，實(shí)現(xiàn)負(fù)載均衡，同時(shí)對(duì)后端節(jié)點(diǎn)進(jìn)行自動(dòng)檢測(cè)。除了應(yīng)用高可用外，MySQL、Reids均采用了高可用的部署方式，以確保數(shù)據(jù)庫(kù)服務(wù)不宕機(jī)、數(shù)據(jù)不丟失。這樣的部署架構(gòu)在滿足堡壘機(jī)服務(wù)高可用的同時(shí)，也可以靈活應(yīng)對(duì)公司資產(chǎn)數(shù)量和用戶并發(fā)數(shù)持續(xù)增長(zhǎng)的情況。

JumpServer的實(shí)踐場(chǎng)景

JumpServer堡壘機(jī)在康明斯中國(guó)內(nèi)部主要有以下幾個(gè)高頻使用的場(chǎng)景：

■ 基于多租戶使用管理模式

JumpServer支持多租戶管理，通過(guò)劃分組織進(jìn)行組織間資源與權(quán)限的隔離，從而實(shí)現(xiàn)不同組織的獨(dú)立管理、獨(dú)立審計(jì)。在統(tǒng)一管理、統(tǒng)一審計(jì)的前提下，管理員針對(duì)公司不同的業(yè)務(wù)部門進(jìn)行組織劃分，并為各組織單獨(dú)設(shè)置組織管理員，由組織管理員對(duì)各組織內(nèi)的成員進(jìn)行資產(chǎn)授權(quán)和權(quán)限劃分，大幅提升了運(yùn)維管理的效率；

■ 數(shù)據(jù)庫(kù)資產(chǎn)統(tǒng)一納管

除了資產(chǎn)納管以外，JumpServer支持對(duì)MySQL、PostgreSQL、Oracle、SQL Server等多種數(shù)據(jù)庫(kù)的直接納管，同時(shí)支持Web CLI、Web GUI以及數(shù)據(jù)庫(kù)代理直連等多種數(shù)據(jù)庫(kù)連接方式，能夠很好地滿足不同人員對(duì)不同數(shù)據(jù)庫(kù)連接的需求；

■ 跨VPC資產(chǎn)的統(tǒng)一管理

康明斯中國(guó)的資產(chǎn)主要分布在亞馬遜AWS和Azure等公有云環(huán)境中，為滿足業(yè)務(wù)的需求，公司劃分了多個(gè)VPC環(huán)境，但VPC環(huán)境的資產(chǎn)無(wú)法直接和JumpServer網(wǎng)絡(luò)進(jìn)行通訊。JumpServer支持網(wǎng)域網(wǎng)關(guān)的功能，可以通過(guò)代理的方式和VPC環(huán)境的資產(chǎn)進(jìn)行打通，從而實(shí)現(xiàn)對(duì)VPC環(huán)境下資產(chǎn)的直接納管；

■ 通過(guò)服務(wù)端點(diǎn)規(guī)則分發(fā)用戶請(qǐng)求

JumpServer還支持服務(wù)端點(diǎn)的規(guī)則配置，可以針對(duì)指定資產(chǎn)指定固定的訪問(wèn)節(jié)點(diǎn)。服務(wù)端點(diǎn)是用戶訪問(wèn)服務(wù)的地址（端口），當(dāng)用戶在線連接資產(chǎn)時(shí)，系統(tǒng)會(huì)根據(jù)端點(diǎn)規(guī)則和資產(chǎn)標(biāo)簽選擇相應(yīng)的服務(wù)端點(diǎn)作為訪問(wèn)入口建立連接，從而實(shí)現(xiàn)分布式資產(chǎn)連接。

注意：如果不同端點(diǎn)下的資產(chǎn)IP有沖突，可以使用資產(chǎn)標(biāo)簽來(lái)實(shí)現(xiàn)該功能。

使用JumpServer的價(jià)值收益

部署并使用JumpServer后，康明斯中國(guó)所收獲的業(yè)務(wù)價(jià)值包括：

■?很好地滿足了等保合規(guī)的要求。遇到安全事故，JumpServer能夠幫助管理員第一時(shí)間啟動(dòng)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，對(duì)網(wǎng)絡(luò)安全事件進(jìn)行調(diào)查和評(píng)估，并采取相應(yīng)的技術(shù)措施，快速消除安全隱患；

■?IT資產(chǎn)統(tǒng)一納管。基于JumpServer實(shí)現(xiàn)對(duì)云服務(wù)器、Linux服務(wù)器、Windows服務(wù)器、數(shù)據(jù)庫(kù)的統(tǒng)一管理，統(tǒng)一操作的訪問(wèn)管理入口。同時(shí)，對(duì)用戶操作等網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行了有效的控制，避免用戶直接接觸目標(biāo)服務(wù)器等重要資源，搭建安全、規(guī)范的唯一訪問(wèn)通道；

■?提升運(yùn)維管理效率。在保障系統(tǒng)整體安全的前提下，康明斯中國(guó)通過(guò)多租戶的管理模式，實(shí)現(xiàn)了各部門之間資產(chǎn)和權(quán)限的獨(dú)立管理和審計(jì)，并且滿足了公司層面統(tǒng)一管理和統(tǒng)一審計(jì)的要求。在提升系統(tǒng)整體安全性的同時(shí)，還對(duì)公司運(yùn)維管理機(jī)制進(jìn)行了優(yōu)化。