クラウド上に仮想マシン (VM) を作成するのは難しいですか? お茶を淹れるのと同じくらい難しいことはありません。 しかし、大企業の場合、そのような単純なアクションでも、非常に長い時間がかかることがあります。 仮想マシンを作成するだけでは十分ではなく、すべての規制に従って作業するために必要なアクセス権を取得する必要もあります。 すべての開発者にとっておなじみの悩みでしょうか? ある大手銀行では、この手続きに数時間から数日かかりました。 また、同様の作業が月に数百件もあったことから、この労力を要する計画の規模が容易に想像できます。 これに終止符を打つために、私たちは銀行のプライベート クラウドを最新化し、VM の作成プロセスだけでなく、関連する操作も自動化しました。
タスクその1。 インターネット接続のあるクラウド
この銀行は、社内の IT チームを使用して、ネットワークの単一セグメント用のプライベート クラウドを作成しました。 時間が経つにつれ、経営陣はその利点を認識し、プライベート クラウドの概念を銀行の他の環境やセグメントに拡張することを決定しました。 これには、プライベート クラウドに関するより多くの専門家と強力な専門知識が必要でした。 したがって、私たちのチームはクラウドの最新化を任されました。
このプロジェクトの主な流れは、情報セキュリティの追加セグメントである非武装地帯 (DMZ) での仮想マシンの作成でした。 ここでは、銀行のサービスが銀行インフラストラクチャの外側にある外部システムと統合されます。
しかし、このメダルには裏もありました。 DMZ からのサービスは「外部」でも利用可能であり、これには一連の情報セキュリティ リスクが伴いました。 まず第一に、これはシステムのハッキング、その後のDMZ内での攻撃範囲の拡大、そして銀行のインフラへの侵入の脅威です。 これらのリスクの一部を最小限に抑えるために、追加のセキュリティ対策であるマイクロセグメンテーション ソリューションを使用することを提案しました。
マイクロセグメンテーション保護
クラシック セグメンテーションでは、ファイアウォールを使用してネットワークの境界に保護された境界を構築します。 マイクロセグメンテーションを使用すると、個々の VM を個人用の独立したセグメントに分離できます。
これにより、システム全体のセキュリティが強化されます。 たとえ攻撃者が XNUMX つの DMZ サーバーをハッキングしたとしても、攻撃をネットワーク全体に広げることは非常に困難です。ネットワーク内の多くの「鍵のかかったドア」を突破する必要があります。 各 VM のパーソナル ファイアウォールには、VM に関する独自のルールが含まれており、これによって出入りする権利が決定されます。 VMware NSX-T 分散ファイアウォールを使用してマイクロセグメンテーションを提供しました。 この製品は、VM のファイアウォール ルールを一元的に作成し、仮想化インフラストラクチャ全体に配布します。 どのゲスト OS が使用されているかは関係なく、ルールは仮想マシンをネットワークに接続するレベルで適用されます。
問題N2。 スピードと利便性を求めて
仮想マシンをデプロイしますか? 簡単に! 数回クリックするだけで完了です。 しかし、この VM から別の VM またはシステムにアクセスするにはどうすればよいでしょうか?という多くの疑問が生じます。 それとも別のシステムから VM に戻りますか?
たとえば、銀行では、クラウド ポータルで VM を注文した後、テクニカル サポート ポータルを開いて、必要なアクセスの提供リクエストを送信する必要がありました。 アプリケーションにエラーが発生したため、状況を修正するために電話や連絡が必要になりました。 同時に、VM には 10、15、20 回のアクセスがあり、それぞれの処理に時間がかかりました。 悪魔のプロセス。
さらに、リモート仮想マシンの生命活動の痕跡を「クリーンアップ」するには特別な注意が必要でした。 それらが削除された後、何千ものアクセス ルールがファイアウォール上に残り、機器に負荷がかかりました。 これは余分な負担であると同時にセキュリティホールでもあります。
クラウド内のルールではこれを行うことはできません。 不便ですし、安全でもありません。
VM へのアクセスを提供するのにかかる時間を最小限に抑え、VM の管理を容易にするために、VM 用のネットワーク アクセス管理サービスを開発しました。
ユーザーはコンテキスト メニューの仮想マシン レベルで項目を選択してアクセス ルールを作成し、開いたフォームでパラメーター (どこから、どこから、プロトコル タイプ、ポート番号) を指定します。 フォームに記入して送信すると、HP Service Manager に基づいてユーザー テクニカル サポート システムで必要なチケットが自動的に作成されます。 彼らは、特定のアクセスを承認する責任があり、アクセスが承認された場合は、まだ自動化されていない操作の一部を実行する専門家に責任を負います。
専門家が関与するビジネス プロセスの段階が完了すると、ファイアウォール上にルールを自動的に作成するサービスの部分が開始されます。
最後のコードとして、ユーザーはポータル上でリクエストが正常に完了したことを確認します。 これは、ルールが作成され、表示、変更、削除などの操作ができることを意味します。
特典の最終スコア
基本的に、私たちはプライベート クラウドの小さな部分を最新化しましたが、銀行は顕著な効果を受けました。 ユーザーは、サービス デスクと直接やり取りすることなく、ポータル経由でのみネットワーク アクセスを受けることができるようになりました。 必須のフォームフィールド、入力されたデータの正確性の検証、事前設定されたリスト、追加データ - これらすべては、正確なアクセス要求を作成するのに役立ちます。これは、高い確率で考慮され、期限が切れている情報セキュリティ担当者によって拒否されません。入力エラーに。 仮想マシンはもはやブラック ボックスではありません。ポータルで変更を加えることで引き続き仮想マシンを操作できます。
その結果、現在、銀行の IT スペシャリストは、アクセスを取得するためのより便利なツールを自由に利用できるようになり、そのプロセスに関与するのは、その人なしでは絶対にやっていけないような人たちだけです。 合計すると、人件費の観点から、これにより、少なくとも 1 人の毎日のフル負荷から解放され、ユーザーにとっては数十時間が節約されます。 ルール作成の自動化により、行員に負担をかけないマイクロセグメンテーションソリューションの導入が可能になりました。
そしてついに「アクセスルール」がクラウドの会計単位となった。 つまり、クラウドはすべての VM のルールに関する情報を保存し、仮想マシンが削除されるときにルールをクリーンアップするようになりました。
間もなく、最新化のメリットが銀行のクラウド全体に広がるでしょう。 VM 作成プロセスの自動化とマイクロセグメンテーションは、DMZ を超えて他のセグメントも取り込みました。 これにより、クラウド全体のセキュリティが向上しました。
導入されたソリューションは、銀行が開発プロセスをスピードアップし、この基準に従って IT 企業のモデルに近づけることができるという点でも興味深いものです。 結局のところ、モバイル アプリケーション、ポータル、顧客サービスに関して言えば、今日ではどの大企業もデジタル製品を生産するための「工場」になろうと努力しています。 この意味で、銀行は実質的に最強の IT 企業と同等の役割を果たし、新しいアプリケーションの開発に追いついています。 そして、プライベート クラウド モデルに基づいて構築された IT インフラストラクチャの機能により、必要なリソースを数分でできるだけ安全に割り当てることができるのは良いことです。
著者:
Jet Infosystems クラウド コンピューティング部門責任者、Vyacheslav Medvedev 氏,
Jet Infosystems クラウド コンピューティング部門の主任エンジニア、イリヤ・クイキン氏
出所: habr.com