Er det svært at oprette en virtuel maskine (VM) i skyen? Ikke sværere end at lave te. Men når det kommer til en stor virksomhed, kan selv sådan en simpel handling vise sig at være smertefuld lang. Det er ikke nok at oprette en virtuel maskine; du skal også have den nødvendige adgang til at arbejde i overensstemmelse med alle regler. En velkendt smerte for enhver udvikler? I en stor bank tog denne procedure fra flere timer til flere dage. Og da der var hundredvis af lignende operationer om måneden, er det let at forestille sig omfanget af denne arbejdskrævende ordning. For at sætte en stopper for dette, moderniserede vi bankens private cloud og automatiserede ikke kun processen med at skabe VM'er, men også relaterede operationer.
Opgave nr. 1. Sky med internetforbindelse
Banken skabte en privat sky ved hjælp af sit interne it-team til et enkelt segment af netværket. Med tiden satte ledelsen pris på dets fordele og besluttede at udvide konceptet med private cloud til andre miljøer og segmenter af banken. Dette krævede flere specialister og stærk ekspertise inden for private clouds. Derfor blev vores team betroet at modernisere skyen.
Hovedstrømmen af dette projekt var skabelsen af virtuelle maskiner i et yderligere segment af informationssikkerhed - i den demilitariserede zone (DMZ). Det er her, bankens ydelser er integreret med eksterne systemer placeret uden for bankinfrastrukturen.
Men denne medalje havde også en bagside. Tjenester fra DMZ var tilgængelige "udenfor", og dette indebar en hel række informationssikkerhedsrisici. Først og fremmest er dette truslen om hacking-systemer, efterfølgende udvidelse af angrebsfeltet i DMZ og derefter indtrængen i bankens infrastruktur. For at minimere nogle af disse risici foreslog vi at bruge en ekstra sikkerhedsforanstaltning - en mikrosegmenteringsløsning.
Mikrosegmenteringsbeskyttelse
Klassisk segmentering bygger beskyttede grænser ved grænserne af netværk ved hjælp af en firewall. Med mikrosegmentering kan hver enkelt VM adskilles i et personligt, isoleret segment.
Dette øger sikkerheden i hele systemet. Selvom angribere hacker én DMZ-server, vil det være ekstremt svært for dem at sprede angrebet på tværs af netværket - de bliver nødt til at bryde igennem mange "låste døre" i netværket. Den personlige firewall på hver VM indeholder sine egne regler vedrørende den, som bestemmer retten til at komme ind og ud. Vi leverede mikrosegmentering ved hjælp af VMware NSX-T Distributed Firewall. Dette produkt opretter centralt firewall-regler for VM'er og distribuerer dem på tværs af virtualiseringsinfrastrukturen. Det er ligegyldigt hvilket gæste-OS der bruges, reglen anvendes på niveauet for at forbinde virtuelle maskiner til netværket.
Problem N2. På jagt efter hastighed og bekvemmelighed
Implementere en virtuel maskine? Let! Et par klik og du er færdig. Men så opstår der mange spørgsmål: hvordan får man adgang fra denne VM til et andet eller system? Eller fra et andet system tilbage til VM'en?
For eksempel, i en bank, efter at have bestilt en VM på cloud-portalen, var det nødvendigt at åbne den tekniske supportportal og indsende en anmodning om levering af den nødvendige adgang. En fejl i applikationen resulterede i opkald og korrespondance for at rette op på situationen. Samtidig kan en VM have 10-15-20 adgange, og behandlingen af hver enkelt tog tid. Djævelens proces.
Derudover krævede det særlig omhu at "rydde op" spor af livsaktiviteten på eksterne virtuelle maskiner. Efter at de var blevet fjernet, forblev tusindvis af adgangsregler på firewallen, der indlæste udstyret. Dette er både en ekstra belastning og sikkerhedshuller.
Du kan ikke gøre dette med regler i skyen. Det er ubelejligt og usikkert.
For at minimere den tid, det tager at give adgang til VM'er og gøre det bekvemt at administrere dem, har vi udviklet en netværksadgangsstyringstjeneste til VM'er.
Brugeren på det virtuelle maskine-niveau i kontekstmenuen vælger et element for at oprette en adgangsregel, og derefter i den formular, der åbnes, angiver parametrene - hvorfra, hvor, protokoltyper, portnumre. Efter udfyldning og indsendelse af formularen oprettes de nødvendige billetter automatisk i brugerens tekniske supportsystem baseret på HP Service Manager. De er ansvarlige for at godkende denne eller hin adgang og, hvis adgangen er godkendt, for specialister, der udfører nogle af de operationer, der endnu ikke er automatiseret.
Efter at fasen af forretningsprocessen, der involverer specialister, har fungeret, begynder den del af tjenesten, der automatisk opretter regler om firewalls.
Som den sidste akkord ser brugeren en vellykket gennemført anmodning på portalen. Det betyder, at reglen er oprettet, og du kan arbejde med den - se, ændre, slette.
Slutresultat af fordele
Grundlæggende moderniserede vi små aspekter af den private sky, men banken fik en mærkbar effekt. Brugere får nu kun netværksadgang via portalen, uden at have direkte kontakt med Service Desk. Obligatoriske formularfelter, deres validering for rigtigheden af de indtastede data, prækonfigurerede lister, yderligere data - alt dette hjælper med at formulere en præcis adgangsanmodning, som med høj grad af sandsynlighed vil blive overvejet og ikke afvist af informationssikkerhedsansatte pga. at indtaste fejl. Virtuelle maskiner er ikke længere sorte bokse – du kan fortsætte med at arbejde med dem ved at foretage ændringer på portalen.
Derfor har bankens it-specialister i dag et mere bekvemt værktøj til at få adgang til, og kun de personer er involveret i processen, som de absolut ikke kan undvære. I alt, hvad angår lønomkostninger, er dette en frigivelse fra den daglige fuld belastning på mindst 1 person, samt snesevis af sparede timer for brugerne. Automatisering af regelskabelse gjorde det muligt at implementere en mikrosegmenteringsløsning, der ikke belaster bankens medarbejdere.
Og endelig blev "adgangsreglen" skyens regnskabsenhed. Det vil sige, at nu gemmer skyen information om reglerne for alle VM'er og rydder op i dem, når virtuelle maskiner slettes.
Snart vil fordelene ved modernisering brede sig til hele bankens sky. Automatisering af VM-oprettelsesprocessen og mikrosegmentering har bevæget sig ud over DMZ og erobret andre segmenter. Og dette øgede sikkerheden i skyen som helhed.
Den implementerede løsning er også interessant, fordi den giver banken mulighed for at fremskynde udviklingsprocesser, og bringe den tættere på modellen for it-virksomheder efter dette kriterium. Når alt kommer til alt, når det kommer til mobile applikationer, portaler og kundeservice, stræber enhver stor virksomhed i dag efter at blive en "fabrik" til produktion af digitale produkter. I den forstand spiller banker praktisk talt på niveau med de stærkeste it-virksomheder og følger med i skabelsen af nye applikationer. Og det er godt, når mulighederne i en it-infrastruktur bygget på en privat cloud-model giver dig mulighed for at allokere de nødvendige ressourcer til dette på få minutter og så sikkert som muligt.
Forfattere:
Vyacheslav Medvedev, leder af Cloud Computing-afdelingen, Jet Infosystems,
Ilya Kuikin, ledende ingeniør i cloud computing-afdelingen hos Jet Infosystems
Kilde: www.habr.com