案例研究|腾讯音乐娱乐集团与JumpServer共探安全运维审计解决方案

近年来,得益于人民消费水平的提升以及版权意识的加强,用户付费意愿和在线用户数量持续增长,中国在线音乐市场呈现出稳定增长的发展态势。随着腾讯音乐于2018年12月上市,进一步推动了中国在线音乐市场的发展。

腾讯音乐娱乐集团(以下简称为“TME”)作为中国在线音乐娱乐服务的开拓者,主要提供在线音乐和以音乐为核心的社交娱乐两大服务。TME在中国有着广泛的用户基础,总月活用户数超过8亿。TME一直致力于用科技创造音乐无限可能,让更多的用户能够参与到音乐的创作、欣赏、分享和互动中。
在这里插入图片描述

为了助力公司持续创新,提升数据安全可控与高效运维能力,TME需要构建更加灵活、安全以及自主可控的运维安全审计体系,以高效管理TME不断扩张的IT基础设施,解决其统一访问鉴权及安全审计的问题。

期望:数据安全可控与资产高效运维

随着资产规模的不断扩张,对比原有的运维安全审计方案,TME的IT安全运维团队对运维审计管理系统的运维体验、开放性和可扩展性提出了更高的要求。因此,也催生了TME对于新一代堡垒机的迫切需求。

经过严谨、长期的调研和验证,TME的IT运维团队最终选择了JumpServer堡垒机,主要原因有以下几个方面:

■ 更友好的运维操作体验

TME原有的运维审计平台只提供CLI命令行的管理界面,无论是运维管理还是访问连接,使用起来都不够友好。JumpServer不仅拥有各种传统协议客户端直连的良好使用体验,还为用户提供了更加贴近国人使用习惯的纯浏览器管理界面。同时,JumpServer简约直白的视图布局,直观丰富的数据展示,也大幅提升了用户的使用效率;

■ 更多样的资产类型纳管

除了常规的Linux服务器资产纳管以外,JumpServer还支持纳管更多类型的数据库、容器云以及应用软件系统等。JumpServer通过SQL级的审计方式和重要软件系统留痕审计,来满足DBA(数据库管理员)和泛IT人群的使用需求;

■ 更开放的集成解决方案

堡垒机作为企业IT信息安全系统的重要一环,既要考虑安全管理的便利性,又要兼顾用户使用的友好度,这也是企业在构建一体化安全运维体系的过程中不可或缺的两个要素。

传统软硬一体化的安全产品形态对于集成解决方案而言正在成为一种限制和束缚,JumpServer堡垒机“开源软件产品+原厂专业服务保障”的组合为企业构建自主可控解决方案提供了坚实的基础。

实现:分权提权运营与协同运维体系并行

账号是访问资产的登录凭证。资产数据的绝对安全不仅仅依赖于堡垒机在事前、事中、事后每个阶段提供的预防监控审计能力,也应该考虑在资产系统层面进行账号权限隔离的设计。

面向不同的使用人员、场景和环境,需要合理地设计账号分权提权运营方案来满足企业日常运维需求,以及安全管理的要求。

在JumpServer的“账号管理”模块中,TME的IT运维团队将每台服务器资产的账号凭证分为“特权用户”、“只读用户”、“App用户”以及“高权用户”,数据库资产又分为“程序账号”和“个人账号”。根据实际人员业务的需要,管理员提前预置规范的资产授权规则,在紧急或特殊情况下,配合JumpServer授权规则更新和工单申请功能来实现用户的账号提权需求。

同时,基于JumpServer的账号收集、账号改密、账号备份等功能,也为资产账号凭证的安全性提供了持续、有效的安全保护。
在这里插入图片描述

▲图1 TME分权提权运营架构

在协同运维体系中,从登录访问认证,到人员、组织、资产的数据同步,流程的规范、体系化,以及广泛类型的资产运维审计等需求出发,TME的IT运维团队将持续完善与JumpServer堡垒机的集成解决方案,为托管的服务器、数据库、云服务以及重要系统提供统一的安全管理保障。

解决方案特点:

1.集中统一的鉴权认证

JumpServer支持单点登录认证方式,TME的IT运维团队基于OAuth2.0协议将自研的统一认证系统与JumpServer进行打通,通过统一的用户体系保障,满足安全合规要求,减轻运维管理的压力;

2.广泛资产类型的自动同步

通过调用JumpServer堡垒机的API接口与CMDB(配置管理数据库)系统进行联动,在JumpServer支持纳管主机、网络设备、数据库、云服务、软件应用等多种资产类型的前提下,实现与CMDB资产信息的数据同步;

3.高效的协同工单流转

在组织协同方面,基于JumpServer堡垒机灵活的资产授权体系,TME的IT运维团队打通内部流程工单系统,实现了各类资产的自动化授权。在保留员工原有使用习惯的基础上,减少了跨部门之间的沟通成本,同时又无缝融入堡垒机系统,提高了公司整体协同运维体系的管理效率和水平;

4.资产连接方式的管理

JumpServer提供“Web接入+原生客户端”双重访问模式,面向管理员提供浏览器的访问途径,资产管理和授权管理做到了真正的简单、易用。

面向普通用户,JumpServer提供了原生客户端访问方式,一方面维护了用户原有的使用习惯,另一方面,JumpServer也支持自定义认证逻辑,实现了TME独有的“Pin+Token”统一登录认证方式,从细小源头规避风险。
在这里插入图片描述

▲图2 TME协同运维体系

规划:部署架构全面升级

当前TME正在规划将JumpSever原有的云主机集群的部署模式升级为Kubernetes集群部署方案,为未来资产规模的迅速增加提前做好准备,提供更加稳定、高效的运行环境。

收益:极佳使用体验和专业贴身服务

JumpServer堡垒机的上线运营,帮助TME的IT安全运维团队获得以下几个方面的收益:

1.交互使用全新体验

区别于传统堡垒机的产品设计,JumpServer更强调用户的访问体验。考虑到用户的真实反馈,JumpServer堡垒机设计了更贴合用户使用习惯和场景的访问方式,在降低管理员运维工作量的同时,也让最终用户能够遵循他们最为熟悉的操作方式;

2.资产数据全面托管

在JumpServer堡垒机广泛资产类型的支持下,结合应用虚拟化方案,不仅为资产的集中管理提供了全面的安全审计保障,也为企业各种软件系统中用户所做的重要操作提供了审计依据;

3.原厂支持合作探索

JumpServer堡垒机坚持产品的每月迭代,持续提升产品在企业不同应用场景下的相关能力。同时,JumpServer的研发和客户成功团队高度重视用户的需求、建议和疑问,随时响应。在探索集成解决方案的过程中,JumpServer的客户成功团队也及时提供专业、有效的建议方案,双方共同探索更加符合实际业务场景和需求的安全运维审计解决方案。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/164817.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Arrays.asList() 和 List.of() 的列表之争

1. 概述 有时在Java中,为了方便,我们需要创建一个小列表或将数组转换为列表。Java 为此提供了一些辅助方法。 在本文中,我们将比较初始化小型临时数组的两种主要方法:List.of()和 Array.asList()。 2. Arrays.asList() Java 自…

zabbix监控安装-linux

zabbix6.4中文文档1. 简介 (zabbix.com) Zabbix 是一个企业级的开源分布式监控解决方案。 1.zabbix结构体系 Server: server 是存储所有配置、统计和操作数据的中央存储库。 Proxy: zabbix proxy可以代替 Zabbix server 收集性能和可用性数据。p…

HTML使用canvas绘制海报(网络图片)

生成前&#xff1a; 生成后&#xff1a; <!DOCTYPE html> <html><head><meta charset"utf-8"><title>媒体参会嘉宾邀请函生成链接</title><link rel"stylesheet" href"https://cdn.jsdelivr.net/npm/vant2.10…

数据结构-Prim算法构造无向图的最小生成树

引子&#xff1a; 无向图如果是一个网&#xff0c;那么它的所有的生成树中必有一颗生成树的边的权值之和是最小的&#xff0c;我们称 这颗权值和最小的树为&#xff1a;“最小生成树”&#xff08;MST&#xff09;。 其中&#xff0c;一棵树的代价就是树中所有权值之和。 而…

【C/PTA】循环结构进阶练习(三)

本文结合PTA专项练习带领读者掌握循环结构&#xff0c;刷题为主注释为辅&#xff0c;在代码中理解思路&#xff0c;其它不做过多叙述。 文章目录 7-1 循环-Fibonacci数列的运算7-2 循环-找数字7-3 循环-小智的捕食计划7-4 循环-抱大腿7-5 循环-跳&#xff01;7-6 循环-生气的峰…

后期混音效果全套插件Waves 14 Complete mac中文版新增功能

Waves 14 Complete for Mac是一款后期混音效果全套插件&#xff0c;Waves音频插件,内置混响&#xff0c;压缩&#xff0c;降噪和EQ等要素到建模的模拟硬件&#xff0c;环绕声和后期制作工具&#xff0c;包含全套音频效果器&#xff0c;是可以让你使用所有功能。Waves 14 Comple…

基于斑马算法的无人机航迹规划-附代码

基于斑马算法的无人机航迹规划 文章目录 基于斑马算法的无人机航迹规划1.斑马搜索算法2.无人机飞行环境建模3.无人机航迹规划建模4.实验结果4.1地图创建4.2 航迹规划 5.参考文献6.Matlab代码 摘要&#xff1a;本文主要介绍利用斑马算法来优化无人机航迹规划。 1.斑马搜索算法 …

不学51直接学stm32可以吗?学stm32需要哪些基础?

不学51直接学stm32可以吗&#xff1f;学stm32需要哪些基础&#xff1f; 不管那些大佬技术多么牛逼&#xff0c;大多数入门都是从51单片机开始。 最近有一些入门的小伙伴问我说看到同学都从直接从STM32开始干了。最近很多小伙伴找我&#xff0c;说想要一些stm32的资料&#xff…

突破性技术!开源多模态模型—MiniGPT-5

多模态生成一直是OpenAI、微软、百度等科技巨头的重要研究领域&#xff0c;但如何实现连贯的文本和相关图像是一个棘手的难题。 为了突破技术瓶颈&#xff0c;加州大学圣克鲁斯分校研发了MiniGPT-5模型&#xff0c;并提出了全新技术概念“Generative Vokens "&#xff0c…

Scala语言使用Selenium库编写网络爬虫

目录 一、引言 二、环境准备 三、爬虫程序设计 1、导入必要的库和包 2、启动浏览器驱动程序 3、抓取网页内容 4. 提取特定信息 5. 数据存储和处理 四、优化和扩展 五、结语 一、引言 网络爬虫是一种自动抓取互联网信息的程序。它们按照一定的规则和算法&#xff0c;…

大语言模型(LLM)综述(六):大型语言模型的基准和评估

A Survey of Large Language Models 前言7 CAPACITY AND EVALUATION7.1 基本能力7.1.1 语言生成7.1.2 知识利用7.1.3 复杂推理 7.2 高级能力7.2.1 人类对齐7.2.2 与外部环境的交互7.2.3 工具操作 7.3 基准和评估方法7.3.1 综合评价基准7.3.2 评估方法 7.4 实证评估7.4.1 实验设…

Python批量导入及导出项目中所安装的类库包到.txt文件(补充)

Python批量导入及导出项目中所安装的类库包到.txt文件 生成requirements文件 建议使用&#xff0c;该方式形成文档最简洁&#xff1a; pip list --formatfreeze > requirements.txt