Buludda virtual maşın (VM) yaratmaq çətindirmi? Çay hazırlamaqdan çətin deyil. Ancaq böyük bir korporasiyaya gəldikdə, belə sadə bir hərəkət belə ağrılı şəkildə uzun ola bilər. Virtual maşın yaratmaq kifayət deyil, hələ də bütün qaydalara uyğun işləmək üçün lazımi giriş əldə etməlisiniz. Hər geliştiricinin tanış ağrısı? Bir böyük bankda bu prosedur bir neçə saatdan bir neçə günə qədər davam etdi. Ayda yüzlərlə belə əməliyyat olduğundan, bu əmək sərf edən sxemin miqyasını təsəvvür etmək asandır. Buna son qoymaq üçün biz bankın şəxsi buludunu təkmilləşdirdik və təkcə VM-nin yaradılması prosesini deyil, həm də əlaqəli əməliyyatları avtomatlaşdırdıq.
Tapşırıq nömrəsi 1. İnternet bağlantısı olan bulud
Bank vahid şəbəkə seqmenti üçün daxili İT komandası tərəfindən şəxsi bulud yaratmışdır. Vaxt keçdikcə rəhbərlik onun üstünlüklərini yüksək qiymətləndirdi və özəl bulud konsepsiyasını bankın digər mühitlərinə və seqmentlərinə də yaymaq qərara alındı. Bu, şəxsi buludlarda daha çox mütəxəssis və güclü təcrübə tələb edirdi. Buna görə də buludun təkmilləşdirilməsi komandamıza həvalə edildi.
Bu layihənin əsas axını informasiya təhlükəsizliyinin əlavə seqmentində - demilitarizasiya zonasında (DMZ) virtual maşınların yaradılması olub. Burada bankın xidmətləri bank infrastrukturundan kənar xarici sistemlərlə inteqrasiya olunur.
Amma bu medalın mənfi tərəfi də var idi. DMZ-dən olan xidmətlər “kənarda” mövcud idi və bu, informasiya təhlükəsizliyi risklərinin bütün spektrini tələb edirdi. İlk növbədə, bu, haker sistemlərinin təhlükəsi, DMZ-də hücum sahəsinin sonradan genişlənməsi, daha sonra isə bankın infrastrukturuna nüfuz etməsidir. Bu risklərin bəzilərini azaltmaq üçün biz əlavə mühafizə alətindən - mikro seqmentasiya həllindən istifadə etməyi təklif etdik.
Mikroseqmentasiya ilə qorunma
Klassik seqmentləşdirmə firewalldan istifadə edərək şəbəkələrin sərhədlərində qorunan sərhədlər qurur. Mikroseqmentasiya ilə hər bir fərdi VM fərdi təcrid olunmuş seqmentə təcrid edilə bilər.
Bu, bütün sistemin təhlükəsizliyini artırır. Təcavüzkarlar bir DMZ serverini sındırsalar belə, hücumu şəbəkəyə yaymaq onlar üçün çox çətin olacaq - şəbəkə daxilində onlar bir çox “bağlı qapıları” sındırmalı olacaqlar. Hər bir VM-nin şəxsi firewallında onunla bağlı daxil olmaq və çıxmaq hüququnu müəyyən edən öz qaydaları var. VMware NSX-T Distributed Firewall istifadə edərək mikro seqmentləşdirməni təmin etdik. Bu məhsul mərkəzləşdirilmiş şəkildə VM-lər üçün təhlükəsizlik divarı qaydalarını yaradır və onları bütün virtuallaşdırma infrastrukturunda paylayır. Hansı qonaq ƏS-nin istifadə olunmasının əhəmiyyəti yoxdur, qayda virtual maşınların şəbəkəyə qoşulması səviyyəsində tətbiq edilir.
Problem N2. Sürət və rahatlıq axtarışında
Virtual maşın yerləşdirilsin? Asanlıqla! Bir neçə klik və işiniz bitdi. Ancaq sonra bir çox sual yaranır: bu VM-dən digərinə və ya sistemə necə giriş əldə etmək olar? Yoxsa başqa sistemdən VM-ə?
Məsələn, bir bankda bulud portalında VM sifariş etdikdən sonra texniki dəstək portalı açmaq və lazımi giriş üçün sorğu təqdim etmək lazım idi. Tətbiqdəki bir səhv vəziyyəti düzəltmək üçün zənglərə və yazışmalara çevrildi. Eyni zamanda, VM-də 10-15-20 giriş ola bilər və hər birinin işləməsi vaxt apardı. Şeytani proses.
Bundan əlavə, uzaq virtual maşınların həyat izlərini "təmizləmək" üçün xüsusi qayğı tələb olunurdu. Onların çıxarılmasından sonra, avadanlıqları yükləyən minlərlə giriş qaydaları firewallda qaldı. Bu həm əlavə yük, həm də təhlükəsizlik boşluqlarıdır.
Buluddakı qaydalarla bunu edə bilməzsiniz. Bu əlverişsiz və təhlükəlidir.
VM-lərə girişin təmin edilməsi vaxtını minimuma endirmək və onların idarə edilməsini rahat etmək üçün biz VM-lər üçün şəbəkəyə girişin idarə edilməsi xidmətini hazırlamışıq.
Kontekst menyusunda virtual maşın səviyyəsində istifadəçi giriş qaydası yaratmaq üçün elementi seçir və sonra açılan formada parametrləri - haradan, haradan, protokolların növlərini, port nömrələrini təyin edir. Formanı doldurub təqdim etdikdən sonra lazımi biletlər avtomatik olaraq HP Service Manager əsasında istifadəçi texniki dəstək sistemində yaradılır. Onlar bu və ya digər girişi əlaqələndirmək üçün məsuliyyət daşıyırlar və əgər girişlər təsdiqlənərsə, əməliyyatların hələ avtomatlaşdırılmamış hissəsini yerinə yetirən mütəxəssislərə verilir.
Mütəxəssislərin cəlb edilməsi ilə iş prosesinin mərhələsi başa çatdıqdan sonra xidmətin avtomatik olaraq firewall-da qaydalar yaradan hissəsi başlayır.
Son akkord olaraq istifadəçi portalda uğurla tamamlanmış sorğunu görür. Bu o deməkdir ki, qayda yaradılıb və siz onunla işləyə bilərsiniz - baxmaq, dəyişdirmək, silmək.
Yekun Fayda Hesabı
Əslində, biz özəl buludun işinin kiçik aspektlərini modernləşdirmişik, lakin bank nəzərəçarpacaq effekt əldə etmişdir. İstifadəçilər indi birbaşa Service Desk ilə əlaqə saxlamadan yalnız portal vasitəsilə şəbəkəyə çıxış əldə edirlər. Tələb olunan forma sahələri, onların daxil edilmiş məlumatların düzgünlüyünün yoxlanılması, əvvəlcədən konfiqurasiya edilmiş siyahılar, əlavə məlumatlar - bütün bunlar daxiletmə xətaları səbəbindən İS işçiləri tərəfindən nəzərə alınma və bağlanma ehtimalı yüksək olan dəqiq giriş sorğusunun formalaşmasına kömək edir. . Virtual maşınlar artıq qara qutular deyil - portalda dəyişikliklər etməklə onlarla daha da işləyə bilərsiniz.
Bunun nəticəsidir ki, bu gün bankın İT mütəxəssislərinin ixtiyarında giriş əldə etmək üçün daha rahat alət var və prosesə yalnız o insanlar cəlb olunur ki, onlarsız heç şübhəsiz ki, mümkün deyil. Əmək xərcləri baxımından bu, ən azı 1 nəfərin gündəlik tam yükündən, eləcə də istifadəçilər üçün qənaət edilən onlarla saatdan azad olmaqdır. Qaydaların yaradılmasının avtomatlaşdırılması bank işçilərinə yük yaratmayan mikroseqmentləşdirmə həllini həyata keçirməyə imkan verdi.
Və nəhayət, "giriş qaydası" buludun uçot vahidi oldu. Yəni, indi bulud bütün VM-lər üçün qaydalar haqqında məlumatları saxlayır və virtual maşınları silərkən onları təmizləyir.
Tezliklə modernləşmənin üstünlükləri bankın bütün buludunu əhatə etdi. VM-lərin yaradılması prosesinin avtomatlaşdırılması və mikroseqmentasiya DMZ-dən kənara çıxdı və qalan seqmentləri tutdu. Və bu, bütövlükdə buludun təhlükəsizliyini artırdı.
Həyata keçirilən həll həm də ona görə maraqlıdır ki, o, banka inkişaf proseslərini sürətləndirməyə imkan verir, onu bu meyar üzrə İT şirkətlərinin modelinə yaxınlaşdırır. Axı söhbət mobil proqramlar, portallar, müştəri xidmətlərindən gedirsə, bu gün istənilən böyük şirkət rəqəmsal məhsulların istehsalı üçün “zavod” olmağa çalışır. Bu mənada banklar yeni proqramların yaradılması ilə ayaqlaşaraq praktiki olaraq ən güclü İT şirkətləri ilə bərabər oynayırlar. Şəxsi bulud modeli üzərində qurulmuş İT infrastrukturunun imkanları bunun üçün bir neçə dəqiqə ərzində və mümkün qədər təhlükəsiz şəkildə lazımi resursları ayırmağa imkan verəndə yaxşıdır.
Müəlliflər:
Vyaçeslav Medvedev, Jet Infosystems bulud hesablamalarının rəhbəri,
İlya Kuykin, Jet Infosystems Bulud Hesablamalar Departamentinin aparıcı mühəndisi
Mənbə: www.habr.com