É difícil criar uma máquina virtual (VM) na nuvem? Não é mais difícil do que fazer chá. Mas quando se trata de uma grande corporação, mesmo uma ação tão simples pode ser dolorosamente longa. Não basta criar uma máquina virtual, é preciso também obter o acesso necessário para trabalhar de acordo com todas as regulamentações. Uma dor familiar para todo desenvolvedor? Em um grande banco, esse procedimento demorava de várias horas a vários dias. E como havia centenas de operações semelhantes por mês, é fácil imaginar a escala deste esquema que consome muita mão-de-obra. Para acabar com isso, modernizamos a nuvem privada do banco e automatizamos não só o processo de criação de VMs, mas também as operações relacionadas.
Tarefa nº 1. Nuvem com conexão à Internet
O banco criou uma nuvem privada utilizando sua equipe interna de TI para um único segmento da rede. Com o tempo, a administração apreciou os seus benefícios e decidiu estender o conceito de nuvem privada a outros ambientes e segmentos do banco. Isso exigiu mais especialistas e forte conhecimento em nuvens privadas. Portanto, nossa equipe foi encarregada de modernizar a nuvem.
A principal corrente deste projeto foi a criação de máquinas virtuais em um segmento adicional de segurança da informação - na zona desmilitarizada (DMZ). É aqui que os serviços do banco são integrados com sistemas externos localizados fora da infraestrutura bancária.
Mas esta medalha também teve um outro lado. Os serviços da DMZ estavam disponíveis “fora” e isso implicava todo um conjunto de riscos de segurança da informação. Em primeiro lugar, trata-se da ameaça de hacking de sistemas, da subsequente expansão do campo de ataque na DMZ e, em seguida, da penetração na infra-estrutura do banco. Para minimizar alguns desses riscos, propusemos o uso de uma medida de segurança adicional – uma solução de microssegmentação.
Proteção de microssegmentação
A segmentação clássica cria limites protegidos nas fronteiras das redes usando um firewall. Com a microssegmentação, cada VM individual pode ser separada em um segmento pessoal e isolado.
Isso aumenta a segurança de todo o sistema. Mesmo que os invasores invadam um servidor DMZ, será extremamente difícil para eles espalhar o ataque pela rede - eles terão que romper muitas “portas trancadas” dentro da rede. O firewall pessoal de cada VM contém regras próprias a respeito, que determinam o direito de entrada e saída. Fornecemos microssegmentação usando VMware NSX-T Distributed Firewall. Este produto cria centralmente regras de firewall para VMs e as distribui pela infraestrutura de virtualização. Não importa qual sistema operacional convidado é usado, a regra é aplicada no nível de conexão de máquinas virtuais à rede.
Problema N2. Em busca de rapidez e comodidade
Implantar uma máquina virtual? Facilmente! Alguns cliques e pronto. Mas aí surgem muitas dúvidas: como conseguir acesso desta VM para outra ou sistema? Ou de outro sistema de volta para a VM?
Por exemplo, num banco, após encomendar uma VM no portal cloud, foi necessário abrir o portal de suporte técnico e submeter um pedido de fornecimento do acesso necessário. Um erro no aplicativo resultou em ligações e correspondências para corrigir a situação. Ao mesmo tempo, uma VM pode ter 10-15-20 acessos e o processamento de cada um demorava. Processo do diabo.
Além disso, “limpar” vestígios da atividade vital de máquinas virtuais remotas exigia cuidados especiais. Após serem removidas, milhares de regras de acesso permaneceram no firewall, carregando o equipamento. Isso é um fardo extra e falhas de segurança.
Você não pode fazer isso com regras na nuvem. É inconveniente e inseguro.
Para minimizar o tempo necessário para fornecer acesso às VMs e facilitar o gerenciamento delas, desenvolvemos um serviço de gerenciamento de acesso à rede para VMs.
O usuário no nível da máquina virtual no menu de contexto seleciona um item para criar uma regra de acesso e, em seguida, no formulário que se abre, especifica os parâmetros - de onde, onde, tipos de protocolo, números de porta. Após o preenchimento e envio do formulário, os tickets necessários são criados automaticamente no sistema de suporte técnico ao usuário baseado em HP Service Manager. São responsáveis pela aprovação deste ou daquele acesso e, caso o acesso seja aprovado, aos especialistas que realizam algumas das operações ainda não automatizadas.
Depois de concluída a etapa do processo de negócio envolvendo especialistas, inicia-se a parte do serviço que cria automaticamente regras sobre firewalls.
Como acorde final, o usuário vê uma solicitação concluída com sucesso no portal. Isso significa que a regra foi criada e você pode trabalhar com ela - visualizar, alterar, excluir.
Pontuação final dos benefícios
Essencialmente, modernizamos pequenos aspectos da nuvem privada, mas o banco obteve um efeito notável. Os usuários agora recebem acesso à rede apenas através do portal, sem lidar diretamente com o Service Desk. Campos obrigatórios do formulário, sua validação quanto à veracidade dos dados inseridos, listas pré-configuradas, dados adicionais - tudo isso ajuda a formular uma solicitação de acesso precisa, que com alto grau de probabilidade será considerada e não rejeitada pelos funcionários de segurança da informação devido para inserir erros. As máquinas virtuais não são mais caixas pretas – você pode continuar trabalhando com elas fazendo alterações no portal.
Com isso, hoje os especialistas em TI do banco têm à sua disposição uma ferramenta mais conveniente para obter acesso, e apenas participam do processo aquelas pessoas, sem as quais definitivamente não podem prescindir. No total, em termos de custos laborais, trata-se de uma libertação da carga horária diária de pelo menos 1 pessoa, bem como de dezenas de horas poupadas aos utilizadores. A automatização da criação de regras permitiu implementar uma solução de microssegmentação que não onera os bancários.
E por fim, a “regra de acesso” passou a ser a unidade contábil da nuvem. Ou seja, agora a nuvem armazena informações sobre as regras de todas as VMs e as limpa quando as máquinas virtuais são excluídas.
Em breve, os benefícios da modernização se espalharão por toda a nuvem do banco. A automação do processo de criação de VM e a microssegmentação foram além da DMZ e capturaram outros segmentos. E isso aumentou a segurança da nuvem como um todo.
A solução implementada também é interessante porque permite ao banco agilizar os processos de desenvolvimento, aproximando-o do modelo de empresas de TI segundo este critério. Afinal, quando se trata de aplicativos móveis, portais e atendimento ao cliente, qualquer grande empresa hoje se esforça para se tornar uma “fábrica” de produção de produtos digitais. Nesse sentido, os bancos praticamente jogam em pé de igualdade com as empresas de TI mais fortes, acompanhando a criação de novas aplicações. E é bom quando as capacidades de uma infraestrutura de TI construída em um modelo de nuvem privada permitem alocar os recursos necessários para isso em poucos minutos e com a maior segurança possível.
Autores:
Vyacheslav Medvedev, chefe do departamento de computação em nuvem, Jet Infosystems,
Ilya Kuikin, engenheiro líder do departamento de computação em nuvem da Jet Infosystems
Fonte: habr.com