2019年12月1日,對於很多企業的運維安全團隊來說是一個重要的時間節點,國家級安全標準——《信息安全技術網絡安全等級保護基本要求》2.0版本(簡稱爲等保2.0)將正式實施。新的等保2.0標準更具行業針對性,涵蓋內容也更加細緻和豐富。圍繞等保2.0的落地實施,各行各業可以場景化、規範化地構建企業IT的安全體系。
在遊戲行業,對等保規定的遵從是業務運營的強制性要求。在等保2.0標準發佈前,遊戲行業就以等保1.0爲標杆,規範IT系統的運維安全體系。在等保2.0的多層面合規要求中,主機資產管理是一項非常重要的工作。藉助Jumpserver堡壘機,全球化IP遊戲運營商中手遊構建起符合等保新規的運維安全審計系統。
挑戰:IT資產廣泛分佈且持續變化
作爲知名的全球化IP遊戲運營商,中手遊以IP爲核心,通過自主研發和代理髮行,不斷爲全球玩家提供精品IP遊戲,並圍繞IP和CP展開積極的投資佈局,打造圍繞IP遊戲的生態體系。據瞭解,在國內手遊市場中,中手遊按發行根據IP開發的遊戲產生累計收益計排名第一,按發行根據IP開發的遊戲總數計排名第一,在IP資源儲備方面也排名第一。
出於全球化服務交付等方面的考慮,中手遊在IT建設上率先採用了多雲架構。目前,中手遊已經使用了多個公有云,包括阿里雲、騰訊雲、金山雲、華爲雲、UCLOUD等。在不同的公有云之上,中手遊均擁有大量的虛擬機、存儲、數據庫等雲上資產。這些分佈式、大規模的雲資產需要進行統一化的安全管理與審計。
另一方面,這些雲上資產的數量還會伴隨遊戲業務的運營擴充或者縮減。當有火爆遊戲上線時,雲端資產數量快速上升,但是在遊戲的相對淡季,中手遊會根據市場情況回收資源,充分利用公有云服務的彈性伸縮優勢。
從實際的業務需求出發,中手遊希望通過堡壘機統一納管大規模且不斷變化的雲端資產,構建符合4A(認證Authentication 、授權Authorization、賬號Accounting 和審計Auditing)規範的運維安全審計體系,從資產合規管理層面滿足等保2.0標準的要求。
實現:三大核心能力護航,遵從等保新規
經過產品選型和實際測試,中手遊最終選擇了基於Jumpserver堡壘機構建面向大規模雲端資產管理的運維安全審計系統。中手遊認爲,作爲一款頗具創新力的堡壘機,Jumpserver堡壘機對多雲環境的支持是他們最爲看重的。與傳統堡壘機相比,Jumpserver採用了分佈式架構設計,能夠更好地支持企業針對多雲環境的資產管理與審計需求。同時,由於Jumpserver對併發和資產數量不設限制,在規模擴展時無需擔心許可證限制問題。
針對等保標準中對主機安全的具體要求,中手遊基於Jumpserver堡壘機實現了身份鑑別、訪問控制、安全審計三大核心能力:
-
身份鑑別:對登錄用戶進行身份標識和鑑別,身份標識具有唯一性。每位用戶通過自己獨立的堡壘機賬號登錄,正確鑑別用戶身份,有效避免賬號的混用和身份不清晰等安全隱患。同時,Jumpserver堡壘機還提供多因子認證(MFA)功能,可通過手機應用的動態驗證碼進行二次認證,操作簡便快捷。
-
訪問控制:Jumpserver堡壘機提供了完善的權限管理體系,便於企業釐清人與資產、資產與權限、人與權限之前的多對多關係,並且讓企業可以靈活地創建和分配這一套授權體系。以此爲框架,中手遊構建起人員、資產、權限三位一體的訪問控制體系,很好地滿足了等保規範的相關要求。管理員可以及時阻斷某些高危操作,避免危險情況發生,有效提升系統安全性。
-
安全審計:Jumpserver堡壘機提供面向Windows、Linux系統的審計能力,可對每位用戶的每次操作進行記錄和留痕,所有通過堡壘機的操作都會進行錄像。管理員可在事後對所有連接操作進行審計,有效杜絕了安全責任不清等問題。
收益:多雲資產統一納管、雲端存儲與靈活擴展
對於中手游來說,藉助Jumpserver堡壘機領先的架構設計和可擴展能力,安全運維團隊成功地克服了大規模、分佈式資產納管的難題,搭建起面向多雲環境的運維安全審計體系。
在多雲環境中,雲中資產信息的自動獲取是非常大的挑戰。Jumpserver堡壘機軟件訂閱服務附含的X-Pack軟件包提供了“多雲資產納管”功能,藉助這一功能,中手遊實現了對公有云資源的快速納管,一鍵同步、定期同步公有云資產到Jumpserver堡壘機,無需手動錄入和操作,管理體驗大幅提升。
對於採用多雲架構的企業而言,不斷地激發企業使用雲原生服務的能力是一個重要目標。例如,堡壘機的操作錄像存儲,如果連接的是雲上資產,錄像卻按傳統堡壘機的方式回傳到本地數據中心,無疑會浪費大量的網絡帶寬。Jumpserver堡壘機支持用戶將錄像信息直接存儲在AWS S3、阿里雲OSS、ElasticSearch等雲存儲服務之上,節省了大量帶寬資源。
擴展性方面,Jumpserver堡壘機的不同子組件可以實現獨立部署,並進行橫向擴展。在遇到業務壓力高峯時,用戶可自行擴展子組件,快速應對訪問壓力。當壓力高峯度過後,可以減少子組件的部署數量,在不影響使用體驗的情況,輕鬆實現系統的彈性伸縮。
企業安全體系的建設與運營是一項長期任務。在滿足了等保新規要求之後,中手遊還計劃將堡壘機融合到內容運維發佈體系中,藉助Jumpserver堡壘機標準化的API接口,打通遊戲開服、發佈、運維、安全等不同環節,並且實現堡壘機與雲管平臺的聯動,在持續提升系統安全性的同時,不斷優化IT系統運營效率。