Чи складно створити віртуальну машину (ВМ) у хмарі? Чи не складніше, ніж заварити чай. Але коли йдеться про велику корпорацію, то навіть така проста дія може виявитися дуже тривалою. Мало створити віртуалку, потрібно ще за всіма регламентами отримати необхідні доступи до роботи. Знайомий біль кожного розробника? В одному великому банку ця процедура займала від кількох годин до кількох днів. А оскільки подібних операцій на місяць було сотні, легко уявити масштаби цієї схеми, що поглинає трудовитрати. Щоб покінчити з цим, ми модернізували приватну хмару банку та автоматизували не лише процес створення ВМ, а й суміжні операції.
Завдання №1. Хмара з підключенням до Інтернету
Приватну хмару банк створив силами внутрішньої ІТ-команди для окремого сегменту мережі. Згодом керівництво оцінило його користь і було вирішено поширити концепцію приватної хмари на інші середовища та сегменти банку. Для цього знадобилося більше фахівців та міцна експертиза щодо приватних хмар. Тому модернізацію хмари довірили нашій команді.
Основним стримом цього проекту стало створення віртуальних машин у додатковому сегменті інформаційної безпеки – у демілітаризованій зоні (DMZ). Саме тут сервіси банку інтегруються із зовнішніми системами, що знаходяться за межами банківської інфраструктури.
Але ця медаль мала і зворотний бік. Сервіси з DMZ були доступні «зовні» і це спричиняло цілий набір ризиків ІБ. Насамперед, це загроза злому систем, подальше розширення поля атаки у DMZ, а потім і проникнення в інфраструктуру банку. Щоб мінімізувати частину цих ризиків, ми запропонували використовувати додатковий засіб захисту – рішення щодо мікросегментації.
Захист мікросегментацією
Класична сегментація вибудовує захищені межі на межах мереж за допомогою міжмережевого екрану. p align="justify"> При мікросегментації кожну окрему ВМ можна виділити в персональний ізольований сегмент.
Це посилює безпеку всієї системи. Навіть якщо зловмисники зламають один сервер DMZ, поширити атаку по мережі їм буде вкрай складно — всередині мережі вони проломлять безліч «зачинених дверей». Персональний міжмережевий екран кожної ВМ містить свої правила щодо неї, які визначають право на вхід і вихід. Мікросегментацію ми забезпечили за допомогою VMware NSX-T Distributed Firewall. Цей продукт централізовано створює правила міжмережевого екранування для ВМ та поширює їх на інфраструктуру віртуалізації. Не має значення яка гостьова ОС використовується, правило застосовується на рівні підключення віртуалок до мережі.
Завдання N2. У пошуках швидкості та зручності
Розгорнути віртуалку? Легко! Пара кліків і готовий. Але далі виникає безліч запитань: як отримати доступ із цією ВМ до іншої чи системи? Або з іншої системи назад до ВМ?
Наприклад, у банку після замовлення ВМ на хмарному порталі потрібно було відкрити портал техпідтримки та завести заявку на надання необхідних доступів. Помилка у заявці оберталася дзвінками та листуванням для виправлення ситуації. При цьому ВМ може мати 10-15-20 доступів і відпрацювання кожного займало час. Диявольський процес.
Крім того, окремої турботи вимагало «прибирання» слідів життєдіяльності віддалених віртуалок. Після їхнього видалення на міжмережевому екрані залишалися тисячі правил доступу, навантажуючи обладнання. Це і зайве навантаження, і дірки у безпеці.
Вчиняти так з правилами у хмарі не можна. Це незручно та небезпечно.
Щоб звести до мінімуму терміни надання доступів до ВМ та зробити зручним управління ними, ми розробили послугу управління мережним доступом для ВМ.
Користувач на рівні віртуалки в контекстному меню вибирає пункт для створення правила доступу, а потім у формі, що відкрилася, вказує параметри - звідки, куди, типи протоколів, номери портів. Після заповнення та надсилання форми автоматично створюються необхідні заявки у системі технічної підтримки користувачів на базі HP Service Manager. Вони надходять відповідальним за узгодження того чи іншого доступу і, якщо доступи схвалені, — фахівцям, які виконують частину операцій, поки що не автоматизовані.
Після того, як стадія бізнес-процесу із залученням фахівців відпрацювала, починається та частина послуги, яка автоматично створює правила на міжмережевих екранах.
Як фінальний акорд, користувач бачить на порталі успішно виконаний запит. Це означає, що правило створено і з ним можна працювати – переглянути, змінити, видалити.
Фінальний рахунок користі
По суті, ми модернізували невеликі аспекти роботи приватної хмари, але банк отримав помітний ефект. Користувачі тепер отримують мережеві доступи лише через портал, не маючи справи з Service Desk. Обов'язкові поля форми, їх валідація на коректність даних, передбачені списки, додаткові дані — все це допомагає сформувати точний запит на доступ, який з високою ймовірністю буде розглянутий і не загорнутий співробітниками ІБ через помилки введення. Віртуалки перестали бути чорними ящиками – з ними можна працювати далі, вносячи зміни на порталі.
У результаті сьогодні ІТ-фахівці банку мають у своєму розпорядженні більш зручний інструмент для отримання доступів, а в процес залучені лише ті люди, без яких поки що точно не обійтися. У сумі з трудовитрат це звільнення від щоденного повного завантаження як мінімум 1 людини, а також десятки зекономлених годин для користувачів. Автоматизація створення правил уможливила впровадження рішення щодо мікросегментації, яке не створює навантаження на співробітників банку.
І нарешті «правило доступу» стало обліковою одиницею хмари. Тобто зараз хмара зберігає інформацію про правила для всіх ВМ та підчищає їх при видаленні віртуалок.
Незабаром плюси модернізації поширилися і на всю хмару банку. Автоматизація процесу створення ВМ і мікросегментація зробили крок за межі DMZ і захопили інші сегменти. А це підвищило безпеку хмари загалом.
Реалізоване рішення цікаве ще й тим, що воно дозволяє банку прискорити процеси розробки, наближаючи його за цим критерієм моделі ІТ-компаній. Адже коли йдеться про мобільні додатки, портали, клієнтські сервіси, будь-яка велика компанія сьогодні прагне стати «фабрикою» з випуску цифрових продуктів. У цьому сенсі банки практично грають нарівні із найсильнішими ІТ-компаніями, не відстаючи у створенні нових додатків. І добре, коли можливості ІТ-інфраструктури, побудованої за моделлю приватної хмари, дозволяють виділити необхідні для цього ресурси за кілька хвилин і максимально безпечно.
Автори:
В'ячеслав Медведєв, начальник відділу хмарних обчислень «Інфосистеми Джет»,
Ілля Куйкін, провідний інженер відділу хмарних обчислень «Інфосистеми Джет»
Джерело: habr.com