Оё эҷоди мошини виртуалӣ (VM) дар абр душвор аст? Аз чой тайёр кардан душвортар нест. Аммо вақте ки сухан дар бораи як корпоратсияи калон меравад, ҳатто чунин як амали оддӣ метавонад хеле тӯлонӣ гардад. Эҷоди як мошини виртуалӣ кофӣ нест; шумо инчунин бояд дастрасии заруриро барои кор мувофиқи ҳама қоидаҳо ба даст оред. Дарди шинос барои ҳар як таҳиягар? Дар як бонки калон ин тартиб аз чанд соат то чанд рӯз тӯл мекашид. Ва азбаски дар як мох садхо хамин гуна амалиёт гузаронда мешуд, микьёси ин схемаи мехнатталабро тасаввур кардан осон аст. Барои хотима додан ба ин, мо абри хусусии бонкро навсозӣ кардем ва на танҳо раванди эҷоди VM-ҳо, балки амалиётҳои марбутаро низ автоматӣ кардем.
Вазифаи № 1. Абр бо пайвасти интернет
Бонк бо истифода аз дастаи дохилии IT-и худ барои як сегменти шабака абри хусусиро эҷод кардааст. Бо гузашти вақт, менеҷмент бартариҳои онро қадр кард ва тасмим гирифт, ки консепсияи абрии хусусиро ба дигар муҳитҳо ва сегментҳои бонк паҳн кунад. Ин мутахассисони бештар ва таҷрибаи қавӣ дар абрҳои хусусӣ талаб мекард. Аз ин ру, модернизациям абрро ба зиммаи бригадаи мо супурданд.
Ҷараёни асосии ин лоиҳа эҷоди мошинҳои виртуалӣ дар сегменти иловагии амнияти иттилоотӣ - дар минтақаи аз демилитаризатсияшуда (DMZ) буд. Дар ин ҷо хидматҳои бонк бо системаҳои беруна, ки берун аз инфрасохтори бонкӣ ҷойгиранд, муттаҳид карда мешаванд.
Аммо ин медал паҳлӯи дигар низ дошт. Хидматҳо аз DMZ "берун" дастрас буданд ва ин маҷмӯи тамоми хатарҳои амнияти иттилоотиро дар бар мегирифт. Пеш аз ҳама, ин таҳдиди системаҳои ҳакерӣ, тавсеаи минбаъдаи майдони ҳамла дар DMZ ва баъдан ворид шудан ба инфрасохтори бонк мебошад. Барои кам кардани баъзе аз ин хатарҳо, мо пешниҳод кардем, ки чораи иловагии амниятӣ - ҳалли микросегментатсия истифода шавад.
Муҳофизати микросегментатсия
Сегментатсияи классикӣ сарҳадҳои муҳофизатшударо дар сарҳади шабакаҳо бо истифода аз брандмауэр месозад. Бо микросегментация, ҳар як VM-и инфиродӣ метавонад ба як сегменти шахсӣ ва ҷудошуда ҷудо карда шавад.
Ин амнияти тамоми системаро беҳтар мекунад. Ҳатто агар ҳамлагарон як сервери DMZ-ро вайрон кунанд, паҳн кардани ҳамла дар тамоми шабака барои онҳо ниҳоят душвор хоҳад буд - онҳо маҷбур мешаванд, ки дар дохили шабака бисёр "дарҳои қулфшуда" -ро шикастанд. Сипари шахсии ҳар як VM дорои қоидаҳои худро дар бораи он, ки ҳуқуқи воридшавӣ ва баромаданро муайян мекунанд. Мо бо истифода аз VMware NSX-T Distributed Firewall сегментатсияро таъмин кардем. Ин маҳсулот ба таври мутамарказ қоидаҳои брандмауэрро барои VMҳо эҷод мекунад ва онҳоро дар инфрасохтори виртуализатсия паҳн мекунад. Фарқ надорад, ки кадом ОС-и меҳмон истифода мешавад, қоида дар сатҳи пайваст кардани мошинҳои виртуалӣ ба шабака татбиқ карда мешавад.
Масъалаи N2. Дар ҷустуҷӯи суръат ва роҳат
Мошини виртуалиро ҷойгир кунед? Ба осонӣ! Якчанд клик ва шумо тамом шудед. Аммо пас аз он саволҳои зиёде ба миён меоянд: чӣ гуна аз ин VM ба дигар ё система дастрасӣ пайдо кардан мумкин аст? Ё аз системаи дигар ба VM бармегарданд?
Масалан, дар бонк пас аз фармоиш додани VM дар портали абрӣ, бояд портали дастгирии техникиро кушоед ва дархост барои пешниҳоди дастрасии заруриро пешниҳод кунед. Хатогӣ дар барнома боиси зангҳо ва мукотибаҳо барои ислоҳи вазъият гардид. Дар айни замон, як VM метавонад 10-15-20 дастрасӣ дошта бошад ва коркарди ҳар яки онҳо вақтро талаб мекунад. Раванди шайтон.
Илова бар ин, "тоза кардани" осори фаъолияти ҳаёти мошинҳои виртуалии дурдаст нигоҳубини махсусро талаб мекард. Пас аз нест кардани онҳо, ҳазорҳо қоидаҳои дастрасӣ дар девори девор боқӣ монда, таҷҳизотро бор мекунанд. Ин ҳам як бори иловагӣ ва сӯрохиҳои амниятӣ аст.
Шумо инро бо қоидаҳо дар абр иҷро карда наметавонед. Ин номувофиқ ва хатарнок аст.
Барои кам кардани вақти он, ки барои дастрасӣ ба VMҳо лозим аст ва идоракунии онҳо қулай аст, мо хидмати идоракунии дастрасии шабакаро барои VM-ҳо таҳия кардем.
Истифодабаранда дар сатҳи мошини маҷозӣ дар менюи контекстӣ объектеро барои сохтани қоидаи дастрасӣ интихоб мекунад ва сипас дар шакли кушодашуда параметрҳоро - аз куҷо, дар куҷо, намудҳои протокол, рақамҳои портро муайян мекунад. Пас аз пур кардан ва пешниҳод кардани варақ, чиптаҳои зарурӣ ба таври худкор дар системаи дастгирии техникии корбар дар асоси HP Service Manager сохта мешаванд. Онҳо барои тасдиқи ин ё он дастрасӣ ва дар сурати тасдиқ шудани дастрасӣ ба мутахассисоне масъуланд, ки баъзе амалиётҳоеро, ки ҳанӯз автоматӣ нашудаанд, иҷро мекунанд.
Пас аз кор кардани марҳилаи раванди бизнес бо ҷалби мутахассисон, қисми хидмат оғоз мешавад, ки ба таври худкор қоидаҳоро дар брандмауэрҳо эҷод мекунад.
Ҳамчун аккорди ниҳоӣ, корбар дархости бомуваффақият анҷомшударо дар портал мебинад. Ин маънои онро дорад, ки қоида сохта шудааст ва шумо метавонед бо он кор кунед - дидан, тағир додан, нест кардан.
Натиҷаи ниҳоии имтиёзҳо
Аслан, мо ҷанбаҳои хурди абри хусусиро навсозӣ кардем, аммо бонк таъсири назаррас гирифт. Истифодабарандагон ҳоло дастрасии шабакаро танҳо тавассути портал бидуни муомилоти мустақим бо Хадамоти хидматрасонӣ мегиранд. Майдонҳои шаклҳои ҳатмӣ, тасдиқи онҳо барои дурустии маълумоти воридшуда, рӯйхатҳои пешакӣ танзимшуда, маълумоти иловагӣ - ҳамаи ин барои таҳияи дархости дастрасии дақиқ кӯмак мекунад, ки бо эҳтимолияти баланд аз ҷониби кормандони амнияти иттилоотӣ баррасӣ ва рад карда намешаванд. барои ворид кардани хатогиҳо. Мошинҳои виртуалӣ дигар қуттиҳои сиёҳ нестанд - шумо метавонед бо ворид кардани тағирот дар портал корро бо онҳо идома диҳед.
Дар натиҷа, имрӯз мутахассисони IT-и бонк дар ихтиёри худ василаи қулайтар барои дастрасӣ доранд ва дар ин раванд танҳо одамоне ҷалб карда мешаванд, ки бидуни онҳо бешубҳа кор карда наметавонанд. Дар маҷмӯъ, дар робита ба хароҷоти меҳнат, ин озодкунӣ аз сарбории пурраи ҳаррӯзаи ҳадди аққал 1 нафар ва инчунин даҳҳо соат барои корбарон сарфашуда мебошад. Автоматикунонии ташкили қоидаҳо имкон дод, ки ҳалли микросегментатсия амалӣ карда шавад, ки барои кормандони бонк бори гарон намеорад.
Ва ниҳоят, "қоидаи дастрасӣ" ба воҳиди баҳисобгирии абр табдил ёфт. Яъне, ҳоло абр маълумотро дар бораи қоидаҳо барои ҳама VM-ҳо нигоҳ медорад ва ҳангоми нест кардани мошинҳои виртуалӣ онҳоро тоза мекунад.
Ба қарибӣ манфиатҳои модернизатсия ба тамоми абри бонк паҳн хоҳанд шуд. Автоматикунонии раванди эҷоди VM ва микросегментатсия аз доираи DMZ берун рафта, сегментҳои дигарро ишғол карданд. Ва ин амнияти абрро дар маҷмӯъ афзоиш дод.
Ҳалли татбиқшуда инчунин аз он ҷо ҷолиб аст, ки он ба бонк имкон медиҳад, ки равандҳои рушдро суръат бахшад ва онро ба модели ширкатҳои IT мувофиқи ин меъёр наздик кунад. Баъд аз ҳама, вақте ки сухан дар бораи замимаҳои мобилӣ, порталҳо ва хидматрасонии муштариён меравад, ҳар як ширкати бузург имрӯз мекӯшад, ки ба «фабрика» барои истеҳсоли маҳсулоти рақамӣ табдил ёбад. Ба ин маъно, бонкҳо амалан дар баробари ширкатҳои пурқуввати IT бозӣ мекунанд ва бо эҷоди замимаҳои нав пайгирӣ мекунанд. Ва хуб аст, вақте ки имкониятҳои инфрасохтори IT, ки дар модели абрии хусусӣ сохта шудаанд, ба шумо имкон медиҳанд, ки захираҳои заруриро барои ин дар чанд дақиқа ва то ҳадди имкон бехатар ҷудо кунед.
Муаллифон:
Вячеслав Медведев, сардори шӯъбаи ҳисоббарории абрии ширкати Jet Infosystems,
Илья Куйкин, муҳандиси пешбари шӯъбаи ҳисоббарории абрии Jet Infosystems
Манбаъ: will.com