Клоуд дээр виртуал машин (VM) үүсгэхэд хэцүү юу? Цай хийхээс илүү хэцүү зүйл байхгүй. Гэхдээ томоохон корпорацийн тухайд ийм энгийн үйлдэл ч гэсэн удаан үргэлжлэх болно. Виртуал машин үүсгэх нь хангалтгүй бөгөөд та бүх дүрэм журмын дагуу ажиллахад шаардлагатай хандалтыг авах хэрэгтэй. Хөгжүүлэгч бүрийн хувьд танил өвдөлт? Нэг том банкинд энэ журам хэдэн цагаас хэдэн өдөр хүртэл үргэлжилсэн. Сард хэдэн зуун ижил төстэй үйл ажиллагаа явуулдаг байсан тул хөдөлмөр зарцуулсан энэхүү схемийн цар хүрээг төсөөлөхөд хялбар байдаг. Үүнийг таслан зогсоохын тулд бид банкны хувийн үүлэн сүлжээг шинэчилж, зөвхөн VM үүсгэх үйл явц төдийгүй холбогдох үйл ажиллагааг автоматжуулсан.
Даалгавар №1. Интернет холболттой үүл
Тус банк нь сүлжээний нэг сегментийн мэдээллийн технологийн дотоод багаа ашиглан хувийн үүл үүсгэсэн. Цаг хугацаа өнгөрөхөд удирдлага түүний ашиг тусыг үнэлж, хувийн үүл ойлголтыг банкны бусад орчин, сегментүүдэд нэвтрүүлэхээр шийджээ. Энэ нь хувийн үүлэнд илүү олон мэргэжилтэн, хүчтэй туршлага шаарддаг. Тиймээс манай багт үүлийг шинэчлэх ажлыг даатгасан.
Энэхүү төслийн гол урсгал нь мэдээллийн аюулгүй байдлын нэмэлт сегмент болох цэрэггүй бүсэд (DMZ) виртуал машин бүтээх явдал байв. Энэ нь банкны үйлчилгээ нь банкны дэд бүтцээс гадуур байрлах гадаад системтэй нэгдмэл байдаг.
Гэхдээ энэ медаль бас эсрэг талтай байсан. DMZ-ийн үйлчилгээг "гадаа" авах боломжтой байсан бөгөөд энэ нь мэдээллийн аюулгүй байдлын бүхэл бүтэн багц эрсдэлийг дагуулсан. Юуны өмнө энэ нь системийг хакердах, улмаар DMZ дахь халдлагын талбарыг өргөжүүлэх, дараа нь банкны дэд бүтцэд нэвтрэх аюул юм. Эдгээр эрсдлийн заримыг багасгахын тулд бид нэмэлт хамгаалалтын арга хэмжээ болох бичил сегментчлэлийн шийдлийг ашиглахыг санал болгов.
Бичил сегментийн хамгаалалт
Сонгодог сегментчилэл нь галт ханыг ашиглан сүлжээний хил дээр хамгаалагдсан хил хязгаарыг бий болгодог. Микросегментацийн тусламжтайгаар VM бүрийг хувийн, тусгаарлагдсан сегмент болгон хувааж болно.
Энэ нь бүхэл системийн аюулгүй байдлыг сайжруулдаг. Халдагчид нэг DMZ серверийг хакердсан ч сүлжээгээр халдлага түгээхэд маш хэцүү байх болно - тэд сүлжээн дэх олон "түгжигдсэн хаалгыг" эвдэх шаардлагатай болно. VM бүрийн хувийн галт хана нь нэвтрэх, гарах эрхийг тодорхойлдог өөрийн дүрмийг агуулдаг. Бид VMware NSX-T Distributed Firewall ашиглан бичил сегментчилэл хийсэн. Энэ бүтээгдэхүүн нь VM-д зориулсан галт ханын дүрмийг төвлөрсөн байдлаар үүсгэж, виртуалчлалын дэд бүтцэд түгээдэг. Аль зочин үйлдлийн системийг ашиглах нь хамаагүй, энэ дүрмийг виртуал машиныг сүлжээнд холбох түвшинд хэрэглэнэ.
Асуулт N2. Хурд, тав тухыг эрэлхийлж байна
Виртуал машин байрлуулах уу? Амархан! Хэдэн товшилт хийхэд бэлэн боллоо. Гэхдээ дараа нь олон асуулт гарч ирдэг: энэ VM-ээс өөр систем эсвэл систем рүү хэрхэн нэвтрэх вэ? Эсвэл өөр системээс VM руу буцах уу?
Жишээлбэл, банкинд үүлэн портал дээр VM захиалсны дараа техникийн дэмжлэг үзүүлэх портал нээж, шаардлагатай хандалтыг өгөх хүсэлт гаргах шаардлагатай байв. Аппликешн дэх алдаа нь нөхцөл байдлыг засахын тулд дуудлага, захидал харилцааны үр дүнд хүргэсэн. Үүний зэрэгцээ, VM нь 10-15-20 хандалт хийх боломжтой бөгөөд тус бүрийг боловсруулахад цаг хугацаа шаардагддаг. Чөтгөрийн үйл явц.
Нэмж дурдахад, алсын виртуал машинуудын амьдралын ул мөрийг "цэвэрлэх" нь онцгой анхаарал шаарддаг. Тэдгээрийг устгасны дараа олон мянган хандалтын дүрэм галт хананд үлдэж, тоног төхөөрөмжийг ачаалж байв. Энэ нь нэмэлт ачаалал, аюулгүй байдлын нүх юм.
Та үүлэн доторх дүрэм журмаар үүнийг хийх боломжгүй. Энэ нь тохиромжгүй, аюултай.
VM-д хандах хандалтыг хангахад шаардагдах хугацааг багасгах, тэдгээрийг удирдахад хялбар болгохын тулд бид VM-д зориулсан сүлжээний хандалтын удирдлагын үйлчилгээг боловсруулсан.
Контекст цэсэн дэх виртуал машины түвшний хэрэглэгч хандалтын дүрмийг бий болгох зүйлийг сонгоод дараа нь нээгдсэн хэлбэрээр параметрүүдийг зааж өгнө - хаанаас, хаана, протоколын төрөл, портын дугаар. Маягтыг бөглөж, илгээсний дараа шаардлагатай тасалбарууд нь HP Service Manager дээр суурилсан хэрэглэгчийн техникийн дэмжлэгийн системд автоматаар үүсгэгддэг. Тэд энэ болон бусад хандалтыг зөвшөөрөх үүрэгтэй бөгөөд хэрэв нэвтрэх зөвшөөрөл олгосон бол автоматжуулаагүй зарим үйлдлийг гүйцэтгэдэг мэргэжилтнүүдэд ханддаг.
Мэргэжилтнүүдийн оролцоотой бизнесийн үйл явцын үе шат дууссаны дараа үйлчилгээний хэсэг автоматаар галт хананд дүрмийг бий болгодог.
Эцсийн хөвчний хувьд хэрэглэгч портал дээр амжилттай бөглөсөн хүсэлтийг хардаг. Энэ нь дүрмийг үүсгэсэн бөгөөд та түүнтэй ажиллах боломжтой гэсэн үг юм - харах, өөрчлөх, устгах.
Тэтгэмжийн эцсийн оноо
Үндсэндээ бид хувийн үүлний жижиг хэсгүүдийг шинэчилсэн боловч банк мэдэгдэхүйц нөлөө үзүүлсэн. Хэрэглэгчид үйлчилгээний газартай шууд харьцахгүйгээр зөвхөн порталаар дамжуулан сүлжээний хандалтыг хүлээн авдаг. Заавал маягтын талбарууд, оруулсан өгөгдлийн үнэн зөвийг баталгаажуулах, урьдчилан тохируулсан жагсаалтууд, нэмэлт өгөгдөл - энэ бүхэн нь мэдээллийн аюулгүй байдлын ажилтнуудаас татгалзахгүй байх магадлал өндөртэй, үнэн зөв хандалтын хүсэлтийг боловсруулахад тусалдаг. оролтын алдаа гаргах. Виртуал машинууд хар хайрцаг байхаа больсон - та портал дээр өөрчлөлт оруулснаар тэдэнтэй үргэлжлүүлэн ажиллах боломжтой.
Үүний үр дүнд өнөөдөр банкны мэдээллийн технологийн мэргэжилтнүүд нэвтрэхэд илүү тохиромжтой хэрэгсэлтэй болсон бөгөөд зөвхөн тэдгээр хүмүүс л үйл явцад оролцдог бөгөөд тэдэнгүйгээр хийх боломжгүй юм. Нийтдээ хөдөлмөрийн зардлын хувьд энэ нь дор хаяж 1 хүний өдөр тутмын бүрэн ачааллаас чөлөөлөгдөхөөс гадна хэрэглэгчдийн хувьд хэдэн арван цаг хэмнэж байгаа юм. Дүрэм үүсгэх автоматжуулалт нь банкны ажилтнуудад дарамт учруулахгүй бичил сегментчлэлийн шийдлийг хэрэгжүүлэх боломжтой болсон.
Эцэст нь "хандалтын дүрэм" нь үүлний нягтлан бодох бүртгэлийн нэгж болсон. Өөрөөр хэлбэл, одоо үүл нь бүх VM-ийн дүрмийн талаархи мэдээллийг хадгалж, виртуал машиныг устгах үед тэдгээрийг цэвэрлэдэг.
Удалгүй шинэчлэлийн үр өгөөж бүх банкны үүлэнд тархах болно. VM үүсгэх процессын автоматжуулалт, микро сегментчилэл нь DMZ-ээс хальж, бусад сегментүүдийг эзэлсэн. Энэ нь үүлний аюулгүй байдлыг бүхэлд нь нэмэгдүүлсэн.
Хэрэгжүүлсэн шийдэл нь банкинд хөгжлийн үйл явцыг хурдасгаж, энэ шалгуурын дагуу мэдээллийн технологийн компаниудын загварт ойртуулж байгаагаараа бас сонирхолтой юм. Эцсийн эцэст, гар утасны програм, портал, хэрэглэгчийн үйлчилгээний талаар ярихад өнөөдөр ямар ч томоохон компани дижитал бүтээгдэхүүн үйлдвэрлэх "үйлдвэр" болохыг эрмэлздэг. Энэ утгаараа банкууд мэдээллийн технологийн хамгийн хүчирхэг компаниудтай бараг ижил түвшинд тоглож, шинэ програмуудыг бий болгож байна. Хувийн үүлэн загвар дээр суурилсан мэдээллийн технологийн дэд бүтцийн чадавхи нь танд шаардлагатай нөөцийг хэдхэн минутын дотор, аль болох найдвартай хуваарилах боломжийг олгодог бол сайн хэрэг.
Зохиогчид:
Вячеслав Медведев, Jet Infosystems компанийн Үүлэн тооцооллын хэлтсийн дарга,
Илья Куйкин, Jet Infosystems-ийн үүлэн тооцооллын хэлтсийн тэргүүлэх инженер
Эх сурвалж: www.habr.com