案例研究|腾讯音乐娱乐集团与JumpServer共探安全运维审计解决方案

近年来,得益于人民消费水平的提升以及版权意识的加强,用户付费意愿和在线用户数量持续增长,中国在线音乐市场呈现出稳定增长的发展态势。随着腾讯音乐于2018年12月上市,进一步推动了中国在线音乐市场的发展。

腾讯音乐娱乐集团(以下简称为“TME”)作为中国在线音乐娱乐服务的开拓者,主要提供在线音乐和以音乐为核心的社交娱乐两大服务。TME在中国有着广泛的用户基础,总月活用户数超过8亿。TME一直致力于用科技创造音乐无限可能,让更多的用户能够参与到音乐的创作、欣赏、分享和互动中。
在这里插入图片描述

为了助力公司持续创新,提升数据安全可控与高效运维能力,TME需要构建更加灵活、安全以及自主可控的运维安全审计体系,以高效管理TME不断扩张的IT基础设施,解决其统一访问鉴权及安全审计的问题。

期望:数据安全可控与资产高效运维

随着资产规模的不断扩张,对比原有的运维安全审计方案,TME的IT安全运维团队对运维审计管理系统的运维体验、开放性和可扩展性提出了更高的要求。因此,也催生了TME对于新一代堡垒机的迫切需求。

经过严谨、长期的调研和验证,TME的IT运维团队最终选择了JumpServer堡垒机,主要原因有以下几个方面:

■ 更友好的运维操作体验

TME原有的运维审计平台只提供CLI命令行的管理界面,无论是运维管理还是访问连接,使用起来都不够友好。JumpServer不仅拥有各种传统协议客户端直连的良好使用体验,还为用户提供了更加贴近国人使用习惯的纯浏览器管理界面。同时,JumpServer简约直白的视图布局,直观丰富的数据展示,也大幅提升了用户的使用效率;

■ 更多样的资产类型纳管

除了常规的Linux服务器资产纳管以外,JumpServer还支持纳管更多类型的数据库、容器云以及应用软件系统等。JumpServer通过SQL级的审计方式和重要软件系统留痕审计,来满足DBA(数据库管理员)和泛IT人群的使用需求;

■ 更开放的集成解决方案

堡垒机作为企业IT信息安全系统的重要一环,既要考虑安全管理的便利性,又要兼顾用户使用的友好度,这也是企业在构建一体化安全运维体系的过程中不可或缺的两个要素。

传统软硬一体化的安全产品形态对于集成解决方案而言正在成为一种限制和束缚,JumpServer堡垒机“开源软件产品+原厂专业服务保障”的组合为企业构建自主可控解决方案提供了坚实的基础。

实现:分权提权运营与协同运维体系并行

账号是访问资产的登录凭证。资产数据的绝对安全不仅仅依赖于堡垒机在事前、事中、事后每个阶段提供的预防监控审计能力,也应该考虑在资产系统层面进行账号权限隔离的设计。

面向不同的使用人员、场景和环境,需要合理地设计账号分权提权运营方案来满足企业日常运维需求,以及安全管理的要求。

在JumpServer的“账号管理”模块中,TME的IT运维团队将每台服务器资产的账号凭证分为“特权用户”、“只读用户”、“App用户”以及“高权用户”,数据库资产又分为“程序账号”和“个人账号”。根据实际人员业务的需要,管理员提前预置规范的资产授权规则,在紧急或特殊情况下,配合JumpServer授权规则更新和工单申请功能来实现用户的账号提权需求。

同时,基于JumpServer的账号收集、账号改密、账号备份等功能,也为资产账号凭证的安全性提供了持续、有效的安全保护。
在这里插入图片描述

▲图1 TME分权提权运营架构

在协同运维体系中,从登录访问认证,到人员、组织、资产的数据同步,流程的规范、体系化,以及广泛类型的资产运维审计等需求出发,TME的IT运维团队将持续完善与JumpServer堡垒机的集成解决方案,为托管的服务器、数据库、云服务以及重要系统提供统一的安全管理保障。

解决方案特点:

1.集中统一的鉴权认证

JumpServer支持单点登录认证方式,TME的IT运维团队基于OAuth2.0协议将自研的统一认证系统与JumpServer进行打通,通过统一的用户体系保障,满足安全合规要求,减轻运维管理的压力;

2.广泛资产类型的自动同步

通过调用JumpServer堡垒机的API接口与CMDB(配置管理数据库)系统进行联动,在JumpServer支持纳管主机、网络设备、数据库、云服务、软件应用等多种资产类型的前提下,实现与CMDB资产信息的数据同步;

3.高效的协同工单流转

在组织协同方面,基于JumpServer堡垒机灵活的资产授权体系,TME的IT运维团队打通内部流程工单系统,实现了各类资产的自动化授权。在保留员工原有使用习惯的基础上,减少了跨部门之间的沟通成本,同时又无缝融入堡垒机系统,提高了公司整体协同运维体系的管理效率和水平;

4.资产连接方式的管理

JumpServer提供“Web接入+原生客户端”双重访问模式,面向管理员提供浏览器的访问途径,资产管理和授权管理做到了真正的简单、易用。

面向普通用户,JumpServer提供了原生客户端访问方式,一方面维护了用户原有的使用习惯,另一方面,JumpServer也支持自定义认证逻辑,实现了TME独有的“Pin+Token”统一登录认证方式,从细小源头规避风险。
在这里插入图片描述

▲图2 TME协同运维体系

规划:部署架构全面升级

当前TME正在规划将JumpSever原有的云主机集群的部署模式升级为Kubernetes集群部署方案,为未来资产规模的迅速增加提前做好准备,提供更加稳定、高效的运行环境。

收益:极佳使用体验和专业贴身服务

JumpServer堡垒机的上线运营,帮助TME的IT安全运维团队获得以下几个方面的收益:

1.交互使用全新体验

区别于传统堡垒机的产品设计,JumpServer更强调用户的访问体验。考虑到用户的真实反馈,JumpServer堡垒机设计了更贴合用户使用习惯和场景的访问方式,在降低管理员运维工作量的同时,也让最终用户能够遵循他们最为熟悉的操作方式;

2.资产数据全面托管

在JumpServer堡垒机广泛资产类型的支持下,结合应用虚拟化方案,不仅为资产的集中管理提供了全面的安全审计保障,也为企业各种软件系统中用户所做的重要操作提供了审计依据;

3.原厂支持合作探索

JumpServer堡垒机坚持产品的每月迭代,持续提升产品在企业不同应用场景下的相关能力。同时,JumpServer的研发和客户成功团队高度重视用户的需求、建议和疑问,随时响应。在探索集成解决方案的过程中,JumpServer的客户成功团队也及时提供专业、有效的建议方案,双方共同探索更加符合实际业务场景和需求的安全运维审计解决方案。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/182349.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

数据可视化:地图

1.基础地图的使用 如何添加颜色表示层级 代码实现 """基础地图的使用 """ from pyecharts.charts import Map from pyecharts.options import VisualMapOpts# 准备地图对象 map Map() # 准备数据 data [("北京市", 9),("上海市…

WebGL:基础练习 / 简单学习 / demo / canvas3D

一、前置内容 canvas:理解canvas / 基础使用 / 实用demo-CSDN博客 WebGL:开始学习 / 理解 WebGL / WebGL 需要掌握哪些知识 / 应用领域 / 前端值得学WebGL吗_webgl培训-CSDN博客 二、在线运行HTML 用来运行WebGL代码,粘贴--运行&#xff…

LangChain+LLM实战---Midjourney(v5.1) Prompt深度剖析

原文:Anatomy of Midjourney Promps: In-Depth Study for effective Prompting Strategies — V5.1 examples 作者:Michael King 你是否曾经发现自己盯着Midjourney的空白画布,手指悬停在键盘上,让我问自己:“我应该…

前端面试题之CSS篇

1、css选择器及其优先级 标签选择器: 1类选择器、属性选择器、伪类选择器:10id选择器:100内联选择器(style“”):1000!important:10000 2、display的属性值及其作用 属性值作用none元素不显示&#xff0c…

使用VNC链接远程桌面

一、本地VNC客户端 本地主要需要一个VNC客户端,用来远程连接服务器端的VNC(在不安装Web版本VNC情况下)。VNC客户端下载地址: VNC客户端下载 二、安装Xfce桌面环境 在远程服务器控制台中安装Xfce桌面(这个桌面环境比…

CSC公派遭美德拒签|计算机专业老师终赴意大利都灵理工大学访学

C老师拟申报CSC访学项目,希望先申请美国,并做好了一旦拒签再申请其它国家的心理准备。我们先用普渡大学的邀请函助其申报CSC,并顺利获批,但不出所料地被美国拒签了;很快又申请到德国奥芬堡应用技术大学,但不…

【Linux】简单部署Yearning并结合内网穿透实现公网访问

文章目录 前言1. Linux 部署Yearning2. 本地访问Yearning3. Linux 安装cpolar4. 配置Yearning公网访问地址5. 公网远程访问Yearning管理界面6. 固定Yearning公网地址 前言 Yearning 简单,高效的MYSQL 审计平台 一款MYSQL SQL语句/查询审计工具,为DBA与开…

Jakarta-JVM篇

文章目录 一.前言1. 1 JVM-堆常用调参1.2 JVM-方法区常用参数1.3 JVM-codeCache 二.JVM内存结构三. 对象创建四. JVM垃圾回收算法4.1 可达性分析算法4.1.1 对象引用4.1.2 回收方法区. 4.2 分代回收4.3 标记清除4.4 标记复制4.5 标记整理 五.垃圾回收器5.1 根节点枚举5.2 安全点…

打造高效运营底座,极智嘉一体化软件系统彰显科技威能

在仓储成本和物流需求日益增加的今天,创新且高效的物流机器人解决方案能够显著提升物流运营效率,降低物流成本,实现智能化、精益化、一体化的物流管理。全球仓储机器人引领者极智嘉(Geek)以「一套系统,天生全能」为准则&#xff0…

python脚本-网页爬虫获取网页图片

python脚本-网页爬虫获取网页图片 代码 import requests import re import time url"http://10.9.47.154/python-spider/" # 爬取网站的url headers {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like …

亚马逊云科技大语言模型下的六大创新应用功能

目录 前言 亚马逊云科技的AI创新应用 ​编辑 Amazon CodeWhisperer Amazon CodeWhisperer产品的优势 更快地完成更多工作 自信地进行编码 增强代码安全性 使用收藏夹工具 自定义 CodeWhisperer 以获得更好的建议 如何使用Amazon CodeWhisperer 步骤 1 步骤 2 具体…

Flink源码解析八之任务调度和负载均衡

源码概览 jobmanager scheduler:这部分与 Flink 的任务调度有关。 CoLocationConstraint:这是一个约束类,用于确保某些算子的不同子任务在同一个 TaskManager 上运行。这通常用于状态共享或算子链的情况。CoLocationGroup & CoLocationGroupImpl:这些与 CoLocationCon…

【漏洞复现】IIS_7.o7.5解析漏洞

感谢互联网提供分享知识与智慧,在法治的社会里,请遵守有关法律法规 文章目录 1.1、漏洞描述1.2、漏洞等级1.3、影响版本1.4、漏洞复现1、基础环境2、漏洞扫描3、漏洞验证 1.5、修复建议 1.1、漏洞描述 漏洞原理: cgi.fix_path1 1.png/.php该…

WPF中依赖属性及附加属性的概念及用法

完全来源于十月的寒流,感谢大佬讲解 依赖属性 由依赖属性提供的属性功能 与字段支持的属性不同,依赖属性扩展了属性的功能。 通常,添加的功能表示或支持以下功能之一: 资源数据绑定样式动画元数据重写属性值继承WPF 设计器集成 …

【数据结构】单链表OJ题

前言: 本节博客将讲解单链表的反转,合并有序链表,寻找中间节点及约瑟夫问题 文章目录 一、反转链表二、合并有序链表三、链表的中间结点四、环形链表的约瑟夫问题 一、反转链表 要反转链表,我们需要遍历链表并改变每个节点的 next 指针&#…

大数据毕业设计选题推荐-旅游景点游客数据分析-Hadoop-Spark-Hive

✨作者主页:IT毕设梦工厂✨ 个人简介:曾从事计算机专业培训教学,擅长Java、Python、微信小程序、Golang、安卓Android等项目实战。接项目定制开发、代码讲解、答辩教学、文档编写、降重等。 ☑文末获取源码☑ 精彩专栏推荐⬇⬇⬇ Java项目 Py…

webgoat-Insecure Deserialization不安全的序列化

A(8)不安全的反序列化 反序列化是将已序列化的数据还原回对象的过程。然而,如果反序列化是不安全的,那么恶意攻击者可以在序列化的数据中夹带恶意代码,从而在反序列化时执行这些代码。这种攻击被称为反序列化。 什么…

雨洪水资源管理远程监控平台

雨洪水资源管理远程监控平台 汛期来临时,及时获得河道水库的水位涨幅数据对开展防汛抗洪工作至关重要,大量河道水库分布在远离城市的区域,而且分散,尤其是在紧急防汛阶段,如果只依靠传统人力巡查获得河道水位数据必将耗…

API接口对于程序员可以提高开发效率、减少错误率、保证数据一致性、增强用户体验

API接口给程序员带来了许多好处。以下是其中一些主要的好处: 提高开发效率:通过API接口,程序员可以避免重复编写代码,直接使用其他应用程序或服务提供的接口和数据,从而极大地提高了开发效率。减少错误率:…

linux修改rocketmq的日志文件位置

文章目录 🔊修改rocketmq的日志文件位置📕原来的文件📌修改后文件📇rocketmq中的Rocketmq_client.log文件在配置文件中改不了 需要在代码logback文件中进行修改🖊️最后总结 🔊修改rocketmq的日志文件位置 …