Er erfitt að búa til sýndarvél (VM) í skýinu? Ekkert erfiðara en að búa til te. En þegar um stórt fyrirtæki er að ræða getur jafnvel svo einföld aðgerð reynst sársaukafull löng. Það er ekki nóg að búa til sýndarvél; þú þarft líka að fá nauðsynlegan aðgang til að vinna í samræmi við allar reglur. Kunnugleg sársauki fyrir hvern forritara? Í einum stórum banka tók þetta ferli allt frá nokkrum klukkustundum upp í nokkra daga. Og þar sem það voru hundruðir svipaðra aðgerða á mánuði, er auðvelt að ímynda sér umfang þessa vinnufreku kerfis. Til að binda enda á þetta nútímavæddum við einkaský bankans og sjálfvirkum ekki aðeins ferlið við að búa til VM, heldur einnig tengda starfsemi.
Verkefni nr.1. Ský með nettengingu
Bankinn bjó til einkaský með því að nota innra upplýsingatækniteymi sitt fyrir einn hluta netkerfisins. Með tímanum kunnu stjórnendur að meta kosti þess og ákváðu að útvíkka einkaskýjahugmyndina til annarra umhverfi og hluta bankans. Til þess þurfti fleiri sérfræðinga og sterka sérfræðiþekkingu í einkaskýjum. Þess vegna var teymi okkar falið að nútímavæða skýið.
Meginstraumur þessa verkefnis var sköpun sýndarvéla í viðbótarhluta upplýsingaöryggis - á herlausu svæði (DMZ). Þar er þjónusta bankans samþætt ytri kerfum utan bankainnviða.
En þessi medalía hafði líka bakhlið. Þjónusta frá DMZ var fáanleg „utan“ og þetta hafði í för með sér alls kyns upplýsingaöryggisáhættu. Í fyrsta lagi er þetta ógnin við tölvuþrjótakerfi, síðari stækkun árásarsviðsins í DMZ og síðan inn í innviði bankans. Til að draga úr sumum þessara áhættu, lögðum við til að við notum viðbótaröryggisráðstöfun - örþáttunarlausn.
Ör-skiptingarvörn
Klassísk skipting byggir vernduð mörk á mörkum netkerfa með því að nota eldvegg. Með örþáttun er hægt að aðgreina hvern einstakan VM í persónulegan, einangraðan hluta.
Þetta eykur öryggi alls kerfisins. Jafnvel þótt árásarmenn hakki einn DMZ netþjón, þá verður það mjög erfitt fyrir þá að dreifa árásinni um netið - þeir verða að brjótast í gegnum margar „læstar dyr“ innan netsins. Persónulegur eldveggur hvers VM inniheldur sínar eigin reglur um hann, sem ákvarða réttinn til að fara inn og út. Við útveguðum örskiptingu með því að nota VMware NSX-T dreifðan eldvegg. Þessi vara býr til miðlægt eldveggsreglur fyrir VM og dreifir þeim um sýndarvæðingarinnviðina. Það skiptir ekki máli hvaða stýrikerfi gesta er notað, reglunni er beitt á því stigi að tengja sýndarvélar við netið.
Vandamál N2. Í leit að hraða og þægindum
Settu upp sýndarvél? Auðveldlega! Nokkrir smellir og þú ert búinn. En þá vakna margar spurningar: hvernig á að fá aðgang frá þessum VM að öðru eða kerfi? Eða frá öðru kerfi aftur í VM?
Til dæmis, í banka, eftir að hafa pantað VM á skýjagáttinni, var nauðsynlegt að opna tækniaðstoðargáttina og leggja fram beiðni um að veita nauðsynlegan aðgang. Villa í umsókn leiddi til símtala og bréfaskipta til að leiðrétta ástandið. Á sama tíma getur VM haft 10-15-20 aðganga og vinnsla hvers og eins tók tíma. Djöfulsins ferli.
Að auki þurfti sérstaka aðgát að „hreinsa upp“ ummerki um lífsvirkni fjarlægra sýndarvéla. Eftir að þær voru fjarlægðar voru þúsundir aðgangsreglna eftir á eldveggnum, hlaðið búnaðinum. Þetta er bæði aukaálag og öryggisgöt.
Þú getur ekki gert þetta með reglum í skýinu. Það er óþægilegt og óöruggt.
Til að lágmarka þann tíma sem það tekur að veita aðgang að VM og gera það þægilegt að stjórna þeim höfum við þróað netaðgangsstjórnunarþjónustu fyrir VM.
Notandinn á sýndarvélastigi í samhengisvalmyndinni velur hlut til að búa til aðgangsreglu og tilgreinir síðan færibreyturnar í því formi sem opnast - hvaðan, hvaðan, samskiptareglur, gáttarnúmer. Eftir að eyðublaðið hefur verið fyllt út og sent inn verða nauðsynlegir miðar sjálfkrafa búnir til í tækniþjónustukerfi notenda sem byggir á HP Service Manager. Þeir bera ábyrgð á að samþykkja þennan eða hinn aðgang og, ef aðgangur er samþykktur, sérfræðingum sem framkvæma sumar aðgerðir sem ekki eru enn sjálfvirkar.
Eftir að áfangi viðskiptaferlis með sérfræðingum hefur virkað hefst sá hluti þjónustunnar sem býr sjálfkrafa til reglur um eldveggi.
Sem lokahljómur sér notandinn vel lokið beiðni á gáttinni. Þetta þýðir að reglan er búin til og hægt er að vinna með hana - skoða, breyta, eyða.
Lokastig bóta
Í meginatriðum nútímafærðum við litla þætti einkaskýsins, en bankinn fékk áberandi áhrif. Notendur fá nú aðeins netaðgang í gegnum gáttina, án þess að eiga beint við þjónustuborðið. Lögboðnir eyðublaðareitir, staðfesting þeirra á réttmæti innsláttra gagna, forstilltir listar, viðbótargögn - allt þetta hjálpar til við að móta nákvæma aðgangsbeiðni, sem með miklum líkum verður tekin til greina og ekki hafnað af starfsmönnum upplýsingaöryggis vegna til að slá inn villur. Sýndarvélar eru ekki lengur svartir kassar - þú getur haldið áfram að vinna með þær með því að gera breytingar á gáttinni.
Fyrir vikið hafa upplýsingatæknisérfræðingar bankans í dag yfir að ráða þægilegra tæki til að fá aðgang og aðeins þeir sem taka þátt í ferlinu sem þeir geta örugglega ekki verið án. Alls, hvað varðar launakostnað, er þetta losun frá daglegu fullu álagi að minnsta kosti 1 einstaklings, auk tugum klukkustunda sem sparast fyrir notendur. Sjálfvirkni í reglugerð gerði það að verkum að hægt var að innleiða örþáttunarlausn sem skapar ekki álag á bankastarfsmenn.
Og að lokum varð „aðgangsreglan“ bókhaldseining skýsins. Það er, nú geymir skýið upplýsingar um reglurnar fyrir allar VMs og hreinsar þær upp þegar sýndarvélum er eytt.
Brátt mun ávinningurinn af nútímavæðingu dreifast í allt ský bankans. Sjálfvirkni í sköpunarferli VM og örskipting hefur færst út fyrir DMZ og náð öðrum hlutum. Og þetta jók öryggi skýsins í heild.
Innleidda lausnin er einnig áhugaverð að því leyti að hún gerir bankanum kleift að flýta fyrir þróunarferlum og færa hann nær fyrirmynd upplýsingatæknifyrirtækja samkvæmt þessari viðmiðun. Þegar öllu er á botninn hvolft, þegar kemur að farsímaforritum, gáttum og þjónustu við viðskiptavini, leitast öll stór fyrirtæki í dag við að verða „verksmiðja“ fyrir framleiðslu á stafrænum vörum. Í þessum skilningi leika bankar nánast á pari við sterkustu upplýsingatæknifyrirtækin og halda í við sköpun nýrra forrita. Og það er gott þegar hæfileiki upplýsingatækniinnviða byggður á einkaskýjalíkani gerir þér kleift að úthluta nauðsynlegu fjármagni fyrir þetta á nokkrum mínútum og eins örugglega og mögulegt er.
Höfundar:
Vyacheslav Medvedev, yfirmaður skýjatölvudeildar, Jet Infosystems,
Ilya Kuikin, leiðandi verkfræðingur skýjatölvudeildar Jet Infosystems
Heimild: www.habr.com