Трудно ли е да се създаде виртуална машина (VM) в облака? Не е по-трудно от приготвянето на чай. Но когато става въпрос за голяма корпорация, дори такова просто действие може да се окаже болезнено дълго. Не е достатъчно да създадете виртуална машина, трябва също така да получите необходимия достъп за работа в съответствие с всички разпоредби. Позната болка за всеки разработчик? В една голяма банка тази процедура отне от няколко часа до няколко дни. И тъй като имаше стотици подобни операции на месец, лесно е да си представим мащаба на тази трудоемка схема. За да сложим край на това, модернизирахме частния облак на банката и автоматизирахме не само процеса на създаване на виртуални машини, но и свързаните с него операции.
Задача No1. Облак с интернет връзка
Банката създаде частен облак, използвайки своя вътрешен ИТ екип за един сегмент от мрежата. С течение на времето ръководството оцени предимствата му и реши да разшири концепцията за частен облак в други среди и сегменти на банката. Това изискваше повече специалисти и сериозна експертиза в частните облаци. Затова на нашия екип беше поверено модернизирането на облака.
Основният поток на този проект беше създаването на виртуални машини в допълнителен сегмент на информационната сигурност - в демилитаризираната зона (DMZ). Това е мястото, където услугите на банката са интегрирани с външни системи, разположени извън банковата инфраструктура.
Но този медал имаше и обратна страна. Услугите от DMZ бяха достъпни „отвън“ и това доведе до цял набор от рискове за информационната сигурност. На първо място, това е заплахата от хакване на системи, последващо разширяване на полето за атака в DMZ и след това проникване в инфраструктурата на банката. За да минимизираме някои от тези рискове, ние предложихме използването на допълнителна мярка за сигурност - решение за микросегментиране.
Защита от микросегментиране
Класическото сегментиране изгражда защитени граници на границите на мрежите с помощта на защитна стена. С микросегментирането всяка отделна виртуална машина може да бъде разделена на личен изолиран сегмент.
Това повишава сигурността на цялата система. Дори ако нападателите хакнат един DMZ сървър, за тях ще бъде изключително трудно да разпространят атаката в мрежата - те ще трябва да пробият много „заключени врати“ в мрежата. Личната защитна стена на всяка VM съдържа свои собствени правила по отношение на нея, които определят правото на влизане и излизане. Предоставихме микросегментиране с помощта на VMware NSX-T Distributed Firewall. Този продукт централизирано създава правила за защитна стена за виртуални машини и ги разпространява в инфраструктурата за виртуализация. Няма значение коя ОС за гости се използва, правилото се прилага на ниво свързване на виртуални машини към мрежата.
Проблем N2. В търсене на бързина и удобство
Внедряване на виртуална машина? Лесно! Няколко кликвания и сте готови. Но тогава възникват много въпроси: как да получите достъп от тази виртуална машина до друга или система? Или от друга система обратно към VM?
Например, в банка, след поръчка на VM в облачния портал, беше необходимо да се отвори порталът за техническа поддръжка и да се подаде заявка за предоставяне на необходимия достъп. Грешка в приложението доведе до обаждания и кореспонденция за коригиране на ситуацията. В същото време една виртуална машина може да има 10-15-20 достъпа и обработката на всеки един отнема време. Дяволски процес.
В допълнение, „почистването“ на следи от жизнената дейност на отдалечени виртуални машини изискваше специални грижи. След като бяха премахнати, хиляди правила за достъп останаха на защитната стена, зареждайки оборудването. Това е едновременно допълнителна тежест и дупки в сигурността.
Не можете да направите това с правила в облака. Това е неудобно и опасно.
За да минимизираме времето, необходимо за предоставяне на достъп до виртуални машини и да направим удобното им управление, разработихме услуга за управление на мрежовия достъп за виртуални машини.
Потребителят на ниво виртуална машина в контекстното меню избира елемент за създаване на правило за достъп и след това във формата, която се отваря, посочва параметрите - от къде, къде, видове протоколи, номера на портове. След попълване и изпращане на формуляра, необходимите билети се създават автоматично в системата за техническа поддръжка на потребителя, базирана на HP Service Manager. Те отговарят за одобряването на този или онзи достъп и, ако достъпът е одобрен, на специалисти, които извършват някои от операциите, които все още не са автоматизирани.
След като етапът от бизнес процеса, включващ специалисти, работи, започва частта от услугата, която автоматично създава правила за защитни стени.
Като последен акорд потребителят вижда успешно завършена заявка на портала. Това означава, че правилото е създадено и можете да работите с него – преглеждате, променяте, изтривате.
Окончателна оценка на ползите
По същество модернизирахме малки аспекти на частния облак, но банката получи забележим ефект. Потребителите вече получават достъп до мрежата само през портала, без да се занимават директно със Service Desk. Задължителни полета на формуляра, тяхната проверка за коректността на въведените данни, предварително конфигурирани списъци, допълнителни данни - всичко това помага да се формулира точна заявка за достъп, която с голяма степен на вероятност ще бъде разгледана и няма да бъде отхвърлена от служителите по информационна сигурност поради за въвеждане на грешки. Виртуалните машини вече не са черни кутии – можете да продължите да работите с тях, като правите промени в портала.
В резултат на това днес ИТ специалистите на банката имат на разположение по-удобен инструмент за получаване на достъп и в процеса участват само тези хора, без които определено не могат. Като цяло, по отношение на разходите за труд, това е освобождаване от ежедневното пълно натоварване на поне 1 човек, както и десетки часове, спестени за потребителите. Автоматизирането на създаването на правила направи възможно внедряването на решение за микросегментиране, което не създава тежест за банковите служители.
И накрая, „правилото за достъп“ се превърна в счетоводната единица на облака. Тоест сега облакът съхранява информация за правилата за всички виртуални машини и ги изчиства, когато виртуалните машини бъдат изтрити.
Скоро ползите от модернизацията ще се разпространят в целия облак на банката. Автоматизирането на процеса на създаване на VM и микросегментирането се преместиха отвъд DMZ и обхванаха други сегменти. А това увеличи сигурността на облака като цяло.
Внедреното решение е интересно и с това, че позволява на банката да ускори процесите на разработка, доближавайки я по този критерий до модела на ИТ компаниите. В крайна сметка, когато става въпрос за мобилни приложения, портали и обслужване на клиенти, всяка голяма компания днес се стреми да се превърне във „фабрика“ за производство на дигитални продукти. В този смисъл банките на практика играят наравно с най-силните ИТ компании, като са в крак със създаването на нови приложения. И е добре, когато възможностите на ИТ инфраструктура, изградена върху модел на частен облак, ви позволяват да разпределите необходимите ресурси за това за няколко минути и възможно най-безопасно.
Автори:
Вячеслав Медведев, ръководител на отдела за облачни изчисления, Jet Infosystems,
Иля Куйкин, водещ инженер на отдела за облачни изчисления на Jet Infosystems
Източник: www.habr.com