Este dificil să creezi o mașină virtuală (VM) în cloud? Nu mai greu decât să faci ceai. Dar când vine vorba de o corporație mare, chiar și o acțiune atât de simplă se poate dovedi a fi dureros de lungă. Nu este suficient să creezi o mașină virtuală; de asemenea, trebuie să obții accesul necesar pentru a lucra în conformitate cu toate reglementările. O durere familiară pentru fiecare dezvoltator? Într-o bancă mare, această procedură a durat de la câteva ore până la câteva zile. Și din moment ce au fost sute de operațiuni similare pe lună, este ușor să ne imaginăm amploarea acestei scheme care consumă forță de muncă. Pentru a pune capăt acestui lucru, am modernizat cloud-ul privat al băncii și am automatizat nu numai procesul de creare a VM-urilor, ci și operațiunile conexe.
Sarcina nr. 1. Cloud cu conexiune la internet
Banca a creat un cloud privat folosind echipa sa IT internă pentru un singur segment al rețelei. De-a lungul timpului, managementul și-a apreciat beneficiile și a decis să extindă conceptul de cloud privat la alte medii și segmente ale băncii. Acest lucru a necesitat mai mulți specialiști și expertiză puternică în cloud-urile private. Prin urmare, echipei noastre i-a fost încredințată modernizarea cloud-ului.
Principalul curent al acestui proiect a fost crearea de mașini virtuale într-un segment suplimentar de securitate a informațiilor - în zona demilitarizată (DMZ). Aici serviciile băncii sunt integrate cu sisteme externe situate în afara infrastructurii bancare.
Dar această medalie a avut și un revers. Serviciile din DMZ erau disponibile „în afara” și acest lucru implica un întreg set de riscuri de securitate a informațiilor. În primul rând, aceasta este amenințarea sistemelor de hacking, extinderea ulterioară a câmpului de atac în DMZ și apoi pătrunderea în infrastructura băncii. Pentru a minimiza unele dintre aceste riscuri, ne-am propus utilizarea unei măsuri suplimentare de securitate - o soluție de micro-segmentare.
Protecție la micro-segmentare
Segmentarea clasică construiește limite protejate la granițele rețelelor folosind un firewall. Cu microsegmentare, fiecare VM individual poate fi separată într-un segment personal, izolat.
Acest lucru sporește securitatea întregului sistem. Chiar dacă atacatorii pirata un server DMZ, le va fi extrem de dificil să răspândească atacul în rețea - vor trebui să treacă prin multe „uși încuiate” din rețea. Firewall-ul personal al fiecărei VM conține propriile reguli cu privire la acesta, care determină dreptul de intrare și de ieșire. Am furnizat micro-segmentare folosind VMware NSX-T Distributed Firewall. Acest produs creează în mod centralizat reguli de firewall pentru VM și le distribuie în infrastructura de virtualizare. Nu contează ce sistem de operare invitat este utilizat, regula se aplică la nivelul conectării mașinilor virtuale la rețea.
Problema N2. În căutarea vitezei și a confortului
Instalați o mașină virtuală? Uşor! Câteva clicuri și gata. Dar apoi apar multe întrebări: cum să obțineți acces de la această VM la un alt sau sistem? Sau de la alt sistem înapoi la VM?
De exemplu, într-o bancă, după comandarea unui VM pe portalul cloud, a fost necesară deschiderea portalului de asistență tehnică și depunerea unei cereri de furnizare a accesului necesar. O eroare în aplicație a dus la apeluri și corespondență pentru a corecta situația. În același timp, un VM poate avea 10-15-20 de accesări și fiecare procesare a durat timp. Procesul diavolului.
În plus, „curățarea” urmelor din activitatea de viață a mașinilor virtuale la distanță a necesitat o atenție specială. După ce au fost eliminate, mii de reguli de acces au rămas pe firewall, încărcând echipamentul. Aceasta este atât o povară suplimentară, cât și găuri de securitate.
Nu poți face asta cu reguli în cloud. Este incomod și nesigur.
Pentru a minimiza timpul necesar pentru a oferi acces la mașinile virtuale și pentru a facilita gestionarea acestora, am dezvoltat un serviciu de gestionare a accesului la rețea pentru mașinile virtuale.
Utilizatorul la nivel de mașină virtuală în meniul contextual selectează un element pentru a crea o regulă de acces, iar apoi în formularul care se deschide specifică parametrii - de unde, unde, tipuri de protocol, numere de port. După completarea și trimiterea formularului, tichetele necesare sunt create automat în sistemul de asistență tehnică a utilizatorului bazat pe HP Service Manager. Aceștia sunt responsabili pentru aprobarea unuia sau acela acces și, dacă accesul este aprobat, a specialiștilor care efectuează unele dintre operațiunile care nu sunt încă automatizate.
După ce etapa procesului de afaceri care implică specialiști a funcționat, începe partea serviciului care creează automat reguli pentru firewall-uri.
Ca acord final, utilizatorul vede o solicitare finalizată cu succes pe portal. Aceasta înseamnă că regula a fost creată și puteți lucra cu ea - vizualizați, modificați, ștergeți.
Scorul final al beneficiilor
În esență, am modernizat mici aspecte ale cloud-ului privat, dar banca a primit un efect notabil. Utilizatorii primesc acum acces la rețea doar prin portal, fără a avea de-a face direct cu Service Desk. Câmpuri de formular obligatorii, validarea acestora pentru corectitudinea datelor introduse, liste preconfigurate, date suplimentare - toate acestea ajută la formularea unei cereri de acces precise, care cu un grad ridicat de probabilitate va fi luată în considerare și nu respinsă de angajații de securitate a informațiilor din cauza pentru a introduce erori. Mașinile virtuale nu mai sunt cutii negre – puteți continua să lucrați cu ele făcând modificări pe portal.
Drept urmare, astăzi specialiștii IT ai băncii au la dispoziție un instrument mai convenabil pentru obținerea accesului și doar acele persoane sunt implicate în proces, fără de care cu siguranță nu se pot lipsi. În total, în ceea ce privește costurile cu forța de muncă, aceasta este o eliberare din încărcătura zilnică completă de cel puțin 1 persoană, precum și zeci de ore economisite pentru utilizatori. Automatizarea creării regulilor a făcut posibilă implementarea unei soluții de micro-segmentare care nu creează o povară pentru angajații băncii.
Și, în cele din urmă, „regula de acces” a devenit unitatea contabilă a cloud-ului. Adică, acum cloud stochează informații despre regulile pentru toate mașinile virtuale și le curăță atunci când mașinile virtuale sunt șterse.
În curând, beneficiile modernizării se vor răspândi la întregul cloud al băncii. Automatizarea procesului de creare a VM și micro-segmentarea au depășit DMZ și au capturat alte segmente. Și acest lucru a crescut securitatea cloud-ului în ansamblu.
Soluția implementată este interesantă și prin faptul că permite băncii să accelereze procesele de dezvoltare, apropiindu-se de modelul companiilor IT după acest criteriu. La urma urmei, când vine vorba de aplicații mobile, portaluri și servicii pentru clienți, orice companie mare de astăzi se străduiește să devină o „fabrică” pentru producția de produse digitale. În acest sens, băncile joacă practic la egalitate cu cele mai puternice companii IT, ținând pasul cu crearea de noi aplicații. Și este bine atunci când capacitățile unei infrastructuri IT construite pe un model de cloud privat vă permit să alocați resursele necesare pentru aceasta în câteva minute și cât mai sigur posibil.
Autori:
Vyacheslav Medvedev, șeful Departamentului Cloud Computing, Jet Infosystems,
Ilya Kuikin, inginer principal al departamentului de cloud computing al Jet Infosystems
Sursa: www.habr.com