Is het moeilijk om een virtuele machine (VM) in de cloud te creëren? Niet moeilijker dan thee zetten. Maar als het om een groot bedrijf gaat, kan zelfs zo’n simpele actie pijnlijk lang duren. Het is niet voldoende om een virtuele machine te creëren; u moet ook de nodige toegang verkrijgen om te werken in overeenstemming met alle regelgeving. Een bekende pijn voor elke ontwikkelaar? Bij één grote bank duurde deze procedure enkele uren tot meerdere dagen. En aangezien er honderden soortgelijke operaties per maand plaatsvonden, is het gemakkelijk om je de omvang van dit arbeidsintensieve plan voor te stellen. Om hieraan een einde te maken, hebben we de private cloud van de bank gemoderniseerd en niet alleen het proces voor het maken van VM’s, maar ook de daaraan gerelateerde handelingen geautomatiseerd.
Taak nr. 1. Cloud met internetverbinding
De bank creëerde een private cloud met behulp van haar interne IT-team voor een enkel segment van het netwerk. Na verloop van tijd waardeerde het management de voordelen ervan en besloot het private cloud-concept uit te breiden naar andere omgevingen en segmenten van de bank. Dit vereiste meer specialisten en sterke expertise op het gebied van private clouds. Daarom werd ons team belast met het moderniseren van de cloud.
De hoofdstroom van dit project was het creëren van virtuele machines in een extra segment van informatiebeveiliging: in de gedemilitariseerde zone (DMZ). Hier worden de diensten van de bank geïntegreerd met externe systemen die zich buiten de bankinfrastructuur bevinden.
Maar deze medaille had ook een keerzijde. Diensten van de DMZ waren ‘buiten’ beschikbaar en dit bracht een hele reeks informatiebeveiligingsrisico’s met zich mee. In de eerste plaats is dit de dreiging van hacksystemen, de daaropvolgende uitbreiding van het aanvalsveld in de DMZ en vervolgens de penetratie in de infrastructuur van de bank. Om sommige van deze risico's te minimaliseren, hebben we voorgesteld een extra beveiligingsmaatregel te gebruiken: een microsegmentatieoplossing.
Bescherming tegen microsegmentatie
Klassieke segmentatie bouwt beschermde grenzen aan de grenzen van netwerken met behulp van een firewall. Met microsegmentatie kan elke individuele VM worden opgedeeld in een persoonlijk, geïsoleerd segment.
Dit verbetert de veiligheid van het hele systeem. Zelfs als aanvallers één DMZ-server hacken, zal het voor hen uiterst moeilijk zijn om de aanval over het netwerk te verspreiden - ze zullen door vele “gesloten deuren” binnen het netwerk moeten breken. De persoonlijke firewall van elke VM bevat zijn eigen regels hierover, die het recht op toegang en vertrek bepalen. We hebben microsegmentatie verzorgd met behulp van VMware NSX-T Distributed Firewall. Dit product creëert centraal firewallregels voor VM's en distribueert deze over de virtualisatie-infrastructuur. Het maakt niet uit welk gastbesturingssysteem wordt gebruikt, de regel wordt toegepast op het niveau van het verbinden van virtuele machines met het netwerk.
Probleem N2. Op zoek naar snelheid en gemak
Een virtuele machine implementeren? Gemakkelijk! Een paar klikken en je bent klaar. Maar dan rijzen er veel vragen: hoe krijg je vanaf deze VM toegang tot een andere VM of een ander systeem? Of vanaf een ander systeem terug naar de VM?
Bij een bank was het bijvoorbeeld, na het bestellen van een VM op het cloudportaal, nodig om het technische ondersteuningsportaal te openen en een verzoek in te dienen voor het verlenen van de noodzakelijke toegang. Een fout in de applicatie resulteerde in telefoontjes en correspondentie om de situatie te corrigeren. Tegelijkertijd kan een VM 10-15-20 toegangen hebben en het verwerken ervan kostte tijd. Het proces van de duivel.
Bovendien vereiste het ‘opruimen’ van sporen van de levensactiviteit van externe virtuele machines speciale zorg. Nadat ze waren verwijderd, bleven duizenden toegangsregels op de firewall staan, waardoor de apparatuur werd geladen. Dit is zowel een extra last als veiligheidslekken.
Met regels in de cloud lukt dit niet. Het is lastig en onveilig.
Om de tijd die nodig is om toegang te verlenen tot VM's te minimaliseren en het beheer ervan gemakkelijk te maken, hebben we een service voor netwerktoegangsbeheer voor VM's ontwikkeld.
De gebruiker op het niveau van de virtuele machine in het contextmenu selecteert een item om een toegangsregel te maken, en specificeert vervolgens in het geopende formulier de parameters - van waar, waar, protocoltypen, poortnummers. Na het invullen en verzenden van het formulier worden de benodigde tickets automatisch aangemaakt in het technische ondersteuningssysteem van de gebruiker op basis van HP Service Manager. Zij zijn verantwoordelijk voor het goedkeuren van deze of gene toegang en, als de toegang wordt goedgekeurd, voor specialisten die een deel van de bewerkingen uitvoeren die nog niet geautomatiseerd zijn.
Nadat de fase van het bedrijfsproces waarbij specialisten betrokken zijn, is gewerkt, begint het deel van de dienstverlening dat automatisch regels voor firewalls creëert.
Als slotakkoord ziet de gebruiker een succesvol afgerond verzoek op het portaal. Dit betekent dat de regel is aangemaakt en dat u ermee kunt werken: bekijken, wijzigen, verwijderen.
Eindscore van voordelen
In wezen moderniseerden we kleine aspecten van de private cloud, maar de bank kreeg merkbaar effect. Gebruikers krijgen nu alleen via het portaal toegang tot het netwerk, zonder rechtstreeks contact met de Service Desk. Verplichte formuliervelden, hun validatie op de juistheid van de ingevoerde gegevens, vooraf geconfigureerde lijsten, aanvullende gegevens - dit alles helpt bij het formuleren van een nauwkeurig toegangsverzoek, dat met een hoge mate van waarschijnlijkheid zal worden overwogen en niet zal worden afgewezen door informatiebeveiligingsmedewerkers vanwege fouten invoeren. Virtuele machines zijn niet langer zwarte dozen; u kunt ermee blijven werken door wijzigingen aan te brengen op de portal.
Als gevolg hiervan beschikken de IT-specialisten van de bank tegenwoordig over een handiger hulpmiddel om toegang te krijgen, en zijn alleen die mensen bij het proces betrokken, zonder wie ze absoluut niet zonder kunnen. In totaal is dit, in termen van arbeidskosten, een vrijgave van de dagelijkse volledige belasting van minimaal 1 persoon, evenals een besparing van tientallen uren voor gebruikers. Automatisering van het maken van regels maakte het mogelijk om een microsegmentatieoplossing te implementeren die geen last met zich meebrengt voor bankmedewerkers.
En ten slotte werd de ‘toegangsregel’ de boekhoudeenheid van de cloud. Dat wil zeggen dat de cloud nu informatie over de regels voor alle VM's opslaat en deze opruimt wanneer virtuele machines worden verwijderd.
Binnenkort zullen de voordelen van de modernisering zich verspreiden naar de hele cloud van de bank. Automatisering van het VM-creatieproces en microsegmentatie zijn verder gegaan dan de DMZ en hebben ook andere segmenten veroverd. En dit verhoogde de veiligheid van de cloud als geheel.
De geïmplementeerde oplossing is ook interessant omdat deze de bank in staat stelt ontwikkelingsprocessen te versnellen, waardoor deze dichter bij het model van IT-bedrijven volgens dit criterium komt. Als het gaat om mobiele applicaties, portalen en klantenservice, streeft elk groot bedrijf er tegenwoordig naar om een ‘fabriek’ te worden voor de productie van digitale producten. In die zin spelen banken vrijwel op één lijn met de sterkste IT-bedrijven en houden ze gelijke tred met de creatie van nieuwe applicaties. En het is goed als de mogelijkheden van een IT-infrastructuur gebouwd op een private cloud-model je in staat stellen om binnen een paar minuten en zo veilig mogelijk de benodigde middelen hiervoor toe te wijzen.
Auteurs:
Vyacheslav Medvedev, hoofd van de afdeling Cloud Computing, Jet Infosystems,
Ilya Kuikin, leidend ingenieur van de cloud computing-afdeling van Jet Infosystems
Bron: www.habr.com