Bulutta sanal makine (VM) oluşturmak zor mu? Çay yapmaktan daha zor değil. Ancak konu büyük bir şirket olduğunda, bu kadar basit bir eylem bile çok uzun sürebilir. Sanal makine oluşturmak yeterli değildir; aynı zamanda tüm düzenlemelere uygun olarak çalışmak için gerekli erişimi elde etmeniz de gerekir. Her geliştirici için tanıdık bir acı mı? Büyük bir bankada bu prosedür birkaç saatten birkaç güne kadar sürdü. Ve ayda yüzlerce benzer operasyon gerçekleştiğinden, bu emek tüketen planın ölçeğini hayal etmek kolaydır. Buna son vermek için bankanın özel bulutunu modernize ettik ve sadece VM oluşturma sürecini değil, ilgili operasyonları da otomatikleştirdik.
Görev No.1. İnternet bağlantılı bulut
Banka, ağın tek bir bölümü için dahili BT ekibini kullanarak özel bir bulut oluşturdu. Zamanla yönetim bunun faydalarını takdir etti ve özel bulut konseptini bankanın diğer ortamlarına ve bölümlerine genişletmeye karar verdi. Bu, özel bulutlarda daha fazla uzman ve güçlü uzmanlık gerektiriyordu. Bu nedenle ekibimize bulutun modernleştirilmesi görevi verildi.
Bu projenin ana akışı, askerden arındırılmış bölgede (DMZ) ek bir bilgi güvenliği segmentinde sanal makinelerin oluşturulmasıydı. Burası bankanın hizmetlerinin bankacılık altyapısı dışında bulunan dış sistemlerle entegre edildiği yerdir.
Ancak bu madalyanın bir de diğer yüzü vardı. DMZ'den gelen hizmetler "dışarıda" mevcuttu ve bu, bir dizi bilgi güvenliği riskini beraberinde getiriyordu. Her şeyden önce bu, sistemlerin hacklenmesi, ardından DMZ'deki saldırı alanının genişletilmesi ve ardından bankanın altyapısına sızma tehdididir. Bu risklerden bazılarını en aza indirmek için ek bir güvenlik önlemi olan mikro segmentasyon çözümünü kullanmayı önerdik.
Mikro segmentasyon koruması
Klasik segmentasyon, bir güvenlik duvarı kullanarak ağların sınırlarında korumalı sınırlar oluşturur. Mikrosegmentasyon ile her bir sanal makine, kişisel, yalıtılmış bir segmente ayrılabilir.
Bu, tüm sistemin güvenliğini artırır. Saldırganlar bir DMZ sunucusunu hackleseler bile, saldırıyı ağa yaymaları son derece zor olacaktır; ağ içindeki birçok "kilitli kapıyı" aşmaları gerekecektir. Her VM'nin kişisel güvenlik duvarı, giriş ve çıkış hakkını belirleyen, kendisiyle ilgili kendi kurallarını içerir. VMware NSX-T Distributed Firewall kullanarak mikro segmentasyon sağladık. Bu ürün, VM'ler için merkezi olarak güvenlik duvarı kuralları oluşturur ve bunları sanallaştırma altyapısına dağıtır. Hangi konuk işletim sisteminin kullanıldığı önemli değildir, kural sanal makinelerin ağa bağlanması düzeyinde uygulanır.
Sorun N2. Hız ve rahatlık arayışında
Bir sanal makine dağıtılsın mı? Kolayca! Birkaç tıklama ve işiniz bitti. Ancak daha sonra birçok soru ortaya çıkıyor: Bu VM'den başka bir sisteme veya sisteme nasıl erişim sağlanır? Veya başka bir sistemden VM'ye geri mi dönelim?
Örneğin bir bankada bulut portalı üzerinden VM siparişi verdikten sonra teknik destek portalını açmak ve gerekli erişimin sağlanması için talep göndermek gerekiyordu. Uygulamadaki bir hata, durumu düzeltmek için aramalar ve yazışmalarla sonuçlandı. Aynı zamanda, bir VM'nin 10-15-20 erişimi olabilir ve her birinin işlenmesi zaman alır. Şeytan süreci.
Ayrıca, uzaktaki sanal makinelerin yaşam etkinliğinin izlerini "temizlemek" özel bir dikkat gerektiriyordu. Kaldırıldıktan sonra, ekipmanı yükleyen binlerce erişim kuralı güvenlik duvarında kaldı. Bu hem ekstra bir yük hem de güvenlik açığıdır.
Bunu buluttaki kurallarla yapamazsınız. Uygunsuz ve güvensiz.
VM'lere erişim sağlamak için gereken süreyi en aza indirmek ve onları yönetmeyi kolaylaştırmak amacıyla VM'ler için bir ağ erişim yönetimi hizmeti geliştirdik.
Bağlam menüsündeki sanal makine düzeyindeki kullanıcı, bir erişim kuralı oluşturmak için bir öğe seçer ve ardından açılan formda parametreleri - nereden, nerede, protokol türlerini, bağlantı noktası numaralarını belirtir. Formu doldurup gönderdikten sonra gerekli bildirimler, HP Service Manager'ı temel alan kullanıcı teknik destek sisteminde otomatik olarak oluşturulur. Şu veya bu erişimin onaylanmasından ve erişim onaylanırsa henüz otomatikleştirilmemiş bazı işlemleri gerçekleştiren uzmanlardan sorumludurlar.
İş sürecinin uzmanların yer aldığı aşaması çalıştıktan sonra, hizmetin güvenlik duvarları üzerinde otomatik olarak kurallar oluşturan kısmı başlar.
Son akor olarak kullanıcı portalda başarıyla tamamlanmış bir istek görür. Bu, kuralın oluşturulduğu ve onunla çalışabileceğiniz, görüntüleyebileceğiniz, değiştirebileceğiniz ve silebileceğiniz anlamına gelir.
Nihai fayda puanı
Temel olarak özel bulutun küçük yönlerini modernize ettik ancak banka gözle görülür bir etki elde etti. Kullanıcılar artık doğrudan Hizmet Masası ile uğraşmaya gerek kalmadan yalnızca portal aracılığıyla ağ erişimine sahip oluyorlar. Zorunlu form alanları, girilen verilerin doğruluğunun doğrulanması, önceden yapılandırılmış listeler, ek veriler - tüm bunlar, bilgi güvenliği çalışanları tarafından yüksek olasılıkla dikkate alınacak ve reddedilmeyecek doğru bir erişim talebinin formüle edilmesine yardımcı olur. hataları girmek için. Sanal makineler artık kara kutu değil; portalda değişiklik yaparak onlarla çalışmaya devam edebilirsiniz.
Sonuç olarak, bugün bankanın BT uzmanları erişim sağlamak için daha uygun bir araca ellerinin altında bulunuyor ve yalnızca onsuz yapamayacakları kişiler sürece dahil oluyor. Toplamda işçilik maliyetleri açısından bu, en az 1 kişinin günlük tam yükünden kurtulmasının yanı sıra kullanıcılar için onlarca saat tasarruf anlamına geliyor. Kural oluşturmanın otomasyonu, banka çalışanları üzerinde yük oluşturmayan bir mikro segmentasyon çözümünün uygulanmasını mümkün kıldı.
Ve son olarak “erişim kuralı” bulutun muhasebe birimi haline geldi. Yani bulut artık tüm VM'lere ilişkin kurallar hakkındaki bilgileri saklıyor ve sanal makineler silindiğinde bunları temizliyor.
Yakında modernizasyonun faydaları bankanın tüm bulutuna yayılacak. VM oluşturma sürecinin otomasyonu ve mikro segmentasyon, DMZ'nin ötesine geçti ve diğer segmentleri ele geçirdi. Bu da bir bütün olarak bulutun güvenliğini artırdı.
Uygulanan çözüm, bankanın geliştirme süreçlerini hızlandırmasına olanak tanıması ve bu kritere göre onu BT şirketleri modeline yaklaştırması açısından da ilginç. Sonuçta, mobil uygulamalar, portallar ve müşteri hizmetleri söz konusu olduğunda, bugün herhangi bir büyük şirket, dijital ürünlerin üretimi için bir "fabrika" olmaya çalışmaktadır. Bu anlamda bankalar pratikte en güçlü BT şirketleriyle aynı seviyede hareket ederek yeni uygulamaların yaratılmasına ayak uyduruyor. Özel bir bulut modeli üzerine kurulu bir BT altyapısının yeteneklerinin, bunun için gerekli kaynakları birkaç dakika içinde ve mümkün olduğunca güvenli bir şekilde tahsis etmenize izin vermesi iyidir.
Yazarlar:
Vyacheslav Medvedev, Bulut Bilişim Departmanı Başkanı, Jet Infosystems,
Jet Infosystems'in bulut bilişim bölümünün lider mühendisi Ilya Kuikin
Kaynak: habr.com