Hè difficiule di creà una macchina virtuale (VM) in u nuvulu? Ùn hè più difficiule di fà u tè. Ma quandu si tratta di una grande corporazione, ancu una azzione cusì simplice pò esse dulurosamente longa. Ùn hè micca abbastanza per creà una macchina virtuale; avete ancu bisognu di ottene l'accessu necessariu per travaglià in cunfurmità cù tutti i regulamenti. Un dolore familiar per ogni sviluppatore? In un grande bancu, sta prucedura hà pigliatu da parechje ore à parechji ghjorni. E postu chì ci era centinaie di operazioni simili à u mese, hè faciule d'imaginà a scala di stu schema di cunsumu di travagliu. Per finisce questu, avemu mudernizatu u nuvulu privatu di u bancu è automatizatu micca solu u prucessu di creazione di VM, ma ancu e operazioni relative.
Attività n ° 1. Nuvola cù cunnessione Internet
U bancu hà creatu un nuvulu privatu utilizendu a so squadra interna di l'IT per un unicu segmentu di a reta. À u tempu, a gestione hà apprezzatu i so benefici è hà decisu di estenderà u cuncettu di nuvola privata à altri ambienti è segmenti di u bancu. Questu hà bisognu di più specialisti è una forte cumpetenza in i nuvuli privati. Dunque, a nostra squadra hè stata affidata à mudernizà u nuvulu.
U flussu principale di stu prughjettu era a creazione di macchine virtuali in un segmentu supplementu di sicurità di l'infurmazioni - in a zona demilitarizzata (DMZ). Questu hè induve i servizii di u bancu sò integrati cù sistemi esterni situati fora di l'infrastruttura bancaria.
Ma sta medaglia hà avutu ancu un flip side. I servizii da a DMZ eranu dispunibuli "fora" è questu implicava una serie di risichi per a sicurità di l'infurmazioni. Prima di tuttu, questu hè a minaccia di sistemi di pirate, espansione sussegwenti di u campu d'attaccu in a DMZ, è dopu a penetrazione in l'infrastruttura di u bancu. Per minimizzà alcuni di sti risichi, avemu prupostu di utilizà una misura di sicurezza supplementaria - una suluzione di micro-segmentazione.
Prutezzione di micro-segmentazione
A segmentazione classica crea cunfini prutetti à i cunfini di e rete cù un firewall. Cù a microsegmentazione, ogni VM individuale pò esse separata in un segmentu persunale, isolatu.
Questu aumenta a sicurità di tuttu u sistema. Ancu s'è l'attaccanti pirateghjanu un servitore DMZ, serà estremamente difficiule per elli di sparghje l'attaccu in a reta - duveranu sfondà parechje "porte chjuse" in a reta. U firewall persunale di ogni VM cuntene e so regule riguardu à questu, chì determinanu u dirittu di entre è surtite. Avemu furnitu a micro-segmentazione cù VMware NSX-T Distributed Firewall. Stu pruduttu crea cintrali reguli di firewall per VM è li distribuisce in l'infrastruttura di virtualizazione. Ùn importa micca quale OS invitatu hè utilizatu, a regula hè appiicata à u livellu di cunnessione di e macchine virtuali à a reta.
Prublemu N2. In cerca di rapidità è comodità
Implementà una macchina virtuale? Facilmente! Un paru di clicchi è avete finitu. Ma tandu sorgenu parechje dumande: cumu uttene accessu da questa VM à un altru o sistema? O da un altru sistema torna à a VM?
Per esempiu, in un bancu, dopu avè urdinatu una VM nantu à u portale nuvola, era necessariu di apre u portale di supportu tecnicu è invià una dumanda per furnisce l'accessu necessariu. Un errore in l'applicazione hà risultatu in chjama è currispundenza per correggere a situazione. À u listessu tempu, una VM pò avè 10-15-20 accessi è u processu ognunu hà pigliatu u tempu. U prucessu di u diavulu.
Inoltre, "pulizia" tracce di l'attività di vita di e macchine virtuali remoti necessitava una cura speciale. Dopu chì sò stati sguassati, migghiara di reguli d'accessu restanu nantu à u firewall, carrichendu l'equipaggiu. Questu hè à tempu una carica extra è buchi di sicurezza.
Ùn pudete micca fà questu cù e regule in u nuvulu. Hè inconveniente è inseguru.
Per minimizzà u tempu chì ci vole à furnisce l'accessu à e VM è rende cunvene per gestisce, avemu sviluppatu un serviziu di gestione di l'accessu à a rete per i VM.
L'utilizatori à u nivellu di a macchina virtuale in u menù di u cuntestu selezziunate un articulu per creà una regula d'accessu, è dopu in a forma chì apre specifica i paràmetri - da induve, induve, tippi di protokollu, numeri di portu. Dopu avè cumpletu è sottumessu u furmulariu, i biglietti necessarii sò creati automaticamente in u sistema di supportu tecnicu di l'utilizatori basatu in HP Service Manager. Sò rispunsevuli di appruvà questu o quellu accessu è, se l'accessu hè appruvatu, à i specialisti chì facenu alcune di l'operazioni chì ùn sò micca ancu automatizate.
Dopu chì a tappa di u prucessu cummerciale chì implica i specialisti hà travagliatu, a parte di u serviziu principia chì crea automaticamente regule nantu à i firewalls.
Cum'è l'accordu finale, l'utilizatore vede una dumanda cumpleta cù successu in u portale. Questu significa chì a regula hè stata creata è pudete travaglià cun ella - vede, cambià, sguassà.
Puntu finale di benefici
Essenzialmente, avemu mudernizatu picculi aspetti di u nuvulu privatu, ma u bancu hà ricevutu un effettu notevuli. L'utilizatori ricevenu avà accessu à a rete solu attraversu u portale, senza trattà direttamente cù u Service Desk. Campi di furmulariu obligatoriu, a so validazione per a correttezza di i dati inseriti, listi pre-configurati, dati supplementari - tuttu questu aiuta à furmulà una dumanda d'accessu precisa, chì cun un altu gradu di probabilità serà cunsiderata è micca rifiutata da l'impiegati di a sicurità di l'infurmazioni per via. per input errori. E macchine virtuali ùn sò più scatuli neri - pudete cuntinuà à travaglià cun elli fendu cambiamenti in u portale.
In u risultatu, oghje i specialisti di l'informatica di u bancu anu à a so dispusizione un strumentu più còmuda per acquistà l'accessu, è solu quelli persone sò implicati in u prucessu, senza quale definitamente ùn ponu micca fà senza. In totale, in quantu à i costi di u travagliu, questu hè una liberazione da a carica di ogni ghjornu di almenu 1 persona, è ancu decine d'ore salvate per l'utilizatori. L'automatizazione di a creazione di regule hà permessu di implementà una suluzione di micro-segmentazione chì ùn crea micca una carica per l'impiegati bancari.
È infine, a "regola d'accessu" hè diventata l'unità di cuntabilità di u nuvulu. Questu hè, avà u nuvulu guarda l'infurmazioni nantu à e regule per tutte e VM è li pulisce quandu e macchine virtuali sò sguassate.
Prestu i benefici di a mudernizazione si sparghjeranu à u nuvulu tutale di u bancu. L'automatizazione di u prucessu di creazione di VM è a micro-segmentazione anu spusatu oltre a DMZ è catturà altri segmenti. È questu hà aumentatu a sicurità di u nuvulu in tuttu.
A suluzione implementata hè ancu interessante in quantu permette à a banca per accelerà i prucessi di sviluppu, avvicinandulu più vicinu à u mudellu di cumpagnie IT secondu stu criteriu. Dopu tuttu, quandu si tratta di applicazioni mobili, portali è servizii di u cliente, ogni grande cumpagnia oghje s'impegna à diventà una "fabbrica" per a produzzione di prudutti digitale. In questu sensu, i banche praticamente ghjucanu à parità cù e più forti cumpagnie di l'IT, mantenendu cù a creazione di novi applicazioni. È hè bonu quandu e capacità di una infrastruttura IT custruita nantu à un mudellu di nuvola privata permettenu di assignà e risorse necessarie per questu in pochi minuti è in modu sicuru pussibule.
Autori:
Vyacheslav Medvedev, Capu di u Dipartimentu di Cloud Computing, Jet Infosystems,
Ilya Kuikin, ingegnere principale di u dipartimentu di cloud computing di Jet Infosystems
Source: www.habr.com