Adakah sukar untuk mencipta mesin maya (VM) di awan? Tidak lebih sukar daripada membuat teh. Tetapi apabila ia datang kepada sebuah syarikat besar, walaupun tindakan mudah itu boleh berubah menjadi sangat lama. Ia tidak mencukupi untuk mencipta mesin maya; anda juga perlu mendapatkan akses yang diperlukan untuk bekerja mengikut semua peraturan. Sakit yang biasa bagi setiap pembangun? Dalam satu bank besar, prosedur ini mengambil masa dari beberapa jam hingga beberapa hari. Dan kerana terdapat beratus-ratus operasi yang serupa setiap bulan, mudah untuk membayangkan skala skim yang memakan buruh ini. Untuk menamatkan perkara ini, kami memodenkan awan peribadi bank dan mengautomasikan bukan sahaja proses mencipta VM, tetapi juga operasi yang berkaitan.
Tugasan No 1. Awan dengan sambungan Internet
Bank itu mencipta awan peribadi menggunakan pasukan IT dalamannya untuk satu segmen rangkaian. Dari masa ke masa, pihak pengurusan menghargai faedahnya dan memutuskan untuk memperluaskan konsep awan persendirian kepada persekitaran dan segmen bank yang lain. Ini memerlukan lebih ramai pakar dan kepakaran yang kukuh dalam awan peribadi. Oleh itu, pasukan kami telah diamanahkan untuk memodenkan awan.
Aliran utama projek ini ialah penciptaan mesin maya dalam segmen tambahan keselamatan maklumat - di zon demiliterisasi (DMZ). Di sinilah perkhidmatan bank disepadukan dengan sistem luaran yang terletak di luar infrastruktur perbankan.
Tetapi pingat ini juga mempunyai sisi lain. Perkhidmatan daripada DMZ tersedia "di luar" dan ini melibatkan satu set keseluruhan risiko keselamatan maklumat. Pertama sekali, ini adalah ancaman sistem penggodaman, pengembangan medan serangan berikutnya di DMZ, dan kemudian penembusan ke dalam infrastruktur bank. Untuk meminimumkan beberapa risiko ini, kami mencadangkan menggunakan langkah keselamatan tambahan - penyelesaian pembahagian mikro.
Perlindungan pembahagian mikro
Segmen klasik membina sempadan yang dilindungi di sempadan rangkaian menggunakan tembok api. Dengan pembahagian mikro, setiap VM individu boleh dipisahkan menjadi segmen peribadi yang terpencil.
Ini meningkatkan keselamatan keseluruhan sistem. Walaupun penyerang menggodam satu pelayan DMZ, ia akan menjadi sangat sukar bagi mereka untuk menyebarkan serangan ke seluruh rangkaian - mereka perlu menembusi banyak "pintu terkunci" dalam rangkaian. Firewall peribadi setiap VM mengandungi peraturannya sendiri mengenainya, yang menentukan hak untuk masuk dan keluar. Kami menyediakan pembahagian mikro menggunakan VMware NSX-T Distributed Firewall. Produk ini secara berpusat mencipta peraturan firewall untuk VM dan mengedarkannya ke seluruh infrastruktur virtualisasi. Tidak kira OS tetamu mana yang digunakan, peraturan itu digunakan pada tahap menyambungkan mesin maya ke rangkaian.
Masalah N2. Dalam mencari kelajuan dan kemudahan
Sebarkan mesin maya? Dengan mudah! Beberapa klik dan anda sudah selesai. Tetapi kemudian banyak persoalan timbul: bagaimana untuk mendapatkan akses dari VM ini kepada yang lain atau sistem? Atau dari sistem lain kembali ke VM?
Sebagai contoh, di bank, selepas memesan VM pada portal awan, adalah perlu untuk membuka portal sokongan teknikal dan menyerahkan permintaan untuk penyediaan akses yang diperlukan. Ralat dalam aplikasi menyebabkan panggilan dan surat-menyurat untuk membetulkan keadaan. Pada masa yang sama, VM boleh mempunyai 10-15-20 akses dan pemprosesan setiap satu mengambil masa. Proses syaitan.
Di samping itu, "membersihkan" jejak aktiviti hayat mesin maya jauh memerlukan penjagaan khas. Selepas ia dialih keluar, beribu-ribu peraturan akses kekal pada tembok api, memuatkan peralatan. Ini adalah beban tambahan dan lubang keselamatan.
Anda tidak boleh melakukan ini dengan peraturan dalam awan. Ia menyusahkan dan tidak selamat.
Untuk meminimumkan masa yang diperlukan untuk menyediakan akses kepada VM dan memudahkan untuk mengurusnya, kami telah membangunkan perkhidmatan pengurusan akses rangkaian untuk VM.
Pengguna di peringkat mesin maya dalam menu konteks memilih item untuk mencipta peraturan akses, dan kemudian dalam bentuk yang terbuka menentukan parameter - dari mana, di mana, jenis protokol, nombor port. Selepas mengisi dan menyerahkan borang, tiket yang diperlukan dibuat secara automatik dalam sistem sokongan teknikal pengguna berdasarkan Pengurus Perkhidmatan HP. Mereka bertanggungjawab untuk meluluskan akses ini atau itu dan, jika akses diluluskan, kepada pakar yang melakukan beberapa operasi yang belum diautomatikkan.
Selepas peringkat proses perniagaan yang melibatkan pakar telah berfungsi, bahagian perkhidmatan bermula yang secara automatik mencipta peraturan pada tembok api.
Sebagai kord terakhir, pengguna melihat permintaan yang berjaya diselesaikan pada portal. Ini bermakna peraturan telah dibuat dan anda boleh bekerja dengannya - lihat, tukar, padam.
Markah akhir faedah
Pada asasnya, kami memodenkan aspek kecil awan peribadi, tetapi bank menerima kesan yang ketara. Pengguna kini menerima akses rangkaian hanya melalui portal, tanpa berurusan terus dengan Meja Perkhidmatan. Medan borang wajib, pengesahannya untuk ketepatan data yang dimasukkan, senarai pra-konfigurasi, data tambahan - semua ini membantu untuk merumuskan permintaan akses yang tepat, yang dengan tahap kebarangkalian tinggi akan dipertimbangkan dan tidak ditolak oleh pekerja keselamatan maklumat kerana kepada kesilapan input. Mesin maya bukan lagi kotak hitamβanda boleh terus bekerja dengannya dengan membuat perubahan pada portal.
Akibatnya, hari ini pakar IT bank mempunyai alat yang lebih mudah untuk mendapatkan akses, dan hanya mereka yang terlibat dalam proses itu, yang tanpanya mereka pasti tidak dapat melakukannya tanpanya. Secara keseluruhan, dari segi kos buruh, ini adalah pelepasan daripada beban penuh harian sekurang-kurangnya 1 orang, serta berpuluh-puluh jam yang disimpan untuk pengguna. Automasi penciptaan peraturan memungkinkan untuk melaksanakan penyelesaian pembahagian mikro yang tidak menimbulkan beban kepada pekerja bank.
Dan akhirnya, "peraturan akses" menjadi unit perakaunan awan. Iaitu, kini awan menyimpan maklumat tentang peraturan untuk semua VM dan membersihkannya apabila mesin maya dipadamkan.
Tidak lama lagi faedah pemodenan akan merebak ke seluruh awan bank. Automasi proses penciptaan VM dan pembahagian mikro telah melangkaui DMZ dan menangkap segmen lain. Dan ini meningkatkan keselamatan awan secara keseluruhan.
Penyelesaian yang dilaksanakan juga menarik kerana ia membolehkan bank mempercepatkan proses pembangunan, membawanya lebih dekat dengan model syarikat IT mengikut kriteria ini. Lagipun, apabila ia berkaitan dengan aplikasi mudah alih, portal dan perkhidmatan pelanggan, mana-mana syarikat besar hari ini berusaha untuk menjadi "kilang" untuk pengeluaran produk digital. Dalam pengertian ini, bank secara praktikalnya bermain setanding dengan syarikat IT terkuat, seiring dengan penciptaan aplikasi baharu. Dan adalah baik apabila keupayaan infrastruktur IT yang dibina pada model awan peribadi membolehkan anda memperuntukkan sumber yang diperlukan untuk ini dalam beberapa minit dan secepat mungkin.
Pengarang:
Vyacheslav Medvedev, Ketua Jabatan Pengkomputeran Awan, Sistem Maklumat Jet,
Ilya Kuikin, jurutera terkemuka jabatan pengkomputeran awan Jet Infosystems
Sumber: www.habr.com