Huwa diffiċli li tinħoloq magna virtwali (VM) fil-cloud? Mhux aktar diffiċli milli tagħmel it-te. Iżda meta niġu għal korporazzjoni kbira, anke azzjoni sempliċi bħal din tista 'tirriżulta li tkun twila bi tbatija. Mhuwiex biżżejjed li toħloq magna virtwali; trid ukoll tikseb l-aċċess meħtieġ għax-xogħol skont ir-regolamenti kollha. Uġigħ familjari għal kull żviluppatur? F'bank wieħed kbir, din il-proċedura ħadet minn diversi sigħat sa diversi jiem. U peress li kien hemm mijiet ta 'operazzjonijiet simili fix-xahar, huwa faċli li wieħed jimmaġina l-iskala ta' din l-iskema li tikkonsma xogħol. Biex intemmu dan, immodernizzajna l-cloud privat tal-bank u awtomatizzajna mhux biss il-proċess tal-ħolqien ta 'VMs, iżda wkoll operazzjonijiet relatati.
Kompitu Nru 1. Cloud b'konnessjoni tal-Internet
Il-bank ħoloq sħab privat bl-użu tat-tim intern tal-IT tiegħu għal segment wieħed tan-netwerk. Maż-żmien, il-maniġment apprezza l-benefiċċji tiegħu u ddeċieda li jestendi l-kunċett tal-cloud privat għal ambjenti u segmenti oħra tal-bank. Dan kien jeħtieġ aktar speċjalisti u kompetenza qawwija fis-sħab privati. Għalhekk, it-tim tagħna ġie fdat bl-immodernizzar tas-sħab.
Il-fluss ewlieni ta 'dan il-proġett kien il-ħolqien ta' magni virtwali f'segment addizzjonali ta 'sigurtà tal-informazzjoni - fiż-żona demilitarizzata (DMZ). Dan huwa fejn is-servizzi tal-bank huma integrati ma’ sistemi esterni li jinsabu barra l-infrastruttura bankarja.
Iżda din il-midalja kellha wkoll flip side. Is-servizzi mid-DMZ kienu disponibbli “barra” u dan kien jinvolvi sett sħiħ ta’ riskji għas-sigurtà tal-informazzjoni. L-ewwelnett, din hija t-theddida ta 'sistemi ta' hacking, espansjoni sussegwenti tal-qasam tal-attakk fid-DMZ, u mbagħad penetrazzjoni fl-infrastruttura tal-bank. Biex innaqqsu xi wħud minn dawn ir-riskji, ipproponejna li nużaw miżura ta 'sigurtà addizzjonali - soluzzjoni ta' mikro-segmentazzjoni.
Protezzjoni ta' mikro-segmentazzjoni
Is-segmentazzjoni klassika tibni konfini protetti fil-konfini tan-netwerks bl-użu ta 'firewall. Bil-mikrosegmentazzjoni, kull VM individwali tista 'tiġi separata f'segment personali u iżolat.
Dan isaħħaħ is-sigurtà tas-sistema kollha. Anke jekk l-attakkanti hack server wieħed DMZ, se jkun estremament diffiċli għalihom li jxerrdu l-attakk fuq in-netwerk - ikollhom jaqbdu ħafna "bibien msakkra" fin-netwerk. Il-firewall personali ta' kull VM fih ir-regoli tiegħu stess dwarha, li jiddeterminaw id-dritt li tidħol u toħroġ. Aħna pprovdejna mikro-segmentazzjoni bl-użu ta 'VMware NSX-T Distributed Firewall. Dan il-prodott b'mod ċentrali joħloq regoli tal-firewall għall-VMs u jqassamhom fl-infrastruttura tal-virtwalizzazzjoni. Ma jimpurtax liema OS mistieden jintuża, ir-regola hija applikata fil-livell tal-konnessjoni ta 'magni virtwali man-netwerk.
Problema N2. Fit-tfittxija ta 'veloċità u konvenjenza
Tiskjera magna virtwali? Faċilment! Koppja ta' klikks u lest. Iżda mbagħad iqumu ħafna mistoqsijiet: kif tikseb aċċess minn din il-VM għal oħra jew sistema? Jew minn sistema oħra lura lill-VM?
Pereżempju, f'bank, wara li ordnat VM fuq il-portal tal-cloud, kien meħtieġ li tiftaħ il-portal ta 'appoġġ tekniku u tissottometti talba għall-provvista tal-aċċess meħtieġ. Żball fl-applikazzjoni rriżulta f'sejħiet u korrispondenza biex tikkoreġi s-sitwazzjoni. Fl-istess ħin, VM jista 'jkollu aċċessi 10-15-20 u l-ipproċessar kull wieħed ħa ż-żmien. Il-proċess tax-Xitan.
Barra minn hekk, it-traċċi ta '"tindif" tal-attività tal-ħajja ta' magni virtwali remoti kien jeħtieġ kura speċjali. Wara li tneħħew, eluf ta 'regoli ta' aċċess baqgħu fuq il-firewall, tagħbija tat-tagħmir. Dan huwa kemm piż żejjed kif ukoll toqob tas-sigurtà.
Ma tistax tagħmel dan b'regoli fil-cloud. Huwa inkonvenjenti u mhux sikur.
Biex innaqqsu kemm jista’ jkun iż-żmien li tieħu biex tipprovdi aċċess għall-VMs u tagħmilha konvenjenti li timmaniġġjahom, żviluppajna servizz ta’ ġestjoni tal-aċċess għan-netwerk għall-VMs.
L-utent fil-livell tal-magna virtwali fil-menu tal-kuntest jagħżel oġġett biex joħloq regola ta 'aċċess, u mbagħad fil-forma li tiftaħ tispeċifika l-parametri - minn fejn, fejn, tipi ta' protokoll, numri tal-port. Wara li timla u tissottometti l-formola, il-biljetti meħtieġa jinħolqu awtomatikament fis-sistema ta' appoġġ tekniku għall-utent ibbażata fuq HP Service Manager. Huma responsabbli biex japprovaw dan jew dak l-aċċess u, jekk l-aċċess ikun approvat, lil speċjalisti li jwettqu xi wħud mill-operazzjonijiet li għadhom mhumiex awtomatizzati.
Wara li l-istadju tal-proċess tan-negozju li jinvolvi speċjalisti jkun ħadem, tibda l-parti tas-servizz li awtomatikament toħloq regoli dwar il-firewalls.
Bħala l-korda finali, l-utent jara talba mimlija b'suċċess fuq il-portal. Dan ifisser li r-regola ġiet maħluqa u tista 'taħdem magħha - ara, tibdel, ħassar.
Punteġġ finali tal-benefiċċji
Essenzjalment, immodernizzajna aspetti żgħar tal-cloud privat, iżda l-bank irċieva effett notevoli. L-utenti issa jirċievu aċċess għan-netwerk biss permezz tal-portal, mingħajr ma jittrattaw direttament mas-Service Desk. Oqsma tal-formola obbligatorja, il-validazzjoni tagħhom għall-korrettezza tad-dejta mdaħħla, listi kkonfigurati minn qabel, dejta addizzjonali - dan kollu jgħin biex tiġi fformulata talba ta 'aċċess preċiża, li bi grad għoli ta' probabbiltà tiġi kkunsidrata u mhux miċħuda mill-impjegati tas-sigurtà tal-informazzjoni dovuta. biex jiddaħħlu żbalji. Il-magni virtwali m'għadhomx kaxxi suwed—tista' tkompli taħdem magħhom billi tagħmel bidliet fil-portal.
Bħala riżultat, illum l-ispeċjalisti tal-IT tal-bank għandhom għad-dispożizzjoni tagħhom għodda aktar konvenjenti biex jiksbu aċċess, u dawk in-nies biss huma involuti fil-proċess, li mingħajrhom żgur ma jistgħux jgħaddu mingħajrhom. B'kollox, f'termini ta 'spejjeż tax-xogħol, dan huwa rilaxx mit-tagħbija sħiħa ta' kuljum ta 'mill-inqas persuna 1, kif ukoll għexieren ta' sigħat issejvjati għall-utenti. L-awtomazzjoni tal-ħolqien tar-regoli għamlitha possibbli li tiġi implimentata soluzzjoni ta 'mikro-segmentazzjoni li ma toħloqx piż fuq l-impjegati tal-bank.
U finalment, ir-"regola ta 'aċċess" saret l-unità tal-kontabilità tas-sħab. Jiġifieri, issa s-sħaba taħżen informazzjoni dwar ir-regoli għall-VMs kollha u tnaddafhom meta l-magni virtwali jitħassru.
Dalwaqt il-benefiċċji tal-modernizzazzjoni se jinfirxu fis-sħaba tal-bank kollu. L-awtomazzjoni tal-proċess tal-ħolqien tal-VM u l-mikro-segmentazzjoni mxew lil hinn mid-DMZ u qabdu segmenti oħra. U dan żied is-sigurtà tas-sħab kollu kemm hu.
Is-soluzzjoni implimentata hija interessanti wkoll peress li tippermetti lill-bank iħaffef il-proċessi ta 'żvilupp, u jġibu eqreb lejn il-mudell tal-kumpaniji tal-IT skont dan il-kriterju. Wara kollox, fejn jidħlu applikazzjonijiet mobbli, portali, u servizzi tal-konsumatur, kull kumpanija kbira llum tistinka biex issir "fabbrika" għall-produzzjoni ta 'prodotti diġitali. F'dan is-sens, il-banek prattikament jilagħbu fuq l-istess livell mal-kumpaniji tal-IT l-aktar b'saħħithom, ilaħħqu mal-ħolqien ta 'applikazzjonijiet ġodda. U huwa tajjeb meta l-kapaċitajiet ta 'infrastruttura tal-IT mibnija fuq mudell ta' cloud privat jippermettulek talloka r-riżorsi meħtieġa għal dan fi ftit minuti u bl-aktar mod sigur possibbli.
Awturi:
Vyacheslav Medvedev, Kap tad-Dipartiment tal-Cloud Computing, Jet Infosystems,
Ilya Kuikin, inġinier ewlieni tad-dipartiment tal-cloud computing ta' Jet Infosystems
Sors: www.habr.com