大众汽车集团(Volkswagen)成立于1938年,总部位于德国沃尔夫斯堡,是欧洲最大的汽车公司,也是世界汽车行业中最具实力的跨国公司之一。
大众酷翼(北京)科技有限公司(英文名称为CARIAD,以下简称为“大众酷翼”)是大众汽车集团的全资子公司,聚焦智能车联网、智能出行生态、智能基础设施、大数据应用以及智能驾驶等五大领域,构建全方位智能出行解决方案,致力于为出行消费者打造更智能、更便捷的美好出行生活。
公司安全运维需求
目前,大众酷翼的IT基础设施主要分布在公有云和私有云,资产总数近千台,使用堡垒机的用户超过100人。相对较大的使用人员规模要求堡垒机能够对不同的人员进行权限管控以及资源分配。在现阶段,大众酷翼对堡垒机的需求主要集中在以下方面:
1. 资产的统一访问管理
随着业务的发展,公司的IT资产既有私有云的超融合一体机,也有分布在多个公有云的资产,运维人员需要通过堡垒机对所有类型的资产进行统一管理。同时,公司也需要为用户访问资产提供统一的入口,让用户通过一次认证即可访问多个资产,且无需知道目标资产的密码;
2. 细粒度的权限管理
堡垒机需要能够支持细粒度的访问控制和权限管理,以确保不同用户只能访问其所管理的资产,并且根据需要进行授权和审批。同时,堡垒机需要能够与公司的管理架构进行适配,并支持按部门进行资产、用户和授权的隔离,公司管理员可以根据需要将部分权限下放给部门管理员;
3. 支持用户操作审计
公司要求完整记录用户在堡垒机上的所有操作,并提供查询和审计功能,在需要时能够对当时用户的运维操作进行回溯。记录的形式要同时支持文本和录像两种方式,支持对审计记录设置合适的保留期限,以确保数据的安全性和完整性,符合相关监管和法规要求;
4.等保三级需要
汽车行业信息系统的安全性至关重要,大众酷翼需要根据集团的要求进行等保审计工作。等保评审的通过需要安全产品的配套建设,堡垒机就是其中重要的支撑工具之一。
为什么选择JumpServer?
大众酷翼的运维人员最初接触到JumpServer是在2019年,当时了解到公司的运维需求后,经过朋友推荐并且在GitHub中通过搜索找到了JumpServer开源项目。当时的JumpServer是v1.5版本,Star数和Fork数都不少,也查看了代码规范和提交活动,看到项目非常活跃,发布迭代也持续稳定。于是,运维人员决定部署一套JumpServer进行体验和验证。
运维人员之前也使用过其他品牌的堡垒机,但整体感觉架构偏重、技术陈旧、易用性不够好。而JumpServer总体使用下来,体验十分优异,基本能够满足大众酷翼的日常运维管理需求,具体体现在以下几点:
1. 符合等保合规要求
JumpServer堡垒机是符合4A(即认证、授权、账号和审计)规范的运维安全审计系统,具有公安部颁发的《计算机信息系统安全专用产品销售许可证》。在功能方面,JumpServer企业版能够完全满足等保三级评审对堡垒机功能的所有要求,JumpServer还具有其他通过等级保护评估的成功案例,有强大功能和资质的加持,能够有效助力公司通过等保认证。
2. 功能上满足需求
■ 安全审计
统一身份认证:支持集成公司现有的AD/LDAP以及宁盾Token二次验证,用户登录认证可以得到统一管理与合规管理;
访问控制:JumpServer同时支持密码和密钥两种认证方式,可以适配公司不同的使用场景;
审计和日志记录:JumpServer能够记录所有用户的操作行为,包括用户登录、操作记录、命令执行等信息。在必要时管理员可以使用这些日志来进行回溯,排查故障或安全事件;
会话管理和监控:JumpServer可以实时监控用户会话,并记录会话中的所有操作。审计员可以在必要时查看用户的会话信息,包括当前状态、访问权限、访问时间等,并可实时进行中断操作;
数据传输安全:JumpServer支持SSL/TLS加密协议,可以保证数据在传输过程中的安全性。同时,JumpServer支持对所托管的密码和密钥进行加密存储,符合安全管理的要求。
■ 使用体验
资产登录管理:堡垒机和资产之间能够实现自动登录,避免安装SSH客户端。公司配备的Windows电脑安装其他软件流程比较麻烦,需要经过复杂的申请流程。JumpServer集成了Web终端和SQL调试工具,可以方便用户一站式进行资产登录和管理。
从用户使用角度来说,JumpServer堡垒机集成了LDAP等单点登录方式,只需一套账号密码就可以进行登录,并且可以在登录后浏览被授权的资产。用户不需要知道资产的账号信息,通过JumpServer即可统一进行访问登录。从管理员角度来说,授权资产配置方法简单灵活,可以分组织进行权限操作,还可以直接同步其他云资产到堡垒机上;
密码管理:用户可以在堡垒机记录密码,无需频繁修改密码,无需本地记录密码。如果忘记账号密码,自行修改即可;
远程应用:用户可以直接通过JumpServer的远程应用RemoteApp功能来访问内网的Web应用。
■ 多组织管理
JumpServer的多组织管理功能可以为不同部门提供独立的管理空间和权限控制,以保障数据和资产的安全性和隔离性。
组织管理:JumpServer管理员可以通过后台管理界面创建、编辑、删除组织,以及为部门分配主机、用户、权限等资源;
用户管理:在JumpServer中,用户是指一个具有登录和管理等权限的账号。每个用户都属于一个租户,并被分配了相应的主机、权限等资源。管理员可以为不同的租户创建和管理用户,以实现分级授权和管理;
资产管理:JumpServer可以管理各种类型的资产,包括Linux、Windows、网络设备等资产。管理员可以为组织分配资产管理权限,并对资产进行集中的管理、监控和审计。租户也可以通过JumpServer提供的Web终端或SSH终端进行远程访问和管理;
权限管理:JumpServer支持基于角色的权限管理,管理员可以为每个租户创建不同的角色,并分配相应的权限。同时租户可以为用户分配不同的角色,以实现灵活的权限控制和管理;
日志审计:JumpServer支持对用户操作、登录情况、审计记录等日志进行审计记录,管理员可以通过后台管理界面查看和导出相关日志,实现对系统的安全监控和溯源。
3. 开源开放
用户口碑:JumpServer堡垒机的受众广泛,其独特的开源模式得到了用户广泛的认可,用户反馈的问题Issue可以直接到达研发人员层面,缩短了问题反馈的路径。JumpServer开源团队也会积极收集用户的需求,并且在后续版本的更新迭代中实现;
社区活跃:通过代码托管平台GitHub能够直接看见JumpServer的代码逻辑,其他市面上闭源的堡垒机无法看到代码,无法确定其产品的可靠性,只能通过互联网搜索引擎简单了解,不能深入试用体验。而JumpServer开源堡垒机GitHub Star数量多、Commit提交频繁、更新迭代快、代码逻辑清晰,并且可以直接免费安装下载体验,信赖度较高。
4. 可被集成
JumpServer提供完备的被集成API接口,能够跟飞致云多云管理平台CloudExplorer进行集成对接。在虚拟机部署创建后,CloudExplorer多云管理平台能够自动操作API将虚拟机的信息配置到JumpServer中并进行授权,这样一来,一方面简化了流程,另一方面减少了人工配置操作的工作量。
5. 原厂支持服务
JumpServer堡垒机企业版的原厂支持服务灵活高效,大大提升了服务体验,有专人负责售后,响应时间很快,同时对于权威机构报告的软件漏洞,JumpServer团队也能及时予以修复。
JumpServer部署解决方案
大众酷翼运维团队采用的JumpServer部署方案为高可用架构,当任意一个节点出现故障时,系统可以自动切换至另一节点运行,从而保证了JumpServer的高可用性和系统稳定性。
安全性方面:运维团队可以使用LDAP和宁盾进行用户认证和二次认证。使用HTTPS协议加密通信,对敏感数据进行加密存储,使用防火墙和入侵检测系统保障系统的安全;
可靠性方面:在系统运行过程中,运维团队使用Redis和MySQL实例主备方案进行数据存储,同时使用华为云OSS来提高录像存储的性能和可靠性,并且使用NFS(网络文件系统)来存储共享文件;
性能方面:运维团队通过Nginx进行前端负载均衡,Nginx在前端负载均衡中具有很高的灵活性和可配置性。同时,使用IP负载均衡算法来实现对多个应用服务器的请求分配。Nginx配置简单,易于维护,便于添加、删除和切换后端服务器,可以显著地提升应用系统的稳定性和可靠性。
▲ 附图 大众酷翼JumpServer部署架构
JumpServer为日常运维工作带来的改变
大众酷翼的运维团队通过使用JumpServer堡垒机实现了资产同步授权、用户收集、批量改密等需求。
1. 资产同步授权
大众酷翼的运维团队一开始通过JumpServer堡垒机自带的“云同步”功能将底层私有云、公有云上对应网段的主机资产信息同步到JumpServer堡垒机中。这样一来,运维人员就能精确控制不同VPC网络,并同步到堡垒机中不同的部门下,省去了整理资产的时间,并且后续对资产的增加、删除和修改也更加方便快捷。
现在,运维人员还可以通过JumpServer的API接口对接多云管理系统,通过多云管理系统控制部门、人员和权限的对应关系进行自动授权,并且在创建资产后向JumpServer自动推送;
2. 用户收集
之前系统管理员是通过Linux主机的PAM(特权访问管理)功能来控制主机登录权限的,用户在登录主机时需要手动推送用户AD名到主机,这样就会导致很多用户在离职后其用户信息还保存在于主机中。现在,通过JumpServer的用户收集功能,管理员可以快速查看每台主机上的用户信息,进行相应的账号处理工作;
3. 批量改密
根据等保三级的要求,资产密码需要进行90天的周期性修改。而之前使用传统SSH方式修改资产密码耗时耗力,效率低下。通过JumpServer的批量改密功能,管理员可以自定义密码规则,批量完成改密操作,大幅提高了运维工作的效率。
JumpServer的价值收益
通过两年多的使用,大众酷翼运维团队最直接的感受就是JumpServer服务团队的支持响应速度非常快,同时产品能力在不断迭代演进。JumpServer在保证系统安全性的同时显著提升了公司的运维效率:
■ 提高安全性
目前公司所有的用户都通过JumpServer这个统一的入口进行资产的登录与操作,并且可以通过JumpServer对服务器和网络设备进行细粒度的访问控制和审计,能够有效防止内部人员进行恶意操作,避免数据泄露;
■ 提高效率
通过JumpServer堡垒机,管理员可以集中管理Windows、Linux、网络设备等主机资产,并且支持远程终端访问和文件传输。JumpServer可以自动发现多云主机,与多云管理平台集成,大幅提高了管理员和运维人员的工作效率和效益;
■ 方便溯源
通过录像审计功能,JumpServer可以记录用户的操作行为,并录制所有Windows、Linux系统的操作,记录Linux的执行命令。这样一来,一旦发生系统问题,管理员可以方便地查看录像进行溯源,定位问题原因,快速进行修复,保障了系统的稳定运行。另外,如果运维人员离职,管理员可以通过录像对之前运维人员在Windows系统中的部署和配置操作进行查看;
■ 简化流程
通过集成飞致云多云管理平台CloudExplorer,融入虚拟机的交付过程,创建虚拟机后,通过JumpServer提供的API对接多云管理平台,将虚拟机信息自动操作同步到JumpServer堡垒机中。用户提交申请后,不需要系统管理员再找安全团队申请添加虚拟机信息和配置授权,简化了操作流程;
■ 服务支持
由于JumpServer更新版本的速度较快,JumpServer的服务支持团队会及时协助升级到新版本。在使用过程中发现的一些待优化以及与现有需求不符的问题,与JumpServer团队进行沟通后,产品团队也会在几个版本内快速进行优化。
大众酷翼在使用过程中反馈的工单多级审批、密码复杂度自定义、公有云同步资产能细化到VPC、保留用户上传下载的文件(例如传到华为云OBS Bucket)并作为审计内容的一部分供管理员下载、操作结束后返回保留当前页、优化授权时间轴、增加一键备份账号功能等需求,都在产品层面陆续得以实现,满足了公司运维需求的实际变化。
希望未来JumpServer能够支持更多的IAM(Identity and Access Management,身份识别与访问管理)统一认证平台,方便用户登录访问。另外,如果前端架构能使用React(Web开发框架),页面响应速度会更快,期待JumpServer在未来更进一步。
