Lisud ba ang paghimo og virtual machine (VM) sa panganod? Dili mas lisud kaysa paghimo og tsa. Apan kung bahin sa usa ka dako nga korporasyon, bisan ang ingon nga yano nga aksyon mahimo’g mahimong sakit nga dugay. Dili igo ang paghimo sa usa ka virtual nga makina; kinahanglan nimo nga makuha ang kinahanglan nga pag-access aron magtrabaho uyon sa tanan nga mga regulasyon. Usa ka pamilyar nga kasakit alang sa matag developer? Sa usa ka dako nga bangko, kini nga pamaagi gikuha gikan sa daghang oras hangtod sa daghang mga adlaw. Ug tungod kay adunay gatusan ka susama nga mga operasyon matag bulan, sayon nga mahanduraw ang gidak-on niini nga pamaagi sa pagkonsumo sa trabaho. Aron tapuson kini, gi-moderno namo ang pribadong panganod sa bangko ug gi-automate dili lang ang proseso sa pagmugna og mga VM, kondili ang mga may kalabutan nga operasyon.
Buluhaton Numero 1. Cloud nga adunay koneksyon sa Internet
Naghimo ang bangko og pribadong panganod gamit ang internal nga IT team niini alang sa usa ka bahin sa network. Sa paglabay sa panahon, gipabilhan sa pagdumala ang mga benepisyo niini ug nakahukom nga ipaabot ang konsepto sa pribadong panganod sa ubang mga palibot ug mga bahin sa bangko. Nagkinahanglan kini og dugang nga mga espesyalista ug lig-on nga kahanas sa pribadong mga panganod. Busa, ang among team gisaligan sa pagmoderno sa panganod.
Ang panguna nga sapa sa kini nga proyekto mao ang paghimo sa mga virtual nga makina sa usa ka dugang nga bahin sa seguridad sa kasayuran - sa demilitarized zone (DMZ). Dinhi diin ang mga serbisyo sa bangko gisagol sa mga eksternal nga sistema nga nahimutang sa gawas sa imprastraktura sa bangko.
Apan kini nga medalya adunay usa usab ka bali nga bahin. Ang mga serbisyo gikan sa DMZ anaa "sa gawas" ug kini naglakip sa usa ka tibuok hugpong sa mga risgo sa seguridad sa impormasyon. Una sa tanan, kini ang hulga sa mga sistema sa pag-hack, sunod nga pagpalapad sa natad sa pag-atake sa DMZ, ug dayon pagsulod sa imprastraktura sa bangko. Aron mamenosan ang pipila niini nga mga risgo, among gisugyot ang paggamit og dugang nga sukod sa seguridad - usa ka solusyon sa micro-segmentation.
Proteksyon sa micro-segmentation
Ang klasiko nga pagbahin-bahin nagtukod ug giprotektahan nga mga utlanan sa mga utlanan sa mga network gamit ang usa ka firewall. Uban sa microsegmentation, ang matag indibidwal nga VM mahimong mabulag sa usa ka personal, nahilain nga bahin.
Gipauswag niini ang seguridad sa tibuuk nga sistema. Bisan kung gi-hack sa mga tig-atake ang usa ka server sa DMZ, labi ka lisud alang kanila nga ipakaylap ang pag-atake sa tibuuk nga network - kinahanglan nila nga lumpagon ang daghang "naka-lock nga mga pultahan" sa sulod sa network. Ang personal nga firewall sa matag VM naglangkob sa kaugalingon nga mga lagda bahin niini, nga nagtino sa katungod sa pagsulod ug paggawas. Naghatag kami og micro-segmentation gamit ang VMware NSX-T Distributed Firewall. Kini nga produkto sa sentral nga paghimo sa mga lagda sa firewall alang sa mga VM ug giapod-apod kini sa tibuuk nga imprastraktura sa virtualization. Dili igsapayan kung unsang bisita nga OS ang gigamit, ang lagda gipadapat sa lebel sa pagkonektar sa mga virtual machine sa network.
Problema N2. Sa pagpangita sa katulin ug kasayon
I-deploy ang usa ka virtual nga makina? Sayon! Pipila ka mga pag-klik ug nahuman ka. Apan daghang mga pangutana ang mitungha: kung giunsa makuha ang pag-access gikan sa kini nga VM ngadto sa lain o sistema? O gikan sa laing sistema balik sa VM?
Pananglitan, sa usa ka bangko, human sa pag-order sa usa ka VM sa cloud portal, gikinahanglan ang pag-abli sa teknikal nga suporta portal ug pagsumite sa usa ka hangyo alang sa probisyon sa gikinahanglan nga access. Ang usa ka sayup sa aplikasyon miresulta sa mga tawag ug sulat aron matul-id ang sitwasyon. Sa samang higayon, ang usa ka VM mahimong adunay 10-15-20 nga mga pag-access ug ang pagproseso sa matag usa nagkinahanglan og panahon. Ang proseso sa yawa.
Dugang pa, ang "paglimpyo" sa mga timailhan sa kalihokan sa kinabuhi sa hilit nga virtual nga mga makina nanginahanglan espesyal nga pag-atiman. Human sila matangtang, liboan ka mga lagda sa pag-access ang nagpabilin sa firewall, nagkarga sa mga ekipo. Kini usa ka dugang nga palas-anon ug mga lungag sa seguridad.
Dili nimo kini mahimo sa mga lagda sa panganod. Kini dili kombenyente ug dili luwas.
Aron mamenosan ang oras nga gikinahanglan sa paghatag og access sa mga VM ug himoong sayon ang pagdumala niini, nakahimo kami og serbisyo sa pagdumala sa access sa network alang sa mga VM.
Ang user sa lebel sa virtual machine sa menu sa konteksto mipili sa usa ka butang aron makahimo og usa ka lagda sa pag-access, ug dayon sa porma nga nagbukas nagtino sa mga parameter - gikan diin, diin, mga tipo sa protocol, mga numero sa pantalan. Pagkahuman sa pagpuno ug pagsumite sa porma, ang kinahanglan nga mga tiket awtomatik nga gihimo sa sistema sa teknikal nga suporta sa tiggamit base sa HP Service Manager. Responsable sila sa pag-aprobar niini o kana nga pag-access ug, kung maaprobahan ang pag-access, sa mga espesyalista nga naghimo sa pipila ka mga operasyon nga dili pa awtomatiko.
Pagkahuman sa yugto sa proseso sa negosyo nga naglambigit sa mga espesyalista nagtrabaho, nagsugod ang bahin sa serbisyo nga awtomatiko nga nagmugna mga lagda sa mga firewall.
Ingon nga katapusan nga chord, ang user nakakita sa usa ka malampuson nga nahuman nga hangyo sa portal. Kini nagpasabut nga ang lagda nahimo ug mahimo nimo kini buhaton - pagtan-aw, pagbag-o, pagtangtang.
Katapusan nga marka sa mga benepisyo
Sa tinuud, gi-moderno namon ang gagmay nga mga aspeto sa pribadong panganod, apan ang bangko nakadawat usa ka mamatikdan nga epekto. Ang mga tiggamit karon makadawat sa pag-access sa network pinaagi lamang sa portal, nga wala direkta nga nakiglabot sa Service Desk. Mandatory nga porma nga mga natad, ang ilang pag-validate alang sa pagkahusto sa gisulod nga datos, pre-configured nga mga lista, dugang nga datos - kining tanan makatabang sa paghimo sa usa ka tukma nga hangyo sa pag-access, nga adunay taas nga ang-ang sa kalagmitan pagaisipon ug dili isalikway sa mga empleyado sa seguridad sa impormasyon tungod sa sa mga sayop sa pag-input. Ang mga virtual nga makina dili na mga itom nga kahon-mahimo nimong ipadayon ang pagtrabaho uban kanila pinaagi sa paghimo og mga pagbag-o sa portal.
Ingon usa ka sangputanan, karon ang mga espesyalista sa IT sa bangko adunay usa ka labi ka kombenyente nga himan alang sa pag-access, ug ang mga tawo ra ang naapil sa proseso, kung wala sila siguradong dili nila mahimo kung wala. Sa kinatibuk-an, sa mga termino sa mga gasto sa pagtrabaho, kini usa ka pagpagawas gikan sa adlaw-adlaw nga bug-os nga karga sa labing menos 1 ka tawo, ingon man usab sa daghang mga oras nga gitipigan alang sa mga tiggamit. Ang pag-automate sa paglalang sa lagda nagpaposible sa pagpatuman sa usa ka micro-segmentation nga solusyon nga dili makamugna og palas-anon sa mga empleyado sa bangko.
Ug sa katapusan, ang "pagmando sa pag-access" nahimo nga yunit sa accounting sa panganod. Kana mao, karon ang panganod nagtipig kasayuran bahin sa mga lagda alang sa tanan nga mga VM ug gilimpyohan kini kung ang mga virtual nga makina matangtang.
Sa dili madugay ang mga benepisyo sa modernisasyon mokaylap sa tibuuk nga panganod sa bangko. Ang automation sa proseso sa paghimo sa VM ug micro-segmentation mibalhin lapas sa DMZ ug nakuha ang ubang mga bahin. Ug kini nagdugang sa seguridad sa panganod sa kinatibuk-an.
Ang gipatuman nga solusyon makapainteres usab nga gitugotan niini ang bangko nga mapadali ang mga proseso sa pag-uswag, nga gipaduol kini sa modelo sa mga kompanya sa IT sumala sa kini nga sukdanan. Pagkahuman, kung bahin sa mga mobile application, portal, ug serbisyo sa kostumer, bisan unsang dagkong kompanya karon naningkamot nga mahimong "pabrika" alang sa paghimo sa mga digital nga produkto. Niini nga pagsabut, ang mga bangko halos nagdula sa par sa labing kusgan nga mga kompanya sa IT, nga nagsunod sa paghimo sa mga bag-ong aplikasyon. Ug kini maayo kung ang mga kapabilidad sa usa ka imprastraktura sa IT nga gitukod sa usa ka pribado nga modelo sa panganod nagtugot kanimo sa paggahin sa gikinahanglan nga mga kapanguhaan alang niini sa pipila ka minuto ug ingon ka luwas kutob sa mahimo.
Mga tagsulat:
Vyacheslav Medvedev, Ulo sa Cloud Computing Department, Jet Infosystems,
Ilya Kuikin, nanguna nga engineer sa cloud computing department sa Jet Infosystems
Source: www.habr.com