用戶簡介

瑞云科技是一家專注于為視覺行業(yè)提供垂直云計算SaaS服務(wù)的公司。用戶包括全球領(lǐng)先的電腦動畫工作室、影視特效工作室、建筑設(shè)計可視化工作室、游戲以及商業(yè)廣告公司等。瑞云旗下的Renderbus云渲染平臺是亞洲最大的云渲染農(nóng)場，被譽為中國“自助式云渲染”的開創(chuàng)者。

除了渲染計算，瑞云還將陸續(xù)為視覺行業(yè)推出一系列滿足行業(yè)用戶需求的專業(yè)的云服務(wù)。目前瑞云對外已經(jīng)開放的服務(wù)包括： Renderbus云渲染、VIVUE.io審片協(xié)作平臺、RaySync鐳速傳輸解決方案。三大服務(wù)，協(xié)同工作，使視覺行業(yè)的用戶擺脫沉重的IT和計算設(shè)施投入，將更多的精力和資源放在藝術(shù)創(chuàng)作上，極大提高影視業(yè)生產(chǎn)與協(xié)作效率，從而推動整個行業(yè)快速發(fā)展。

瑞云自2010年推出第一個產(chǎn)品Renderbus以來，以基于專利技術(shù)的云渲染平臺以及專業(yè)的TD服務(wù)團隊，迅速獲得業(yè)界一致好評，并在短短3年內(nèi)取得了行業(yè)第一的市場地位。截止到2017年底，瑞云的客戶遍布世界50多個國家，注冊使用瑞云的工作室已經(jīng)超過8萬家，其中包括奧斯卡獎得主、世界頂級動畫電影制作公司、特效工作室以及國內(nèi)超過85%的主流動畫制作公司。

瑞云的核心技術(shù)團隊大多在影視行業(yè)從事技術(shù)研發(fā)工作超過10年，技術(shù)骨干來自美國、印度、澳洲、臺灣等多個國家地區(qū)，他們在迪士尼、工業(yè)光魔、夢工場等工作室擁有多年的一線從業(yè)經(jīng)驗。同時，瑞云還擁有一支在并行計算、大規(guī)模集群管理與調(diào)度、高性能 I/O系統(tǒng)等專業(yè)方向經(jīng)驗豐富的系統(tǒng)開發(fā)團隊。瑞云擁有的單集群5000節(jié)點集群系統(tǒng)，在國內(nèi)外渲染領(lǐng)域遙遙領(lǐng)先，可以為不同規(guī)格的用戶提供可靈活擴展、高彈性的渲染計算資源。

需求背景

1、運維人員管理復雜

瑞云科技存在大量的系統(tǒng)和設(shè)備，傳統(tǒng)的登錄方式很難滿足迅速發(fā)展的業(yè)務(wù)需求，設(shè)備運維人員登錄管理較為復雜。而且大量服務(wù)器和網(wǎng)絡(luò)設(shè)備的用戶名和密碼記錄在EXCEL表格里，存在泄密和諸多不安全因素。工作效率低，運維管理成本高等原因，急切要求集中登錄、集中管理，實現(xiàn)一次登錄多個資源的安全訪問。

2、系統(tǒng)密碼安全問題

為了保證關(guān)鍵業(yè)務(wù)系統(tǒng)密碼的安全性，安全管理員制定了嚴格的密碼策略，比如密碼要定期修改，密碼要保證足夠的長度和復雜度等，但是由于管理的機器數(shù)量和賬號數(shù)量太多，往往導致密碼策略的實施流于形式。

3、操作風險難以控制

各類運維人員，技術(shù)水平不一，在操作關(guān)鍵網(wǎng)絡(luò)設(shè)備及服務(wù)器時，有可能執(zhí)行了危險命令，如：reboot , delete 等命令，導致大量用戶無法正常訪問，嚴重影響正常業(yè)務(wù)！

操作風險除了執(zhí)行危險命令外，還包括：內(nèi)部運維人員建立木馬賬戶或者“僵尸賬戶”，假如用戶離職，通過網(wǎng)絡(luò)途徑登錄管理服務(wù)器，竊取機密信息或者對網(wǎng)絡(luò)設(shè)備和服務(wù)器執(zhí)行破壞性操作，結(jié)果是難以估量的，問題也無法跟蹤！

部署說明

在瑞云科技核心交換機前架設(shè)2臺網(wǎng)域NSA IT運維安全審計系統(tǒng)做雙機熱備，對所有網(wǎng)絡(luò)設(shè)備及服務(wù)器進行統(tǒng)一集中管理，運維人員通過服務(wù)器的相關(guān)操作進行監(jiān)控和審計，具體結(jié)構(gòu)如下圖。

部署網(wǎng)域NSA ?IT運維安全審計堡壘機系統(tǒng)達到的效果：

1、完善的認證管理

網(wǎng)域IT運維安全審計堡壘機為用戶提供統(tǒng)一的認證接口。根據(jù)訪問對象由認證功能模塊來提供強認證服務(wù)。用戶在訪問受保護的系統(tǒng)之前，首先經(jīng)過身份認證系統(tǒng)識別身份，然后根據(jù)用戶的身份和授權(quán)，決定用戶是否能夠訪問某個資源。

網(wǎng)域集中身份認證提供KEY、數(shù)字證書認認證、動態(tài)令牌證、生物特征認證等多種組合認證方式；并且傳輸過程加密。

2、嚴格的密碼管理

提供對主從賬號密碼強度的管理，在管理平臺上面能夠針對主從賬號的強度進行管理，包括密碼安全設(shè)置及修改、組成規(guī)則及校驗策略等；

提供對主從賬號密碼有效期的管理，在管理平臺上面進行安全使用和更新，具備密碼有效期驗證、提醒以及過期或輸錯次數(shù)鎖定、管理員激活等功能。

3、細粒度的授權(quán)管理

授權(quán)管理，包括支撐系統(tǒng)中全部資源的實體級授權(quán)和實體內(nèi)授權(quán)。

實體級授權(quán)，即主賬號代表的用戶可以訪問哪些資源的授權(quán)。

實體內(nèi)授權(quán)，包括基于角色的授權(quán)和細粒度權(quán)限授權(quán)。

應(yīng)用資源的實體內(nèi)授權(quán)管理必須通過網(wǎng)域IT運維安全審計堡壘機進行，實現(xiàn)基于角色的授權(quán)或細粒度的授權(quán)管理。

4、詳細的審計管理

安全審計管理主要審計人員的賬號分配情況、權(quán)限分配情況、賬號使用（登錄、資源訪問）情況、資源使用情況等。在各應(yīng)用系統(tǒng)的訪問日志記錄都采用統(tǒng)一的賬號、資源進行標識后，集中審計能更好地對賬號的完整使用過程進行追蹤。網(wǎng)域IT運維安全審計堡壘機通過系統(tǒng)自身的用戶認證系統(tǒng)、用戶授權(quán)系統(tǒng)，以及訪問控制系統(tǒng)等詳細記錄整個會話過程中用戶的全部行為日志。

網(wǎng)域數(shù)據(jù)安全IT運維管理審計堡壘機系統(tǒng)解決方案做到了事前防范-運維用戶統(tǒng)一登錄、訪問控制、權(quán)限控制；事中監(jiān)督-違規(guī)操作實時監(jiān)控阻斷；事后審計-完整記錄網(wǎng)絡(luò)會話過程，詳盡的審計與回放，從而在整體上保證了瑞云公司的IT運維管理安全。