Դժվա՞ր է ամպի մեջ ստեղծել վիրտուալ մեքենա (VM): Ավելի դժվար չէ, քան թեյ պատրաստելը։ Բայց երբ խոսքը գնում է խոշոր կորպորացիայի մասին, նույնիսկ նման պարզ գործողությունը կարող է ցավալիորեն երկարատև լինել: Վիրտուալ մեքենա ստեղծելը բավարար չէ, անհրաժեշտ է նաև ձեռք բերել անհրաժեշտ մուտք աշխատելու համար՝ բոլոր կանոնակարգերին համապատասխան: Ծանոթ ցավ յուրաքանչյուր մշակողի համար: Մի խոշոր բանկում այս պրոցեդուրան տևում էր մի քանի ժամից մինչև մի քանի օր: Եվ քանի որ ամսական հարյուրավոր նմանատիպ գործողություններ են եղել, հեշտ է պատկերացնել, թե այս աշխատատար սխեմայի մասշտաբները ինչ չափերի են հասնում։ Սրան վերջ տալու համար մենք արդիականացրել ենք բանկի մասնավոր ամպը և ավտոմատացրել ոչ միայն VM-ների ստեղծման գործընթացը, այլև հարակից գործառնությունները:
Առաջադրանք թիվ 1. Ամպ ինտերնետ կապով
Բանկը ստեղծել է մասնավոր ամպ՝ օգտագործելով իր ներքին ՏՏ թիմը ցանցի մեկ հատվածի համար: Ժամանակի ընթացքում ղեկավարությունը գնահատեց դրա առավելությունները և որոշեց ընդլայնել մասնավոր ամպի հայեցակարգը բանկի այլ միջավայրերի և հատվածների վրա: Սա պահանջում էր ավելի շատ մասնագետներ և ուժեղ փորձ մասնավոր ամպերում: Ուստի մեր թիմին վստահվեց ամպի արդիականացումը։
Այս նախագծի հիմնական հոսքը վիրտուալ մեքենաների ստեղծումն էր տեղեկատվական անվտանգության լրացուցիչ հատվածում՝ ապառազմականացված գոտում (DMZ): Այստեղ է, որ բանկի ծառայությունները ինտեգրված են բանկային ենթակառուցվածքից դուրս գտնվող արտաքին համակարգերի հետ:
Բայց այս մեդալն ուներ նաև հակառակ կողմ. DMZ-ի ծառայությունները հասանելի էին «դրսում», և դա ենթադրում էր տեղեկատվական անվտանգության ռիսկերի մի ամբողջ շարք: Առաջին հերթին դա հաքերային համակարգերի սպառնալիքն է, DMZ-ում հարձակման դաշտի հետագա ընդլայնումը, այնուհետև բանկի ենթակառուցվածք ներթափանցելը: Այս ռիսկերից մի քանիսը նվազագույնի հասցնելու համար մենք առաջարկել ենք օգտագործել անվտանգության լրացուցիչ միջոց՝ միկրոսեգմենտավորման լուծում:
Միկրոհատվածային պաշտպանություն
Դասական հատվածավորումը պաշտպանված սահմաններ է ստեղծում ցանցերի սահմաններում՝ օգտագործելով firewall: Միկրոսեգմենտացիայի միջոցով յուրաքանչյուր անհատական VM կարող է բաժանվել անհատական, մեկուսացված հատվածի:
Սա բարձրացնում է ամբողջ համակարգի անվտանգությունը: Նույնիսկ եթե հարձակվողները կոտրեն մեկ DMZ սերվեր, նրանց համար չափազանց դժվար կլինի հարձակումը տարածել ցանցով. նրանք ստիպված կլինեն ճեղքել բազմաթիվ «կողպված դռներ» ցանցի ներսում: Յուրաքանչյուր VM-ի անձնական firewall-ը պարունակում է դրա վերաբերյալ իր կանոնները, որոնք որոշում են մուտքի և ելքի իրավունքը։ Մենք տրամադրել ենք միկրոսեգմենտացիա՝ օգտագործելով VMware NSX-T Distributed Firewall-ը: Այս արտադրանքը կենտրոնացված կերպով ստեղծում է firewall-ի կանոններ VM-ների համար և դրանք բաշխում է վիրտուալացման ենթակառուցվածքում: Կարևոր չէ, թե որ հյուր ՕՀ-ն է օգտագործվում, կանոնը կիրառվում է վիրտուալ մեքենաները ցանցին միացնելու մակարդակում:
Խնդիր N2. Արագության և հարմարավետության որոնման մեջ
Տեղադրե՞լ վիրտուալ մեքենա: Հեշտությամբ! Մի երկու կտտացրեք, և դուք պատրաստ եք: Բայց հետո շատ հարցեր են առաջանում՝ ինչպե՞ս մուտք գործել այս VM-ից մեկ այլ կամ համակարգ: Կամ մեկ այլ համակարգից վերադառնալ VM:
Օրինակ, բանկում, ամպային պորտալում VM պատվիրելուց հետո, անհրաժեշտ էր բացել տեխնիկական աջակցության պորտալը և անհրաժեշտ մուտքի ապահովման հարցում ներկայացնել: Դիմումի սխալը հանգեցրեց զանգերի և նամակագրության՝ իրավիճակը շտկելու համար: Միևնույն ժամանակ, VM-ն կարող է ունենալ 10-15-20 մուտք, և յուրաքանչյուրի մշակումը ժամանակ է պահանջել: Սատանայի ընթացքը.
Բացի այդ, հեռավոր վիրտուալ մեքենաների կենսագործունեության հետքերը «մաքրելը» հատուկ խնամք էր պահանջում։ Դրանք հեռացնելուց հետո մուտքի հազարավոր կանոններ մնացին firewall-ում՝ բեռնելով սարքավորումները: Սա և՛ լրացուցիչ բեռ է, և՛ անվտանգության անցքեր:
Դուք չեք կարող դա անել ամպի կանոններով: Դա անհարմար է և անվտանգ:
VM-ներին հասանելիություն ապահովելու համար անհրաժեշտ ժամանակը նվազագույնի հասցնելու և դրանց կառավարումը հարմար դարձնելու համար մենք մշակել ենք ցանցային մուտքի կառավարման ծառայություն VM-ների համար:
Համատեքստի ընտրացանկում վիրտուալ մեքենայի մակարդակի օգտագործողը ընտրում է մի տարր՝ մուտքի կանոն ստեղծելու համար, այնուհետև բացվող ձևում նշում է պարամետրերը՝ որտեղից, որտեղից, արձանագրությունների տեսակները, նավահանգիստների համարները: Ձևը լրացնելուց և ներկայացնելուց հետո անհրաժեշտ տոմսերը ավտոմատ կերպով ստեղծվում են օգտատերերի տեխնիկական աջակցության համակարգում՝ հիմնված HP Service Manager-ի վրա: Նրանք պատասխանատու են այս կամ այն մուտքի հաստատման համար, իսկ մուտքի հաստատման դեպքում՝ մասնագետներին, ովքեր կատարում են որոշ գործողություններ, որոնք դեռ ավտոմատացված չեն։
Մասնագետների ներգրավմամբ բիզնես գործընթացի փուլն աշխատելուց հետո սկսվում է ծառայության այն մասը, որն ավտոմատ կերպով ստեղծում է կանոններ firewalls-ի վրա:
Որպես վերջնական ակորդ, օգտատերը պորտալում տեսնում է հաջողությամբ կատարված հարցումը: Սա նշանակում է, որ կանոնը ստեղծվել է, և դուք կարող եք աշխատել դրա հետ՝ դիտել, փոխել, ջնջել:
Նպաստների վերջնական գնահատականը
Ըստ էության, մենք արդիականացրել ենք մասնավոր ամպի փոքր կողմերը, սակայն բանկը նկատելի էֆեկտ է ստացել: Այժմ օգտատերերը ցանցի հասանելիություն են ստանում միայն պորտալի միջոցով՝ առանց անմիջականորեն առնչվելու Սպասարկման Գրասեղանի հետ: Պարտադիր ձևի դաշտերը, դրանց վավերացումը մուտքագրված տվյալների ճշգրտության համար, նախապես կազմաձևված ցուցակները, լրացուցիչ տվյալներ. մուտքագրելու սխալները: Վիրտուալ մեքենաներն այլևս սև արկղեր չեն. դուք կարող եք շարունակել աշխատել դրանց հետ՝ փոփոխություններ կատարելով պորտալում:
Արդյունքում, այսօր բանկի ՏՏ մասնագետների տրամադրության տակ է մուտք գործելու ավելի հարմար գործիք, և գործընթացում ներգրավված են միայն այն մարդիկ, առանց որոնց նրանք հաստատ չեն կարող։ Ընդհանուր առմամբ, աշխատուժի ծախսերի առումով սա ազատում է առնվազն 1 անձի ամենօրյա լիարժեք բեռից, ինչպես նաև օգտվողների համար խնայված տասնյակ ժամերից: Կանոնների ստեղծման ավտոմատացումը հնարավորություն տվեց իրականացնել միկրոսեգմենտացիայի լուծում, որը բեռ չի ստեղծում բանկի աշխատակիցների վրա:
Եվ վերջապես, «մուտքի կանոնը» դարձավ ամպի հաշվառման միավորը։ Այսինքն՝ այժմ ամպը պահպանում է բոլոր VM-ների կանոնների մասին տեղեկությունները և մաքրում դրանք, երբ վիրտուալ մեքենաները ջնջվում են։
Շուտով արդիականացման առավելությունները կտարածվեն ամբողջ բանկի ամպի վրա: VM-ի ստեղծման գործընթացի ավտոմատացումը և միկրոսեգմենտացիան դուրս են եկել DMZ-ից և գրավել այլ հատվածներ: Եվ սա մեծացրեց ամպի անվտանգությունը որպես ամբողջություն:
Իրականացված լուծումը հետաքրքիր է նաև նրանով, որ թույլ է տալիս բանկին արագացնել զարգացման գործընթացները՝ մոտեցնելով ՏՏ ընկերությունների մոդելին՝ ըստ այս չափանիշի։ Ի վերջո, երբ խոսքը վերաբերում է բջջային հավելվածներին, պորտալներին և հաճախորդների սպասարկմանը, ցանկացած խոշոր ընկերություն այսօր ձգտում է դառնալ թվային արտադրանքի արտադրության «գործարան»: Այս առումով, բանկերը գործնականում հավասարվում են ՏՏ ոլորտի ամենաուժեղ ընկերություններին` հետ մնալով նոր հավելվածների ստեղծման հետ: Եվ լավ է, երբ մասնավոր ամպային մոդելի վրա կառուցված ՏՏ ենթակառուցվածքի հնարավորությունները թույլ են տալիս դրա համար անհրաժեշտ ռեսուրսները հատկացնել մի քանի րոպեում և հնարավորինս անվտանգ:
Հեղինակներ:
Վյաչեսլավ Մեդվեդև, Cloud Computing բաժնի ղեկավար Jet Infosystems,
Իլյա Կույկին, Jet Infosystems-ի ամպային հաշվողական բաժնի առաջատար ինժեներ
Source: www.habr.com