案例研究 | JumpServer助力天虹股份构建可靠的运维安全审计平台

天虹数科商业股份有限公司(以下简称为“天虹股份”)成立于1984年,是国有控股的上市公司。通过人本、科学的管理,以及专业、高效的运营,天虹股份连续多年入围中国连锁百强企业,拥有全国领先的零售技术研发和运营能力。天虹股份围绕百货、购物中心、超市三大业态打造线上线下融合的数字化、体验式新零售,旗下拥有“天虹”、“君尚”、“sp@ce”品牌。
在这里插入图片描述

近年来,天虹股份积极转型,大力发展线上线下一体化的智慧零售商业模式。天虹数字化已实现全门店、全业态、全流程覆盖,形成”到店+到家“的融合零售,并且持续推进技术服务的输出,成为科技零售的领先者。天虹的每个门店还弹性定制百货、超市和体验配套的业态组合及主题设计,并且不断迭代主题街区。

为了给顾客提供优质的商品,天虹股份持续整合供应链,在全国建立了众多的生鲜基地,开拓了30多个国家的直采渠道,引进全球好货。

为什么会选择JumpServer堡垒机?

随着业务的扩张和IT资产规模的快速增长,相较于过去的运维安全审计解决方案,天虹股份的运维团队对运维审计系统的使用体验、开放性和可扩展性提出了更高的要求:

■ 支持高可用和横向扩展

天虹股份目前在深圳的南山区和龙岗区设有两个机房,随着IT资产规模和使用人员的增加,对于堡垒机的要求也日益提高。原有堡垒机的传统单机部署架构存在单点故障的风险,运维团队急需一款具备持续可用性和快速容灾切换能力的堡垒机,以确保业务的持续稳定运行。

JumpServer堡垒机采用了模块化解耦的架构设计,可以根据企业的需求实现高可用部署,并支持灵活的横向扩展,从而满足企业未来发展的需求。这样的架构设计不仅能够提高系统的稳定性和可靠性,还能有效应对突发情况,确保业务的持续运营。

■ 支持网域网关

为了有效支持天虹股份信息化系统和线上商城等业务,天虹股份的研发部门在不同的网络环境中分别建立了开发、测试和生产环境。这样一来,就需要构建一个可以集中管理不同网域资产的统一运维审计入口。

JumpServer堡垒机提供的网域网关功能可以很好地满足这一需求。即使是处于网络隔离状态下的资产也能够通过网域网关功能实现流量的转发。这使得天虹股份能够通过JumpServer堡垒机统一访问隔离网段中的资产,形成统一的资产访问门户。这样不仅可以确保运维工作的顺利进行,提高了日常运维的效率和安全性,还满足了公司在不同网络环境下统一访问资源的需求。

■ 支持广泛的云平台对接

作为一家运行在混合云基础设施之上的科技企业,天虹股份拥有多套虚拟化平台,包括私有化VMware以及腾讯云等公有云平台。未来,还将继续扩展不同的异构环境,以满足不断增长的IT需求和不断变化的业务挑战。因此,天虹股份需要堡垒机能够支持复杂的IT环境,与广泛的云平台进行对接。

JumpServer支持与多种云平台进行对接,并且可以通过“云同步”的功能自动同步云平台的资产信息。通过JumpServer堡垒机集中管理云平台上的资产,提高了系统运维的效率,让天虹股份能够统一管理多云环境中的IT资产,为未来的系统扩展和业务发展奠定了坚实的基础。

JumpServer堡垒机的部署架构

针对JumpServer堡垒机的部署方案,天虹股份的运维团队选择使用高可用的部署架构。天虹股份分别在深圳的南山区、龙岗区两个机房部署了JumpServer节点,数据库采用主主同步的方式,审计录像统一存储在NFS(Network File System,网络文件系统)上。

同时,JumpServer的不同节点通过Keepalived高可用服务实现VIP漂移,使用一个VIP地址作为统一的访问入口提供服务。在极端情况下,如果某个机房的服务器宕机,Keepalived高可用服务会自动将VIP漂移至另一个机房的节点,确保服务的正常运行,保障系统安全。
在这里插入图片描述

▲ 图1 天虹股份JumpServer堡垒机部署架构图

JumpServer堡垒机的应用场景

高可用部署的JumpServer堡垒机在天虹股份的主要应用场景包括:

■ 对接LDAP认证

JumpServer支持LDAP用户认证,能够自动同步LDAP用户信息。在创建资产授权规则时,管理员可选择“同名账号”选项,这样一来,用户可以通过域账号直接登录Windows资产,从而快速实现用户同步和权限管理,极大地提升了运维管理的工作效率。

■ 访问权限控制

在日常运维工作中,除了内部用户需要登录堡垒机连接资产,堡垒机还需要满足外部供应商临时访问资产的需求场景。为了确保外部供应商的安全访问,JumpServer堡垒机主要通过以下功能加以控制:

资产登录复核:外部供应商在连接资产时,系统会发送工单消息给相应的审批人,审批人通过后才会下放资产连接权限;

核心资产申请授权:外部供应商可以提交申请资产授权工单,以获取临时访问核心资产的权限;

高危命令复核:当用户的操作涉及高危命令时,也可以通过工单机制进行高危命令复核。

此外,当JumpServer与企业微信认证对接后,工单消息可以直接推送至企业微信,审批人可以直接在企业微信上完成工单审批。这样不仅加强了系统的安全策略,还为管理人员的日常操作提供了便利性。通过以上措施,天虹股份的运维团队能够高效地管理外部供应商的访问权限,确保资产的安全性和合规性。

■ 良好的使用体验

JumpServer堡垒机提供了不依赖于任何插件且体验优异的Web Terminal功能,让用户能够通过Web浏览器轻松连接服务器。

同时,JumpServer还支持RDP File下载功能,用户可将RDP File保存至本地,双击即可启动RDP客户端连接资产,享受高清流畅的画质。这一功能为需要频繁连接和操作Windows系统的用户带来了良好的使用体验。

JumpServer堡垒机带来的价值收益

JumpServer堡垒机落地使用后,天虹股份获得的价值收益包括:

■ 提升了用户体验。JumpServer划分为控制台、审计台和工作台三个面板,分别服务于管理员、审计员和普通用户。其界面设计美观直接,资产树和Web终端等操作界面简洁明了,用户上手非常简单。同时,通过客户端连接的方式保留了用户的操作习惯。在公司内部推广期间,JumpServer凭借良好的用户体验赢得了内部用户的高度认可;

■ 提高了运维管理效率。JumpServer的云同步功能集中且高效地管理了天虹异构的IT基础设施。JumpServer提供的账号改密、账号收集、账号备份等自动化功能在满足企业安全合规要求的同时,极大地降低了大规模IT资产的运维管理成本。同时,JumpServer具有丰富的生态对接能力,例如企业微信认证对接等,进一步提升了运维的便利性和高效性;

■ 加强了安全访问策略。面对多元化的操作角色,JumpServer支持RBAC(基于角色的访问控制)权限控制,可以针对不同的用户和应用场景设定不同的访问策略,配合“三位一体”的工单复核机制,加强资产访问的安全性;

■ 提升了运维审计能力。JumpServer的审计台提供了全面的审计功能,可以记录和追踪用户的操作行为,包括登录记录、命令执行记录、会话操作录像等,为运维团队提供了关键的合规依据和安全溯源能力,有助于加强管理员对系统操作的监控和审计,确保系统数据的安全性和合规性;

■ 满足未来的发展规划。JumpServer为天虹股份未来的业务发展提供了良好的技术支撑。其强大的API对接能力使得复杂的工单授权策略可以轻松对接内部OA工单流程,满足企业未来自动化管理的需求。另外,JumpServer采用了高可用部署和易于横向扩展的架构设计,在保障系统稳定运行的同时,也能够满足未来公司的系统扩展需求。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/555744.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

vue3 项目启动时vite版本问题报错

背景: 我是在项目迁移过程中遇到的这个问题,前提可以看下面这篇 http://t.csdnimg.cn/g70Eq 问题描述 迁移项目时,将项目整体升级到了vue3版本,启动项目时出现下列报错: npm ERR! Found: vite5.1.4 npm ERR! node_…

2024-2.基础操作-Python

Jupiter基本使用 cell有两种模式: codemarkdown 快捷键 新建cell:a,b删除cell:dd,x运行cell:shiftenter切换cell模式: m:将code模式的cell切换到mdy:将md模式的cell切换到code 智能补全&#x…

QT Webengine开发过程报错qml: Render process exited with code 159 (killed)

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言一、解决方法二、补充说明总结 前言 提示:这里可以添加本文要记录的大概内容: 基于QT的Webengine开发过程中,QT的官方示例…

【算法】反转链表

本题来源---《反转链表》 题目描述: 给你单链表的头节点 head ,请你反转链表,并返回反转后的链表。 示例 1: 输入:head [1,2,3,4,5] 输出:[5,4,3,2,1]示例 2: 输入:head [1,2] 输…

22长安杯电子取证复现(检材一,二)

检材一 先用VC容器挂载,拿到完整的检材 从检材一入手,火眼创建案件,打开检材一 1.检材1的SHA256值为 计算SHA256值,直接用火眼计算哈希计算 9E48BB2CAE5C1D93BAF572E3646D2ECD26080B70413DC7DC4131F88289F49E34 2.分析检材1&am…

50.HarmonyOS鸿蒙系统 App(ArkUI)web组件实现简易浏览器

50.HarmonyOS鸿蒙系统 App(ArkUI)web组件实现简易浏览器 配置网络访问权限: 跳转任务: Button(转到).onClick(() > {try {// 点击按钮时,通过loadUrl,跳转到www.example1.comthis.webviewController.loadUrl(this.get_url);} …

Root mapping definition has unsupported parameters: [all : {analyzer=ik_max_wor

你们好,我是金金金。 场景 我正在使用Springboot整合elasticsearch,在创建索引(分词器) 运行报错,如下 排查 排查之前我先贴一下代码 import org.elasticsearch.action.admin.indices.create.CreateIndexRequest; // 注意这个包SpringBootTe…

Linux中如何安装ImageMagick及其常规使用命令

在Linux中安装ImageMagick可以通过包管理工具进行安装。具体步骤如下: 打开终端(Terminal)。 使用以下命令更新系统软件包列表: sudo apt update使用以下命令安装ImageMagick: sudo apt install imagemagick安装完…

物理机安装centos7并配置基本环境,网络配置,docker配置

1.首先下载镜像Download 2.下载UltraISO 安装docker 第1步:卸载当前版本docker yum erase docker \docker-client \docker-client-latest \docker-common \docker-latest \docker-latest-logrotate \docker-logrotate \docker-selinux \docker-engine-selinux \do…

[生活][杂项] 如何正确打开编织袋

编织袋打开的正确姿势 面对单线分离右边的线头,然后依次拉开即可

YAML教程-1-基础入门

领取资料,咨询答疑,请➕wei: June__Go YAML简介 YAML(YAML Aint Markup Language)是一种用于数据序列化的人类可读格式。它广泛用于配置文件、数据交换、持续集成/持续部署(CI/CD)等领域。YAML的设计目标…

注意,把Python库安装在一个环境里,可能会“非常危险”!

如果说谁写Python不用第三方库,我敬他是条汉子。如今到处是轮子的时代,Python第三方库管理成了开发者们头疼的问题。 可能在看这篇文章的很多人,都没用过Python虚拟环境,不知道安装Python库需要考虑版本兼容问题。 那么把所有要…

基于SpringBoot的健身房管理系统

一.前言 本系统用了 Sping Data JPA 这一不常用的数据库框架,是一个值得学习研究的点。 本项目用户名:admin 密码: admin123 方可进入。项目源码在文章开头,下载到本地导入IDEA,修改配置文件中数据库连接信息后,导入项…

字段名称导致mybatisplus自带方法报错.BadSqlGrammarException: ### Error querying database. C

今天在建一个数据表之后,在springboot中使用了mybatisplus代码生成工具生成了java相关代码,在查询的时候,使用的是list()方法查询,发现居然会报错,找了好久。 org.springframework.jdbc.BadSqlGrammarException: ###…

锁策略和死锁问题

锁策略 乐观锁 vs 悲观锁重量级锁 vs 轻量级锁自旋锁 vs 挂起等待锁读写锁 vs 互斥锁公平锁 vs 非公平锁可重入锁 vs 不可重入锁死锁死锁产生的必要条件如何简单的解决死锁问题 小结 这里不是描述的某个特定锁,而是描述的锁的特性,描述的是"一类锁". 乐观锁 vs 悲观…

人到中年三两事儿

人到中年,常常伴随着一系列的焦虑和烦恼。这些焦虑可能源自对工作的不确定性、对未来的担忧、对家庭责任的增加,或是对个人成就的反思。在这个年纪,我们可能会发现自己站在人生的十字路口,面临着重要的选择和决策。 首先&#xff…

数智时代的AI人才粮仓模型解读白皮书(2024版)

来源:极客邦 自 2023 年上半年起,ChatGPT 等大模型技术蓬勃发展,AI 技术不断突破边界,展现 出惊人的潜力和发展速度。从早期的逻辑推理、专家系统,到如今的深度学习、神经网络, AI 技术显著缩小了科学与实…

【面试经典 150 | 二分查找】搜索旋转排序数组

文章目录 写在前面Tag题目来源解题思路方法一:二分查找 写在最后 写在前面 本专栏专注于分析与讲解【面试经典150】算法,两到三天更新一篇文章,欢迎催更…… 专栏内容以分析题目为主,并附带一些对于本题涉及到的数据结构等内容进行…

Redis中的Lua脚本(二)

Lua脚本 创建排序辅助函数 为了防止带有副作用的函数令脚本产生不一致的数据,Redis对math库的math.random函数和math.randomseed函数进行了替换。对于Lua脚本来说,另一个可能产生不一致数据的地方是哪些带有不确定性质的命令,比如对于一个集…

STM32串口通信

一、串口发送 1.初始化引脚 void Serial_Init(uint32_t BaudRate) {RCC_APB2PeriphClockCmd (RCC_APB2Periph_GPIOA ,ENABLE );RCC_APB2PeriphClockCmd (RCC_APB2Periph_USART1 ,ENABLE );GPIO_InitTypeDef GPIO_InitStructure;GPIO_InitStructure.GPIO_Mode GPIO_Mode_AF_PP…