網(wǎng)絡(luò)安全問題是企業(yè)信息化建設(shè)過程中非常重要的一環(huán)，近年來安全事故的頻發(fā)，越來越多的企業(yè)意識到網(wǎng)絡(luò)安全對于企業(yè)的重要性。伴隨著企業(yè)IT進入深度異構(gòu)化和分布式的發(fā)展階段，更多的企業(yè)出于兼顧資源彈性伸縮，以及核心業(yè)務(wù)應(yīng)用安全管控與法規(guī)遵從的需要，選擇采納混合IT架構(gòu)?；旌螴T基礎(chǔ)設(shè)施由此成為企業(yè)IT的新常態(tài)。

　　堡壘機是企業(yè)面向分布式IT架構(gòu)進行運維安全審計的必備組件。借助堡壘機，企業(yè)可以對異構(gòu)IT資產(chǎn)進行集中管理，并且構(gòu)建統(tǒng)一訪問入口，從而有效地控制IT系統(tǒng)的運維風(fēng)險。針對上述背景，安全牛發(fā)布本期牛品推薦——JumpServer開源堡壘機。與傳統(tǒng)堡壘機相比，JumpServer 堡壘機采用了分布式架構(gòu)設(shè)計，支持多云環(huán)境并可自動同步云上資產(chǎn)；JumpServer 支持水平擴展、以及超大規(guī)模資產(chǎn)數(shù)量（萬臺資產(chǎn)以上）和高并發(fā)訪問，其采用的容器化部署方式，能夠為用戶提供使用效果更好的Web Terminal。

　　#牛品推薦第十五期 #

　　01 標簽

　　開源、運維安全審計、分布式架構(gòu)、容器化部署、分層解耦、多云支持

　　02 用戶痛點

　　■ 資產(chǎn)規(guī)模的快速增加帶來的管理復(fù)雜度提升

　　傳統(tǒng)的堡壘機是通過手動錄入IP或者Excel表格進行資產(chǎn)導(dǎo)入，但是對于現(xiàn)在動輒幾千甚至上萬臺的機器，如果需要人工錄入，這種方式不僅效率低還容易出錯。而且在資產(chǎn)頻繁變更的情況下，這樣的管理方式可能會逐步發(fā)展到不可控的階段。

　　■ 復(fù)雜的訪問端環(huán)境造成額外的維護成本

　　傳統(tǒng)堡壘機方案中用戶接入門檻高，維護成本偏高。越來越多的企業(yè)需要堡壘機能夠提供“傳統(tǒng)客戶端+Web接入”的雙重訪問模式，尤其是Web接入的需求越來越強烈。傳統(tǒng)方案在Web接入方式上普遍采用較為原始的瀏覽器插件模式，導(dǎo)致大量的瀏覽器插件不匹配、用戶無法升級瀏覽器等影響用戶使用體驗的問題，嚴重影響了堡壘機的接入訪問效率。

　　■ 分散資產(chǎn)帶來的管理成本增加

　　企業(yè)的IT資產(chǎn)分散在全國各地，各個地區(qū)間網(wǎng)絡(luò)連接的帶寬、穩(wěn)定性給堡壘機的管理帶來了很多的不確定因素。分支機構(gòu)越多，機構(gòu)之間的距離越遠，往往會帶來更高的管理成本。傳統(tǒng)堡壘機的解決方案是在每個區(qū)域購買一臺堡壘機，多個區(qū)域組成一個大的集群，這種方案不僅造成了大量的成本浪費，也給管理上帶來了很多不必要的麻煩。

　　■ 審計對象的復(fù)雜化

　　當(dāng)下IT技術(shù)的演進速度越來越快，基礎(chǔ)設(shè)施層面隨著Kubernetes成為容器云建設(shè)的首選標準，以及數(shù)據(jù)庫層一些新型數(shù)據(jù)庫產(chǎn)品的出現(xiàn)，傳統(tǒng)堡壘機支持的審計對象已經(jīng)遠遠不夠，需要將新出現(xiàn)的IT基礎(chǔ)設(shè)施對象考慮進來。

　　03 解決方案

　　JumpServer是一款完全開源、符合4A規(guī)范（包含認證Authentication、授權(quán)Authorization、賬號Accounting和審計Auditing）的運維安全審計系統(tǒng)。JumpServer的后端技術(shù)棧為Python/Django，前端技術(shù)棧為Vue.js/Element UI，遵循Web 2.0規(guī)范。

　　與傳統(tǒng)堡壘機相比，JumpServer采用了分布式架構(gòu)設(shè)計，可靈活擴展，水平擴容。JumpServer還采用了領(lǐng)先的容器化部署方式，并且提供純?yōu)g覽器化Web Terminal。同時支持對接多種公有云平臺，滿足企業(yè)在多云環(huán)境下部署使用。針對企業(yè)用戶網(wǎng)絡(luò)安全等級保護要求，JumpServer堡壘機已經(jīng)獲得公安部頒發(fā)的“計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證”，能夠助力企業(yè)快速構(gòu)建身份鑒別、訪問控制、安全審計等方面的能力，為企業(yè)通過等級保護評估提供支持。

　　相比 JumpServer開源版，JumpServer企業(yè)版提供面向企業(yè)級應(yīng)用場景的X-Pack增強包，以及高等級的原廠企業(yè)級支持服務(wù)，有效助力企業(yè)快速構(gòu)建并運營自己的運維安全審計系統(tǒng)。目前，JumpServer堡壘機企業(yè)版用戶已經(jīng)廣泛覆蓋銀行、證券、制造、交通運輸、互聯(lián)網(wǎng)等行業(yè)企業(yè)。

　　JumpServer充分吸收了過去多年互聯(lián)網(wǎng)產(chǎn)品的發(fā)展經(jīng)驗，采用了分層解耦的設(shè)計理念。其產(chǎn)品架構(gòu)如下圖所示：

　　附圖JumpServer的產(chǎn)品架構(gòu)

　　從附圖可以看出，JumpServer產(chǎn)品從下至上可以分為存儲層、數(shù)據(jù)層、核心層、接入層和負載層，包括MySQL/Redis、CORE、Koko/Guacamole、Luna等核心組件。

　　■存儲層用于產(chǎn)品的各種數(shù)據(jù)存儲（包括元數(shù)據(jù)及各種審計數(shù)據(jù)），存儲可以是本地存儲，也可以是傳統(tǒng)SAN存儲、文件存儲或者對象存儲等；

　　■數(shù)據(jù)層采用MySQL存儲產(chǎn)品中的用戶、資產(chǎn)、授權(quán)等核心數(shù)據(jù)，并使用Redis提供對核心數(shù)據(jù)的訪問加速，提升用戶的訪問體驗；

　　■核心層用于對用戶、資產(chǎn)和授權(quán)等核心數(shù)據(jù)進行處理，并提供相應(yīng)的管理控制臺。位于該層的CORE組件使用Django Class Based View風(fēng)格開發(fā)，支持Restful API接口；

　　■接入層負載接入來自終端客戶（Web終端或者傳統(tǒng)客戶端）的連接請求。JumpServer根據(jù)接入的連接類型是字符型還是圖形型提供兩個獨立的接入組件，分別是Koko和Guacamole。其中，Koko組件實現(xiàn)了SSH Server和Web Terminal Server，提供SSH和WebSocket接口，以方便用戶通過Web端和傳統(tǒng)SSH客戶端登錄使用。組件實現(xiàn)RDP連接功能，提供純Web方式的圖形化界面操作能力。JumpServer也為數(shù)據(jù)庫提供了一個單獨的接入組件——OmniDB。通過集成OmniDB開源項目，JumpServer的用戶能像使用Navicat一樣，在Web端操作數(shù)據(jù)庫，目前支持的數(shù)據(jù)庫種類包括MySQL、MariaDB、Oracle和PostgreSQL。另外，接入層還提供純Web模式的接入，JumpServer設(shè)計了一個純?yōu)g覽器版本的終端，即Luna組件；

　　■負載層承載用戶接入流量的負載均衡。用戶可以選擇純軟件的負載均衡方案（例如Nginx），或者傳統(tǒng)的硬件負載均衡設(shè)備（例如F5）。

　　04 用戶反饋

　　“通過采納JumpServer堡壘機企業(yè)版，我們在幾天內(nèi)就完成了JumpServer堡壘機從0.3.2到1.4.9版本的升級，將超大規(guī)模的資產(chǎn)遷移至新平臺。整個遷移過程數(shù)據(jù)完整，平臺使用無影響。與此同時，F(xiàn)IT2CLOUD飛致云的專業(yè)服務(wù)團隊還在持續(xù)保障平臺安全運營和專業(yè)服務(wù)支持方面給我們提供了非常大的幫助?！?/p>

　　——小紅書 潘雨順

　　“很早就使用JumpServer了，主要還是針對”網(wǎng)絡(luò)設(shè)備+服務(wù)器“運維管理，全Web操作，還提供了Koko直連操作，無需安裝額外插件，很棒；也推薦給身邊得很多朋友，很多用過得朋友都說很棒，都用得很好，希望JumpServer做得越來越好?！?/p>

　　——盧煒君

　　“2016年年底接觸Django的時候就稍微關(guān)注了下JumpServer，真正開始使用是的1.5.x版本。對我們運維來說最大的好處就是可以強制提升服務(wù)器的密碼復(fù)雜度和密鑰登陸，只需要接入公司的LDAP就可以讓所有研發(fā)連接服務(wù)器而不需要再給他們密碼或者密鑰，大大減少了密碼密鑰泄漏的幾率?！?/p>

　　——路先生

　　“從2018年開始，隨著公司人員規(guī)模增加及各種人需要服務(wù)器權(quán)限，為了方便管理，找了幾款跳板機，最終使用JumpServer；JumpServer的資產(chǎn)管理非常不錯，可以精細化的授權(quán)；作為公司唯一的運維，有效保證了服務(wù)器安全訪問，也方便了遠程辦公時間的遠程處理?！?/p>

　　——黃再生

　　“去年公司開始數(shù)字化轉(zhuǎn)型，業(yè)務(wù)上云，之前的齊治堡壘機對部分云服務(wù)器不兼容，所以支持多云環(huán)境的堡壘機進行選型。在比較了多個堡壘機之后，最終選擇了JumpServer。優(yōu)點就不一一列出了哈，確實好用。今年公司在測試飛致云云管平臺（可以對接JumpServer），希望合作愉快。感謝JumpServer軟件和團隊?！?/p>

　　——陳建新

　　“18年4月份開始使用訂閱版本的JumpServer，在這之后逐步統(tǒng)一了公司的所有生產(chǎn)設(shè)備的管理，在JumpServer的專業(yè)支持下順利完成了等保三級的認證?！?/p>

　　——酷友

　　安全牛評

　　堡壘機是實現(xiàn)運維監(jiān)控的重要產(chǎn)品。隨著網(wǎng)絡(luò)規(guī)模的增加以及分支機構(gòu)的成立，傳統(tǒng)的堡壘機部署模式，不僅會增加管理成本，也會降低堡壘機的工作效率。未來堡壘機將向云化和服務(wù)化發(fā)展。借助云平臺，JumpServer堡壘機將以一主多從的賬號管理方式，以云化的方式為不同物理空間的運維人員提供統(tǒng)一的賬號登錄。同時，依托云架構(gòu)JumpServer可以對云端資產(chǎn)進行統(tǒng)一運維，為未來云服務(wù)交付模式提供運維基礎(chǔ)。