Apakah sulit membuat mesin virtual (VM) di cloud? Tidak lebih sulit dari membuat teh. Namun jika menyangkut perusahaan besar, tindakan sederhana seperti itu pun bisa memakan waktu yang sangat lama. Membuat mesin virtual saja tidak cukup; Anda juga perlu mendapatkan akses yang diperlukan untuk bekerja sesuai dengan semua peraturan. Rasa sakit yang familier bagi setiap pengembang? Di satu bank besar, prosedur ini memakan waktu beberapa jam hingga beberapa hari. Dan karena terdapat ratusan operasi serupa setiap bulannya, mudah untuk membayangkan skala skema yang memakan banyak tenaga kerja ini. Untuk mengakhiri hal ini, kami memodernisasi private cloud bank dan mengotomatiskan tidak hanya proses pembuatan VM, namun juga operasi terkait.
Tugas No.1. Awan dengan koneksi Internet
Bank menciptakan cloud pribadi menggunakan tim TI internalnya untuk satu segmen jaringan. Seiring waktu, manajemen menghargai manfaatnya dan memutuskan untuk memperluas konsep private cloud ke lingkungan dan segmen bank lainnya. Hal ini memerlukan lebih banyak spesialis dan keahlian yang kuat dalam private cloud. Oleh karena itu, tim kami dipercaya untuk memodernisasi cloud.
Aliran utama dari proyek ini adalah pembuatan mesin virtual di segmen tambahan keamanan informasi - di zona demiliterisasi (DMZ). Di sinilah layanan bank terintegrasi dengan sistem eksternal yang berada di luar infrastruktur perbankan.
Namun medali ini juga memiliki sisi lain. Layanan dari DMZ tersedia “di luar” dan hal ini menimbulkan serangkaian risiko keamanan informasi. Pertama-tama, ini adalah ancaman peretasan sistem, perluasan bidang serangan selanjutnya di DMZ, dan kemudian penetrasi ke dalam infrastruktur bank. Untuk meminimalkan beberapa risiko ini, kami mengusulkan penggunaan langkah keamanan tambahan - solusi segmentasi mikro.
Perlindungan segmentasi mikro
Segmentasi klasik membangun batas-batas yang dilindungi pada batas-batas jaringan menggunakan firewall. Dengan mikrosegmentasi, setiap VM individu dapat dipisahkan menjadi segmen pribadi yang terisolasi.
Ini meningkatkan keamanan seluruh sistem. Bahkan jika penyerang meretas satu server DMZ, akan sangat sulit bagi mereka untuk menyebarkan serangan ke seluruh jaringan - mereka harus mendobrak banyak “pintu terkunci” di dalam jaringan. Firewall pribadi setiap VM berisi aturannya sendiri mengenai hal itu, yang menentukan hak untuk masuk dan keluar. Kami menyediakan segmentasi mikro menggunakan VMware NSX-T Distributed Firewall. Produk ini secara terpusat membuat aturan firewall untuk VM dan mendistribusikannya ke seluruh infrastruktur virtualisasi. Tidak masalah OS tamu mana yang digunakan, aturan tersebut diterapkan pada tingkat menghubungkan mesin virtual ke jaringan.
Masalah N2. Mencari kecepatan dan kenyamanan
Menyebarkan mesin virtual? Mudah! Beberapa klik dan selesai. Namun kemudian banyak pertanyaan yang muncul: bagaimana cara mendapatkan akses dari VM ini ke atau sistem lain? Atau dari sistem lain kembali ke VM?
Misalnya, di bank, setelah memesan VM di portal cloud, perlu membuka portal dukungan teknis dan mengajukan permintaan penyediaan akses yang diperlukan. Kesalahan dalam aplikasi mengakibatkan panggilan dan korespondensi untuk memperbaiki situasi. Pada saat yang sama, VM dapat memiliki 10-15-20 akses dan pemrosesan masing-masing memerlukan waktu. Proses iblis.
Selain itu, “membersihkan” jejak aktivitas kehidupan mesin virtual jarak jauh memerlukan perhatian khusus. Setelah dihapus, ribuan aturan akses tetap ada di firewall, memuat peralatan. Ini merupakan beban tambahan sekaligus lubang keamanan.
Anda tidak dapat melakukan ini dengan aturan di cloud. Ini tidak nyaman dan tidak aman.
Untuk meminimalkan waktu yang diperlukan untuk menyediakan akses ke VM dan memudahkan pengelolaannya, kami telah mengembangkan layanan manajemen akses jaringan untuk VM.
Pengguna di tingkat mesin virtual di menu konteks memilih item untuk membuat aturan akses, dan kemudian dalam formulir yang terbuka menentukan parameter - dari mana, di mana, jenis protokol, nomor port. Setelah mengisi dan mengirimkan formulir, tiket yang diperlukan secara otomatis dibuat di sistem dukungan teknis pengguna berdasarkan HP Service Manager. Mereka bertanggung jawab untuk menyetujui akses ini atau itu dan, jika akses disetujui, kepada spesialis yang melakukan beberapa operasi yang belum diotomatisasi.
Setelah tahapan proses bisnis yang melibatkan spesialis berhasil, bagian layanan dimulai yang secara otomatis membuat aturan pada firewall.
Sebagai kunci terakhir, pengguna melihat permintaan yang berhasil diselesaikan di portal. Ini berarti aturan telah dibuat dan Anda dapat mengerjakannya - melihat, mengubah, menghapus.
Skor akhir manfaat
Pada dasarnya, kami memodernisasi aspek-aspek kecil dari private cloud, namun bank menerima dampak yang nyata. Pengguna kini menerima akses jaringan hanya melalui portal, tanpa berhubungan langsung dengan Service Desk. Bidang formulir wajib, validasinya untuk kebenaran data yang dimasukkan, daftar yang telah dikonfigurasi sebelumnya, data tambahan - semua ini membantu merumuskan permintaan akses yang akurat, yang dengan tingkat kemungkinan tinggi akan dipertimbangkan dan tidak ditolak oleh karyawan keamanan informasi karena untuk memasukkan kesalahan. Mesin virtual bukan lagi kotak hitam—Anda dapat terus bekerja dengannya dengan membuat perubahan di portal.
Akibatnya, saat ini spesialis TI bank memiliki alat yang lebih nyaman untuk mendapatkan akses, dan hanya orang-orang yang terlibat dalam proses tersebut, yang tanpanya mereka tidak dapat hidup tanpanya. Secara total, dalam hal biaya tenaga kerja, ini merupakan pelepasan dari beban penuh harian minimal 1 orang, serta puluhan jam yang dihemat untuk pengguna. Otomatisasi pembuatan aturan memungkinkan diterapkannya solusi segmentasi mikro yang tidak membebani pegawai bank.
Dan akhirnya, “aturan akses” menjadi unit penghitungan cloud. Artinya, sekarang cloud menyimpan informasi tentang aturan untuk semua VM dan membersihkannya ketika mesin virtual dihapus.
Manfaat modernisasi akan segera menyebar ke seluruh cloud bank. Otomatisasi proses pembuatan VM dan segmentasi mikro telah melampaui DMZ dan menjangkau segmen lainnya. Dan ini meningkatkan keamanan cloud secara keseluruhan.
Solusi yang diterapkan juga menarik karena memungkinkan bank untuk mempercepat proses pengembangan, mendekatkannya pada model perusahaan IT menurut kriteria ini. Lagi pula, dalam hal aplikasi seluler, portal, dan layanan pelanggan, perusahaan besar mana pun saat ini berupaya menjadi “pabrik” untuk produksi produk digital. Dalam hal ini, bank secara praktis setara dengan perusahaan IT terkuat dalam mengimbangi penciptaan aplikasi baru. Dan ada baiknya bila kemampuan infrastruktur TI yang dibangun pada model private cloud memungkinkan Anda mengalokasikan sumber daya yang diperlukan untuk ini dalam beberapa menit dan seaman mungkin.
Penulis:
Vyacheslav Medvedev, Kepala Departemen Cloud Computing, Jet Infosystems,
Ilya Kuikin, insinyur terkemuka di departemen komputasi awan Jet Infosystems
Sumber: www.habr.com