آیا ایجاد ماشین مجازی (VM) در فضای ابری دشوار است؟ سخت تر از تهیه چای نیست. اما وقتی صحبت از یک شرکت بزرگ به میان میآید، حتی چنین اقدام سادهای میتواند به طرز دردناکی طولانی شود. ایجاد یک ماشین مجازی کافی نیست، همچنین باید دسترسی لازم را برای کار مطابق با تمام مقررات به دست آورید. درد آشنا برای هر توسعه دهنده؟ در یک بانک بزرگ، این روش از چند ساعت تا چند روز طول کشید. و از آنجایی که صدها عملیات مشابه در ماه انجام می شد، به راحتی می توان مقیاس این طرح نیروی کار را تصور کرد. برای پایان دادن به این امر، ابر خصوصی بانک را مدرنسازی کردیم و نه تنها فرآیند ایجاد ماشینهای مجازی، بلکه عملیات مرتبط را نیز خودکار کردیم.
وظیفه شماره 1. ابر با اتصال به اینترنت
این بانک با استفاده از تیم IT داخلی خود برای یک بخش از شبکه یک ابر خصوصی ایجاد کرد. با گذشت زمان، مدیریت از مزایای آن قدردانی کرد و تصمیم گرفت مفهوم ابر خصوصی را به سایر محیطها و بخشهای بانک گسترش دهد. این امر به متخصصان بیشتر و تخصص قوی در ابرهای خصوصی نیاز داشت. بنابراین، مدرن سازی ابر به تیم ما سپرده شد.
جریان اصلی این پروژه ایجاد ماشین های مجازی در یک بخش اضافی از امنیت اطلاعات - در منطقه غیرنظامی (DMZ) بود. اینجاست که خدمات بانک با سیستم های خارجی واقع در خارج از زیرساخت بانکی یکپارچه می شود.
اما این مدال یک طرف دیگر هم داشت. خدمات DMZ "خارج" در دسترس بود و این مستلزم مجموعه ای کامل از خطرات امنیت اطلاعات بود. اول از همه، این تهدید سیستم های هک، گسترش بعدی میدان حمله در DMZ و سپس نفوذ به زیرساخت های بانک است. برای به حداقل رساندن برخی از این خطرات، ما استفاده از یک اقدام امنیتی اضافی را پیشنهاد کردیم - یک راه حل خرد-بخش بندی.
حفاظت از ریزبخش بندی
تقسیم بندی کلاسیک با استفاده از فایروال، مرزهای محافظت شده را در مرزهای شبکه ها ایجاد می کند. با میکروسگمنتیشن، هر VM فردی را می توان به یک بخش شخصی و مجزا تقسیم کرد.
این باعث افزایش امنیت کل سیستم می شود. حتی اگر مهاجمان یک سرور DMZ را هک کنند، گسترش حمله در سراسر شبکه برای آنها بسیار دشوار خواهد بود - آنها باید از بسیاری از "درهای قفل شده" درون شبکه عبور کنند. فایروال شخصی هر ماشین مجازی حاوی قوانین خاص خود در رابطه با آن است که حق ورود و خروج را تعیین می کند. ما با استفاده از VMware NSX-T Distributed Firewall، ریزبخش بندی را ارائه کردیم. این محصول به طور متمرکز قوانین فایروال را برای ماشین های مجازی ایجاد می کند و آنها را در زیرساخت مجازی سازی توزیع می کند. مهم نیست که کدام سیستم عامل مهمان استفاده می شود، این قانون در سطح اتصال ماشین های مجازی به شبکه اعمال می شود.
مشکل N2. در جستجوی سرعت و راحتی
استقرار ماشین مجازی؟ به آسانی! چند کلیک و کار شما تمام شد. اما سؤالات زیادی مطرح می شود: چگونه می توان از این VM به سیستم یا سیستم دیگری دسترسی داشت؟ یا از یک سیستم دیگر به VM بازگشته است؟
به عنوان مثال، در یک بانک، پس از سفارش ماشین مجازی در درگاه ابری، لازم بود درگاه پشتیبانی فنی باز شود و درخواست ارائه دسترسی لازم ارائه شود. یک خطا در برنامه منجر به تماس و مکاتبه برای اصلاح وضعیت شد. در عین حال، یک VM می تواند 10-15-20 دسترسی داشته باشد و پردازش هر کدام زمان می برد. روند شیطان
علاوه بر این، "تمیز کردن" آثار فعالیت زندگی ماشین های مجازی از راه دور نیاز به مراقبت ویژه دارد. پس از حذف آنها، هزاران قانون دسترسی روی دیوار آتش باقی ماندند و تجهیزات را بارگیری کردند. این هم یک بار اضافی است و هم حفره های امنیتی.
شما نمی توانید این کار را با قوانین موجود در فضای ابری انجام دهید. ناخوشایند و ناامن است.
برای به حداقل رساندن زمان لازم برای دسترسی به VMها و راحت کردن مدیریت آنها، ما یک سرویس مدیریت دسترسی به شبکه برای ماشین های مجازی توسعه داده ایم.
کاربر در سطح ماشین مجازی در منوی زمینه، موردی را برای ایجاد یک قانون دسترسی انتخاب میکند و سپس در فرمی که باز میشود، پارامترها را مشخص میکند - از کجا، کجا، انواع پروتکل، شماره پورت. پس از پر کردن و ارسال فرم، تیکت های لازم به صورت خودکار در سیستم پشتیبانی فنی کاربر بر اساس سرویس HP Service Manager ایجاد می شود. آنها مسئول تأیید این یا آن دسترسی و در صورت تأیید دسترسی، به متخصصانی هستند که برخی از عملیات را انجام می دهند که هنوز خودکار نشده اند.
پس از انجام مرحله فرآیند کسب و کار که شامل متخصصان می شود، بخشی از سرویس شروع می شود که به طور خودکار قوانینی را روی فایروال ها ایجاد می کند.
به عنوان آکورد نهایی، کاربر یک درخواست با موفقیت تکمیل شده را در پورتال می بیند. این به این معنی است که قانون ایجاد شده است و می توانید با آن کار کنید - مشاهده، تغییر، حذف.
امتیاز نهایی مزایا
اساسا، ما جنبههای کوچک ابر خصوصی را مدرنسازی کردیم، اما بانک تأثیر قابلتوجهی دریافت کرد. کاربران در حال حاضر دسترسی به شبکه را فقط از طریق پورتال دریافت می کنند، بدون اینکه مستقیماً با میز خدمات سروکار داشته باشند. فیلدهای فرم اجباری، اعتبارسنجی آنها برای صحت داده های وارد شده، لیست های از پیش پیکربندی شده، داده های اضافی - همه اینها به فرموله کردن یک درخواست دسترسی دقیق کمک می کند، که با درجه بالایی از احتمال در نظر گرفته شده و توسط کارکنان امنیت اطلاعات رد نمی شود. برای وارد کردن خطاها ماشین های مجازی دیگر جعبه سیاه نیستند—شما می توانید با ایجاد تغییرات در پورتال به کار با آنها ادامه دهید.
در نتیجه، امروزه متخصصان فناوری اطلاعات بانک ابزار راحت تری برای دسترسی دارند و فقط افرادی در این فرآیند دخیل هستند که بدون آنها قطعاً نمی توانند بدون آنها کار کنند. در مجموع، از نظر هزینه های نیروی کار، این رهایی از بار کامل روزانه حداقل 1 نفر و همچنین ده ها ساعت صرفه جویی برای کاربران است. اتوماسیون ایجاد قوانین، اجرای یک راه حل خرد بخش بندی را امکان پذیر کرد که باری را برای کارکنان بانک ایجاد نمی کند.
و در نهایت، "قانون دسترسی" به واحد حسابداری ابر تبدیل شد. یعنی اکنون ابر اطلاعات مربوط به قوانین همه ماشینهای مجازی را ذخیره میکند و وقتی ماشینهای مجازی حذف میشوند، آنها را پاک میکند.
به زودی مزایای مدرنیزاسیون به کل ابر بانک سرایت خواهد کرد. اتوماسیون فرآیند ایجاد VM و ریزبخشبندی فراتر از DMZ حرکت کرده و بخشهای دیگر را به خود اختصاص داده است. و این باعث افزایش امنیت کلاد شد.
راه حل اجرا شده از این جهت جالب است که به بانک اجازه می دهد تا فرآیندهای توسعه را سرعت بخشد و آن را با توجه به این معیار به مدل شرکت های فناوری اطلاعات نزدیک کند. از این گذشته، وقتی صحبت از برنامه های کاربردی تلفن همراه، پورتال ها و خدمات مشتری می شود، امروزه هر شرکت بزرگی در تلاش است تا به یک "کارخانه" برای تولید محصولات دیجیتال تبدیل شود. از این نظر، بانکها عملاً همتراز با قویترین شرکتهای فناوری اطلاعات هستند و با ایجاد اپلیکیشنهای جدید همگام هستند. و زمانی خوب است که قابلیت های زیرساخت فناوری اطلاعات ساخته شده بر روی یک مدل ابری خصوصی به شما امکان می دهد منابع لازم را برای این کار در چند دقیقه و تا حد امکان با خیال راحت تخصیص دهید.
نویسنده:
ویاچسلاو مدودف، رئیس بخش رایانش ابری، جت اینفوسیستمز,
ایلیا کویکین، مهندس پیشرو بخش محاسبات ابری Jet Infosystems
منبع: www.habr.com