ProHoster > Blogs > Administrācija > Aci pret aci ar izstrādātājiem: modernizējiet privāto mākoni

Aci pret aci ar izstrādātājiem: modernizējiet privāto mākoni

Vai ir grÅ«ti izveidot virtuālo maŔīnu (VM) mākonÄ«? Nav grÅ«tāk kā pagatavot tēju. Bet, ja runa ir par lielu korporāciju, pat tik vienkārÅ”a darbÄ«ba var izrādÄ«ties sāpÄ«gi ilga. Nepietiek tikai ar virtuālās maŔīnas izveidi, jums ir arÄ« jāiegÅ«st nepiecieÅ”amā piekļuve darbam saskaņā ar visiem noteikumiem. PazÄ«stama sāpe katram izstrādātājam? Vienā lielā bankā Ŕī procedÅ«ra ilga no vairākām stundām lÄ«dz vairākām dienām. Un tā kā mēnesÄ« bija simtiem lÄ«dzÄ«gu operāciju, ir viegli iedomāties Ŕīs darbietilpÄ«gās shēmas mērogu. Lai to izbeigtu, modernizējām bankas privāto mākoni un automatizējām ne tikai VM izveides procesu, bet arÄ« ar to saistÄ«tās darbÄ«bas.

Aci pret aci ar izstrādātājiem: modernizējiet privāto mākoni

Uzdevums Nr.1. Mākonis ar interneta pieslēgumu

Banka izveidoja privātu mākoni, izmantojot savu iekŔējo IT komandu vienam tÄ«kla segmentam. Laika gaitā vadÄ«ba novērtēja tās priekÅ”rocÄ«bas un nolēma paplaÅ”ināt privātā mākoņa koncepciju arÄ« citās bankas vidēs un segmentos. Tas prasÄ«ja vairāk speciālistu un spēcÄ«gas zināŔanas privāto mākoņu jomā. Tāpēc mÅ«su komandai tika uzticēta mākoņa modernizācija.

Å Ä« projekta galvenā plÅ«sma bija virtuālo maŔīnu izveide papildu informācijas droŔības segmentā - demilitarizētajā zonā (DMZ). Å eit bankas pakalpojumi ir integrēti ar ārējām sistēmām, kas atrodas ārpus banku infrastruktÅ«ras.

Taču Å”ai medaļai bija arÄ« otrā puse. DMZ pakalpojumi bija pieejami ā€œÄrpusā€, un tas bija saistÄ«ts ar virkni informācijas droŔības risku. Pirmkārt, tie ir uzlauÅ”anas sistēmu draudi, sekojoÅ”a uzbrukuma lauka paplaÅ”ināŔana DMZ un pēc tam iekļūŔana bankas infrastruktÅ«rā. Lai samazinātu dažus no Å”iem riskiem, mēs piedāvājām izmantot papildu droŔības lÄ«dzekli - mikrosegmentācijas risinājumu.

Mikrosegmentācijas aizsardzība

Klasiskā segmentācija izveido aizsargātas robežas pie tÄ«klu robežām, izmantojot ugunsmÅ«ri. Izmantojot mikrosegmentāciju, katru atseviŔķu virtuālo maŔīnu var iedalÄ«t personiskā, izolētā segmentā.

Aci pret aci ar izstrādātājiem: modernizējiet privāto mākoni
Tas uzlabo visas sistēmas droŔību. Pat ja uzbrucēji uzlauzÄ«s vienu DMZ serveri, viņiem bÅ«s ārkārtÄ«gi grÅ«ti izplatÄ«t uzbrukumu visā tÄ«klā - viņiem bÅ«s jāizlaužas cauri daudzām ā€œbloķētām durvÄ«mā€ tÄ«klā. Katras virtuālās maŔīnas personÄ«gajā ugunsmÅ«rÄ« ir savi noteikumi attiecÄ«bā uz to, kas nosaka tiesÄ«bas ieiet un iziet. Mēs nodroÅ”inājām mikrosegmentāciju, izmantojot VMware NSX-T izplatÄ«to ugunsmÅ«ri. Å is produkts centralizēti izveido VM ugunsmÅ«ra noteikumus un izplata tos visā virtualizācijas infrastruktÅ«rā. Nav svarÄ«gi, kura viesu OS tiek izmantota, noteikums tiek piemērots virtuālo maŔīnu savienoÅ”anas ar tÄ«klu lÄ«menÄ«.

Problēma N2. Ātruma un ērtības meklējumos

Vai izvietot virtuālo maŔīnu? Viegli! Pāris klikŔķi un esat pabeidzis. Bet tad rodas daudzi jautājumi: kā iegÅ«t piekļuvi no Ŕīs VM citai vai sistēmai? Vai no citas sistēmas atpakaļ uz virtuālo maŔīnu?

Piemēram, bankā pēc VM pasÅ«tÄ«Å”anas mākoņa portālā bija jāatver tehniskā atbalsta portāls un jāiesniedz pieprasÄ«jums par nepiecieÅ”amās piekļuves nodroÅ”ināŔanu. Kļūda aplikācijā izraisÄ«ja zvanus un saraksti, lai situāciju labotu. Tajā paŔā laikā virtuālajai maŔīnai var bÅ«t 10ā€“15ā€“20 piekļuves, un katra apstrāde prasÄ«ja laiku. Velna process.

Turklāt attālo virtuālo maŔīnu dzÄ«ves pēdu ā€œattÄ«rÄ«Å”anaā€ prasÄ«ja Ä«paÅ”u piesardzÄ«bu. Pēc to noņemÅ”anas ugunsmÅ«rÄ« palika tÅ«kstoÅ”iem piekļuves noteikumu, ielādējot aprÄ«kojumu. Tas ir gan papildu slogs, gan droŔības caurumi.

To nevar izdarÄ«t ar noteikumiem mākonÄ«. Tas ir neērti un nedroÅ”i.

Lai samazinātu laiku, kas nepiecieÅ”ams, lai nodroÅ”inātu piekļuvi virtuālajām maŔīnām, un padarÄ«tu to ērtu pārvaldÄ«bu, esam izstrādājuÅ”i tÄ«kla piekļuves pārvaldÄ«bas pakalpojumu virtuālajām maŔīnām.

Lietotājs virtuālās maŔīnas lÄ«menÄ« konteksta izvēlnē atlasa vienumu, lai izveidotu piekļuves kārtulu, un pēc tam atvērtajā formā norāda parametrus - no kurienes, kur, protokolu veidus, portu numurus. Pēc veidlapas aizpildÄ«Å”anas un iesniegÅ”anas lietotāja tehniskā atbalsta sistēmā uz HP Service Manager bāzes tiek automātiski izveidotas nepiecieÅ”amās biļetes. Viņi ir atbildÄ«gi par Ŕīs vai citas piekļuves apstiprināŔanu un, ja piekļuve ir apstiprināta, speciālistiem, kuri veic dažas darbÄ«bas, kas vēl nav automatizētas.

Pēc tam, kad ir nostrādāts biznesa procesa posms, kurā iesaistīti speciālisti, sākas pakalpojuma daļa, kas automātiski izveido noteikumus ugunsmūriem.

Kā pēdējo akordu lietotājs portālā redz veiksmÄ«gi izpildÄ«tu pieprasÄ«jumu. Tas nozÄ«mē, ka noteikums ir izveidots un ar to var strādāt ā€“ skatÄ«t, mainÄ«t, dzēst.

Aci pret aci ar izstrādātājiem: modernizējiet privāto mākoni

PriekŔrocību galīgais rādītājs

BÅ«tÄ«bā mēs modernizējām nelielus privātā mākoņa aspektus, bet banka saņēma ievērojamu efektu. Lietotāji tagad saņem piekļuvi tÄ«klam tikai caur portālu, bez tieÅ”as saskarsmes ar Service Desk. Obligātie veidlapas lauki, to validācija par ievadÄ«to datu pareizÄ«bu, iepriekÅ” konfigurēti saraksti, papildu dati - tas viss palÄ«dz noformulēt precÄ«zu piekļuves pieprasÄ«jumu, kuru ar lielu varbÅ«tÄ«bas pakāpi informācijas droŔības darbinieki izskatÄ«s un nenoraidÄ«s noteiktā termiņā. lai ievadÄ«tu kļūdas. Virtuālās maŔīnas vairs nav melnās kastes ā€” jÅ«s varat turpināt ar tām strādāt, veicot izmaiņas portālā.

LÄ«dz ar to Å”odien bankas IT speciālistu rÄ«cÄ«bā ir ērtāks piekļuves rÄ«ks, un procesā tiek iesaistÄ«ti tikai tie cilvēki, bez kuriem noteikti neiztikt. Kopumā darbaspēka izmaksu ziņā tas ir atbrÄ«vojums no ikdienas pilnas slodzes vismaz 1 personai, kā arÄ« desmitiem stundu, kas ietaupÄ«tas lietotājiem. Noteikumu veidoÅ”anas automatizācija ļāva ieviest mikrosegmentācijas risinājumu, kas nerada slogu bankas darbiniekiem.

Visbeidzot, ā€œpiekļuves noteikumsā€ kļuva par mākoņa uzskaites vienÄ«bu. Tas ir, tagad mākonis saglabā informāciju par visu virtuālo maŔīnu noteikumiem un notÄ«ra tos, kad virtuālās maŔīnas tiek dzēstas.

DrÄ«zumā modernizācijas priekÅ”rocÄ«bas izplatÄ«sies visā bankas mākonÄ«. Virtuālās maŔīnas izveides procesa automatizācija un mikrosegmentÄ“Å”ana ir pārgājusi ārpus DMZ un pārtvērusi citus segmentus. Un tas palielināja mākoņa droŔību kopumā.

Ieviestais risinājums ir interesants arÄ« ar to, ka ļauj bankai paātrināt attÄ«stÄ«bas procesus, tuvinot to IT uzņēmumu modelim pēc Ŕī kritērija. Galu galā, runājot par mobilajām lietojumprogrammām, portāliem un klientu apkalpoÅ”anu, jebkurÅ” liels uzņēmums mÅ«sdienās cenÅ”as kļūt par digitālo produktu ražoÅ”anas ā€œrÅ«pnÄ«cuā€. Å ajā ziņā bankas praktiski spēlē lÄ«dzvērtÄ«gi spēcÄ«gākajiem IT uzņēmumiem, sekojot lÄ«dzi jaunu aplikāciju radÄ«Å”anai. Un ir labi, ja IT infrastruktÅ«ras, kas veidota uz privātā mākoņa modeļa, iespējas dažās minÅ«tēs un pēc iespējas droŔāk ļauj atvēlēt tam nepiecieÅ”amos resursus.

Autori:
Vjačeslavs Medvedevs, Jet Infosystems MākoņdatoÅ”anas nodaļas vadÄ«tājs,
Iļja Kuikins, Jet Infosystems mākoņdatoÅ”anas nodaļas vadoÅ”ais inženieris

Avots: www.habr.com

Pievieno komentāru