Ni ngumu kuunda mashine ya kawaida (VM) kwenye wingu? Sio ngumu zaidi kuliko kutengeneza chai. Lakini linapokuja suala la shirika kubwa, hata hatua rahisi kama hiyo inaweza kuwa ndefu sana. Haitoshi kuunda mashine pepe; unahitaji pia kupata ufikiaji muhimu wa kufanya kazi kwa mujibu wa kanuni zote. Je, ni maumivu yanayojulikana kwa kila msanidi programu? Katika benki moja kubwa, utaratibu huu ulichukua kutoka saa kadhaa hadi siku kadhaa. Na kwa kuwa kulikuwa na mamia ya shughuli kama hizo kwa mwezi, ni rahisi kufikiria ukubwa wa mpango huu unaotumia nguvu kazi. Ili kukomesha hili, tuliboresha wingu la kibinafsi la benki kuwa la kisasa na kuorodhesha sio tu mchakato wa kuunda VM, lakini pia shughuli zinazohusiana.
Kazi nambari 1. Wingu na muunganisho wa Mtandao
Benki iliunda wingu la kibinafsi kwa kutumia timu yake ya ndani ya IT kwa sehemu moja ya mtandao. Baada ya muda, wasimamizi walithamini manufaa yake na kuamua kupanua dhana ya kibinafsi ya wingu kwa mazingira na sehemu nyingine za benki. Hii ilihitaji wataalamu zaidi na utaalamu dhabiti katika clouds binafsi. Kwa hivyo, timu yetu ilikabidhiwa kufanya wingu kuwa wa kisasa.
Mkondo mkuu wa mradi huu ulikuwa uundaji wa mashine za kawaida katika sehemu ya ziada ya usalama wa habari - katika eneo lisilo na jeshi (DMZ). Hapa ndipo huduma za benki zinaunganishwa na mifumo ya nje iliyo nje ya miundombinu ya benki.
Lakini medali hii pia ilikuwa na upande mwingine. Huduma kutoka kwa DMZ zilipatikana "nje" na hii ilijumuisha seti nzima ya hatari za usalama wa habari. Kwanza kabisa, hii ni tishio la mifumo ya utapeli, upanuzi wa baadaye wa uwanja wa shambulio katika DMZ, na kisha kupenya kwenye miundombinu ya benki. Ili kupunguza baadhi ya hatari hizi, tulipendekeza kutumia kipimo cha ziada cha usalama - suluhisho la sehemu ndogo.
Ulinzi wa sehemu ndogo
Sehemu za kawaida hujenga mipaka iliyolindwa kwenye mipaka ya mitandao kwa kutumia ngome. Kwa kugawanya sehemu ndogo, kila VM inaweza kugawanywa katika sehemu ya kibinafsi, iliyotengwa.
Hii huongeza usalama wa mfumo mzima. Hata kama wavamizi watadukua seva moja ya DMZ, itakuwa vigumu sana kwao kueneza mashambulizi kwenye mtandao - watalazimika kuvunja "milango iliyofungwa" mingi ndani ya mtandao. Firewall ya kibinafsi ya kila VM ina sheria zake kuhusu hilo, ambazo huamua haki ya kuingia na kutoka. Tulitoa sehemu ndogo kwa kutumia VMware NSX-T Distributed Firewall. Bidhaa hii inaundwa na serikali kuu sheria za ngome za VM na kuzisambaza katika miundombinu ya uboreshaji. Haijalishi ni OS gani ya mgeni inayotumiwa, sheria inatumika kwa kiwango cha kuunganisha mashine za kawaida kwenye mtandao.
Tatizo N2. Katika kutafuta kasi na urahisi
Je, ungependa kupeleka mashine pepe? Kwa urahisi! Mibofyo michache na umemaliza. Lakini basi maswali mengi huibuka: jinsi ya kupata ufikiaji kutoka kwa VM hii hadi nyingine au mfumo? Au kutoka kwa mfumo mwingine kurudi VM?
Kwa mfano, katika benki, baada ya kuagiza VM kwenye bandari ya wingu, ilikuwa ni lazima kufungua bandari ya msaada wa kiufundi na kuwasilisha ombi la utoaji wa upatikanaji muhimu. Hitilafu katika programu ilisababisha simu na mawasiliano ili kurekebisha hali hiyo. Wakati huo huo, VM inaweza kuwa na ufikiaji wa 10-15-20 na usindikaji kila moja ilichukua muda. Mchakato wa shetani.
Kwa kuongezea, athari za "kusafisha" za shughuli za maisha za mashine za mbali zilihitaji utunzaji maalum. Baada ya kuondolewa, maelfu ya sheria za ufikiaji zilibaki kwenye firewall, kupakia vifaa. Hii ni mzigo wa ziada na shimo za usalama.
Huwezi kufanya hivyo na sheria katika wingu. Ni usumbufu na si salama.
Ili kupunguza muda unaochukua kutoa ufikiaji wa VM na kuifanya iwe rahisi kuzidhibiti, tumeunda huduma ya usimamizi wa ufikiaji wa mtandao kwa VM.
Mtumiaji katika kiwango cha mashine ya kawaida kwenye menyu ya muktadha huchagua kipengee ili kuunda sheria ya ufikiaji, na kisha katika fomu inayofungua inabainisha vigezo - kutoka wapi, wapi, aina za itifaki, nambari za bandari. Baada ya kujaza na kuwasilisha fomu, tikiti zinazohitajika huundwa kiotomatiki katika mfumo wa usaidizi wa kiufundi wa mtumiaji kulingana na Kidhibiti Huduma cha HP. Wana wajibu wa kuidhinisha ufikiaji huu au ule na, ikiwa ufikiaji umeidhinishwa, kwa wataalamu ambao hufanya baadhi ya shughuli ambazo bado hazijaendeshwa kiotomatiki.
Baada ya hatua ya mchakato wa biashara unaohusisha wataalamu imefanya kazi, sehemu ya huduma huanza ambayo huunda moja kwa moja sheria kwenye firewalls.
Kama gumzo la mwisho, mtumiaji huona ombi lililokamilishwa kwa ufanisi kwenye lango. Hii ina maana kwamba utawala umeundwa na unaweza kufanya kazi nayo - mtazamo, mabadiliko, kufuta.
Alama ya mwisho ya faida
Kimsingi, tuliboresha vipengele vidogo vya wingu la kibinafsi vya kisasa, lakini benki ilipata athari inayoonekana. Watumiaji sasa wanapokea ufikiaji wa mtandao tu kupitia lango, bila kushughulika moja kwa moja na Dawati la Huduma. Sehemu za fomu za lazima, uthibitisho wao kwa usahihi wa data iliyoingia, orodha zilizowekwa tayari, data ya ziada - yote haya husaidia kuunda ombi sahihi la ufikiaji, ambalo kwa kiwango cha juu cha uwezekano litazingatiwa na si kukataliwa na wafanyikazi wa usalama wa habari. kwa makosa ya kuingiza. Mashine pepe si visanduku vyeusi tenaβunaweza kuendelea kufanya kazi nazo kwa kufanya mabadiliko kwenye lango.
Kama matokeo, leo wataalamu wa IT wa benki wana zana rahisi zaidi ya kupata ufikiaji, na ni watu hao tu wanaohusika katika mchakato huo, ambao bila shaka hawawezi kufanya bila. Kwa jumla, kwa suala la gharama za kazi, hii ni kutolewa kutoka kwa mzigo kamili wa kila siku wa angalau mtu 1, pamoja na masaa kadhaa yaliyohifadhiwa kwa watumiaji. Uundaji wa kiotomatiki wa uundaji wa sheria ulifanya iwezekane kutekeleza suluhisho la sehemu ndogo ndogo ambayo haileti mzigo kwa wafanyikazi wa benki.
Na mwishowe, "sheria ya ufikiaji" ikawa kitengo cha uhasibu cha wingu. Hiyo ni, sasa wingu huhifadhi habari kuhusu sheria za VM zote na kuzisafisha wakati mashine za kawaida zinafutwa.
Hivi karibuni faida za kisasa zitaenea kwenye wingu la benki nzima. Uendeshaji otomatiki wa mchakato wa uundaji wa VM na ugawaji wa sehemu ndogo umehamia zaidi ya DMZ na kunasa sehemu zingine. Na hii iliongeza usalama wa wingu kwa ujumla.
Suluhisho lililotekelezwa pia linavutia kwa kuwa inaruhusu benki kuharakisha michakato ya maendeleo, na kuleta karibu na mfano wa makampuni ya IT kulingana na kigezo hiki. Baada ya yote, linapokuja suala la maombi ya simu, portaler, na huduma za wateja, kampuni yoyote kubwa leo inajitahidi kuwa "kiwanda" cha uzalishaji wa bidhaa za digital. Kwa maana hii, benki kivitendo hucheza sambamba na makampuni yenye nguvu ya IT, yakiendana na uundaji wa programu mpya. Na ni vizuri wakati uwezo wa miundombinu ya IT iliyojengwa kwenye mfano wa wingu binafsi inakuwezesha kutenga rasilimali muhimu kwa hili kwa dakika chache na kwa usalama iwezekanavyo.
Waandishi:
Vyacheslav Medvedev, Mkuu wa Idara ya Cloud Computing, Jet Infosystems,
Ilya Kuikin, mhandisi mkuu wa idara ya kompyuta ya wingu ya Jet Infosystems
Chanzo: mapenzi.com