成都依能科技股份有限公司（以下簡稱為“依能科技”）成立于2004年，是一家總部位于四川成都的教育信息化行業(yè)軟件企業(yè)，主要為學歷教育和職業(yè)培訓機構提供SaaS云平臺及配套產品和服務。在其所服務的客戶中，很多高等院校對于IT服務的信息安全有著非常嚴格的要求。

出于安全審計以及業(yè)務拓展的需要，依能科技在IT運維的安全性、管理規(guī)范性等方面進行了深入的考量，這些實際的需求驅動著依能科技構建自己的運維安全審計平臺。

業(yè)務面臨的痛點和需求

依能科技的業(yè)務主要面向職校、高?？蛻?，隨著公司業(yè)務的快速發(fā)展，依能科技的運維團隊所管理的IT資產規(guī)模迅速擴張，并且擁有眾多包含阿里云、華為云、亞馬遜AWS在內的混合云資產以及本地部署的資產，IT環(huán)境較為復雜。

同時，高校對于運維安全的要求越來越高，依能科技運維團隊日常的運維工作日趨繁重，同時也面臨著更多的挑戰(zhàn)：

1. IT資產缺乏統(tǒng)一的訪問途徑

依能科技的運維團隊成員通常是通過各自常用的終端工具連接到服務器進行運維工作的，公司的IT資產缺乏統(tǒng)一的訪問入口和途徑。每次連接新的服務器都需要在終端工具中創(chuàng)建服務器，服務器的密碼更新也需要運維人員手動操作來維護，工作效率低下，管理維護成本也比較高；

2. 系統(tǒng)存在安全隱患

在使用堡壘機之前，依能科技的服務器密碼是由運維人員通過Excel表格進行維護和管理的。這樣的維護方式使得服務器密碼存在很大的泄露風險，系統(tǒng)具有很大的安全隱患，不利于公司進行安全運維和規(guī)范管理；

3. 操作審計問題

由于沒有統(tǒng)一的運維安全審計平臺，運維團隊無法對團隊內外成員的操作行為進行追溯。用戶的一些誤操作行為很有可能會導致系統(tǒng)出現(xiàn)問題。系統(tǒng)一旦出現(xiàn)故障，由于沒有錄像審計，公司很難定位是誰做了什么操作造成了故障的發(fā)生。定位故障問題的成本很高，同時也會導致系統(tǒng)無法及時進行排查和修復，影響公司業(yè)務的正常運行。

同時，服務器還可能由于各種原因發(fā)生宕機等故障，影響客戶的使用。在私有化部署交付的場景中，依能科技交付給客戶的最終形態(tài)是“軟件+硬件”的形式，硬件設備由其他廠商提供。因此，如果服務器出現(xiàn)故障，依能科技的運維人員就需要到客戶現(xiàn)場去確認故障到底是軟件還是硬件造成的，故障排查的時間成本和人力成本都非常高。

針對以上痛點和需求，依能科技急需改變IT運維的方式，構建一個更安全、更規(guī)范的運維安全管理系統(tǒng)。

為什么選擇JumpServer？

為了解決運維過程中出現(xiàn)的種種問題和挑戰(zhàn)，依能科技啟動了構建企業(yè)級運維安全審計平臺的工作。依能科技的運維團隊負責人白云開始尋找運維審計解決方案，發(fā)現(xiàn)JumpServer開源堡壘機滿足了依能科技對堡壘機的所有想象，能夠很好地解決公司當前面臨的主要需求：

■ 統(tǒng)一資產訪問門戶

通過登錄JumpServer，運維人員可以直接訪問已經授權的服務器進行運維管理工作。這樣一來，就獲得了統(tǒng)一的運維訪問門戶，使用起來十分便捷。同時，服務器的賬號密碼統(tǒng)一托管在JumpServer中，運維人員無需再花費額外的精力來管理服務器的賬號和密碼，大幅提高了運維團隊的管理效率；

■ 錄像審計

JumpServer堡壘機支持日志審計和會話管理功能，用戶可以通過JumpServer進行錄像審計，記錄所有用戶的操作行為。一旦服務器發(fā)生故障，管理員可以通過錄像回放快速定位故障原因，確保問題及時得到解決，快速恢復業(yè)務的運行。同時，錄像回放還可以提供證據(jù)來證明故障是否是由于公司運維人員的誤操作行為引起的，有效避免了需要和硬件供應商厘清責任的情況發(fā)生；

■ 開源開放

JumpServer作為一款廣受歡迎的開源堡壘機，提供了一個開源開放的平臺，用戶可以非常方便地在GitHub上下載部署和體驗JumpServer。JumpServer開源堡壘機有著非常活躍的開源社區(qū)群，開源愛好者可以在里面暢所欲言，交流各自遇到的問題，還能和JumpServer的支持團隊實時進行溝通，提出對JumpServer的需求和反饋，讓JumpServer的功能不斷地進行迭代和改進。

考慮到運維的便利性，依能科技選擇了單機部署的部署方式。在公司內部部署JumpServer堡壘機，將所有的服務器、網絡設備、安全設備和數(shù)據(jù)庫都部署在一臺主機上，通過JumpServer堡壘機來運維管理公司內部以及學校客戶的服務器。

在依能科技如今實行的CI/CD（持續(xù)集成/持續(xù)交付）交付模式下，公司的運維人員需要頻繁地訪問和管理眾多服務器，采用單機部署模式的JumpServer在如此高頻的使用場景中依然能夠持續(xù)穩(wěn)定地提供服務。

JumpServer帶來的價值收益

在實際使用過程中，依能科技逐步體驗到了JumpServer的很多功能亮點，以及其為公司業(yè)務運營帶來的價值收益：

■ 部署使用便捷

依能科技的運維團隊之前并沒有接觸過堡壘機這類產品，但是參照JumpServer的官方文檔，就可以輕松實現(xiàn)一鍵部署，部署過程非常簡單快捷，而且版本之間升級也十分順滑。

同時，JumpServer的UI界面簡潔明了，在公司內部推行的時候，用戶花費很少的時間成本就可以學會堡壘機的基本使用技能，在短時間內都可以非常容易地上手使用JumpServer，提升了用戶的使用體驗和效率；

■ 迭代速度快

JumpServer堅持按月迭代發(fā)布新版本，每次發(fā)版都會聆聽社區(qū)用戶的聲音，收集用戶的建議，增加新的功能。在功能迭代的過程中，JumpServer也給依能科技帶來了很多驚喜，比如通過客戶端連接數(shù)據(jù)庫功能、RDP連接Windows資產的功能優(yōu)化等。在后續(xù)的迭代中，JumpServer不斷提供的新功能，解決了依能科技在數(shù)據(jù)庫管理等方面的需求，滿足了公司的運維要求；

■ 穩(wěn)定運行保障

依能科技向客戶交付的SaaS軟件主要采用CI/CD的交付模式，公司的運維人員需要頻繁地進行運維操作，因此堡壘機的穩(wěn)定性對于依能科技的運維團隊來說至關重要。JumpServer符合4A規(guī)范，提供了專業(yè)的原廠技術服務支持，能夠有效保障企業(yè)運維安全審計系統(tǒng)的穩(wěn)定運行。

目前，JumpServer在依能科技的SaaS服務集群持續(xù)集成上發(fā)揮了重要作用。后續(xù)在私有化部署交付的場景中，依能科技也會繼續(xù)采用JumpServer進行高效的交付運維。同時，JumpServer安全規(guī)范的運維方式也讓客戶更加放心，提高了高?？蛻舻臐M意度。

JumpServer的未來應用規(guī)劃與期望

經過兩年左右的實際使用，依能科技收獲了一些JumpServer的使用心得，在擴大JumpServer的應用范圍方面也有了自己的規(guī)劃和節(jié)奏。

首先，需要遵循權限最小化原則，進一步細化運維人員權限?；贘umpServer構建一套權限管控機制，提高系統(tǒng)的安全保障；

其次，針對危險命令增加高危命令復核，有效約束用戶的操作行為，從流程上提升公司安全管控的能力。

作為一款按月迭代的堡壘機，JumpServer每月都會發(fā)布新增功能。在功能性方面，依能科技希望JumpServer能夠進一步強化批量命令功能，比如自動化腳本批量下發(fā)，交換機批量管理等，希望JumpServer在未來能夠持續(xù)增加對自動化運維的支持。

此外，如今各類高校以及政企的IT建設國產化趨勢日益明顯，也希望JumpServer未來能夠考慮增加對政企常用的政務云的支持，擴大云上資產的管理范圍。