Ass et schwéier eng virtuell Maschinn (VM) an der Wollek ze kreéieren? Net méi schwéier wéi Téi ze maachen. Awer wann et ëm eng grouss Gesellschaft geet, kann och sou eng einfach Handlung schmerzhaft laang sinn. Et ass net genuch eng virtuell Maschinn ze kreéieren; Dir musst och den néidegen Zougang kréien fir am Aklang mat all Reglementer ze schaffen. E vertraute Péng fir all Entwéckler? An enger grousser Bank huet dës Prozedur vun e puer Stonnen bis e puer Deeg gedauert. A well et honnerte vun ähnlechen Operatiounen pro Mount waren, ass et einfach d'Skala vun dësem Aarbechtskonsuméiere Schema virzestellen. Fir dëst en Enn ze setzen, hu mir d'Privatwollek vun der Bank moderniséiert an net nëmmen de Prozess vun der Schafung vun VMs automatiséiert, awer och verbonne Operatiounen.
Aufgab Nummer 1. Cloud mat Internetverbindung
D'Bank huet eng privat Wollek erstallt andeems se hir intern IT Team fir en eenzege Segment vum Netz benotzt. Mat der Zäit huet d'Gestioun seng Virdeeler appréciéiert an huet decidéiert de private Cloud-Konzept op aner Ëmfeld a Segmenter vun der Bank ze verlängeren. Dëst erfuerdert méi Spezialisten a staark Expertise a private Wolleken. Dofir gouf eist Team d'Moderniséierung vun der Wollek uvertraut.
Den Haaptstroum vun dësem Projet war d'Schafung vu virtuelle Maschinnen an engem zousätzleche Segment vun der Informatiounssécherheet - an der demilitariséierter Zone (DMZ). Dëst ass wou d'Servicer vun der Bank mat externe Systemer ausserhalb vun der Bankinfrastruktur integréiert sinn.
Awer dës Medaille hat och eng Säit. D'Servicer vun der DMZ waren "baussen" verfügbar an dat huet eng ganz Rei vun Informatiounssécherheetsrisiken mat sech bruecht. Éischt vun all, ass dëst d'Drohung vun Hacking Systemer, spéider Expansioun vum Attack Terrain an der DMZ, an dann Pénétratioun an d'Bank d'Infrastruktur. Fir e puer vun dëse Risiken ze minimiséieren, hu mir proposéiert eng zousätzlech Sécherheetsmoossnam ze benotzen - eng Mikro-Segmentatiounsléisung.
Mikro-Segmentatioun Schutz
Klassesch Segmentatioun baut geschützte Grenzen un de Grenze vun Netzwierker mat enger Firewall. Mat Mikrosegmentatioun kann all eenzel VM an e perséinlecht, isoléiert Segment getrennt ginn.
Dëst verbessert d'Sécherheet vum ganze System. Och wann Ugräifer een DMZ Server hacken, ass et extrem schwéier fir si den Attack iwwer d'Netz ze verbreeden - si mussen duerch vill "gespaarten Dieren" am Netz duerchbriechen. D'perséinlech Firewall vun all VM enthält seng eege Reegele betreffend et, déi d'Recht bestëmmen fir anzeginn an erauszekommen. Mir hunn Mikro-Segmentatioun mat VMware NSX-T Distributed Firewall zur Verfügung gestallt. Dëst Produkt erstellt zentral Firewall Regele fir VMs a verdeelt se iwwer d'Virtualiséierungsinfrastruktur. Et ass egal wéi eng Gaascht OS benotzt gëtt, d'Regel gëtt um Niveau vun der Verbindung vu virtuelle Maschinnen zum Netz applizéiert.
Problem N2. Op der Sich no Geschwindegkeet a Komfort
Eng virtuell Maschinn ofsetzen? Einfach! E puer Klick an Dir sidd fäerdeg. Awer da stelle vill Froen op: wéi kritt een Zougang vun dësem VM op en aneren oder System? Oder vun engem anere System zréck an de VM?
Zum Beispill, an enger Bank, nodeems Dir e VM um Cloud Portal bestallt huet, war et néideg den techneschen Supportportal opzemaachen an eng Ufro fir d'Bereetstellung vum néidegen Zougang ofzeginn. E Feeler an der Applikatioun huet zu Uriff a Korrespondenz gefouert fir d'Situatioun ze korrigéieren. Zur selwechter Zäit kann e VM 10-15-20 Zougang hunn an all Veraarbechtung huet Zäit gedauert. Däiwelsprozess.
Zousätzlech, "Botzen" Spure vun der Liewensaktivitéit vun Remote virtuell Maschinnen néideg speziell Suergfalt. Nodeems se ewechgeholl goufen, sinn Dausende vun Zougangsregelen op der Firewall bliwwen, d'Ausrüstung gelueden. Dëst ass souwuel eng extra Belaaschtung a Sécherheetslächer.
Dir kënnt dat net mat Regelen an der Wollek maachen. Et ass onbequem an onsécher.
Fir d'Zäit ze minimiséieren déi et brauch fir Zougang zu VMs ze bidden an et bequem ze maachen fir se ze verwalten, hu mir en Netzzougang Management Service fir VMs entwéckelt.
De Benotzer op der virtueller Maschinn Niveau am Kontext Menü wielt en Element fir eng Zougang Regel ze schafen, an dann an der Form datt opgemaach de Parameteren spezifizéiert - vu wou, wou, Protokoll Zorte, port Zuelen. Nodeems Dir de Formulaire ausfëllt an ofginn hutt, ginn déi néideg Ticketen automatesch am technesche Supportsystem vum Benotzer erstallt baséiert op HP Service Manager. Si si verantwortlech fir dësen oder deen Zougang z'accordéieren an, wann den Zougang guttgeheescht ass, fir Spezialisten déi e puer vun den Operatiounen ausféieren, déi nach net automatiséiert sinn.
Nodeems d'Etapp vum Geschäftsprozess mat Spezialisten geschafft huet, fänkt den Deel vum Service un, deen automatesch Regelen iwwer Firewalls erstellt.
Als Finale Akkord gesäit de Benotzer eng erfollegräich ofgeschloss Ufro um Portal. Dëst bedeit datt d'Regel erstallt gouf an Dir kënnt domat schaffen - kucken, änneren, läschen.
Finale Score vun Virdeeler
Wesentlech hu mir kleng Aspekter vun der privater Wollek moderniséiert, awer d'Bank krut e merkbare Effekt. D'Benotzer kréien elo Netzzougang nëmmen duerch de Portal, ouni direkt mam Service Desk ze handelen. Obligatoresch Formfelder, hir Validatioun fir d'Korrektheet vun den aginnen Donnéeën, pre-konfiguréiert Lëschten, zousätzlech Donnéeën - all dat hëlleft eng genee Zougangsufro ze formuléieren, déi mat engem héije Grad vu Wahrscheinlechkeet berücksichtegt gëtt an net vun Informatiounssécherheetspersonal wéinst Fehler anzeginn. Virtuell Maschinnen sinn net méi schwaarz Këschte - Dir kënnt weider mat hinnen schaffen andeems Dir Ännerungen um Portal maacht.
Als Resultat hunn d'IT-Spezialisten vun der Bank haut e méi praktescht Tool fir Zougang ze kréien, an nëmmen déi Leit sinn am Prozess involvéiert, ouni déi se definitiv net ouni kënnen maachen. Am Ganzen, wat d'Aarbechtskäschte ugeet, ass dëst eng Verëffentlechung vun der deeglecher Volllast vun op d'mannst 1 Persoun, souwéi Dosende vu Stonnen fir Benotzer gespuert. Automatiséierung vun der Regelschafung huet et méiglech gemaach eng Mikro-Segmentatiounsléisung ëmzesetzen, déi keng Belaaschtung fir Bankbeamten erstellt.
A schliisslech gouf d'"Zougangsregel" d'Comptabilitéit Eenheet vun der Wollek. Dat ass, elo späichert d'Wollek Informatioun iwwer d'Regele fir all VMs a botzt se wann virtuell Maschinnen geläscht ginn.
Geschwënn verbreet d'Virdeeler vun der Moderniséierung op d'ganz Bankwollek. Automatisatioun vum VM Kreatiounsprozess a Mikro-Segmentatioun sinn iwwer den DMZ geplënnert an aner Segmenter ageholl. An dëst huet d'Sécherheet vun der Wollek als Ganzt erhéicht.
Déi ëmgesat Léisung ass och interessant, datt et der Bank erlaabt Entwécklungsprozesser ze beschleunegen, et no dësem Critère méi no un de Modell vun IT Firmen ze bréngen. No allem, wann et ëm mobil Uwendungen, Portalen a Clientsservicer geet, beméit all grouss Firma haut eng "Fabréck" fir d'Produktioun vun digitale Produkter ze ginn. An dësem Sënn spillen d'Banke praktesch op Par mat de stäerkste IT-Entreprisen, halen mat der Schafung vun neien Uwendungen. An et ass gutt wann d'Fähigkeiten vun enger IT-Infrastruktur, déi op engem private Cloud-Modell gebaut ass, erlaben Iech déi néideg Ressourcen dofir an e puer Minutten an esou sécher wéi méiglech ze verdeelen.
D'Auteuren:
Vyacheslav Medvedev, Chef vum Cloud Computing Departement, Jet Infosystems,
Ilya Kuikin, féierende Ingenieur vum Cloud Computing Departement vun Jet Infosystems
Source: will.com