8. 案例研究&社区分享JumpServer 助力江苏农信行业云安全运维

经过严格的测试和试用后,江苏农信选择基于 JumpServer 构建行业云运维安全审计解决方案。

江苏省农村信用社联合社(简称“江苏农信”)成立于 2001 年 9 月 19 日,全国农村信用社改革试点单位,是由全省农村商业银行、农村信用合作联社共同入股,经江苏省政府同意,并经中国人民银行批准设立的具有独立企业法人资格的地方性金融机构。江苏省农村信用社联合社在省政府领导下,负责行使对全省农村商业银行、农村信用合作联社的行业管理、指导、协调和服务职能。

背景和需求

为了适应当前企业 IT 云化的大背景,推动整体 IT 建设更进一步,江苏农信于 2016 年启动省农信行业云建设的调研和规划,并于 2017 和 2018 年进行大规模行业云建设。在整个农信行业云建设过程中,江苏农信非常重视行业云的安全建设,其中就包括云主机的运维安全管理(即堡垒机)。

相对于传统数据中心的堡垒机方案,行业云对此的要求有较为显著的不同,具体表现为以下几个方面:

  1. 堡垒机需要提供多租户体系,并和行业云的多租户体系进行对接,从而将堡垒机以自助服务的方式提供给辖内 60 余家农商行用户使用。

对照传统堡垒机解决方案,它们普遍缺少对多租户的支持。如果在行业云内使用会需要给每个租户独立部署一套,导致整个解决方案的运行和维护成本随着规模扩大快速增加;

  1. 作为江苏农信行业云提供的一个服务,希望堡垒机能和江苏农信行业云形成有机结合,提升整体使用体验。

行业云和堡垒机需要自动同步资产,统一管理访问授权关系以及访问账号信息。这需要堡垒机能够提供完善的 API 接口并能实现和云管理平台的无缝对接;

  1. 堡垒机审计资料(录屏录像文件)的保存是其一个重要的技术要求。

考虑到行业云的建设规模以及云存储的显著优势,行业云的堡垒机需要支持将其产生的大量审计资料自动存储在行业云的对象存储服务中,保障整个堡垒机数据存储方案的可扩展、高可靠和低成本;

  1. 堡垒机服务能够支持租用或者软件订阅的服务模式。

传统商业堡垒机普遍采用一次买断的模式,在江苏农信行业云建设初期面临一次性买断超过 60 余家农商行使用授权的大额开支。相比之下,云上普遍使用的软件订阅服务模式是更优的选择。

综合以上几点,适合江苏农信行业云建设的堡垒机方案是一个云化的堡垒机方案。需要其无论从产品架构还是商业模式上都实现“云化”。客户在认真考察多家堡垒机解决方案,经过严格的测试和试用后,选择了 JumpServer 运维安全审计解决方案作为其行业云堡垒机的解决方案。

JumpServer 运维安全审计解决方案

JumpServer 是广受欢迎的开源堡垒机,是符合 4A(认证 Authentication、账号 Accounting、授权 Authorization、审计 Auditing)的专业运维审计系统。 JumpServer 使用 Python/Django 进行开发,遵循 Web 2.0 规范,配备了业界领先的 Web Terminal 解决方案,交互界面美观、用户体验优异。

架构方面, JumpServer 采用分布式架构,支持多机房跨区域部署,可横向扩展、无并发访问限制。JumpServer 还支持对主流网络设备、Windows 服务器、Linux 服务器进行运行维护和操作审计。

JumpServer 堡垒机企业版包括 JumpServer 原厂专业支持服务和 X-Pack 增强包。其中 X-Pack 增强包提供满足江苏农信行业云需求的多租户体系,更加安全的双重因子认证,以及与行业云对接的扩展插件。

JumpServer 原厂专业支持服务提供 7×24 的线上支持以及到场培训和救援服务,有效保障江苏农信行业云堡垒机服务的安全可靠运行。JumpServer 堡垒机企业版已经通过公安部相关安全认证,获得了《计算机信息系统安全专用产品销售许可证》,能够满足金融行业对于安全产品的等保合规要求。

客户收益

1.优秀用户体验的自助式云堡垒机服务

通过 JumpServer 堡垒机企业版搭载的 X-Pack 增强包所提供的多租户功能以及云平台对接插件,江苏农信行业云的堡垒机以自助化、一体化的方式提供给超过 60 家的农商行使用。借助 JumpServer 优秀的 Web Terminal 界面,农商行用户通过主流浏览器就能够对 Windows 和 Linux 操作系统进行安全、流畅的访问和操作;

  1. 灵活的部署方式及强大的扩展能力

通过 JumpServer 自身支持的分布式部署方式,将堡垒机的管理端和连接端进行解耦,并且随着使用规模的扩展可以水平扩展连接端,可以保障堡垒机支持行业云接下来快速发展的扩展能力。在存储侧,当前方案对接行业云内的存储服务,利用其容量水平扩容和强大的数据生命周期管理能力来保障云堡垒机方案在存储侧的扩展能力;

  1. 合理可预期的建设成本以及可靠的商业支持

基于 JumpServer 企业版,江苏农信获得来自 JumpServer 的原厂商业支持服务,保障整个方案的运行安全。同时,由于该订阅服务不限制客户使用规模,并以订阅模式收取费用,让整个方案初始建设成本很低,且未来支出成本可预期,不会随规模增长而产生额外成本。

JumpServer 护航顺丰科技超大规模资产安全运维小红书 JumpServer 大规模资产跨版本迁移之路