Est-il difficile de créer une machine virtuelle (VM) dans le cloud ? Pas plus difficile que de préparer du thé. Mais lorsqu’il s’agit d’une grande entreprise, même une action aussi simple peut s’avérer extrêmement longue. Il ne suffit pas de créer une machine virtuelle, vous devez également obtenir l'accès nécessaire pour travailler conformément à toutes les réglementations. Une douleur familière pour chaque développeur ? Dans une grande banque, cette procédure prenait de plusieurs heures à plusieurs jours. Et comme il y avait des centaines d’opérations similaires par mois, il est facile d’imaginer l’ampleur de ce projet exigeant en main-d’œuvre. Pour y mettre fin, nous avons modernisé le cloud privé de la banque et automatisé non seulement le processus de création des VM, mais également les opérations associées.
Tâche n°1. Cloud avec connexion Internet
La banque a créé un cloud privé en utilisant son équipe informatique interne pour un seul segment du réseau. Au fil du temps, la direction a apprécié ses avantages et a décidé d'étendre le concept de cloud privé à d'autres environnements et segments de la banque. Cela nécessitait davantage de spécialistes et une solide expertise en matière de cloud privé. C’est pourquoi notre équipe s’est vu confier la modernisation du cloud.
L'axe principal de ce projet était la création de machines virtuelles dans un segment supplémentaire de la sécurité de l'information - dans la zone démilitarisée (DMZ). C’est là que les services de la banque sont intégrés à des systèmes externes situés en dehors de l’infrastructure bancaire.
Mais cette médaille avait aussi un revers. Les services de la DMZ étaient disponibles « à l’extérieur », ce qui impliquait toute une série de risques en matière de sécurité des informations. Il s’agit tout d’abord de la menace de piratage des systèmes, de l’expansion ultérieure du champ d’attaque dans la DMZ, puis de la pénétration dans l’infrastructure de la banque. Pour minimiser certains de ces risques, nous avons proposé d'utiliser une mesure de sécurité supplémentaire : une solution de micro-segmentation.
Protection contre la micro-segmentation
La segmentation classique crée des limites protégées aux limites des réseaux à l'aide d'un pare-feu. Avec la microsegmentation, chaque VM individuelle peut être séparée en un segment personnel et isolé.
Cela améliore la sécurité de l’ensemble du système. Même si des attaquants piratent un serveur DMZ, il leur sera extrêmement difficile de propager l'attaque sur le réseau : ils devront franchir de nombreuses « portes verrouillées » au sein du réseau. Le pare-feu personnel de chaque VM contient ses propres règles la concernant, qui déterminent le droit d'entrée et de sortie. Nous avons fourni une micro-segmentation à l'aide du pare-feu distribué VMware NSX-T. Ce produit crée de manière centralisée des règles de pare-feu pour les machines virtuelles et les distribue sur l'infrastructure de virtualisation. Peu importe le système d’exploitation invité utilisé, la règle s’applique au niveau de la connexion des machines virtuelles au réseau.
Problème N2. En quête de rapidité et de commodité
Déployer une machine virtuelle ? Facilement! Quelques clics et vous avez terminé. Mais alors de nombreuses questions se posent : comment accéder depuis cette VM à une autre ou à un autre système ? Ou depuis un autre système vers la VM ?
Par exemple, dans une banque, après avoir commandé une VM sur le portail cloud, il fallait ouvrir le portail de support technique et soumettre une demande de mise à disposition de l'accès nécessaire. Une erreur dans la demande a donné lieu à des appels et de la correspondance pour corriger la situation. Dans le même temps, une VM peut avoir 10-15-20 accès et le traitement de chacun prenait du temps. Le processus du diable.
De plus, le « nettoyage » des traces de l'activité vitale des machines virtuelles distantes nécessitait un soin particulier. Après leur suppression, des milliers de règles d'accès sont restées sur le pare-feu, chargeant l'équipement. Il s’agit à la fois d’une charge supplémentaire et de failles de sécurité.
Vous ne pouvez pas faire cela avec des règles dans le cloud. C'est peu pratique et dangereux.
Pour minimiser le temps nécessaire pour fournir l'accès aux VM et faciliter leur gestion, nous avons développé un service de gestion des accès réseau pour les VM.
L'utilisateur au niveau de la machine virtuelle dans le menu contextuel sélectionne un élément pour créer une règle d'accès, puis dans le formulaire qui s'ouvre spécifie les paramètres - d'où, où, types de protocoles, numéros de port. Après avoir rempli et soumis le formulaire, les tickets nécessaires sont automatiquement créés dans le système d'assistance technique utilisateur basé sur HP Service Manager. Ils sont chargés d'approuver tel ou tel accès et, si l'accès est approuvé, des spécialistes qui effectuent certaines des opérations non encore automatisées.
Une fois l'étape du processus métier impliquant des spécialistes terminée, commence la partie du service qui crée automatiquement des règles sur les pare-feu.
Comme accord final, l'utilisateur voit une demande complétée avec succès sur le portail. Cela signifie que la règle a été créée et que vous pouvez travailler avec elle - afficher, modifier, supprimer.
Note finale des prestations
Nous avons essentiellement modernisé de petits aspects du cloud privé, mais la banque a reçu un effet notable. Les utilisateurs reçoivent désormais un accès au réseau uniquement via le portail, sans traiter directement avec le Service Desk. Champs de formulaire obligatoires, leur validation de l'exactitude des données saisies, listes préconfigurées, données supplémentaires - tout cela contribue à formuler une demande d'accès précise, qui, avec un degré de probabilité élevé, sera prise en compte et non rejetée par les employés chargés de la sécurité de l'information. pour saisir des erreurs. Les machines virtuelles ne sont plus des boîtes noires : vous pouvez continuer à travailler avec elles en apportant des modifications sur le portail.
En conséquence, les informaticiens de la banque disposent aujourd'hui d'un outil d'accès plus pratique, et seules les personnes impliquées dans le processus sont impliquées dans le processus, sans lesquelles ils ne peuvent absolument pas se passer. Au total, en termes de coûts de main d'œuvre, cela représente une libération de la pleine charge quotidienne d'au moins 1 personne, ainsi que des dizaines d'heures économisées pour les utilisateurs. L'automatisation de la création de règles a permis de mettre en œuvre une solution de micro-segmentation qui ne crée pas de charge pour les employés de la banque.
Et finalement, la « règle d’accès » est devenue l’unité comptable du cloud. Autrement dit, le cloud stocke désormais les informations sur les règles de toutes les machines virtuelles et les nettoie lorsque les machines virtuelles sont supprimées.
Bientôt, les bénéfices de la modernisation s’étendront à l’ensemble du cloud de la banque. L'automatisation du processus de création de VM et la micro-segmentation ont dépassé la DMZ et capturé d'autres segments. Et cela a accru la sécurité du cloud dans son ensemble.
La solution mise en œuvre est également intéressante dans la mesure où elle permet à la banque d'accélérer les processus de développement, la rapprochant ainsi du modèle des sociétés informatiques selon ce critère. Après tout, lorsqu’il s’agit d’applications mobiles, de portails et de services clients, toute grande entreprise s’efforce aujourd’hui de devenir une « usine » de production de produits numériques. En ce sens, les banques jouent pratiquement à égalité avec les entreprises informatiques les plus puissantes, en suivant la création de nouvelles applications. Et c'est bien quand les capacités d'une infrastructure informatique construite sur un modèle de cloud privé permettent d'allouer les ressources nécessaires pour cela en quelques minutes et de la manière la plus sécurisée possible.
Auteurs:
Viatcheslav Medvedev, chef du département cloud computing, Jet Infosystems,
Ilya Kuikin, ingénieur principal du département cloud computing de Jet Infosystems
Source: habr.com