Er det vanskelig å lage en virtuell maskin (VM) i skyen? Ikke vanskeligere enn å lage te. Men når det kommer til et stort selskap, kan selv en så enkel handling vise seg å være smertelig lang. Det er ikke nok å lage en virtuell maskin, du må også få nødvendig tilgang for å jobbe i henhold til alle forskrifter. En kjent smerte for hver utvikler? I en stor bank tok denne prosedyren fra flere timer til flere dager. Og siden det var hundrevis av lignende operasjoner per måned, er det lett å forestille seg omfanget av denne arbeidskrevende ordningen. For å få slutt på dette, moderniserte vi bankens private sky og automatiserte ikke bare prosessen med å lage VM-er, men også relaterte operasjoner.
Oppgave nr. 1. Sky med Internett-tilkobling
Banken opprettet en privat sky ved å bruke sitt interne IT-team for et enkelt segment av nettverket. Over tid satte ledelsen pris på fordelene og bestemte seg for å utvide konseptet med private skyer til andre miljøer og segmenter av banken. Dette krevde flere spesialister og sterk kompetanse innen private skyer. Derfor ble teamet vårt betrodd å modernisere skyen.
Hovedstrømmen til dette prosjektet var etableringen av virtuelle maskiner i et ekstra segment av informasjonssikkerhet - i den demilitariserte sonen (DMZ). Det er her bankens tjenester er integrert med eksterne systemer plassert utenfor bankinfrastrukturen.
Men denne medaljen hadde også en bakside. Tjenester fra DMZ var tilgjengelig "utenfor", og dette innebar et helt sett med informasjonssikkerhetsrisikoer. Først av alt er dette trusselen om hackingsystemer, påfølgende utvidelse av angrepsfeltet i DMZ, og deretter penetrering i bankens infrastruktur. For å minimere noen av disse risikoene foreslo vi å bruke et ekstra sikkerhetstiltak - en mikrosegmenteringsløsning.
Mikrosegmenteringsbeskyttelse
Klassisk segmentering bygger beskyttede grenser ved grensene til nettverk ved hjelp av en brannmur. Med mikrosegmentering kan hver enkelt VM separeres i et personlig, isolert segment.
Dette øker sikkerheten til hele systemet. Selv om angripere hacker én DMZ-server, vil det være ekstremt vanskelig for dem å spre angrepet over nettverket - de vil måtte bryte gjennom mange "låste dører" i nettverket. Den personlige brannmuren til hver VM inneholder sine egne regler angående den, som bestemmer retten til å gå inn og ut. Vi leverte mikrosegmentering ved hjelp av VMware NSX-T distribuert brannmur. Dette produktet oppretter brannmurregler for VM-er sentralt og distribuerer dem på tvers av virtualiseringsinfrastrukturen. Det spiller ingen rolle hvilket gjeste-OS som brukes, regelen brukes på nivået for å koble virtuelle maskiner til nettverket.
Problem N2. På jakt etter hastighet og bekvemmelighet
Installere en virtuell maskin? Enkelt! Et par klikk og du er ferdig. Men så dukker det opp mange spørsmål: hvordan få tilgang fra denne virtuelle maskinen til en annen eller system? Eller fra et annet system tilbake til VM?
For eksempel, i en bank, etter å ha bestilt en VM på skyportalen, var det nødvendig å åpne den tekniske støtteportalen og sende inn en forespørsel om å gi nødvendig tilgang. En feil i søknaden resulterte i oppringninger og korrespondanse for å rette opp situasjonen. Samtidig kan en VM ha 10-15-20 tilganger og behandlingen av hver enkelt tok tid. Djevelens prosess.
I tillegg krevde det spesiell forsiktighet å "rydde opp" spor av livsaktiviteten til eksterne virtuelle maskiner. Etter at de ble fjernet, forble tusenvis av tilgangsregler på brannmuren og lastet utstyret. Dette er både en ekstra belastning og sikkerhetshull.
Du kan ikke gjøre dette med regler i skyen. Det er upraktisk og utrygt.
For å minimere tiden det tar å gi tilgang til VM-er og gjøre det praktisk å administrere dem, har vi utviklet en nettverkstilgangsadministrasjonstjeneste for VM-er.
Brukeren på virtuell maskinnivå i kontekstmenyen velger et element for å lage en tilgangsregel, og spesifiserer deretter parameterne i skjemaet som åpnes - hvorfra, hvor, protokolltyper, portnumre. Etter å ha fylt ut og sendt inn skjemaet, opprettes de nødvendige billettene automatisk i brukerstøttesystemet basert på HP Service Manager. De er ansvarlige for å godkjenne denne eller den tilgangen og, hvis tilgang godkjennes, for spesialister som utfører noen av operasjonene som ennå ikke er automatiserte.
Etter at fasen av forretningsprosessen som involverer spesialister har fungert, starter den delen av tjenesten som automatisk lager regler for brannmurer.
Som siste akkord ser brukeren en vellykket fullført forespørsel på portalen. Dette betyr at regelen er opprettet og du kan jobbe med den – se, endre, slette.
Endelig poengsum for fordeler
I hovedsak moderniserte vi små aspekter av den private skyen, men banken fikk en merkbar effekt. Brukere får nå nettverkstilgang kun gjennom portalen, uten å forholde seg direkte til Service Desk. Obligatoriske skjemafelt, deres validering for riktigheten av de angitte dataene, forhåndskonfigurerte lister, tilleggsdata - alt dette bidrar til å formulere en nøyaktig tilgangsforespørsel, som med høy grad av sannsynlighet vil bli vurdert og ikke avvist av informasjonssikkerhetsansatte pga. å legge inn feil. Virtuelle maskiner er ikke lenger svarte bokser – du kan fortsette å jobbe med dem ved å gjøre endringer på portalen.
Som et resultat har bankens IT-spesialister i dag til rådighet et mer praktisk verktøy for å få tilgang, og bare de personene er involvert i prosessen, uten hvem de definitivt ikke kan klare seg uten. Totalt sett, når det gjelder arbeidskostnader, er dette en frigjøring fra den daglige fullbelastningen på minst 1 person, samt dusinvis av timer spart for brukere. Automatisering av regeloppretting gjorde det mulig å implementere en mikrosegmenteringsløsning som ikke skaper en belastning for bankens ansatte.
Og til slutt ble "tilgangsregelen" regnskapsenheten til skyen. Det vil si at nå lagrer skyen informasjon om reglene for alle VM-er og rydder opp i dem når virtuelle maskiner slettes.
Snart vil fordelene med modernisering spre seg til hele bankens sky. Automatisering av VM-opprettingsprosessen og mikrosegmentering har beveget seg utover DMZ og fanget andre segmenter. Og dette økte sikkerheten til skyen som helhet.
Den implementerte løsningen er også interessant ved at den lar banken fremskynde utviklingsprosesser, og bringe den nærmere modellen til IT-selskaper i henhold til dette kriteriet. Når alt kommer til alt, når det kommer til mobilapplikasjoner, portaler og kundetjenester, streber ethvert stort selskap i dag etter å bli en "fabrikk" for produksjon av digitale produkter. Slik sett spiller bankene praktisk talt på linje med de sterkeste IT-selskapene, og følger med på å lage nye applikasjoner. Og det er bra når egenskapene til en IT-infrastruktur bygget på en privat skymodell lar deg allokere de nødvendige ressursene til dette på noen få minutter og så trygt som mulig.
Forfattere:
Vyacheslav Medvedev, leder for Cloud Computing-avdelingen, Jet Infosystems,
Ilya Kuikin, ledende ingeniør for cloud computing-avdelingen til Jet Infosystems
Kilde: www.habr.com