Is dit moeilik om 'n virtuele masjien (VM) in die wolk te skep? Nie moeiliker as om tee te maak nie. Maar wanneer dit by 'n groot korporasie kom, kan selfs so 'n eenvoudige aksie pynlik lank blyk te wees. Dit is nie genoeg om 'n virtuele masjien te skep nie; jy moet ook die nodige toegang verkry om te werk in ooreenstemming met alle regulasies. 'n Bekende pyn vir elke ontwikkelaar? In een groot bank het hierdie prosedure van etlike ure tot etlike dae geneem. En aangesien daar honderde soortgelyke operasies per maand was, is dit maklik om die omvang van hierdie arbeidsvretende skema voor te stel. Om 'n einde hieraan te maak, het ons die bank se private wolk gemoderniseer en nie net die proses om VM'e te skep nie, maar ook verwante bedrywighede geoutomatiseer.
Taak nr. 1. Wolk met internetverbinding
Die bank het 'n private wolk geskep deur sy interne IT-span vir 'n enkele segment van die netwerk te gebruik. Met verloop van tyd het bestuur die voordele daarvan waardeer en besluit om die private wolkkonsep na ander omgewings en segmente van die bank uit te brei. Dit het meer spesialiste en sterk kundigheid in private wolke vereis. Daarom is ons span toevertrou om die wolk te moderniseer.
Die hoofstroom van hierdie projek was die skepping van virtuele masjiene in 'n bykomende segment van inligtingsekuriteit - in die gedemilitariseerde sone (DMZ). Dit is waar die bank se dienste geïntegreer is met eksterne stelsels wat buite die bankinfrastruktuur geleë is.
Maar hierdie medalje het ook 'n keersy gehad. Dienste van die DMZ was "buite" beskikbaar en dit het 'n hele stel inligtingsekuriteitsrisiko's ingehou. In die eerste plek is dit die bedreiging van inbraakstelsels, die daaropvolgende uitbreiding van die aanvalveld in die DMZ, en dan penetrasie in die bank se infrastruktuur. Om sommige van hierdie risiko's te minimaliseer, het ons voorgestel om 'n bykomende sekuriteitsmaatreël te gebruik - 'n mikrosegmenteringsoplossing.
Mikro-segmentasie beskerming
Klassieke segmentering bou beskermde grense by die grense van netwerke deur 'n brandmuur te gebruik. Met mikrosegmentering kan elke individuele VM in 'n persoonlike, geïsoleerde segment geskei word.
Dit verhoog die veiligheid van die hele stelsel. Selfs as aanvallers een DMZ-bediener hack, sal dit vir hulle uiters moeilik wees om die aanval oor die netwerk te versprei - hulle sal deur baie "geslote deure" binne die netwerk moet breek. Die persoonlike firewall van elke VM bevat sy eie reëls daaroor, wat die reg om in en uit te gaan bepaal. Ons het mikro-segmentering verskaf deur VMware NSX-T Distributed Firewall te gebruik. Hierdie produk skep sentraal firewall-reëls vir VM's en versprei dit oor die virtualisasie-infrastruktuur. Dit maak nie saak watter gas-bedryfstelsel gebruik word nie, die reël word toegepas op die vlak van die koppeling van virtuele masjiene aan die netwerk.
Probleem N2. Op soek na spoed en gerief
Ontplooi 'n virtuele masjien? Maklik! 'n Paar kliek en jy is klaar. Maar dan ontstaan baie vrae: hoe om toegang van hierdie VM na 'n ander of stelsel te kry? Of van 'n ander stelsel terug na die VM?
Byvoorbeeld, in 'n bank, nadat 'n VM op die wolkportaal bestel is, was dit nodig om die tegniese ondersteuningsportaal oop te maak en 'n versoek in te dien vir die verskaffing van die nodige toegang. ’n Fout in die aansoek het gelei tot oproepe en korrespondensie om die situasie reg te stel. Terselfdertyd kan 'n VM 10-15-20 toegangs hê en die verwerking van elkeen het tyd geneem. Duiwel se proses.
Daarbenewens het die "skoonmaak" van spore van die lewensaktiwiteit van afgeleë virtuele masjiene spesiale sorg vereis. Nadat hulle verwyder is, het duisende toegangsreëls op die firewall gebly en die toerusting gelaai. Dit is beide 'n ekstra las en sekuriteitsgate.
Jy kan dit nie doen met reëls in die wolk nie. Dis ongerieflik en onveilig.
Om die tyd wat dit neem om toegang tot VM'e te verskaf te verminder en dit gerieflik te maak om dit te bestuur, het ons 'n netwerktoegangsbestuurdiens vir VM'e ontwikkel.
Die gebruiker op die virtuele masjien vlak in die konteks kieslys kies 'n item om 'n toegang reël te skep, en dan in die vorm wat oopmaak spesifiseer die parameters - van waar, waar, protokol tipes, poort nommers. Nadat die vorm ingevul en ingedien is, word die nodige kaartjies outomaties geskep in die gebruikers tegniese ondersteuningstelsel gebaseer op HP Service Manager. Hulle is verantwoordelik om hierdie of daardie toegang goed te keur en, indien toegang goedgekeur word, vir spesialiste wat van die operasies uitvoer wat nog nie geoutomatiseer is nie.
Nadat die stadium van die besigheidsproses waarby spesialiste betrokke is gewerk het, begin die deel van die diens wat outomaties reëls op firewalls skep.
As die finale akkoord sien die gebruiker 'n suksesvol voltooide versoek op die portaal. Dit beteken dat die reël geskep is en jy kan daarmee werk - sien, verander, skrap.
Finale telling van voordele
In wese het ons klein aspekte van die private wolk gemoderniseer, maar die bank het 'n merkbare effek gekry. Gebruikers kry nou netwerktoegang slegs deur die portaal, sonder om direk met die Dienstoonbank te handel. Verpligte vormvelde, hul validering vir die korrektheid van die ingevoerde data, vooraf gekonfigureerde lyste, bykomende data - dit alles help om 'n akkurate toegangsversoek te formuleer, wat met 'n hoë mate van waarskynlikheid oorweeg en nie deur inligtingsekuriteitswerknemers afgekeur sal word nie om foute in te voer. Virtuele masjiene is nie meer swart bokse nie - jy kan voortgaan om daarmee te werk deur veranderinge op die portaal aan te bring.
Gevolglik het die bank se IT-spesialiste vandag 'n geriefliker hulpmiddel om toegang te verkry, en slegs daardie mense is by die proses betrokke, waarsonder hulle beslis nie kan klaarkom nie. In totaal, in terme van arbeidskoste, is dit 'n vrystelling van die daaglikse volle vrag van ten minste 1 persoon, sowel as dosyne ure wat vir gebruikers bespaar word. Outomatisering van reëlskepping het dit moontlik gemaak om 'n mikro-segmenteringsoplossing te implementeer wat nie 'n las op bankwerknemers skep nie.
En uiteindelik het die "toegangsreël" die rekeningkundige eenheid van die wolk geword. Dit wil sê, nou stoor die wolk inligting oor die reëls vir alle VM's en maak dit skoon wanneer virtuele masjiene uitgevee word.
Binnekort sal die voordele van modernisering na die hele bank se wolk versprei. Outomatisering van die VM-skeppingsproses en mikro-segmentering het verby die DMZ beweeg en ander segmente vasgelê. En dit het die sekuriteit van die wolk as geheel verhoog.
Die geïmplementeerde oplossing is ook interessant deurdat dit die bank in staat stel om ontwikkelingsprosesse te bespoedig, wat dit nader aan die model van IT-maatskappye bring volgens hierdie maatstaf. Wanneer dit kom by mobiele toepassings, portale en kliëntedienste, streef enige groot maatskappy vandag daarna om 'n "fabriek" te word vir die vervaardiging van digitale produkte. In hierdie sin speel banke feitlik op gelyke voet met die sterkste IT-maatskappye, en hou tred met die skepping van nuwe toepassings. En dit is goed as die vermoëns van 'n IT-infrastruktuur gebou op 'n private wolkmodel jou toelaat om die nodige hulpbronne hiervoor in 'n paar minute en so veilig moontlik toe te wys.
Skrywers:
Vyacheslav Medvedev, hoof van wolkrekenaarafdeling, Jet Infosystems,
Ilya Kuikin, voorste ingenieur van die wolkrekenaarafdeling van Jet Infosystems
Bron: will.com