在游戲行業(yè)����,對等保規(guī)定的遵從是業(yè)務(wù)運營的強制性要求。在等保2.0標準發(fā)布前�����,游戲行業(yè)就以等保1.0為標桿,規(guī)范IT系統(tǒng)的運維安全體系��。在等保2.0的多層面合規(guī)要求中�,主機資產(chǎn)管理是一項非常重要的工作。借助Jumpserver堡壘機�����,全球化IP游戲運營商中手游構(gòu)建起符合等保新規(guī)的運維安全審計系統(tǒng)����。
挑戰(zhàn):IT資產(chǎn)廣泛分布且持續(xù)變化
作為知名的全球化IP游戲運營商,中手游以IP為核心����,通過自主研發(fā)和代理發(fā)行,不斷為全球玩家提供精品IP游戲��,并圍繞IP和CP展開積極的投資布局��,打造圍繞IP游戲的生態(tài)體系�。據(jù)了解,在國內(nèi)手游市場中��,中手游按發(fā)行根據(jù)IP開發(fā)的游戲產(chǎn)生累計收益計排名第一��,按發(fā)行根據(jù)IP開發(fā)的游戲總數(shù)計排名第一,在IP資源儲備方面也排名第一����。
出于全球化服務(wù)交付等方面的考慮,中手游在IT建設(shè)上率先采用了多云架構(gòu)�。目前�����,中手游已經(jīng)使用了多個公有云���,包括阿里云���、騰訊云、金山云�、華為云、UCLOUD等���。在不同的公有云之上��,中手游均擁有大量的虛擬機�、存儲��、數(shù)據(jù)庫等云上資產(chǎn)。這些分布式��、大規(guī)模的云資產(chǎn)需要進行統(tǒng)一化的安全管理與審計��。
另一方面���,這些云上資產(chǎn)的數(shù)量還會伴隨游戲業(yè)務(wù)的運營擴充或者縮減���。當有火爆游戲上線時,云端資產(chǎn)數(shù)量快速上升�����,但是在游戲的相對淡季�����,中手游會根據(jù)市場情況回收資源����,充分利用公有云服務(wù)的彈性伸縮優(yōu)勢。
從實際的業(yè)務(wù)需求出發(fā)���,中手游希望通過堡壘機統(tǒng)一納管大規(guī)模且不斷變化的云端資產(chǎn)���,構(gòu)建符合4A(認證Authentication ��、授權(quán)Authorization�、賬號Accounting 和審計Auditing)規(guī)范的運維安全審計體系�,從資產(chǎn)合規(guī)管理層面滿足等保2.0標準的要求。
實現(xiàn):三大核心能力護航����,遵從等保新規(guī)
經(jīng)過產(chǎn)品選型和實際測試�,中手游最終選擇了基于Jumpserver堡壘機構(gòu)建面向大規(guī)模云端資產(chǎn)管理的運維安全審計系統(tǒng)。中手游認為�,作為一款頗具創(chuàng)新力的堡壘機,Jumpserver堡壘機對多云環(huán)境的支持是他們最為看重的�����。與傳統(tǒng)堡壘機相比�,Jumpserver采用了分布式架構(gòu)設(shè)計,能夠更好地支持企業(yè)針對多云環(huán)境的資產(chǎn)管理與審計需求���。同時���,由于Jumpserver對并發(fā)和資產(chǎn)數(shù)量不設(shè)限制����,在規(guī)模擴展時無需擔心許可證限制問題�。
針對等保標準中對主機安全的具體要求,中手游基于Jumpserver堡壘機實現(xiàn)了身份鑒別���、訪問控制�、安全審計三大核心能力:
1. 身份鑒別:對登錄用戶進行身份標識和鑒別���,身份標識具有唯一性��。每位用戶通過自己獨立的堡壘機賬號登錄�����,正確鑒別用戶身份��,有效避免賬號的混用和身份不清晰等安全隱患�。同時�,Jumpserver堡壘機還提供多因子認證(MFA)功能,可通過手機應(yīng)用的動態(tài)驗證碼進行二次認證����,操作簡便快捷��。
2. 訪問控制:Jumpserver堡壘機提供了完善的權(quán)限管理體系��,便于企業(yè)厘清人與資產(chǎn)���、資產(chǎn)與權(quán)限、人與權(quán)限之前的多對多關(guān)系��,并且讓企業(yè)可以靈活地創(chuàng)建和分配這一套授權(quán)體系�。以此為框架,中手游構(gòu)建起人員����、資產(chǎn)���、權(quán)限三位一體的訪問控制體系���,很好地滿足了等保規(guī)范的相關(guān)要求。管理員可以及時阻斷某些高危操作���,避免危險情況發(fā)生�,有效提升系統(tǒng)安全性。
3. 安全審計:Jumpserver堡壘機提供面向Windows�����、Linux系統(tǒng)的審計能力�����,可對每位用戶的每次操作進行記錄和留痕�,所有通過堡壘機的操作都會進行錄像。管理員可在事后對所有連接操作進行審計�,有效杜絕了安全責任不清等問題。
收益:多云資產(chǎn)統(tǒng)一納管�����、云端存儲與靈活擴展
對于中手游來說�,借助Jumpserver堡壘機領(lǐng)先的架構(gòu)設(shè)計和可擴展能力,安全運維團隊成功地克服了大規(guī)模�、分布式資產(chǎn)納管的難題,搭建起面向多云環(huán)境的運維安全審計體系��。
在多云環(huán)境中�,云中資產(chǎn)信息的自動獲取是非常大的挑戰(zhàn)。Jumpserver堡壘機軟件訂閱服務(wù)附含的X-Pack軟件包提供了“多云資產(chǎn)納管”功能����,借助這一功能����,中手游實現(xiàn)了對公有云資源的快速納管���,一鍵同步�����、定期同步公有云資產(chǎn)到Jumpserver堡壘機����,無需手動錄入和操作�,管理體驗大幅提升。
對于采用多云架構(gòu)的企業(yè)而言���,不斷地激發(fā)企業(yè)使用云原生服務(wù)的能力是一個重要目標��。例如,堡壘機的操作錄像存儲�,如果連接的是云上資產(chǎn),錄像卻按傳統(tǒng)堡壘機的方式回傳到本地數(shù)據(jù)中心��,無疑會浪費大量的網(wǎng)絡(luò)帶寬。Jumpserver堡壘機支持用戶將錄像信息直接存儲在AWS S3�����、阿里云OSS�����、ElasticSearch等云存儲服務(wù)之上���,節(jié)省了大量帶寬資源��。
擴展性方面�,Jumpserver堡壘機的不同子組件可以實現(xiàn)獨立部署����,并進行橫向擴展。在遇到業(yè)務(wù)壓力高峰時�,用戶可自行擴展子組件,快速應(yīng)對訪問壓力����。當壓力高峰度過后,可以減少子組件的部署數(shù)量���,在不影響使用體驗的情況���,輕松實現(xiàn)系統(tǒng)的彈性伸縮���。
企業(yè)安全體系的建設(shè)與運營是一項長期任務(wù)。在滿足了等保新規(guī)要求之后��,中手游還計劃將堡壘機融合到內(nèi)容運維發(fā)布體系中��,借助Jumpserver堡壘機標準化的API接口�,打通游戲開服、發(fā)布�、運維、安全等不同環(huán)節(jié)�,并且實現(xiàn)堡壘機與云管平臺的聯(lián)動,在持續(xù)提升系統(tǒng)安全性的同時�����,不斷優(yōu)化IT系統(tǒng)運營效率��。
