成都創(chuàng)新互聯(lián)公司長(zhǎng)期為超過(guò)千家客戶提供的網(wǎng)站建設(shè)服務(wù)，團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年，關(guān)注不同地域、不同群體，并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù)；打造開(kāi)放共贏平臺(tái)，與合作伙伴共同營(yíng)造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為茄子河企業(yè)提供專業(yè)的網(wǎng)站建設(shè)、成都網(wǎng)站建設(shè)，茄子河網(wǎng)站改版等技術(shù)服務(wù)。擁有十年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開(kāi)發(fā)。

在剛剛結(jié)束的 2020 全球新一代軟件工程線上峰會(huì)上，有著近七年自動(dòng)化運(yùn)維平臺(tái)研發(fā)經(jīng)驗(yàn)的京東智聯(lián)云產(chǎn)品架構(gòu)師任龍濤，分享了 《運(yùn)維堡壘機(jī)高效安全運(yùn)維設(shè)計(jì)與實(shí)踐落地》 議題。本篇文章將為大家回顧本次精彩分享，深入解析京東智聯(lián)云高效安全運(yùn)維過(guò)程中的問(wèn)題，以及為解決這些問(wèn)題所做的探索和落地實(shí)踐。

一個(gè)程序員，憑一己之力，刪除自家公司數(shù)據(jù)庫(kù)，市值縮水近 24 億元，直接經(jīng)濟(jì)損失達(dá)到 1.5 億元。

這不是段子，是真實(shí)發(fā)生在我們身邊的故事。該公司研發(fā)中心工作人員通過(guò)其個(gè)人 API 登錄公司內(nèi)網(wǎng)的跳板機(jī)后，對(duì)生產(chǎn)環(huán)境進(jìn)行了惡意破壞，導(dǎo)致旗下用戶小程序全線宕機(jī)，300 多萬(wàn)商戶的線上業(yè)務(wù)全部停止，歷時(shí)一周才最終恢復(fù)數(shù)據(jù)。這個(gè)案例反映出一些企業(yè)對(duì)于運(yùn)維權(quán)限的管控存在巨大漏洞，如此危險(xiǎn)的刪庫(kù)操作，竟然在沒(méi)有二次確認(rèn)的情況下由一個(gè)人就可完成全程操作。

這只是企業(yè)在運(yùn)維過(guò)程中面臨的安全困境之一，當(dāng)前企業(yè)在運(yùn)維安全中通常還會(huì)面對(duì)用戶身份無(wú)法核實(shí)、系統(tǒng)賬號(hào)共用、審計(jì)困難以及操作訪問(wèn)難以控制等各種挑戰(zhàn)。

隨著日常生產(chǎn)、生活對(duì)信息化系統(tǒng)依賴程度逐漸增加，近些年運(yùn)維事故層出不窮。而由于運(yùn)維過(guò)程中賬號(hào)共用，范圍難以控制，密碼難以統(tǒng)一管理，人員權(quán)限分工不明確，導(dǎo)致事故發(fā)生后審計(jì)追查非常困難。

另一方面，我國(guó)針對(duì)數(shù)據(jù)安全逐步頒布了一系列法律法規(guī)，對(duì)企業(yè)提出了嚴(yán)格的安全合規(guī)要求。例如網(wǎng)絡(luò)安全法要求日志留存不少于 6 個(gè)月，必須采取網(wǎng)絡(luò)安全措施；《等?！?.0 要求企業(yè)必須對(duì)用戶身份進(jìn)行鑒權(quán)，如用戶訪問(wèn)的權(quán)限控制，最小化的授權(quán)原則，運(yùn)維操作完整審計(jì)，定期進(jìn)行數(shù)據(jù)備份等；運(yùn)營(yíng)商需滿足電信行業(yè)的規(guī)定；證券、金融行業(yè)需滿足銀監(jiān)、證監(jiān)相關(guān)要求；上市公司要滿足企業(yè)內(nèi)控要求。

面對(duì)運(yùn)維過(guò)程中的重重挑戰(zhàn)，京東智聯(lián)云經(jīng)過(guò)多年不斷探索與實(shí)踐，給出了自己的答案——運(yùn)維堡壘機(jī)。運(yùn)維堡壘機(jī)主要包含兩方面功能： 運(yùn)維管理和審計(jì)，它可以對(duì)運(yùn)維人員的運(yùn)維操作進(jìn)行統(tǒng)一身份認(rèn)證、統(tǒng)一資產(chǎn)管理、統(tǒng)一訪問(wèn)授權(quán)和全程運(yùn)維審計(jì)。

運(yùn)維堡壘機(jī)適用場(chǎng)景非常廣泛，可應(yīng)用于互聯(lián)網(wǎng)、金融、政府、企事業(yè)單位等幾乎所有需要安全運(yùn)維的企業(yè)或機(jī)構(gòu)。特別是今年初新冠肺炎疫情爆發(fā)后，很多企業(yè)要求員工在家遠(yuǎn)程辦公，在這種情況下對(duì)于企業(yè)運(yùn)維人員而言， VPN+運(yùn)維堡壘機(jī)無(wú)疑是最佳選擇。

提到運(yùn)維堡壘機(jī)，我們有必要回顧一下它的幾個(gè)重要發(fā)展階段。最初運(yùn)維堡壘機(jī)是以硬件形式出現(xiàn)的，優(yōu)點(diǎn)是自成體系。但是缺點(diǎn)也很明顯，產(chǎn)品比較固化，升級(jí)困難，拓展性較差。

直到 2000 年時(shí)，軟件堡壘機(jī)出現(xiàn)了，它解決了硬件堡壘機(jī)的缺陷，但云時(shí)代的到來(lái)，又對(duì)軟件堡壘機(jī)提出了一系列挑戰(zhàn)：

第一個(gè)挑戰(zhàn)是多云架構(gòu)。 云時(shí)代中目標(biāo)資產(chǎn)發(fā)生了很大變化，企業(yè) IT 資產(chǎn)快速云化。尤其是在當(dāng)前非監(jiān)管行業(yè)、非金融行業(yè)中云化的進(jìn)展很快。而隨著業(yè)務(wù)快速拓展，用戶總會(huì)面臨一些安全合規(guī)要求。這時(shí)候用戶會(huì)發(fā)現(xiàn)自己的資產(chǎn)越來(lái)越分散，管理起來(lái)越來(lái)越困難?；旌显频某掷m(xù)推廣也使得 IT 基礎(chǔ)設(shè)施的管理復(fù)雜度越來(lái)越高，企業(yè)的基礎(chǔ)設(shè)施包含傳統(tǒng)的 KVM、私有云、公有云等不同類型。堡壘機(jī)需要適配、納管不同的 IT 組件，并進(jìn)行統(tǒng)一安全審計(jì)。

第二個(gè)挑戰(zhàn)是資產(chǎn)管理方式發(fā)生改變。 傳統(tǒng)堡壘機(jī)通常是手工輸入，或者通過(guò)文本導(dǎo)入、掃描 IP 導(dǎo)入。而由于云時(shí)代網(wǎng)絡(luò)復(fù)雜度高，傳統(tǒng)堡壘機(jī)的網(wǎng)絡(luò)部署方式面臨巨大挑戰(zhàn)。云時(shí)代的資產(chǎn)通常分布在不同的云、不同的 VPC、不同的子網(wǎng)下面，堡壘機(jī)如何才能更好的適配這種網(wǎng)絡(luò)環(huán)境？

第三個(gè)挑戰(zhàn)是需要具備成熟的高可用容災(zāi)部署架構(gòu)。 高可用的分布式技術(shù)為支撐平臺(tái)正常運(yùn)行提供了關(guān)鍵技術(shù)支持，容災(zāi)系統(tǒng)在斷電、通訊失敗及軟硬件錯(cuò)誤時(shí)，依然要保證用戶數(shù)據(jù)的安全，并提供不間斷的應(yīng)用服務(wù)。堡壘機(jī)需要提供持續(xù)的可用性，并快速進(jìn)行容災(zāi)切換，保證企業(yè)內(nèi)部統(tǒng)一的運(yùn)維能力不間斷，有效支撐企業(yè)業(yè)務(wù)正常開(kāi)展。

第四個(gè)挑戰(zhàn)是需要支持水平擴(kuò)容。 目前企業(yè)虛擬資產(chǎn)是動(dòng)態(tài)變化的，隨著后續(xù)業(yè)務(wù)的增長(zhǎng)，資產(chǎn)數(shù)量也將持續(xù)增長(zhǎng)。龐大且快速增長(zhǎng)的 IT 資產(chǎn)需要堡壘機(jī)在資產(chǎn)納管方面更具可擴(kuò)展性，以應(yīng)對(duì)突發(fā)性業(yè)務(wù)需求。

面對(duì)云時(shí)代復(fù)雜的運(yùn)維場(chǎng)景和需求，京東智聯(lián)云在設(shè)計(jì)產(chǎn)品時(shí)制定了一條原則，即 “我們自己需要的堡壘機(jī)就是我們要做的堡壘機(jī)”。運(yùn)維堡壘機(jī)的產(chǎn)品需求來(lái)自整個(gè)京東智聯(lián)云數(shù)千個(gè)軟件工程師，在日常軟件開(kāi)發(fā)、上線、運(yùn)維過(guò)對(duì)于云計(jì)算的深入思考和未來(lái)發(fā)展趨勢(shì)的判斷。

基于這些考量，京東智聯(lián)云堡壘機(jī)的設(shè)計(jì)需要包含以下 4 方面功能：

第一，支持主流云廠商和私有云框架。

第二，可靠的安全保障機(jī)制。 安全是企業(yè)的生命線，必須作為首要核心要素加以考慮和保障。

第三，極致用戶體驗(yàn)。 京東是一家互聯(lián)網(wǎng)公司，這要求產(chǎn)品時(shí)刻要以互聯(lián)網(wǎng)產(chǎn)品的要求和體驗(yàn)進(jìn)行定位。堡壘機(jī)最好的體驗(yàn)應(yīng)該是用戶在開(kāi)發(fā)和運(yùn)維過(guò)程中雖然在使用堡壘機(jī)產(chǎn)品，但卻感受不到堡壘機(jī)的存在。

第四，支持一鍵部署。 京東智聯(lián)云運(yùn)維堡壘機(jī)可以支持分鐘級(jí)部署，能夠一鍵完成資產(chǎn)信息、用戶信息、賬戶信息的導(dǎo)入，從部署到正常使用簡(jiǎn)單快捷。

結(jié)合這些要求和產(chǎn)品設(shè)計(jì)原則，京東智聯(lián)云發(fā)現(xiàn)低耦合、分層、分布式架構(gòu)成為運(yùn)維堡壘機(jī)的最佳選擇，也是最優(yōu)選擇。

首先來(lái)看分層架構(gòu)，京東智聯(lián)云存儲(chǔ)層應(yīng)用了云硬盤(pán)、etcd、es、oss；數(shù)據(jù)控制層使用了K8S的api server；核心層是京東智聯(lián)云自研的API服務(wù)Bastion，用來(lái)進(jìn)行核心的鑒權(quán)、資產(chǎn)管理、用戶管理等一系列核心API管理。再上面是接入層，包含一個(gè)自研的用戶友好的SSH交互界面 Relay，前端提供的用戶管理操作界面，可通過(guò)瀏覽器進(jìn)行運(yùn)維界面操作的Web Teminar，這三個(gè)模塊共同為用戶提供了豐富的運(yùn)維入口。

該架構(gòu)中每一層都是解耦的，理論上都可以進(jìn)行模塊化的部署，根據(jù)業(yè)務(wù)需要每層可以做水平擴(kuò)展。當(dāng)前京東智聯(lián)云是將所有模塊集中到一個(gè)鏡像里做容器化部署，根據(jù)需求還可以擴(kuò)展部署的數(shù)量。例如可以 4 個(gè)容器、同一個(gè)鏡像組成一個(gè)高可用版本的實(shí)例。這個(gè)高可用版本的實(shí)例就是分布式、分地域部署的，下層的 etcd 也會(huì)組成一個(gè)集群，保證了整體架構(gòu)的高可用。整個(gè)架構(gòu)都是從云原生角度考量的，更加貼合云時(shí)代對(duì)于堡壘機(jī)的要求。

同時(shí)，京東智聯(lián)云運(yùn)維堡壘機(jī)也完全符合堡壘機(jī)對(duì)安全4A原則的設(shè)計(jì)：

第一，統(tǒng)一身份認(rèn)證。 用戶的角色、權(quán)限要進(jìn)行統(tǒng)一的管理，實(shí)現(xiàn)三權(quán)分立、各司其職；支持短信、Google 認(rèn)證、LDAP、AD 域等多種認(rèn)證方式，便于對(duì)接用戶已有運(yùn)維方式；支持雙因子驗(yàn)證；支持批量用戶管理，如通過(guò) IAM 接口批量導(dǎo)入子用戶，通過(guò)文件批量導(dǎo)入用戶，或是通過(guò)用戶組進(jìn)行用戶的分類管理。

第二，統(tǒng)一資產(chǎn)管理。 包含賬號(hào)、模塊化管理、支持密碼、公私鑰賬號(hào)、用戶無(wú)感知的 SSO 單點(diǎn)登陸，資產(chǎn)也支持批量導(dǎo)入和分組管理，可以根據(jù)主機(jī)組進(jìn)行授權(quán)。資產(chǎn)的賬號(hào)支持自動(dòng)改密，用戶通過(guò)設(shè)計(jì)改密計(jì)劃，定期定時(shí)進(jìn)行執(zhí)行。密碼改后用戶無(wú)感知，可以自動(dòng)登錄，解決了賬號(hào)管理困難的問(wèn)題，減輕了運(yùn)維管理工作量。

第三，統(tǒng)一訪問(wèn)授權(quán)。 用一句話解釋就是誰(shuí)在什么時(shí)間，從哪個(gè)地方訪問(wèn)了哪些機(jī)器，以及他在這臺(tái)機(jī)器上做了什么，沒(méi)做什么，做過(guò)什么。通過(guò)訪問(wèn)授權(quán)都可以確切地知道這個(gè)人是誰(shuí)。

第四，權(quán)限管理。 堡壘機(jī)的訪問(wèn)策略主要包含 IP 限制、訪問(wèn)時(shí)間段限制、高位命令限制、二次授權(quán)等。通過(guò)這些規(guī)則限制可以保證整個(gè)運(yùn)維過(guò)程中，用戶必須在被分配的權(quán)限下進(jìn)行操作，不會(huì)出現(xiàn)越權(quán)操作的情況，從而保證整體運(yùn)維工作的安全性。

最后是運(yùn)維全程審計(jì)。 運(yùn)維審計(jì)是保證運(yùn)維安全的最后一道防線，它通過(guò)全程的運(yùn)維審計(jì)，可以快速定位問(wèn)題，確定責(zé)任人。 這有助于快速解決問(wèn)題，恢復(fù)正常服務(wù)。全程運(yùn)維審計(jì)主要通過(guò)全程錄像、指令全程記錄和命令檢索三種方案實(shí)現(xiàn)。全程錄像的文件要可下載、可備份、可播放；指令全程記錄主要針對(duì)字符型的操作；命令檢索需要支持命令級(jí)別的全文檢索，這樣出現(xiàn)問(wèn)題時(shí)就可以進(jìn)行相關(guān)命令集的查詢、檢索，快速定位問(wèn)題所在。

結(jié)合京東智聯(lián)云堡壘機(jī)，京東智聯(lián)云內(nèi)部正在使用一套基于服務(wù)樹(shù)授權(quán)的機(jī)器認(rèn)證管理方案，一舉解決了傳統(tǒng)堡壘機(jī)角色權(quán)限管理的復(fù)雜性，以及堡壘機(jī)和運(yùn)維系統(tǒng)的隔離問(wèn)題。運(yùn)維人員可以在統(tǒng)一的操作入口同步用戶信息、決策信息以及資產(chǎn)信息，且全程錄屏，可追溯，符合 4A 標(biāo)準(zhǔn)的專業(yè)審計(jì)系統(tǒng)，支撐京東智聯(lián)云內(nèi)部開(kāi)發(fā)和運(yùn)維工作安全可控。

對(duì)外，京東智聯(lián)云為用戶提供了公有云產(chǎn)品與私有化方案兩種形式的方案。 京東智聯(lián)云的公有云架構(gòu)采用了第二代英特爾?至強(qiáng)?可擴(kuò)展平臺(tái)，可以獲得性能強(qiáng)勁、簡(jiǎn)單易用的云化基礎(chǔ)設(shè)施，降低上云復(fù)雜度，可用于構(gòu)建云化的統(tǒng)一數(shù)據(jù)平臺(tái)，為數(shù)據(jù)處理、分析和AI提供全面加速，還通過(guò)融合自動(dòng)化和智能化管理特性，助力實(shí)現(xiàn)云的彈性擴(kuò)展、穩(wěn)定可靠和降本增效。直接使用京東智聯(lián)云上的運(yùn)維堡壘機(jī)可以幫助企業(yè)立即開(kāi)啟云上的高效運(yùn)維。

通過(guò)京東智聯(lián)云私有化運(yùn)維堡壘機(jī)方案，香港某銀行構(gòu)建了完整、先進(jìn)的運(yùn)維審計(jì)管理體系。 借助堡壘機(jī)分布式部署方案，在本地 IDC 和多個(gè)公有云、私有云的分散資產(chǎn)實(shí)現(xiàn)了統(tǒng)一管理、統(tǒng)一授權(quán)和統(tǒng)一訪問(wèn)入口；同時(shí)，結(jié)合堡壘機(jī)分布式部署方案中自身的零插件訪問(wèn)能力，用戶可以在任何地方僅使用主流瀏覽器就能夠簡(jiǎn)單、高效地訪問(wèn)主機(jī)資產(chǎn)。

京東智聯(lián)云運(yùn)維堡壘機(jī)良好的運(yùn)維服務(wù)賦予了該銀行運(yùn)維審計(jì)管理系統(tǒng)可持續(xù)的平臺(tái)演進(jìn)能力，該銀行客戶可以及時(shí)獲得最新軟件版本和軟件補(bǔ)丁升級(jí)服務(wù)，并且在第一時(shí)間獲得原廠的故障排查、緊急救助等專業(yè)服務(wù)，系統(tǒng)的穩(wěn)定性和安全性得到有效保障。

銀行在金融領(lǐng)域中除運(yùn)維安全需要考量外，還需考慮風(fēng)控、信貸、營(yíng)銷(xiāo)、技術(shù)基礎(chǔ)設(shè)置等多種等因素。作為最具產(chǎn)業(yè)屬性的技術(shù)服務(wù)商，京東智聯(lián)云致力于打造安全、可信、智能的供應(yīng)鏈金融體系生態(tài)。

在風(fēng)控領(lǐng)域， 京東智聯(lián)云以京東與外部大數(shù)據(jù)為依托，基于大數(shù)據(jù)、人工智能技術(shù)與算法為持牌消金、銀行機(jī)構(gòu)、小額分期信貸等企業(yè)機(jī)構(gòu)提供一套完整的風(fēng)控解決方案體系。并面向城商行、農(nóng)商行為主題的中小銀行客戶，消費(fèi)金融、信托等金融機(jī)構(gòu)，提供一站式全流程線上信貸綜合服務(wù)，快速提升線上信貸資產(chǎn)質(zhì)量的同時(shí)，建立主動(dòng)風(fēng)控能力，該系統(tǒng)適用于零售信貸業(yè)務(wù)場(chǎng)景全生命周期的風(fēng)控管理。

此外，京東智聯(lián)云還源于京東體系多年的能力沉淀與最佳實(shí)踐，面向金融行業(yè)提供一站式研發(fā)運(yùn)營(yíng)提效平臺(tái)，幫忙客戶構(gòu)建研發(fā)運(yùn)營(yíng)一體化框架，覆蓋研發(fā)測(cè)試運(yùn)維全流程，實(shí)現(xiàn)研發(fā)資源高效整合、開(kāi)發(fā)效率和交付質(zhì)量提升，助力金融企業(yè)效能提升和業(yè)務(wù)創(chuàng)新。

點(diǎn)撃" 閱讀原文 "，馬上了解京東云堡壘機(jī)及相關(guān)運(yùn)維產(chǎn)品! 

當(dāng)前文章：如何防止刪庫(kù)跑路？運(yùn)維堡壘機(jī)高效安全運(yùn)維設(shè)計(jì)與實(shí)踐落地
文章鏈接：http://chinadenli.net/article16/pddhgg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供定制開(kāi)發(fā)、App設(shè)計(jì)、網(wǎng)站設(shè)計(jì)、網(wǎng)站改版、搜索引擎優(yōu)化、

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)