การสร้างเครื่องเสมือน (VM) ในระบบคลาวด์เป็นเรื่องยากหรือไม่? ไม่ยากไปกว่าการชงชา แต่เมื่อพูดถึงบริษัทขนาดใหญ่ แม้แต่การกระทำง่ายๆ เช่นนั้นก็อาจกลายเป็นเรื่องที่ยาวนานอย่างเจ็บปวดได้ การสร้างเครื่องเสมือนนั้นไม่เพียงพอคุณยังต้องได้รับการเข้าถึงที่จำเป็นเพื่อทำงานตามข้อบังคับทั้งหมด ความเจ็บปวดที่คุ้นเคยสำหรับนักพัฒนาทุกคน? ในธนาคารขนาดใหญ่แห่งหนึ่ง ขั้นตอนนี้ใช้เวลาตั้งแต่หลายชั่วโมงไปจนถึงหลายวัน และเนื่องจากมีการดำเนินการที่คล้ายกันหลายร้อยครั้งต่อเดือน จึงเป็นเรื่องง่ายที่จะจินตนาการถึงขนาดของโครงการที่ต้องใช้แรงงานมากนี้ เพื่อยุติสิ่งนี้ เราได้ปรับปรุงระบบคลาวด์ส่วนตัวของธนาคารให้ทันสมัย และไม่เพียงแต่กระบวนการสร้าง VM เท่านั้น แต่ยังรวมถึงการดำเนินการที่เกี่ยวข้องด้วย
ภารกิจที่ 1 คลาวด์พร้อมการเชื่อมต่ออินเทอร์เน็ต
ธนาคารสร้างคลาวด์ส่วนตัวโดยใช้ทีมไอทีภายในสำหรับส่วนเดียวของเครือข่าย เมื่อเวลาผ่านไป ฝ่ายบริหารชื่นชมคุณประโยชน์และตัดสินใจขยายแนวคิดไพรเวทคลาวด์ไปยังสภาพแวดล้อมและส่วนอื่นๆ ของธนาคาร สิ่งนี้ต้องการผู้เชี่ยวชาญและความเชี่ยวชาญที่แข็งแกร่งในระบบคลาวด์ส่วนตัวมากขึ้น ดังนั้นทีมงานของเราจึงได้รับความไว้วางใจให้ปรับปรุงระบบคลาวด์ให้ทันสมัย
กระแสหลักของโครงการนี้คือการสร้างเครื่องเสมือนในส่วนความปลอดภัยของข้อมูลเพิ่มเติม - ในเขตปลอดทหาร (DMZ) นี่คือจุดที่บริการของธนาคารถูกรวมเข้ากับระบบภายนอกที่อยู่นอกโครงสร้างพื้นฐานของธนาคาร
แต่เหรียญนี้ก็มีด้านพลิกเช่นกัน บริการจาก DMZ มีให้บริการ "ภายนอก" และส่งผลให้เกิดความเสี่ยงด้านความปลอดภัยข้อมูลทั้งชุด ประการแรก นี่คือภัยคุกคามของระบบแฮ็ก การขยายขอบเขตการโจมตีใน DMZ ในเวลาต่อมา และจากนั้นก็เจาะเข้าไปในโครงสร้างพื้นฐานของธนาคาร เพื่อลดความเสี่ยงเหล่านี้บางส่วน เราเสนอให้ใช้มาตรการรักษาความปลอดภัยเพิ่มเติม - โซลูชันการแบ่งส่วนย่อย
การป้องกันการแบ่งส่วนแบบไมโคร
การแบ่งส่วนแบบคลาสสิกจะสร้างขอบเขตการป้องกันที่ขอบเขตของเครือข่ายโดยใช้ไฟร์วอลล์ ด้วยการแบ่งส่วนย่อย แต่ละ VM แต่ละรายการสามารถแยกออกเป็นส่วนส่วนบุคคลที่แยกออกจากกันได้
สิ่งนี้ช่วยเพิ่มความปลอดภัยของทั้งระบบ แม้ว่าผู้โจมตีแฮ็กเซิร์ฟเวอร์ DMZ หนึ่งเซิร์ฟเวอร์ ก็จะเป็นเรื่องยากมากสำหรับพวกเขาในการแพร่กระจายการโจมตีข้ามเครือข่าย - พวกเขาจะต้องเจาะทะลุ "ประตูที่ล็อค" จำนวนมากภายในเครือข่าย ไฟร์วอลล์ส่วนบุคคลของแต่ละ VM มีกฎของตัวเองซึ่งกำหนดสิทธิ์ในการเข้าและออก เราจัดเตรียมการแบ่งส่วนย่อยโดยใช้ VMware NSX-T Distributed Firewall ผลิตภัณฑ์นี้สร้างกฎไฟร์วอลล์จากส่วนกลางสำหรับ VM และกระจายกฎเหล่านั้นผ่านโครงสร้างพื้นฐานการจำลองเสมือน ไม่สำคัญว่าจะใช้ระบบปฏิบัติการเกสต์ใด กฎจะถูกใช้ในระดับการเชื่อมต่อเครื่องเสมือนกับเครือข่าย
ปัญหา N2 ในการค้นหาความรวดเร็วและความสะดวกสบาย
ปรับใช้เครื่องเสมือนหรือไม่? อย่างง่ายดาย! คลิกเพียงไม่กี่ครั้งคุณก็เสร็จแล้ว แต่มีคำถามมากมายเกิดขึ้น: จะเข้าถึงจาก VM นี้ไปยังระบบอื่นหรือระบบได้อย่างไร? หรือจากระบบอื่นกลับสู่ VM?
ตัวอย่างเช่น ในธนาคาร หลังจากสั่งซื้อ VM บนพอร์ทัลคลาวด์แล้ว จำเป็นต้องเปิดพอร์ทัลสนับสนุนด้านเทคนิคและส่งคำขอเพื่อจัดเตรียมการเข้าถึงที่จำเป็น ข้อผิดพลาดในแอปพลิเคชันส่งผลให้มีการโทรและการติดต่อเพื่อแก้ไขสถานการณ์ ในเวลาเดียวกัน VM สามารถเข้าถึง 10-15-20 และการประมวลผลแต่ละรายการต้องใช้เวลา กระบวนการของปีศาจ
นอกจากนี้ การ "ล้างข้อมูล" ร่องรอยของกิจกรรมชีวิตของเครื่องเสมือนระยะไกลจำเป็นต้องได้รับการดูแลเป็นพิเศษ หลังจากที่พวกเขาถูกลบออก กฎการเข้าถึงนับพันยังคงอยู่บนไฟร์วอลล์เพื่อโหลดอุปกรณ์ นี่เป็นทั้งภาระเพิ่มเติมและช่องโหว่ด้านความปลอดภัย
คุณไม่สามารถทำเช่นนี้กับกฎในระบบคลาวด์ได้ มันไม่สะดวกและไม่ปลอดภัย
เพื่อลดเวลาที่ใช้ในการให้การเข้าถึง VM และทำให้สะดวกในการจัดการ เราได้พัฒนาบริการการจัดการการเข้าถึงเครือข่ายสำหรับ VM
ผู้ใช้ที่ระดับเครื่องเสมือนในเมนูบริบทเลือกรายการเพื่อสร้างกฎการเข้าถึงจากนั้นในรูปแบบที่เปิดขึ้นจะระบุพารามิเตอร์ - จากที่ไหน, ที่ไหน, ประเภทโปรโตคอล, หมายเลขพอร์ต หลังจากกรอกและส่งแบบฟอร์ม ตั๋วที่จำเป็นจะถูกสร้างขึ้นโดยอัตโนมัติในระบบสนับสนุนทางเทคนิคของผู้ใช้ตาม HP Service Manager พวกเขามีหน้าที่รับผิดชอบในการอนุมัติการเข้าถึงนี้หรือนั้น และหากการเข้าถึงได้รับอนุมัติ จะต้องรับผิดชอบต่อผู้เชี่ยวชาญที่ดำเนินการบางอย่างที่ยังไม่ได้เป็นแบบอัตโนมัติ
หลังจากขั้นตอนของกระบวนการทางธุรกิจที่เกี่ยวข้องกับผู้เชี่ยวชาญทำงานแล้ว ส่วนหนึ่งของบริการจะเริ่มต้นซึ่งจะสร้างกฎบนไฟร์วอลล์โดยอัตโนมัติ
ในฐานะคอร์ดสุดท้าย ผู้ใช้จะเห็นคำขอที่เสร็จสมบูรณ์บนพอร์ทัลสำเร็จ ซึ่งหมายความว่ากฎได้ถูกสร้างขึ้นแล้วและคุณสามารถดำเนินการได้ ดู เปลี่ยนแปลง ลบได้
คะแนนสุดท้ายของผลประโยชน์
โดยพื้นฐานแล้ว เราได้ปรับปรุงส่วนเล็กๆ ของระบบคลาวด์ส่วนตัวให้ทันสมัย แต่ธนาคารก็ได้รับผลกระทบที่เห็นได้ชัดเจน ขณะนี้ผู้ใช้ได้รับการเข้าถึงเครือข่ายผ่านทางพอร์ทัลเท่านั้น โดยไม่ต้องติดต่อกับฝ่ายบริการโดยตรง ฟิลด์แบบฟอร์มบังคับ, การตรวจสอบความถูกต้องของข้อมูลที่ป้อน, รายการที่กำหนดไว้ล่วงหน้า, ข้อมูลเพิ่มเติม - ทั้งหมดนี้ช่วยในการกำหนดคำขอการเข้าถึงที่แม่นยำซึ่งมีความเป็นไปได้สูงที่จะได้รับการพิจารณาและไม่ถูกปฏิเสธโดยพนักงานรักษาความปลอดภัยข้อมูลเนื่องจาก เพื่อป้อนข้อผิดพลาด เครื่องเสมือนไม่ใช่กล่องดำอีกต่อไป คุณสามารถใช้งานเครื่องเสมือนต่อไปได้โดยทำการเปลี่ยนแปลงบนพอร์ทัล
ด้วยเหตุนี้ ผู้เชี่ยวชาญด้านไอทีของธนาคารในปัจจุบันจึงมีเครื่องมือที่สะดวกกว่าในการเข้าถึง และมีเพียงคนเหล่านั้นเท่านั้นที่มีส่วนร่วมในกระบวนการนี้ โดยที่ขาดไม่ได้ก็ทำไม่ได้อย่างแน่นอน โดยรวมแล้วในแง่ของค่าแรงนี่เป็นการปลดปล่อยจากภาระงานเต็มรายวันอย่างน้อย 1 คนและประหยัดเวลาหลายสิบชั่วโมงสำหรับผู้ใช้ การสร้างกฎอัตโนมัติทำให้สามารถใช้โซลูชันการแบ่งส่วนย่อยที่ไม่สร้างภาระให้กับพนักงานธนาคารได้
และสุดท้าย “กฎการเข้าถึง” ก็กลายเป็นหน่วยการบัญชีของระบบคลาวด์ นั่นคือตอนนี้ระบบคลาวด์จัดเก็บข้อมูลเกี่ยวกับกฎสำหรับ VM ทั้งหมดและล้างข้อมูลเหล่านั้นเมื่อเครื่องเสมือนถูกลบ
ในไม่ช้า ประโยชน์ของการปรับปรุงให้ทันสมัยจะแพร่กระจายไปยังระบบคลาวด์ของธนาคารทั้งหมด ระบบอัตโนมัติของกระบวนการสร้าง VM และการแบ่งส่วนย่อยได้ก้าวไปไกลกว่า DMZ และบันทึกส่วนอื่นๆ และนี่เป็นการเพิ่มความปลอดภัยของระบบคลาวด์โดยรวม
โซลูชันที่นำไปใช้ยังน่าสนใจตรงที่ช่วยให้ธนาคารสามารถเร่งกระบวนการพัฒนาให้เร็วขึ้น ทำให้เข้าใกล้โมเดลของบริษัทไอทีมากขึ้นตามเกณฑ์นี้ ท้ายที่สุดแล้ว เมื่อพูดถึงแอปพลิเคชันบนมือถือ พอร์ทัล และการบริการลูกค้า ปัจจุบันบริษัทขนาดใหญ่ใดๆ ก็ตามมุ่งมั่นที่จะเป็น "โรงงาน" สำหรับการผลิตผลิตภัณฑ์ดิจิทัล ในแง่นี้ ธนาคารมีความเท่าเทียมกับบริษัทไอทีที่แข็งแกร่งที่สุด โดยตามทันการสร้างแอปพลิเคชันใหม่ๆ และจะเป็นเรื่องดีเมื่อความสามารถของโครงสร้างพื้นฐานด้านไอทีที่สร้างขึ้นบนโมเดลคลาวด์ส่วนตัวช่วยให้คุณสามารถจัดสรรทรัพยากรที่จำเป็นสำหรับสิ่งนี้ได้ภายในไม่กี่นาทีและปลอดภัยที่สุด
ผู้เขียน:
Vyacheslav Medvedev หัวหน้าแผนกคอมพิวเตอร์คลาวด์ บริษัท Jet Infosystems,
Ilya Kuikin วิศวกรชั้นนำของแผนกคอมพิวเตอร์คลาวด์ของ Jet Infosystems
ที่มา: will.com