亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
  • 首頁 > 
  • 教程 > 
  • 服務器 > 
  • 如何防止刪庫跑路?運維堡壘機高效安全運維設計與實踐落地

如何防止刪庫跑路?運維堡壘機高效安全運維設計與實踐落地

發布時間:2020-08-10 04:33:04 來源:ITPUB博客 閱讀:201 作者:京東云技術新知 欄目:服務器

如何防止刪庫跑路?運維堡壘機高效安全運維設計與實踐落地

在剛剛結束的 2020 全球新一代軟件工程線上峰會上,有著近七年自動化運維平臺研發經驗的京東智聯云產品架構師任龍濤,分享了 《運維堡壘機高效安全運維設計與實踐落地》 議題。本篇文章將為大家回顧本次精彩分享,深入解析京東智聯云高效安全運維過程中的問題,以及為解決這些問題所做的探索和落地實踐。

一個程序員,憑一己之力,刪除自家公司數據庫,市值縮水近 24 億元,直接經濟損失達到 1.5 億元。

這不是段子,是真實發生在我們身邊的故事。該公司研發中心工作人員通過其個人 API 登錄公司內網的跳板機后,對生產環境進行了惡意破壞,導致旗下用戶小程序全線宕機,300 多萬商戶的線上業務全部停止,歷時一周才最終恢復數據。這個案例反映出一些企業對于運維權限的管控存在巨大漏洞,如此危險的刪庫操作,竟然在沒有二次確認的情況下由一個人就可完成全程操作。

這只是企業在運維過程中面臨的安全困境之一,當前企業在運維安全中通常還會面對用戶身份無法核實、系統賬號共用、審計困難以及操作訪問難以控制等各種挑戰。

隨著日常生產、生活對信息化系統依賴程度逐漸增加,近些年運維事故層出不窮。而由于運維過程中賬號共用,范圍難以控制,密碼難以統一管理,人員權限分工不明確,導致事故發生后審計追查非常困難。

另一方面,我國針對數據安全逐步頒布了一系列法律法規,對企業提出了嚴格的安全合規要求。例如網絡安全法要求日志留存不少于 6 個月,必須采取網絡安全措施;《等保》2.0 要求企業必須對用戶身份進行鑒權,如用戶訪問的權限控制,最小化的授權原則,運維操作完整審計,定期進行數據備份等;運營商需滿足電信行業的規定;證券、金融行業需滿足銀監、證監相關要求;上市公司要滿足企業內控要求。

如何防止刪庫跑路?運維堡壘機高效安全運維設計與實踐落地

面對運維過程中的重重挑戰,京東智聯云經過多年不斷探索與實踐,給出了自己的答案——運維堡壘機。運維堡壘機主要包含兩方面功能: 運維管理和審計,它可以對運維人員的運維操作進行統一身份認證、統一資產管理、統一訪問授權和全程運維審計。

如何防止刪庫跑路?運維堡壘機高效安全運維設計與實踐落地

運維堡壘機適用場景非常廣泛,可應用于互聯網、金融、政府、企事業單位等幾乎所有需要安全運維的企業或機構。特別是今年初新冠肺炎疫情爆發后,很多企業要求員工在家遠程辦公,在這種情況下對于企業運維人員而言, VPN+運維堡壘機無疑是最佳選擇。

如何防止刪庫跑路?運維堡壘機高效安全運維設計與實踐落地

提到運維堡壘機,我們有必要回顧一下它的幾個重要發展階段。最初運維堡壘機是以硬件形式出現的,優點是自成體系。但是缺點也很明顯,產品比較固化,升級困難,拓展性較差。

直到 2000 年時,軟件堡壘機出現了,它解決了硬件堡壘機的缺陷,但云時代的到來,又對軟件堡壘機提出了一系列挑戰:

如何防止刪庫跑路?運維堡壘機高效安全運維設計與實踐落地

第一個挑戰是多云架構。 云時代中目標資產發生了很大變化,企業 IT 資產快速云化。尤其是在當前非監管行業、非金融行業中云化的進展很快。而隨著業務快速拓展,用戶總會面臨一些安全合規要求。這時候用戶會發現自己的資產越來越分散,管理起來越來越困難。混合云的持續推廣也使得 IT 基礎設施的管理復雜度越來越高,企業的基礎設施包含傳統的 KVM、私有云、公有云等不同類型。堡壘機需要適配、納管不同的 IT 組件,并進行統一安全審計。

第二個挑戰是資產管理方式發生改變。 傳統堡壘機通常是手工輸入,或者通過文本導入、掃描 IP 導入。而由于云時代網絡復雜度高,傳統堡壘機的網絡部署方式面臨巨大挑戰。云時代的資產通常分布在不同的云、不同的 VPC、不同的子網下面,堡壘機如何才能更好的適配這種網絡環境?

第三個挑戰是需要具備成熟的高可用容災部署架構。 高可用的分布式技術為支撐平臺正常運行提供了關鍵技術支持,容災系統在斷電、通訊失敗及軟硬件錯誤時,依然要保證用戶數據的安全,并提供不間斷的應用服務。堡壘機需要提供持續的可用性,并快速進行容災切換,保證企業內部統一的運維能力不間斷,有效支撐企業業務正常開展。

第四個挑戰是需要支持水平擴容。 目前企業虛擬資產是動態變化的,隨著后續業務的增長,資產數量也將持續增長。龐大且快速增長的 IT 資產需要堡壘機在資產納管方面更具可擴展性,以應對突發性業務需求。

如何防止刪庫跑路?運維堡壘機高效安全運維設計與實踐落地

面對云時代復雜的運維場景和需求,京東智聯云在設計產品時制定了一條原則,即 “我們自己需要的堡壘機就是我們要做的堡壘機”。運維堡壘機的產品需求來自整個京東智聯云數千個軟件工程師,在日常軟件開發、上線、運維過對于云計算的深入思考和未來發展趨勢的判斷。

如何防止刪庫跑路?運維堡壘機高效安全運維設計與實踐落地

基于這些考量,京東智聯云堡壘機的設計需要包含以下 4 方面功能:

第一,支持主流云廠商和私有云框架。

第二,可靠的安全保障機制。 安全是企業的生命線,必須作為首要核心要素加以考慮和保障。

第三,極致用戶體驗。 京東是一家互聯網公司,這要求產品時刻要以互聯網產品的要求和體驗進行定位。堡壘機最好的體驗應該是用戶在開發和運維過程中雖然在使用堡壘機產品,但卻感受不到堡壘機的存在。

第四,支持一鍵部署。 京東智聯云運維堡壘機可以支持分鐘級部署,能夠一鍵完成資產信息、用戶信息、賬戶信息的導入,從部署到正常使用簡單快捷。

如何防止刪庫跑路?運維堡壘機高效安全運維設計與實踐落地

結合這些要求和產品設計原則,京東智聯云發現低耦合、分層、分布式架構成為運維堡壘機的最佳選擇,也是最優選擇。

首先來看分層架構,京東智聯云存儲層應用了云硬盤、etcd、es、oss;數據控制層使用了K8S的api server;核心層是京東智聯云自研的API服務Bastion,用來進行核心的鑒權、資產管理、用戶管理等一系列核心API管理。再上面是接入層,包含一個自研的用戶友好的SSH交互界面 Relay,前端提供的用戶管理操作界面,可通過瀏覽器進行運維界面操作的Web Teminar,這三個模塊共同為用戶提供了豐富的運維入口。

如何防止刪庫跑路?運維堡壘機高效安全運維設計與實踐落地

該架構中每一層都是解耦的,理論上都可以進行模塊化的部署,根據業務需要每層可以做水平擴展。當前京東智聯云是將所有模塊集中到一個鏡像里做容器化部署,根據需求還可以擴展部署的數量。例如可以 4 個容器、同一個鏡像組成一個高可用版本的實例。這個高可用版本的實例就是分布式、分地域部署的,下層的 etcd 也會組成一個集群,保證了整體架構的高可用。整個架構都是從云原生角度考量的,更加貼合云時代對于堡壘機的要求。

同時,京東智聯云運維堡壘機也完全符合堡壘機對安全4A原則的設計:

第一,統一身份認證。 用戶的角色、權限要進行統一的管理,實現三權分立、各司其職;支持短信、Google 認證、LDAP、AD 域等多種認證方式,便于對接用戶已有運維方式;支持雙因子驗證;支持批量用戶管理,如通過 IAM 接口批量導入子用戶,通過文件批量導入用戶,或是通過用戶組進行用戶的分類管理。

第二,統一資產管理。 包含賬號、模塊化管理、支持密碼、公私鑰賬號、用戶無感知的 SSO 單點登陸,資產也支持批量導入和分組管理,可以根據主機組進行授權。資產的賬號支持自動改密,用戶通過設計改密計劃,定期定時進行執行。密碼改后用戶無感知,可以自動登錄,解決了賬號管理困難的問題,減輕了運維管理工作量。

如何防止刪庫跑路?運維堡壘機高效安全運維設計與實踐落地

第三,統一訪問授權。 用一句話解釋就是誰在什么時間,從哪個地方訪問了哪些機器,以及他在這臺機器上做了什么,沒做什么,做過什么。通過訪問授權都可以確切地知道這個人是誰。

如何防止刪庫跑路?運維堡壘機高效安全運維設計與實踐落地

第四,權限管理。 堡壘機的訪問策略主要包含 IP 限制、訪問時間段限制、高位命令限制、二次授權等。通過這些規則限制可以保證整個運維過程中,用戶必須在被分配的權限下進行操作,不會出現越權操作的情況,從而保證整體運維工作的安全性。

如何防止刪庫跑路?運維堡壘機高效安全運維設計與實踐落地

最后是運維全程審計。 運維審計是保證運維安全的最后一道防線,它通過全程的運維審計,可以快速定位問題,確定責任人。 這有助于快速解決問題,恢復正常服務。全程運維審計主要通過全程錄像、指令全程記錄和命令檢索三種方案實現。全程錄像的文件要可下載、可備份、可播放;指令全程記錄主要針對字符型的操作;命令檢索需要支持命令級別的全文檢索,這樣出現問題時就可以進行相關命令集的查詢、檢索,快速定位問題所在。

如何防止刪庫跑路?運維堡壘機高效安全運維設計與實踐落地

結合京東智聯云堡壘機,京東智聯云內部正在使用一套基于服務樹授權的機器認證管理方案,一舉解決了傳統堡壘機角色權限管理的復雜性,以及堡壘機和運維系統的隔離問題。運維人員可以在統一的操作入口同步用戶信息、決策信息以及資產信息,且全程錄屏,可追溯,符合 4A 標準的專業審計系統,支撐京東智聯云內部開發和運維工作安全可控。

如何防止刪庫跑路?運維堡壘機高效安全運維設計與實踐落地

如何防止刪庫跑路?運維堡壘機高效安全運維設計與實踐落地

對外,京東智聯云為用戶提供了公有云產品與私有化方案兩種形式的方案。 京東智聯云的公有云架構采用了第二代英特爾?至強?可擴展平臺,可以獲得性能強勁、簡單易用的云化基礎設施,降低上云復雜度,可用于構建云化的統一數據平臺,為數據處理、分析和AI提供全面加速,還通過融合自動化和智能化管理特性,助力實現云的彈性擴展、穩定可靠和降本增效。直接使用京東智聯云上的運維堡壘機可以幫助企業立即開啟云上的高效運維。

通過京東智聯云私有化運維堡壘機方案,香港某銀行構建了完整、先進的運維審計管理體系。 借助堡壘機分布式部署方案,在本地 IDC 和多個公有云、私有云的分散資產實現了統一管理、統一授權和統一訪問入口;同時,結合堡壘機分布式部署方案中自身的零插件訪問能力,用戶可以在任何地方僅使用主流瀏覽器就能夠簡單、高效地訪問主機資產。

如何防止刪庫跑路?運維堡壘機高效安全運維設計與實踐落地

京東智聯云運維堡壘機良好的運維服務賦予了該銀行運維審計管理系統可持續的平臺演進能力,該銀行客戶可以及時獲得最新軟件版本和軟件補丁升級服務,并且在第一時間獲得原廠的故障排查、緊急救助等專業服務,系統的穩定性和安全性得到有效保障。

銀行在金融領域中除運維安全需要考量外,還需考慮風控、信貸、營銷、技術基礎設置等多種等因素。作為最具產業屬性的技術服務商,京東智聯云致力于打造安全、可信、智能的供應鏈金融體系生態。

如何防止刪庫跑路?運維堡壘機高效安全運維設計與實踐落地

在風控領域, 京東智聯云以京東與外部大數據為依托,基于大數據、人工智能技術與算法為持牌消金、銀行機構、小額分期信貸等企業機構提供一套完整的風控解決方案體系。并面向城商行、農商行為主題的中小銀行客戶,消費金融、信托等金融機構,提供一站式全流程線上信貸綜合服務,快速提升線上信貸資產質量的同時,建立主動風控能力,該系統適用于零售信貸業務場景全生命周期的風控管理。

此外,京東智聯云還源于京東體系多年的能力沉淀與最佳實踐,面向金融行業提供一站式研發運營提效平臺,幫忙客戶構建研發運營一體化框架,覆蓋研發測試運維全流程,實現研發資源高效整合、開發效率和交付質量提升,助力金融企業效能提升和業務創新。


點撃" 閱讀原文 ",馬上了解京東云堡壘機及相關運維產品! 

如何防止刪庫跑路?運維堡壘機高效安全運維設計與實踐落地

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

泰安市| 邳州市| 盘山县| 临澧县| 梁平县| 龙陵县| 瑞丽市| 天门市| 肇东市| 鸡泽县| 宁强县| 东台市| 额敏县| 潜江市| 华宁县| 铁岭市| 和平县| 白水县| 福州市| 安宁市| 疏附县| 孝义市| 突泉县| 嫩江县| 南汇区| 冀州市| 定襄县| 萍乡市| 安图县| 黄浦区| 武邑县| 宽甸| 手机| 澜沧| 洞口县| 新郑市| 罗源县| 新河县| 乡城县| 海阳市| 剑河县|