Ist es schwierig, eine virtuelle Maschine (VM) in der Cloud zu erstellen? Nicht schwieriger als Tee zuzubereiten. Aber wenn es um einen großen Konzern geht, kann sich selbst eine so einfache Aktion als schmerzhaft langwierig erweisen. Es reicht nicht aus, eine virtuelle Maschine zu erstellen; Sie müssen auch den erforderlichen Zugriff erhalten, um in Übereinstimmung mit allen Vorschriften arbeiten zu können. Ein bekanntes Problem für jeden Entwickler? Bei einer großen Bank dauerte dieser Vorgang mehrere Stunden bis mehrere Tage. Und da jeden Monat Hunderte ähnlicher Operationen durchgeführt wurden, kann man sich das Ausmaß dieses arbeitsaufwändigen Vorhabens leicht vorstellen. Um dem ein Ende zu setzen, haben wir die private Cloud der Bank modernisiert und nicht nur den Prozess der Erstellung von VMs, sondern auch die damit verbundenen Vorgänge automatisiert.
Aufgabe Nr. 1. Cloud mit Internetverbindung
Die Bank hat mithilfe ihres internen IT-Teams eine private Cloud für ein einzelnes Segment des Netzwerks erstellt. Mit der Zeit erkannte das Management die Vorteile und beschloss, das Private-Cloud-Konzept auf andere Umgebungen und Segmente der Bank auszudehnen. Dies erforderte mehr Spezialisten und starkes Fachwissen im Bereich Private Clouds. Daher wurde unser Team mit der Modernisierung der Cloud beauftragt.
Der Hauptstrom dieses Projekts war die Schaffung virtueller Maschinen in einem zusätzlichen Segment der Informationssicherheit – in der demilitarisierten Zone (DMZ). Hier werden die Dienstleistungen der Bank in externe Systeme integriert, die sich außerhalb der Bankinfrastruktur befinden.
Doch diese Medaille hatte auch eine Kehrseite. Dienste der DMZ waren „außerhalb“ verfügbar und bergen eine Reihe von Risiken für die Informationssicherheit. Dabei handelt es sich zunächst um die Bedrohung durch Hacking-Systeme, die anschließende Ausweitung des Angriffsfelds in der DMZ und dann das Eindringen in die Infrastruktur der Bank. Um einige dieser Risiken zu minimieren, haben wir den Einsatz einer zusätzlichen Sicherheitsmaßnahme vorgeschlagen – einer Mikrosegmentierungslösung.
Mikrosegmentierungsschutz
Die klassische Segmentierung baut mithilfe einer Firewall geschützte Grenzen an den Grenzen von Netzwerken auf. Mit Mikrosegmentierung kann jede einzelne VM in ein persönliches, isoliertes Segment aufgeteilt werden.
Dies erhöht die Sicherheit des gesamten Systems. Selbst wenn Angreifer einen DMZ-Server hacken, wird es für sie äußerst schwierig sein, den Angriff über das Netzwerk auszubreiten – sie müssen viele „verschlossene Türen“ innerhalb des Netzwerks durchbrechen. Die persönliche Firewall jeder VM enthält eigene Regeln, die das Ein- und Austrittsrecht festlegen. Wir haben Mikrosegmentierung mithilfe der VMware NSX-T Distributed Firewall bereitgestellt. Dieses Produkt erstellt zentral Firewall-Regeln für VMs und verteilt sie über die Virtualisierungsinfrastruktur. Es spielt keine Rolle, welches Gastbetriebssystem verwendet wird, die Regel wird auf der Ebene der Verbindung virtueller Maschinen mit dem Netzwerk angewendet.
Problem N2. Auf der Suche nach Geschwindigkeit und Komfort
Eine virtuelle Maschine bereitstellen? Leicht! Ein paar Klicks und Sie sind fertig. Doch dann stellen sich viele Fragen: Wie erhält man Zugriff von dieser VM auf ein anderes oder ein anderes System? Oder von einem anderen System zurück zur VM?
Beispielsweise war es in einer Bank nach der Bestellung einer VM auf dem Cloud-Portal erforderlich, das technische Support-Portal zu öffnen und einen Antrag auf Bereitstellung des erforderlichen Zugangs zu stellen. Ein Fehler im Antrag führte zu Anrufen und Korrespondenz, um die Situation zu korrigieren. Gleichzeitig kann eine VM 10-15-20 Zugriffe haben und die Verarbeitung jedes einzelnen dauerte einige Zeit. Teufelsprozess.
Darüber hinaus erforderte die „Bereinigung“ von Spuren der Lebensaktivität entfernter virtueller Maschinen besondere Sorgfalt. Nachdem sie entfernt wurden, verblieben Tausende von Zugriffsregeln auf der Firewall und belasteten die Geräte. Dies stellt sowohl eine zusätzliche Belastung als auch Sicherheitslücken dar.
Mit Regeln in der Cloud ist dies nicht möglich. Es ist unbequem und unsicher.
Um den Zeitaufwand für die Bereitstellung des Zugriffs auf VMs zu minimieren und deren Verwaltung bequem zu gestalten, haben wir einen Netzwerkzugriffsverwaltungsdienst für VMs entwickelt.
Der Benutzer auf der Ebene der virtuellen Maschine wählt im Kontextmenü ein Element aus, um eine Zugriffsregel zu erstellen, und gibt dann im sich öffnenden Formular die Parameter an – von wo, wo, Protokolltypen, Portnummern. Nach dem Ausfüllen und Absenden des Formulars werden die erforderlichen Tickets automatisch im technischen Supportsystem des Benutzers auf Basis des HP Service Managers erstellt. Sie sind für die Genehmigung dieses oder jenes Zugangs verantwortlich und, falls der Zugang genehmigt wurde, für Spezialisten, die einige der noch nicht automatisierten Vorgänge durchführen.
Nachdem die Phase des Geschäftsprozesses unter Einbeziehung von Spezialisten abgeschlossen ist, beginnt der Teil des Dienstes, der automatisch Regeln für Firewalls erstellt.
Als Schlussakkord sieht der Nutzer eine erfolgreich abgeschlossene Anfrage auf dem Portal. Dies bedeutet, dass die Regel erstellt wurde und Sie damit arbeiten können – anzeigen, ändern, löschen.
Endergebnis der Leistungen
Im Wesentlichen haben wir kleine Aspekte der Private Cloud modernisiert, aber die Bank hat einen spürbaren Effekt erzielt. Benutzer erhalten jetzt Netzwerkzugriff nur noch über das Portal, ohne sich direkt an den Service Desk zu wenden. Obligatorische Formularfelder, deren Überprüfung auf Richtigkeit der eingegebenen Daten, vorkonfigurierte Listen, Zusatzdaten – all dies hilft dabei, eine genaue Zugriffsanfrage zu formulieren, die mit hoher Wahrscheinlichkeit von Mitarbeitern der Informationssicherheit berücksichtigt und nicht fällig abgelehnt wird auf Eingabefehler. Virtuelle Maschinen sind keine Black Boxes mehr – Sie können weiterhin mit ihnen arbeiten, indem Sie Änderungen im Portal vornehmen.
Dadurch verfügen die IT-Spezialisten der Bank heute über ein komfortableres Tool für den Zugriff und es sind nur die Personen in den Prozess eingebunden, auf die sie definitiv nicht verzichten können. Insgesamt bedeutet dies hinsichtlich der Arbeitskosten eine Entlastung von der täglichen Volllast von mindestens einer Person sowie eine Ersparnis von Dutzenden Stunden für die Benutzer. Durch die Automatisierung der Regelerstellung konnte eine Mikrosegmentierungslösung implementiert werden, die die Bankmitarbeiter nicht belastet.
Und schließlich wurde die „Zugriffsregel“ zur Abrechnungseinheit der Cloud. Das heißt, die Cloud speichert jetzt Informationen über die Regeln für alle VMs und bereinigt sie, wenn virtuelle Maschinen gelöscht werden.
Schon bald werden sich die Vorteile der Modernisierung auf die Cloud der gesamten Bank ausweiten. Die Automatisierung des VM-Erstellungsprozesses und die Mikrosegmentierung sind über die DMZ hinausgegangen und haben andere Segmente erfasst. Und dies erhöhte die Sicherheit der Cloud insgesamt.
Interessant an der implementierten Lösung ist auch, dass sie es der Bank ermöglicht, Entwicklungsprozesse zu beschleunigen und sich nach diesem Kriterium dem Vorbild von IT-Unternehmen anzunähern. Denn wenn es um mobile Anwendungen, Portale und Kundenservices geht, strebt jedes große Unternehmen heute danach, eine „Fabrik“ für die Produktion digitaler Produkte zu werden. In diesem Sinne spielen Banken praktisch auf Augenhöhe mit den stärksten IT-Unternehmen und halten mit der Entwicklung neuer Anwendungen Schritt. Und es ist gut, wenn die Fähigkeiten einer IT-Infrastruktur, die auf einem Private-Cloud-Modell basiert, es Ihnen ermöglichen, die dafür erforderlichen Ressourcen in wenigen Minuten und so sicher wie möglich bereitzustellen.
Autoren:
Vyacheslav Medvedev, Leiter der Cloud Computing-Abteilung, Jet Infosystems,
Ilya Kuikin, leitender Ingenieur der Cloud-Computing-Abteilung von Jet Infosystems
Source: habr.com