És difícil crear una màquina virtual (VM) al núvol? No és més difícil que fer te. Però quan es tracta d'una gran corporació, fins i tot una acció tan senzilla pot resultar dolorosament llarga. No n'hi ha prou amb crear una màquina virtual, també cal obtenir l'accés necessari per treballar d'acord amb totes les normatives. Un dolor conegut per a tots els desenvolupadors? En un banc gran, aquest procediment va durar des de diverses hores fins a diversos dies. I com que hi havia centenars d'operacions similars al mes, és fàcil imaginar l'escala d'aquest esquema que consumeix mà d'obra. Per posar fi a això, hem modernitzat el núvol privat del banc i hem automatitzat no només el procés de creació de màquines virtuals, sinó també les operacions relacionades.
Tasca núm. 1. Núvol amb connexió a Internet
El banc va crear un núvol privat utilitzant el seu equip informàtic intern per a un únic segment de la xarxa. Amb el temps, la direcció va apreciar els seus beneficis i va decidir estendre el concepte de núvol privat a altres entorns i segments del banc. Això requeria més especialistes i una gran experiència en núvols privats. Per tant, al nostre equip se li va encarregar la modernització del núvol.
El corrent principal d'aquest projecte va ser la creació de màquines virtuals en un segment addicional de seguretat de la informació: a la zona desmilitaritzada (DMZ). És aquí on els serveis del banc s'integren amb sistemes externs situats fora de la infraestructura bancària.
Però aquesta medalla també va tenir una altra cara. Els serveis de la DMZ estaven disponibles "fora" i això comportava tot un conjunt de riscos de seguretat de la informació. En primer lloc, aquesta és l'amenaça de sistemes de pirateria, la posterior expansió del camp d'atac a la DMZ i, després, la penetració a la infraestructura del banc. Per minimitzar alguns d'aquests riscos, vam proposar utilitzar una mesura de seguretat addicional: una solució de microsegmentació.
Protecció de microsegmentació
La segmentació clàssica crea límits protegits als límits de les xarxes mitjançant un tallafoc. Amb la microsegmentació, cada VM individual es pot separar en un segment personal i aïllat.
Això millora la seguretat de tot el sistema. Fins i tot si els atacants pirategen un servidor DMZ, els serà extremadament difícil estendre l'atac per la xarxa: hauran de trencar moltes "portes tancades" dins de la xarxa. El tallafoc personal de cada VM conté les seves pròpies regles al respecte, que determinen el dret d'entrada i sortida. Hem proporcionat microsegmentació mitjançant VMware NSX-T Distributed Firewall. Aquest producte crea regles de tallafoc de manera centralitzada per a màquines virtuals i les distribueix per la infraestructura de virtualització. No importa quin sistema operatiu convidat s'utilitzi, la regla s'aplica a nivell de connexió de màquines virtuals a la xarxa.
Problema N2. A la recerca de velocitat i comoditat
Desplegar una màquina virtual? Fàcilment! Un parell de clics i ja està. Però aleshores sorgeixen moltes preguntes: com accedir des d'aquesta màquina virtual a una altra o sistema? O des d'un altre sistema a la VM?
Per exemple, en un banc, després de demanar una VM al portal del núvol, calia obrir el portal d'assistència tècnica i presentar una sol·licitud de subministrament de l'accés necessari. Un error a l'aplicació va donar lloc a trucades i correspondència per corregir la situació. Al mateix temps, una màquina virtual pot tenir 10-15-20 accessos i el processament de cadascun va prendre temps. El procés del diable.
A més, "netejar" els rastres de l'activitat vital de les màquines virtuals remotes requeria una cura especial. Després de ser eliminats, milers de regles d'accés van romandre al tallafoc, carregant l'equip. Això és alhora una càrrega addicional i forats de seguretat.
No podeu fer-ho amb regles al núvol. És incòmode i insegur.
Per minimitzar el temps que es triga a proporcionar accés a les màquines virtuals i que sigui convenient gestionar-les, hem desenvolupat un servei de gestió d'accés a la xarxa per a màquines virtuals.
L'usuari a nivell de màquina virtual al menú contextual selecciona un element per crear una regla d'accés i, a continuació, en el formulari que s'obre, especifica els paràmetres: des d'on, on, tipus de protocol, números de port. Després d'omplir i enviar el formulari, els tiquets necessaris es creen automàticament al sistema d'assistència tècnica d'usuari basat en HP Service Manager. Són els responsables d'aprovar aquest o aquell accés i, si s'aprova l'accés, als especialistes que realitzen algunes de les operacions que encara no estan automatitzades.
Després d'haver treballat l'etapa del procés empresarial en què participen especialistes, comença la part del servei que crea automàticament regles sobre tallafocs.
Com a acord final, l'usuari veu una sol·licitud completada amb èxit al portal. Això vol dir que la regla s'ha creat i que podeu treballar amb ella: veure, canviar, suprimir.
Puntuació final dels beneficis
Essencialment, vam modernitzar petits aspectes del núvol privat, però el banc va rebre un efecte notable. Els usuaris ara reben accés a la xarxa només a través del portal, sense tractar directament amb el Service Desk. Camps de formulari obligatoris, la seva validació per a la correcció de les dades introduïdes, llistes preconfigurades, dades addicionals: tot això ajuda a formular una sol·licitud d'accés precisa, que amb un alt grau de probabilitat serà considerada i no rebutjada pels empleats de seguretat de la informació a causa de per introduir errors. Les màquines virtuals ja no són caixes negres; podeu continuar treballant amb elles fent canvis al portal.
Com a resultat, avui els informàtics del banc tenen a la seva disposició una eina més còmoda per accedir-hi, i només participen en el procés aquelles persones sense les quals definitivament no poden prescindir. En total, pel que fa als costos laborals, es tracta d'un alliberament de la càrrega completa diària d'almenys 1 persona, així com desenes d'hores estalviades per als usuaris. L'automatització de la creació de regles va permetre implementar una solució de microsegmentació que no suposa una càrrega per als empleats del banc.
I finalment, la "regla d'accés" es va convertir en la unitat de comptabilitat del núvol. És a dir, ara el núvol emmagatzema informació sobre les regles de totes les màquines virtuals i les neteja quan se suprimeixen les màquines virtuals.
Aviat, els beneficis de la modernització s'estendran al núvol de tot el banc. L'automatització del procés de creació de VM i la microsegmentació s'han traslladat més enllà de la DMZ i han capturat altres segments. I això va augmentar la seguretat del núvol en conjunt.
La solució implementada també és interessant perquè permet al banc accelerar els processos de desenvolupament, apropant-lo al model d'empreses de TI segons aquest criteri. Al cap i a la fi, quan es tracta d'aplicacions mòbils, portals i serveis al client, qualsevol gran empresa d'avui s'esforça per convertir-se en una "fàbrica" per a la producció de productes digitals. En aquest sentit, els bancs pràcticament juguen a l'igual que les companyies informàtices més sòlides, seguint el ritme de la creació de noves aplicacions. I és bo quan les capacitats d'una infraestructura informàtica basada en un model de núvol privat permeten destinar els recursos necessaris per a això en pocs minuts i amb la màxima seguretat possible.
Autors:
Vyacheslav Medvedev, cap del departament de Cloud Computing, Jet Infosystems,
Ilya Kuikin, enginyer líder del departament de cloud computing de Jet Infosystems
Font: www.habr.com