Mahirap bang gumawa ng virtual machine (VM) sa cloud? Walang mas mahirap kaysa sa paggawa ng tsaa. Ngunit pagdating sa isang malaking korporasyon, kahit na ang gayong simpleng aksyon ay maaaring maging masakit na mahaba. Hindi sapat na lumikha ng isang virtual machine; kailangan mo ring makuha ang kinakailangang pag-access upang gumana alinsunod sa lahat ng mga regulasyon. Isang pamilyar na sakit para sa bawat developer? Sa isang malaking bangko, ang pamamaraang ito ay tumagal mula sa ilang oras hanggang ilang araw. At dahil may daan-daang katulad na mga operasyon bawat buwan, madaling isipin ang laki ng pamamaraang ito na nakakaubos ng paggawa. Upang tapusin ito, ginawa namin moderno ang pribadong cloud ng bangko at nag-automate hindi lamang sa proseso ng paglikha ng mga VM, kundi pati na rin sa mga nauugnay na operasyon.
Gawain Blg. 1. Cloud na may koneksyon sa Internet
Gumawa ang bangko ng pribadong cloud gamit ang panloob na IT team nito para sa isang segment ng network. Sa paglipas ng panahon, pinahahalagahan ng pamamahala ang mga benepisyo nito at nagpasya na palawakin ang konsepto ng pribadong cloud sa iba pang mga kapaligiran at mga segment ng bangko. Nangangailangan ito ng higit pang mga espesyalista at malakas na kadalubhasaan sa mga pribadong ulap. Samakatuwid, ipinagkatiwala sa aming koponan ang pag-modernize ng cloud.
Ang pangunahing stream ng proyektong ito ay ang paglikha ng mga virtual machine sa isang karagdagang segment ng seguridad ng impormasyon - sa demilitarized zone (DMZ). Ito ay kung saan ang mga serbisyo ng bangko ay isinama sa mga panlabas na sistema na matatagpuan sa labas ng imprastraktura ng pagbabangko.
Ngunit ang medalyang ito ay may pitik ding panig. Ang mga serbisyo mula sa DMZ ay magagamit "sa labas" at ito ay nagsasangkot ng isang buong hanay ng mga panganib sa seguridad ng impormasyon. Una sa lahat, ito ang banta ng mga sistema ng pag-hack, kasunod na pagpapalawak ng larangan ng pag-atake sa DMZ, at pagkatapos ay pagtagos sa imprastraktura ng bangko. Upang mabawasan ang ilan sa mga panganib na ito, iminungkahi namin ang paggamit ng karagdagang hakbang sa seguridad - isang solusyon sa micro-segmentation.
Proteksyon ng micro-segmentation
Ang klasikong segmentation ay bumubuo ng mga protektadong hangganan sa mga hangganan ng mga network gamit ang isang firewall. Sa microsegmentation, ang bawat indibidwal na VM ay maaaring paghiwalayin sa isang personal, nakahiwalay na segment.
Pinahuhusay nito ang seguridad ng buong system. Kahit na na-hack ng mga attacker ang isang DMZ server, magiging napakahirap para sa kanila na maikalat ang pag-atake sa buong network - kakailanganin nilang lusutan ang maraming "naka-lock na pinto" sa loob ng network. Ang personal na firewall ng bawat VM ay naglalaman ng sarili nitong mga panuntunan tungkol dito, na tumutukoy sa karapatang pumasok at lumabas. Nagbigay kami ng micro-segmentation gamit ang VMware NSX-T Distributed Firewall. Ang produktong ito ay sentral na gumagawa ng mga panuntunan sa firewall para sa mga VM at ipinamamahagi ang mga ito sa imprastraktura ng virtualization. Hindi mahalaga kung aling guest OS ang ginagamit, ang panuntunan ay inilalapat sa antas ng pagkonekta ng mga virtual machine sa network.
Problema N2. Sa paghahanap ng bilis at kaginhawahan
Mag-deploy ng virtual machine? Madali lang! Ilang pag-click at tapos ka na. Ngunit pagkatapos ay maraming mga katanungan ang lumitaw: paano makakuha ng access mula sa VM na ito sa isa pa o system? O mula sa ibang sistema pabalik sa VM?
Halimbawa, sa isang bangko, pagkatapos mag-order ng isang VM sa cloud portal, kinakailangan upang buksan ang portal ng teknikal na suporta at magsumite ng isang kahilingan para sa pagkakaloob ng kinakailangang pag-access. Ang isang error sa application ay nagresulta sa mga tawag at sulat upang itama ang sitwasyon. Kasabay nito, ang isang VM ay maaaring magkaroon ng 10-15-20 na pag-access at ang pagproseso ng bawat isa ay nagtagal. Ang proseso ng demonyo.
Bilang karagdagan, ang "paglilinis" ng mga bakas ng aktibidad ng buhay ng mga malalayong virtual machine ay nangangailangan ng espesyal na pangangalaga. Matapos maalis ang mga ito, libu-libong panuntunan sa pag-access ang nanatili sa firewall, na naglo-load ng kagamitan. Ito ay parehong dagdag na pasanin at mga butas sa seguridad.
Hindi mo ito magagawa sa mga panuntunan sa cloud. Ito ay hindi maginhawa at hindi ligtas.
Upang mabawasan ang oras na kinakailangan upang magbigay ng access sa mga VM at gawing maginhawa ang pamamahala sa mga ito, bumuo kami ng isang serbisyo sa pamamahala ng access sa network para sa mga VM.
Ang user sa antas ng virtual machine sa menu ng konteksto ay pumipili ng isang item upang lumikha ng isang panuntunan sa pag-access, at pagkatapos ay sa form na bubukas ay tumutukoy sa mga parameter - mula sa kung saan, kung saan, mga uri ng protocol, mga numero ng port. Matapos punan at isumite ang form, ang mga kinakailangang tiket ay awtomatikong nagagawa sa sistema ng teknikal na suporta ng gumagamit batay sa HP Service Manager. Responsibilidad nila ang pag-apruba dito o sa pag-access na iyon at, kung maaprubahan ang pag-access, sa mga espesyalista na nagsasagawa ng ilan sa mga operasyon na hindi pa awtomatiko.
Matapos gumana ang yugto ng proseso ng negosyo na kinasasangkutan ng mga espesyalista, magsisimula ang bahagi ng serbisyo na awtomatikong gumagawa ng mga panuntunan sa mga firewall.
Bilang panghuling chord, nakikita ng user ang isang matagumpay na nakumpletong kahilingan sa portal. Nangangahulugan ito na ang panuntunan ay nilikha at maaari mong gawin ito - tingnan, baguhin, tanggalin.
Panghuling marka ng mga benepisyo
Sa totoo lang, na-moderno namin ang maliliit na aspeto ng pribadong cloud, ngunit nakatanggap ng kapansin-pansing epekto ang bangko. Ang mga gumagamit ay tumatanggap na ngayon ng access sa network sa pamamagitan lamang ng portal, nang hindi direktang nakikipag-ugnayan sa Service Desk. Mandatory na mga patlang ng form, ang kanilang pagpapatunay para sa kawastuhan ng ipinasok na data, mga paunang na-configure na listahan, karagdagang data - lahat ng ito ay nakakatulong upang bumuo ng isang tumpak na kahilingan sa pag-access, na may mataas na antas ng posibilidad ay isasaalang-alang at hindi tatanggihan ng mga empleyado ng seguridad ng impormasyon dahil sa mga error sa pag-input. Ang mga virtual machine ay hindi na mga black boxβmaaari kang magpatuloy sa pagtatrabaho sa kanila sa pamamagitan ng paggawa ng mga pagbabago sa portal.
Bilang resulta, ngayon ang mga IT specialist ng bangko ay may mas maginhawang tool para sa pagkakaroon ng access, at ang mga taong iyon lamang ang kasangkot sa proseso, kung wala sila ay tiyak na hindi magagawa nang wala. Sa kabuuan, sa mga tuntunin ng mga gastos sa paggawa, ito ay isang release mula sa pang-araw-araw na buong load ng hindi bababa sa 1 tao, pati na rin ang dose-dosenang oras na na-save para sa mga user. Ang pag-automate ng paglikha ng panuntunan ay naging posible upang ipatupad ang isang micro-segmentation na solusyon na hindi gumagawa ng pasanin sa mga empleyado ng bangko.
At sa wakas, ang "panuntunan sa pag-access" ay naging yunit ng accounting ng cloud. Ibig sabihin, ngayon ang cloud ay nag-iimbak ng impormasyon tungkol sa mga panuntunan para sa lahat ng VM at nililinis ang mga ito kapag ang mga virtual machine ay tinanggal.
Sa lalong madaling panahon ang mga benepisyo ng modernisasyon ay kakalat sa ulap ng buong bangko. Ang pag-automate ng proseso ng paggawa ng VM at micro-segmentation ay lumampas sa DMZ at nakuha ang iba pang mga segment. At pinataas nito ang seguridad ng ulap sa kabuuan.
Ang ipinatupad na solusyon ay kawili-wili din dahil pinapayagan nito ang bangko na pabilisin ang mga proseso ng pag-unlad, na inilalapit ito sa modelo ng mga kumpanya ng IT ayon sa pamantayang ito. Pagkatapos ng lahat, pagdating sa mga mobile application, portal, at serbisyo sa customer, anumang malaking kumpanya ngayon ay nagsusumikap na maging isang "pabrika" para sa paggawa ng mga digital na produkto. Sa ganitong kahulugan, halos nakikipaglaro ang mga bangko sa pinakamalakas na kumpanya ng IT, na nakikisabay sa paglikha ng mga bagong aplikasyon. At ito ay mabuti kapag ang mga kakayahan ng isang imprastraktura ng IT na binuo sa isang pribadong modelo ng ulap ay nagbibigay-daan sa iyo na maglaan ng mga kinakailangang mapagkukunan para dito sa ilang minuto at nang ligtas hangga't maaari.
Mga May-akda:
Vyacheslav Medvedev, Pinuno ng Cloud Computing Department, Jet Infosystems,
Ilya Kuikin, nangungunang engineer ng cloud computing department ng Jet Infosystems
Pinagmulan: www.habr.com