Zaila al da makina birtual bat (VM) hodeian sortzea? Ez da tea egitea baino zailagoa. Baina korporazio handi bati dagokionez, ekintza sinple bat ere mingarria izan daiteke. Ez da nahikoa makina birtual bat sortzea; gainera, lanerako beharrezko sarbidea lortu behar duzu araudi guztien arabera. Garatzaile bakoitzarentzat mina ezaguna? Banku handi batean, prozedura honek ordu batzuetatik hainbat egunetara behar zuen. Eta hilero antzeko ehunka operazio egiten zirenez, erraza da irudikatzea lan-kontsumoko eskema honen tamaina. Honi amaiera emateko, bankuaren hodei pribatua modernizatu dugu eta VM-ak sortzeko prozesua ez ezik, lotutako eragiketak ere automatizatu ditugu.
1. ataza. Hodeia Interneteko konexioarekin
Bankuak hodei pribatu bat sortu zuen bere barneko IT taldea erabiliz sarearen segmentu bakarrerako. Denborarekin, zuzendaritzak bere onurak aintzat hartu zituen eta hodei pribatuaren kontzeptua bankuaren beste ingurune eta segmentuetara zabaltzea erabaki zuen. Honek espezialista gehiago eta esperientzia sendoa behar zuen hodei pribatuetan. Hori dela eta, gure taldeari hodeia modernizatzea agindu zitzaion.
Proiektu honen korronte nagusia makina birtualak sortzea izan zen informazioaren segurtasunaren segmentu gehigarri batean: eremu desmilitarizatuan (DMZ). Bertan bankuaren zerbitzuak banku-azpiegituratik kanpo dauden kanpoko sistemekin integratzen dira.
Baina domina honek alde bat ere izan zuen. DMZko zerbitzuak "kanpoan" zeuden eta horrek informazioaren segurtasun-arrisku multzo oso bat zekarren. Lehenik eta behin, hau hacking sistemen mehatxua da, DMZko eraso-eremuaren ondorengo hedapena eta gero bankuaren azpiegituran sartzea. Arrisku horietako batzuk minimizatzeko, segurtasun-neurri gehigarri bat erabiltzea proposatu genuen: mikrosegmentazio irtenbide bat.
Mikro-segmentazioen babesa
Segmentazio klasikoak babestutako mugak eraikitzen ditu sareen mugetan suebakia erabiliz. Mikrosegmentazioarekin, VM indibidual bakoitza segmentu pertsonal eta isolatu batean bereiz daiteke.
Horrek sistema osoaren segurtasuna hobetzen du. Erasotzaileek DMZ zerbitzari bat pirateatzen badute ere, oso zaila izango zaie erasoa sarean zehar zabaltzea - ββsarean "blokeatutako ate" asko zeharkatu beharko dituzte. VM bakoitzaren suebaki pertsonalak hari buruzko bere arauak ditu, eta horiek sartzeko eta irteteko eskubidea zehazten dute. Mikro-segmentazioa eman dugu VMware NSX-T Distributed Firewall erabiliz. Produktu honek zentralki suebaki-arauak sortzen ditu VMentzako eta birtualizazio-azpiegituran banatzen ditu. Ez du axola zein OS gonbidatua erabiltzen den, araua makina birtualak sarera konektatzeko mailan aplikatzen da.
N2 problema. Abiadura eta erosotasunaren bila
Makina birtual bat zabaldu? Erraz! Klik pare bat eta listo. Baina orduan galdera asko sortzen dira: nola lortu VM honetatik beste edo sistema batera sarbidea? Edo beste sistema batetik VMra itzuli?
Adibidez, banku batean, hodeiko atarian VM bat eskatu ondoren, beharrezkoa zen laguntza teknikoaren ataria ireki eta beharrezko sarbidea emateko eskaera aurkeztea. Aplikazioan akats batek deiak eta korrespondentzia eragin zuen egoera zuzentzeko. Aldi berean, VM batek 10-15-20 sarbide izan ditzake eta prozesatzeko bakoitzak denbora behar zuen. Deabruaren prozesua.
Gainera, urruneko makina birtualen bizi-jardueraren aztarnak "garbitzeak" arreta berezia behar zuen. Kendu ondoren, milaka sarbide-arau geratu ziren suebakian, ekipamendua kargatzen. Hau karga gehigarria eta segurtasun-zulo bat da.
Ezin duzu hau egin hodeian dauden arauekin. Desegokia eta ez segurua da.
VMetarako sarbidea emateko eta haiek kudeatzeko erosoa izan dadin behar den denbora gutxitzeko, sarerako sarbidea kudeatzeko zerbitzu bat garatu dugu VMetarako.
Testuinguruko menuan makina birtualeko mailan dagoen erabiltzaileak elementu bat hautatzen du sarbide-arau bat sortzeko, eta gero irekitzen den formularioan parametroak zehazten ditu - nondik, nondik, protokolo motak, ataka-zenbakiak. Inprimakia bete eta bidali ondoren, beharrezkoak diren tiketak automatikoki sortzen dira erabiltzailearen laguntza teknikoko sisteman HP Service Manager-en oinarrituta. Sarbide hau edo beste onartzeaz arduratzen dira eta, sarbidea onartzen bada, oraindik automatizatuta ez dauden eragiketa batzuk egiten dituzten espezialistei.
Espezialistek parte hartzen duten negozio-prozesuaren etapak funtzionatu ondoren, suebakien gaineko arauak automatikoki sortzen dituen zerbitzuaren zatia hasten da.
Azken akorde gisa, erabiltzaileak ongi betetako eskaera bat ikusten du atarian. Horrek esan nahi du araua sortu dela eta horrekin lan egin dezakezula - ikusi, aldatu, ezabatu.
Abantailen azken puntuazioa
Funtsean, hodei pribatuaren alderdi txikiak modernizatu genituen, baina bankuak eragin nabarmena jaso zuen. Erabiltzaileek sareko sarbidea atariaren bidez soilik jasotzen dute orain, Service Desk-arekin zuzenean tratu gabe. Derrigorrezko inprimaki-eremuak, sartutako datuen zuzentasunaren baliozkotzea, aurrez konfiguratutako zerrendak, datu gehigarriak - horrek guztiak sarbide-eskaera zehatza formulatzen laguntzen du, probabilitate handiarekin informazio-segurtasuneko langileek kontuan hartuko dutena eta ez ukatuko duena. akatsak sartzeko. Makina birtualak jada ez dira kutxa beltzak; haiekin lanean jarrai dezakezu atarian aldaketak eginez.
Ondorioz, gaur egun bankuko informatika-espezialistek eskura duten tresna erosoagoa dute sarbidea lortzeko, eta pertsona horiek bakarrik parte hartzen dute prozesuan, eta horiek gabe ezin dira behin betiko gabe geratu. Guztira, lan-kostuei dagokienez, gutxienez pertsona baten eguneroko karga osotik askatzea da, baita erabiltzaileentzat gordetako dozenaka ordu ere. Arauak sortzeko automatizazioak posible egin zuen bankuko langileentzat zamarik sortzen ez duen mikrosegmentazio irtenbide bat ezartzea.
Eta azkenik, "sarbide-araua" hodeiko kontabilitate-unitatea bihurtu zen. Hau da, orain hodeiak VM guztien arauei buruzko informazioa gordetzen du eta makina birtualak ezabatzen direnean garbitzen ditu.
Laster modernizazioaren onurak banku osoaren hodeira zabalduko dira. VM sortzeko prozesuaren automatizazioa eta mikrosegmentazioa DMZtik haratago joan dira eta beste segmentu batzuk harrapatu dituzte. Eta horrek hodei osoaren segurtasuna areagotu zuen.
Inplementatutako konponbidea ere interesgarria da, bankuari garapen-prozesuak bizkortzea ahalbidetzen duelako, irizpide honen arabera IT enpresen eredura hurbilduz. Azken finean, aplikazio mugikorrei, atariei eta bezeroarentzako zerbitzuei dagokienez, gaur egun edozein enpresa handi produktu digitalak ekoizteko "fabrika" bilakatzen ahalegintzen da. Zentzu horretan, bankuek ia enpresa informatiko indartsuenen parean jokatzen dute, aplikazio berrien sorrerarekin jarraituz. Eta ona da hodei pribatuko eredu batean eraikitako IT azpiegitura baten gaitasunek horretarako beharrezko baliabideak minutu gutxitan eta ahalik eta seguruen esleitzea ahalbidetzen dutenean.
Egileak:
Vyacheslav Medvedev, Jet Infosystems-eko Cloud Computing Saileko burua,
Ilya Kuikin, Jet Infosystems-eko hodeiko informatika saileko ingeniari nagusia
Iturria: www.habr.com