社区分享｜新一代通信与网络创新研究院的堡垒机选型思路

编者注：在2021年12月11日举办的“2021 JumpServer开源堡垒机城市遇见·广州站”活动中，广东省新一代通信与网络创新研究院负责人刘生分享了题为《新一代通信与网络创新研究院的堡垒机选型思路》的主题演讲。以下内容根据本次演讲整理而成。

广东省新一代通信与网络创新研究院是由广东省科技厅、广州市政府和广州高新区共同推动成立，旨在承接广东省与科技部联动实施的国家重点研发计划“宽带通信与新型网络”重点专项部省联动任务相关资源，面向国际前沿领域和我国网络通信产业瓶颈，开展基础性、前沿性和应用型技术研究，推动科研成果转移转化和示范应用的综合性研发平台。

自2018年成立以来，广东省新一代通信与网络创新研究院（以下简称为“研究院”）先后承担十余项国家和省级重大科研项目，搭建了多个基础科研平台，初步取得多项成果，并在5G行业应用方面形成多个案例。

   广东省新一代通信与网络创新研究院网络信息部负责人 刘生

为什么需要堡垒机？

由于研究院的主要工作方向包括5G前端的技术的研究、新一代6G技术标准的制定等，工作内容有很强的前沿性，因此研究院对安全运维的要求非常之高。

研究院的网络架构分为两个网络段，分别是办公网和研发网。办公网主要是研究所内工作人员使用的网络。研发网上则拥有大量高价值的数据信息。早期工作人员如果需要通过办公网客户端访问研发网的资产，需要使用跳板机进行访问控制。但是由于跳板机自身的限制，给整个系统的安全运维带来了以下几个现实问题：

1. 部署架构复杂、成本较高；

2. 无法对用户行为进行记录，无法对责任进行定位；

3. 对于高危的数据操作无法实现预警。

堡垒机系统的核心需求

通过对运维过程中遇到的实际问题进行研究和分类，研究院总结出了一些堡垒机选型时必须具备的核心功能：

■ 支持浏览器访问资产

针对不同系统的资产，旧的跳板机访问比较麻烦。希望新的堡垒机系统里可以直接通过浏览器实现对资产的访问，支持RDP、SSH、DB和FTP/SFTP等协议；

■ 实现对用户行为的追踪

原有的跳板机无法追踪用户行为，如果一旦发生故障和恶性事件，无法明确到底是哪个环节出了问题，也无法对类似问题进行有效地预防。因此，新的堡垒机需要支持服务器用户行为记录的功能。此外，由于研发人员较多，容易发生误操作和信息泄漏的行为，因此新的堡垒机系统需要能够支持命令过滤、危险命令告警和文件拷贝告警的功能，确保系统整理的安全运维；

■ 账号管理

研究院的IT基础设施规模较大，且部门和人员都比较多，因此多层次的组织管理体系是新堡垒机系统不可或缺的，尤其是需要提供统一的AD账户登录、多层级AD权限管理等功能；

■ 高可用部署

堡垒机系统经过长期发展，系统易用性不断提升。让所有人轻松、快速上手不仅仅是衡量堡垒机使用体验的关键指标，对于降低研究院的安全运维成本也有着重要的意义。因为，从研究院的角度出发，希望新的堡垒机系统具备高可用、扩容简单、易维护和易操作的特点。

为什么选择JumpServer？

基于以上的需求，在对市场上的堡垒机系统进行综合比较之后，我们发现JumpServer具备了我们实际需要的堡垒机核心功能。

目前，研究院通过JumpServer纳管研发网资产。作为研发网资产访问的统一入口，JumpServer堡垒机采取了主备的部署方式。开发和测试的工作人员可以通过Web页面和SSH客户端访问JumpServer，同时兼容了防火墙，避免了之前使用跳板机时每个技术人员在访问研发网的资产时都需要在研发网部署跳板机的问题。

此外，JumpServer支持身份验证、授权控制、账号管理、安全审计四大核心功能，为服务器、网络设备、数据库和安全设备等设备提供了统一的安全纳管能力。

            ▲  “研究院”堡垒机架构设计

随着对JumpServer堡垒机使用的深入，我们也发现了一些重要的亮点功能，它们在很大程度上帮助我们提升了整体系统的运维安全水平。JumpServer堡垒机的亮点功能如下：

■ 改密计划

由于研究院内部的研发人员数量较多，因此固定密码的安全性会大打折扣，终端设备最高权限的账号密码也存在着泄漏的可能性。JumpServer堡垒机提供了批量改密功能，可以定期修改IT资产的系统用户密码，并根据用户需求定制不同的密码策略。这个功能能够解决人员流动情况下密码泄漏的问题，极大程度地保护了系统和资产的安全性；

■ 工单管理

代码仓库和敏感的终端设备，都是研究院的核心资产。针对这些资产的后端访问，需要进行严格的权限审批和全程控制。JumpServer提供了工单管理的功能，包括授权工单申请、一级审批流程、二级审批流程等功能，用户可以自助式地申请需要访问的资产或应用，经审批人审批后，资产或应用才会授权给申请用户进行访问。

对于研究院内的核心资产，需要通过运维层面和研发领导的双重授权才能够访问。借助JumpServer的工单管理功能，我们有效降低了系统安全管理的成本，系统安全性也得到了很大的提升；

■ 会话水印

研究院的一些核心代码和资产，有被拍照或者截图泄漏的风险。JumpServer提供了会话水印功能，在资产操作界面的背景上附带账号信息，能够有效地防止通过截图或者拍照泄漏资产的敏感信息，并且可以快速定位到泄漏的用户，从源头上有效规避了信息泄漏的风险。