Ali je težko ustvariti virtualni stroj (VM) v oblaku? Nič težje kot kuhanje čaja. Ko pa gre za veliko korporacijo, se lahko še tako preprosto dejanje izkaže za boleče dolgotrajno. Ni dovolj, da ustvarite virtualni stroj, pridobiti morate tudi potreben dostop za delo v skladu z vsemi predpisi. Znana bolečina za vsakega razvijalca? V eni večji banki je ta postopek trajal od nekaj ur do nekaj dni. In ker je bilo na stotine podobnih operacij na mesec, si je enostavno predstavljati obseg te delovno porabe sheme. Da bi temu naredili konec, smo posodobili zasebni oblak banke in avtomatizirali ne le proces ustvarjanja virtualnih strojev, temveč tudi s tem povezane operacije.
Naloga št. 1. Oblak z internetno povezavo
Banka je ustvarila zasebni oblak s svojo interno IT ekipo za en sam segment omrežja. Sčasoma je vodstvo ocenilo njegove prednosti in se odločilo razširiti koncept zasebnega oblaka tudi na druga okolja in segmente banke. To je zahtevalo več strokovnjakov in močno strokovno znanje na področju zasebnih oblakov. Zato je bila naši ekipi zaupana posodobitev oblaka.
Glavni tok tega projekta je bila izdelava virtualnih strojev v dodatnem segmentu informacijske varnosti – v demilitariziranem območju (DMZ). Tu so storitve banke integrirane z zunanjimi sistemi, ki se nahajajo izven bančne infrastrukture.
Toda ta medalja je imela tudi drugo stran. Storitve iz DMZ so bile na voljo »zunaj«, kar je pomenilo cel niz informacijsko varnostnih tveganj. Najprej je to grožnja hekerskih sistemov, poznejša širitev polja napada v DMZ in nato prodor v infrastrukturo banke. Da bi zmanjšali nekatera od teh tveganj, smo predlagali uporabo dodatnega varnostnega ukrepa – rešitve mikrosegmentacije.
Zaščita pred mikrosegmentacijo
Klasična segmentacija gradi zaščitene meje na mejah omrežij s pomočjo požarnega zidu. Z mikrosegmentacijo je mogoče vsak posamezen VM ločiti v osebni, izolirani segment.
To poveča varnost celotnega sistema. Tudi če napadalci vdrejo v en strežnik DMZ, bodo izjemno težko razširili napad po omrežju - morali bodo prebiti številna "zaklenjena vrata" znotraj omrežja. Osebni požarni zid vsakega VM vsebuje svoja pravila glede njega, ki določajo pravico do vstopa in izstopa. Zagotovili smo mikrosegmentacijo z uporabo porazdeljenega požarnega zidu VMware NSX-T. Ta izdelek centralno ustvari pravila požarnega zidu za VM in jih razdeli po infrastrukturi virtualizacije. Ni pomembno, kateri gostujoči OS se uporablja, pravilo velja na ravni povezovanja virtualnih strojev v omrežje.
Problem N2. V iskanju hitrosti in udobja
Namestite virtualni stroj? Enostavno! Nekaj klikov in končali ste. Toda potem se pojavi veliko vprašanj: kako pridobiti dostop iz tega VM do drugega ali sistema? Ali iz drugega sistema nazaj v VM?
Na primer, v banki je bilo treba po naročilu VM na portalu v oblaku odpreti portal tehnične podpore in oddati zahtevo za zagotovitev potrebnega dostopa. Napaka v aplikaciji je povzročila klice in dopisovanje, da bi popravili situacijo. Hkrati ima lahko VM 10-15-20 dostopov in obdelava vsakega je trajala nekaj časa. Hudičev proces.
Poleg tega je "čiščenje" sledi življenjske aktivnosti oddaljenih virtualnih strojev zahtevalo posebno skrb. Ko so bila odstranjena, je na požarnem zidu ostalo na tisoče pravil dostopa, ki so nalagala opremo. To je hkrati dodatno breme in varnostna luknja.
Tega ne morete storiti s pravili v oblaku. To je neprijetno in nevarno.
Da bi zmanjšali čas, ki je potreben za zagotavljanje dostopa do navideznih strojev, in olajšali njihovo upravljanje, smo razvili storitev upravljanja omrežnega dostopa za navidezne stroje.
Uporabnik na ravni navideznega stroja v kontekstnem meniju izbere element za ustvarjanje pravila dostopa, nato pa v obrazcu, ki se odpre, določi parametre - od kje, kje, vrste protokolov, številke vrat. Po izpolnitvi in oddaji obrazca se v sistemu za tehnično podporo uporabnikom, ki temelji na HP Service Managerju, avtomatsko ustvarijo potrebne vstopnice. Odgovorni so za odobritev tega ali onega dostopa in, če je dostop odobren, za strokovnjake, ki izvajajo nekatere operacije, ki še niso avtomatizirane.
Ko je stopnja poslovnega procesa, ki vključuje strokovnjake, delovala, se začne del storitve, ki samodejno ustvarja pravila na požarnih zidovih.
Kot zadnji akord uporabnik na portalu vidi uspešno izpolnjeno zahtevo. To pomeni, da je pravilo ustvarjeno in z njim lahko delate – ogledujete, spreminjate, brišete.
Končna ocena ugodnosti
V bistvu smo posodobili majhne vidike zasebnega oblaka, vendar je banka dobila opazen učinek. Uporabniki zdaj dobijo dostop do omrežja le prek portala, brez neposrednega stika s servisno službo. Obvezna polja v obrazcu, njihova validacija za pravilnost vnesenih podatkov, prednastavljeni seznami, dodatni podatki - vse to pomaga oblikovati natančno zahtevo za dostop, ki jo bodo zaposleni na področju informacijske varnosti z veliko verjetnostjo upoštevali in ne zavrnili. za vnašanje napak. Navidezni stroji niso več črne skrinjice – z njimi lahko še naprej delate tako, da naredite spremembe na portalu.
Posledično imajo bančni IT strokovnjaki danes na voljo bolj priročno orodje za dostop, v proces pa so vključeni samo tisti ljudje, brez katerih zagotovo ne morejo. Skupaj, glede na stroške dela, je to sprostitev dnevne polne obremenitve vsaj 1 osebe, pa tudi več deset prihranjenih ur za uporabnike. Avtomatizacija kreiranja pravil je omogočila implementacijo rešitve mikrosegmentacije, ki ne obremenjuje bančnih uslužbencev.
In končno je »pravilo dostopa« postalo obračunska enota oblaka. To pomeni, da zdaj oblak shranjuje informacije o pravilih za vse navidezne stroje in jih čisti, ko so virtualni stroji izbrisani.
Kmalu se bodo prednosti posodobitve razširile na celoten bančni oblak. Avtomatizacija procesa ustvarjanja VM in mikrosegmentacija sta presegla DMZ in zajela druge segmente. In to je povečalo varnost oblaka kot celote.
Implementirana rešitev je zanimiva tudi v tem, da banki omogoča pospešitev razvojnih procesov in se po tem kriteriju približuje modelu IT podjetij. Konec koncev, ko gre za mobilne aplikacije, portale in storitve za stranke, si vsako veliko podjetje danes prizadeva postati »tovarna« za proizvodnjo digitalnih izdelkov. V tem smislu se banke tako rekoč izenačujejo z najmočnejšimi IT podjetji, ki sledijo ustvarjanju novih aplikacij. In dobro je, če vam zmogljivosti IT infrastrukture, zgrajene na modelu zasebnega oblaka, omogočajo, da v nekaj minutah in čim bolj varno dodelite potrebna sredstva za to.
Avtorji:
Vjačeslav Medvedev, vodja oddelka za računalništvo v oblaku, Jet Infosystems,
Ilya Kuikin, vodilni inženir oddelka za računalništvo v oblaku družbe Jet Infosystems
Vir: www.habr.com