天天看點

案例研究|JumpServer堡壘機為金山辦公資訊安全保駕護航

金山辦公(KINGSOFT OFFICE)是中國辦公軟體的領航者,其産品體系以旗艦産品WPS Office為核心,輔以金山文檔、金山協作及金山詞霸等産品,形成了全方位、高效能的辦公生态系統,在中國乃至全球範圍内擁有龐大的使用者基礎。

案例研究|JumpServer堡壘機為金山辦公資訊安全保駕護航

作為一家辦公軟體和服務提供商,金山辦公嚴格把控資料安全與隐私保護,在確定提升工作效率的同時,積極構築資料安全屏障。其内部的雲協作平台、KSOP(Kingsoft Operations)等部門早已前瞻性地引入了JumpServer開源堡壘機社群版這一領先的運維安全審計解決方案,将其作為公司運維安全架構的基石,建構起全方位、多層次的安全防護體系。這一舉措不僅極大提升了公司内部辦公環境的安全性,也為公司在保障客戶資料安全性方面赢得了廣泛贊譽。

新目标:建構穩固安全的研發和運維環境

在建構公司研發安全管控體系的征途上,金山辦公力求在強化安全防護與提升工作效率之間找到完美的契合點,以保障運維流程的順暢無阻。金山辦公的IT運維團隊秉持着“研發資料安全為基,效率提升并行不悖”的核心理念,創新性地提出并遵循“場景定制化、資料驅動化、流程規範化”的進階政策。

在這一背景下,随着公司研發運維安全架構的不斷深化與完善,金山辦公的運維團隊對堡壘機系統的性能、執行效率以及實際應用的便捷性提出了更高的要求,并且希望基于JumpServer堡壘機打造出一套高效且安全的研發安全管理架構。

1. 通過RDP用戶端連接配接Windows雲桌面,獲得更優質的使用體驗

JumpServer社群版通過其創新性的純浏覽器Web Terminal接入方式,極大地簡化了資産連接配接的流程,不僅讓使用者的操作更便捷,同時也顯著降低了系統的維護成本。然而,在面向特定需求場景——例如金山辦公的研發團隊在使用遠端Windows研發雲桌面進行高效協作與深入開發時,研發團隊對于視覺畫面的清晰度和操作體驗提出了更高的要求。

目前JumpServer社群版所提供的Web Terminal技術,在連接配接Windows研發雲桌面時,盡管具備基本的連接配接能力,但在滿足這些進階需求方面尚顯不足,難以充分支撐金山辦公研發人員的遠端開發工作;

2. 對接内部CMDB系統,提升資産管理效率

金山辦公依托其先進的混合雲技術架構,在金山雲、阿裡雲及華為雲等雲平台上部署了龐大的資産體系。這一混合雲架構雖賦予了公司高度的靈活性與可擴充性,卻也帶來了較為頻繁的資産上線/下線的管理操作需求。

為了確定資産資料的精準無誤及實時同步,金山辦公目前采取的措施是定期安排人員登入内部CMDB(配置管理資料庫)控制系統,手動統計新增與淘汰的機器詳情,并在JumpServer社群版的資産管理清單中逐一進行更新操作。這種高度依賴人工的資産管理模式,不僅耗時費力,難以保證時效性和準确性,同時也降低了整體的運維效率,是以金山辦公的運維團隊需要找到更加高效的資産管理方式;

3. 對接内部工單體系,提升協同能力

金山辦公内部建立了一套成熟且完善的工單管理系統,旨在高效響應使用者對伺服器資源的申請與配置需求。然而,在目前的操作流程中,當使用者通過内部工單體系提出伺服器資源使用申請時,這一請求往往需要經過堡壘機管理者的人工介入,以手動方式完成授權配置設定的工作。這種模式雖然在一定程度上確定了流程的嚴謹性,但也不可避免地存在着實時性不足、授權準确性受限于人為因素,以及人力成本高昂等問題。

随着公司業務規模的不斷擴大與資産使用需求的日益增長,這種傳統的手動授權模式已經難以滿足公司的日常需求,需要找到更加高效、精準和自動化的資産管理方案。

建設:基于JumpServer企業版的實踐

面對上述新出現的需求,金山辦公選擇将JumpServer堡壘機從社群版更新至企業版。同時,通過深度內建JumpServer企業版的全方位功能,為研發安全管理體系的建構奠定了基礎。

JumpServer企業版所包含的X-Pack增強包不僅了提供了強大的安全通路控制、精細化的權限管理以及詳盡的審計追蹤功能,還融入了智能化運維工具與自動化流程,極大地增強了金山辦公IT運維團隊在管理上的靈活性、安全性和規範性。這一內建方案使得運維人員能夠迅速響應各種安全威脅與運維需求,以更高效和精準的方式處理運維相關事務,同時確定所有操作都符合既定的安全規範與流程标準。

借助JumpServer企業版,金山辦公的IT運維團隊顯著提升了運維管理的效能,為公司的研發創新與安全營運提供了強有力的支撐。金山辦公基于JumpServer企業版實作的關鍵性改進包括:

■ 建構統一的運維開發入口

JumpServer企業版支援直接調用本地RDP用戶端(MSTSC,即微軟遠端桌面連接配接),後者專門為高效連接配接與管理Windows類型資産而設計。這一特性確定了研發人員在接入Windows研發雲桌面時,能夠無縫利用本地RDP用戶端的強大能力,不僅讓遠端桌面會話的畫面品質達到近乎本地操作的清晰度,還避免了傳統Web Terminal可能會遇到的快捷鍵沖突問題,有效提升遠端操作的流暢度與使用者體驗。

金山辦公将日常研發工作中不可或缺的研發雲桌面全面納入到JumpServer的統一管理體系中,并且充分利用RDP用戶端的連接配接優勢,讓研發人員能夠直接通過熟悉的RDP界面通路雲桌面,開展各類研發活動。相較于Web Terminal方式,RDP用戶端連接配接方式不僅提供了更為清晰、流暢的視覺與操作體驗,契合研發人員原有的操作習慣,同時也確定了研發團隊的遠端操作都受到了嚴格的安全審計與監控;

■ 多雲資産自動同步

JumpServer企業版擁有完善的API接口體系,具備了高度的內建化與自動化能力。通過精心設計的API接口,JumpServer堡壘機能夠與CMDB系統實作無縫關聯,這一創新機制極大地簡化了資産管理流程。具體來說,JumpServer能夠自動探測并識别CMDB中新增或變更的資産資訊,實作資産的自動發現與錄入,提高了資産管理的時效性和準确性。

一旦資産資訊成功同步至JumpServer平台,運維人員即可在該平台上靈活設定詳盡的授權規則,確定每個使用者僅能通路其被授權範圍内的資産。使用者在獲得對應的授權後,便可通過JumpServer對同步的資産執行高效的運維操作,整個操作流程流暢、安全且易于管理,為企業的IT運維工作帶來了充分的便利性。這種精細化的權限控制機制,不僅保障了企業資源的安全性,還大幅提升了團隊協作的效率;

案例研究|JumpServer堡壘機為金山辦公資訊安全保駕護航

▲圖1 金山辦公JumpServer多雲資産自動同步

■ 統一工單體系,規範資産申請流程

金山辦公内部已經建構起了一套高效且成熟的工單管理體系,鑒于其完善性與适用性,公司決定關閉JumpServer原有的工單管理子產品,轉而通過深度對接JumpServer的API接口,無縫內建内部流程工單系統。這一舉措不僅實作了從資産申請、審批到授權的全鍊路自動化流程,顯著提升了内部工作效率,同時還巧妙地保留了員工長期形成的使用習慣,有效降低了跨部門協作過程中的溝通成本與時間損耗。

同時,這一政策也将堡壘機系統深度融入到公司整體運維管理體系中,不僅增強了系統的安全性與合規性,還顯著提升了運維團隊的整體協同效率與管理水準。當使用者遇到沒有資産使用權限的情況時,使用者可以便捷地通過内部工單系統送出資産使用申請,流程透明高效,管理者在接收到申請後,可以直接在統一的工單管理界面上審查并修改申請詳情,確定資訊的準确無誤。

一旦申請審批通過,系統将立即自動授予使用者相應的資産使用權限,實作了權限配置設定的即時性與準确性。同時,系統還具備權限到期自動回收機制,徹底免除了管理者手動回收權限的繁瑣操作,確定了系統資源的高效循環利用與管理的規範性。

案例研究|JumpServer堡壘機為金山辦公資訊安全保駕護航

▲圖2 金山辦公JumpServer工單管理體系

收益:JumpServer帶來的業務價值

JumpServer堡壘機企業版為金山辦公帶來了多方面的業務價值:

■ 提升運維效率和使用者體驗

JumpServer實作了對Windows資産、Linux伺服器及網絡安全裝置等多元化主機資産的集中管理,同時也高效對接金山辦公内部的CMDB系統,實作了資産資訊的自動化同步與實時更新,極大地簡化了運維管理流程,減少了人工幹預,顯著提升了運維團隊的工作效率與業務響應速度。

在研發與運維場景中,JumpServer支援通過雲桌面環境進行操作,特别是當使用者采用RDP用戶端連接配接方式時,使用者體驗得到了質的飛躍。RDP用戶端連接配接方式以其低延遲、高畫質的特點,確定了遠端操作過程的流暢性與清晰度,無論是複雜的系統配置調整還是精細的代碼編寫,都能實作如同本地操作般的順暢體驗。這一特性不僅大幅提升了運維人員的故障排查與解決效率,更為研發人員創造了一個高效、穩定的開發環境,有效助力産品疊代與技術創新;

■ 優化協同流程,實作工單高效流轉

JumpServer的擴充能力展現在其靈活的API接口體系上。通過深度內建JumpServer的API接口,金山辦公能夠無縫地将資産申請與授權流程與内部工單管理體系緊密相連,建構起一個高效、自動化的工作流程。這一舉措不僅保留了員工在工單申請與處理方面的原有習慣,還極大地簡化了資産授權的複雜流程,實作了從工單送出到資産授權的全鍊路自動化。

具體而言,當員工通過内部工單系統送出資産通路請求時,系統能夠自動觸發JumpServer的API接口,将請求資訊傳遞給JumpServer進行自動化處理。JumpServer根據預設的授權政策與工單内容進行比對,快速完成資産的自動化授權,并将授權結果回報回工單系統,形成閉環管理。該過程無需人工幹預,大大提高了授權效率,減少了人為錯誤,確定了資産通路的安全性與合規性。

此外,JumpServer還允許金山辦公根據實際需求自定義工單授權政策,靈活适應不同的業務場景與管理要求;

■ 滿足未來發展規劃

JumpServer正在融入金山辦公的數字化轉型程序中。在深度使用JumpServer的過程中,從社群版到企業版,再到不斷疊代更新的新版本,JumpServer持續為金山辦公帶來更加便捷、安全且高效的操作體驗。持續的版本疊代不僅豐富了堡壘機的功能性,還有效提升了系統的整體安全性與穩定性,確定了金山辦公資産管理的無憂運作。

繼續閱讀