ProHoster > බ්ලොග් > පරිපාලනය > DevOps එදිරිව DevSecOps: එය එක් බැංකුවක දිස් වූ ආකාරය

DevOps එදිරිව DevSecOps: එය එක් බැංකුවක දිස් වූ ආකාරය

DevOps එදිරිව DevSecOps: එය එක් බැංකුවක දිස් වූ ආකාරය

බැංකුව සිය ව්‍යාපෘති බොහෝ කොන්ත්‍රාත්කරුවන් වෙත ලබා දෙයි. "බාහිර" කේතය ලියන්න, පසුව ප්රතිඵල ඉතා පහසු නොවන ආකාරයෙන් සම්ප්රේෂණය කරන්න. නිශ්චිතවම, ක්රියාවලිය මේ ආකාරයෙන් පෙනුනි: ඔවුන් සමඟ ක්රියාකාරී පරීක්ෂණ සමත් වූ ව්යාපෘතියක් භාර දුන් අතර, පසුව ඒකාබද්ධ කිරීම, පැටවීම සහ යනාදිය සඳහා බැංකු පරිමිතිය තුළ පරීක්ෂා කරන ලදී. පරීක්ෂණ අසාර්ථක වන බව බොහෝ විට අනාවරණය විය. එවිට සෑම දෙයක්ම බාහිර සංවර්ධකයා වෙත ආපසු ගියේය. ඔබට අනුමාන කළ හැකි පරිදි, මෙයින් අදහස් කළේ දෝෂ නිවැරදි කිරීම් සඳහා දිගු කාලයක් ගත වන බවයි.

බැන්කුව තීරණය කළේ කැපවීමෙන් නිදහස් කිරීම දක්වා සම්පූර්ණ නල මාර්ගයම තම පියාපත් යටට ඇදගෙන යා හැකි බවත් අවශ්‍ය බවත්ය. ඒ නිසා සෑම දෙයක්ම ඒකාකාරී වන අතර බැංකුවේ නිෂ්පාදන සඳහා වගකිව යුතු කණ්ඩායම්වල පාලනය යටතේ පවතී. එනම්, බාහිර කොන්ත්‍රාත්කරු කාර්යාලයේ ඊළඟ කාමරයේ කොහේ හෝ වැඩ කරමින් සිටින්නාක් මෙනි. ආයතනික තොගය මත. මේක සාමාන්‍ය devops එකක්.

Sec පැමිණියේ කොහෙන්ද? බාහිර කොන්ත්‍රාත්කරුවෙකුට ජාල අංශයේ වැඩ කළ හැක්කේ කෙසේද, යමෙකුට ඇති ප්‍රවේශය කුමක්ද, කේතය සමඟ ක්‍රියා කරන්නේ කෙසේද සහ කවුරුන්ද යන්න පිළිබඳව බැංකුවේ ආරක්ෂාව ඉහළ ඉල්ලීම් ඉදිරිපත් කර ඇත. කොන්ත්‍රාත්කරුවන් පිටත වැඩ කරන විට බැංකු ප්‍රමිතීන් කිහිපයක් අනුගමනය කරන බව IB තවමත් නොදැන සිටීමයි. ඉන්පසු දින කිහිපයකින් සෑම කෙනෙකුම ඒවා නිරීක්ෂණය කිරීමට පටන් ගත යුතුය.

නිෂ්පාදන කේතය සඳහා කොන්ත්‍රාත්කරුට පූර්ණ ප්‍රවේශය ඇති බව සරල හෙළිදරව්ව දැනටමත් ඔවුන්ගේ ලෝකය උඩු යටිකුරු කර ඇත.

මේ මොහොතේ, DevSecOps හි කතාව ආරම්භ විය, එය මට ඔබට පැවසීමට අවශ්‍යය.

මෙම තත්වයෙන් බැංකුව ලබා ගත් ප්‍රායෝගික නිගමන මොනවාද?

සෑම දෙයක්ම වැරදි ආකාරයෙන් සිදු කිරීම ගැන බොහෝ ආන්දෝලනයක් ඇති විය. සංවර්ධකයින් පැවසුවේ ආරක්ෂාව කාර්යබහුල වන්නේ සංවර්ධනයට බාධා කිරීමට පමණක් බවත්, ඔවුන් මුරකරුවන් මෙන් නොසිතා තහනම් කිරීමට උත්සාහ කරන බවත්ය. අනෙක් අතට, "සංවර්ධකයින් අපගේ පරිපථයේ අවදානම් ඇති කරයි" සහ "සංවර්ධකයින් අවදානම් ඇති නොකරයි, නමුත් ඒවා ඔවුන්ම වේ" යන දෘෂ්ටි කෝණයන් අතර තේරීම අතර ආරක්ෂක විශේෂඥයින් පසුබට විය. නව වෙලඳපොල ඉල්ලීම් සහ DevSecOps සුසමාදර්ශය මතුවීම සඳහා නොවේ නම් ආරවුල දීර්ඝ කාලයක් පවතිනු ඇත. තොරතුරු ආරක්ෂණ අවශ්‍යතා සැලකිල්ලට ගනිමින් මෙම ක්‍රියාවලි ස්වයංක්‍රීය කිරීම “පෙට්ටියෙන් පිටත” සෑම කෙනෙකුටම සතුටින් සිටීමට උපකාරී වනු ඇති බව පැහැදිලි කිරීමට හැකි විය. නීති රීති ක්ෂණිකව ලියා ඇති අතර ක්‍රීඩාව අතරතුර වෙනස් නොවේ (තොරතුරු ආරක්ෂාව අනපේක්ෂිත ලෙස යමක් තහනම් නොකරනු ඇත), සහ සංවර්ධකයින් සිදුවන සෑම දෙයක් ගැනම තොරතුරු ආරක්ෂාව දැනුවත් කරයි (තොරතුරු ආරක්ෂාව හදිසියේ යමක් හමු නොවේ) . සෑම කණ්ඩායමක්ම අවසාන ආරක්ෂාව සඳහා වගකිව යුතු අතර, සමහර වියුක්ත වැඩිහිටි සහෝදරයන් නොවේ.

  1. බාහිර සේවකයින්ට දැනටමත් කේතය සහ අභ්‍යන්තර පද්ධති ගණනාවකට ප්‍රවේශය ඇති බැවින්, “සංවර්ධනය සම්පූර්ණයෙන්ම බැංකුවේ යටිතල පහසුකම් මත සිදු කළ යුතුය” යන අවශ්‍යතාවය ලේඛනවලින් ඉවත් කළ හැකිය.
  2. අනෙක් අතට, සිදුවෙමින් පවතින දේ පාලනය කිරීම ශක්තිමත් කළ යුතුය.
  3. සම්මුතිය වූයේ සේවකයින් බාහිර පුද්ගලයින් සමඟ සමීපව කටයුතු කරන හරස් ක්‍රියාකාරී කණ්ඩායම් නිර්මාණය කිරීමයි. මෙම අවස්ථාවේදී, කණ්ඩායම බැංකුවේ සේවාදායකයන් මත මෙවලම් මත වැඩ කරන බවට ඔබ සහතික විය යුතුය. ආරම්භයේ සිට අවසානය දක්වා.

එනම්, කොන්ත්‍රාත්කරුවන්ට ඉඩ දිය හැකි නමුත් ඔවුන්ට වෙනම කොටස් ලබා දිය යුතුය. ඔවුන් බැංකුවේ යටිතල ව්‍යුහය තුළට පිටතින් යම් ආකාරයක ආසාදනයක් ගෙන නොඑන ලෙස සහ අවශ්‍ය දේට වඩා වැඩි යමක් නොපෙනේ. හොඳයි, එවිට ඔවුන්ගේ ක්රියාවන් ලොග් වී ඇත. කාන්දුවීම් වලින් ආරක්ෂා වීම සඳහා DLP, මේ සියල්ල ඇතුළත් විය.

ප්‍රතිපත්තිමය වශයෙන්, සියලුම බැංකු ඉක්මනින් හෝ පසුව මේ සඳහා පැමිණේ. මෙන්න අපි පහර දුන් මාර්ගයට බැස "බාහිර" වැඩ කරන එවැනි පරිසරයන් සඳහා අවශ්යතාවයන් පිළිබඳව එකඟ විය. උපරිම පරාසයක ප්‍රවේශ පාලන මෙවලම්, අවදානම් පරීක්ෂා කිරීමේ මෙවලම්, පරිපථවල ප්‍රති-වයිරස විශ්ලේෂණය, එකලස්කිරීම් සහ පරීක්ෂණ දක්නට ලැබුණි. මෙය DevSecOps ලෙස හැඳින්වේ.

DevSecOps ට පෙර බැංකු ආරක්ෂණයට සංවර්ධකයාගේ පැත්තෙන් සිදුවන්නේ කුමක්ද යන්න පිළිබඳව පාලනයක් නොතිබුනේ නම්, නව සුසමාදර්ශය තුළ ආරක්ෂාව යටිතල ව්‍යුහයේ සාමාන්‍ය සිදුවීම් මෙන් පාලනය වන බව හදිසියේම පැහැදිලි විය. එක්රැස්වීම්, පුස්තකාල පාලනය යනාදිය පිළිබඳ ඇඟවීම් ඇත්තේ දැන් පමණි.

ඉතිරිව ඇත්තේ කණ්ඩායම් නව මාදිලියට මාරු කිරීම පමණි. හොඳයි, යටිතල පහසුකම් නිර්මාණය කරන්න. නමුත් මේවා ට්‍රයිෆල් ය, එය බකමූණෙකු ඇඳීම වැනි ය. ඇත්ත වශයෙන්ම, අපි යටිතල පහසුකම් සඳහා උදව් කළ අතර, ඒ වන විට සංවර්ධන ක්‍රියාවලීන් වෙනස් වෙමින් පැවතුනි.

වෙනස් වී ඇති දේ

බොහෝ ක්‍රියාවලි කඩා වැටෙනු ඇති බවත්, බොහෝ “බාහිර” සෑම කෙනෙකුගේම අධීක්ෂණය යටතේ නව සේවා කොන්දේසි වලට ඔරොත්තු දීමට නොහැකි බවත් අපි තේරුම් ගත් නිසා අපි එය කුඩා පියවරකින් ක්‍රියාත්මක කිරීමට තීරණය කළෙමු.

පළමුව, අපි හරස් ක්‍රියාකාරී කණ්ඩායම් නිර්මාණය කර නව අවශ්‍යතා සැලකිල්ලට ගනිමින් ව්‍යාපෘති සංවිධානය කිරීමට ඉගෙන ගත්තෙමු. සංවිධානාත්මක අර්ථයෙන් අපි සාකච්ඡා කළේ කුමන ක්‍රියාවලිද යන්නයි. එහි ප්රතිඵලය වූයේ වගකිව යුතු සියලු දෙනා සමඟ එකලස් කිරීමේ නල මාර්ගයේ රූප සටහනකි.

  • සීඅයි: Git, Jenkins, Maven, Roslyn, Gradle, jUnit, Jira, MF Fortify, CA Harvest, GitlabCI.
  • සංයුක්ත තැටිය: Ansible, Puppet, TeamCity, Gitlab TFS, Liquidbase.
  • ටෙස්ට්: Sonarqube, SoapUI, jMeter, Selenium: MF Fortify, Performance Center, MF UFT, Ataccama.
  • ඉදිරිපත් (වාර්තා කිරීම, සන්නිවේදනය): Grafana, Kibana, Jira, Confluence, RocketChat.
  • මෙහෙයුම් (නඩත්තු, කළමනාකරණය): Ansible, Zabbix, Prometheus, Elastic + Logstash, MF සේවා කළමනාකරු, Jira, Confluence, MS Project.

තෝරාගත් තොගය:

  • දැනුම පදනම - Atlassian සංගමය;
  • Task tracker - Atlassian Jira;
  • කෞතුක භාණ්ඩ ගබඩාව - "Nexus";
  • අඛණ්ඩ ඒකාබද්ධ පද්ධතිය - "Gitlab CI";
  • අඛණ්ඩ විශ්ලේෂණ පද්ධතිය - "SonarQube";
  • යෙදුම් ආරක්ෂණ විශ්ලේෂණ පද්ධතිය - “මයික්‍රෝ ෆෝකස් ෆෝටිෆයි”;
  • සන්නිවේදන පද්ධතිය - "GitLab Mattermost";
  • මානකරන කළමනාකරණ පද්ධතිය - "Ansible";
  • අධීක්ෂණ පද්ධතිය - "ELK", "TICK Stack" ("InfluxData").

ඔවුන් කොන්ත්‍රාත්කරුවන් ඇතුළට ඇදගෙන යාමට සූදානම් කණ්ඩායමක් නිර්මාණය කිරීමට පටන් ගත්හ. වැදගත් කරුණු කිහිපයක් ඇති බව අවබෝධ කර ගැනීමක් ඇත:

  • අවම වශයෙන් කේතය සම්ප්රේෂණය කිරීමේදී සෑම දෙයක්ම ඒකාබද්ධ විය යුතුය. මක්නිසාද යත් ඔවුන්ගේම සුවිශේෂතා සහිත විවිධ සංවර්ධන ක්‍රියාවලීන් තරම් කොන්ත්‍රාත්කරුවන් සිටි බැවිනි. සෑම කෙනෙකුම ආසන්න වශයෙන් එකකට ගැලපීම අවශ්‍ය විය, නමුත් විකල්ප සමඟ.
  • බොහෝ කොන්ත්‍රාත්කරුවන් සිටින අතර, යටිතල පහසුකම් අතින් නිර්මාණය කිරීම සුදුසු නොවේ. ඕනෑම නව කාර්යයක් ඉතා ඉක්මනින් ආරම්භ කළ යුතුය - එනම්, සංවර්ධකයින්ට ඔවුන්ගේ නල මාර්ගය කළමනාකරණය කිරීමට විසඳුම් මාලාවක් ඇති වන පරිදි, එම අවස්ථාව ක්ෂණිකව පාහේ යෙදවිය යුතුය.

පළමු පියවර ගැනීමට නම්, සිදු කරන්නේ කුමක්ද යන්න තේරුම් ගැනීම අවශ්ය විය. ඒ වගේම අපි එතනට යන්නේ කොහොමද කියලා තීරණය කරන්න තිබුණා. අපි ආරම්භ කළේ යටිතල පහසුකම් සහ CI/CD ස්වයංක්‍රීයකරණය යන දෙකෙහිම ඉලක්ක විසඳුමේ ගෘහ නිර්මාණ ශිල්පය ඇඳීමට උපකාර කිරීමෙනි. ඊට පස්සේ අපි මේ වාහකය එකලස් කරන්න පටන් ගත්තා. එකම වාහක ධාවනය වන සෑම කෙනෙකුටම එකම යටිතල පහසුකම් අපට අවශ්‍ය විය. අපි ගණනය කිරීම් සමඟ විකල්ප ඉදිරිපත් කළෙමු, බැංකුව සිතුවා, පසුව ගොඩනඟන්නේ කුමක්ද සහ කුමන අරමුදල් සමඟද යන්න තීරණය කළේය.

ඊළඟට පරිපථය නිර්මාණය කිරීම - මෘදුකාංග ස්ථාපනය, වින්යාසය. යටිතල පහසුකම් යෙදවීම සහ කළමනාකරණය සඳහා ස්ක්‍රිප්ට් සංවර්ධනය කිරීම. ඊළඟට වාහක ආධාරකයට සංක්රමණය වේ.

අපි නියමුවා මත සෑම දෙයක්ම පරීක්ෂා කිරීමට තීරණය කළා. සිත්ගන්නා කරුණ නම්, ගුවන් නියමුවන් අතරතුර, පළමු වරට බැංකුවේ යම් තොගයක් දර්ශනය විය. වෙනත් දේ අතර, ඉක්මන් දියත් කිරීම සඳහා නියමුවාගේ විෂය පථය සඳහා විසඳුම් වලින් එකක ගෘහස්ථ වෙළෙන්දෙකු ඉදිරිපත් කරන ලදී. ඔහු ගුවන් නියමුවෙකු ලෙස සේවය කරන විට ආරක්ෂකයින් ඔහුව දැන හඳුනා ගත් අතර එය අමතක නොවන හැඟීමක් ඇති කළේය. අපි මාරු කිරීමට තීරණය කළ විට, වාසනාවකට මෙන්, යටිතල පහසුකම් ස්තරය Nutanix විසඳුමක් සමඟ ප්රතිස්ථාපනය කරන ලද අතර, එය දැනටමත් බැංකුවෙහි විය. එපමණක් නොව, ඊට පෙර එය VDI සඳහා වූ නමුත් අපි එය යටිතල පහසුකම් සේවා සඳහා නැවත භාවිතා කළෙමු. කුඩා වෙළුම් වලදී එය ආර්ථිකයට නොගැලපෙන නමුත් විශාල පරිමාවකින් එය සංවර්ධනය සහ පරීක්ෂා කිරීම සඳහා විශිෂ්ට පරිසරයක් බවට පත් විය.

ඉතිරි කොටස් සියල්ලන්ටම අඩු වැඩි වශයෙන් හුරුපුරුදුය. Ansible හි ස්වයංක්‍රීයකරණ මෙවලම් භාවිතා කරන ලද අතර ආරක්ෂක විශේෂඥයින් ඔවුන් සමඟ සමීපව කටයුතු කළහ. Atlassin තොගය ව්‍යාපෘතියට පෙර බැංකුව විසින් භාවිතා කරන ලදී. Fortinet ආරක්ෂක මෙවලම් - එය ආරක්ෂක පුද්ගලයින් විසින්ම යෝජනා කරන ලදී. පරීක්ෂණ රාමුව බැංකුව විසින් නිර්මාණය කරන ලදී, ප්‍රශ්න කිසිවක් අසනු නොලැබේ. ගබඩා පද්ධතිය ප්‍රශ්න මතු කළේය; මට එයට පුරුදු වීමට සිදු විය.

කොන්ත්‍රාත්කරුවන්ට අලුත් තොගයක් දුන්නා. GitlabCI සඳහා එය නැවත ලිවීමට සහ ජිරා බැංකු අංශයට සංක්‍රමණය කිරීමට ඔවුන් අපට කාලය ලබා දුන්නා.

පියවරෙන් පියවර

අදියර 1. පළමුව, අපි ගෘහස්ථ වෙළෙන්දෙකුගෙන් විසඳුමක් භාවිතා කළෙමු, නිෂ්පාදිතය නව නිර්මාණය කරන ලද DSO ජාල කොටසකට සම්බන්ධ කර ඇත. වේදිකාව තෝරාගෙන ඇත්තේ එහි බෙදා හැරීමේ කාලය, පරිමාණ නම්‍යශීලීභාවය සහ සම්පූර්ණ ස්වයංක්‍රීයකරණයේ හැකියාව සඳහා ය. පවත්වන ලද පරීක්ෂණ:

  • අථත්‍යකරණ වේදිකා යටිතල පහසුකම් (ජාල, තැටි උප පද්ධතිය, පරිගණක සම්පත් උප පද්ධතිය) නම්‍යශීලී සහ පූර්ණ ස්වයංක්‍රීය කළමණාකරණයේ හැකියාව.
  • අතථ්‍ය යන්ත්‍ර ජීවන චක්‍ර කළමනාකරණය ස්වයංක්‍රීයකරණය (සැකසීම, ස්නැප්ෂොට්, උපස්ථ).

වේදිකාවේ ස්ථාපනය සහ මූලික වින්‍යාස කිරීමෙන් පසු, එය දෙවන අදියර උප පද්ධති (DSO මෙවලම්, සිල්ලර පද්ධති සංවර්ධන දළ සටහන්) ස්ථානගත කිරීමේ ලක්ෂ්‍යය ලෙස භාවිතා කරන ලදී. අවශ්‍ය නල මාර්ග නිර්මාණය කරන ලදී - අථත්‍ය යන්ත්‍ර නිර්මාණය කිරීම, මකා දැමීම, වෙනස් කිරීම, උපස්ථ කිරීම. මෙම නල මාර්ග යෙදවීමේ ක්රියාවලියේ පළමු අදියර ලෙස භාවිතා කරන ලදී.

ප්රතිඵලය වන්නේ සපයන ලද උපකරණ කාර්ය සාධනය සහ වැරදි ඉවසීම සඳහා බැංකුවේ අවශ්යතා සපුරාලීම නොවේ. බැංකුවේ DIT විසින් Nutanix මෘදුකාංග පැකේජය මත පදනම්ව සංකීර්ණයක් නිර්මාණය කිරීමට තීරණය කළේය.

අදියර 2. අපි නිර්වචනය කරන ලද තොගය ගෙන, සියලු උප පද්ධති සඳහා ස්වයංක්‍රීය ස්ථාපනය සහ පසු-වින්‍යාස ස්ක්‍රිප්ට් ලිව්වා, එවිට සෑම දෙයක්ම හැකි ඉක්මනින් නියමුගේ සිට ඉලක්ක පරිපථයට මාරු විය. සියලුම පද්ධති දෝෂ-ඉවසන වින්‍යාසය තුළ යොදවා ඇත (මෙම හැකියාව විකුණුම්කරුගේ බලපත්‍ර ප්‍රතිපත්ති මගින් සීමා නොවේ) සහ ප්‍රමිතික සහ සිදුවීම් එකතු කිරීමේ උප පද්ධති වෙත සම්බන්ධ කර ඇත. IB එහි අවශ්‍යතා සමඟ අනුකූල වීම විශ්ලේෂණය කර හරිත එළිය ලබා දුන්නේය.

අදියර 3. සියලුම උප පද්ධති සහ ඒවායේ සැකසුම් නව PAC වෙත සංක්‍රමණය කිරීම. යටිතල පහසුකම් ස්වයංක්‍රීය ස්ක්‍රිප්ට් නැවත ලියා ඇති අතර, DSO උප පද්ධති සංක්‍රමණය සම්පූර්ණයෙන්ම ස්වයංක්‍රීය ප්‍රකාරයකින් සම්පූර්ණ කරන ලදී. සංවර්ධන කණ්ඩායම්වල නල මාර්ග මගින් IP සංවර්ධනයේ සමෝච්ඡයන් නැවත නිර්මාණය කරන ලදී.

අදියර 4. යෙදුම් මෘදුකාංග ස්ථාපනය ස්වයංක්‍රීයකරණය. මෙම කාර්යයන් නව කණ්ඩායම්වල කණ්ඩායම් නායකයින් විසින් සකස් කරන ලදී.

අදියර 5. සූරාකෑම.

දුරස්ථ ප්රවේශය

සංවර්ධන කණ්ඩායම් පරිපථය සමඟ වැඩ කිරීමේදී උපරිම නම්‍යශීලී බවක් ඉල්ලා සිටි අතර පුද්ගලික ලැප්ටොප් පරිගණක වලින් දුරස්ථ ප්‍රවේශය සඳහා අවශ්‍යතාවය ව්‍යාපෘතියේ ආරම්භයේදීම මතු විය. බැංකුවට දැනටමත් දුරස්ථ ප්‍රවේශය තිබූ නමුත් එය සංවර්ධකයින් සඳහා සුදුසු නොවේ. කාරණය නම්, මෙම යෝජනා ක්‍රමය ආරක්ෂිත VDI වෙත පරිශීලකයාගේ සම්බන්ධතාවය භාවිතා කර ඇත. තම සේවා ස්ථානයේ තැපෑල සහ කාර්යාල පැකේජයක් පමණක් අවශ්‍ය අයට මෙය සුදුසු විය. සංවර්ධකයින්ට විශාල ගනුදෙනුකරුවන්, ඉහළ කාර්ය සාධනයක්, සම්පත් රාශියක් අවශ්‍ය වේ. ඇත්ත වශයෙන්ම, VStudio (උදාහරණයක් ලෙස) හෝ වෙනත් SDK සමඟ වැඩ කරන අය සඳහා පරිශීලක සැසිය අහිමි වීම පිළිගත නොහැකි බැවින්, ඔවුන් ස්ථිතික විය යුතුය. සියලුම සංවර්ධන කණ්ඩායම් සඳහා ඝන ස්ථිතික VDI විශාල සංඛ්‍යාවක් සංවිධානය කිරීම දැනට පවතින VDI විසඳුමේ පිරිවැය බෙහෙවින් වැඩි කළේය.

සංවර්ධන අංශයේ සම්පත් වෙත සෘජුවම දුරස්ථ ප්රවේශය මත වැඩ කිරීමට අපි තීරණය කළා. Jira, Wiki, Gitlab, Nexus, බංකු තැනීම සහ පරීක්ෂා කිරීම, අතථ්‍ය යටිතල පහසුකම්. ප්‍රවේශය සැපයිය හැක්කේ පහත කරුණු වලට යටත්ව පමණක් බව ආරක්ෂකයින් ඉල්ලා ඇත:

  1. බැංකුවේ දැනටමත් පවතින තාක්ෂණයන් භාවිතා කිරීම.
  2. යටිතල පහසුකම් නිෂ්පාදන ගිණුම් වස්තූන් පිළිබඳ වාර්තා ගබඩා කරන පවතින වසම් පාලක භාවිතා නොකළ යුතුය.
  3. ප්‍රවේශය නිශ්චිත කණ්ඩායමකට අවශ්‍ය සම්පත් වලට පමණක් සීමා විය යුතුය (එමගින් එක් නිෂ්පාදන කණ්ඩායමකට තවත් කණ්ඩායමක සම්පත් වෙත ප්‍රවේශ විය නොහැක).
  4. පද්ධති තුළ RBAC මත උපරිම පාලනය.

එහි ප්‍රතිඵලයක් ලෙස මෙම කොටස සඳහා වෙනම වසමක් නිර්මාණය විය. මෙම වසම පරිශීලක අක්තපත්‍ර සහ යටිතල පහසුකම් යන දෙඅංශයෙන්ම සියලුම සංවර්ධන අංශ සම්පත් ගබඩා කර ඇත. මෙම වසමේ වාර්තා වල ජීවන චක්‍රය කළමනාකරණය කරනු ලබන්නේ බැංකුවේ පවතින IdM භාවිතා කරමිනි.

බැංකුවේ පවතින උපකරණවල පදනම මත සෘජු දුරස්ථ ප්රවේශය සංවිධානය කරන ලදී. ප්‍රවේශ පාලනය AD කණ්ඩායම්වලට බෙදා ඇති අතර, සන්දර්භයන් පිළිබඳ නීති අනුරූප වන (එක් නිෂ්පාදන කණ්ඩායමක් = එක් නීති සමූහයක්).

VM සැකිලි කළමනාකරණය

එකලස් කිරීමේ සහ පරීක්ෂණ ලූපයක් නිර්මාණය කිරීමේ වේගය සංවර්ධන ඒකකයේ ප්‍රධානියා විසින් සකස් කරන ලද ප්‍රධාන KPI වලින් එකකි, මන්ද පරිසරය සකස් කිරීමේ වේගය නල මාර්ගයේ සමස්ත ක්‍රියාත්මක කිරීමේ කාලයට කෙලින්ම බලපායි. මූලික VM රූප සැකසීම සඳහා විකල්ප දෙකක් සලකා බලන ලදී. පළමුවැන්න නම් අවම රූප ප්‍රමාණයන්, සියලුම පද්ධති නිෂ්පාදන සඳහා පෙරනිමිය, බැංකුවේ සිටුවම් ප්‍රතිපත්ති සමඟ උපරිම අනුකූලතාවයි. දෙවැන්න නම්, සවිකර ඇති අධික බර POPPO අඩංගු මූලික රූපයකි, එහි ස්ථාපන කාලය නල මාර්ගයේ ක්‍රියාත්මක වීමේ වේගයට බෙහෙවින් බලපෑ හැකිය.

සංවර්ධනය අතරතුර යටිතල පහසුකම් සහ ආරක්ෂක අවශ්‍යතා ද සැලකිල්ලට ගන්නා ලදී - පින්තූර යාවත්කාලීනව තබා ගැනීම (පැච්, ආදිය), SIEM සමඟ ඒකාබද්ධ කිරීම, බැංකු ප්‍රමිතීන්ට අනුව ආරක්ෂක සැකසුම්.

එහි ප්රතිඵලයක් වශයෙන්, ඒවා යාවත්කාලීනව තබාගැනීමේ පිරිවැය අවම කිරීම සඳහා අවම පින්තූර භාවිතා කිරීමට තීරණය විය. POPPO හි නව අනුවාද සඳහා සෑම රූපයක්ම පැච් කිරීමට වඩා මූලික OS යාවත්කාලීන කිරීම වඩාත් පහසු වේ.

ප්‍රතිපල මත පදනම්ව, අවශ්‍ය අවම මෙහෙයුම් පද්ධති කට්ටලයේ ලැයිස්තුවක් සාදන ලදී, එය යාවත්කාලීන කිරීම මෙහෙයුම් කණ්ඩායම විසින් සිදු කරනු ලබන අතර, මෘදුකාංගය යාවත්කාලීන කිරීම සඳහා නල මාර්ගයේ ස්ක්‍රිප්ට් සම්පූර්ණයෙන්ම වගකිව යුතු අතර, අවශ්‍ය නම්, අනුවාදය වෙනස් කරන්න. ස්ථාපිත මෘදුකාංගයේ - අවශ්‍ය ටැගය නල මාර්ගයට මාරු කරන්න. ඔව්, මේ සඳහා devops නිෂ්පාදන කණ්ඩායමට වඩාත් සංකීර්ණ යෙදවුම් අවස්ථා තිබීම අවශ්‍ය වේ, නමුත් එය මූලික රූප සඳහා සහය දැක්වීමට අවශ්‍ය මෙහෙයුම් කාලය බෙහෙවින් අඩු කරයි, එසේ නොමැති නම් නඩත්තු කිරීමට මූලික VM රූප සියයකට වඩා අවශ්‍ය විය හැකිය.

අන්තර්ජාලයට පිවිසීම

බැංකු ආරක්ෂණය සමඟ ඇති තවත් බාධාවක් වූයේ සංවර්ධන පරිසරයෙන් අන්තර්ජාල සම්පත් වෙත ප්රවේශ වීමයි. එපමණක් නොව, මෙම ප්රවේශය කාණ්ඩ දෙකකට බෙදිය හැකිය:

  1. යටිතල පහසුකම් ප්රවේශය.
  2. සංවර්ධක ප්රවේශය.

Nexus සමඟ බාහිර ගබඩාවන් ප්‍රොක්සි කිරීම මගින් යටිතල පහසුකම් ප්‍රවේශය සංවිධානය කරන ලදී. එනම්, අතථ්‍ය යන්ත්‍රවලින් සෘජු ප්‍රවේශය ලබා දී නැත. මෙමගින් තොරතුරු ආරක්‍ෂාව සමග සම්මුතියකට එළැඹීමට හැකි වූ අතර, එය සංවර්ධන අංශයෙන් බාහිර ලෝකයට කිසියම් ප්‍රවේශයක් ලබාදීමට නිශ්චිතවම විරුද්ධ විය.

සංවර්ධකයින්ට පැහැදිලි හේතූන් මත අන්තර්ජාලයට ප්‍රවේශය අවශ්‍ය විය (stackoverflow). ඉහත සඳහන් කළ පරිදි සියලුම විධානයන් පරිපථයට දුරස්ථ ප්‍රවේශයක් තිබුණද, ඔබට IDE හි බැංකුවේ සංවර්ධකයාගේ සේවා ස්ථානයෙන් ctrl+v කළ නොහැකි විට එය සැමවිටම පහසු නොවේ.

IS සමඟ එකඟතාවයකට එළැඹුණේ, පරීක්ෂණ අදියරේදී, සුදු ලැයිස්තුවක් මත පදනම් වූ බැංකු ප්‍රොක්සියක් හරහා ප්‍රවේශය ලබා දෙන බවයි. ව්යාපෘතිය අවසන් වූ පසු, ප්රවේශය කළු ලැයිස්තුවට මාරු කරනු ලැබේ. ව්‍යාපෘතිය ආරම්භයේදී ප්‍රවේශය අවශ්‍ය වූ ප්‍රධාන සම්පත් සහ ගබඩාවන් පෙන්නුම් කරන විශාල ප්‍රවේශ වගු සකස් කරන ලදී. මෙම ප්‍රවේශයන් සම්බන්ධීකරණය කිරීම සඳහා සැලකිය යුතු කාලයක් ගත වූ අතර එමඟින් අසාදු ලේඛන වෙත වේගවත්ම සංක්‍රාන්තිය අවධාරනය කිරීමට හැකි විය.

ප්රතිඵල

ව්‍යාපෘතිය අවසන් වූයේ වසරකටත් අඩු කාලයකට පෙරය. පුදුමයට කරුණක් නම්, සියලුම කොන්ත්‍රාත්කරුවන් නියමිත වේලාවට නව තොගයට මාරු වූ අතර නව ස්වයංක්‍රීයකරණය හේතුවෙන් කිසිවෙකු පිටව ගියේ නැත. ධනාත්මක ප්‍රතිපෝෂණ බෙදා ගැනීමට IB ඉක්මන් නොවේ, නමුත් පැමිණිලි නොකරයි, එයින් ඔවුන් එයට කැමති බව අපට නිගමනය කළ හැකිය. තොරතුරු ආරක්‍ෂාව නැවතත් පාලනය වන බවක් හැඟෙන නමුත් සංවර්ධන ක්‍රියාවලීන්ට බාධාවක් නොවන නිසා ගැටුම් සමනය වී ඇත. කණ්ඩායම්වලට වැඩි වගකීමක් ලබා දී ඇති අතර, තොරතුරු ආරක්ෂාව පිළිබඳ සමස්ත ආකල්පය වඩා හොඳ විය. DevSecOps වෙත මාරුවීම පාහේ නොවැළැක්විය හැකි බව බැංකුව තේරුම් ගත් අතර, එය මගේ මතය අනුව, වඩාත් මෘදු හා නිවැරදි ආකාරයෙන් සිදු කළේය.

ඇලෙක්සැන්ඩර් ෂුබින්, පද්ධති ගෘහ නිර්මාණ ශිල්පියා.

මූලාශ්රය: www.habr.com

අදහස් එක් කරන්න