——JumpServer開源堡壘機(jī)資深用戶 周先生

最近幾年我一直在金融類企業(yè)工作，目前就職于某基金公司的信息技術(shù)部門。我們公司使用堡壘機(jī)的契機(jī)，與中國證監(jiān)會(huì)所頒布的行業(yè)安全合規(guī)要求，以及公司內(nèi)部制度及流程規(guī)范方面的安全要求密切相關(guān)。

1. 行業(yè)法規(guī)要求

中國證監(jiān)會(huì)于2023年2月發(fā)布了《證券期貨業(yè)網(wǎng)絡(luò)和信息安全管理辦法》。該“辦法”指出，經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)和信息安全防護(hù)體系，采取網(wǎng)絡(luò)隔離、用戶認(rèn)證、訪問控制、策略管理等一系列安全保障措施，提升網(wǎng)絡(luò)和信息安全防護(hù)能力，及時(shí)識(shí)別、阻斷相關(guān)網(wǎng)絡(luò)攻擊，保護(hù)重要信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施，防范信息泄露與毀損。

其次是《證券期貨業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中提及，在安全審計(jì)方面，應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)需要覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)，并對(duì)審計(jì)記錄進(jìn)行保護(hù)且定期備份。

此外，該“要求”還界定了身份鑒別方面的要求，包括對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，并且要求身份鑒別信息具有復(fù)雜度以及定期更換，還有對(duì)登錄失敗處理措施、用戶口令等方面的一些具體要求。

這些相關(guān)行業(yè)法規(guī)的要求都需要通過采納堡壘機(jī)進(jìn)行滿足。

2. 公司安全合規(guī)要求

落實(shí)到公司層面，公司的制度規(guī)范以及流程層面對(duì)安全方面也提出一系列要求，這些都成為促使公司采納堡壘機(jī)的重要原因。公司層面在IT資產(chǎn)安全合規(guī)方面的要求包括：

■?權(quán)限最小化，并將主機(jī)、應(yīng)用、數(shù)據(jù)庫權(quán)限進(jìn)行分離；

■?密碼集中式安全管理，并且定期修改密碼；

■?符合遠(yuǎn)程辦公要求，使得遠(yuǎn)程運(yùn)維安全可控，同時(shí)運(yùn)維過程審計(jì)留痕；

■?要求網(wǎng)絡(luò)隔離，限制用戶直接進(jìn)行遠(yuǎn)程操作；

■?控制文件傳輸操作，防止數(shù)據(jù)外泄。

為什么選擇JumpServer堡壘機(jī)？

我第一次接觸到JumpServer堡壘機(jī)是在上一家公司的時(shí)候。公司當(dāng)時(shí)正在進(jìn)行“雙活”機(jī)房的建設(shè)，同步建設(shè)新辦公樓的數(shù)據(jù)中心，公司服務(wù)器的數(shù)量瞬間激增至以前的3倍。這樣一來，原先使用的堡壘機(jī)許可數(shù)量和性能都遠(yuǎn)遠(yuǎn)無法滿足實(shí)際的使用需要了。

這時(shí)候進(jìn)行擴(kuò)容，就會(huì)面臨一個(gè)問題，如果擴(kuò)容之后設(shè)備數(shù)量回落到之前的水平，那么擴(kuò)容的許可數(shù)量就都浪費(fèi)了。為了避免資源的浪費(fèi)，在過渡期間我們想嘗試尋找一個(gè)開源堡壘機(jī)產(chǎn)品來應(yīng)急。也正是在那個(gè)時(shí)候接觸到JumpServer這款開源堡壘機(jī)。

入職現(xiàn)在的公司大概一個(gè)月的時(shí)候，公司的硬件堡壘機(jī)因?yàn)樵O(shè)備老舊經(jīng)常發(fā)生宕機(jī)的情況。時(shí)間緊急，當(dāng)時(shí)只能臨時(shí)找一個(gè)開源堡壘機(jī)產(chǎn)品來應(yīng)急。在選擇JumpServer之前我們也對(duì)其他的堡壘機(jī)廠家進(jìn)行過測(cè)試，最終還是選擇了JumpServer開源堡壘機(jī)。

很多金融公司都習(xí)慣性地選擇傳統(tǒng)的軟硬件一體的堡壘機(jī)產(chǎn)品，而我們之所以選擇JumpServer，主要是因?yàn)镴umpServer開源堡壘機(jī)的知名度和聲譽(yù)，相信其龐大的用戶群體所形成的用戶反饋循環(huán)能夠不斷地提升這款堡壘機(jī)的產(chǎn)品質(zhì)量。

大家可以看到，在百度搜索“開源堡壘機(jī)”后所展示的界面，提到開源堡壘機(jī)，大家想到的就是JumpServer，這也是最初我們考察開源堡壘機(jī)時(shí)很快就了解到JumpServer的契機(jī)。

目前，我們公司正在使用的是JumpServer堡壘機(jī)企業(yè)版，我們選擇JumpServer并升級(jí)至企業(yè)版主要是出于以下幾個(gè)方面的原因：

■?公司同事已經(jīng)養(yǎng)成JumpServer的使用習(xí)慣，如果再進(jìn)行產(chǎn)品更換，使用成本會(huì)很高；

■?JumpServer支持分布式部署，綜合使用成本低；

■?JumpServer功能豐富，運(yùn)維操作便捷靈活；

■?JumpServer的開源版可以自然過渡到企業(yè)版，使用體驗(yàn)更加優(yōu)異。

JumpServer的應(yīng)用分享

公司內(nèi)部落地使用JumpServer堡壘機(jī)后，解決了很多運(yùn)維過程中經(jīng)常會(huì)面臨的一些難點(diǎn)問題。這里和大家分享一下我們的JumpServer部署架構(gòu)和應(yīng)用模式。

1.?辦公網(wǎng)和生產(chǎn)網(wǎng)的網(wǎng)絡(luò)隔離

在網(wǎng)絡(luò)隔離的環(huán)境下，一臺(tái)堡壘機(jī)無法實(shí)現(xiàn)跨網(wǎng)管理，如果要強(qiáng)制進(jìn)行跨網(wǎng)段管理，網(wǎng)絡(luò)隔離的安全性實(shí)際上會(huì)大打折扣。如果要在不同的網(wǎng)絡(luò)環(huán)境下部署堡壘機(jī)，部署兩套堡壘機(jī)就需要采購兩套軟件許可，成本會(huì)大大增加。同時(shí)，如果為了實(shí)現(xiàn)堡壘機(jī)的高可用，比如通過兩套堡壘機(jī)實(shí)現(xiàn)主備方案，就需要4臺(tái)服務(wù)器資源，服務(wù)器資源數(shù)量的翻倍會(huì)導(dǎo)致成本的大幅增加。

為了解決上述問題，我們最后采用了JumpServer分布式部署方案，通過分布式部署功能共用一套堡壘機(jī)許可，有效控制了成本。同時(shí)，在生產(chǎn)網(wǎng)和辦公網(wǎng)分別部署JumpServer應(yīng)用，實(shí)現(xiàn)網(wǎng)絡(luò)隔離，在必要的情況下可以通過打通防火墻的方式實(shí)現(xiàn)兩套堡壘機(jī)應(yīng)用的互備份。

另外，我們還通過JumpServer的組織管理功能進(jìn)行網(wǎng)段管理，實(shí)現(xiàn)了生產(chǎn)網(wǎng)和辦公網(wǎng)服務(wù)器的分別管理。

2. 供應(yīng)商遠(yuǎn)程運(yùn)維

在公司IT運(yùn)維的過程中，經(jīng)常會(huì)遇到需要進(jìn)行遠(yuǎn)程運(yùn)維的情況。

最常見的就是供應(yīng)商遠(yuǎn)程運(yùn)維的問題?；鹦袠I(yè)企業(yè)使用的各種系統(tǒng)都是采購第三方供應(yīng)商的軟件產(chǎn)品，遇到緊急問題時(shí)往往需要軟件廠商進(jìn)行遠(yuǎn)程協(xié)助。像一些大廠可能會(huì)有廠家的工程師駐場(chǎng)，但是對(duì)一些小公司來說可能就沒有駐場(chǎng)的服務(wù)了。這時(shí)候就只能讓供應(yīng)商通過第三方遠(yuǎn)程軟件進(jìn)行協(xié)助，而第三方遠(yuǎn)程工具往往會(huì)存在以下問題：

■?安全性無法保障：第三方遠(yuǎn)程連接工具漏洞多，服務(wù)得不到保障；

■?文件傳輸不可控：文件可以隨意復(fù)制、截屏，存在外泄數(shù)據(jù)的風(fēng)險(xiǎn)；

■?無法進(jìn)行有效審計(jì)：操作過程無法回溯和審計(jì)，不滿足行業(yè)和企業(yè)安全合規(guī)的要求；

■?權(quán)限控制不靈活：難以定時(shí)開啟或關(guān)閉遠(yuǎn)程功能，無法進(jìn)行有效的權(quán)限控制。

針對(duì)這些現(xiàn)實(shí)存在的問題，我們通過JumpServer堡壘機(jī)實(shí)現(xiàn)了一個(gè)比較安全的遠(yuǎn)程運(yùn)維方案，主要是采用“VPN+JumpServer+VNC”的方式。

JumpServer堡壘機(jī)支持VNC（Virtual Network Console）遠(yuǎn)程服務(wù)，可能大家用的不是很多，大多數(shù)用戶通常會(huì)通過SSH或RDP（遠(yuǎn)程桌面協(xié)議）的方式。

如果通過RDP給供應(yīng)商進(jìn)行遠(yuǎn)程連接，公司的運(yùn)維人員是無法同時(shí)去查看供應(yīng)商的操作的，于是我們就采用了通過VNC連接的方式。具體實(shí)現(xiàn)方式如下：

① 使用VPN接入

在公司的運(yùn)維機(jī)器上安裝VNC服務(wù)，并將VNC服務(wù)托管在JumpServer堡壘機(jī)上，給供應(yīng)商開通VPN賬號(hào)。這樣一來，供應(yīng)商就可以通過公司的VPN接入到JumpServer，限制使用第三方遠(yuǎn)程工具；

②?控制動(dòng)態(tài)令牌

當(dāng)供應(yīng)商需要進(jìn)行遠(yuǎn)程操作時(shí)，公司需要給他們提供VPN和JumpServer堡壘機(jī)的動(dòng)態(tài)令牌，有效控制供應(yīng)商的登錄行為；

③ 堡壘機(jī)遠(yuǎn)程運(yùn)維電腦

通過JumpServer堡壘機(jī)連接公司運(yùn)維機(jī)器的VNC服務(wù)，限制供應(yīng)商的堡壘機(jī)權(quán)限，公司員工和供應(yīng)商可以同時(shí)進(jìn)行操作；

④ 實(shí)現(xiàn)供應(yīng)商遠(yuǎn)程操作

公司的運(yùn)維人員可以實(shí)時(shí)控制供應(yīng)商的遠(yuǎn)程操作，實(shí)現(xiàn)權(quán)限控制和錄像審計(jì)。

作為JumpServer開源堡壘機(jī)的忠實(shí)用戶，我十分期待未來JumpServer在產(chǎn)品功能、體驗(yàn)上的持續(xù)迭代優(yōu)化，讓更多的人了解、使用到這款”好用、易用”的堡壘機(jī)。