icon飞致云对JumpServer的思考icon

随着市场上多云路径的采纳与云化快速增长,用户对堡垒机的需求也在发生变化。传统厂商以管理本地资产为主, 云服务商以云上服务为主, 缺少一种统一管理云上云下的堡垒机。云的快速发展,导致资产的规模快速增加, 缺少一种高性能、水平无缝扩展的堡垒机。JumpServer通过两种方式打造多云、异 构环境下不限资产数量的高性能堡垒机。

icon堡垒机解决运维风险的思路icon

通过4A功能,从三个维度解决日常运维管理中的安全问题

iconJumpServer 堡垒机是谁?icon

中国明星开源项目;2017 年 11 月正式加入 FIT2CLOUD 飞致云;荣获 2018 OSCAR 尖峰开源技术创新奖;《计算机信息系统安全专用产品销售许可证》( 公安部颁发);IT 产品信息安全认证证书(中国网络安全审查技 术与认证中心颁发)

icon他们为什么选择JumpServericon
好用
无浏览器插件限制、门槛低; 多云环境更好用堡垒机,适配任何办公场景
合算
使用上不限制资产数量、用户数和并发数; 支持按年订阅按年付费,降低前期投入
稳定
市场用户基数大,200000+安装,充分被验证; 按月迭代,稳定发展,充分满足用户使用需求
iconJumpServer 提供的堡垒机必备功能icon
 
   
 
身份验证
Authentication
登录认证
 
资源统一登录和认证;LDAP / AD 认证;RADIUS 认证;实现单点登录(OpenID认证、CAS 认证);扫码登录(企业微信认证、钉钉认证);
多因子认证
MFA 二次认证(Google Authenticator);RADIUS 二次认证;
登录复核(X-Pack)
用户登录行为受管理员的监管与控制;
登录限制
用户登录来源 IP 受管理员控制(支持黑 / 白名单);
 
 
 
授权控制
Authorization











 
多维度授权
可对用户、用户组、资产、资产节点、应用以及系统用户进行授权;
资产授权
资产树以树状结构进行展示;资产和节点均可灵活授权;节点内资产自动继承授权;子节点自动继承父节点授权;
应用授权
实现更细粒度的应用级授权;
Kubernetes 授权
支持用户通过 JumpServer 连接 Kubernetes 集群;
RemoteApp远程应用(X-Pack)
针对 Windows 系统实现更细粒度的应用级授权,并对应用操作录像进行回放审计;
动作授权
实现对授权资产的文件上传 / 下载以及连接动作的控制;支持剪切板复制 / 粘贴(Windows 资产);
时间授权
实现对授权资源使用时间段的限制;
特权指令
实现对特权指令的使用,支持黑白名单;
命令过滤
实现对授权系统用户所执行的命令进行控制;
文件传输与管理
支持 SFTP 文件上传 / 下载;实现 Web SFTP 文件管理;
工单管理(X-Pack)
支持对用户登录请求行为进行控制;支持授权工单申请;
组织管理(X-Pack)
实现多租户管理与权限隔离;全局组织功能;
访问控制(X-Pack)
支持对通过 SSH 和 Telnet 协议登录的资产进行复核;
 
账号管理
Accounting
集中账号管理
管理用户管理;系统用户管理;
用户角色
支持超级管理员、超级审计员、组织管理员(X-Pack)、组织审计员(X-Pack)、普通用户五种角色;
统一密码管理
资产密码托管;自动生成密码;自动推送密码;密码过期设置;
改密计划(X-Pack)
Linux / Windows 定期批量修改密码;生成随机密码;多种密码策略;
多云资产纳管(X-Pack)
对私有云、公有云资产自动统一纳管;
收集用户(X-Pack)
自定义任务定期收集主机用户;
密码匣子(X-Pack)
统一对资产主机的用户密码进行查看、更新、测试等操作;
 
 
 
安全审计
Auditing
登录审计
支持对用户登录到 JumpServer 系统的日志进行审计;支持将审计信息收集至 Syslog;
操作审计
用户操作行为审计;
会话审计
在线会话内容监控;在线会话内容审计;历史会话内容审计;
录像审计
支持对 Linux、Windows 等资产操作的录像进行回放审计;支持对 RemoteApp(X-Pack)、MySQL、Kubernetes 等应用操作的录像进行回放审计;支持将录像上传至公有云;
指令审计
支持对资产和应用等操作的命令进行审计;高危命令告警;
文件传输审计
支持对文件的上传 / 下载记录进行审计;
iconJumpServer的数据库审计功能icon
     
数据库审计
Database Auditing
连接方式
命令行方式
Web UI 方式(X-Pack)
支持的数据库
MySQL 数据库
Oracle 数据库(X-Pack)
MariaDB 数据库(X-Pack)
PostgreSQL 数据库(X-Pack)
功能亮点
语法高亮
SQL 格式化
支持快捷键
支持选中执行
SQL 历史查询
支持页面创建 DB、Table
会话审计

 
命令记录
录像回放
icon企业级支持服务内容icon
   
支持服务
7×24 工单及电话支持服务,1 个小时内响应客户工单;接到故障申报后,工程师通过电话支持、远程接
入等方式协助客户及时排除软件故障。
安装及培训服务
 
合计 5 人天的原厂专业服务,可提供现场安装、现场紧急救助、软件故障排查、培训等专业支持服务;并且 可以根据企业 IT 规划提供相关顾问咨询服务。
紧急救助服务
专家顾问咨询服务
软件升级服务
提供软件补丁、增强功能包等软件升级服务,无缝升级软件版本。
在线自助服务
提供客户支持门户,支持客户在线访问网站并下载相关资料,及时掌握最新的软件特性、维护经验、使用技
巧等相关知识。
JumpServer 无限扩展的架构设计
① 节点,核心可以随着资产与并发增加无限扩展部署
② 核心(控制鉴权)和与节点 (访接入问)解耦部署
③ 支持容器化部署或者容器平台内部署运行,易扩展
JumpServer 无使用门槛的访问设计
技术架构中引入Luna服务支撑前端与用户的交互,大幅度降低使用门槛。
通过Luna 纯web模式的访问与操作所有资产(Windows、Linux、交换 机、数据库等),包含资产登录、文件上传下载、命令的复制粘贴等, 一个浏览器搞定所有。
完全兼容用户本地安装的Linux资产登录与连接客户端,包含不局限于 winscp、FileZilla、Xshell、putty、SecurityCRT等等。
iconJumpServer 三大部署方式icon
单机部署

一般开发测试环境;仅为满足审计要求;采用单台一体机

主备部署

生产环境要求高可用;资产数量和并发数不多;故障无缝切换

集群分布式部署

大规模资产场景;高并发要求高性能场景;混合云/多DC/分支机构场景

icon应用场景1—多租户使用管理模式icon

统一管理的前提下,管理权限下放,组织管理员管理本部门资产、用户与权限,一台堡垒机当多台用。

icon应用场景2—共享账号定责管理icon

部署前 所有人员共同使用相同的账号密码登录到资产进行运维管 理与操作,当执行了高危命令,数据误删等事故时,很难定位到具体使用认,无法责任的认定与故障分析。部署后 每一个人都分配一个堡垒机账号,每个堡垒机账号授权不同的 资产登录的权限。堡垒机托管所有资产密码。不管任何人都通 过堡垒机登录资产。管理员很容易查询出,是谁在何时、用了 什么账号登录了那台资产,进行了什么样的操作。

icon应用场景3—运维权限管理icon
场景描述

系统升级、故障处理、日常巡检都需要合作伙伴或者运维外包人员进行登录资产进行操作。

授权控制

管理员针对不同的运维场景制定不同的权限访问,控制访问时间、文件传输权限等。并且对高危命令设置阻断策略。

运维录屏

对所有的运维操作进行录屏录像,记录操作命令,记录文件传输作为审计依据。管理员或者审计员可以对操作进行实时监控,发现违规操作,立即切断。

icon应用场景4—数据库审计场景icon

兼容与支持传统ReomteAPP方式的应用审计,同时支持无依赖、纯web化的数据库审计与资产操作审计

icon应用场景4—安全合规管理icon

改密计划:定期按照设定的规则修改资产密码,满足公司资产安全管理要求。用户收集:自动收集资产上用户与登录情况,排查未授权账号,排除安全隐患。密码匣子: 资产密码导出与备份,满足企业密码管理要求。

icon全面开放的API接口icon

提供在线API说明文档,方便查看、测试与第三方系统调用

icon东方明珠—客户挑战icon
基础设施高度异构化 分布范围广

混合云中存在大量不同类型的 IT 基础设施;媒体行业特有的CDN边缘节点,带来资产分布广的特点;为匹配集团化的组织结构,需要多组织管理能力。

混合云中主机规模 持续增长

云中的资产持续增长;新增云中资产信息需要自动同步到堡垒机中;新增资产需要批量自动授权。

传统堡垒机方案 维护成本过高

传统堡垒机按规模计费的方式无法应对持续增长的资产数量;需要 Web 接入和客户端接入的双模支持;需要逐步过渡到无插件化的使用方式。

icon东方明珠—实现模式icon
icon东方明珠—客户收益icon
整合架构

堡垒机融合到云平台的整体架构中;堡垒机自动同步云中资产信息;资产授权自动化。

卓越体验

JumpServer 的浏览器使用方式让用户可以零成 本上手;JumpServer 的浏览器接入体验极佳;同时兼容Web和客户端模式。

成本可控

无并发和资产数量数量 限制,解决了资产增长的难题;初始投入成本低;成本不会随着资产规模 和用户数增长而增加。

icon小红书—客户挑战icon
版本升级
长期使用 JumpServer 堡垒机 V0.3 开源版本;早期版本功能陈旧;开源社区针对早期版本的支持严重滞后。
 
超大规模资产纳管
• 纳管资产数量超过10,000台;用户数量大,链接负载高;拥有大量的授权规则和策略。
 
 
补强平台能力
JumpServer 是 IT资产日常运维主入口;现有平台存在安全隐患,稳定性需提升;互联网业务大规模、分布式运营需要多云资产纳管等功能。
专业服务支持
JumpServer 是核心运维安全审计系统;需要专业化的日常支 持服务;需要提升IT运维团队 对 JumpServer 的使用能力。
icon小红书—客户收益icon
版本升级

一周的时间内成功将JumpServer堡垒机从0.3.2 的老版本升级至1.4.9的新版本。

大规模资产迁移

迁移过程快速平稳,超过10,000台的IT资产安全、完整迁移至新平台。

管理体验平滑过渡

JumpServer既有的授权规则和使用部门的应用体验无缝迁移至新平台。

产品推荐 查看更多>>
    中安威士数据安全合规评估系统

    中安威士数据安全合规评估系统(VS-DPT),是按照行业标准和规范要求,以及对数据安全防护技术的深刻理解,打造的一款具备多项技术检测能力的工具。

    高效稳定

    安全可靠

    安全狗啸天安全大数据及态势感知平台

    啸天安全大数据分析及态势感知平台是融合大数据分析技术、可视化技术、威胁情报技术于一体,为企业构建的新一代安全态势可视平台。通过汇集了多维度、多层次的安全数据源,全面展示安全态势,实现对安全风险可视、可预测,并建立信息安全联动工作机制,提升安全决策的准确度和效率。

    构建基于安全数据中台的态势感知平台

    建设安全数据补采与融合关联治理体系

    打造资产精细化管理中心

    多数据类型支持

    六方云 工业防火墙

    六方云工业防火墙,通过内置的工业漏洞检测引擎,内置1000余种工业漏洞,涵盖多数主流工业控制系统漏洞,精确匹配工业控制网络中的数据特征,检测工业控制网络已知的恶意攻击与威胁,保护工业控制系统业务与数据安全。

    1000余种工业漏洞

    符合工业操作习惯

    工业级硬件

    协议识别广而深