La Universidad de Minería y Tecnología de China es una universidad clave nacional directamente dependiente del Ministerio de Educación. Es una universidad establecida conjuntamente por el Ministerio de Educación, el Ministerio de Manejo de Emergencias y el Gobierno Popular Provincial de Jiangsu. Ha ingresado sucesivamente en el "211" nacional Proyecto", "Proyecto de plataforma de innovación de disciplina ventajosa 985" y la construcción nacional "Doble primera clase". La escuela ahora está ubicada en la ciudad de Xuzhou, provincia de Jiangsu, una ciudad histórica y cultural nacional conocida como la "vía de cinco provincias". tiene dos campus, Wenchang y Nanhu, que cubren un área de más de 4,200 acres.
Desde 2019, la Universidad de Minería y Tecnología de China ha comenzado a desarrollar las tareas principales "Ten One" del campus inteligente, a saber, una red (red integrada e integrada), una nube (plataforma de nube de datos hiperconvergente) y una tabla ( tabla de gestión de información personal), una cuenta (número de gestión de identidad), un lago (lago de datos de gobernanza), un espacio (espacio de investigación química ubicuo), un parque (cobertura completa del parque inteligente), ventanilla única (servicio de ventanilla única) , un ciclo (Todo el ciclo de capacitación de talentos) y un muro (muro de protección de seguridad integral), llevan a cabo de manera integral la construcción de la información del campus.
Puntos débiles y dificultades de operación y mantenimiento de TI
Con la expansión continua de la escala del sistema de información de la escuela, la Universidad de Minería y Tecnología de China también enfrenta muchos problemas prácticos de gestión de operación y mantenimiento en el trabajo diario de operación y mantenimiento de TI:
■ Fragmentación de activos de TI y entorno complejo de operación y mantenimiento
La Universidad de Minería y Tecnología de China actualmente tiene más de 500 máquinas virtuales y docenas de servidores físicos en la sala de computadoras del centro de datos "dos escuelas y tres lugares", y los servidores de varias unidades están distribuidos en diferentes ubicaciones, como otras salas de computadoras y laboratorios de la escuela El alcance es grande y hay muchos tipos de activos de TI.
Al mismo tiempo, el departamento comercial construye muchos sistemas comerciales de la propia escuela, y los fabricantes externos se encargan de la construcción y operación. Por lo tanto, los ingenieros de proveedores externos y los profesores de los departamentos comerciales de las escuelas tienen la necesidad de iniciar sesión en los activos de TI de forma remota. Esto también conduce a una carga de trabajo muy pesada en la operación y mantenimiento diarios y la auditoría del departamento de información escolar;
■ Existen riesgos de seguridad, como la divulgación y pérdida de contraseñas.
Después de que la escuela asigna la máquina virtual, el maestro del departamento de negocios y el ingeniero del fabricante guardan y mantienen la contraseña de la cuenta de la máquina virtual. El método de almacenamiento generalmente se registra en una hoja de Excel o en un bloc de notas.Este método de registro simple traerá riesgos de seguridad por la divulgación de la contraseña. Al mismo tiempo, debido al cambio de posición del maestro en el departamento comercial y al reemplazo del ingeniero del fabricante, la contraseña a menudo se pierde después de modificarse y existen grandes riesgos de seguridad en el sistema, lo que no es propicio. a la operación y mantenimiento seguros de la escuela y la gestión estandarizada de los activos de TI;
■ Falta de una entrada de inicio de sesión de activos de TI unificada, lo que dificulta la auditoría
Una vez que la máquina virtual se asigna al departamento comercial o a un fabricante externo, el personal de operación y mantenimiento no tiene un portal de acceso unificado.Algunos acceden directamente a través de la intranet, otros usan herramientas remotas como Sunflower y otros acceden de forma remota a través de VPN El sistema carece de unidad El portal de inicio de sesión de activos de TI.
Los profesores del departamento de negocios no saben cuántos activos de TI tienen bajo su nombre, y el departamento de información no sabe quién y cuándo se registran los activos de TI de la escuela. La opacidad de la información trae consigo grandes peligros ocultos para la seguridad. operación y mantenimiento de los activos de TI.
Enfrentando los problemas mencionados anteriormente en la operación y mantenimiento diarios de máquinas virtuales y servidores, el Departamento de Información de la Universidad de Minería y Tecnología de China decidió cambiar el método original de gestión de operación y mantenimiento de activos de TI y construir una operación de máquina bastión más segura y estandarizada. y mantenimiento del sistema de seguridad.
Razones para elegir el host bastión de JumpServer
Teniendo como objetivo los puntos débiles y las necesidades de la operación y el mantenimiento de los activos de TI de la escuela, el departamento de información de la Universidad de Minería y Tecnología de China realizó investigaciones y pruebas en una variedad de productos de máquinas bastión en el mercado, y creía que la máquina bastión JumpServer puede satisfacer las necesidades de la escuela a nivel técnico, y finalmente eligió JumpServer La versión empresarial de la máquina bastión es un componente importante del sistema de seguridad de operación y mantenimiento de activos de TI de la escuela. Las principales razones para elegir el host bastión de JumpServer incluyen:
1. Método de acceso a la terminal web sin complemento
La idea de diseño de la máquina bastión JumpServer sin complementos y con acceso de navegador puro está muy en línea con las expectativas de la Universidad de Minería y Tecnología de China para la simplificación y conveniencia de la operación y el mantenimiento de los activos de TI. El personal de operación y mantenimiento no necesita instalar un complemento de cliente dedicado localmente y puede acceder directamente a varios tipos de activos de TI en varios sistemas operativos a través del terminal web del navegador;
2. Código abierto y abierto
Como host bastión de código abierto popular, JumpServer tiene una comunidad de código abierto muy activa y proporciona una interfaz API abierta para facilitar a los usuarios la expansión de funciones más ricas. Con base en la capacidad abierta de la interfaz, en el futuro, la Universidad de Minería y Tecnología de China también planea trasladar la capacidad de la máquina bastión a la oficina de la escuela y apoyar a cada departamento para que solicite permisos de acceso a los recursos por sí mismo.
Al mismo tiempo, el "Plan quinquenal 14" nacional también se enfoca en la construcción de una nueva ecología de código abierto. Como universidad nacional clave directamente bajo el Ministerio de Educación, la Universidad de Minería y Tecnología de China también espera construir conjuntamente un ecología de código abierto con JumpServer a través de su propio uso y retroalimentación;
3. Velocidad de iteración rápida
Durante mucho tiempo, JumpServer ha insistido en lanzar nuevas versiones iterativamente mensualmente, y la velocidad de actualización de la iteración del producto es rápida. Los usuarios pueden presentar sus necesidades y comentarios sobre JumpServer a través de GitHub, grupos de intercambio técnico y otras formas. El equipo del proyecto de código abierto JumpServer también ha estado escuchando las voces de los usuarios, recopilando sugerencias de los usuarios, agregando nuevas funciones en iteraciones de actualización continua, optimizando escenarios de uso y optimizando continuamente la experiencia del usuario.
La arquitectura de implementación de JumpServer
La edición empresarial de la máquina bastión de JumpServer proporciona dos métodos de entrega: software puro y máquina integrada de software y hardware. Según los requisitos del entorno de red actual de la escuela, la escuela eligió la máquina todo en uno de software y hardware e implementó dos máquinas todo en uno para lograr una arquitectura de alta disponibilidad en modo activo y en espera.
Al mismo tiempo, la deriva VIP se realiza a través de Keepalived para lograr el efecto de conmutación activa y en espera. Es decir, implemente el mismo servicio JumpServer en el nodo activo y en el nodo en espera, y use una dirección VIP para proporcionar servicios externos. Cuando el servidor principal deja de funcionar, el componente Keepalived derivará automáticamente el VIP al servidor de reserva para garantizar el funcionamiento normal del servicio.
▲Figura 1 Arquitectura de implementación de JumpServer de la Universidad China de Minería y Tecnología
Valor de uso de JumpServer
Después de la aplicación real del host bastión JumpServer, se han aportado los siguientes beneficios de valor a la escuela, y la capacidad de gestión de operación y mantenimiento de la escuela se ha mejorado considerablemente:
■ Acceso unificado a los activos de TI
A través de la máquina bastión JumpServer, los usuarios del campus pueden conectarse a un sistema de autenticación de identidad unificado (basado en el protocolo CAS), y las cuentas de los ingenieros fuera del campus adoptan un sistema de nombre real. De esta manera, se realiza el modo "una persona, una cuenta" de operación y mantenimiento de activos de TI dentro y fuera del campus, evitando efectivamente el riesgo de fuga de cuentas y contraseñas. Los usuarios pueden acceder a los servidores autorizados iniciando sesión en JumpServer, acceder a todos los activos de TI a través de un portal unificado y tener un acceso unificado a los activos.
Al mismo tiempo, la contraseña de la cuenta del activo se aloja uniformemente en JumpServer, y los usuarios pueden iniciar sesión directamente sin ingresar la contraseña de la cuenta, lo que mejora la eficiencia de la gestión de operación y mantenimiento y evita la pérdida de contraseña;
■ Garantía de funcionamiento seguro y estable
A nivel nacional, el énfasis en la seguridad de la red aumenta constantemente, y las leyes y regulaciones relevantes se vuelven cada vez más perfectas. La escuela también ha presentado requisitos más altos para la auditoría de seguridad de operación y mantenimiento y la gestión profesional de los activos de TI. Al habilitar la función de autenticación multifactor MFA, el administrador ha mejorado la confiabilidad y seguridad de "una persona, una cuenta" en la operación y el mantenimiento de los activos de TI. Al mismo tiempo, la máquina bastión JumpServer cumple con la especificación 4A y cumple con los requisitos de la auditoría de seguridad de operación y mantenimiento de la escuela.
▲Figura 2 La Universidad de Minería y Tecnología de China logra un acceso de inicio de sesión seguro a través de JumpServer
Expectativas y Perspectivas
La Universidad de Minería y Tecnología de China realizó la operación unificada y la gestión del mantenimiento de los activos de TI de la escuela a través de la máquina bastión JumpServer, que cumplió con las necesidades básicas de la escuela de "departamentos comerciales claros, administrados por fabricantes fuera del campus y visibles para el departamento de información". .
Hoy, con la continua profundización de la localización de la construcción de TI, espero que JumpServer pueda aumentar el soporte para las nubes propietarias domésticas comúnmente utilizadas por las universidades en el futuro y expandir continuamente el alcance de la gestión de los activos en la nube.