É difícil crear unha máquina virtual (VM) na nube? Non é máis difícil que facer té. Pero cando se trata dunha gran corporación, incluso unha acción tan sinxela pode resultar dolorosamente longa. Non abonda con crear unha máquina virtual, tamén é necesario obter o acceso necesario para traballar de acordo coa normativa. Unha dor familiar para todos os desenvolvedores? Nun gran banco, este procedemento levou de varias horas a varios días. E dado que había centos de operacións similares ao mes, é fácil imaxinar a escala deste esquema que consume traballo. Para rematar con isto, modernizamos a nube privada do banco e automatizamos non só o proceso de creación de máquinas virtuales, senón tamén as operacións relacionadas.
Tarefa número 1. Nube con conexión a Internet
O banco creou unha nube privada utilizando o seu equipo de TI interno para un único segmento da rede. Co paso do tempo, a dirección apreciou os seus beneficios e decidiu estender o concepto de nube privada a outros ambientes e segmentos do banco. Isto requiriu máis especialistas e unha forte experiencia en nubes privadas. Polo tanto, o noso equipo encargouse de modernizar a nube.
A principal corrente deste proxecto foi a creación de máquinas virtuais nun segmento adicional de seguridade da información: na zona desmilitarizada (DMZ). Aquí é onde se integran os servizos do banco con sistemas externos situados fóra da infraestrutura bancaria.
Pero esta medalla tamén tivo unha cara atrás. Os servizos da DMZ estaban dispoñibles "fóra" e isto implicaba todo un conxunto de riscos de seguridade da información. En primeiro lugar, esta é a ameaza de piratear sistemas, a posterior expansión do campo de ataque na DMZ e, a continuación, a penetración na infraestrutura do banco. Para minimizar algúns destes riscos, propuxemos utilizar unha medida de seguridade adicional: unha solución de microsegmentación.
Protección de microsegmentación
A segmentación clásica crea límites protexidos nos límites das redes mediante un firewall. Coa microsegmentación, cada VM individual pódese separar nun segmento persoal e illado.
Isto mellora a seguridade de todo o sistema. Aínda que os atacantes pirateen un servidor DMZ, será moi difícil para eles estender o ataque pola rede; terán que atravesar moitas "portas pechadas" dentro da rede. O firewall persoal de cada máquina virtual contén as súas propias regras respecto diso, que determinan o dereito a entrar e saír. Proporcionamos microsegmentación mediante VMware NSX-T Distributed Firewall. Este produto crea regras de firewall de xeito centralizado para máquinas virtuales e distribúeas pola infraestrutura de virtualización. Non importa o SO convidado que se utilice, a regra aplícase ao nivel de conexión de máquinas virtuais á rede.
Problema N2. Na procura de velocidade e comodidade
Queres implementar unha máquina virtual? Doadamente! Un par de clics e listo. Pero entón xorden moitas preguntas: como acceder desde esta máquina virtual a outra ou sistema? Ou desde outro sistema de volta á VM?
Por exemplo, nun banco, despois de pedir unha máquina virtual no portal da nube, foi necesario abrir o portal de soporte técnico e presentar unha solicitude de provisión do acceso necesario. Un erro na aplicación provocou chamadas e correspondencia para corrixir a situación. Ao mesmo tempo, unha máquina virtual pode ter 10-15-20 accesos e o procesamento de cada un levou tempo. Proceso do diaño.
Ademais, "limpar" os rastros da actividade vital das máquinas virtuais remotas requiriu un coidado especial. Despois de que foron eliminadas, miles de regras de acceso permaneceron no cortalumes, cargando o equipo. Isto é tanto unha carga extra como buracos de seguridade.
Non podes facelo con regras na nube. É inconveniente e inseguro.
Para minimizar o tempo que leva proporcionar acceso ás máquinas virtuales e facilitar a súa xestión, desenvolvemos un servizo de xestión de acceso á rede para máquinas virtuales.
O usuario a nivel de máquina virtual no menú contextual selecciona un elemento para crear unha regra de acceso e, a continuación, no formulario que se abre especifica os parámetros: desde onde, onde, tipos de protocolo, números de porto. Despois de cubrir e enviar o formulario, os tickets necesarios créanse automaticamente no sistema de soporte técnico do usuario baseado en HP Service Manager. Son os encargados de homologar tal ou cal acceso e, de aprobarse o acceso, aos especialistas que realicen algunhas das operacións que aínda non están automatizadas.
Despois de que funcionou a etapa do proceso empresarial no que participan especialistas, comeza a parte do servizo que crea automaticamente regras sobre cortalumes.
Como acorde final, o usuario ve unha solicitude completada con éxito no portal. Isto significa que a regra foi creada e podes traballar con ela: ver, cambiar, eliminar.
Puntuación final de beneficios
Esencialmente, modernizamos pequenos aspectos da nube privada, pero o banco recibiu un efecto notable. Os usuarios agora reciben acceso á rede só a través do portal, sen tratar directamente co Service Desk. Campos de formulario obrigatorios, a súa validación para a corrección dos datos introducidos, listas preconfiguradas, datos adicionais: todo isto axuda a formular unha solicitude de acceso precisa, que con un alto grao de probabilidade será considerada e non rexeitada polos empregados de seguridade da información debido para introducir erros. As máquinas virtuais xa non son caixas negras; podes seguir traballando con elas facendo cambios no portal.
Como resultado, hoxe os especialistas informáticos do banco teñen á súa disposición unha ferramenta máis cómoda para acceder, e só participan no proceso aquelas persoas sen as que definitivamente non poden prescindir. En total, en termos de custos laborais, trátase dunha liberación da carga completa diaria de polo menos 1 persoa, así como decenas de horas aforradas para os usuarios. A automatización da creación de regras permitiu implementar unha solución de microsegmentación que non supoña unha carga para os empregados bancarios.
E, finalmente, a "regra de acceso" converteuse na unidade de contabilidade da nube. É dicir, agora a nube almacena información sobre as regras de todas as máquinas virtuales e límpaas cando se eliminan as máquinas virtuais.
Pronto os beneficios da modernización estenderanse á nube de todo o banco. A automatización do proceso de creación de máquinas virtuales e a microsegmentación desprazáronse máis aló da DMZ e capturaron outros segmentos. E isto aumentou a seguridade da nube no seu conxunto.
Tamén é interesante a solución implantada por que permite á entidade bancaria axilizar os procesos de desenvolvemento, achegándoa ao modelo das empresas informáticas segundo este criterio. Despois de todo, cando se trata de aplicacións móbiles, portais e servizos ao cliente, calquera gran empresa hoxe esfórzase por converterse nunha "fábrica" para a produción de produtos dixitais. Neste sentido, os bancos xogan practicamente á par das empresas informáticas máis fortes, mantendo o ritmo da creación de novas aplicacións. E é bo cando as capacidades dunha infraestrutura de TI construída nun modelo de nube privada permiten asignar os recursos necesarios para iso en poucos minutos e coa maior seguridade posible.
Os autores:
Vyacheslav Medvedev, xefe do Departamento de Cloud Computing, Jet Infosystems,
Ilya Kuikin, enxeñeiro líder do departamento de computación na nube de Jet Infosystems
Fonte: www.habr.com