A është e vështirë të krijosh një makinë virtuale (VM) në cloud? Jo më e vështirë sesa të bësh çaj. Por kur bëhet fjalë për një korporatë të madhe, edhe një veprim kaq i thjeshtë mund të rezultojë të jetë shumë i gjatë. Nuk mjafton të krijosh një makinë virtuale; gjithashtu duhet të marrësh aksesin e nevojshëm për të punuar në përputhje me të gjitha rregulloret. Një dhimbje e njohur për çdo zhvillues? Në një bankë të madhe, kjo procedurë zgjati nga disa orë në disa ditë. Dhe duke qenë se kishte qindra operacione të ngjashme në muaj, është e lehtë të imagjinohet shkalla e kësaj skeme që kërkon punë. Për t'i dhënë fund kësaj, ne modernizuam renë private të bankës dhe automatizuam jo vetëm procesin e krijimit të VM-ve, por edhe operacionet përkatëse.
Detyra nr. 1. Cloud me lidhje interneti
Banka krijoi një re private duke përdorur ekipin e saj të brendshëm IT për një segment të vetëm të rrjetit. Me kalimin e kohës, menaxhmenti vlerësoi përfitimet e tij dhe vendosi të zgjerojë konceptin e cloud privat në mjedise dhe segmente të tjera të bankës. Kjo kërkonte më shumë specialistë dhe ekspertizë të fortë në retë private. Prandaj, ekipit tonë iu besua modernizimi i cloud.
Rryma kryesore e këtij projekti ishte krijimi i makinave virtuale në një segment shtesë të sigurisë së informacionit - në zonën e demilitarizuar (DMZ). Këtu integrohen shërbimet e bankës me sistemet e jashtme të vendosura jashtë infrastrukturës bankare.
Por kjo medalje kishte edhe një anë tjetër. Shërbimet nga DMZ ishin të disponueshme "jashtë" dhe kjo përfshinte një sërë rreziqesh të sigurisë së informacionit. Para së gjithash, ky është kërcënimi i sistemeve të hakerimit, zgjerimi i mëvonshëm i fushës së sulmit në DMZ dhe më pas depërtimi në infrastrukturën e bankës. Për të minimizuar disa nga këto rreziqe, ne propozuam përdorimin e një mase sigurie shtesë - një zgjidhje mikro-segmentimi.
Mbrojtja nga mikro-segmentimi
Segmentimi klasik ndërton kufij të mbrojtur në kufijtë e rrjeteve duke përdorur një mur zjarri. Me mikrosegmentim, çdo VM individual mund të ndahet në një segment personal, të izoluar.
Kjo rrit sigurinë e të gjithë sistemit. Edhe nëse sulmuesit hakojnë një server DMZ, do të jetë jashtëzakonisht e vështirë për ta që të përhapin sulmin në të gjithë rrjetin - ata do të duhet të depërtojnë nëpër shumë "dyer të mbyllura" brenda rrjetit. Firewall-i personal i çdo VM përmban rregullat e veta në lidhje me të, të cilat përcaktojnë të drejtën e hyrjes dhe daljes. Ne siguruam mikro-segmentim duke përdorur VMware NSX-T Distributed Firewall. Ky produkt krijon në mënyrë qendrore rregullat e murit të zjarrit për VM-të dhe i shpërndan ato nëpër infrastrukturën e virtualizimit. Nuk ka rëndësi se cili OS i ftuar përdoret, rregulli zbatohet në nivelin e lidhjes së makinave virtuale në rrjet.
Problemi N2. Në kërkim të shpejtësisë dhe komoditetit
Të vendoset një makinë virtuale? Lehtë! Disa klikime dhe keni mbaruar. Por atëherë lindin shumë pyetje: si të merrni akses nga kjo VM në një tjetër ose sistem? Apo nga një sistem tjetër përsëri në VM?
Për shembull, në një bankë, pas porositjes së një VM në portalin cloud, ishte e nevojshme të hapej portali i mbështetjes teknike dhe të paraqitej një kërkesë për sigurimin e aksesit të nevojshëm. Një gabim në aplikim rezultoi në thirrje dhe korrespondencë për të korrigjuar situatën. Në të njëjtën kohë, një VM mund të ketë 10-15-20 aksese dhe përpunimi i secilës kërkon kohë. Procesi i djallit.
Për më tepër, "pastrimi" i gjurmëve të aktivitetit jetësor të makinave virtuale të largëta kërkonte kujdes të veçantë. Pasi u hoqën, mijëra rregulla aksesi mbetën në murin e zjarrit, duke ngarkuar pajisjet. Kjo është njëkohësisht një barrë shtesë dhe vrima sigurie.
Ju nuk mund ta bëni këtë me rregulla në re. Është e papërshtatshme dhe e pasigurt.
Për të minimizuar kohën që duhet për të ofruar akses në VM dhe për ta bërë të përshtatshëm menaxhimin e tyre, ne kemi zhvilluar një shërbim të menaxhimit të aksesit në rrjet për VM-të.
Përdoruesi në nivelin e makinës virtuale në menunë e kontekstit zgjedh një artikull për të krijuar një rregull aksesi, dhe më pas në formën që hapet specifikon parametrat - nga ku, ku, llojet e protokollit, numrat e portave. Pas plotësimit dhe dorëzimit të formularit, biletat e nevojshme krijohen automatikisht në sistemin e mbështetjes teknike të përdoruesit bazuar në HP Service Manager. Ata janë përgjegjës për miratimin e këtij apo atij aksesi dhe, nëse qasja miratohet, specialistëve që kryejnë disa nga operacionet që nuk janë ende të automatizuara.
Pasi të ketë funksionuar faza e procesit të biznesit që përfshin specialistë, fillon pjesa e shërbimit që krijon automatikisht rregullat për muret e zjarrit.
Si akord i fundit, përdoruesi sheh një kërkesë të përfunduar me sukses në portal. Kjo do të thotë që rregulli është krijuar dhe ju mund të punoni me të - shikoni, ndryshoni, fshini.
Rezultati përfundimtar i përfitimeve
Në thelb, ne modernizuam aspekte të vogla të resë private, por banka mori një efekt të dukshëm. Përdoruesit tani marrin akses në rrjet vetëm përmes portalit, pa u marrë drejtpërdrejt me Shërbimin Desk. Fushat e detyrueshme të formularit, vërtetimi i tyre për korrektësinë e të dhënave të futura, listat e para-konfiguruara, të dhënat shtesë - e gjithë kjo ndihmon në formulimin e një kërkese të saktë aksesi, e cila me një shkallë të lartë probabiliteti do të merret parasysh dhe nuk do të refuzohet nga punonjësit e sigurisë së informacionit për shkak të për të futur gabime. Makinat virtuale nuk janë më kuti të zeza—mund të vazhdoni të punoni me to duke bërë ndryshime në portal.
Si rezultat, sot specialistët e IT-së të bankës kanë në dispozicion një mjet më të përshtatshëm për të fituar akses dhe në proces janë të përfshirë vetëm ata njerëz, pa të cilët ata definitivisht nuk mund të bëjnë. Në total, për sa i përket kostove të punës, ky është një çlirim nga ngarkesa e plotë ditore e të paktën 1 personi, si dhe dhjetëra orë të kursyera për përdoruesit. Automatizimi i krijimit të rregullave bëri të mundur zbatimin e një zgjidhjeje mikro-segmentimi që nuk krijon barrë për punonjësit e bankës.
Dhe së fundi, "rregulli i aksesit" u bë njësia e kontabilitetit të cloud. Kjo do të thotë, tani cloud ruan informacione rreth rregullave për të gjitha VM-të dhe i pastron ato kur makinat virtuale fshihen.
Së shpejti përfitimet e modernizimit do të përhapen në të gjithë renë e bankës. Automatizimi i procesit të krijimit të VM-së dhe mikro-segmentimi kanë kaluar përtej DMZ dhe kanë kapur segmente të tjera. Dhe kjo rriti sigurinë e resë në tërësi.
Zgjidhja e implementuar është interesante edhe për faktin se i mundëson bankës të përshpejtojë proceset e zhvillimit, duke e afruar me modelin e kompanive të IT-së sipas këtij kriteri. Në fund të fundit, kur bëhet fjalë për aplikacionet celulare, portalet dhe shërbimet ndaj klientit, çdo kompani e madhe sot përpiqet të bëhet një “fabrikë” për prodhimin e produkteve dixhitale. Në këtë kuptim, bankat praktikisht luajnë në të njëjtin nivel me kompanitë më të forta të IT, duke ecur në hap me krijimin e aplikacioneve të reja. Dhe është mirë kur aftësitë e një infrastrukture IT të ndërtuar në një model privat cloud ju lejojnë të ndani burimet e nevojshme për këtë në pak minuta dhe sa më të sigurt që të jetë e mundur.
Autorët:
Vyacheslav Medvedev, Shef i Departamentit të Cloud Computing, Jet Infosystems,
Ilya Kuikin, inxhinier kryesor i departamentit të informatikës cloud të Jet Infosystems
Burimi: www.habr.com