È difficile creare una macchina virtuale (VM) nel cloud? Non più difficile che preparare il tè. Ma quando si tratta di una grande azienda, anche un’azione così semplice può rivelarsi terribilmente lunga. Non basta creare una macchina virtuale, bisogna anche ottenere l’accesso necessario per lavorare nel rispetto di tutte le normative. Un dolore familiare per ogni sviluppatore? In una grande banca, questa procedura richiedeva da diverse ore a diversi giorni. E poiché ogni mese venivano eseguite centinaia di operazioni simili, è facile immaginare la portata di questo programma dispendioso in termini di manodopera. Per porre fine a tutto ciò, abbiamo modernizzato il cloud privato della banca e automatizzato non solo il processo di creazione delle VM, ma anche le operazioni correlate.
Compito n. 1. Cloud con connessione Internet
La banca ha creato un cloud privato utilizzando il proprio team IT interno per un singolo segmento della rete. Nel corso del tempo, il management ne ha apprezzato i vantaggi e ha deciso di estendere il concetto di cloud privato ad altri ambienti e segmenti della banca. Ciò richiedeva più specialisti e una forte esperienza nei cloud privati. Pertanto, al nostro team è stato affidato il compito di modernizzare il cloud.
Il filo conduttore di questo progetto è stata la creazione di macchine virtuali in un ulteriore segmento della sicurezza informatica, nella zona demilitarizzata (DMZ). È qui che i servizi della banca vengono integrati con sistemi esterni situati al di fuori dell’infrastruttura bancaria.
Ma questa medaglia aveva anche un rovescio della medaglia. I servizi della DMZ erano disponibili “all’esterno” e ciò comportava tutta una serie di rischi per la sicurezza delle informazioni. Innanzitutto si tratta della minaccia dei sistemi di hacking, della successiva espansione del campo di attacco nella DMZ e quindi della penetrazione nell’infrastruttura della banca. Per ridurre al minimo alcuni di questi rischi, abbiamo proposto di utilizzare un'ulteriore misura di sicurezza: una soluzione di microsegmentazione.
Protezione dalla microsegmentazione
La segmentazione classica crea confini protetti ai confini delle reti utilizzando un firewall. Con la microsegmentazione, ogni singola VM può essere separata in un segmento personale e isolato.
Ciò aumenta la sicurezza dell’intero sistema. Anche se gli aggressori hackerano un server DMZ, sarà estremamente difficile per loro diffondere l'attacco su tutta la rete: dovranno sfondare molte "porte chiuse" all'interno della rete. Il firewall personale di ciascuna VM contiene le proprie regole al riguardo, che determinano il diritto di entrata e di uscita. Abbiamo fornito la microsegmentazione utilizzando il firewall distribuito VMware NSX-T. Questo prodotto crea centralmente regole firewall per le macchine virtuali e le distribuisce nell'infrastruttura di virtualizzazione. Non importa quale sistema operativo guest venga utilizzato, la regola viene applicata a livello di connessione delle macchine virtuali alla rete.
Problema N2. Alla ricerca della velocità e della comodità
Distribuire una macchina virtuale? Facilmente! Un paio di clic e il gioco è fatto. Ma poi sorgono molte domande: come ottenere l'accesso da questa VM a un altro o sistema? O da un altro sistema alla VM?
Ad esempio, in una banca, dopo aver ordinato una VM sul portale cloud, era necessario aprire il portale del supporto tecnico e inviare una richiesta per la fornitura dell'accesso necessario. Un errore nell'applicazione ha provocato chiamate e corrispondenza per correggere la situazione. Allo stesso tempo, una VM può avere 10-15-20 accessi e l'elaborazione di ognuno di essi richiede tempo. Il processo del diavolo.
Inoltre, la “ripulitura” delle tracce dell'attività vitale delle macchine virtuali remote richiedeva un'attenzione particolare. Dopo essere state rimosse, migliaia di regole di accesso sono rimaste sul firewall, caricando l'apparecchiatura. Questo è sia un onere aggiuntivo che una falla di sicurezza.
Non puoi farlo con le regole nel cloud. È scomodo e pericoloso.
Per ridurre al minimo il tempo necessario per fornire l'accesso alle VM e semplificarne la gestione, abbiamo sviluppato un servizio di gestione dell'accesso alla rete per le VM.
L'utente a livello di macchina virtuale nel menu contestuale seleziona un elemento per creare una regola di accesso, quindi nel modulo che si apre specifica i parametri: da dove, dove, tipi di protocollo, numeri di porta. Dopo aver compilato e inviato il modulo, i ticket necessari vengono creati automaticamente nel sistema di supporto tecnico dell'utente basato su HP Service Manager. Sono responsabili dell'approvazione di questo o quell'accesso e, se l'accesso è approvato, degli specialisti che eseguono alcune operazioni non ancora automatizzate.
Dopo che la fase del processo aziendale che coinvolge gli specialisti ha funzionato, inizia la parte del servizio che crea automaticamente regole sui firewall.
Come accordo finale, l'utente vede sul portale una richiesta completata con successo. Ciò significa che la regola è stata creata e puoi lavorarci: visualizza, modifica, elimina.
Punteggio finale dei benefici
In sostanza, abbiamo modernizzato piccoli aspetti del cloud privato, ma la banca ha ottenuto un effetto notevole. Gli utenti ora ricevono l'accesso alla rete solo attraverso il portale, senza trattare direttamente con il Service Desk. Campi del modulo obbligatori, la loro convalida per la correttezza dei dati inseriti, elenchi preconfigurati, dati aggiuntivi: tutto ciò aiuta a formulare una richiesta di accesso accurata, che con un alto grado di probabilità verrà presa in considerazione e non respinta dai dipendenti della sicurezza informatica a causa per inserire errori. Le macchine virtuali non sono più scatole nere: puoi continuare a lavorare con loro apportando modifiche sul portale.
Di conseguenza, oggi gli specialisti IT della banca hanno a disposizione uno strumento più conveniente per ottenere l'accesso, e solo quelle persone sono coinvolte nel processo, senza le quali sicuramente non possono fare a meno. In totale, in termini di costo del lavoro, si tratta di un rilascio dal pieno carico giornaliero di almeno 1 persona, oltre a decine di ore risparmiate per gli utenti. L'automazione della creazione delle regole ha permesso di implementare una soluzione di microsegmentazione che non crea alcun onere per i dipendenti delle banche.
E infine, la “regola di accesso” è diventata l’unità contabile del cloud. Cioè, ora il cloud memorizza le informazioni sulle regole per tutte le macchine virtuali e le pulisce quando le macchine virtuali vengono eliminate.
Presto i vantaggi della modernizzazione si estenderanno all’intero cloud della banca. L'automazione del processo di creazione delle VM e la microsegmentazione sono andati oltre la DMZ e hanno catturato altri segmenti. E questo ha aumentato la sicurezza del cloud nel suo complesso.
La soluzione implementata è interessante anche in quanto consente alla banca di accelerare i processi di sviluppo, avvicinandola al modello delle società IT secondo questo criterio. Dopotutto, quando si tratta di applicazioni mobili, portali e servizi ai clienti, oggi qualsiasi grande azienda si sforza di diventare una “fabbrica” per la produzione di prodotti digitali. In questo senso le banche giocano praticamente alla pari delle più forti aziende informatiche, tenendo il passo con la creazione di nuove applicazioni. Ed è positivo quando le capacità di un'infrastruttura IT costruita sul modello di cloud privato consentono di allocare le risorse necessarie in pochi minuti e nel modo più sicuro possibile.
Autori:
Vyacheslav Medvedev, capo del dipartimento di cloud computing, Jet Infosystems,
Ilya Kuikin, ingegnere capo del dipartimento di cloud computing di Jet Infosystems
Fonte: habr.com