Czy trudno jest stworzyć maszynę wirtualną (VM) w chmurze? Nie trudniejsze niż zrobienie herbaty. Jednak w przypadku dużej korporacji nawet tak prosta czynność może okazać się boleśnie długa. Nie wystarczy stworzyć maszynę wirtualną, trzeba jeszcze uzyskać niezbędny dostęp do pracy zgodnie ze wszystkimi przepisami. Znany ból każdemu programiście? W jednym dużym banku procedura ta trwała od kilku godzin do kilku dni. A ponieważ podobnych operacji wykonywano setki miesięcznie, łatwo sobie wyobrazić skalę tego pracochłonnego programu. Aby położyć temu kres, zmodernizowaliśmy chmurę prywatną banku i zautomatyzowaliśmy nie tylko proces tworzenia maszyn wirtualnych, ale także operacje z nim związane.
Zadanie nr 1. Chmura z połączeniem internetowym
Bank stworzył chmurę prywatną wykorzystując swój wewnętrzny zespół IT dla jednego segmentu sieci. Z czasem zarząd docenił korzyści płynące z rozwiązania i podjął decyzję o rozszerzeniu koncepcji chmury prywatnej na inne środowiska i segmenty banku. Wymagało to większej liczby specjalistów i dużej wiedzy specjalistycznej w zakresie chmur prywatnych. Dlatego naszemu zespołowi powierzono modernizację chmury.
Głównym nurtem tego projektu było stworzenie maszyn wirtualnych w dodatkowym segmencie bezpieczeństwa informacji – w strefie zdemilitaryzowanej (DMZ). To tutaj usługi banku integrowane są z systemami zewnętrznymi, zlokalizowanymi poza infrastrukturą bankową.
Ale ten medal miał też drugą stronę. Usługi ze strefy DMZ były dostępne „z zewnątrz”, co pociągało za sobą cały szereg zagrożeń bezpieczeństwa informacji. Przede wszystkim jest to zagrożenie włamaniem do systemów, późniejszym rozszerzeniem pola ataku w strefie DMZ, a następnie penetracją infrastruktury banku. Aby zminimalizować część tych zagrożeń, zaproponowaliśmy zastosowanie dodatkowego zabezpieczenia – rozwiązania w postaci mikrosegmentacji.
Ochrona przed mikrosegmentacją
Klasyczna segmentacja buduje chronione granice na granicach sieci za pomocą zapory ogniowej. Dzięki mikrosegmentacji każdą maszynę wirtualną można podzielić na osobisty, izolowany segment.
Zwiększa to bezpieczeństwo całego systemu. Nawet jeśli napastnicy zhakują jeden serwer DMZ, niezwykle trudno będzie im rozprzestrzenić atak w całej sieci - będą musieli przebić się przez wiele „zamkniętych drzwi” w sieci. Zapora osobista każdej maszyny wirtualnej zawiera odnoszące się do niej własne reguły, które określają prawo do wejścia i wyjścia. Zapewniliśmy mikrosegmentację przy użyciu rozproszonej zapory ogniowej VMware NSX-T. Ten produkt centralnie tworzy reguły zapory sieciowej dla maszyn wirtualnych i dystrybuuje je w infrastrukturze wirtualizacji. Nie ma znaczenia, który system gościnny jest używany, reguła stosowana jest na poziomie podłączania maszyn wirtualnych do sieci.
Problem N2. W poszukiwaniu szybkości i wygody
Wdrażać maszynę wirtualną? Łatwo! Kilka kliknięć i gotowe. Ale wtedy pojawia się wiele pytań: jak uzyskać dostęp z tej maszyny wirtualnej do innej lub systemu? A może z innego systemu z powrotem do maszyny wirtualnej?
Przykładowo w banku po zamówieniu VM na portalu chmurowym konieczne było otwarcie portalu pomocy technicznej i złożenie wniosku o zapewnienie niezbędnego dostępu. Błąd we wniosku skutkował telefonami i korespondencją w celu naprawienia sytuacji. Jednocześnie maszyna wirtualna może mieć 10-15-20 dostępów, a przetwarzanie każdego z nich wymagało czasu. Proces diabła.
Ponadto „czyszczenie” śladów aktywności życiowej zdalnych maszyn wirtualnych wymagało szczególnej ostrożności. Po ich usunięciu na zaporze pozostały tysiące reguł dostępu, ładując sprzęt. Jest to zarówno dodatkowe obciążenie, jak i luki w zabezpieczeniach.
Nie da się tego zrobić za pomocą reguł w chmurze. To niewygodne i niebezpieczne.
Aby zminimalizować czas potrzebny na zapewnienie dostępu do maszyn wirtualnych i ułatwić zarządzanie nimi, opracowaliśmy usługę zarządzania dostępem do sieci dla maszyn wirtualnych.
Użytkownik na poziomie maszyny wirtualnej w menu kontekstowym wybiera pozycję, aby utworzyć regułę dostępu, a następnie w formularzu, który się otworzy, określa parametry - skąd, dokąd, typy protokołów, numery portów. Po wypełnieniu i przesłaniu formularza niezbędne zgłoszenia zostaną automatycznie utworzone w systemie wsparcia technicznego użytkownika opartym na HP Service Manager. Są odpowiedzialni za zatwierdzenie tego lub innego dostępu, a jeśli dostęp zostanie zatwierdzony, za specjalistów, którzy wykonują niektóre operacje, które nie są jeszcze zautomatyzowane.
Po zakończeniu etapu procesu biznesowego z udziałem specjalistów rozpoczyna się część usługi, która automatycznie tworzy reguły na firewallach.
Jako ostatni akord użytkownik widzi w portalu pomyślnie zrealizowane żądanie. Oznacza to, że reguła została utworzona i możesz z nią pracować - przeglądać, zmieniać, usuwać.
Ostateczna ocena korzyści
Zasadniczo zmodernizowaliśmy małe aspekty chmury prywatnej, ale bank uzyskał zauważalny efekt. Użytkownicy uzyskują teraz dostęp do sieci wyłącznie poprzez portal, bez bezpośredniego kontaktu z Service Desk. Obowiązkowe pola formularza, ich weryfikacja pod kątem poprawności wprowadzonych danych, wstępnie skonfigurowane listy, dane dodatkowe – to wszystko pozwala sformułować trafny wniosek o dostęp, który z dużym prawdopodobieństwem zostanie rozpatrzony i nie odrzucony przez pracowników bezpieczeństwa informacji ze względu na do wprowadzania błędów. Maszyny wirtualne nie są już czarnymi skrzynkami – możesz dalej z nimi pracować, wprowadzając zmiany w portalu.
Dzięki temu informatycy banku mają dziś do dyspozycji wygodniejsze narzędzie uzyskiwania dostępu, a w proces zaangażowane są tylko te osoby, bez których zdecydowanie nie mogą się obejść. Łącznie, jeśli chodzi o koszty pracy, jest to uwolnienie od dziennego pełnego obciążenia co najmniej 1 osoby, a także zaoszczędzenie kilkudziesięciu godzin dla użytkowników. Automatyzacja tworzenia reguł umożliwiła wdrożenie rozwiązania mikrosegmentacji, które nie powoduje obciążeń dla pracowników banku.
I wreszcie „reguła dostępu” stała się jednostką rozliczeniową chmury. Oznacza to, że teraz chmura przechowuje informacje o regułach dla wszystkich maszyn wirtualnych i czyści je po usunięciu maszyn wirtualnych.
Już niedługo korzyści modernizacji rozprzestrzenią się na całą chmurę banku. Automatyzacja procesu tworzenia maszyn wirtualnych i mikrosegmentacja wyszły poza strefę DMZ i przejęły inne segmenty. A to zwiększyło bezpieczeństwo chmury jako całości.
Wdrożone rozwiązanie jest również interesujące pod tym względem, że pozwala bankowi przyspieszyć procesy rozwojowe, przybliżając go do modelu firm informatycznych według tego kryterium. W końcu jeśli chodzi o aplikacje mobilne, portale i obsługę klienta, każda duża firma stara się dziś stać się „fabryką” produkcji produktów cyfrowych. W tym sensie banki praktycznie dorównują najsilniejszym firmom IT, dotrzymując kroku tworzeniu nowych aplikacji. I dobrze, gdy możliwości infrastruktury IT zbudowanej w modelu chmury prywatnej pozwalają na alokację niezbędnych do tego zasobów w kilka minut i możliwie bezpiecznie.
Autorzy:
Wiaczesław Miedwiediew, kierownik działu Cloud Computing, Jet Infosystems,
Ilya Kuikin, wiodący inżynier działu przetwarzania w chmurze Jet Infosystems
Źródło: www.habr.com