Дали е тешко да се создаде виртуелна машина (ВМ) во облакот? Не е потешко од правењето чај. Но, кога станува збор за голема корпорација, дури и таква едноставна акција може да испадне болно долга. Не е доволно да се создаде виртуелна машина; исто така треба да го добиете потребниот пристап за работа во согласност со сите прописи. Позната болка за секој развивач? Во една голема банка, оваа постапка траеше од неколку часа до неколку дена. И бидејќи имаше стотици слични операции месечно, лесно е да се замисли обемот на оваа шема која одзема труд. За да ставиме крај на ова, го модернизиравме приватниот облак на банката и го автоматизиравме не само процесот на создавање VM, туку и поврзаните операции.
Задача бр. 1. Облак со интернет конекција
Банката создаде приватен облак користејќи го својот внатрешен ИТ тим за еден сегмент од мрежата. Со текот на времето, менаџментот ги ценеше неговите придобивки и одлучи да го прошири концептот на приватен облак на други средини и сегменти на банката. Ова бара повеќе специјалисти и силна експертиза во приватни облаци. Затоа, на нашиот тим му беше доверено модернизирање на облакот.
Главниот тек на овој проект беше создавањето на виртуелни машини во дополнителен сегмент од безбедноста на информациите - во демилитаризираната зона (DMZ). Ова е местото каде што услугите на банката се интегрирани со надворешни системи лоцирани надвор од банкарската инфраструктура.
Но, овој медал имаше и друга страна. Услугите од DMZ беа достапни „надвор“ и тоа повлекува цела група ризици за безбедноста на информациите. Пред сè, ова е закана од хакерски системи, последователно проширување на полето за напад во DMZ, а потоа и пенетрација во инфраструктурата на банката. За да се минимизираат некои од овие ризици, предложивме користење на дополнителна безбедносна мерка - решение за микросегментација.
Заштита од микросегментација
Класичната сегментација гради заштитени граници на границите на мрежите користејќи заштитен ѕид. Со микросегментација, секој поединечен VM може да се подели во личен, изолиран сегмент.
Ова ја подобрува безбедноста на целиот систем. Дури и ако напаѓачите хакираат еден DMZ сервер, ќе им биде исклучително тешко да го шират нападот низ мрежата - ќе мора да пробијат многу „заклучени врати“ во мрежата. Личниот заштитен ѕид на секој VM содржи свои правила во врска со него, кои го одредуваат правото на влез и излез. Обезбедивме микро-сегментација користејќи VMware NSX-T Distributed Firewall. Овој производ централно создава правила за заштитен ѕид за VM и ги дистрибуира низ инфраструктурата за виртуелизација. Не е важно кој оперативен систем за гости се користи, правилото се применува на ниво на поврзување на виртуелни машини со мрежата.
Проблем N2. Во потрага по брзина и удобност
Да се распореди виртуелна машина? Лесно! Неколку кликнувања и готово. Но, тогаш се појавуваат многу прашања: како да добиете пристап од овој VM до друг или систем? Или од друг систем назад во VM?
На пример, во банка, по нарачувањето на VM на облак порталот, беше потребно да се отвори порталот за техничка поддршка и да се поднесе барање за обезбедување на потребниот пристап. Грешка во апликацијата резултираше со повици и кореспонденција за да се поправи ситуацијата. Во исто време, VM може да има 10-15-20 пристапи и обработката на секој од нив бараше време. Ѓаволски процес.
Покрај тоа, „чистењето“ на трагите од животната активност на оддалечените виртуелни машини бараше посебна грижа. Откако беа отстранети, илјадници правила за пристап останаа на заштитниот ѕид, вчитувајќи ја опремата. Ова е и дополнителен товар и безбедносни дупки.
Не можете да го направите ова со правила во облакот. Незгодно е и небезбедно.
За да го минимизираме времето потребно за да се обезбеди пристап до VM и да биде погодно за управување со нив, развивме услуга за управување со мрежен пристап за VMs.
Корисникот на ниво на виртуелна машина во контекстното мени избира ставка за да создаде правило за пристап, а потоа во формата што се отвора ги одредува параметрите - од каде, каде, типови протоколи, броеви на порти. По пополнување и поднесување на формуларот, потребните билети автоматски се креираат во системот за техничка поддршка на корисниците врз основа на HP Service Manager. Тие се одговорни за одобрување на овој или оној пристап и, доколку пристапот е одобрен, на специјалисти кои вршат некои од операциите кои сè уште не се автоматизирани.
Откако ќе проработи фазата на деловниот процес во која се вклучени специјалисти, започнува делот од услугата кој автоматски создава правила за заштитните ѕидови.
Како последен акорд, корисникот гледа успешно завршено барање на порталот. Ова значи дека правилото е создадено и можете да работите со него - прегледувајте, менувате, бришете.
Конечниот резултат на придобивките
Во суштина, модернизиравме мали аспекти на приватниот облак, но банката доби забележлив ефект. Корисниците сега добиваат пристап до мрежата само преку порталот, без директно да се занимаваат со Service Desk. Задолжителни полиња формулари, нивна валидација за точноста на внесените податоци, однапред конфигурирани списоци, дополнителни податоци - сето тоа помага да се формулира точно барање за пристап, кое со висок степен на веројатност ќе биде разгледано и нема да биде одбиено од вработените во информациската безбедност поради за внесување грешки. Виртуелните машини веќе не се црни кутии - можете да продолжите да работите со нив со правење промени на порталот.
Како резултат на тоа, денес ИТ специјалистите на банката имаат на располагање попогодна алатка за добивање пристап, а во процесот се вклучени само оние луѓе, без кои дефинитивно не можат. Севкупно, во однос на трошоците за работна сила, ова е ослободување од дневното полно оптоварување од најмалку 1 лице, како и десетици часови заштедени за корисниците. Автоматизацијата на креирањето правила овозможи да се имплементира решение за микро-сегментација што не создава товар за вработените во банката.
И, конечно, „правилото за пристап“ стана сметководствена единица на облакот. Односно, сега облакот складира информации за правилата за сите VM и ги чисти кога виртуелните машини се бришат.
Наскоро, придобивките од модернизацијата ќе се прошират во облакот на целата банка. Автоматизацијата на процесот на создавање VM и микро-сегментацијата се пресели подалеку од DMZ и фати други сегменти. И ова ја зголеми безбедноста на облакот како целина.
Спроведеното решение е интересно и по тоа што и овозможува на банката да ги забрза развојните процеси, доближувајќи ја до моделот на ИТ компаниите според овој критериум. На крајот на краиштата, кога станува збор за мобилни апликации, портали и услуги на клиентите, секоја голема компанија денес се стреми да стане „фабрика“ за производство на дигитални производи. Во оваа смисла, банките практично играат на исто ниво со најсилните ИТ компании, држејќи се во чекор со креирањето на нови апликации. И добро е кога можностите на ИТ инфраструктура изградена на модел на приватен облак ви дозволуваат да ги распределите потребните ресурси за ова за неколку минути и што е можно побезбедно.
Авторите:
Вјачеслав Медведев, раководител на Одделот за компјутери во облак, Jet Infosystems,
Илја Куикин, водечки инженер на одделот за облак компјутери на Jet Infosystems
Извор: www.habr.com