案例研究|腾讯音乐娱乐集团与JumpServer共探安全运维审计解决方案

近年来,得益于人民消费水平的提升以及版权意识的加强,用户付费意愿和在线用户数量持续增长,中国在线音乐市场呈现出稳定增长的发展态势。随着腾讯音乐于2018年12月上市,进一步推动了中国在线音乐市场的发展。

腾讯音乐娱乐集团(以下简称为“TME”)作为中国在线音乐娱乐服务的开拓者,主要提供在线音乐和以音乐为核心的社交娱乐两大服务。TME在中国有着广泛的用户基础,总月活用户数超过8亿。TME一直致力于用科技创造音乐无限可能,让更多的用户能够参与到音乐的创作、欣赏、分享和互动中。
在这里插入图片描述

为了助力公司持续创新,提升数据安全可控与高效运维能力,TME需要构建更加灵活、安全以及自主可控的运维安全审计体系,以高效管理TME不断扩张的IT基础设施,解决其统一访问鉴权及安全审计的问题。

期望:数据安全可控与资产高效运维

随着资产规模的不断扩张,对比原有的运维安全审计方案,TME的IT安全运维团队对运维审计管理系统的运维体验、开放性和可扩展性提出了更高的要求。因此,也催生了TME对于新一代堡垒机的迫切需求。

经过严谨、长期的调研和验证,TME的IT运维团队最终选择了JumpServer堡垒机,主要原因有以下几个方面:

■ 更友好的运维操作体验

TME原有的运维审计平台只提供CLI命令行的管理界面,无论是运维管理还是访问连接,使用起来都不够友好。JumpServer不仅拥有各种传统协议客户端直连的良好使用体验,还为用户提供了更加贴近国人使用习惯的纯浏览器管理界面。同时,JumpServer简约直白的视图布局,直观丰富的数据展示,也大幅提升了用户的使用效率;

■ 更多样的资产类型纳管

除了常规的Linux服务器资产纳管以外,JumpServer还支持纳管更多类型的数据库、容器云以及应用软件系统等。JumpServer通过SQL级的审计方式和重要软件系统留痕审计,来满足DBA(数据库管理员)和泛IT人群的使用需求;

■ 更开放的集成解决方案

堡垒机作为企业IT信息安全系统的重要一环,既要考虑安全管理的便利性,又要兼顾用户使用的友好度,这也是企业在构建一体化安全运维体系的过程中不可或缺的两个要素。

传统软硬一体化的安全产品形态对于集成解决方案而言正在成为一种限制和束缚,JumpServer堡垒机“开源软件产品+原厂专业服务保障”的组合为企业构建自主可控解决方案提供了坚实的基础。

实现:分权提权运营与协同运维体系并行

账号是访问资产的登录凭证。资产数据的绝对安全不仅仅依赖于堡垒机在事前、事中、事后每个阶段提供的预防监控审计能力,也应该考虑在资产系统层面进行账号权限隔离的设计。

面向不同的使用人员、场景和环境,需要合理地设计账号分权提权运营方案来满足企业日常运维需求,以及安全管理的要求。

在JumpServer的“账号管理”模块中,TME的IT运维团队将每台服务器资产的账号凭证分为“特权用户”、“只读用户”、“App用户”以及“高权用户”,数据库资产又分为“程序账号”和“个人账号”。根据实际人员业务的需要,管理员提前预置规范的资产授权规则,在紧急或特殊情况下,配合JumpServer授权规则更新和工单申请功能来实现用户的账号提权需求。

同时,基于JumpServer的账号收集、账号改密、账号备份等功能,也为资产账号凭证的安全性提供了持续、有效的安全保护。
在这里插入图片描述

▲图1 TME分权提权运营架构

在协同运维体系中,从登录访问认证,到人员、组织、资产的数据同步,流程的规范、体系化,以及广泛类型的资产运维审计等需求出发,TME的IT运维团队将持续完善与JumpServer堡垒机的集成解决方案,为托管的服务器、数据库、云服务以及重要系统提供统一的安全管理保障。

解决方案特点:

1.集中统一的鉴权认证

JumpServer支持单点登录认证方式,TME的IT运维团队基于OAuth2.0协议将自研的统一认证系统与JumpServer进行打通,通过统一的用户体系保障,满足安全合规要求,减轻运维管理的压力;

2.广泛资产类型的自动同步

通过调用JumpServer堡垒机的API接口与CMDB(配置管理数据库)系统进行联动,在JumpServer支持纳管主机、网络设备、数据库、云服务、软件应用等多种资产类型的前提下,实现与CMDB资产信息的数据同步;

3.高效的协同工单流转

在组织协同方面,基于JumpServer堡垒机灵活的资产授权体系,TME的IT运维团队打通内部流程工单系统,实现了各类资产的自动化授权。在保留员工原有使用习惯的基础上,减少了跨部门之间的沟通成本,同时又无缝融入堡垒机系统,提高了公司整体协同运维体系的管理效率和水平;

4.资产连接方式的管理

JumpServer提供“Web接入+原生客户端”双重访问模式,面向管理员提供浏览器的访问途径,资产管理和授权管理做到了真正的简单、易用。

面向普通用户,JumpServer提供了原生客户端访问方式,一方面维护了用户原有的使用习惯,另一方面,JumpServer也支持自定义认证逻辑,实现了TME独有的“Pin+Token”统一登录认证方式,从细小源头规避风险。
在这里插入图片描述

▲图2 TME协同运维体系

规划:部署架构全面升级

当前TME正在规划将JumpSever原有的云主机集群的部署模式升级为Kubernetes集群部署方案,为未来资产规模的迅速增加提前做好准备,提供更加稳定、高效的运行环境。

收益:极佳使用体验和专业贴身服务

JumpServer堡垒机的上线运营,帮助TME的IT安全运维团队获得以下几个方面的收益:

1.交互使用全新体验

区别于传统堡垒机的产品设计,JumpServer更强调用户的访问体验。考虑到用户的真实反馈,JumpServer堡垒机设计了更贴合用户使用习惯和场景的访问方式,在降低管理员运维工作量的同时,也让最终用户能够遵循他们最为熟悉的操作方式;

2.资产数据全面托管

在JumpServer堡垒机广泛资产类型的支持下,结合应用虚拟化方案,不仅为资产的集中管理提供了全面的安全审计保障,也为企业各种软件系统中用户所做的重要操作提供了审计依据;

3.原厂支持合作探索

JumpServer堡垒机坚持产品的每月迭代,持续提升产品在企业不同应用场景下的相关能力。同时,JumpServer的研发和客户成功团队高度重视用户的需求、建议和疑问,随时响应。在探索集成解决方案的过程中,JumpServer的客户成功团队也及时提供专业、有效的建议方案,双方共同探索更加符合实际业务场景和需求的安全运维审计解决方案。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/119846.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

用Rust和Scraper库编写图像爬虫的建议

本文提供一些有关如何使用Rust和Scraper库编写图像爬虫的一般建议: 1、首先,你需要安装Rust和Scraper库。你可以通过Rustup或Cargo来安装Rust,然后使用Cargo来安装Scraper库。 2、然后,你可以使用Scraper库的Crawler类来创建一个…

Config

因为我们微服务的模块太多了,这样每一个都有一个application.yml文件,假如说此时数据库的配置变了,这样一个个修改yml文件太麻烦了,所以我们想要一套集中式的,动态的配置管理设施是必不可少的。此时SpringCloud Config…

爬取Elastic Stack采集的Nginx内容

以下是一个简单的Go语言爬虫程序,用于爬取Elastic Stack采集的Nginx内容。请注意,这只是一个基本的示例,实际使用时可能需要根据具体情况进行修改和扩展。 package mainimport ("fmt""net/http""io/ioutil" )…

Intel oneAPI笔记(4)--jupyter官方文档(Unified Shared Memory)学习笔记

前言 本文是对jupyterlab中oneAPI_Essentials/03_Unified_Shared_Memory文档的学习记录,主要包含对统一共享内存的讲解 USM概述 USM (Unified Shared Memory)是SYCL中基于指针的内存管理。对于使用malloc或new来分配数据的C和C程序员来说应该很熟悉。当将现有的C…

【H616_语言小美_控制安卓刷抖音项目 orangePi zero2 (已开源) 】.md uptada:23/11/07

文章目录 H616_语言小美_控制安卓刷抖音项目小美效果展示H616 ubuntu系统 安装adb智能公元 SU-03T 离线语音模组 固件制作配合串口实现 小美_控制安卓刷抖音 H616_语言小美_控制安卓刷抖音项目 注意:orangePi zero2 H616 安装系统为ubuntu 小美效果展示 语言小美 …

基于springboot实现招生平台管理系统项目【项目源码+论文说明】计算机毕业设计

基于springboot实现招生管理系统演示 摘要 在Internet高速发展的今天,我们生活的各个领域都涉及到计算机的应用,其中包括招生管理系统的网络应用,在外国招生管理系统已经是很普遍的方式,不过国内的管理网站可能还处于起步阶段。招…

笔记50:正则表达式入门宝典

引自:正则表达式是什么? - 知乎 中“龙吟九野”所写的一个回答,个人感觉看完之后如同醍醐灌顶,查了很多资料都没有这篇文章写的基础和通透,感觉是正则表达式扫盲好文,所以搬运一下,侵权删,感谢…

如何使用 Loadgen 来简化 HTTP API 请求的集成测试

引言 在编写 HTTP 服务的过程中,集成测试 1 是保证程序正确性的重要一环,如下图所示,其基本的流程就是不断向服务发起请求然后校验响应的状态和数据等: 为大量的 API 和用例编写测试是一件繁琐的工作,而 Loadgen 2 正…

高效接口重试机制的实现

实现一个高效的接口重试机制对于保证系统的稳定性和可靠性至关重要。在面对网络不稳定、服务端故障或者高负载的情况下,接口重试机制能够确保请求的成功执行,同时也需要保证在重试过程中不会造成额外的负担或不必要的延迟。本文将为您介绍高效接口重试机…

IO多路复用 Linux C Server-Client 多用户聊天系统

目录 Server-Client mutiplexingServer mutiplexingClient mutiplexing Server-Client 在Linux系统中,IO多路复用是一种机制,它允许一个进程能够监视多个文件描述符(sockets、pipes等)的可读、可写和异常等事件。这样&#xf…

武器检测YOLOV8NANO

武器检测(匕首,步枪,手枪),采用YOLOV8NANO训练,得到pt模型,然后转换成Onnx模型,供OPENCV DNN调用,支持C,PYTHON,ANDROID。有标注的训练集 武器检测YOLOV8NANO

macOS磁盘分区调整软件--Paragon Camptune X 中文

Paragon Camptune X是一款专为Mac用户设计的强大分区大小调整工具。通过它,用户可以简便地调整Mac硬盘上的分区大小,实现存储空间的高效管理。无论是需要在Mac和Windows系统之间切换的双系统用户,还是有其他特定存储需求的用户,Ca…

提高 bbr 的灵敏性

bbr draft 给出了 MaxBwFilterLen 的定义: MaxBwFilterLen: The filter window length for BBR.MaxBwFilter 2 (representing up to 2 ProbeBW cycles, the current cycle and the previous full cycle). 从 v1 到 v3 版本,该值均只跟状态机而不跟实际&…

波形的哪些事

一.静音波形制造(波形卡顿制造) 二.pop波形制造 三.示波器探头设置 四.示波器的差分输入和单端输入的接法不一样 差分的接法,需要配差分探头(如下图),差分探头的两个脚分别和功放输出通道的两个脚连接 单端的接法,需要单端的探头&#xff0c…

docker项目部署

一.项目说明 hmall:商城的后端代码hmall-portal:商城用户端的前端代码hmall-admin:商城管理端的前端代码 部署的容器及端口说明: 项目容器名端口备注hmallhmall8080黑马商城后端API入口hmall-portalnginx18080黑马商城用户端入…

RT-DETR 应用 BiFPN 结构 | 加权双向特征金字塔网络

模型效率在计算机视觉中变得越来越重要。在本文中,我们系统地研究了目标检测中的神经网络架构设计选择,并提出了几种关键的优化方法来提高效率。首先,我们提出了一种加权双向特征金字塔网络(BiFPN),它可以实现简单快速的多尺度特征融合;其次,我们提出了一种复合缩放方法…

Go:如何在GoLand中引用github.com中的第三方包

本篇博客主要介绍如何在GoLand中引入github.com中的第三方包。具体步骤如下: 正文 (1) 先在GoLand中打开go的工作区目录(即环境变量$GOPATH设置的变量)。如图: 关于工作区目录中的三个子目录: bin: 保存已编译的二进制可执行程序;pkg: 保…

C++ http协议POST body raw 字段向服务器发送请求

环境:ubuntu系统c使用http协议不是很方便,通过curl库我们可以很方便使用http协议,由于我的请求方式比较特殊,在网上没有找到相关的资料,之前使用python实现过一版,但是当设备数量超过100台时,程…

本地生活新赛道-视频号团购怎么做?

目前有在做实体行业的商家一定要看完,只要你进入了这个本地生活新的赛道,那你的生意自然会源源不断,那这个赛道又是什么呢? 这就是十月份刚刚上线的视频号团购项目,开通团购之后,就可以通过发短视频&#…

【GO】项目import第三方的依赖包

目录 一、导入第三方包 1.执行命令 2.查看go环境变量参数 3.查看go.mod文件的变化情况 二、程序里如何import 1. import依赖包 2. 程序编写 本次学习go如果依赖第三方的包,并根据第三方的包提供的接口进行编程,这里需要使用go get命令。下面将go…