Vai ir grÅ«ti izveidot virtuÄlo maŔīnu (VM) mÄkonÄ«? Nav grÅ«tÄk kÄ pagatavot tÄju. Bet, ja runa ir par lielu korporÄciju, pat tik vienkÄrÅ”a darbÄ«ba var izrÄdÄ«ties sÄpÄ«gi ilga. Nepietiek tikai ar virtuÄlÄs maŔīnas izveidi, jums ir arÄ« jÄiegÅ«st nepiecieÅ”amÄ piekļuve darbam saskaÅÄ ar visiem noteikumiem. PazÄ«stama sÄpe katram izstrÄdÄtÄjam? VienÄ lielÄ bankÄ Å”Ä« procedÅ«ra ilga no vairÄkÄm stundÄm lÄ«dz vairÄkÄm dienÄm. Un tÄ kÄ mÄnesÄ« bija simtiem lÄ«dzÄ«gu operÄciju, ir viegli iedomÄties Ŕīs darbietilpÄ«gÄs shÄmas mÄrogu. Lai to izbeigtu, modernizÄjÄm bankas privÄto mÄkoni un automatizÄjÄm ne tikai VM izveides procesu, bet arÄ« ar to saistÄ«tÄs darbÄ«bas.
Uzdevums Nr.1. MÄkonis ar interneta pieslÄgumu
Banka izveidoja privÄtu mÄkoni, izmantojot savu iekÅ”Äjo IT komandu vienam tÄ«kla segmentam. Laika gaitÄ vadÄ«ba novÄrtÄja tÄs priekÅ”rocÄ«bas un nolÄma paplaÅ”inÄt privÄtÄ mÄkoÅa koncepciju arÄ« citÄs bankas vidÄs un segmentos. Tas prasÄ«ja vairÄk speciÄlistu un spÄcÄ«gas zinÄÅ”anas privÄto mÄkoÅu jomÄ. TÄpÄc mÅ«su komandai tika uzticÄta mÄkoÅa modernizÄcija.
Å Ä« projekta galvenÄ plÅ«sma bija virtuÄlo maŔīnu izveide papildu informÄcijas droŔības segmentÄ - demilitarizÄtajÄ zonÄ (DMZ). Å eit bankas pakalpojumi ir integrÄti ar ÄrÄjÄm sistÄmÄm, kas atrodas Ärpus banku infrastruktÅ«ras.
TaÄu Å”ai medaļai bija arÄ« otrÄ puse. DMZ pakalpojumi bija pieejami āÄrpusā, un tas bija saistÄ«ts ar virkni informÄcijas droŔības risku. PirmkÄrt, tie ir uzlauÅ”anas sistÄmu draudi, sekojoÅ”a uzbrukuma lauka paplaÅ”inÄÅ”ana DMZ un pÄc tam iekļūŔana bankas infrastruktÅ«rÄ. Lai samazinÄtu dažus no Å”iem riskiem, mÄs piedÄvÄjÄm izmantot papildu droŔības lÄ«dzekli - mikrosegmentÄcijas risinÄjumu.
MikrosegmentÄcijas aizsardzÄ«ba
KlasiskÄ segmentÄcija izveido aizsargÄtas robežas pie tÄ«klu robežÄm, izmantojot ugunsmÅ«ri. Izmantojot mikrosegmentÄciju, katru atseviŔķu virtuÄlo maŔīnu var iedalÄ«t personiskÄ, izolÄtÄ segmentÄ.
Tas uzlabo visas sistÄmas droŔību. Pat ja uzbrucÄji uzlauzÄ«s vienu DMZ serveri, viÅiem bÅ«s ÄrkÄrtÄ«gi grÅ«ti izplatÄ«t uzbrukumu visÄ tÄ«klÄ - viÅiem bÅ«s jÄizlaužas cauri daudzÄm ābloÄ·ÄtÄm durvÄ«mā tÄ«klÄ. Katras virtuÄlÄs maŔīnas personÄ«gajÄ ugunsmÅ«rÄ« ir savi noteikumi attiecÄ«bÄ uz to, kas nosaka tiesÄ«bas ieiet un iziet. MÄs nodroÅ”inÄjÄm mikrosegmentÄciju, izmantojot VMware NSX-T izplatÄ«to ugunsmÅ«ri. Å is produkts centralizÄti izveido VM ugunsmÅ«ra noteikumus un izplata tos visÄ virtualizÄcijas infrastruktÅ«rÄ. Nav svarÄ«gi, kura viesu OS tiek izmantota, noteikums tiek piemÄrots virtuÄlo maŔīnu savienoÅ”anas ar tÄ«klu lÄ«menÄ«.
ProblÄma N2. Ätruma un ÄrtÄ«bas meklÄjumos
Vai izvietot virtuÄlo maŔīnu? Viegli! PÄris klikŔķi un esat pabeidzis. Bet tad rodas daudzi jautÄjumi: kÄ iegÅ«t piekļuvi no Ŕīs VM citai vai sistÄmai? Vai no citas sistÄmas atpakaļ uz virtuÄlo maŔīnu?
PiemÄram, bankÄ pÄc VM pasÅ«tÄ«Å”anas mÄkoÅa portÄlÄ bija jÄatver tehniskÄ atbalsta portÄls un jÄiesniedz pieprasÄ«jums par nepiecieÅ”amÄs piekļuves nodroÅ”inÄÅ”anu. Kļūda aplikÄcijÄ izraisÄ«ja zvanus un saraksti, lai situÄciju labotu. TajÄ paÅ”Ä laikÄ virtuÄlajai maŔīnai var bÅ«t 10ā15ā20 piekļuves, un katra apstrÄde prasÄ«ja laiku. Velna process.
TurklÄt attÄlo virtuÄlo maŔīnu dzÄ«ves pÄdu āattÄ«rÄ«Å”anaā prasÄ«ja Ä«paÅ”u piesardzÄ«bu. PÄc to noÅemÅ”anas ugunsmÅ«rÄ« palika tÅ«kstoÅ”iem piekļuves noteikumu, ielÄdÄjot aprÄ«kojumu. Tas ir gan papildu slogs, gan droŔības caurumi.
To nevar izdarÄ«t ar noteikumiem mÄkonÄ«. Tas ir neÄrti un nedroÅ”i.
Lai samazinÄtu laiku, kas nepiecieÅ”ams, lai nodroÅ”inÄtu piekļuvi virtuÄlajÄm maŔīnÄm, un padarÄ«tu to Ärtu pÄrvaldÄ«bu, esam izstrÄdÄjuÅ”i tÄ«kla piekļuves pÄrvaldÄ«bas pakalpojumu virtuÄlajÄm maŔīnÄm.
LietotÄjs virtuÄlÄs maŔīnas lÄ«menÄ« konteksta izvÄlnÄ atlasa vienumu, lai izveidotu piekļuves kÄrtulu, un pÄc tam atvÄrtajÄ formÄ norÄda parametrus - no kurienes, kur, protokolu veidus, portu numurus. PÄc veidlapas aizpildÄ«Å”anas un iesniegÅ”anas lietotÄja tehniskÄ atbalsta sistÄmÄ uz HP Service Manager bÄzes tiek automÄtiski izveidotas nepiecieÅ”amÄs biļetes. ViÅi ir atbildÄ«gi par Ŕīs vai citas piekļuves apstiprinÄÅ”anu un, ja piekļuve ir apstiprinÄta, speciÄlistiem, kuri veic dažas darbÄ«bas, kas vÄl nav automatizÄtas.
PÄc tam, kad ir nostrÄdÄts biznesa procesa posms, kurÄ iesaistÄ«ti speciÄlisti, sÄkas pakalpojuma daļa, kas automÄtiski izveido noteikumus ugunsmÅ«riem.
KÄ pÄdÄjo akordu lietotÄjs portÄlÄ redz veiksmÄ«gi izpildÄ«tu pieprasÄ«jumu. Tas nozÄ«mÄ, ka noteikums ir izveidots un ar to var strÄdÄt ā skatÄ«t, mainÄ«t, dzÄst.
PriekÅ”rocÄ«bu galÄ«gais rÄdÄ«tÄjs
BÅ«tÄ«bÄ mÄs modernizÄjÄm nelielus privÄtÄ mÄkoÅa aspektus, bet banka saÅÄma ievÄrojamu efektu. LietotÄji tagad saÅem piekļuvi tÄ«klam tikai caur portÄlu, bez tieÅ”as saskarsmes ar Service Desk. ObligÄtie veidlapas lauki, to validÄcija par ievadÄ«to datu pareizÄ«bu, iepriekÅ” konfigurÄti saraksti, papildu dati - tas viss palÄ«dz noformulÄt precÄ«zu piekļuves pieprasÄ«jumu, kuru ar lielu varbÅ«tÄ«bas pakÄpi informÄcijas droŔības darbinieki izskatÄ«s un nenoraidÄ«s noteiktÄ termiÅÄ. lai ievadÄ«tu kļūdas. VirtuÄlÄs maŔīnas vairs nav melnÄs kastes ā jÅ«s varat turpinÄt ar tÄm strÄdÄt, veicot izmaiÅas portÄlÄ.
LÄ«dz ar to Å”odien bankas IT speciÄlistu rÄ«cÄ«bÄ ir ÄrtÄks piekļuves rÄ«ks, un procesÄ tiek iesaistÄ«ti tikai tie cilvÄki, bez kuriem noteikti neiztikt. KopumÄ darbaspÄka izmaksu ziÅÄ tas ir atbrÄ«vojums no ikdienas pilnas slodzes vismaz 1 personai, kÄ arÄ« desmitiem stundu, kas ietaupÄ«tas lietotÄjiem. Noteikumu veidoÅ”anas automatizÄcija ļÄva ieviest mikrosegmentÄcijas risinÄjumu, kas nerada slogu bankas darbiniekiem.
Visbeidzot, āpiekļuves noteikumsā kļuva par mÄkoÅa uzskaites vienÄ«bu. Tas ir, tagad mÄkonis saglabÄ informÄciju par visu virtuÄlo maŔīnu noteikumiem un notÄ«ra tos, kad virtuÄlÄs maŔīnas tiek dzÄstas.
DrÄ«zumÄ modernizÄcijas priekÅ”rocÄ«bas izplatÄ«sies visÄ bankas mÄkonÄ«. VirtuÄlÄs maŔīnas izveides procesa automatizÄcija un mikrosegmentÄÅ”ana ir pÄrgÄjusi Ärpus DMZ un pÄrtvÄrusi citus segmentus. Un tas palielinÄja mÄkoÅa droŔību kopumÄ.
Ieviestais risinÄjums ir interesants arÄ« ar to, ka ļauj bankai paÄtrinÄt attÄ«stÄ«bas procesus, tuvinot to IT uzÅÄmumu modelim pÄc Ŕī kritÄrija. Galu galÄ, runÄjot par mobilajÄm lietojumprogrammÄm, portÄliem un klientu apkalpoÅ”anu, jebkurÅ” liels uzÅÄmums mÅ«sdienÄs cenÅ”as kļūt par digitÄlo produktu ražoÅ”anas ārÅ«pnÄ«cuā. Å ajÄ ziÅÄ bankas praktiski spÄlÄ lÄ«dzvÄrtÄ«gi spÄcÄ«gÄkajiem IT uzÅÄmumiem, sekojot lÄ«dzi jaunu aplikÄciju radÄ«Å”anai. Un ir labi, ja IT infrastruktÅ«ras, kas veidota uz privÄtÄ mÄkoÅa modeļa, iespÄjas dažÄs minÅ«tÄs un pÄc iespÄjas droÅ”Äk ļauj atvÄlÄt tam nepiecieÅ”amos resursus.
Autori:
VjaÄeslavs Medvedevs, Jet Infosystems MÄkoÅdatoÅ”anas nodaļas vadÄ«tÄjs,
Iļja Kuikins, Jet Infosystems mÄkoÅdatoÅ”anas nodaļas vadoÅ”ais inženieris
Avots: www.habr.com