Булутта виртуалдык машинаны (VM) түзүү кыйынбы? Чай жасагандан кыйын эмес. Ал эми ири корпорацияга келгенде, мындай жөнөкөй иш-аракет да абдан узакка созулушу мүмкүн. Виртуалдык машинаны түзүү жетиштүү эмес, ошондой эле бардык эрежелерге ылайык иштөө үчүн зарыл болгон мүмкүнчүлүктү алуу керек. Ар бир иштеп чыгуучу үчүн тааныш оору? Бир чоң банкта бул процедура бир нече сааттан бир нече күнгө чейин созулду. Ал эми айына жүздөгөн ушул сыяктуу операциялар болгондуктан, бул эмгекти талап кылган схеманын масштабын элестетүү оңой. Буга чекит коюу үчүн биз банктын жеке булутун модернизацияладык жана VM түзүү процессин гана эмес, ага байланыштуу операцияларды дагы автоматташтырдык.
№1 тапшырма. Интернет байланышы бар булут
Банк тармактын бир сегменти үчүн ички IT командасын колдонуу менен жеке булут түздү. Убакыттын өтүшү менен жетекчилик анын артыкчылыктарын баалап, жеке булут концепциясын банктын башка чөйрөлөрүнө жана сегменттерине жайылтууну чечти. Бул жеке булуттарда көбүрөөк адистерди жана күчтүү тажрыйбаны талап кылды. Ошондуктан булутту модернизациялоо биздин бригадага ишенип берилген.
Бул долбоордун негизги агымы маалыматтык коопсуздуктун кошумча сегментинде – демилитаризацияланган зонада (DMZ) виртуалдык машиналарды түзүү болду. Бул жерде банктын кызматтары банк инфраструктурасынан тышкары жайгашкан тышкы системалар менен интеграцияланган.
Бирок бул медалдын экинчи жагы да болгон. DMZ кызматтары "сырттан" жеткиликтүү болгон жана бул маалыматтык коопсуздук тобокелдиктеринин бүтүндөй топтомун алып келген. Биринчиден, бул хакердик системалардын коркунучу, андан кийин DMZде чабуул талаасынын кеңейиши, андан кийин банктын инфраструктурасына кирүү. Бул тобокелдиктердин айрымдарын азайтуу үчүн биз кошумча коопсуздук чарасын - микро сегментациялоону колдонууну сунуш кылдык.
Микро сегментациядан коргоо
Классикалык сегментация брандмауэрди колдонуу менен тармактардын чектеринде корголгон чектерди түзөт. Микросегментация менен ар бир жеке VM жеке, обочолонгон сегментке бөлүнүшү мүмкүн.
Бул бүт системанын коопсуздугун жогорулатат. Чабуулчулар бир DMZ серверин бузушса дагы, алар үчүн чабуулду тармак боюнча жайылтуу өтө кыйын болот - алар тармактын ичиндеги көптөгөн "кулпуланган эшиктерди" бузуп өтүшү керек болот. Ар бир VMдин жеке брандмауэри ага тиешелүү өз эрежелерин камтыйт, алар кирүү жана чыгуу укугун аныктайт. Биз VMware NSX-T Distributed Firewall аркылуу микро сегментациялоону камсыз кылдык. Бул продукт борборлоштурулган түрдө VM'лер үчүн брандмауэр эрежелерин түзөт жана аларды виртуалдаштыруу инфраструктурасы боюнча бөлүштүрөт. Кайсы конок ОС колдонулганы маанилүү эмес, эреже виртуалдык машиналарды тармакка туташтыруу деңгээлинде колдонулат.
Маселе N2. Ылдамдыкты жана ыңгайлуулукту издөөдө
Виртуалдык машина орнотулсунбу? Оңой! Бир нече чыкылдатсаңыз, бүттүңүз. Бирок андан кийин көптөгөн суроолор туулат: бул VMден башкага же системага кантип кирүүгө болот? Же башка системадан кайра VMге?
Мисалы, банкта, булут порталында VMга заказ бергенден кийин, техникалык колдоо порталын ачып, керектүү мүмкүнчүлүктү берүү өтүнүчүн тапшыруу керек болчу. Тиркемедеги ката кырдаалды оңдоо үчүн чалууларга жана кат алышууга алып келди. Ошол эле учурда, VM 10-15-20 кирүүгө ээ болушу мүмкүн жана ар бирин иштетүү убакытты талап кылат. Шайтандын процесси.
Мындан тышкары, алыскы виртуалдык машиналардын жашоосунун издерин "тазалоо" өзгөчө кам көрүүнү талап кылды. Алар алынып салынгандан кийин миңдеген кирүү эрежелери брандмауэрде калып, жабдууларды жүктөөдө. Бул кошумча жүк жана коопсуздук тешиктери болуп саналат.
Булуттагы эрежелер менен муну кыла албайсыз. Бул ыңгайсыз жана кооптуу.
VM'лерге кирүү мүмкүнчүлүгүн камсыздоого кеткен убакытты азайтуу жана аларды башкарууну ыңгайлуу кылуу үчүн биз VM'лер үчүн тармакка кирүү башкаруу кызматын иштеп чыктык.
Колдонуучу контексттик менюдагы виртуалдык машина деңгээлинде кирүү эрежесин түзүү үчүн элементти тандайт, андан кийин ачылган формада параметрлерди - кайдан, кайдан, протоколдун түрлөрүн, порт номерлерин көрсөтөт. Форманы толтургандан жана тапшыргандан кийин керектүү билеттер автоматтык түрдө HP Кызмат Менеджеринин негизиндеги колдонуучунун техникалык колдоо системасында түзүлөт. Алар тигил же бул мүмкүнчүлүктү бекитүү үчүн жоопкерчиликтүү болушат, эгерде уруксат берилген болсо, али автоматташтырылбаган кээ бир операцияларды аткарган адистер.
Адистерди камтыган бизнес-процесстин этабы иштегенден кийин сервистин автоматтык түрдө брандмауэрлерде эрежелерди түзгөн бөлүгү башталат.
Акыркы аккорд катары колдонуучу порталдан ийгиликтүү аяктаган сурамды көрөт. Бул эреже түзүлгөнүн билдирет жана аны менен иштей аласыз - көрүү, өзгөртүү, жок кылуу.
Жөлөкпулдардын акыркы баллы
Негизи, биз жеке булуттун кичинекей аспектилерин модернизацияладык, бирок банк байкаларлык эффект алды. Колдонуучулар азыр тармакка кирүү мүмкүнчүлүгүн Сервис Desk менен түз байланышпастан гана портал аркылуу алышат. Милдеттүү форма талаалары, киргизилген маалыматтардын тууралыгын текшерүү, алдын ала конфигурацияланган тизмелер, кошумча маалыматтар - мунун баары жогорку ыктымалдуулук менен каралып, маалыматтык коопсуздук кызматкерлери тарабынан четке кагылбай турган так жетүү өтүнүчүн түзүүгө жардам берет. каталарды киргизүү үчүн. Виртуалдык машиналар мындан ары кара кутулар эмес — порталга өзгөртүүлөрдү киргизүү менен алар менен иштөөнү уланта аласыз.
Натыйжада, бүгүнкү күндө банктын IT-адистеринин карамагында жеткиликтүүлүккө ээ болуу үчүн ыңгайлуу куралы бар жана процесске ошол адамдар гана тартылып, аларсыз алар сөзсүз жасай алышпайт. Жалпысынан алганда, эмгек чыгымдары боюнча, бул, жок эле дегенде, 1 адамдын күнүмдүк толук жүктөөдөн бошотуу, ошондой эле колдонуучулар үчүн сакталган ондогон сааттар. Эрежелерди түзүүнү автоматташтыруу банк кызматкерлерине оорчулук келтирбеген микросегментациялоону ишке ашырууга мүмкүндүк берди.
Акыр-аягы, "кирүү эрежеси" булуттун эсепке алуу бирдиги болуп калды. Башкача айтканда, азыр булут бардык VM үчүн эрежелер тууралуу маалыматты сактайт жана виртуалдык машиналар жок кылынганда аларды тазалайт.
Жакында модернизациянын артыкчылыктары банктын булутуна жайылат. VM түзүү процессин автоматташтыруу жана микро-сегменттөө DMZ чегинен чыгып, башка сегменттерди басып алды. Жана бул бүтүндөй булуттун коопсуздугун жогорулатты.
Ишке ашырылган чечим банкка өнүгүү процесстерин тездетүүгө, аны ушул критерий боюнча IT-компаниялардын моделине жакындатууга мүмкүндүк бергендиги менен да кызыктуу. Анткени, мобилдик тиркемелерге, порталдарга жана кардарларды тейлөөгө келгенде, бүгүнкү күндө ар бир чоң компания санарип продуктуларды чыгаруучу “фабрика” болууга умтулат. Бул жагынан алганда, банктар иш жүзүндө күчтүү IT-компаниялар менен бирдей ойноп, жаңы тиркемелерди түзүү менен бирге. Жеке булут моделинде курулган IT инфраструктурасынын мүмкүнчүлүктөрү бул үчүн керектүү ресурстарды бир нече мүнөттүн ичинде жана мүмкүн болушунча коопсуз бөлүүгө мүмкүндүк бергенде жакшы.
Авторлор:
Вячеслав Медведев, Jet Infosystems компаниясынын булуттагы эсептөө бөлүмүнүн башчысы,
Илья Куйкин, Jet Infosystems компаниясынын булуттагы эсептөө бөлүмүнүн жетектөөчү инженери
Source: www.habr.com