Je li teško stvoriti virtualni stroj (VM) u oblaku? Ništa teže od kuhanja čaja. Ali kada je u pitanju velika korporacija, čak i tako jednostavna akcija može biti bolno duga. Nije dovoljno napraviti virtualni stroj, još morate dobiti potreban pristup za rad prema svim propisima. Poznata boljka svakog programera? U jednoj velikoj banci taj je postupak trajao od nekoliko sati do nekoliko dana. A budući da je takvih transakcija bilo na stotine mjesečno, lako je zamisliti razmjere ove naporne sheme. Kako bismo to okončali, nadogradili smo privatni oblak banke i automatizirali ne samo proces stvaranja VM-a, već i povezane operacije.
Zadatak broj 1. Cloud s internetskom vezom
Banka je kreirala privatni oblak od strane internog IT tima za jedan segment mreže. S vremenom je uprava procijenila njegove prednosti te je odlučeno proširiti koncept privatnog oblaka na druga okruženja i segmente banke. To je zahtijevalo više stručnjaka i veliku stručnost u privatnim oblacima. Stoga je nadogradnja oblaka povjerena našem timu.
Glavna struja ovog projekta bila je izrada virtualnih strojeva u dodatnom segmentu informacijske sigurnosti – u demilitariziranoj zoni (DMZ). Ovdje su usluge banke integrirane s vanjskim sustavima izvan bankarske infrastrukture.
No, ova je medalja imala i lošu stranu. Usluge iz DMZ-a bile su dostupne "vani" što je za sobom povlačilo cijeli niz rizika informacijske sigurnosti. Prije svega, to je prijetnja hakiranja sustava, naknadno širenje polja napada u DMZ-u, a zatim prodor u infrastrukturu banke. Kako bismo ublažili neke od tih rizika, predložili smo korištenje dodatnog alata za zaštitu - rješenja za mikrosegmentaciju.
Zaštita mikrosegmentacijom
Klasična segmentacija gradi zaštićene granice na granicama mreža pomoću vatrozida. Uz mikrosegmentaciju, svaki pojedinačni VM može se izolirati u osobni izolirani segment.
Time se povećava sigurnost cijelog sustava. Čak i ako napadači hakiraju jedan DMZ poslužitelj, bit će im izuzetno teško proširiti napad po mreži - unutar mreže će morati probiti mnoga "zaključana vrata". Osobni firewall svakog VM-a sadrži vlastita pravila u odnosu na njega, koja određuju pravo ulaska i izlaska. Osigurali smo mikrosegmentaciju pomoću VMware NSX-T Distributed Firewall. Ovaj proizvod centralno stvara pravila vatrozida za VM-ove i distribuira ih kroz virtualizacijsku infrastrukturu. Nije bitno koji se gostujući OS koristi, pravilo se primjenjuje na razini povezivanja virtualnih strojeva s mrežom.
Problem N2. U potrazi za brzinom i praktičnošću
Implementirati virtualni stroj? Lako! Nekoliko klikova i gotovi ste. Ali tada se postavlja mnogo pitanja: kako s ovog VM-a pristupiti drugom ili sustavu? Ili iz drugog sustava natrag u VM?
Primjerice, u banci je nakon naručivanja VM-a na cloud portalu bilo potrebno otvoriti portal tehničke podrške i podnijeti zahtjev za potrebnim pristupom. Pogreška u aplikaciji pretvorila se u pozive i dopisivanje kako bi se ispravila situacija. U isto vrijeme, VM može imati 10-15-20 pristupa, a razrada svakog od njih je trajala. Đavolski proces.
Osim toga, bila je potrebna posebna pažnja za "čišćenje" tragova života udaljenih virtualnih strojeva. Nakon njihovog uklanjanja, tisuće pravila pristupa ostalo je na vatrozidu, opterećujući opremu. Ovo je i dodatno opterećenje i sigurnosne rupe.
Ne možete to učiniti s pravilima u oblaku. Ovo je nezgodno i nesigurno.
Kako bismo smanjili vrijeme pružanja pristupa VM-ovima i učinili njihovo upravljanje praktičnim, razvili smo uslugu upravljanja mrežnim pristupom za VM-ove.
Korisnik na virtualnoj razini u kontekstnom izborniku odabire stavku za stvaranje pravila pristupa, a zatim u obrascu koji se otvori navodi parametre - odakle, odakle, vrste protokola, brojeve portova. Nakon popunjavanja i slanja obrasca, automatski se kreiraju potrebni tiketi u korisničkom sustavu tehničke podrške temeljenom na HP Service Manageru. Oni postaju odgovorni za koordinaciju jednog ili drugog pristupa i, ako su pristupi odobreni, za stručnjake koji obavljaju dio operacija koje još nisu automatizirane.
Nakon što se završi faza poslovnog procesa u kojoj sudjeluju stručnjaci, počinje dio servisa koji automatski kreira pravila na vatrozidima.
Kao završni akord, korisnik vidi uspješno ispunjen zahtjev na portalu. To znači da je pravilo kreirano i da možete raditi s njim - pregledavati, mijenjati, brisati.
Konačna ocjena pogodnosti
U biti, modernizirali smo male aspekte rada privatnog oblaka, ali banka je dobila zamjetan učinak. Korisnici sada imaju pristup mreži samo putem portala, bez izravnog kontakta sa Service Deskom. Obavezna polja obrasca, njihova provjera točnosti ulaznih podataka, unaprijed konfigurirane liste, dodatni podaci - sve to pomaže u formiranju točnog zahtjeva za pristup, koji će vrlo vjerojatno biti razmotren i neće biti zamotan od strane zaposlenika IS-a zbog pogrešaka pri unosu . Virtualni strojevi više nisu crne kutije - s njima možete dalje raditi izmjenama na portalu.
Kao rezultat toga, IT stručnjaci banke danas imaju na raspolaganju praktičniji alat za dobivanje pristupa, au proces su uključeni samo oni ljudi bez kojih je definitivno nemoguće. Što se tiče troškova rada, to je izuzeće od dnevnog punog opterećenja najmanje 1 osobe, kao i deseci ušteđenih sati za korisnike. Automatizacija izrade pravila omogućila je implementaciju rješenja mikrosegmentacije koje ne opterećuje zaposlenike banke.
I konačno, "pravilo pristupa" postalo je obračunska jedinica oblaka. Odnosno, sada oblak pohranjuje informacije o pravilima za sve VM-ove i čisti ih prilikom brisanja virtualnih strojeva.
Ubrzo su se prednosti modernizacije proširile na cijeli oblak banke. Automatizacija procesa kreiranja VM-a i mikrosegmentacije iskoračila je izvan DMZ-a i zahvatila ostatak segmenata. A to je povećalo sigurnost oblaka u cjelini.
Implementirano rješenje zanimljivo je i po tome što banci omogućuje ubrzanje razvojnih procesa, čime se po ovom kriteriju približava modelu IT tvrtki. Uostalom, kada je riječ o mobilnim aplikacijama, portalima, servisima za klijente, svaka velika tvrtka danas nastoji postati “tvornica” za proizvodnju digitalnih proizvoda. Banke u tom smislu praktički igraju ravnopravno s najjačim IT tvrtkama, držeći korak s izradom novih aplikacija. I dobro je kada vam mogućnosti IT infrastrukture izgrađene po modelu privatnog oblaka dopuštaju alociranje potrebnih resursa za to u nekoliko minuta i što sigurnije.
Autori:
Vjačeslav Medvedev, voditelj Cloud Computinga, Jet Infosystems,
Ilya Kuykin, vodeći inženjer, odjel za računalstvo u oblaku, Jet Infosystems
Izvor: www.habr.com