Apa angel nggawe mesin virtual (VM) ing mΓ©ga? Ora luwih angel tinimbang nggawe teh. Nanging nalika nerangake perusahaan gedhe, malah tumindak prasaja kuwi bisa dadi painfully dawa. Ora cukup kanggo nggawe mesin virtual; sampeyan uga kudu entuk akses sing dibutuhake kanggo bisa kerja miturut kabeh peraturan. A pain menowo kanggo saben pangembang? Ing siji bank gedhe, prosedur iki njupuk saka sawetara jam kanggo sawetara dina. Lan amarga ana atusan operasi sing padha saben sasi, gampang mbayangno skala skema sing ngebotake tenaga kerja iki. Kanggo mungkasi iki, kita modernisasi maya pribadi bank lan ngotomatisasi ora mung proses nggawe VM, nanging uga operasi sing gegandhengan.
Tugas No. 1. Cloud karo sambungan Internet
Bank kasebut nggawe awan pribadi nggunakake tim IT internal kanggo segmen siji jaringan. Sajrone wektu, manajemen ngormati keuntungan lan mutusake kanggo ngluwihi konsep awan pribadi menyang lingkungan lan segmen bank liyane. Iki mbutuhake luwih akeh spesialis lan keahlian sing kuat ing awan pribadi. Mula, tim kita dipasrahake kanggo modernisasi awan.
Aliran utama proyek iki yaiku nggawe mesin virtual ing bagean keamanan informasi tambahan - ing zona demiliterisasi (DMZ). Iki ngendi layanan bank digabungake karo sistem eksternal sing ana ing njaba infrastruktur perbankan.
Nanging medali iki uga duwe sisih flip. Layanan saka DMZ kasedhiya "njaba" lan iki mbutuhake kabeh risiko keamanan informasi. Kaping pisanan, iki minangka ancaman sistem peretasan, ekspansi lapangan serangan ing DMZ, lan banjur penetrasi menyang infrastruktur bank. Kanggo nyilikake sawetara risiko kasebut, kita ngusulake nggunakake langkah keamanan tambahan - solusi segmen mikro.
Proteksi segmen mikro
Segmentasi klasik mbangun wates sing dilindhungi ing wates jaringan nggunakake firewall. Kanthi microsegmentation, saben VM individu bisa dipisahake dadi segmen pribadi sing terisolasi.
Iki nambah keamanan kabeh sistem. Sanajan panyerang hack siji server DMZ, bakal angel banget kanggo nyebarake serangan kasebut ing jaringan - dheweke kudu ngrusak akeh "lawang sing dikunci" ing jaringan kasebut. Firewall pribadi saben VM ngemot aturan dhewe babagan, sing nemtokake hak kanggo mlebu lan metu. Kita nyedhiyakake mikro-segmentasi nggunakake VMware NSX-T Distributed Firewall. Produk iki tengah nggawe aturan firewall kanggo VM lan disebarake ing infrastruktur virtualisasi. Ora Matter kang OS tamu digunakake, aturan iki Applied ing tingkat nyambungake mesin virtual kanggo jaringan.
Masalah N2. Ing panelusuran kacepetan lan penak
Pasang mesin virtual? Gampang! Saperangan klik lan sampeyan wis rampung. Nanging banjur akeh pitakonan sing muncul: carane entuk akses saka VM iki menyang liyane utawa sistem? Utawa saka sistem liyane bali menyang VM?
Contone, ing bank, sawise pesen VM ing portal maya, kudu mbukak portal dhukungan teknis lan ngirim panjaluk kanggo nyedhiyakake akses sing dibutuhake. Kesalahan ing aplikasi kasebut nyebabake telpon lan korespondensi kanggo mbenerake kahanan kasebut. Ing wektu sing padha, VM bisa duwe 10-15-20 akses lan ngolah saben wektu. Proses setan.
Kajaba iku, "ngresiki" jejak aktivitas urip mesin virtual remot mbutuhake perawatan khusus. Sawise dibusak, ewonan aturan akses tetep ing firewall, ngemot peralatan kasebut. Iki minangka beban tambahan lan bolongan keamanan.
Sampeyan ora bisa nindakake iki karo aturan ing mΓ©ga. Iku ora trep lan ora aman.
Kanggo nyilikake wektu sing dibutuhake kanggo nyedhiyakake akses menyang VM lan nggawe trep kanggo ngatur, kita wis ngembangake layanan manajemen akses jaringan kanggo VM.
Pangguna ing tingkat mesin virtual ing menu konteks milih item kanggo nggawe aturan akses, lan banjur ing wangun sing mbukak nemtokake paramèter - saka ngendi, ngendi, jinis protokol, nomer port. Sawise ngisi lan ngirim formulir, tiket sing dibutuhake digawe kanthi otomatis ing sistem dhukungan teknis pangguna adhedhasar HP Service Manager. Dheweke tanggung jawab kanggo nyetujoni akses kasebut lan, yen akses disetujoni, kanggo spesialis sing nindakake sawetara operasi sing durung otomatis.
Sawise tahapan proses bisnis sing nglibatake spesialis wis makarya, bagean layanan kasebut diwiwiti kanthi otomatis nggawe aturan ing firewall.
Minangka penghubung pungkasan, pangguna ndeleng panjalukan sing wis rampung ing portal kasebut. Iki tegese aturan wis digawe lan sampeyan bisa nggarap - ndeleng, ngganti, mbusak.
Skor pungkasan keuntungan
Ateges, kita modernisasi aspek cilik saka awan pribadi, nanging bank kasebut entuk efek sing nyata. Pangguna saiki nampa akses jaringan mung liwat portal, tanpa langsung nangani Service Desk. Kolom formulir wajib, validasi kanggo akurasi data sing dilebokake, dhaptar sing wis dikonfigurasi, data tambahan - kabeh iki mbantu nggawe panyuwunan akses sing akurat, sing kanthi kemungkinan dhuwur bakal dianggep lan ora ditolak dening karyawan keamanan informasi amarga kanggo kesalahan input. Mesin virtual ora dadi kothak ireng maneh-sampeyan bisa terus nggarap kanthi nggawe owah-owahan ing portal kasebut.
AkibatΓ©, saiki spesialis IT bank duwe alat sing luwih trep kanggo entuk akses, lan mung wong-wong mau sing melu proses kasebut, tanpa sing mesthi ora bisa ditindakake. Secara total, babagan biaya tenaga kerja, iki minangka rilis saka beban lengkap saben dina paling ora 1 wong, uga puluhan jam sing disimpen kanggo pangguna. Otomasi nggawe aturan nggawe bisa ngetrapake solusi segmen mikro sing ora nggawe beban karyawan bank.
Lan pungkasane, "aturan akses" dadi unit akuntansi awan. Tegese, saiki awan nyimpen informasi babagan aturan kanggo kabeh VM lan ngresiki nalika mesin virtual dibusak.
Ora suwe, keuntungan saka modernisasi bakal nyebar menyang kabeh awan bank. Otomasi proses nggawe VM lan segmen mikro wis pindhah ngluwihi DMZ lan nangkep segmen liyane. Lan iki nambah keamanan awan kanthi sakabehe.
Solusi sing dileksanakake uga menarik amarga ngidini bank nyepetake proses pangembangan, nggawa luwih cedhak karo model perusahaan IT miturut kritéria iki. Sawise kabeh, nalika nerangake aplikasi seluler, portal, lan layanan pelanggan, perusahaan gedhe saiki ngupayakake dadi "pabrik" kanggo produksi produk digital. Ing pangertèn iki, bank-bank prakteke muter ing par karo perusahaan IT paling kuat, tetep munggah karo nggawe aplikasi anyar. Lan luwih apik yen kemampuan infrastruktur IT sing dibangun ing model maya pribadi ngidini sampeyan nyedhiyakake sumber daya sing dibutuhake sajrone sawetara menit lan kanthi aman.
Penulis:
Vyacheslav Medvedev, Kepala Departemen Cloud Computing, Jet Infosystems,
Ilya Kuikin, insinyur terkemuka departemen komputasi awan Jet Infosystems
Source: www.habr.com