¿Es difícil crear una máquina virtual (VM) en la nube? No es más difícil que preparar té. Pero cuando se trata de una gran corporación, incluso una acción tan simple puede resultar dolorosamente larga. No basta con crear una máquina virtual, también es necesario obtener el acceso necesario para trabajar de acuerdo con todas las normas. ¿Un dolor familiar para todos los desarrolladores? En un banco grande, este procedimiento duró desde varias horas hasta varios días. Y dado que había cientos de operaciones similares por mes, es fácil imaginar la escala de este plan que consume mucha mano de obra. Para poner fin a esto, modernizamos la nube privada del banco y automatizamos no solo el proceso de creación de VM, sino también las operaciones relacionadas.
Tarea número 1. Nube con conexión a Internet
El banco creó una nube privada utilizando su equipo de TI interno para un único segmento de la red. Con el tiempo, la gerencia apreció sus beneficios y decidió extender el concepto de nube privada a otros entornos y segmentos del banco. Esto requirió más especialistas y una sólida experiencia en nubes privadas. Por lo tanto, a nuestro equipo se le encomendó la modernización de la nube.
El objetivo principal de este proyecto fue la creación de máquinas virtuales en un segmento adicional de seguridad de la información: en la zona desmilitarizada (DMZ). Aquí es donde los servicios del banco se integran con sistemas externos ubicados fuera de la infraestructura bancaria.
Pero esta medalla también tenía su otra cara. Los servicios de la DMZ estaban disponibles "fuera" y esto implicaba toda una serie de riesgos para la seguridad de la información. En primer lugar, se trata de la amenaza de piratería de sistemas, la posterior expansión del campo de ataque en la DMZ y luego la penetración en la infraestructura del banco. Para minimizar algunos de estos riesgos, propusimos utilizar una medida de seguridad adicional: una solución de microsegmentación.
Protección de microsegmentación
La segmentación clásica construye límites protegidos en los límites de las redes mediante un firewall. Con la microsegmentación, cada máquina virtual individual se puede separar en un segmento personal y aislado.
Esto mejora la seguridad de todo el sistema. Incluso si los atacantes piratean un servidor DMZ, les resultará extremadamente difícil propagar el ataque por toda la red: tendrán que atravesar muchas "puertas cerradas" dentro de la red. El firewall personal de cada VM contiene sus propias reglas al respecto, que determinan el derecho de entrada y salida. Proporcionamos microsegmentación mediante VMware NSX-T Distributed Firewall. Este producto crea de forma centralizada reglas de firewall para máquinas virtuales y las distribuye a través de la infraestructura de virtualización. No importa qué sistema operativo invitado se utilice, la regla se aplica en el nivel de conexión de máquinas virtuales a la red.
Problema N2. En busca de rapidez y comodidad
¿Implementar una máquina virtual? ¡Fácilmente! Un par de clics y listo. Pero entonces surgen muchas preguntas: ¿cómo obtener acceso desde esta VM a otro sistema? ¿O desde otro sistema a la VM?
Por ejemplo, en un banco, después de solicitar una máquina virtual en el portal de la nube, era necesario abrir el portal de soporte técnico y enviar una solicitud para obtener el acceso necesario. Un error en la aplicación provocó llamadas y correspondencia para corregir la situación. Al mismo tiempo, una VM puede tener 10-15-20 accesos y procesar cada uno de ellos llevó tiempo. El proceso del diablo.
Además, "limpiar" los rastros de la actividad vital de las máquinas virtuales remotas requirió un cuidado especial. Después de ser eliminadas, miles de reglas de acceso permanecieron en el firewall, cargando el equipo. Esto supone a la vez una carga adicional y agujeros de seguridad.
No puedes hacer esto con reglas en la nube. Es inconveniente e inseguro.
Para minimizar el tiempo que lleva proporcionar acceso a las máquinas virtuales y facilitar su administración, hemos desarrollado un servicio de administración de acceso a la red para máquinas virtuales.
El usuario en el nivel de la máquina virtual en el menú contextual selecciona un elemento para crear una regla de acceso y luego, en el formulario que se abre, especifica los parámetros: desde dónde, dónde, tipos de protocolo, números de puerto. Después de completar y enviar el formulario, los tickets necesarios se crean automáticamente en el sistema de soporte técnico del usuario basado en HP Service Manager. Son responsables de aprobar tal o cual acceso y, si se aprueba el acceso, a los especialistas que realizan algunas de las operaciones que aún no están automatizadas.
Una vez finalizada la etapa del proceso de negocio con la participación de especialistas, comienza la parte del servicio que crea automáticamente reglas en los firewalls.
Como acorde final, el usuario ve una solicitud completada con éxito en el portal. Esto significa que la regla ha sido creada y puede trabajar con ella: ver, cambiar, eliminar.
Puntuación final de beneficios
Básicamente, modernizamos pequeños aspectos de la nube privada, pero el banco obtuvo un efecto notable. Los usuarios ahora reciben acceso a la red solo a través del portal, sin tratar directamente con el Service Desk. Campos de formulario obligatorios, su verificación de la exactitud de los datos ingresados, listas preconfiguradas, datos adicionales: todo esto ayuda a formular una solicitud de acceso precisa, que con un alto grado de probabilidad será considerada y no rechazada por los empleados de seguridad de la información debido a para introducir errores. Las máquinas virtuales ya no son cajas negras; puede seguir trabajando con ellas realizando cambios en el portal.
Como resultado, hoy los especialistas en TI del banco tienen a su disposición una herramienta más conveniente para obtener acceso, y en el proceso solo participan aquellas personas de las que definitivamente no pueden prescindir. En total, en términos de costes laborales, esto supone una liberación de la carga completa diaria de al menos 1 persona, así como decenas de horas ahorradas para los usuarios. La automatización de la creación de reglas hizo posible implementar una solución de microsegmentación que no genera una carga para los empleados del banco.
Y finalmente, la “regla de acceso” se convirtió en la unidad contable de la nube. Es decir, ahora la nube almacena información sobre las reglas para todas las máquinas virtuales y las limpia cuando se eliminan las máquinas virtuales.
Pronto los beneficios de la modernización se extenderán a toda la nube del banco. La automatización del proceso de creación de VM y la microsegmentación han ido más allá de la DMZ y han capturado otros segmentos. Y esto aumentó la seguridad de la nube en su conjunto.
La solución implementada también resulta interesante porque permite al banco acelerar los procesos de desarrollo, acercándolo al modelo de empresas TI según este criterio. Después de todo, cuando se trata de aplicaciones móviles, portales y servicios al cliente, hoy en día cualquier gran empresa aspira a convertirse en una "fábrica" de producción de productos digitales. En este sentido, los bancos prácticamente juegan a la par de las empresas de TI más fuertes, manteniéndose al día con la creación de nuevas aplicaciones. Y es bueno cuando las capacidades de una infraestructura de TI construida sobre un modelo de nube privada le permiten asignar los recursos necesarios para ello en unos minutos y de la forma más segura posible.
Autores:
Vyacheslav Medvedev, Jefe del Departamento de Computación en la Nube, Jet Infosystems,
Ilya Kuikin, ingeniero líder del departamento de computación en la nube de Jet Infosystems
Fuente: habr.com