Ar sunku sukurti virtualią mašiną (VM) debesyje? Ne sunkiau nei arbatos ruošimas. Tačiau kalbant apie didelę korporaciją, net toks paprastas veiksmas gali pasirodyti skausmingai ilgas. Nepakanka sukurti virtualią mašiną; jūs taip pat turite gauti reikiamą prieigą prie darbo pagal visas taisykles. Kiekvienam kūrėjui pažįstamas skausmas? Viename dideliame banke ši procedūra truko nuo kelių valandų iki kelių dienų. O kadangi panašių operacijų per mėnesį būdavo šimtai, nesunku įsivaizduoti šios daug darbo reikalaujančios schemos mastą. Norėdami tai padaryti, modernizavome banko privatų debesį ir automatizavome ne tik VM kūrimo procesą, bet ir susijusias operacijas.
Užduotis Nr.1. Debesis su interneto ryšiu
Bankas, naudodamas savo vidinę IT komandą, sukūrė privatų debesį vienam tinklo segmentui. Laikui bėgant vadovybė įvertino jos privalumus ir nusprendė privataus debesies koncepciją išplėsti į kitas aplinkas ir banko segmentus. Tam reikėjo daugiau specialistų ir stiprios privačių debesų patirties. Todėl mūsų komandai buvo patikėta modernizuoti debesį.
Pagrindinis šio projekto srautas buvo virtualių mašinų kūrimas papildomame informacijos saugumo segmente – demilitarizuotoje zonoje (DMZ). Čia banko paslaugos yra integruotos su išorinėmis sistemomis, esančiomis už bankinės infrastruktūros ribų.
Tačiau šis medalis turėjo ir atvirkštinę pusę. Paslaugos iš DMZ buvo prieinamos „išorėje“, ir tai buvo susiję su daugybe informacijos saugumo pavojų. Visų pirma, tai yra įsilaužimo sistemų grėsmė, vėlesnis atakos lauko išplėtimas DMZ, o vėliau - įsiskverbimas į banko infrastruktūrą. Siekdami sumažinti kai kurias iš šių rizikų, pasiūlėme naudoti papildomą saugumo priemonę – mikrosegmentavimo sprendimą.
Apsauga nuo mikrosegmentacijos
Klasikinis segmentavimas sukuria apsaugotas ribas tinklų ribose naudojant ugniasienę. Naudojant mikrosegmentaciją, kiekvieną atskirą VM galima atskirti į asmeninį, izoliuotą segmentą.
Tai padidina visos sistemos saugumą. Net jei užpuolikai įsilaužs į vieną DMZ serverį, jiems bus nepaprastai sunku išplatinti ataką visame tinkle - jie turės prasilaužti per daugybę „užrakintų durų“ tinkle. Kiekvienos VM asmeninėje užkardoje yra tam skirtos taisyklės, kurios nustato teisę įeiti ir išeiti. Pateikėme mikrosegmentavimą naudodami „VMware NSX-T Distributed Firewall“. Šis produktas centralizuotai kuria VM užkardos taisykles ir paskirsto jas virtualizacijos infrastruktūroje. Nesvarbu, kuri svečio OS naudojama, taisyklė taikoma virtualių mašinų prijungimo prie tinklo lygiu.
Problema N2. Ieškant greičio ir patogumo
Įdiegti virtualią mašiną? Lengvai! Keli paspaudimai ir viskas. Bet tada kyla daug klausimų: kaip gauti prieigą iš šios VM į kitą ar sistemą? Arba iš kitos sistemos atgal į VM?
Pavyzdžiui, banke, debesų portale užsisakius VM, reikėjo atsidaryti techninės pagalbos portalą ir pateikti prašymą suteikti reikiamą prieigą. Klaida programoje paskatino skambučius ir susirašinėjimus siekiant ištaisyti situaciją. Tuo pačiu metu VM gali turėti 10-15-20 prieigų ir kiekvienos apdorojimas užtruko. Velnio procesas.
Be to, nutolusių virtualių mašinų gyvybės pėdsakų „išvalymas“ reikalavo ypatingo kruopštumo. Jas pašalinus, užkardoje liko tūkstančiai prieigos taisyklių, pakraunančių įrangą. Tai ir papildoma našta, ir saugumo spragų.
Negalite to padaryti pagal debesyje esančias taisykles. Tai nepatogu ir nesaugu.
Siekdami sutrumpinti laiką, reikalingą prieigai prie VM suteikti ir jas patogiai valdyti, sukūrėme VM tinklo prieigos valdymo paslaugą.
Vartotojas virtualios mašinos lygiu kontekstiniame meniu pasirenka elementą, kad sukurtų prieigos taisyklę, o tada atsidariusioje formoje nurodo parametrus – iš kur, iki kur, protokolų tipus, prievadų numerius. Užpildžius ir pateikus formą, reikiami bilietai automatiškai sukuriami vartotojo techninės pagalbos sistemoje HP Service Manager pagrindu. Jie atsakingi už tos ar kitos prieigos patvirtinimą, o jei prieiga patvirtinta – specialistams, atliekantiems kai kurias operacijas, kurios dar nėra automatizuotos.
Pasibaigus verslo proceso etapui, kuriame dalyvauja specialistai, pradedama ta paslaugos dalis, kuri automatiškai kuria ugniasienės taisykles.
Kaip paskutinį akordą vartotojas mato sėkmingai įvykdytą užklausą portale. Tai reiškia, kad taisyklė sukurta ir su ja galima dirbti – peržiūrėti, keisti, ištrinti.
Galutinis naudos balas
Iš esmės modernizavome nedidelius privataus debesies aspektus, tačiau bankas sulaukė pastebimo efekto. Dabar vartotojai gauna prieigą prie tinklo tik per portalą, tiesiogiai nesusisiedami su aptarnavimo centru. Privalomi formos laukai, jų patvirtinimas įvestų duomenų teisingumui, iš anksto sukonfigūruoti sąrašai, papildomi duomenys – visa tai padeda suformuluoti tikslią prieigos užklausą, kuri su didele tikimybe bus apsvarstyta ir neatmesta informacijos saugos darbuotojų pagal terminą. įvesti klaidas. Virtualios mašinos nebėra juodosios dėžės – galite toliau dirbti su jomis atlikdami pakeitimus portale.
Todėl šiandien banko IT specialistai turi patogesnį įrankį prieigai gauti, o į procesą įtraukiami tik tie žmonės, be kurių tikrai neapsieina. Iš viso, kalbant apie darbo sąnaudas, tai yra atleidimas nuo ne mažiau kaip 1 žmogaus kasdienės pilnos apkrovos, taip pat keliasdešimt valandų, sutaupytų vartotojams. Taisyklių kūrimo automatizavimas leido įdiegti mikrosegmentavimo sprendimą, nesukuriantį naštos banko darbuotojams.
Ir galiausiai „prieigos taisyklė“ tapo debesies apskaitos vienetu. Tai reiškia, kad dabar debesys saugo informaciją apie visų VM taisykles ir išvalo jas, kai ištrinamos virtualios mašinos.
Netrukus modernizavimo nauda pasklis visame banko debesyje. VM kūrimo proceso automatizavimas ir mikrosegmentavimas perėjo už DMZ ribų ir užfiksavo kitus segmentus. Ir tai padidino viso debesies saugumą.
Įdiegtas sprendimas įdomus ir tuo, kad leidžia bankui paspartinti plėtros procesus, priartinant jį prie IT įmonių modelio pagal šį kriterijų. Galų gale, kalbant apie mobiliąsias programas, portalus ir klientų aptarnavimą, bet kuri didelė įmonė šiandien siekia tapti skaitmeninių produktų gamybos „fabriku“. Šia prasme bankai praktiškai lygiuojasi su stipriausiomis IT įmonėmis, neatsilikdami nuo naujų programų kūrimo. Ir gerai, kai IT infrastruktūros, sukurtos ant privataus debesies modelio, galimybės leidžia per kelias minutes ir kuo saugiau skirti tam reikiamus resursus.
Autoriai:
Viačeslavas Medvedevas, „Jet Infosystems“ debesų kompiuterijos skyriaus vadovas,
Ilja Kuikinas, vadovaujantis Jet Infosystems debesų kompiuterijos skyriaus inžinierius
Šaltinis: www.habr.com