Kas virtuaalse masina (VM) loomine pilves on keeruline? Pole keerulisem kui tee keetmine. Aga kui tegemist on suurkorporatsiooniga, siis isegi nii lihtne toiming võib valusalt pikaks venida. Virtuaalse masina loomisest ei piisa, lisaks peate hankima tööks vajaliku juurdepääsu kõigi eeskirjade kohaselt. Iga arendaja jaoks tuttav valu? Ühes suures pangas võttis see protseduur aega mitu tundi kuni mitu päeva. Ja kuna sarnaseid operatsioone oli kuus sadu, on selle töömahuka skeemi ulatust lihtne ette kujutada. Sellele lõpu tegemiseks kaasajastasime panga privaatpilve ja automatiseerisime lisaks VM-ide loomise protsessile ka sellega seotud toiminguid.
Ülesanne nr 1. Pilv Interneti-ühendusega
Pank lõi oma sisemise IT-meeskonna abil privaatpilve ühe võrgusegmendi jaoks. Aja jooksul hindas juhtkond selle eeliseid ja otsustas laiendada privaatpilve kontseptsiooni ka teistele keskkondadele ja panga segmentidele. See nõudis rohkem spetsialiste ja tugevaid teadmisi privaatpilvede vallas. Seetõttu usaldati meie meeskonnale pilve moderniseerimine.
Selle projekti põhivooluks oli virtuaalmasinate loomine täiendavas infoturbe segmendis - demilitariseeritud tsoonis (DMZ). Siin on panga teenused integreeritud väljaspool pangandusinfrastruktuuri asuvate välissüsteemidega.
Kuid sellel medalil oli ka varjukülg. DMZ teenused olid saadaval „väljaspool” ja sellega kaasnes terve rida infoturbe riske. Esiteks on see süsteemide häkkimise oht, sellele järgnev rünnakuvälja laiendamine DMZ-s ja seejärel tungimine panga infrastruktuuri. Mõnede nende riskide minimeerimiseks tegime ettepaneku kasutada täiendavat turvameedet – mikrosegmenteerimise lahendust.
Mikrosegmentatsiooni kaitse
Klassikaline segmenteerimine loob tulemüüri abil võrkude piiridele kaitstud piirid. Mikrosegmenteerimisega saab iga üksiku VM-i eraldada isiklikuks isoleeritud segmendiks.
See suurendab kogu süsteemi turvalisust. Isegi kui ründajad häkivad ühte DMZ-serverit, on neil äärmiselt raske rünnakut üle võrgu levitada - nad peavad võrgu sees läbi murdma paljudest "lukustatud ustest". Iga VM-i isiklik tulemüür sisaldab selle kohta oma reegleid, mis määravad õiguse siseneda ja väljuda. Tegime mikrosegmenteerimise VMware NSX-T hajutatud tulemüüri abil. See toode loob tsentraalselt VM-ide jaoks tulemüürireeglid ja jaotab need üle virtualiseerimise infrastruktuuri. Pole tähtis, millist külalis-OS-i kasutatakse, reeglit rakendatakse virtuaalmasinate võrguga ühendamise tasemel.
Probleem N2. Kiiruse ja mugavuse otsingul
Kas juurutada virtuaalne masin? Lihtsalt! Paar klõpsu ja oletegi valmis. Kuid siis tekib palju küsimusi: kuidas saada sellest VM-ist juurdepääs teisele või süsteemile? Või teisest süsteemist tagasi VM-i?
Näiteks pangas tuli pärast pilveportaalis VM-i tellimist avada tehnilise toe portaal ja esitada taotlus vajaliku juurdepääsu saamiseks. Viga rakenduses tõi kaasa kõned ja kirjavahetuse olukorra parandamiseks. Samal ajal võib virtuaalmasinal olla 10-15-20 juurdepääsu ja iga töötlemine võttis aega. Kuradi protsess.
Lisaks nõudis kaug-virtuaalmasinate elutegevuse jälgede “puhastamine” erilist hoolt. Pärast nende eemaldamist jäid tulemüürile tuhanded juurdepääsureeglid, mis laadisid seadmeid. See on nii lisakoormus kui ka turvaaugud.
Seda ei saa pilves reeglitega teha. See on ebamugav ja ebaturvaline.
VM-idele juurdepääsu võimaldamiseks kuluva aja minimeerimiseks ja nende haldamise mugavamaks muutmiseks oleme välja töötanud VM-idele võrgujuurdepääsu haldusteenuse.
Virtuaalmasina tasemel kasutaja valib kontekstimenüüst juurdepääsureegli loomiseks üksuse ja seejärel avanevas vormis määrab parameetrid - kust, kust, protokolli tüübid, pordi numbrid. Pärast vormi täitmist ja esitamist luuakse vajalikud piletid automaatselt kasutaja tehnilise toe süsteemis HP Service Manageri baasil. Nad vastutavad selle või teise juurdepääsu kinnitamise eest ja kui juurdepääs on heaks kiidetud, siis spetsialistid, kes teevad mõningaid toiminguid, mis pole veel automatiseeritud.
Pärast spetsialiste kaasava äriprotsessi etapi toimimist algab teenuse osa, mis loob tulemüüridele automaatselt reeglid.
Viimase akordina näeb kasutaja portaalis edukalt täidetud päringut. See tähendab, et reegel on loodud ja sellega saab töötada – vaadata, muuta, kustutada.
Hüvitiste lõppskoor
Sisuliselt moderniseerisime privaatpilve väikseid aspekte, kuid pank sai märgatava efekti. Kasutajad saavad nüüd juurdepääsu võrgule ainult portaali kaudu, ilma teeninduskeskusega otse suhtlemata. Kohustuslikud vormiväljad, nende kontrollimine sisestatud andmete õigsuse osas, eelkonfigureeritud loendid, lisaandmed – kõik see aitab vormistada täpse juurdepääsutaotluse, mida suure tõenäosusega infoturbetöötajad arvesse ei võta ega lükka tagasi. vigade sisestamiseks. Virtuaalmasinad ei ole enam mustad kastid – saate nendega tööd jätkata, tehes portaalis muudatusi.
Tänu sellele on täna panga IT-spetsialistide käsutuses mugavam ligipääsu tööriist ning protsessi kaasatakse vaid need inimesed, kelleta kindlasti hakkama ei saa. Kokkuvõttes on see tööjõukulude mõttes vabastus vähemalt 1 inimese igapäevasest täiskoormusest, aga ka kümneid tunde kasutajate jaoks säästetud. Reeglite loomise automatiseerimine võimaldas rakendada mikrosegmenteerimise lahendust, mis ei koorma pangatöötajaid.
Ja lõpuks sai "juurdepääsureeglist" pilve arvestusüksus. See tähendab, et nüüd salvestab pilv teabe kõigi VM-ide reeglite kohta ja puhastab need virtuaalmasinate kustutamisel.
Peagi levivad moderniseerimise eelised kogu panga pilve. VM-i loomise protsessi automatiseerimine ja mikrosegmenteerimine on liikunud DMZ-st kaugemale ja hõivanud teisi segmente. Ja see suurendas pilve kui terviku turvalisust.
Rakendatud lahendus on huvitav ka selle poolest, et võimaldab pangal kiirendada arendusprotsesse, tuues selle selle kriteeriumi järgi lähemale IT-ettevõtete mudelile. Mis puutub mobiilirakendustesse, portaalidesse ja klienditeenindustesse, siis tänapäeval püüab iga suurettevõte saada digitaalsete toodete tootmise “tehaseks”. Selles mõttes mängivad pangad praktiliselt võrdselt tugevaimate IT-ettevõtetega, pidades sammu uute rakenduste loomisega. Ja hea on, kui privaatpilvemudelile üles ehitatud IT-taristu võimalused võimaldavad eraldada selleks vajalikud ressursid mõne minutiga ja võimalikult turvaliselt.
Autorid:
Vjatšeslav Medvedev, Jet Infosüsteemide pilvandmetöötluse osakonna juhataja,
Ilja Kuikin, Jet Infosystemsi pilvandmetöötluse osakonna juhtivinsener
Allikas: www.habr.com