icon飞致云对JumpServer的思考icon

随着市场上多云路径的采纳与云化快速增长,用户对堡垒机的需求也在发生变化。传统厂商以管理本地资产为主, 云服务商以云上服务为主, 缺少一种统一管理云上云下的堡垒机。云的快速发展,导致资产的规模快速增加, 缺少一种高性能、水平无缝扩展的堡垒机。JumpServer通过两种方式打造多云、异 构环境下不限资产数量的高性能堡垒机。

icon堡垒机解决运维风险的思路icon

通过4A功能,从三个维度解决日常运维管理中的安全问题

iconJumpServer 堡垒机是谁?icon

中国明星开源项目;2017 年 11 月正式加入 FIT2CLOUD 飞致云;荣获 2018 OSCAR 尖峰开源技术创新奖;《计算机信息系统安全专用产品销售许可证》( 公安部颁发);IT 产品信息安全认证证书(中国网络安全审查技 术与认证中心颁发)

icon他们为什么选择JumpServericon
好用
无浏览器插件限制、门槛低; 多云环境更好用堡垒机,适配任何办公场景
合算
使用上不限制资产数量、用户数和并发数; 支持按年订阅按年付费,降低前期投入
稳定
市场用户基数大,200000+安装,充分被验证; 按月迭代,稳定发展,充分满足用户使用需求
iconJumpServer 提供的堡垒机必备功能icon
 
   
 
身份验证
Authentication
登录认证
 
资源统一登录和认证;LDAP / AD 认证;RADIUS 认证;实现单点登录(OpenID认证、CAS 认证);扫码登录(企业微信认证、钉钉认证);
多因子认证
MFA 二次认证(Google Authenticator);RADIUS 二次认证;
登录复核(X-Pack)
用户登录行为受管理员的监管与控制;
登录限制
用户登录来源 IP 受管理员控制(支持黑 / 白名单);
 
 
 
授权控制
Authorization











 
多维度授权
可对用户、用户组、资产、资产节点、应用以及系统用户进行授权;
资产授权
资产树以树状结构进行展示;资产和节点均可灵活授权;节点内资产自动继承授权;子节点自动继承父节点授权;
应用授权
实现更细粒度的应用级授权;
Kubernetes 授权
支持用户通过 JumpServer 连接 Kubernetes 集群;
RemoteApp远程应用(X-Pack)
针对 Windows 系统实现更细粒度的应用级授权,并对应用操作录像进行回放审计;
动作授权
实现对授权资产的文件上传 / 下载以及连接动作的控制;支持剪切板复制 / 粘贴(Windows 资产);
时间授权
实现对授权资源使用时间段的限制;
特权指令
实现对特权指令的使用,支持黑白名单;
命令过滤
实现对授权系统用户所执行的命令进行控制;
文件传输与管理
支持 SFTP 文件上传 / 下载;实现 Web SFTP 文件管理;
工单管理(X-Pack)
支持对用户登录请求行为进行控制;支持授权工单申请;
组织管理(X-Pack)
实现多租户管理与权限隔离;全局组织功能;
访问控制(X-Pack)
支持对通过 SSH 和 Telnet 协议登录的资产进行复核;
 
账号管理
Accounting
集中账号管理
管理用户管理;系统用户管理;
用户角色
支持超级管理员、超级审计员、组织管理员(X-Pack)、组织审计员(X-Pack)、普通用户五种角色;
统一密码管理
资产密码托管;自动生成密码;自动推送密码;密码过期设置;
改密计划(X-Pack)
Linux / Windows 定期批量修改密码;生成随机密码;多种密码策略;
多云资产纳管(X-Pack)
对私有云、公有云资产自动统一纳管;
收集用户(X-Pack)
自定义任务定期收集主机用户;
密码匣子(X-Pack)
统一对资产主机的用户密码进行查看、更新、测试等操作;
 
 
 
安全审计
Auditing
登录审计
支持对用户登录到 JumpServer 系统的日志进行审计;支持将审计信息收集至 Syslog;
操作审计
用户操作行为审计;
会话审计
在线会话内容监控;在线会话内容审计;历史会话内容审计;
录像审计
支持对 Linux、Windows 等资产操作的录像进行回放审计;支持对 RemoteApp(X-Pack)、MySQL、Kubernetes 等应用操作的录像进行回放审计;支持将录像上传至公有云;
指令审计
支持对资产和应用等操作的命令进行审计;高危命令告警;
文件传输审计
支持对文件的上传 / 下载记录进行审计;
iconJumpServer的数据库审计功能icon
     
数据库审计
Database Auditing
连接方式
命令行方式
Web UI 方式(X-Pack)
支持的数据库
MySQL 数据库
Oracle 数据库(X-Pack)
MariaDB 数据库(X-Pack)
PostgreSQL 数据库(X-Pack)
功能亮点
语法高亮
SQL 格式化
支持快捷键
支持选中执行
SQL 历史查询
支持页面创建 DB、Table
会话审计

 
命令记录
录像回放
icon企业级支持服务内容icon
   
支持服务
7×24 工单及电话支持服务,1 个小时内响应客户工单;接到故障申报后,工程师通过电话支持、远程接
入等方式协助客户及时排除软件故障。
安装及培训服务
 
合计 5 人天的原厂专业服务,可提供现场安装、现场紧急救助、软件故障排查、培训等专业支持服务;并且 可以根据企业 IT 规划提供相关顾问咨询服务。
紧急救助服务
专家顾问咨询服务
软件升级服务
提供软件补丁、增强功能包等软件升级服务,无缝升级软件版本。
在线自助服务
提供客户支持门户,支持客户在线访问网站并下载相关资料,及时掌握最新的软件特性、维护经验、使用技
巧等相关知识。
JumpServer 无限扩展的架构设计
① 节点,核心可以随着资产与并发增加无限扩展部署
② 核心(控制鉴权)和与节点 (访接入问)解耦部署
③ 支持容器化部署或者容器平台内部署运行,易扩展
JumpServer 无使用门槛的访问设计
技术架构中引入Luna服务支撑前端与用户的交互,大幅度降低使用门槛。
通过Luna 纯web模式的访问与操作所有资产(Windows、Linux、交换 机、数据库等),包含资产登录、文件上传下载、命令的复制粘贴等, 一个浏览器搞定所有。
完全兼容用户本地安装的Linux资产登录与连接客户端,包含不局限于 winscp、FileZilla、Xshell、putty、SecurityCRT等等。
iconJumpServer 三大部署方式icon
单机部署

一般开发测试环境;仅为满足审计要求;采用单台一体机

主备部署

生产环境要求高可用;资产数量和并发数不多;故障无缝切换

集群分布式部署

大规模资产场景;高并发要求高性能场景;混合云/多DC/分支机构场景

icon应用场景1—多租户使用管理模式icon

统一管理的前提下,管理权限下放,组织管理员管理本部门资产、用户与权限,一台堡垒机当多台用。

icon应用场景2—共享账号定责管理icon

部署前 所有人员共同使用相同的账号密码登录到资产进行运维管 理与操作,当执行了高危命令,数据误删等事故时,很难定位到具体使用认,无法责任的认定与故障分析。部署后 每一个人都分配一个堡垒机账号,每个堡垒机账号授权不同的 资产登录的权限。堡垒机托管所有资产密码。不管任何人都通 过堡垒机登录资产。管理员很容易查询出,是谁在何时、用了 什么账号登录了那台资产,进行了什么样的操作。

icon应用场景3—运维权限管理icon
场景描述

系统升级、故障处理、日常巡检都需要合作伙伴或者运维外包人员进行登录资产进行操作。

授权控制

管理员针对不同的运维场景制定不同的权限访问,控制访问时间、文件传输权限等。并且对高危命令设置阻断策略。

运维录屏

对所有的运维操作进行录屏录像,记录操作命令,记录文件传输作为审计依据。管理员或者审计员可以对操作进行实时监控,发现违规操作,立即切断。

icon应用场景4—数据库审计场景icon

兼容与支持传统ReomteAPP方式的应用审计,同时支持无依赖、纯web化的数据库审计与资产操作审计

icon应用场景4—安全合规管理icon

改密计划:定期按照设定的规则修改资产密码,满足公司资产安全管理要求。用户收集:自动收集资产上用户与登录情况,排查未授权账号,排除安全隐患。密码匣子: 资产密码导出与备份,满足企业密码管理要求。

icon全面开放的API接口icon

提供在线API说明文档,方便查看、测试与第三方系统调用

icon东方明珠—客户挑战icon
基础设施高度异构化 分布范围广

混合云中存在大量不同类型的 IT 基础设施;媒体行业特有的CDN边缘节点,带来资产分布广的特点;为匹配集团化的组织结构,需要多组织管理能力。

混合云中主机规模 持续增长

云中的资产持续增长;新增云中资产信息需要自动同步到堡垒机中;新增资产需要批量自动授权。

传统堡垒机方案 维护成本过高

传统堡垒机按规模计费的方式无法应对持续增长的资产数量;需要 Web 接入和客户端接入的双模支持;需要逐步过渡到无插件化的使用方式。

icon东方明珠—实现模式icon
icon东方明珠—客户收益icon
整合架构

堡垒机融合到云平台的整体架构中;堡垒机自动同步云中资产信息;资产授权自动化。

卓越体验

JumpServer 的浏览器使用方式让用户可以零成 本上手;JumpServer 的浏览器接入体验极佳;同时兼容Web和客户端模式。

成本可控

无并发和资产数量数量 限制,解决了资产增长的难题;初始投入成本低;成本不会随着资产规模 和用户数增长而增加。

icon小红书—客户挑战icon
版本升级
长期使用 JumpServer 堡垒机 V0.3 开源版本;早期版本功能陈旧;开源社区针对早期版本的支持严重滞后。
 
超大规模资产纳管
• 纳管资产数量超过10,000台;用户数量大,链接负载高;拥有大量的授权规则和策略。
 
 
补强平台能力
JumpServer 是 IT资产日常运维主入口;现有平台存在安全隐患,稳定性需提升;互联网业务大规模、分布式运营需要多云资产纳管等功能。
专业服务支持
JumpServer 是核心运维安全审计系统;需要专业化的日常支 持服务;需要提升IT运维团队 对 JumpServer 的使用能力。
icon小红书—客户收益icon
版本升级

一周的时间内成功将JumpServer堡垒机从0.3.2 的老版本升级至1.4.9的新版本。

大规模资产迁移

迁移过程快速平稳,超过10,000台的IT资产安全、完整迁移至新平台。

管理体验平滑过渡

JumpServer既有的授权规则和使用部门的应用体验无缝迁移至新平台。

产品推荐 查看更多>>
    启明星辰天玥数据库审计系统

    启明星辰天玥数据库审计系统是针对数据库操作行为进行细粒度审计和防护的管理与监控系统。它通过对数据库管理员、业务员的数据库访问行为进行解析、记录、控制、分析,帮助用户实现事前预防、事中监控、实时响应、事后追溯,保障数据库的正常运行和核心数据资产的安全。目前可审计的数据库类型包括Oracle、SQL Server、人大金仓、达梦、MongoDB等14类数据库。全面监控各类对数据库的访问行为,发现违规操作风险,精确定位责任人,保障核心数据安全。

    多种维度的合规报告

    易于扩展的分析条件

    全面的数据库覆盖能力

    强大的关联审计能力

    昂楷科技数据库审计DAS

    数据库审计系统 Database security Audit System(DAS),是“事前预防+事中防范+事后取证”的数据库安全审计与防御产品; 对用户访问数据库操作行为进行可视化的监控记录、分析和汇总,为用户提供事故追根溯源的电子证据,同时提供高效查询审计记录能力,快速定位事件原因,做到“事前预防+事中防范十事后取证”的立体防御效果。

    事前预防

    事中防范

    事后取证

    数据库安全审计

    六方云 入侵检测系统 IDS

    六方云入侵检测系统 IDS 全线产品采用多核芯片,基于自主研发的、充分利用多核优势的CSOS 软件系统,采用多层次深度检测技术和多扫描引擎负载分担与备份技术,完全满足当前网络带宽和网络攻击泛滥、应用越来越复杂的趋势和需求。

    高性能

    安全可靠