Да ли је тешко направити виртуелну машину (ВМ) у облаку? Ништа теже од прављења чаја. Али када је у питању велика корпорација, чак и тако једноставна акција може се показати болно дугом. Није довољно направити виртуелну машину, потребно је и да добијете неопходан приступ за рад у складу са свим прописима. Позната бол за сваког програмера? У једној великој банци овај поступак је трајао од неколико сати до неколико дана. А пошто је било на стотине сличних операција месечно, лако је замислити размере ове шеме која захтева рад. Да бисмо томе ставили тачку, модернизовали смо приватни облак банке и аутоматизовали не само процес креирања ВМ-а, већ и повезане операције.
Задатак бр.1. Облак са интернет везом
Банка је креирала приватни облак користећи свој интерни ИТ тим за један сегмент мреже. Временом је менаџмент ценио његове предности и одлучио да прошири концепт приватног облака на друга окружења и сегменте банке. Ово је захтевало више стручњака и јаку стручност у приватним облацима. Стога је нашем тиму поверена модернизација облака.
Главни ток овог пројекта било је стварање виртуелних машина у додатном сегменту информационе безбедности – у демилитаризованој зони (ДМЗ). Овде су услуге банке интегрисане са екстерним системима који се налазе ван банкарске инфраструктуре.
Али ова медаља је имала и другу страну. Услуге из ДМЗ-а биле су доступне „споља“ и то је подразумевало читав низ ризика за безбедност информација. Пре свега, то је претња хаковањем система, накнадно ширење поља напада у ДМЗ, а затим продор у инфраструктуру банке. Да бисмо минимизирали неке од ових ризика, предложили смо коришћење додатне мере безбедности - решења за микросегментацију.
Заштита од микросегментације
Класична сегментација гради заштићене границе на границама мрежа користећи заштитни зид. Са микросегментацијом, сваки појединачни ВМ може бити одвојен у лични, изоловани сегмент.
Ово повећава сигурност читавог система. Чак и ако нападачи хакују један ДМЗ сервер, биће им изузетно тешко да прошире напад широм мреже – мораће да пробију многа „закључана врата“ унутар мреже. Лични заштитни зид сваке ВМ садржи своја правила у вези са њим, која одређују право на улазак и излазак. Ми смо обезбедили микро-сегментацију користећи ВМваре НСКС-Т дистрибуирани заштитни зид. Овај производ централно креира правила заштитног зида за ВМ и дистрибуира их кроз инфраструктуру виртуелизације. Није битно који ОС за госте се користи, правило се примењује на нивоу повезивања виртуелних машина на мрежу.
Проблем Н2. У потрази за брзином и удобношћу
Да примените виртуелну машину? Лако! Пар кликова и готови сте. Али онда се постављају многа питања: како добити приступ са овог ВМ-а другом или систему? Или са другог система назад на ВМ?
На пример, у банци је након наручивања ВМ-а на клауд порталу било потребно отворити портал техничке подршке и поднети захтев за обезбеђивање потребног приступа. Грешка у апликацији резултирала је позивима и преписком да се ситуација исправи. Истовремено, ВМ може имати 10-15-20 приступа и обрада сваког од њих је трајала. Ђавољи процес.
Поред тога, „чишћење“ трагова животне активности удаљених виртуелних машина захтевало је посебну пажњу. Након што су уклоњени, хиљаде правила приступа остало је на заштитном зиду, учитавајући опрему. Ово је и додатни терет и безбедносне рупе.
Не можете то да урадите са правилима у облаку. То је незгодно и несигурно.
Да бисмо минимизирали време које је потребно за обезбеђивање приступа ВМ-овима и учинили једноставнијим управљање њима, развили смо услугу управљања мрежним приступом за ВМ.
Корисник на нивоу виртуелне машине у контекстуалном менију бира ставку за креирање правила приступа, а затим у форми која се отвара наводи параметре – одакле, где, типови протокола, бројеви портова. Након попуњавања и подношења обрасца, потребне тикете се аутоматски креирају у систему техничке подршке корисника заснованом на ХП Сервице Манагер-у. Они су одговорни за одобравање овог или оног приступа и, ако је приступ одобрен, за специјалисте који обављају неке од операција које још нису аутоматизоване.
Након што проради фаза пословног процеса у којој су укључени стручњаци, почиње део услуге који аутоматски креира правила на заштитним зидовима.
Као завршни акорд, корисник види успешно завршен захтев на порталу. То значи да је правило направљено и да можете да радите са њим - прегледајте, промените, избришите.
Коначна оцена користи
У суштини, модернизовали смо мале аспекте приватног облака, али је банка добила приметан ефекат. Корисници сада добијају приступ мрежи само преко портала, без директног контакта са Сервице Деск-ом. Обавезна поља обрасца, њихова валидација за исправност унетих података, унапред конфигурисане листе, додатни подаци - све ово помаже да се формулише тачан захтев за приступ, који ће са великим степеном вероватноће бити размотрен и неће бити одбијен од стране запослених у информационој безбедности због за грешке у уносу. Виртуелне машине више нису црне кутије—можете да наставите да радите са њима уносећи промене на порталу.
Као резултат тога, ИТ стручњаци банке данас имају на располагању погоднији алат за приступ, а у процес су укључени само они људи без којих дефинитивно не могу. Укупно, у смислу трошкова рада, ово је ослобађање од дневног пуног оптерећења од најмање 1 особе, као и десетине сати уштеђених за кориснике. Аутоматизација креирања правила омогућила је имплементацију решења микросегментације које не оптерећује запослене у банци.
И коначно, „правило приступа“ постало је обрачунска јединица облака. То јест, сада облак чува информације о правилима за све ВМ и чисти их када се виртуелне машине избришу.
Ускоро ће се предности модернизације проширити на цео облак банке. Аутоматизација процеса креирања ВМ-а и микро-сегментација превазишли су ДМЗ и захватили друге сегменте. А ово је повећало безбедност облака у целини.
Имплементирано решење је интересантно и по томе што омогућава банци да убрза развојне процесе, приближавајући је моделу ИТ компанија по овом критеријуму. На крају крајева, када су у питању мобилне апликације, портали и кориснички сервиси, свака велика компанија данас тежи да постане „фабрика“ за производњу дигиталних производа. У том смислу, банке се практично изједначавају са најјачим ИТ компанијама, држећи корак са креирањем нових апликација. И добро је када вам могућности ИТ инфраструктуре изграђене на моделу приватног облака омогућавају да доделите неопходне ресурсе за ово за неколико минута и што је безбедније могуће.
Аутори:
Вјачеслав Медведев, шеф одељења за рачунарство у облаку, Јет Инфосистемс,
Иља Куикин, водећи инжењер одељења за рачунарство у облаку компаније Јет Инфосистемс
Извор: ввв.хабр.цом