企业


堡垒机集群案例

互联网行业


项目背景

某互联网企业是知名的上市公司,庞大的IT系统拥有数万台服务器,开发和运维人员近3000人。IT运维也经历了多个阶段,目前已经全面进入了自动化运维阶段,大部分的部署、上线、更新、备份、监控等都实现了自动化作业。


堡垒机是目前IT运维安全控制最重要的解决方案。该企业早在2012年就引入了商道元的堡垒机方案。在推行堡垒机的五年时间里,曾经遇到很多挑战和困难,但最终还是在与用户的紧密合作中解决了。目前数万台服务器已经全面纳入堡垒机的管理,所有IT运维人员和开发人员的操作都必须经过堡垒机进行控制和审计,做到了所有IT操作过程可见、可控、更安全。



解决方案

堡垒机应用也是一个循序渐进的过程,在2012年该企业只是采购一台堡垒机进行尝试,后来随着应用的成熟,逐步扩展到10台;随着业务的增长,对堡垒机的可用性和性能要求也越来越高。目前该企业的主机已经达到数万台,并在持续增加,并发的SSH会话数常规都会在2000条左右,最高峰超过6000条,所以必须组建集群来扩展性能。


堡垒机自身的稳定性也越来越重要,特别是数据中心随着业务的发展而不断增加,又衍生了异地灾备的需求。


结合公司的网络环境,商道元提供的堡垒机方案如下:


该方案的几个核心点是:

一、多地机房所有堡垒机配置进行自动同步,使其具备同样的能力,登录任意堡垒机都可以进行配置和运维;

二、每个机房的HAproxy将自己辖区多台堡垒机做成集群,并执行负载均衡任务;

三、多地机房的HAproxy的IP地址都注册到一个域名下;

四、DNS实现智能解析,根据源IP地址选择离自己最近的HAproxy集群IP;

五、堡垒机可以随着业务的增长进行扩展,满足高可用和高性能要求。




方案特点

3.1 覆盖最全的运维协议

让运维安全无死角

支持管理Linux/Unix服务器、Windows服务器、网络设备(如思科/H3C/华为等)、文件服务器、Web系统、数据库服务器、虚拟服务器、远程管理服务器等等。堡垒机兼容的运维协议更全面,实现“统一管理”的要求。


3.2 运维方式丰富多样

适用自动化运维等复杂场景

堡垒机适应不同的运维人员的运维习惯,兼容多种客户端工具(如Xshell、SecureCRT、mstsc、VNC Viewer、Putty、Winscp、FlashFXP、SecureFX、OpenSSH等)和更加灵活的运维方式:

☞ Web登录运维:适用于习惯从Web页面登录目标主机的运维人员;

☞ 客户端登录运维:适用于习惯使用本地客户端工具登录堡垒机再登录目标主机的运维人员;

☞ 批量自动登录运维:适用于习惯一次性登录多台目标主机的运维人员;

☞ 网关透明登录运维:适用于习惯使用本地客户端工具直接登录目标主机的运维人员;

☞ OpenSSH代理登录运维:适用于习惯用苹果系统、安卓系统、Ubuntu、Linux/Unix的PC终端登录目标主机的运维人员,以及自动化运维等复杂场景。


3.3 自动学习、自动授权

大大减轻管理员的配置工作

商道元合作商家研发了一套自动学习技术:自动收集主机的IP、协议、端口号、账户、密码等信息,并且可以学习到运维人员的权限关系,进一步实现自动授权。特别适用于前期对授权关系不清晰、资产信息不完整的场景。


运维人员只需通过堡垒机成功登录一次目标主机即可自动录入主机信息,这大大减轻了管理员配置主机信息、用户与主机关系的工作量。



3.4 文件传输审计

让数据窃取行为无藏身之地

作为运维审计系统,审计是最终目标;审计内容的完整体现了产品的审计能力。


不仅实现了对所有操作会话的在线监控、实时阻断、日志回放、起止时间、来源用户、来源IP、目标设备、协议/应用类型、命令记录、操作内容(如对文件的上传、下载、删除、修改等操作)等行为记录,还实现了对SFTP/FTP/SCP/RDP/RZ/SZ传输的文件完整备份,为上传恶意文件、拖库、窃取数据等危险行为起到了查询依据。


3.5 一键生产合规报表

省心又省力

“让审计更有价值”是安恒信息审计类产品一致遵从的理念,同样堡垒机也提供了丰富的统计报表,对运维操作以及系统自身操作的行为进行各类统计和多维度分析。主要具备以下几个特点:


❤ 运维行为分析、系统操作两方面报表,从运维时长、命令、文件传输、访问源、运维时间特性、操作重要性等角度进行细粒度分析。


❤ 一键导出符合等级保护、赛班斯SOX法案、企业内控等法律法规的综合报表,并自动发送报表给管理员。




方案收益

★ 与CMDB资产管理系统API对接,快速完成资产添加和授权;

★ 最小改变用户习惯,完美兼容批量运维、自动化运维等高级特性;

★ 异地负载均衡部署解决灾备和高并发难题;

★ 稳定的功能、大量易用性设计,保障了堡垒机能够迅速在全公司推广使用;

★ 灵活便捷的身份鉴别机制,提高访问来源的安全性;

★ 细粒度审计日志,帮助事后追踪定位,做到有效的避责。


目前,商道元携手360、齐治、天融信等品牌运维堡垒机为用户提供云运维安全一体化解决方案,详情可咨询商道元服务热线:400 160 9618



Copyright © 深圳市商道元信息技术有限公司 版权所有粤ICP备11006019号-1