编者注:在2022年7月9日举办的“2022 JumpServer开源堡垒机城市遇见·深圳站”活动中,腾讯海外游戏安全运营负责人林鼎盛分享了题为《锻造行业领先游戏安全技术与运营能力》的主题演讲。以下内容根据本次演讲整理而成。
分级分类的安全管理思路
在很多情况下,我们进行安全管理所需的资源和时间都是有限的,为了在这些约束条件下更好地进行安全运维工作,就需要有“分级分类”的管理思维。例如,在做安全规划或处理安全风险之前,需要对相关需求风险做出识别,进行分级分类,集中重点资源解决高风险或优先级更高的事项。
场景特点:
■ 多层级管理架构,权限关系清晰;
■ 逐层分级管理,实现权限下放;
■ 统一标准,风险管理可控。
在全球协作方面,由于时差问题各国工作时间段不同,因此我们可以通过JumpServer堡垒机将相关权限下放到各个组织。甚至可以针对不同的站点组织以及不同的业务来下放对应审计的需求,实现出现问题或需求时24小时支持,从而达到整体全球管理的目的,提高了整体管理的效率和水平。
场景二:共建开源自主可控生态,融入企业安全运维整体框架
在这一场景中,我们首先需要根据一定维度对整体人员进行分类,同时对集群进行拆分,比如高敏感、低敏感等,并对云上VPC做好分类,将JumpServer的能力融入到整个安全运维框架中。
场景特点:
■ 适配多云 络环境,支持 域 关方式连接内 资产;
■ 基于云API实现云资产自动纳管。
同时,在运维工作中也需要制定安全策略。基于安全层面考虑,我们并非所有VPC都对堡垒机开放,虽然JumpServer的安全性非常好,但是也难以保证绝对的安全。在这种情况下,我们可以选择只开通一个最为关键的通向内 的入口。这样一来,即使是在业务量或VPC过多的场景下,甚至一些历史包袱原因导致 段冲突的发生,通过这种 络层级的方式进行接入就十分理想,充分利用了JumpServer在多云环境中的适配能力。
另外,FIT2CLOUD飞致云还有一款名为CloudExplorer的多云管理平台软件也具有这种多云管理的能力和优势。所以,JumpServer在组织多云产品的纳管适配方面是十分优秀的。
场景四:基于容器服务的全球多站点分布部署架构
对于堡垒机来说,如果在平时出现一些不稳定或故障的情况,并不会直接影响到线上环境的运行。但对于运维工程师来说,在我们需要对生产环境进行一些关键操作或者故障应急处理时,如果堡垒机出现故障,就会直接导致工程师无法及时操作,造成非常大的影响。
企业引入堡垒机是为了通过使用它获得良好的管理效果,但如果堡垒机本身成为管理系统中的瓶颈,就是本末倒置了。由于JumpServer堡垒机在多云容器服务的适应方面表现良好,所以我们可以运用JumpServer所具有的容器特性,来为企业提供一个比较健壮的运行架构,保证系统整体运行的稳定性。
场景特点:
■ 支持多云容器服务,灵活部署;
■ 可扩展性、高可用性。
在多云容器部署的场景下,即便堡垒机发生故障导致无法登录进行紧急处理,JumpServer还为用户提供了最后的保障手段。这时候可以使用JumpServer的密码备份机制,通过应急方式直接登录环境,先处理好故障或应急解决的事项,再去逐步进行排查来解决堡垒机自身的问题,这个功能可以满足我们紧急维护的实际需求。
JumpServer堡垒机的价值收益
在多云环境下分布式部署JumpServer后,腾讯海外游戏在全球资产的运维安全管理方面所获得的收益包括:
■ 深度适配全球多区域多云环境
针对我们资产全球多区域多云分布的特征,JumpServer进行了多节点部署,用户可以选择就近接入,降低运维审计的延迟,具有良好的跨区容灾能力和高可用性。同时,JumpServer具备统一的日志审计中心,支持高效的日常分析工作。通过JumpServer我们可以很容易地发现一些敏感的操作行为,帮助我们快速提升日常审计工作的效率;
■ 一体化安全高效的运维体验
JumpServer作为一款被广泛应用的开源堡垒机,它的开放性是非常高的,用户可以在开源开放的场景下构建建立一个安全、自主、可控的管理系统。同时JumpServer堡垒机的易用性高,成本也比较低;
■ 专业的服务支持保障
长期以来,JumpServer一直坚持着按月迭代的研发节奏。对于用户的需求,JumpServer的专业团队迅速响应。整个团队秉持着“软件用起来才有价值,才有改进的机会”的态度,积极探索与用户合作创新的路径。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!