Ĉu estas malfacile krei virtualan maŝinon (VM) en la nubo? Ne pli malfacila ol fari teon. Sed se temas pri granda korporacio, eĉ tia simpla ago povas rezulti dolorige longa. Ne sufiĉas krei virtualan maŝinon; vi ankaŭ devas akiri la necesan aliron por labori laŭ ĉiuj regularoj. Ĉu konata doloro por ĉiu programisto? En unu granda banko, ĉi tiu proceduro daŭris de pluraj horoj ĝis pluraj tagoj. Kaj ĉar estis centoj da similaj operacioj monate, estas facile imagi la amplekson de ĉi tiu laborkonsumanta skemo. Por ĉesigi ĉi tion, ni modernigis la privatan nubon de la banko kaj aŭtomatigis ne nur la procezon de kreado de VMs, sed ankaŭ rilatajn operaciojn.
Tasko n-ro 1. Nubo kun interreta konekto
La banko kreis privatan nubon uzante sian internan IT-teamon por ununura segmento de la reto. Kun la tempo, administrado aprezis ĝiajn avantaĝojn kaj decidis etendi la privatan nuban koncepton al aliaj medioj kaj segmentoj de la banko. Ĉi tio postulis pli da specialistoj kaj fortan kompetentecon en privataj nuboj. Tial, nia teamo estis konfidita modernigi la nubon.
La ĉefa fluo de ĉi tiu projekto estis la kreado de virtualaj maŝinoj en plia segmento de informa sekureco - en la demilitarigita zono (DMZ). Jen kie la servoj de la banko estas integritaj kun eksteraj sistemoj situantaj ekster la banka infrastrukturo.
Sed ĉi tiu medalo ankaŭ havis flankon. Servoj de la DMZ estis haveblaj "ekstere" kaj tio implicis tutan aron de informasekurecaj riskoj. Antaŭ ĉio, ĉi tio estas la minaco de hakado de sistemoj, posta ekspansio de la atakkampo en la DMZ, kaj poste penetrado en la infrastrukturon de la banko. Por minimumigi iujn ĉi tiujn riskojn, ni proponis uzi plian sekurecan mezuron - mikro-segmentan solvon.
Mikro-segmenta protekto
Klasika segmentado konstruas protektitajn limojn ĉe la limoj de retoj uzantaj fajroŝirmilon. Kun mikrosegmentado, ĉiu individua VM povas esti apartigita en personan, izolitan segmenton.
Ĉi tio plibonigas la sekurecon de la tuta sistemo. Eĉ se atakantoj hakas unu DMZ-servilon, estos ege malfacile por ili disvastigi la atakon tra la reto - ili devos trarompi multajn "ŝlositajn pordojn" ene de la reto. La persona fajroŝirmilo de ĉiu VM enhavas siajn proprajn regulojn pri ĝi, kiuj determinas la rajton eniri kaj eliri. Ni provizis mikro-segmentadon uzante VMware NSX-T Distributed Firewall. Ĉi tiu produkto centre kreas firewall regulojn por VMs kaj distribuas ilin tra la virtualiga infrastrukturo. Ne gravas, kiu gasta OS estas uzata, la regulo estas aplikata je la nivelo de konekti virtualajn maŝinojn al la reto.
Problemo N2. Serĉante rapidecon kaj komforton
Deploji virtualan maŝinon? Facile! Kelkaj klakoj kaj vi finis. Sed tiam aperas multaj demandoj: kiel akiri aliron de ĉi tiu VM al alia aŭ sistemo? Aŭ de alia sistemo reen al la VM?
Ekzemple, en banko, post mendi VM sur la nuba portalo, estis necese malfermi la teknikan subtenan portalon kaj prezenti peton por havigo de la necesa aliro. Eraro en la aplikaĵo rezultigis vokojn kaj korespondadon por korekti la situacion. Samtempe, VM povas havi 10-15-20 alirojn kaj prilaborado ĉiu prenis tempon. Diabla procezo.
Krome, "purigi" spurojn de la vivaktiveco de foraj virtualaj maŝinoj postulis specialan zorgon. Post kiam ili estis forigitaj, miloj da alirreguloj restis sur la fajroŝirmilo, ŝarĝante la ekipaĵon. Ĉi tio estas kaj kroma ŝarĝo kaj sekurecaj truoj.
Vi ne povas fari tion kun reguloj en la nubo. Ĝi estas maloportuna kaj nesekura.
Por minimumigi la tempon necesan por havigi aliron al VM-oj kaj igi ĝin oportuna administri ilin, ni evoluigis retan administran servon por VM-oj.
La uzanto ĉe la virtuala maŝina nivelo en la kunteksta menuo elektas eron por krei alirregulon, kaj tiam en la formo kiu malfermiĝas specifas la parametrojn - de kie, kie, protokolaj tipoj, havenaj nombroj. Post plenigo kaj sendado de la formularo, la necesaj biletoj aŭtomate kreiĝas en la uzanta teknika subtena sistemo bazita sur HP Service Manager. Ili respondecas pri aprobo de tiu aŭ alia aliro kaj, se aliro estas aprobita, al specialistoj, kiuj faras kelkajn el la operacioj, kiuj ankoraŭ ne estas aŭtomatigitaj.
Post kiam la etapo de la komerca procezo implikanta specialistojn funkciis, komenciĝas la parto de la servo, kiu aŭtomate kreas regulojn pri fajroŝirmiloj.
Kiel la fina akordo, la uzanto vidas sukcese finitan peton sur la portalo. Ĉi tio signifas, ke la regulo estas kreita kaj vi povas labori kun ĝi - vidi, ŝanĝi, forigi.
Fina poentaro de avantaĝoj
Esence, ni modernigis malgrandajn aspektojn de la privata nubo, sed la banko ricevis rimarkindan efikon. Uzantoj nun ricevas retan aliron nur per la portalo, sen rekte trakti la Servotablo. Devigaj formularaj kampoj, ilia validigo por la ĝusteco de la eniritaj datumoj, antaŭkonfiguritaj listoj, aldonaj datumoj - ĉio ĉi helpas formuli precizan alirpeton, kiu kun alta probableco estos konsiderata kaj ne malakceptita de informasekurecaj dungitoj pro tio. por enigi erarojn. Virtualaj maŝinoj ne plu estas nigraj skatoloj—vi povas daŭrigi labori kun ili farante ŝanĝojn en la portalo.
Kiel rezulto, hodiaŭ la IT-specialistoj de la banko havas je sia dispono pli oportunan ilon por akiri aliron, kaj nur tiuj homoj partoprenas en la procezo, sen kiuj ili certe ne povas malhavi. Entute, laŭ laborkostoj, ĉi tio estas liberigo de la ĉiutaga plena ŝarĝo de almenaŭ 1 persono, kaj ankaŭ dekoj da horoj ŝparitaj por uzantoj. Aŭtomatigo de kreado de reguloj ebligis efektivigi mikro-segmentan solvon, kiu ne kreas ŝarĝon sur bankaj dungitoj.
Kaj finfine, la "alira regulo" fariĝis la kontada unuo de la nubo. Tio estas, nun la nubo stokas informojn pri la reguloj por ĉiuj VM-oj kaj purigas ilin kiam virtualaj maŝinoj estas forigitaj.
Baldaŭ la avantaĝoj de modernigo disvastiĝos al la tuta nubo de la banko. Aŭtomatigo de la VM-kreadprocezo kaj mikro-segmentado moviĝis preter la DMZ kaj kaptis aliajn segmentojn. Kaj ĉi tio pliigis la sekurecon de la nubo entute.
La efektivigita solvo estas ankaŭ interesa, ĉar ĝi permesas al la banko akceli evoluajn procezojn, proksimigante ĝin al la modelo de IT-kompanioj laŭ ĉi tiu kriterio. Post ĉio, kiam temas pri moveblaj aplikoj, portaloj kaj klientservoj, ĉiu granda kompanio hodiaŭ strebas fariĝi "fabriko" por la produktado de ciferecaj produktoj. Tiusence, bankoj praktike ludas samkiel la plej fortaj IT-kompanioj, tenante la kreadon de novaj aplikaĵoj. Kaj estas bone, kiam la kapabloj de IT-infrastrukturo konstruita sur privata nuba modelo permesas vin asigni la necesajn rimedojn por tio en kelkaj minutoj kaj kiel eble plej sekure.
Aŭtoroj:
Vyacheslav Medvedev, Estro de Cloud Computing Department, Jet Infosystems,
Ilya Kuikin, gvida inĝeniero de la nuba komputiko-sekcio de Jet Infosystems
fonto: www.habr.com