Je těžké vytvořit virtuální stroj (VM) v cloudu? Není o nic těžší než uvařit čaj. Ale pokud jde o velkou korporaci, i taková jednoduchá akce se může ukázat jako bolestně dlouhá. Nestačí vytvořit virtuální stroj, musíte také získat nezbytný přístup k práci v souladu se všemi předpisy. Známá bolest pro každého vývojáře? V jedné velké bance tato procedura trvala několik hodin až několik dní. A protože podobných operací měsíčně byly stovky, lze si snadno představit rozsah tohoto pracně náročného schématu. Abychom to ukončili, zmodernizovali jsme privátní cloud banky a zautomatizovali nejen proces tvorby VM, ale i související operace.
Úkol č. 1. Cloud s připojením k internetu
Banka vytvořila privátní cloud pomocí svého interního IT týmu pro jeden segment sítě. Postupem času management ocenil jeho výhody a rozhodl se rozšířit koncept privátního cloudu do dalších prostředí a segmentů banky. To vyžadovalo více specialistů a silné odborné znalosti v oblasti privátních cloudů. Proto byl náš tým pověřen modernizací cloudu.
Hlavním proudem tohoto projektu bylo vytvoření virtuálních strojů v doplňkovém segmentu informační bezpečnosti - v demilitarizované zóně (DMZ). Zde jsou služby banky integrovány s externími systémy umístěnými mimo bankovní infrastrukturu.
Tato medaile měla ale i odvrácenou stranu. Služby z DMZ byly dostupné „venku“ a to s sebou neslo celou řadu rizik informační bezpečnosti. Především je to hrozba hackerských systémů, následné rozšíření útočného pole v DMZ a následně průnik do infrastruktury banky. Abychom minimalizovali některá z těchto rizik, navrhli jsme použít další bezpečnostní opatření – mikrosegmentační řešení.
Ochrana proti mikrosegmentaci
Klasická segmentace vytváří chráněné hranice na hranicích sítí pomocí firewallu. Pomocí mikrosegmentace lze každý jednotlivý VM rozdělit do osobního izolovaného segmentu.
To zvyšuje bezpečnost celého systému. I když útočníci hacknou jeden DMZ server, bude pro ně extrémně obtížné rozšířit útok po síti - budou muset prorazit mnoho „zamčených dveří“ v síti. Personální firewall každého virtuálního počítače obsahuje svá vlastní pravidla, která určují právo vstupu a výstupu. Poskytli jsme mikrosegmentaci pomocí VMware NSX-T Distributed Firewall. Tento produkt centrálně vytváří pravidla brány firewall pro virtuální počítače a distribuuje je napříč virtualizační infrastrukturou. Nezáleží na tom, který hostující OS se použije, pravidlo se použije na úrovni připojení virtuálních počítačů k síti.
Problém N2. Při hledání rychlosti a pohodlí
Nasadit virtuální stroj? Snadno! Pár kliknutí a máte hotovo. Ale pak vyvstává mnoho otázek: jak získat přístup z tohoto virtuálního počítače do jiného nebo systému? Nebo z jiného systému zpět do VM?
Například v bance bylo po objednání VM na cloudovém portálu nutné otevřít portál technické podpory a podat žádost o poskytnutí potřebného přístupu. Chyba v aplikaci měla za následek volání a korespondenci k nápravě situace. Současně může mít virtuální počítač 10-15-20 přístupů a zpracování každého z nich trvalo nějakou dobu. Ďáblův proces.
Kromě toho „uklízení“ stop životní aktivity vzdálených virtuálních strojů vyžadovalo zvláštní péči. Po jejich odstranění zůstaly tisíce přístupových pravidel na bráně firewall, která načítala zařízení. To je jak zátěž navíc, tak bezpečnostní díry.
S pravidly v cloudu to nelze. Je to nepohodlné a nebezpečné.
Abychom minimalizovali dobu potřebnou k poskytování přístupu k virtuálním počítačům a usnadnili jejich správu, vyvinuli jsme službu správy síťového přístupu pro virtuální počítače.
Uživatel na úrovni virtuálního stroje v kontextové nabídce vybere položku pro vytvoření pravidla přístupu a poté ve formuláři, který se otevře, určí parametry - odkud, odkud, typy protokolů, čísla portů. Po vyplnění a odeslání formuláře se potřebné vstupenky automaticky vytvoří v systému uživatelské technické podpory založeném na HP Service Manager. Jsou odpovědní za schválení toho či onoho přístupu, a pokud je přístup schválen, i specialistům, kteří provádějí některé operace, které ještě nejsou automatizované.
Po dokončení fáze obchodního procesu zahrnujícího specialisty začíná část služby, která automaticky vytváří pravidla pro firewally.
Jako poslední akord uživatel vidí úspěšně dokončený požadavek na portálu. To znamená, že pravidlo bylo vytvořeno a můžete s ním pracovat – prohlížet, měnit, mazat.
Konečné skóre výhod
V podstatě jsme modernizovali drobné aspekty privátního cloudu, ale banka zaznamenala znatelný efekt. Uživatelé nyní získají přístup k síti pouze prostřednictvím portálu, aniž by se přímo zabývali Service Desk. Povinná pole formuláře, jejich ověření správnosti zadaných údajů, předkonfigurované seznamy, doplňkové údaje - to vše pomáhá formulovat přesnou žádost o přístup, která bude s vysokou mírou pravděpodobnosti zvážena a neodmítne pracovníky informační bezpečnosti z důvodu k chybám zadávání. Virtuální stroje již nejsou černé skříňky – můžete s nimi nadále pracovat prováděním změn na portálu.
Díky tomu mají dnes IT specialisté banky k dispozici pohodlnější nástroj pro získání přístupu a do procesu jsou zapojeni jen ti lidé, bez kterých se rozhodně neobejdou. V součtu jde z hlediska mzdových nákladů o osvobození od denního plného vytížení minimálně 1 osoby a také o desítky ušetřených hodin pro uživatele. Automatizace tvorby pravidel umožnila implementovat mikrosegmentační řešení, které nezatěžuje zaměstnance banky.
A nakonec se „pravidlo přístupu“ stalo účetní jednotkou cloudu. To znamená, že nyní cloud ukládá informace o pravidlech pro všechny virtuální počítače a čistí je, když jsou virtuální počítače odstraněny.
Výhody modernizace se brzy rozšíří do cloudu celé banky. Automatizace procesu vytváření virtuálních počítačů a mikrosegmentace se posunuly za hranice DMZ a zachytily další segmenty. A tím se zvýšila bezpečnost cloudu jako celku.
Implementované řešení je zajímavé také tím, že umožňuje bance zrychlit vývojové procesy a přiblížit se modelu IT firem podle tohoto kritéria. Ostatně, co se týče mobilních aplikací, portálů a zákaznických služeb, každá velká společnost se dnes snaží stát „továrnou“ na výrobu digitálních produktů. Banky se v tomto smyslu prakticky vyrovnají nejsilnějším IT společnostem a drží krok s tvorbou nových aplikací. A je dobré, když vám možnosti IT infrastruktury postavené na modelu privátního cloudu umožňují alokovat potřebné zdroje během několika minut a co nejbezpečněji.
Autoři:
Vyacheslav Medveděv, vedoucí oddělení cloud computingu, Jet Infosystems,
Ilya Kuikin, vedoucí inženýr oddělení cloud computingu společnosti Jet Infosystems
Zdroj: www.habr.com