Èske li difisil pou kreye yon machin vityèl (VM) nan nwaj la? Pa pi difisil pase fè te. Men, lè li rive nan yon gwo sosyete, menm tankou yon aksyon senp ka vire soti nan gwo soufwans long. Li pa ase yo kreye yon machin vityèl; ou bezwen tou jwenn aksè ki nesesè nan travay an akò ak tout règleman yo. Yon doulè abitye pou chak pwomotè? Nan yon sèl gwo bank, pwosedi sa a te pran soti nan plizyè èdtan nan plizyè jou. Epi kòm te gen dè santèn de operasyon ki sanble pa mwa, li fasil imajine echèl la nan konplo sa a ki konsome travay. Pou mete fen nan sa a, nou modènize nwaj prive bank la ak otomatize non sèlman pwosesis pou kreye VM, men tou operasyon ki gen rapò.
Travay nimewo 1. Cloud ak koneksyon entènèt
Bank la te kreye yon nwaj prive lè l sèvi avèk ekip IT entèn li yo pou yon sèl segman nan rezo a. Apre yon tan, jesyon apresye benefis li yo epi li deside pwolonje konsèp nwaj prive a nan lòt anviwònman ak segman nan bank la. Sa a te mande plis espesyalis ak ekspètiz fò nan nwaj prive. Se poutèt sa, ekip nou an te reskonsab modènize nwaj la.
Kouran prensipal la nan pwojè sa a se te kreyasyon an nan machin vityèl nan yon segman adisyonèl nan sekirite enfòmasyon - nan zòn nan demilitarize (DMZ). Sa a se kote sèvis bank la yo entegre ak sistèm ekstèn ki sitiye deyò enfrastrikti bankè a.
Men, meday sa a tou te gen yon bò kote. Sèvis ki soti nan DMZ la te disponib "deyò" e sa te enplike yon seri risk sekirite enfòmasyon. Premye a tout, sa a se menas la nan sistèm Hacking, ekspansyon ki vin apre nan jaden an atak nan DMZ la, ak Lè sa a, pénétration nan enfrastrikti bank la. Pou minimize kèk nan risk sa yo, nou pwopoze itilize yon mezi sekirite adisyonèl - yon solisyon mikwo-segmentasyon.
Pwoteksyon mikwo-segmentasyon
Segmantasyon klasik bati fwontyè pwoteje nan fwontyè rezo yo lè l sèvi avèk yon firewall. Avèk mikrosegmentasyon, chak VM endividyèl ka separe an yon segman pèsonèl izole.
Sa a amelyore sekirite nan tout sistèm nan. Menm si atakè yo pirate yon sèl sèvè DMZ, li pral trè difisil pou yo gaye atak la atravè rezo a - yo pral oblije kraze anpil "pòt fèmen" nan rezo a. Firewall pèsonèl chak VM gen pwòp règ li yo konsènan li, ki detèmine dwa pou antre ak sòti. Nou bay mikwo-segmentasyon lè l sèvi avèk VMware NSX-T Distributed Firewall. Pwodui sa a santralman kreye règ firewall pou VM epi distribye yo atravè enfrastrikti Virtualization la. Li pa enpòtan ki OS envite yo itilize, règ la aplike nan nivo konekte machin vityèl nan rezo a.
Pwoblèm N2. Nan rechèch nan vitès ak konvenyans
Deplwaye yon machin vityèl? Fasil! Yon koup de klik epi w ap fini. Men, Lè sa a, anpil kesyon leve: ki jan yo ka resevwa aksè nan VM sa a nan yon lòt oswa sistèm? Oswa soti nan yon lòt sistèm tounen nan VM a?
Pou egzanp, nan yon bank, apre kòmande yon VM sou pòtal nwaj la, li te nesesè yo louvri pòtal sipò teknik la epi soumèt yon demann pou dispozisyon aksè ki nesesè yo. Yon erè nan aplikasyon an te lakòz apèl ak korespondans pou korije sitiyasyon an. An menm tan an, yon VM ka gen 10-15-20 aksè ak pwosesis chak moun te pran tan. Pwosesis Dyab la.
Anplis de sa, "netwaye" tras nan aktivite lavi a nan machin vityèl aleka mande swen espesyal. Apre yo te retire yo, dè milye de règ aksè rete sou firewall la, chaje ekipman an. Sa a se tou de yon fado siplemantè ak twou sekirite.
Ou pa ka fè sa ak règ nan nwaj la. Li enkonvenyan ak danjere.
Pou minimize tan li pran pou bay aksè a VM epi rann li pratik pou jere yo, nou devlope yon sèvis jesyon aksè rezo pou VM.
Itilizatè a nan nivo machin vityèl nan meni an kontèks chwazi yon atik yo kreye yon règ aksè, ak Lè sa a, nan fòm nan ki ouvè presize paramèt yo - soti nan ki kote, ki kote, kalite pwotokòl, nimewo pò. Apre w fin ranpli ak soumèt fòm nan, tikè ki nesesè yo otomatikman kreye nan sistèm sipò teknik itilizatè a ki baze sou Manadjè Sèvis HP. Yo responsab pou apwouve aksè sa a oswa sa a epi, si aksè a apwouve, bay espesyalis ki fè kèk nan operasyon yo ki poko otomatize.
Apre etap nan pwosesis biznis la ki enplike espesyalis te travay, pati nan sèvis la kòmanse otomatikman kreye règ sou firewall.
Kòm kòd final la, itilizatè a wè yon demann ranpli avèk siksè sou pòtal la. Sa vle di ke règ la te kreye epi ou ka travay avèk li - wè, chanje, efase.
Nòt final benefis yo
Esansyèlman, nou modènize ti aspè nan nwaj prive a, men bank la te resevwa yon efè aparan. Itilizatè yo kounye a resevwa aksè rezo sèlman atravè pòtal la, san yo pa fè fas dirèkteman ak Biwo Sèvis la. Jaden fòm obligatwa, validation yo pou kòrèkteman nan done yo antre, lis pre-konfigirasyon, done adisyonèl - tout bagay sa yo ede fòmile yon demann aksè egzat, ki ak yon wo degre de pwobabilite yo pral konsidere epi yo pa rejte pa anplwaye sekirite enfòmasyon akòz. pou antre erè. Machin vityèl yo pa bwat nwa ankò—ou ka kontinye travay avèk yo lè w fè chanjman sou pòtal la.
Kòm yon rezilta, jodi a espesyalis IT bank la gen a jete yon zouti ki pi pratik pou jwenn aksè, epi sèlman moun sa yo patisipe nan pwosesis la, san yo pa yo definitivman pa ka fè san yo pa. An total, an tèm de depans travay, sa a se yon lage nan chaj la chak jou nan omwen 1 moun, osi byen ke plizyè douzèn èdtan sove pou itilizatè yo. Otomatik kreyasyon règ te fè li posib pou aplike yon solisyon mikwo-segmentasyon ki pa kreye yon chay sou anplwaye labank yo.
Epi finalman, "règ aksè" te vin inite kontablite nwaj la. Sa vle di, kounye a nwaj la estoke enfòmasyon sou règ yo pou tout VM epi netwaye yo lè machin vityèl yo efase.
Byento benefis modènizasyon yo pral gaye nan nwaj tout bank la. Otomatik nan pwosesis kreyasyon VM ak mikwo-segmentasyon te deplase pi lwen pase DMZ la ak kaptire lòt segman. Epi sa a te ogmante sekirite nwaj la kòm yon antye.
Solisyon an aplike tou enteresan nan ke li pèmèt bank la akselere pwosesis devlopman, pote li pi pre modèl la nan konpayi IT dapre kritè sa a. Apre yo tout, lè li rive aplikasyon mobil, portail, ak sèvis kliyan, nenpòt gwo konpayi jodi a fè efò yo vin yon "faktori" pou pwodiksyon an nan pwodwi dijital. Nan sans sa a, bank pratikman jwe nan egalite ak konpayi IT ki pi fò yo, kenbe moute ak kreyasyon nouvo aplikasyon yo. Epi li bon lè kapasite yon enfrastrikti IT bati sou yon modèl nwaj prive pèmèt ou asiyen resous ki nesesè pou sa a nan kèk minit ak san danje ke posib.
Otè yo:
Vyacheslav Medvedev, Chèf Depatman Cloud Computing, Jet Infosystems,
Ilya Kuikin, dirijan enjenyè nan depatman enfòmatik nwaj Jet Infosystems
Sous: www.habr.com