Är det svårt att skapa en virtuell maskin (VM) i molnet? Inte svårare än att göra te. Men när det kommer till ett stort företag kan även en sådan enkel åtgärd visa sig vara smärtsamt lång. Det räcker inte att skapa en virtuell maskin, du måste också få nödvändig tillgång för att arbeta i enlighet med alla regler. En välbekant smärta för varje utvecklare? I en stor bank tog denna procedur från flera timmar till flera dagar. Och eftersom det förekom hundratals liknande operationer per månad är det lätt att föreställa sig omfattningen av detta arbetskrävande system. För att sätta stopp för detta moderniserade vi bankens privata moln och automatiserade inte bara processen att skapa virtuella datorer, utan även relaterade operationer.
Uppgift nr 1. Moln med Internetanslutning
Banken skapade ett privat moln med hjälp av sitt interna IT-team för ett enda segment av nätverket. Med tiden uppskattade ledningen dess fördelar och beslutade att utöka konceptet med privata moln till andra miljöer och segment av banken. Detta krävde fler specialister och stark expertis inom privata moln. Därför fick vårt team förtroendet att modernisera molnet.
Huvudströmmen i detta projekt var skapandet av virtuella maskiner i ett ytterligare segment av informationssäkerhet - i den demilitariserade zonen (DMZ). Det är här bankens tjänster integreras med externa system utanför bankinfrastrukturen.
Men den här medaljen hade också en baksida. Tjänster från DMZ var tillgängliga "utanför" och detta innebar en hel uppsättning informationssäkerhetsrisker. Först och främst är detta hotet från hackningssystem, efterföljande expansion av attackfältet i DMZ och sedan penetration in i bankens infrastruktur. För att minimera några av dessa risker föreslog vi att man skulle använda ytterligare en säkerhetsåtgärd - en mikrosegmenteringslösning.
Mikrosegmenteringsskydd
Klassisk segmentering bygger skyddade gränser vid gränserna för nätverk med hjälp av en brandvägg. Med mikrosegmentering kan varje enskild virtuell dator separeras i ett personligt, isolerat segment.
Detta ökar säkerheten för hela systemet. Även om angripare hackar en DMZ-server kommer det att vara extremt svårt för dem att sprida attacken över nätverket - de kommer att behöva bryta sig igenom många "låsta dörrar" inom nätverket. Den personliga brandväggen för varje virtuell dator innehåller sina egna regler angående den, som bestämmer rätten att gå in och ut. Vi tillhandahöll mikrosegmentering med VMware NSX-T Distributed Firewall. Denna produkt skapar centralt brandväggsregler för virtuella datorer och distribuerar dem över virtualiseringsinfrastrukturen. Det spelar ingen roll vilket gäst-OS som används, regeln tillämpas på nivån för att ansluta virtuella maskiner till nätverket.
Problem N2. På jakt efter snabbhet och bekvämlighet
Installera en virtuell maskin? Lätt! Ett par klick och du är klar. Men då uppstår många frågor: hur får man tillgång från denna virtuella dator till en annan eller ett annat system? Eller från ett annat system tillbaka till den virtuella datorn?
Till exempel, i en bank, efter att ha beställt en virtuell dator på molnportalen, var det nödvändigt att öppna den tekniska supportportalen och skicka in en begäran om tillhandahållande av nödvändig åtkomst. Ett fel i applikationen resulterade i samtal och korrespondens för att rätta till situationen. Samtidigt kan en virtuell dator ha 10-15-20 åtkomster och bearbetningen av var och en tog tid. Djävulens process.
Dessutom krävde särskild omsorg att "städa upp" spår av livsaktiviteten hos virtuella fjärrmaskiner. Efter att de togs bort fanns tusentals åtkomstregler kvar på brandväggen och laddade utrustningen. Detta är både en extra börda och säkerhetshål.
Du kan inte göra detta med regler i molnet. Det är obekvämt och osäkert.
För att minimera tiden det tar att ge åtkomst till virtuella datorer och göra det bekvämt att hantera dem har vi utvecklat en hanteringstjänst för nätverksåtkomst för virtuella datorer.
Användaren på den virtuella maskinnivån i snabbmenyn väljer ett objekt för att skapa en åtkomstregel och anger sedan parametrarna i formuläret som öppnas - varifrån, var, protokolltyper, portnummer. Efter att ha fyllt i och skickat formuläret skapas de nödvändiga biljetterna automatiskt i användarens tekniska supportsystem baserat på HP Service Manager. De ansvarar för att godkänna den eller den åtkomsten och, om åtkomsten godkänns, för specialister som utför en del av de operationer som ännu inte är automatiserade.
Efter att steget i affärsprocessen med specialister har fungerat, börjar den del av tjänsten som automatiskt skapar regler för brandväggar.
Som sista ackord ser användaren en framgångsrikt genomförd begäran på portalen. Det betyder att regeln har skapats och du kan arbeta med den - visa, ändra, ta bort.
Slutresultat av förmåner
I huvudsak moderniserade vi små aspekter av det privata molnet, men banken fick en märkbar effekt. Användare får nu nätverksåtkomst endast via portalen, utan att direkt kontakta Service Desk. Obligatoriska formulärfält, deras validering för riktigheten av de angivna uppgifterna, förkonfigurerade listor, ytterligare data - allt detta hjälper till att formulera en korrekt åtkomstbegäran, som med en hög grad av sannolikhet kommer att beaktas och inte avvisas av informationssäkerhetsanställda pga. för att mata in fel. Virtuella maskiner är inte längre svarta lådor – du kan fortsätta att arbeta med dem genom att göra ändringar på portalen.
Som ett resultat har idag bankens IT-specialister till sitt förfogande ett bekvämare verktyg för att få tillgång, och endast de personer är involverade i processen, utan vilka de definitivt inte kan klara sig utan. Totalt sett, i termer av arbetskostnader, är detta en frigörelse från den dagliga fulla lasten på minst 1 person, samt dussintals sparade timmar för användarna. Automatisering av regelskapande gjorde det möjligt att implementera en mikrosegmenteringslösning som inte skapar en börda för bankanställda.
Och slutligen blev "åtkomstregeln" molnets redovisningsenhet. Det vill säga, nu lagrar molnet information om reglerna för alla virtuella datorer och rensar upp dem när virtuella maskiner raderas.
Snart kommer fördelarna med modernisering att spridas till hela bankens moln. Automatisering av VM-skapandeprocessen och mikrosegmentering har gått bortom DMZ och fångat andra segment. Och detta ökade säkerheten för molnet som helhet.
Den implementerade lösningen är också intressant genom att den gör det möjligt för banken att påskynda utvecklingsprocesser och föra den närmare IT-företagens modell enligt detta kriterium. När allt kommer omkring, när det kommer till mobila applikationer, portaler och kundtjänster, strävar alla stora företag idag efter att bli en "fabrik" för produktion av digitala produkter. I denna mening spelar banker praktiskt taget i paritet med de starkaste IT-företagen och hänger med i skapandet av nya applikationer. Och det är bra när kapaciteten hos en IT-infrastruktur byggd på en privat molnmodell tillåter dig att allokera nödvändiga resurser för detta på några minuter och så säkert som möjligt.
Författare:
Vyacheslav Medvedev, chef för Cloud Computing Department, Jet Infosystems,
Ilya Kuikin, ledande ingenjör på molnberäkningsavdelningen på Jet Infosystems
Källa: will.com