Da li je teško napraviti virtuelnu mašinu (VM) u oblaku? Ništa teže od pravljenja čaja. Ali kada je u pitanju velika korporacija, čak i tako jednostavna akcija može se pokazati bolno dugom. Nije dovoljno napraviti virtuelnu mašinu, potrebno je i da dobijete neophodan pristup za rad u skladu sa svim propisima. Poznata bol za svakog programera? U jednoj velikoj banci ova procedura je trajala od nekoliko sati do nekoliko dana. A budući da je bilo na stotine sličnih operacija mjesečno, lako je zamisliti razmjere ove šeme koja zahtijeva rad. Da bismo tome stavili tačku, modernizirali smo privatni oblak banke i automatizirali ne samo proces kreiranja VM-a, već i povezane operacije.
Zadatak br. 1. Cloud sa internet vezom
Banka je kreirala privatni oblak koristeći svoj interni IT tim za jedan segment mreže. S vremenom je menadžment cijenio njegove prednosti i odlučio da proširi koncept privatnog oblaka na druga okruženja i segmente banke. To je zahtijevalo više stručnjaka i jaku stručnost u privatnim oblacima. Stoga je našem timu povjerena modernizacija oblaka.
Glavni tok ovog projekta bilo je stvaranje virtuelnih mašina u dodatnom segmentu informacione bezbednosti – u demilitarizovanoj zoni (DMZ). Tu su usluge banke integrisane sa eksternim sistemima koji se nalaze izvan bankarske infrastrukture.
Ali ova medalja je imala i drugu stranu. Usluge iz DMZ-a bile su dostupne „spolja“ i to je povlačilo čitav niz rizika za sigurnost informacija. Prije svega, riječ je o prijetnji hakovanja sistema, naknadnom širenju polja napada u DMZ, a potom i prodoru u infrastrukturu banke. Kako bismo minimizirali neke od ovih rizika, predložili smo korištenje dodatne sigurnosne mjere - rješenja za mikrosegmentaciju.
Zaštita od mikrosegmentacije
Klasična segmentacija gradi zaštićene granice na granicama mreža koristeći zaštitni zid. Uz mikrosegmentaciju, svaki pojedinačni VM može biti odvojen u lični, izolovani segment.
Ovo povećava sigurnost cijelog sistema. Čak i ako napadači hakuju jedan DMZ server, biće im izuzetno teško da rašire napad širom mreže – moraće da probiju mnoga „zaključana vrata“ unutar mreže. Lični zaštitni zid svake VM sadrži svoja vlastita pravila koja se odnose na njega, koja određuju pravo ulaska i izlaska. Mi smo obezbedili mikro-segmentaciju koristeći VMware NSX-T Distributed Firewall. Ovaj proizvod centralno kreira pravila zaštitnog zida za VM i distribuira ih kroz virtuelizaciju infrastrukture. Nije bitno koji se gostujući OS koristi, pravilo se primjenjuje na nivou povezivanja virtuelnih mašina na mrežu.
Problem N2. U potrazi za brzinom i praktičnošću
Uvesti virtuelnu mašinu? Lako! Par klikova i gotovi ste. Ali onda se postavljaju mnoga pitanja: kako dobiti pristup sa ovog VM-a drugom ili sistemu? Ili sa drugog sistema nazad na VM?
Na primjer, u banci je nakon naručivanja VM-a na cloud portalu bilo potrebno otvoriti portal tehničke podrške i podnijeti zahtjev za obezbjeđivanje potrebnog pristupa. Greška u aplikaciji rezultirala je pozivima i prepiskom radi ispravljanja situacije. U isto vrijeme, VM može imati 10-15-20 pristupa i obrada svakog od njih je trajala. Đavolji proces.
Osim toga, "čišćenje" tragova životne aktivnosti udaljenih virtuelnih mašina zahtijevalo je posebnu pažnju. Nakon što su uklonjeni, hiljade pravila pristupa ostalo je na firewall-u, učitavajući opremu. Ovo je i dodatni teret i sigurnosne rupe.
Ne možete to učiniti s pravilima u oblaku. To je nezgodno i nesigurno.
Da bismo minimizirali vrijeme koje je potrebno za pružanje pristupa VM-ovima i učinili praktičnim upravljanje njima, razvili smo uslugu upravljanja mrežnim pristupom za VM.
Korisnik na nivou virtuelne mašine u kontekstualnom meniju bira stavku za kreiranje pravila pristupa, a zatim u obrascu koji se otvara zadaje parametre – odakle, odakle, tipovi protokola, brojevi portova. Nakon popunjavanja i podnošenja obrasca, potrebne tikete se automatski kreiraju u sistemu tehničke podrške korisnika baziranom na HP Service Manager-u. Oni su odgovorni za odobravanje ovog ili onog pristupa i, ako je pristup odobren, za stručnjake koji obavljaju neke od operacija koje još nisu automatizirane.
Nakon što proradi faza poslovnog procesa u kojoj su uključeni stručnjaci, počinje dio usluge koji automatski kreira pravila na firewall-ovima.
Kao završni akord korisnik vidi uspješno obavljen zahtjev na portalu. To znači da je pravilo kreirano i da možete raditi s njim - pregledavati, mijenjati, brisati.
Konačna ocjena pogodnosti
U suštini, modernizovali smo male aspekte privatnog oblaka, ali je banka dobila primetan efekat. Korisnici sada dobijaju pristup mreži samo preko portala, bez direktnog kontakta sa Service Desk-om. Obavezna polja obrasca, njihova provjera ispravnosti unesenih podataka, unaprijed konfigurisane liste, dodatni podaci - sve to pomaže da se formuliše tačan zahtjev za pristup, koji će s velikim stepenom vjerovatnoće biti razmotren i neće biti odbijen od strane zaposlenih u informacionoj sigurnosti zbog za greške u unosu. Virtuelne mašine više nisu crne kutije – možete nastaviti da radite sa njima unoseći promene na portalu.
Kao rezultat toga, danas IT stručnjaci banke imaju na raspolaganju pogodniji alat za pristup, a u proces su uključeni samo oni ljudi bez kojih definitivno ne mogu. Ukupno, u smislu troškova rada, ovo je oslobađanje od dnevnog punog opterećenja od najmanje 1 osobe, kao i desetine sati ušteđenih za korisnike. Automatizacija kreiranja pravila omogućila je implementaciju rješenja mikrosegmentacije koje ne opterećuje zaposlene u banci.
I konačno, „pravilo pristupa“ postalo je računovodstvena jedinica oblaka. To jest, sada oblak pohranjuje informacije o pravilima za sve VM i čisti ih kada se virtuelne mašine izbrišu.
Uskoro će se prednosti modernizacije proširiti na cijeli oblak banke. Automatizacija procesa kreiranja VM-a i mikro-segmentacija su se preselili izvan DMZ-a i zahvatili druge segmente. A to je povećalo sigurnost oblaka u cjelini.
Implementirano rješenje zanimljivo je i po tome što omogućava banci da ubrza razvojne procese, približavajući je modelu IT kompanija po ovom kriteriju. Uostalom, kada je riječ o mobilnim aplikacijama, portalima i korisničkim uslugama, svaka velika kompanija danas teži da postane “tvornica” za proizvodnju digitalnih proizvoda. U tom smislu, banke se praktično izjednače sa najjačim IT kompanijama, držeći korak sa kreiranjem novih aplikacija. I dobro je kada vam mogućnosti IT infrastrukture izgrađene na modelu privatnog oblaka omogućavaju da dodijelite potrebne resurse za to za nekoliko minuta i što je sigurnije moguće.
Autori:
Vjačeslav Medvedev, šef odeljenja za računarstvo u oblaku, Jet Infosystems,
Ilya Kuikin, vodeći inženjer odeljenja za računarstvo u oblaku kompanije Jet Infosystems
izvor: www.habr.com