ڇا ڪلائوڊ ۾ ورچوئل مشين (VM) ٺاهڻ ڏکيو آهي؟ چانهه ٺاهڻ کان وڌيڪ ڏکيو ناهي. پر جڏهن اهو اچي ٿو هڪ وڏي ڪارپوريشن، جيتوڻيڪ اهڙي سادي عمل کي دردناڪ طور تي ڊگهو ٿي سگهي ٿو. اهو هڪ مجازي مشين ٺاهڻ لاء ڪافي ناهي؛ توهان کي سڀني ضابطن جي مطابق ڪم ڪرڻ لاء ضروري رسائي پڻ حاصل ڪرڻ جي ضرورت آهي. هر ڊولپر لاء هڪ واقف درد؟ هڪ وڏي بئنڪ ۾، هن طريقيڪار ڪيترن ئي ڪلاڪن کان ڪيترن ئي ڏينهن تائين ورتو. ۽ جيئن ته هر مهيني سوين ساڳيا آپريشن هئا، اهو تصور ڪرڻ آسان آهي ته هن مزدور-استعمال واري اسڪيم جي پيماني تي. ان کي ختم ڪرڻ لاءِ، اسان بئنڪ جي خانگي ڪلائوڊ کي جديد بڻايو ۽ نه رڳو VMs ٺاهڻ جي عمل کي، پر لاڳاپيل عملن کي به خودڪار ڪيو.
ٽاسڪ نمبر 1. Cloud انٽرنيٽ ڪنيڪشن سان
بينڪ نيٽ ورڪ جي ھڪڙي حصي لاءِ پنھنجي اندروني آئي ٽي ٽيم کي استعمال ڪندي ھڪڙي خانگي بادل ٺاھيو. وقت سان گڏ، انتظاميا ان جي فائدن کي ساراهيو ۽ فيصلو ڪيو ته نجي ڪلائوڊ تصور کي بينڪ جي ٻين ماحول ۽ حصن تائين وڌايو وڃي. ان لاءِ خانگي بادل ۾ وڌيڪ ماهرن ۽ مضبوط ماهرن جي ضرورت هئي. تنهن ڪري، اسان جي ٽيم کي بادل کي جديد ڪرڻ جي ذميواري ڏني وئي هئي.
هن منصوبي جو مکيه وهڪرو معلومات سيڪيورٽي جي هڪ اضافي حصي ۾ مجازي مشينن جي پيدائش هئي - demilitarized زون (DMZ) ۾. هي اهو آهي جتي بينڪ جون خدمتون بينڪن جي انفراسٽرڪچر کان ٻاهر واقع خارجي نظام سان ضم ٿيل آهن.
پر هي ميڊل پڻ هڪ فلپ پاسو هو. DMZ جون خدمتون موجود هيون ”ٻاهران“ ۽ ان ۾ معلومات جي سيڪيورٽي خطرن جو هڪ مڪمل سيٽ شامل آهي. سڀ کان پهريان، هي هيڪنگ سسٽم جو خطرو آهي، بعد ۾ DMZ ۾ حملي جي ميدان جي توسيع، ۽ پوء بينڪ جي انفراسٽرڪچر ۾ داخل ٿيڻ. انهن مان ڪجھ خطرن کي گھٽائڻ لاءِ، اسان ھڪ اضافي حفاظتي ماپ استعمال ڪرڻ جي تجويز ڏني آھي - ھڪڙو مائڪرو-سيگمينٽيشن حل.
مائيڪرو سيڪشن جي حفاظت
کلاسک ڀاڱو محفوظ حدون ٺاهي ٿو نيٽ ورڪ جي حدن تي فائر وال استعمال ڪندي. microsegmentation سان، هر فرد VM کي ذاتي، الڳ ٿيل ڀاڱي ۾ ورهائي سگهجي ٿو.
اهو سڄو سسٽم جي سيڪيورٽي کي وڌائي ٿو. ايستائين جو حملو ڪندڙ هڪ DMZ سرور کي هيڪ ڪن ٿا، انهن لاءِ ان حملي کي پوري نيٽ ورڪ ۾ پکيڙڻ انتهائي مشڪل هوندو - انهن کي نيٽ ورڪ اندر ڪيترن ئي ”لڪل دروازن“ کي ٽوڙڻو پوندو. هر VM جي ذاتي فائر وال ان جي حوالي سان پنهنجي ضابطن تي مشتمل آهي، جيڪي داخل ٿيڻ ۽ نڪرڻ جو حق مقرر ڪن ٿا. اسان VMware NSX-T ورهايل فائر وال استعمال ڪندي مائڪرو-سيگمينٽيشن مهيا ڪيو. هي پراڊڪٽ مرڪزي طور تي VMs لاءِ فائر وال ضابطا ٺاهي ٿو ۽ انهن کي ورچوئلائيزيشن انفراسٽرڪچر ۾ ورهائي ٿو. اهو مسئلو ناهي ته ڪهڙو مهمان او ايس استعمال ڪيو ويندو آهي، ضابطو لاڳو ٿئي ٿو نيٽ ورڪ کي ورچوئل مشينن کي ڳنڍڻ جي سطح تي.
مسئلو N2. رفتار ۽ سهولت جي ڳولا ۾
هڪ مجازي مشين کي ترتيب ڏيو؟ آساني سان! ڪجھ ڪلڪ ڪريو ۽ توھان ڪيو آھي. پر پوءِ ڪيترائي سوال پيدا ٿين ٿا: هن VM کان ٻئي يا سسٽم تائين رسائي ڪيئن حاصل ڪجي؟ يا ٻئي سسٽم کان واپس وي ايم ڏانهن؟
مثال طور، هڪ بئنڪ ۾، ڪلائوڊ پورٽل تي VM آرڊر ڪرڻ کان پوءِ، ٽيڪنيڪل سپورٽ پورٽل کولڻ ۽ ضروري پهچ جي روزي لاءِ درخواست جمع ڪرائڻ ضروري هو. ايپليڪيشن ۾ هڪ غلطي جي نتيجي ۾ صورتحال کي درست ڪرڻ لاء ڪالون ۽ خط و ڪتابت. ساڳئي وقت، هڪ VM 10-15-20 رسائي حاصل ڪري سگهي ٿي ۽ پروسيسنگ هر هڪ وقت ورتو. شيطان جو عمل.
ان کان علاوه، ريموٽ ورچوئل مشينن جي زندگيءَ جي سرگرمين جا نشان ”صاف ڪرڻ“ خاص خيال جي ضرورت آهي. انهن کي هٽائڻ کان پوء، هزارين رسائي جا ضابطا فائر وال تي رهي، سامان لوڊ ڪندي. هي ٻئي هڪ اضافي بار ۽ سيڪيورٽي سوراخ آهي.
توهان بادل ۾ ضابطن سان ائين نٿا ڪري سگهو. اهو ناگزير ۽ غير محفوظ آهي.
VMs تائين پهچ مهيا ڪرڻ ۽ ان کي منظم ڪرڻ لاءِ آسان بنائڻ جو وقت گھٽائڻ لاءِ، اسان VMs لاءِ نيٽ ورڪ رسائي مئنيجمينٽ سروس تيار ڪئي آهي.
استعمال ڪندڙ ورچوئل مشين جي سطح تي ڪنيڪشن مينيو ۾ ھڪڙي شئي کي چونڊيندو آھي ھڪڙي رسائي جي ضابطي کي ٺاھڻ لاءِ، ۽ پوءِ ان فارم ۾ جيڪو کوليندو آھي وضاحت ڪري ٿو پيرا ميٽرز - ڪٿان، ڪٿان، پروٽوڪول جا قسم، پورٽ نمبر. فارم ڀرڻ ۽ جمع ڪرائڻ کان پوءِ، ضروري ٽڪيٽون خودڪار طور تي HP سروس مئنيجر جي بنياد تي صارف ٽيڪنيڪل سپورٽ سسٽم ۾ ٺاهي وينديون آهن. اهي هن يا انهي رسائي کي منظور ڪرڻ جا ذميوار آهن ۽، جيڪڏهن رسائي منظور ڪئي وئي آهي، انهن ماهرن ڏانهن جيڪي ڪجهه آپريشن ڪن ٿا جيڪي اڃا تائين خودڪار نه آهن.
ڪاروباري عمل جي اسٽيج کان پوءِ جنهن ۾ ماهرن شامل ٿي ڪم ڪيو، خدمت جو حصو شروع ٿئي ٿو جيڪو خودڪار طور تي فائر والز تي ضابطو ٺاهي ٿو.
آخري chord جي طور تي، صارف پورٽل تي ڪاميابي سان مڪمل ٿيل درخواست ڏسي ٿو. ان جو مطلب اهو آهي ته قاعدو ٺاهيو ويو آهي ۽ توهان ان سان ڪم ڪري سگهو ٿا - ڏسو، تبديل ڪريو، حذف ڪريو.
فائدن جو آخري نمبر
لازمي طور تي، اسان پرائيويٽ بادل جي ننڍڙن حصن کي جديد ڪيو، پر بينڪ هڪ قابل ذڪر اثر حاصل ڪيو. صارفين هاڻي نيٽ ورڪ تائين رسائي حاصل ڪندا آهن صرف پورٽل ذريعي، سڌو سنئون ڊيل سروس ڊيسڪ سان. لازمي فارم جا شعبا، داخل ڪيل ڊيٽا جي درستي لاءِ انهن جي تصديق، اڳ ۾ ترتيب ڏنل فهرستون، اضافي ڊيٽا - هي سڀ هڪ درست رسائي جي درخواست کي ترتيب ڏيڻ ۾ مدد ڪري ٿو، جنهن جي اعلي سطحي امڪانن سان غور ڪيو ويندو ۽ معلومات جي سيڪيورٽي ملازمن طرفان رد نه ڪيو ويندو. غلطيون داخل ڪرڻ لاء. ورچوئل مشينون هاڻي بليڪ باڪس نه هونديون آهن- توهان پورٽل تي تبديليون ڪندي انهن سان ڪم جاري رکي سگهو ٿا.
نتيجي طور، اڄ بينڪ جي آئي ٽي ماهرن وٽ رسائي حاصل ڪرڻ لاء هڪ وڌيڪ آسان اوزار آهي، ۽ صرف اهي ماڻهو عمل ۾ شامل آهن، جن کان سواء اهي يقيني طور تي نٿا ڪري سگهن. مجموعي طور تي، مزدورن جي خرچن جي لحاظ کان، اهو گهٽ ۾ گهٽ 1 شخص جي روزاني مڪمل لوڊ مان نڪرڻ آهي، انهي سان گڏ صارفين لاء ڪيترن ئي ڪلاڪن کي بچايو ويو آهي. ضابطي جي ٺاھڻ جي آٽوميشن ان کي ممڪن بڻايو ته ھڪڙي مائڪرو-سيگمينٽيشن حل کي لاڳو ڪرڻ جيڪو بينڪ جي ملازمن تي بوجھ پيدا نٿو ڪري.
۽ آخرڪار، "رسائي ضابطو" بادل جو اڪائونٽنگ يونٽ بڻجي ويو. اھو آھي، ھاڻي بادل سڀني VMs جي ضابطن جي باري ۾ معلومات محفوظ ڪري ٿو ۽ انھن کي صاف ڪري ٿو جڏھن ورچوئل مشينون ڊھي وڃن ٿيون.
جلد ئي جديديت جا فائدا سڄي ڪناري جي بادل تائين پکڙجي ويندا. VM ٺاھڻ جي عمل جي آٽوميشن ۽ مائڪرو-سيگمينٽيشن DMZ کان اڳتي وڌيو آھي ۽ ٻين حصن تي قبضو ڪيو آھي. ۽ اهو مجموعي طور تي بادل جي سيڪيورٽي کي وڌايو.
لاڳو ٿيل حل پڻ دلچسپ آهي انهي ۾ ته اها بينڪ کي اجازت ڏئي ٿي ته ترقي جي عمل کي تيز ڪري، ان کي هن معيار جي مطابق آئي ٽي ڪمپنين جي ماڊل جي ويجهو آڻيندي. آخرڪار، جڏهن اهو اچي ٿو موبائل ايپليڪيشنن، پورٽلز، ۽ ڪسٽمر سروسز، اڄ ڪنهن به وڏي ڪمپني کي ڊجيٽل شين جي پيداوار لاء "فيڪٽري" بنائڻ جي ڪوشش ڪري ٿي. انهي لحاظ کان، بئنڪ عملي طور تي مضبوط ترين آئي ٽي ڪمپنين سان گڏ راند ڪندا آهن، نئين ايپليڪيشنن جي تخليق سان گڏ. ۽ اهو سٺو آهي جڏهن هڪ پرائيويٽ ڪلائوڊ ماڊل تي ٺاهيل آئي ٽي انفراسٽرڪچر جون صلاحيتون توهان کي ڪجهه منٽن ۾ ان لاءِ ضروري وسيلا مختص ڪرڻ جي اجازت ڏين ٿيون ۽ جيترو ٿي سگهي محفوظ طور تي.
ليکڪ:
Vyacheslav Medvedev، ڪلائوڊ ڪمپيوٽنگ ڊپارٽمينٽ جو سربراهه، جيٽ انفو سسٽم,
Ilya Kuikin، جيٽ انفو سسٽم جي ڪلائوڊ ڪمپيوٽنگ ڊپارٽمينٽ جي معروف انجنيئر
جو ذريعو: www.habr.com