Je ťažké vytvoriť virtuálny stroj (VM) v cloude? Nie je to o nič ťažšie ako príprava čaju. Ale keď ide o veľkú korporáciu, aj taká jednoduchá akcia sa môže ukázať ako bolestivo dlhá. Nestačí vytvoriť virtuálny stroj, musíte tiež získať potrebný prístup k práci v súlade so všetkými predpismi. Známa bolesť pre každého vývojára? V jednej veľkej banke tento postup trval od niekoľkých hodín až po niekoľko dní. A keďže podobných operácií boli stovky mesačne, je ľahké si predstaviť rozsah tejto schémy, ktorá je náročná na prácu. Aby sme to ukončili, zmodernizovali sme privátny cloud banky a zautomatizovali sme nielen proces vytvárania VM, ale aj súvisiace operácie.
Úloha č.1. Cloud s pripojením na internet
Banka vytvorila privátny cloud pomocou svojho interného IT tímu pre jeden segment siete. Postupom času manažment ocenil jeho výhody a rozhodol sa rozšíriť koncept privátneho cloudu aj do ďalších prostredí a segmentov banky. To si vyžadovalo viac špecialistov a silné odborné znalosti v oblasti súkromných cloudov. Preto bol náš tím poverený modernizáciou cloudu.
Hlavným prúdom tohto projektu bolo vytvorenie virtuálnych strojov v doplnkovom segmente informačnej bezpečnosti - v demilitarizovanej zóne (DMZ). Tu sú služby banky integrované s externými systémami umiestnenými mimo bankovej infraštruktúry.
Ale táto medaila mala aj odvrátenú stranu. Služby z DMZ boli dostupné „vonku“ a to so sebou prinášalo celý rad rizík informačnej bezpečnosti. V prvom rade je to hrozba hackerských systémov, následné rozšírenie útočného poľa v DMZ a následne prienik do infraštruktúry banky. Aby sme minimalizovali niektoré z týchto rizík, navrhli sme použiť dodatočné bezpečnostné opatrenie – mikrosegmentačné riešenie.
Ochrana proti mikrosegmentácii
Klasická segmentácia vytvára chránené hranice na hraniciach sietí pomocou firewallu. Pomocou mikrosegmentácie možno každý jednotlivý VM rozdeliť na osobný izolovaný segment.
To zvyšuje bezpečnosť celého systému. Aj keď útočníci hacknú jeden DMZ server, bude pre nich mimoriadne ťažké rozšíriť útok po sieti - budú musieť prelomiť veľa „zamknutých dverí“ v rámci siete. Personálny firewall každého VM obsahuje vlastné pravidlá týkajúce sa toho, ktoré určujú právo vstupu a výstupu. Poskytli sme mikrosegmentáciu pomocou VMware NSX-T Distributed Firewall. Tento produkt centrálne vytvára pravidlá brány firewall pre virtuálne počítače a distribuuje ich v rámci virtualizačnej infraštruktúry. Nezáleží na tom, ktorý hosťujúci OS sa používa, pravidlo sa uplatňuje na úrovni pripojenia virtuálnych strojov k sieti.
Problém N2. Pri hľadaní rýchlosti a pohodlia
Nasadiť virtuálny stroj? Jednoducho! Pár kliknutí a máte hotovo. Potom však vyvstáva veľa otázok: ako získať prístup z tohto VM do iného alebo systému? Alebo z iného systému späť na VM?
Napríklad v banke bolo potrebné po objednaní VM na cloudovom portáli otvoriť portál technickej podpory a podať žiadosť o poskytnutie potrebného prístupu. Chyba v aplikácii mala za následok telefonáty a korešpondenciu na nápravu situácie. Súčasne môže mať VM 10-15-20 prístupov a spracovanie každého z nich trvalo nejaký čas. Diablov proces.
Okrem toho „vyčistenie“ stôp po životnej aktivite vzdialených virtuálnych strojov si vyžadovalo osobitnú starostlivosť. Po ich odstránení zostali na firewalle tisíce prístupových pravidiel, ktoré načítali zariadenie. Ide o dodatočnú záťaž aj bezpečnostné diery.
S pravidlami v cloude to nemôžete urobiť. Je to nepohodlné a nebezpečné.
Aby sme minimalizovali čas potrebný na poskytnutie prístupu k virtuálnym počítačom a zjednodušili ich správu, vyvinuli sme službu správy sieťového prístupu pre virtuálne počítače.
Používateľ na úrovni virtuálneho počítača v kontextovej ponuke vyberie položku na vytvorenie pravidla prístupu a potom vo formulári, ktorý sa otvorí, špecifikuje parametre - odkiaľ, odkiaľ, typy protokolov, čísla portov. Po vyplnení a odoslaní formulára sa potrebné lístky automaticky vytvoria v systéme technickej podpory používateľov na báze HP Service Manager. Zodpovedajú za schvaľovanie toho či onoho prístupu a ak je prístup schválený, aj špecialistom, ktorí vykonávajú niektoré operácie, ktoré ešte nie sú automatizované.
Po odznení fázy obchodného procesu so špecialistami začína časť služby, ktorá automaticky vytvára pravidlá na firewalloch.
Ako záverečný akord sa používateľovi zobrazí úspešne dokončená požiadavka na portáli. To znamená, že pravidlo bolo vytvorené a môžete s ním pracovať – prezerať, meniť, mazať.
Konečné skóre výhod
V podstate sme zmodernizovali drobné aspekty privátneho cloudu, no banka zaznamenala citeľný efekt. Používatelia teraz dostávajú sieťový prístup iba cez portál bez priameho kontaktu so Service Desk. Povinné polia formulára, ich overenie správnosti zadaných údajov, predkonfigurované zoznamy, dodatočné údaje - to všetko pomáha sformulovať presnú požiadavku na prístup, ktorú s vysokou mierou pravdepodobnosti pracovníci informačnej bezpečnosti posúdia a neodmietnu z dôvodu na vstupné chyby. Virtuálne počítače už nie sú čierne skrinky – môžete s nimi naďalej pracovať vykonaním zmien na portáli.
Výsledkom je, že dnes majú IT špecialisti banky k dispozícii pohodlnejší nástroj na získanie prístupu a do procesu sú zapojení len tí ľudia, bez ktorých sa určite nezaobídu. Celkovo ide z hľadiska mzdových nákladov o oslobodenie od dennej plnej záťaže minimálne 1 osoby, ako aj o desiatky ušetrených hodín pre používateľov. Automatizácia tvorby pravidiel umožnila implementovať mikrosegmentačné riešenie, ktoré nezaťažuje zamestnancov banky.
A nakoniec sa „pravidlo prístupu“ stalo účtovnou jednotkou cloudu. To znamená, že teraz cloud ukladá informácie o pravidlách pre všetky virtuálne počítače a po odstránení virtuálnych počítačov ich vyčistí.
Čoskoro sa výhody modernizácie rozšíria do cloudu celej banky. Automatizácia procesu vytvárania VM a mikrosegmentácia sa posunula za hranice DMZ a zachytila ďalšie segmenty. A to zvýšilo bezpečnosť cloudu ako celku.
Implementované riešenie je zaujímavé aj tým, že banke umožňuje zrýchliť vývojové procesy, čím sa približuje k modelu IT spoločností podľa tohto kritéria. Koniec koncov, pokiaľ ide o mobilné aplikácie, portály a služby zákazníkom, každá veľká spoločnosť sa dnes snaží stať „továrňou“ na výrobu digitálnych produktov. V tomto zmysle sa banky prakticky vyrovnajú najsilnejším IT spoločnostiam a držia krok s tvorbou nových aplikácií. A je dobré, keď vám možnosti IT infraštruktúry vybudovanej na modeli privátneho cloudu umožňujú alokovať potrebné zdroje za pár minút a čo najbezpečnejšie.
Autori:
Vyacheslav Medvedev, vedúci oddelenia cloud computingu, Jet Infosystems,
Ilya Kuikin, vedúci inžinier oddelenia cloud computingu spoločnosti Jet Infosystems
Zdroj: hab.com