カミンズ (中国) 投資有限公司 (以下、カミンズ チャイナ) は、世界的な電力技術のパイオニアとして、さまざまな電力ソリューションの設計、製造、販売、およびサービス サポートを提供しています。同社の製品には、ディーゼルおよび天然ガス エンジン、発電機セット、オルタネーター、排出ガス処理システム、ターボチャージャー システム、燃料システム、制御システム、ギアボックス、ブレーキ技術、アクスル技術、濾過システム、水素エネルギー製造、貯蔵および燃料電池などが含まれます。製品。
1919 年に設立され、米国インディアナ州コロンバスに本社を置くカミンズは、世界中に約 59,900 人の従業員を抱える世界最大の独立系エンジン メーカーです。カミンズは世界中に 10,600 を超える認定販売店と 500 を超える販売サービス店を持ち、190 以上の国と地域の顧客に製品とサービスのサポートを提供しています。2022 年には売上高 281 億ドル、純利益 22 億ドルを達成する予定です。
カミンズ中国の運用および保守のセキュリティ監査要件
エンジン製造会社としてのカミンズチャイナの運転および保守の安全監査に対する主な要件は次のとおりです。
1. 保険のコンプライアンス要件を待っています
企業の外部セキュリティ コンプライアンス要件を満たすために、Cummins China はエンタープライズ データ セキュリティの運用と保守の問題を解決するために緊急に要塞マシンを使用する必要があり、セキュリティ管理者がセキュリティ管理者ができるように完全な運用と保守のセキュリティ監査プラットフォームを構築する必要があります。利用者やシステム内の利用者を監視し、各種リソースを一元管理し、一元的に権限を割り当て、一元的に監査するとともに、運用保守管理システム全体が情報システムのセキュリティレベル保護の関連規範や要件に適合する必要があります。 「ネットワークセキュリティ法」。
2. 資産への統合アクセス
カミンズチャイナの資産は主にAmazon AWSやAzureなどのパブリッククラウドプラットフォーム上に分散しており、オフィスエリアのネットワークは専用線で接続されており、社内の各業務システムは各部門が独立して管理しており、資産へのアクセスは統一されておらず、管理が非常に面倒です。
資産の統合管理を促進するために、カミンズ中国は統合された運用および保守セキュリティ監査管理プラットフォームを構築し、すべての資産への統一されたアクセス運用および保守の入口を形成し、運用および保守業務の独自のパスを実現したいと考えています。
3. シングルサインオンを実現するユーザーシステム統合
現在、Cummins China のすべての業務システムは OpenID を使用して SSO シングル サインオンを実現しています。統合管理のニーズを満たすために、同社は、ユーザーのシングル サインオンのニーズを満たすために、アイデンティティ認証システムと OpenID のドッキング機能を同時に備えた要塞マシンを要求します。ユーザー ID の集中認証。
4.各部門の独立した経営と独立した監査の実現
現在、社内には複数の部門があり、各部門の資産管理や人事権限は比較的独立しています。カミンズチャイナは、各部門の独立した管理と独立した監査のニーズを満たすだけでなく、会社レベルでの統一的な管理と統一的な監査の要件も満たすことができるバスティオンマシンを通じて、資産と人員の統一的な管理を実現したいと考えています。
バスティオンマシンの選択プロセス
上記の要件に基づいて、Cummins China は市場で適切な要塞機械製品を探し始めました。複数の比較とテストを経て、最終的に、JumpServer に基づいた統合運用および保守セキュリティ監査プラットフォームを構築することを選択しました。Cummins China によると、JumpServer の利点は次のとおりです。
1. 豊富な4A機能
JumpServer は、広く使用されているオープンソースの要塞ホストとして、強力な「4A」(認証、会計、承認、監査) 機能を提供します。これは、カミンズ中国がセキュリティおよびコンプライアンス要件を満たす運用および保守セキュリティを構築するのに役立ちます。監査プラットフォーム。
2. 設置とメンテナンスが簡単
JumpServer のインストールプロセスは非常に便利で、オンラインとオフラインの展開方法をサポートしており、メンテナンスも非常に簡単です。特に後続のバージョン アップグレードなどの問題に関しては、JumpServer はスムーズな下位互換性を実現し、オンラインおよびオフラインのワンクリック スクリプトによるアップグレードをサポートし、真にしきい値ゼロの操作を実現します。
3. 優れたユーザーエクスペリエンス
JumpServer は B/S および C/S アーキテクチャをサポートしており、ユーザーがアセットにアクセスする場合、クライアントをインストールする必要はなく、真にプラグフリーのブラウザを通じてアセットにアクセスできます。同時に、JumpServer は開発、運用保守、DBA (データベース管理者、データ管理者) などのさまざまな担当者のアクセス ニーズを満たすことができ、操作は簡単で便利です。
さらに、操作レベルでは、JumpServer の操作インターフェイスは明確なレイアウトとシンプルな機能設計になっており、これまで要塞ホストと接触したことがない同僚でも、何もすることなく非常に短期間で製品をすぐに使い始めることができます。学習コストが高くなります。学習も使用も簡単です。
4. 構造が柔軟で拡張が容易
JumpServer はモジュール設計アーキテクチャを採用しており、コアとノードが分離して展開されるため、機能分離が真に実現されます。同時に、JumpServer はコンテナ化されたデプロイメント、またはコンテナ プラットフォーム内でのデプロイメントと運用をサポートしており、ノードとコアは無限に拡張でき、資産と同時実行性の増加に応じて柔軟に拡張できます。
さらに、JumpServer には、スタンドアロン、アクティブ/スタンバイ、アクティブ/アクティブ、分散など、企業のさまざまなビジネス シナリオのニーズを満たすことができるさまざまな導入ソリューションもあります。
JumpServer の展開アーキテクチャ
ビジネスの高可用性を確保し、優れたユーザー エクスペリエンスを提供するために、カミンズ チャイナは高可用性設計アーキテクチャを採用し、会社のビジネス システムとアプリケーション システムの継続的かつ安定した運用を保証します。
運用保守チームは、今後も社内のITインフラを継続的に構築していくということも考慮しており、IT資産の規模は今後も増大していくため、システムには水平拡張性が求められます。高可用性アーキテクチャは、いつでもフロントエンド アプリケーション ノードの追加をサポートするため、システムのサポート機能がさらに強化されます。Cummins China の JumpServer 導入アーキテクチャを図 1 に示します。
▲図 1 Cummins China JumpServer 導入アーキテクチャ図
この展開アーキテクチャは、統一されたドメイン名を外部に提供し、フロントエンド負荷分散デバイスを介してユーザー要求を分散して負荷分散を実現し、バックエンド ノードを自動的に検出します。アプリケーションの高可用性に加えて、MySQL と Reid はデータベース サービスがダウンせず、データが失われないようにするための高可用性展開方法を採用しています。このような展開アーキテクチャは、要塞サーバー サービスの高可用性を満たしながら、企業資産の数と同時ユーザー数の継続的な増加に柔軟に対応できます。
JumpServerの実践シナリオ
JumpServer 要塞マシンには、カミンズ中国で主に次の高頻度使用シナリオがあります。
■ マルチテナント使用管理モードに基づく
JumpServer はマルチテナント管理をサポートし、組織を分割することでリソースと権限を組織間で分離し、異なる組織の独立した管理と独立した監査を実現します。一元管理・一元監査を前提に、管理者は社内の事業部門ごとに組織を分割し、各組織に個別に組織管理者を設置し、組織管理者が各組織内のメンバーに対する資産認可や権限分割を行います。運用保守管理の効率が大幅に向上します。
▲図2 JumpServerのマルチテナント管理システム
■データベース資産の一元管理
JumpServer は、資産管理に加え、MySQL、PostgreSQL、Oracle、SQL Server などの各種データベースの直接管理、Web CLI、Web GUI、データベースエージェント直接接続など、さまざまなデータベース接続方式をサポートしており、さまざまなニーズに対応します。データベース接続ごとに担当者の要件が異なります。
▲図 3 JumpServer は複数のデータベース管理をサポートします
■ VPC 間アセットの一元管理
Cummins China の資産は主に Amazon AWS や Azure などのパブリック クラウド環境に分散されており、ビジネス ニーズに応えるために複数の VPC 環境を分割していますが、VPC 環境内の資産は JumpServer ネットワークと直接通信できません。JumpServer は、ネットワーク ドメイン ゲートウェイの機能をサポートし、プロキシ方式を通じて VPC 環境の資産に接続し、VPC 環境内の資産の直接管理を実現します。
▲図 4 JumpServer はクロス VPC リソース管理をサポート
■ サービス エンドポイント ルールを通じてユーザー リクエストを分散する
JumpServer は、指定されたアセットの固定アクセス ノードを指定できるサービス エンドポイントのルール構成もサポートしています。サービス エンドポイントは、ユーザーがサービスにアクセスするためのアドレス (ポート) です。ユーザーがオンラインでアセットに接続すると、システムは対応するサービス エンドポイントをアクセス エントリとして選択し、エンドポイント ルールとアセット タグに従って接続を確立します。 、これにより分散アセット接続が実現されます。
注: 異なるエンドポイントで資産 IP 間に競合がある場合、資産タグを使用してこの機能を実装できます。
▲図 5 JumpServer サービス エンドポイントの構成
▲図 6 JumpServer エンドポイント ルールの構成
JumpServer を使用する利点
JumpServer を導入して使用した後、Cummins China は次のようなビジネス価値を獲得します。
■ 保険適合性の要件を十分に満たします。セキュリティ インシデントが発生した場合、JumpServer は管理者がネットワーク セキュリティ インシデントに対する緊急計画を最初に開始し、ネットワーク セキュリティ インシデントを調査および評価し、対応する技術的措置を講じてセキュリティ リスクを迅速に排除するのに役立ちます。
■ IT資産の一元管理。JumpServerをベースに、クラウドサーバー、Linuxサーバー、Windowsサーバー、データベースの一元管理とアクセス管理ポータルを実現し、一元的に運用します。同時に、ユーザー操作などのネットワーク アクセス動作を効果的に制御し、ユーザーがターゲット サーバーなどの重要なリソースに直接アクセスすることを回避し、安全で標準化された独自のアクセス チャネルを構築します。
■ 運用保守管理効率の向上。カミンズチャイナは、システム全体のセキュリティを確保することを前提に、マルチテナント管理モードを通じてさまざまな部門間の資産と権限の独立した管理と監査を実現し、会社レベルでの統一管理と統一監査の要件を満たしています。 。システム全体のセキュリティを向上させるとともに、同社の運用保守管理の仕組みも最適化した。