Είναι δύσκολο να δημιουργήσετε μια εικονική μηχανή (VM) στο cloud; Δεν είναι πιο δύσκολο από το να φτιάξεις τσάι. Αλλά όταν πρόκειται για μια μεγάλη εταιρεία, ακόμη και μια τόσο απλή ενέργεια μπορεί να αποδειχθεί επώδυνα μεγάλη. Δεν αρκεί να δημιουργήσετε μια εικονική μηχανή· πρέπει επίσης να αποκτήσετε την απαραίτητη πρόσβαση για εργασία σύμφωνα με όλους τους κανονισμούς. Ένας γνωστός πόνος για κάθε προγραμματιστή; Σε μια μεγάλη τράπεζα, αυτή η διαδικασία κράτησε από αρκετές ώρες έως αρκετές ημέρες. Και δεδομένου ότι υπήρχαν εκατοντάδες παρόμοιες επεμβάσεις ανά μήνα, είναι εύκολο να φανταστεί κανείς την κλίμακα αυτού του εργατικού σχήματος. Για να βάλουμε ένα τέλος σε αυτό, εκσυγχρονίσαμε το ιδιωτικό cloud της τράπεζας και αυτοματοποιήσαμε όχι μόνο τη διαδικασία δημιουργίας VM, αλλά και τις σχετικές λειτουργίες.
Εργασία Νο. 1. Cloud με σύνδεση στο Διαδίκτυο
Η τράπεζα δημιούργησε ένα ιδιωτικό σύννεφο χρησιμοποιώντας την εσωτερική της ομάδα IT για ένα μόνο τμήμα του δικτύου. Με την πάροδο του χρόνου, η διοίκηση εκτίμησε τα οφέλη του και αποφάσισε να επεκτείνει την ιδέα του ιδιωτικού cloud σε άλλα περιβάλλοντα και τμήματα της τράπεζας. Αυτό απαιτούσε περισσότερους ειδικούς και ισχυρή τεχνογνωσία στα ιδιωτικά σύννεφα. Ως εκ τούτου, στην ομάδα μας ανατέθηκε ο εκσυγχρονισμός του cloud.
Η κύρια ροή αυτού του έργου ήταν η δημιουργία εικονικών μηχανών σε ένα πρόσθετο τμήμα ασφάλειας πληροφοριών - στην αποστρατιωτικοποιημένη ζώνη (DMZ). Εδώ ενσωματώνονται οι υπηρεσίες της τράπεζας με εξωτερικά συστήματα που βρίσκονται εκτός της τραπεζικής υποδομής.
Αλλά αυτό το μετάλλιο είχε και μια άλλη πλευρά. Οι υπηρεσίες από το DMZ ήταν διαθέσιμες «εξωτερικά» και αυτό συνεπαγόταν μια ολόκληρη σειρά κινδύνων για την ασφάλεια των πληροφοριών. Πρώτα απ 'όλα, αυτή είναι η απειλή των συστημάτων hacking, η επακόλουθη επέκταση του πεδίου επίθεσης στο DMZ και, στη συνέχεια, η διείσδυση στην υποδομή της τράπεζας. Για να ελαχιστοποιήσουμε ορισμένους από αυτούς τους κινδύνους, προτείναμε τη χρήση ενός πρόσθετου μέτρου ασφαλείας - μιας λύσης μικρο-τμηματοποίησης.
Προστασία μικροτμηματοποίησης
Η κλασική τμηματοποίηση δημιουργεί προστατευμένα όρια στα όρια των δικτύων χρησιμοποιώντας ένα τείχος προστασίας. Με τη μικροτμηματοποίηση, κάθε μεμονωμένο VM μπορεί να διαχωριστεί σε ένα προσωπικό, απομονωμένο τμήμα.
Αυτό ενισχύει την ασφάλεια ολόκληρου του συστήματος. Ακόμα κι αν οι εισβολείς χακάρουν έναν διακομιστή DMZ, θα είναι εξαιρετικά δύσκολο για αυτούς να διαδώσουν την επίθεση σε όλο το δίκτυο - θα πρέπει να διαπεράσουν πολλές «κλειδωμένες πόρτες» εντός του δικτύου. Το προσωπικό τείχος προστασίας κάθε VM περιέχει τους δικούς του κανόνες σχετικά με αυτό, οι οποίοι καθορίζουν το δικαίωμα εισόδου και εξόδου. Παρέχαμε μικρο-τμηματοποίηση χρησιμοποιώντας το VMware NSX-T Distributed Firewall. Αυτό το προϊόν δημιουργεί κεντρικά κανόνες τείχους προστασίας για VM και τους διανέμει στην υποδομή εικονικοποίησης. Δεν έχει σημασία ποιο λειτουργικό σύστημα επισκέπτη χρησιμοποιείται, ο κανόνας εφαρμόζεται στο επίπεδο της σύνδεσης εικονικών μηχανών στο δίκτυο.
Πρόβλημα Ν2. Σε αναζήτηση ταχύτητας και ευκολίας
Ανάπτυξη εικονικής μηχανής; Εύκολα! Κάνα δυο κλικ και τελειώσατε. Αλλά τότε προκύπτουν πολλά ερωτήματα: πώς να αποκτήσετε πρόσβαση από αυτό το VM σε άλλο ή σύστημα; Ή από άλλο σύστημα πίσω στο VM;
Για παράδειγμα, σε μια τράπεζα, μετά την παραγγελία ενός VM στην πύλη cloud, ήταν απαραίτητο να ανοίξει η πύλη τεχνικής υποστήριξης και να υποβληθεί αίτημα για παροχή της απαραίτητης πρόσβασης. Ένα σφάλμα στην εφαρμογή είχε ως αποτέλεσμα κλήσεις και αλληλογραφία για τη διόρθωση της κατάστασης. Ταυτόχρονα, μια εικονική μηχανή μπορεί να έχει 10-15-20 προσβάσεις και η επεξεργασία της καθεμιάς απαιτούσε χρόνο. Η διαδικασία του διαβόλου.
Επιπλέον, ο «καθαρισμός» των ιχνών της δραστηριότητας ζωής των απομακρυσμένων εικονικών μηχανών απαιτούσε ιδιαίτερη προσοχή. Αφού αφαιρέθηκαν, χιλιάδες κανόνες πρόσβασης παρέμειναν στο τείχος προστασίας, φορτώνοντας τον εξοπλισμό. Αυτό είναι ταυτόχρονα πρόσθετο βάρος και τρύπες ασφαλείας.
Δεν μπορείτε να το κάνετε αυτό με κανόνες στο cloud. Είναι άβολο και ανασφαλές.
Για να ελαχιστοποιήσουμε το χρόνο που απαιτείται για την παροχή πρόσβασης σε εικονικά μηχανήματα και να διευκολύνουμε τη διαχείρισή τους, έχουμε αναπτύξει μια υπηρεσία διαχείρισης πρόσβασης δικτύου για VM.
Ο χρήστης σε επίπεδο εικονικής μηχανής στο μενού περιβάλλοντος επιλέγει ένα στοιχείο για να δημιουργήσει έναν κανόνα πρόσβασης και, στη συνέχεια, στη φόρμα που ανοίγει καθορίζει τις παραμέτρους - από πού, πού, τύπους πρωτοκόλλων, αριθμούς θυρών. Μετά τη συμπλήρωση και την υποβολή της φόρμας, τα απαραίτητα εισιτήρια δημιουργούνται αυτόματα στο σύστημα τεχνικής υποστήριξης των χρηστών που βασίζεται στο HP Service Manager. Είναι υπεύθυνοι για την έγκριση αυτής ή της άλλης πρόσβασης και, εάν εγκριθεί η πρόσβαση, σε ειδικούς που εκτελούν ορισμένες από τις λειτουργίες που δεν έχουν ακόμη αυτοματοποιηθεί.
Αφού λειτουργήσει το στάδιο της επιχειρηματικής διαδικασίας που περιλαμβάνει ειδικούς, ξεκινά το τμήμα της υπηρεσίας που δημιουργεί αυτόματα κανόνες στα τείχη προστασίας.
Ως τελευταία συγχορδία, ο χρήστης βλέπει ένα αίτημα που ολοκληρώθηκε με επιτυχία στην πύλη. Αυτό σημαίνει ότι ο κανόνας έχει δημιουργηθεί και μπορείτε να εργαστείτε με αυτόν - προβολή, αλλαγή, διαγραφή.
Τελική βαθμολογία παροχών
Ουσιαστικά, εκσυγχρονίσαμε μικρές πτυχές του ιδιωτικού νέφους, αλλά η τράπεζα έλαβε αξιοσημείωτο αποτέλεσμα. Οι χρήστες λαμβάνουν πλέον πρόσβαση στο δίκτυο μόνο μέσω της πύλης, χωρίς να έχουν άμεση σχέση με το Service Desk. Υποχρεωτικά πεδία φόρμας, επικύρωσή τους για την ορθότητα των δεδομένων που έχουν εισαχθεί, προδιαμορφωμένες λίστες, πρόσθετα δεδομένα - όλα αυτά βοηθούν στη διαμόρφωση ενός ακριβούς αιτήματος πρόσβασης, το οποίο με μεγάλη πιθανότητα θα ληφθεί υπόψη και δεν θα απορριφθεί από τους υπαλλήλους ασφάλειας πληροφοριών λόγω για την εισαγωγή σφαλμάτων. Οι εικονικές μηχανές δεν είναι πλέον μαύρα κουτιά—μπορείτε να συνεχίσετε να εργάζεστε μαζί τους κάνοντας αλλαγές στην πύλη.
Ως αποτέλεσμα, σήμερα οι ειδικοί πληροφορικής της τράπεζας έχουν στη διάθεσή τους ένα πιο βολικό εργαλείο για την απόκτηση πρόσβασης και στη διαδικασία συμμετέχουν μόνο εκείνοι οι άνθρωποι, χωρίς τους οποίους σίγουρα δεν μπορούν να το κάνουν. Συνολικά, όσον αφορά το κόστος εργασίας, πρόκειται για απαλλαγή από το ημερήσιο πλήρες φορτίο τουλάχιστον 1 ατόμου, καθώς και δεκάδες ώρες που εξοικονομούνται για τους χρήστες. Η αυτοματοποίηση της δημιουργίας κανόνων κατέστησε δυνατή την εφαρμογή μιας λύσης μικροτμηματοποίησης που δεν δημιουργεί επιβάρυνση στους τραπεζικούς υπαλλήλους.
Και τέλος, ο «κανόνας πρόσβασης» έγινε η λογιστική μονάδα του cloud. Δηλαδή, τώρα το cloud αποθηκεύει πληροφορίες σχετικά με τους κανόνες για όλα τα VM και τα καθαρίζει όταν διαγράφονται οι εικονικές μηχανές.
Σύντομα τα οφέλη του εκσυγχρονισμού θα εξαπλωθούν σε ολόκληρο το cloud της τράπεζας. Η αυτοματοποίηση της διαδικασίας δημιουργίας VM και η μικροτμηματοποίηση έχουν προχωρήσει πέρα από το DMZ και έχουν καταγράψει άλλα τμήματα. Και αυτό αύξησε την ασφάλεια του cloud συνολικά.
Η λύση που εφαρμόστηκε είναι επίσης ενδιαφέρουσα καθώς επιτρέπει στην τράπεζα να επιταχύνει τις διαδικασίες ανάπτυξης, φέρνοντάς την πιο κοντά στο μοντέλο των εταιρειών πληροφορικής σύμφωνα με αυτό το κριτήριο. Εξάλλου, όσον αφορά τις εφαρμογές για κινητά, τις πύλες και τις υπηρεσίες πελατών, κάθε μεγάλη εταιρεία σήμερα προσπαθεί να γίνει «εργοστάσιο» παραγωγής ψηφιακών προϊόντων. Υπό αυτή την έννοια, οι τράπεζες πρακτικά παίζουν στο ίδιο επίπεδο με τις ισχυρότερες εταιρείες πληροφορικής, συμβαδίζοντας με τη δημιουργία νέων εφαρμογών. Και είναι καλό όταν οι δυνατότητες μιας υποδομής πληροφορικής που βασίζεται σε ένα ιδιωτικό μοντέλο cloud σάς επιτρέπουν να διαθέσετε τους απαραίτητους πόρους για αυτό σε λίγα λεπτά και όσο το δυνατόν πιο ασφαλή.
Συγγραφείς:
Vyacheslav Medvedev, Επικεφαλής του Τμήματος Cloud Computing, Jet Infosystems,
Ilya Kuikin, κορυφαίος μηχανικός του τμήματος cloud computing της Jet Infosystems
Πηγή: www.habr.com