Is it lestich om in firtuele masine (VM) yn 'e wolk te meitsjen? Net dreger as it meitsjen fan tee. Mar as it giet om in grutte korporaasje, kin sels sa'n ienfâldige aksje pynlik lang wurde. It is net genôch om in firtuele masine te meitsjen; jo moatte ek de nedige tagong krije om te wurkjen yn oerienstimming mei alle regeljouwing. In bekende pine foar elke ûntwikkelder? Yn ien grutte bank duorre dizze proseduere fan ferskate oeren oant ferskate dagen. En om't d'r hûnderten ferlykbere operaasjes per moanne wiene, is it maklik om de skaal fan dit arbeidsferbrûkende skema foar te stellen. Om dêr in ein oan te meitsjen, modernisearre wy de privee wolk fan 'e bank en automatisearre net allinich it proses fan it meitsjen fan VM's, mar ek relatearre operaasjes.
Opdracht nr. 1. Wolk mei ynternetferbining
De bank makke in privee wolk mei har ynterne IT-team foar ien segmint fan it netwurk. Yn 'e rin fan' e tiid waard it management har foardielen en besleat it konsept fan privee wolk út te wreidzjen nei oare omjouwings en segminten fan 'e bank. Dit easke mear spesjalisten en sterke ekspertize yn partikuliere wolken. Dêrom waard ús team fertroud mei it modernisearjen fan 'e wolk.
De haadstream fan dit projekt wie de skepping fan firtuele masines yn in ekstra segmint fan ynformaasjefeiligens - yn 'e demilitarisearre sône (DMZ). Dit is wêr't de tsjinsten fan 'e bank binne yntegrearre mei eksterne systemen bûten de bankynfrastruktuer.
Mar dizze medalje hie ek in kearside. Tsjinsten fan 'e DMZ wiene "bûten" beskikber en dit brocht in heule set fan ynformaasjefeiligensrisiko's yn. Alderearst is dit de bedriging fan hackingsystemen, de folgjende útwreiding fan it oanfalsfjild yn 'e DMZ, en dan penetraasje yn' e ynfrastruktuer fan 'e bank. Om guon fan dizze risiko's te minimalisearjen, stelden wy foar om in ekstra feiligensmaatregel te brûken - in oplossing foar mikrosegmentaasje.
Mikro-segmentaasje beskerming
Klassike segmentaasje bout beskerme grinzen oan 'e grinzen fan netwurken mei in firewall. Mei mikrosegmentaasje kin elke yndividuele VM wurde skieden yn in persoanlik, isolearre segmint.
Dit fersterket de feiligens fan it hiele systeem. Sels as oanfallers ien DMZ-tsjinner hacke, sil it ekstreem lestich wêze foar har om de oanfal oer it netwurk te fersprieden - se sille troch in protte "beskoattele doarren" moatte brekke binnen it netwurk. De persoanlike firewall fan elke VM befettet har eigen regels oangeande it, dy't it rjocht bepale om yn en út te gean. Wy levere mikro-segmentaasje mei VMware NSX-T Distributed Firewall. Dit produkt makket sintraal firewall-regels foar VM's en ferspriedt se oer de virtualisaasje-ynfrastruktuer. It makket net út hokker gast OS wurdt brûkt, de regel wurdt tapast op it nivo fan it ferbinen fan firtuele masines oan it netwurk.
Probleem N2. Op syk nei snelheid en gemak
In firtuele masine ynsette? Maklik! In pear klikken en jo binne klear. Mar dan komme in protte fragen op: hoe kinne jo tagong krije fan dizze VM nei in oar as systeem? Of fan in oar systeem werom nei de VM?
Bygelyks, yn in bank, nei it bestellen fan in VM op it wolkportaal, wie it nedich om it technyske stipeportaal te iepenjen en in fersyk yn te tsjinjen foar it leverjen fan de nedige tagong. In flater yn 'e applikaasje resultearre yn petearen en korrespondinsje om de situaasje te korrigearjen. Tagelyk kin in VM 10-15-20 tagongen hawwe en it ferwurkjen fan elk hat tiid. Duvel syn proses.
Dêrnjonken easke "opromjen" spoaren fan 'e libbensaktiviteit fan firtuele masines op ôfstân spesjale soarch. Neidat se waarden fuortsmiten, bleau tûzenen tagong regels op 'e brânmuorre, it laden fan de apparatuer. Dit is sawol in ekstra lêst en feiligens gatten.
Jo kinne dit net dwaan mei regels yn 'e wolk. It is ûngemaklik en ûnfeilich.
Om de tiid te minimalisearjen dy't it nimt om tagong te krijen ta VM's en it handich te meitsjen om se te behearjen, hawwe wy in tsjinst foar netwurk tagongsbehear foar VM's ûntwikkele.
De brûker op it nivo fan firtuele masines yn it kontekstmenu selekteart in item om in tagongsregel te meitsjen, en dan yn 'e foarm dy't iepenet spesifisearret de parameters - wêrfan, wêr, protokoltypen, poartenûmers. Nei it ynfoljen en yntsjinjen fan it formulier wurde de nedige kaartsjes automatysk oanmakke yn it technyske stipesysteem foar brûkers basearre op HP Service Manager. Se binne ferantwurdlik foar it goedkarren fan dizze of dy tagong en, as tagong goedkard is, foar spesjalisten dy't guon fan 'e operaasjes útfiere dy't noch net automatisearre binne.
Nei't it poadium fan it saaklike proses mei spesjalisten wurke hat, begjint it diel fan 'e tsjinst dat automatysk regels makket op firewalls.
As lêste akkoard sjocht de brûker in mei súkses foltôge fersyk op it portaal. Dit betsjut dat de regel is oanmakke en jo kinne dermei wurkje - besjen, feroarje, wiskje.
Finale skoare fan foardielen
Yn essinsje hawwe wy lytse aspekten fan 'e privee wolk modernisearre, mar de bank krige in merkber effekt. Brûkers krije no allinich netwurk tagong fia it portaal, sûnder direkt te meitsjen mei de Service Desk. Ferplichte formulierfjilden, har falidaasje foar de krektens fan 'e ynfierde gegevens, foarôf ynstelde listen, oanfoljende gegevens - dit alles helpt om in krekte tagongsfersyk te formulearjen, dat mei in hege graad fan kâns sil wurde beskôge en net ôfwiisd troch meiwurkers fan ynformaasjefeiligens fanwegen om flaters yn te fieren. Firtuele masines binne net langer swarte doazen - jo kinne fierder wurkje mei har troch feroaringen oan te meitsjen op it portaal.
As gefolch hawwe de IT-spesjalisten fan 'e bank hjoed in handiger ark om tagong te krijen, en allinich dy minsken binne belutsen by it proses, sûnder wa't se perfoarst net sûnder kinne. Yn totaal, yn termen fan arbeidskosten, is dit in frijlitting fan 'e deistige folsleine lading fan op syn minst 1 persoan, lykas tsientallen oeren bewarre foar brûkers. Automatisearring fan it meitsjen fan regels makke it mooglik om in oplossing foar mikrosegmentaasje te ymplementearjen dy't gjin lêst foar bankmeiwurkers makket.
En úteinlik waard de "tagongsregel" de boekhâlding ienheid fan 'e wolk. Dat is, no bewarret de wolk ynformaasje oer de regels foar alle VM's en makket se op as firtuele masines wurde wiske.
Meikoarten sille de foardielen fan modernisearring ferspriede nei de heule wolk fan 'e bank. Automatisearring fan it VM-skeppingsproses en mikro-segmentaasje binne bûten de DMZ ferpleatst en oare segminten ferovere. En dit fergrutte de feiligens fan 'e wolk as gehiel.
De ymplementearre oplossing is ek nijsgjirrich om't it de bank mooglik makket om ûntwikkelingsprosessen te fersnellen, en bringt it tichter by it model fan IT-bedriuwen neffens dit kritearium. Ommers, as it giet om mobile applikaasjes, portalen en klanttsjinsten, stribbet elk grut bedriuw hjoed de dei om in "fabryk" te wurden foar de produksje fan digitale produkten. Yn dizze sin spylje banken praktysk op par mei de sterkste IT-bedriuwen, byhâlde mei de skepping fan nije applikaasjes. En it is goed as de mooglikheden fan in IT-ynfrastruktuer boud op in privee wolkmodel jo de nedige middels foar dit yn in pear minuten en sa feilich mooglik kinne tawize.
De auteurs:
Vyacheslav Medvedev, haad fan Cloud Computing Department, Jet Infosystems,
Ilya Kuikin, liedende yngenieur fan 'e cloud computing ôfdieling fan Jet Infosystems
Boarne: www.habr.com