هل من الصعب إنشاء جهاز افتراضي (VM) في السحابة؟ ليس أكثر صعوبة من صنع الشاي. ولكن عندما يتعلق الأمر بشركة كبيرة ، فإن مثل هذا الإجراء البسيط يمكن أن يكون طويلاً بشكل مؤلم. لا يكفي إنشاء آلة افتراضية ، ما زلت بحاجة إلى الوصول الضروري للعمل وفقًا لجميع اللوائح. ألم مألوف لكل مطور؟ في أحد البنوك الكبيرة ، استغرق هذا الإجراء من عدة ساعات إلى عدة أيام. ونظرًا لوجود المئات من هذه المعاملات شهريًا ، فمن السهل تخيل حجم هذا المخطط الذي يستهلك العمالة. لإنهاء ذلك ، قمنا بترقية السحابة الخاصة للبنك وأتمت ليس فقط عملية إنشاء VM ، ولكن أيضًا العمليات ذات الصلة.
رقم المهمة 1. سحابة مع اتصال بالإنترنت
أنشأ البنك سحابة خاصة بواسطة فريق تكنولوجيا معلومات داخلي لقطاع شبكة واحد. بمرور الوقت ، قدرت الإدارة فوائدها وتقرر توسيع مفهوم السحابة الخاصة إلى بيئات وقطاعات أخرى من البنك. هذا يتطلب المزيد من المتخصصين والخبرة القوية في السحب الخاصة. لذلك ، تم تكليف فريقنا بترقية السحابة.
كان التدفق الرئيسي لهذا المشروع هو إنشاء أجهزة افتراضية في جزء إضافي من أمن المعلومات - في المنطقة منزوعة السلاح (DMZ). هذا هو المكان الذي تتكامل فيه خدمات البنك مع أنظمة خارجية خارج البنية التحتية المصرفية.
لكن هذه الميدالية كان لها جانب سلبي أيضًا. كانت الخدمات من المنطقة المجردة من السلاح متوفرة "من الخارج" وهذا ينطوي على مجموعة كاملة من مخاطر أمن المعلومات. بادئ ذي بدء ، هذا هو تهديد أنظمة القرصنة ، والتوسع اللاحق لمجال الهجوم في المنطقة المجردة من السلاح ، ثم اختراق البنية التحتية للبنك. للتخفيف من بعض هذه المخاطر ، اقترحنا استخدام أداة حماية إضافية - حل التجزئة الدقيقة.
الحماية عن طريق التجزئة الدقيقة
يبني التقسيم الكلاسيكي حدودًا محمية عند حدود الشبكات باستخدام جدار الحماية. مع التفتيت الدقيق ، يمكن عزل كل جهاز افتراضي فردي في جزء معزول شخصي.
هذا يعزز أمن النظام بأكمله. حتى إذا اخترق المهاجمون خادم DMZ واحدًا ، فسيكون من الصعب جدًا عليهم نشر الهجوم عبر الشبكة - فداخل الشبكة سيتعين عليهم اختراق العديد من "الأبواب المغلقة". يحتوي جدار الحماية الشخصي لكل جهاز افتراضي على قواعده الخاصة فيما يتعلق به ، والتي تحدد حق الدخول والخروج. قدمنا التجزئة المصغرة باستخدام جدار الحماية الموزع VMware NSX-T. ينشئ هذا المنتج بشكل مركزي قواعد جدار الحماية للأجهزة الافتراضية ويوزعها عبر البنية التحتية الافتراضية. لا يهم نظام التشغيل الضيف المستخدم ، يتم تطبيق القاعدة على مستوى توصيل الأجهزة الافتراضية بالشبكة.
المشكلة N2. بحثا عن السرعة والراحة
نشر آلة افتراضية؟ بسهولة! بضع نقرات وانتهيت. ولكن بعد ذلك تبرز الكثير من الأسئلة: كيف يمكن الوصول من هذا الجهاز الظاهري إلى نظام آخر أو نظام آخر؟ أو من نظام آخر يعود إلى VM؟
على سبيل المثال ، في أحد البنوك ، بعد طلب VM على البوابة السحابية ، كان من الضروري فتح بوابة دعم فني وتقديم طلب للوصول الضروري. خطأ في التطبيق تحول إلى مكالمات ومراسلات لتصحيح الموقف. في الوقت نفسه ، يمكن أن يكون للجهاز الظاهري 10-15-20 وصولاً ، ويستغرق العمل على كل منها وقتًا. عملية شيطانية.
بالإضافة إلى ذلك ، كانت هناك حاجة إلى عناية خاصة "لتنظيف" آثار حياة الأجهزة الافتراضية البعيدة. بعد إزالتها ، ظلت الآلاف من قواعد الوصول على جدار الحماية ، وتحميل المعدات. وهذا يمثل عبئًا إضافيًا وثغرات أمنية.
لا يمكنك فعل ذلك بالقواعد الموجودة في السحابة. هذا غير مريح وغير آمن.
لتقليل توقيت توفير الوصول إلى الأجهزة الافتراضية وجعل إدارتها مريحة ، قمنا بتطوير خدمة إدارة الوصول إلى الشبكة للأجهزة الافتراضية.
يحدد المستخدم على المستوى الافتراضي في قائمة السياق العنصر لإنشاء قاعدة وصول ، ثم في النموذج الذي يفتح ، يحدد المعلمات - من أين وأين أنواع البروتوكولات وأرقام المنافذ. بعد ملء النموذج وإرساله ، يتم إنشاء التذاكر الضرورية تلقائيًا في نظام الدعم الفني للمستخدم استنادًا إلى HP Service Manager. يصبحون مسؤولين عن تنسيق وصول واحد أو آخر ، وإذا تمت الموافقة على عمليات الوصول ، إلى المتخصصين الذين يؤدون جزءًا من العمليات التي لم تتم آليًا بعد.
بعد اكتمال مرحلة العملية التجارية بمشاركة المتخصصين ، يبدأ جزء الخدمة الذي ينشئ قواعد على جدران الحماية تلقائيًا.
كترتيب أخير ، يرى المستخدم طلبًا مكتملًا بنجاح على البوابة. هذا يعني أنه تم إنشاء القاعدة ويمكنك التعامل معها - العرض والتغيير والحذف.
نتيجة الفائدة النهائية
في الأساس ، قمنا بتحديث الجوانب الصغيرة لتشغيل السحابة الخاصة ، لكن البنك تلقى تأثيرًا ملحوظًا. يحصل المستخدمون الآن على وصول إلى الشبكة فقط من خلال البوابة ، دون الحاجة إلى التعامل مباشرة مع مكتب الخدمة. حقول النموذج المطلوبة ، والتحقق من صحتها من أجل صحة بيانات الإدخال ، والقوائم المعدة مسبقًا ، والبيانات الإضافية - كل هذا يساعد في تكوين طلب وصول دقيق ، والذي من المرجح جدًا أن يتم أخذه في الاعتبار وعدم اختتامه من قبل موظفي IS بسبب أخطاء الإدخال . لم تعد الأجهزة الافتراضية مربعات سوداء - يمكنك العمل معها بشكل أكبر عن طريق إجراء تغييرات على البوابة.
ونتيجة لذلك ، أصبح لدى متخصصي تكنولوجيا المعلومات في البنك اليوم أداة أكثر ملاءمة للوصول إليها ، ولا يشارك في هذه العملية سوى هؤلاء الأشخاص ، ومن المستحيل الاستغناء عنها بالتأكيد. من حيث تكاليف العمالة ، هذا هو الإعفاء من الحمل اليومي الكامل لشخص واحد على الأقل ، بالإضافة إلى عشرات الساعات التي يتم توفيرها للمستخدمين. أتاحت أتمتة إنشاء القواعد إمكانية تنفيذ حل التجزئة المصغر الذي لا يشكل عبئًا على موظفي البنك.
وأخيرًا ، أصبحت "قاعدة الوصول" وحدة المحاسبة في السحابة. أي ، تقوم السحابة الآن بتخزين المعلومات حول القواعد لجميع الأجهزة الافتراضية وتنظيفها عند حذف الأجهزة الافتراضية.
وسرعان ما امتدت مزايا التحديث إلى سحابة البنك بأكملها. صعدت أتمتة عملية إنشاء أجهزة افتراضية والتجزئة الدقيقة خارج المنطقة المجردة من السلاح واستولت على بقية الأجزاء. وقد أدى ذلك إلى زيادة أمان السحابة ككل.
الحل المنفذ مثير للاهتمام أيضًا لأنه يسمح للبنك بتسريع عمليات التطوير ، مما يجعله أقرب إلى نموذج شركات تكنولوجيا المعلومات وفقًا لهذا المعيار. بعد كل شيء ، عندما يتعلق الأمر بتطبيقات الهاتف المحمول والبوابات وخدمات العملاء ، فإن أي شركة كبيرة اليوم تسعى جاهدة لتصبح "مصنعًا" لإنتاج المنتجات الرقمية. وبهذا المعنى ، تلعب البنوك عمليا على قدم المساواة مع أقوى شركات تكنولوجيا المعلومات ، وتواكب إنشاء تطبيقات جديدة. ومن الجيد أن تسمح لك إمكانات البنية التحتية لتكنولوجيا المعلومات المبنية على نموذج السحابة الخاصة بتخصيص الموارد اللازمة لذلك في بضع دقائق وبأمان قدر الإمكان.
المؤلفون:
فياتشيسلاف ميدفيديف ، رئيس الحوسبة السحابية ، Jet Infystems,
إيليا كويكين ، مهندس رئيسي ، قسم الحوسبة السحابية ، Jet Infosystems
المصدر: www.habr.com