Onko virtuaalikoneen (VM) luominen pilveen vaikeaa? Ei sen vaikeampaa kuin teen valmistus. Mutta kun on kyse suuresta yrityksestä, niin yksinkertainenkin toimenpide voi osoittautua tuskallisen pitkäksi. Ei riitä, että luot virtuaalikoneen, sinun on myös hankittava tarvittavat käyttöoikeudet työhön kaikkien säädösten mukaisesti. Tuttu kipu jokaiselle kehittäjälle? Yhdessä suuressa pankissa tämä toimenpide kesti useista tunteista useisiin päiviin. Ja koska vastaavia operaatioita oli satoja kuukaudessa, on helppo kuvitella tämän työtä vievän järjestelmän laajuus. Tämän lopettamiseksi modernisoimme pankin yksityisen pilven ja automatisoimme paitsi VM:ien luomisprosessin myös siihen liittyvät toiminnot.
Tehtävä nro 1. Pilvi Internet-yhteydellä
Pankki loi yksityisen pilven sisäisen IT-tiiminsä avulla yhdelle verkon segmentille. Ajan myötä johto arvosti sen etuja ja päätti laajentaa yksityisen pilvikonseptin muihin ympäristöihin ja pankin segmentteihin. Tämä vaati lisää asiantuntijoita ja vahvaa asiantuntemusta yksityisistä pilvistä. Siksi tiimillemme uskottiin pilven modernisointi.
Tämän projektin päävirta oli virtuaalikoneiden luominen tietoturvan lisäsegmentissä - demilitarisoidussa vyöhykkeessä (DMZ). Täällä pankin palvelut on integroitu pankkiinfrastruktuurin ulkopuolella sijaitseviin ulkoisiin järjestelmiin.
Mutta tällä mitalilla oli myös kääntöpuolensa. DMZ:n palvelut olivat saatavilla "ulkopuolella", ja tähän liittyi joukko tietoturvariskejä. Ensinnäkin tämä on hakkerointijärjestelmien uhka, myöhempi hyökkäyskentän laajentaminen DMZ:ssä ja sitten tunkeutuminen pankin infrastruktuuriin. Joidenkin näistä riskeistä minimoimiseksi ehdotimme lisäturvatoimenpiteen - mikrosegmentointiratkaisun - käyttöä.
Mikrosegmentointisuojaus
Klassinen segmentointi rakentaa suojatut rajat verkkojen rajoille palomuurin avulla. Mikrosegmentoinnilla jokainen yksittäinen VM voidaan erottaa henkilökohtaiseksi, eristetyksi segmentiksi.
Tämä parantaa koko järjestelmän turvallisuutta. Vaikka hyökkääjät hakkeroivat yhden DMZ-palvelimen, heidän on äärimmäisen vaikeaa levittää hyökkäystä verkon yli - heidän on murtauduttava useiden "lukittujen ovien" läpi verkossa. Jokaisen VM:n henkilökohtainen palomuuri sisältää sitä koskevat omat säännöt, jotka määrittävät sisään- ja poistumisoikeuden. Teimme mikrosegmentoinnin VMware NSX-T Distributed Firewallilla. Tämä tuote luo keskitetysti palomuurisäännöt virtuaalikoneille ja jakaa ne virtualisointiinfrastruktuuriin. Sillä ei ole väliä, mitä vieraskäyttöjärjestelmää käytetään, sääntöä sovelletaan virtuaalikoneiden verkkoon yhdistämisen tasolla.
Ongelma N2. Nopeutta ja mukavuutta etsimässä
Otetaanko virtuaalikoneen käyttöön? Helposti! Pari napsautusta ja olet valmis. Mutta sitten herää monia kysymyksiä: kuinka päästä tästä virtuaalikoneesta toiseen tai järjestelmään? Tai toisesta järjestelmästä takaisin virtuaalikoneeseen?
Esimerkiksi pankissa, kun oli tilattu virtuaalikone pilviportaalista, oli tarpeen avata teknisen tuen portaali ja lähettää pyyntö tarvittavien käyttöoikeuksien antamisesta. Virhe sovelluksessa johti puheluihin ja kirjeenvaihtoon tilanteen korjaamiseksi. Samanaikaisesti virtuaalikoneella voi olla 10-15-20 pääsyä ja jokaisen käsittely vei aikaa. Paholaisen prosessi.
Lisäksi etävirtuaalikoneiden elämän jälkien "siivoaminen" vaati erityistä huolellisuutta. Niiden poistamisen jälkeen tuhansia pääsysääntöjä jäi palomuuriin lataamaan laitteita. Tämä on sekä ylimääräinen taakka että turva-aukkoja.
Et voi tehdä tätä pilvisäännöillä. Se on epämukavaa ja vaarallista.
Minimoidaksemme virtuaalikoneisiin pääsyn tarjoamiseen kuluvan ajan ja tehdäksemme niiden hallinnasta kätevää, olemme kehittäneet virtuaalikoneille verkkokäyttöoikeuksien hallintapalvelun.
Virtuaalikonetason käyttäjä valitsee kontekstivalikosta kohteen käyttöoikeussäännön luomista varten ja määrittää sitten avautuvassa lomakkeessa parametrit - mistä, missä, protokollatyypit, porttinumerot. Lomakkeen täyttämisen ja lähettämisen jälkeen tarvittavat liput luodaan automaattisesti HP Service Manageriin perustuvassa käyttäjän teknisessä tukijärjestelmässä. He ovat vastuussa tämän tai toisen käyttöoikeuden hyväksymisestä ja, jos pääsy on hyväksytty, asiantuntijoille, jotka suorittavat joitain toimintoja, joita ei vielä ole automatisoitu.
Kun liiketoimintaprosessin vaihe, johon asiantuntijat osallistuvat, on toiminut, alkaa palvelun osa, joka luo automaattisesti sääntöjä palomuureille.
Viimeisenä sointuneena käyttäjä näkee onnistuneesti suoritetun pyynnön portaalissa. Tämä tarkoittaa, että sääntö on luotu ja voit työskennellä sen kanssa - tarkastella, muuttaa, poistaa.
Etujen lopullinen pistemäärä
Pohjimmiltaan modernisoimme yksityisen pilven pieniä puolia, mutta pankki sai tuntuvan vaikutuksen. Käyttäjät saavat nyt pääsyn verkkoon vain portaalin kautta ilman, että he ovat suoraan yhteydessä Service Deskiin. Pakolliset lomakekentät, niiden vahvistus syötettyjen tietojen oikeellisuuden varalta, esikonfiguroidut luettelot, lisätiedot - kaikki tämä auttaa muotoilemaan tarkan pääsypyynnön, jonka tietoturvatyöntekijät suurella todennäköisyydellä harkitsevat eikä hylkää. syöttää virheitä. Virtuaalikoneet eivät ole enää mustia laatikoita – voit jatkaa niiden kanssa työskentelemistä tekemällä muutoksia portaaliin.
Tämän seurauksena pankin IT-asiantuntijoilla on nykyään käytössään kätevämpi työkalu pääsyyn, ja vain ne ihmiset ovat mukana prosessissa, joita ilman he eivät varmasti tule toimeen. Kaiken kaikkiaan tämä on työvoimakustannusten osalta vapautumista vähintään 1 henkilön päivittäisestä täyskuormasta sekä kymmeniä käyttäjille säästettyjä tunteja. Sääntöjen luomisen automatisointi mahdollisti sellaisen mikrosegmentointiratkaisun toteuttamisen, joka ei kuormita pankin työntekijöitä.
Ja lopuksi "käyttösäännöstä" tuli pilven kirjanpitoyksikkö. Eli nyt pilvi tallentaa tiedot kaikkien virtuaalikoneiden säännöistä ja puhdistaa ne, kun virtuaalikoneita poistetaan.
Pian modernisoinnin edut leviävät koko pankin pilveen. Virtuaalikoneen luontiprosessin automatisointi ja mikrosegmentointi ovat siirtyneet DMZ:n ulkopuolelle ja vallanneet muita segmenttejä. Ja tämä lisäsi koko pilven turvallisuutta.
Toteutettu ratkaisu on mielenkiintoinen myös siinä mielessä, että sen avulla pankki voi nopeuttaa kehitysprosesseja ja tuoda sen lähemmäksi tämän kriteerin mukaista IT-yritysten mallia. Mitä tulee mobiilisovelluksiin, portaaleihin ja asiakaspalveluun, jokainen suuri yritys pyrkii nykyään digitaalisten tuotteiden tuotantoon. Tässä mielessä pankit ovat käytännössä tasavertaisia vahvimpien IT-yritysten kanssa pysyen mukana uusien sovellusten luomisessa. Ja on hyvä, kun yksityisen pilvimallin varaan rakennetun IT-infrastruktuurin ominaisuudet mahdollistavat siihen tarvittavien resurssien allokoinnin muutamassa minuutissa ja mahdollisimman turvallisesti.
Tekijät:
Vjatšeslav Medvedev, pilvipalveluiden osaston johtaja, Jet Infosystems,
Ilja Kuikin, Jet Infosystemsin pilvilaskentaosaston johtava insinööri
Lähde: will.com