2019年12月1日,对于很多企业的运维安全团队来说是一个重要的时间节点,国家级安全标准——《信息安全技术网络安全等级保护基本要求》2.0版本(简称为等保2.0)将正式实施。新的等保2.0标准更具行业针对性,涵盖内容也更加细致和丰富。围绕等保2.0的落地实施,各行各业可以场景化、规范化地构建企业IT的安全体系。
在游戏行业,对等保规定的遵从是业务运营的强制性要求。在等保2.0标准发布前,游戏行业就以等保1.0为标杆,规范IT系统的运维安全体系。在等保2.0的多层面合规要求中,主机资产管理是一项非常重要的工作。借助Jumpserver堡垒机,全球化IP游戏运营商中手游构建起符合等保新规的运维安全审计系统。
挑战:IT资产广泛分布且持续变化
作为知名的全球化IP游戏运营商,中手游以IP为核心,通过自主研发和代理发行,不断为全球玩家提供精品IP游戏,并围绕IP和CP展开积极的投资布局,打造围绕IP游戏的生态体系。据了解,在国内手游市场中,中手游按发行根据IP开发的游戏产生累计收益计排名第一,按发行根据IP开发的游戏总数计排名第一,在IP资源储备方面也排名第一。
出于全球化服务交付等方面的考虑,中手游在IT建设上率先采用了多云架构。目前,中手游已经使用了多个公有云,包括阿里云、腾讯云、金山云、华为云、UCLOUD等。在不同的公有云之上,中手游均拥有大量的虚拟机、存储、数据库等云上资产。这些分布式、大规模的云资产需要进行统一化的安全管理与审计。
另一方面,这些云上资产的数量还会伴随游戏业务的运营扩充或者缩减。当有火爆游戏上线时,云端资产数量快速上升,但是在游戏的相对淡季,中手游会根据市场情况回收资源,充分利用公有云服务的弹性伸缩优势。
从实际的业务需求出发,中手游希望通过堡垒机统一纳管大规模且不断变化的云端资产,构建符合4A(认证Authentication 、授权Authorization、账号Accounting 和审计Auditing)规范的运维安全审计体系,从资产合规管理层面满足等保2.0标准的要求。
实现:三大核心能力护航,遵从等保新规
经过产品选型和实际测试,中手游最终选择了基于Jumpserver堡垒机构建面向大规模云端资产管理的运维安全审计系统。中手游认为,作为一款颇具创新力的堡垒机,Jumpserver堡垒机对多云环境的支持是他们最为看重的。与传统堡垒机相比,Jumpserver采用了分布式架构设计,能够更好地支持企业针对多云环境的资产管理与审计需求。同时,由于Jumpserver对并发和资产数量不设限制,在规模扩展时无需担心许可证限制问题。
针对等保标准中对主机安全的具体要求,中手游基于Jumpserver堡垒机实现了身份鉴别、访问控制、安全审计三大核心能力:
1. 身份鉴别:对登录用户进行身份标识和鉴别,身份标识具有唯一性。每位用户通过自己独立的堡垒机账号登录,正确鉴别用户身份,有效避免账号的混用和身份不清晰等安全隐患。同时,Jumpserver堡垒机还提供多因子认证(MFA)功能,可通过手机应用的动态验证码进行二次认证,操作简便快捷。
2. 访问控制:Jumpserver堡垒机提供了完善的权限管理体系,便于企业厘清人与资产、资产与权限、人与权限之前的多对多关系,并且让企业可以灵活地创建和分配这一套授权体系。以此为框架,中手游构建起人员、资产、权限三位一体的访问控制体系,很好地满足了等保规范的相关要求。管理员可以及时阻断某些高危操作,避免危险情况发生,有效提升系统安全性。
3. 安全审计:Jumpserver堡垒机提供面向Windows、Linux系统的审计能力,可对每位用户的每次操作进行记录和留痕,所有通过堡垒机的操作都会进行录像。管理员可在事后对所有连接操作进行审计,有效杜绝了安全责任不清等问题。
收益:多云资产统一纳管、云端存储与灵活扩展
对于中手游来说,借助Jumpserver堡垒机领先的架构设计和可扩展能力,安全运维团队成功地克服了大规模、分布式资产纳管的难题,搭建起面向多云环境的运维安全审计体系。
在多云环境中,云中资产信息的自动获取是非常大的挑战。Jumpserver堡垒机软件订阅服务附含的X-Pack软件包提供了“多云资产纳管”功能,借助这一功能,中手游实现了对公有云资源的快速纳管,一键同步、定期同步公有云资产到Jumpserver堡垒机,无需手动录入和操作,管理体验大幅提升。
对于采用多云架构的企业而言,不断地激发企业使用云原生服务的能力是一个重要目标。例如,堡垒机的操作录像存储,如果连接的是云上资产,录像却按传统堡垒机的方式回传到本地数据中心,无疑会浪费大量的网络带宽。Jumpserver堡垒机支持用户将录像信息直接存储在AWS S3、阿里云OSS、ElasticSearch等云存储服务之上,节省了大量带宽资源。
扩展性方面,Jumpserver堡垒机的不同子组件可以实现独立部署,并进行横向扩展。在遇到业务压力高峰时,用户可自行扩展子组件,快速应对访问压力。当压力高峰度过后,可以减少子组件的部署数量,在不影响使用体验的情况,轻松实现系统的弹性伸缩。
企业安全体系的建设与运营是一项长期任务。在满足了等保新规要求之后,中手游还计划将堡垒机融合到内容运维发布体系中,借助Jumpserver堡垒机标准化的API接口,打通游戏开服、发布、运维、安全等不同环节,并且实现堡垒机与云管平台的联动,在持续提升系统安全性的同时,不断优化IT系统运营效率。