Nehéz virtuális gépet (VM) létrehozni a felhőben? Nem nehezebb, mint teát főzni. De ha egy nagyvállalatról van szó, még egy ilyen egyszerű művelet is fájdalmasan hosszúnak bizonyulhat. Nem elég létrehozni egy virtuális gépet, a munkához szükséges hozzáférést is meg kell szerezni az összes előírásnak megfelelően. Ismerős fájdalom minden fejlesztő számára? Egy nagy bankban ez az eljárás több órától több napig tartott. És mivel havonta több száz hasonló művelet volt, könnyen elképzelhető ennek a munkaigényes rendszernek a mértéke. Ennek véget vetve modernizáltuk a bank privát felhőjét, és nemcsak a virtuális gépek létrehozásának folyamatát automatizáltuk, hanem a kapcsolódó műveleteket is.
1. számú feladat. Felhő internet kapcsolattal
A bank a belső informatikai csapata segítségével privát felhőt hozott létre a hálózat egyetlen szegmenséhez. Idővel a menedzsment felértékelte előnyeit, és úgy döntött, hogy a privát felhő koncepcióját kiterjeszti a bank más környezeteire és szegmenseire is. Ehhez több szakemberre és erős szakértelemre volt szükség a privát felhők terén. Ezért a mi csapatunkat bízták meg a felhő korszerűsítésével.
A projekt fő áramlata a virtuális gépek létrehozása volt az információbiztonság egy további szegmensében - a demilitarizált zónában (DMZ). Itt integrálódnak a bank szolgáltatásai a banki infrastruktúrán kívül található külső rendszerekkel.
De ennek az éremnek volt egy másik oldala is. A DMZ szolgáltatásai „kívülről” is elérhetőek voltak, és ez egy sor információbiztonsági kockázattal járt. Mindenekelőtt ez a rendszerek feltörésének veszélye, a támadási mező későbbi kiterjesztése a DMZ-ben, majd a bank infrastruktúrájába való behatolás. E kockázatok egy részének minimalizálása érdekében egy további biztonsági intézkedés – egy mikroszegmentációs megoldás – alkalmazását javasoltuk.
Mikroszegmentációs védelem
A klasszikus szegmentálás tűzfal segítségével védett határokat épít ki a hálózatok határain. A mikroszegmentációval minden egyes virtuális gép egy személyes, elszigetelt szegmensre választható szét.
Ez növeli a teljes rendszer biztonságát. Még akkor is, ha a támadók feltörnek egy DMZ-kiszolgálót, rendkívül nehéz lesz a támadást a hálózaton keresztül terjeszteni - sok „lezárt ajtón” kell áttörniük a hálózaton belül. Az egyes virtuális gépek személyes tűzfala saját szabályokat tartalmaz, amelyek meghatározzák a be- és kilépési jogot. A mikroszegmentálást a VMware NSX-T Distributed Firewall segítségével végeztük. Ez a termék központilag hoz létre tűzfalszabályokat a virtuális gépekhez, és elosztja azokat a virtualizációs infrastruktúrán. Nem számít, melyik vendég operációs rendszert használják, a szabály a virtuális gépek hálózathoz való csatlakoztatásának szintjén érvényes.
N2 probléma. A sebesség és a kényelem keresésében
Virtuális gép telepítése? Könnyen! Pár kattintás és kész. De sok kérdés merül fel: hogyan lehet elérni a virtuális gépet egy másik vagy rendszerhez? Vagy másik rendszerről vissza a virtuális gépre?
Például egy bankban, miután virtuális gépet rendeltek a felhőportálon, meg kellett nyitni a technikai támogatási portált, és kérelmet kellett benyújtani a szükséges hozzáférés biztosítására. Egy hiba az alkalmazásban hívásokat és levelezést eredményezett a helyzet javítása érdekében. Ugyanakkor egy virtuális gép 10-15-20 hozzáféréssel rendelkezhet, és mindegyik feldolgozása időt vett igénybe. Az ördög folyamata.
Emellett különös odafigyelést igényelt a távoli virtuális gépek élettevékenységének nyomainak „eltakarítása”. Eltávolításuk után több ezer hozzáférési szabály maradt a tűzfalon, betöltve a berendezéseket. Ez egyben plusz teher és biztonsági rések is.
Ezt nem teheti meg a felhőben lévő szabályokkal. Ez kényelmetlen és nem biztonságos.
A virtuális gépekhez való hozzáférés biztosításához szükséges idő minimalizálása és a kezelésük kényelmesebbé tétele érdekében kifejlesztettünk egy hálózati hozzáférés-kezelési szolgáltatást a virtuális gépekhez.
A virtuális gép szintjén lévő felhasználó a helyi menüben kiválaszt egy elemet a hozzáférési szabály létrehozásához, majd a megnyíló űrlapon megadja a paramétereket - honnan, honnan, protokolltípusok, portszámok. Az űrlap kitöltése és elküldése után a szükséges jegyek automatikusan létrejönnek a HP Service Manager alapú felhasználói technikai támogatási rendszerben. Ők felelősek egy-egy hozzáférés jóváhagyásáért, és ha a hozzáférést jóváhagyják, olyan szakembereknek, akik elvégzik a még nem automatizált műveletek egy részét.
Miután az üzleti folyamat szakértőket bevonó szakasza lezajlott, elindul a szolgáltatás azon része, amely automatikusan szabályokat hoz létre a tűzfalakon.
Utolsó akkordként a felhasználó egy sikeresen teljesített kérést lát a portálon. Ez azt jelenti, hogy a szabály létrejött, és dolgozhat vele – megtekintheti, módosíthatja, törölheti.
Az előnyök végső pontszáma
Lényegében a privát felhő apró részeit modernizáltuk, de a bank érezhető hatást ért el. A felhasználók mostantól csak a portálon keresztül kapják meg a hálózati hozzáférést, anélkül, hogy közvetlenül a Service Desk-kel foglalkoznának. Kötelező űrlapmezők, ezek ellenőrzése a bevitt adatok helyességére, előre konfigurált listák, kiegészítő adatok – mindez segíti a pontos hozzáférési kérelem megfogalmazását, amelyet nagy valószínűséggel figyelembe vesznek és nem utasítanak vissza az információbiztonsági munkatársak hibák bevitelére. A virtuális gépek már nem fekete dobozok – továbbra is dolgozhat velük, ha változtatásokat hajt végre a portálon.
Ennek eredményeként ma már a bank informatikusainak kényelmesebb eszköz áll a rendelkezésére a hozzáféréshez, és csak azokat vonják be a folyamatba, akik nélkül biztosan nem tudnak meglenni. Összességében a munkaerőköltségeket tekintve ez legalább 1 fő napi teljes terhelése alóli felszabadulás, valamint több tucat óra spórolt felhasználók számára. A szabályalkotás automatizálása olyan mikroszegmentációs megoldás megvalósítását tette lehetővé, amely nem ró terhet a banki dolgozókra.
És végül a „hozzáférési szabály” lett a felhő elszámolási egysége. Vagyis most a felhő tárolja az összes virtuális gép szabályaira vonatkozó információkat, és megtisztítja azokat a virtuális gépek törlésekor.
A modernizáció előnyei hamarosan az egész bank felhőjére kiterjednek. A virtuális gépek létrehozási folyamatának automatizálása és a mikroszegmentáció túllépett a DMZ-n, és más szegmenseket is megragadt. Ez pedig növelte a felhő egészének biztonságát.
A megvalósított megoldás abból a szempontból is érdekes, hogy a bank felgyorsítja a fejlesztési folyamatokat, közelebb hozva az IT-cégek e kritérium szerinti modelljéhez. Hiszen ami a mobilalkalmazásokat, portálokat és ügyfélszolgálatokat illeti, manapság minden nagyvállalat arra törekszik, hogy digitális termékeket gyártó „gyárává” váljon. Ebben az értelemben a bankok gyakorlatilag a legerősebb IT-cégekkel egyenrangúak, lépést tartanak az új alkalmazások létrehozásával. Az pedig jó, ha egy privát felhőmodellre épített IT-infrastruktúra adottságai lehetővé teszik, hogy néhány perc alatt és a lehető legbiztonságosabban allokáld az ehhez szükséges erőforrásokat.
Szerzők:
Vjacseszlav Medvegyev, a Jet Infosystems felhőalapú számítástechnikai osztályának vezetője,
Ilya Kuikin, a Jet Infosystems felhőalapú számítástechnikai részlegének vezető mérnöke
Forrás: will.com