کیا کلاؤڈ میں ورچوئل مشین (VM) بنانا مشکل ہے؟ چائے بنانے سے زیادہ مشکل نہیں۔ لیکن جب بات کسی بڑے کارپوریشن کی ہو، تو اس طرح کی ایک سادہ سی کارروائی بھی تکلیف دہ حد تک طویل ہو سکتی ہے۔ ورچوئل مشین بنانا کافی نہیں ہے؛ آپ کو تمام ضوابط کے مطابق کام کرنے کے لیے ضروری رسائی حاصل کرنے کی بھی ضرورت ہے۔ ہر ڈویلپر کے لئے ایک واقف درد؟ ایک بڑے بینک میں، اس طریقہ کار کو کئی گھنٹوں سے لے کر کئی دن تک کا وقت لگتا تھا۔ اور چونکہ ہر ماہ اسی طرح کے سیکڑوں آپریشن ہوتے تھے، اس لیے اس محنت کش اسکیم کے پیمانے کا تصور کرنا آسان ہے۔ اس کو ختم کرنے کے لیے، ہم نے بینک کے پرائیویٹ کلاؤڈ کو جدید بنایا اور نہ صرف VMs بنانے کے عمل کو خودکار بنایا، بلکہ متعلقہ آپریشنز کو بھی۔
ٹاسک نمبر 1۔ انٹرنیٹ کنیکشن کے ساتھ کلاؤڈ
بینک نے نیٹ ورک کے ایک حصے کے لیے اپنی اندرونی IT ٹیم کا استعمال کرتے ہوئے ایک نجی کلاؤڈ بنایا۔ وقت گزرنے کے ساتھ، انتظامیہ نے اس کے فوائد کو سراہا اور نجی کلاؤڈ تصور کو بینک کے دیگر ماحول اور طبقات تک بڑھانے کا فیصلہ کیا۔ اس کے لیے نجی بادلوں میں مزید ماہرین اور مضبوط مہارت کی ضرورت تھی۔ اس لیے ہماری ٹیم کو کلاؤڈ کو جدید بنانے کا کام سونپا گیا۔
اس منصوبے کا مرکزی دھارا انفارمیشن سیکیورٹی کے ایک اضافی حصے میں - غیر فوجی زون (DMZ) میں ورچوئل مشینوں کی تخلیق تھا۔ یہ وہ جگہ ہے جہاں بینک کی خدمات بینکنگ انفراسٹرکچر سے باہر واقع بیرونی نظاموں کے ساتھ مربوط ہوتی ہیں۔
لیکن اس تمغے کا بھی ایک رخ تھا۔ DMZ کی خدمات "باہر" دستیاب تھیں اور اس میں معلومات کے تحفظ کے خطرات کا ایک پورا مجموعہ شامل تھا۔ سب سے پہلے، یہ نظام ہیکنگ کا خطرہ ہے، بعد ازاں DMZ میں حملے کے میدان میں توسیع، اور پھر بینک کے بنیادی ڈھانچے میں دخول۔ ان میں سے کچھ خطرات کو کم کرنے کے لیے، ہم نے ایک اضافی حفاظتی اقدام - ایک مائیکرو سیگمنٹیشن حل استعمال کرنے کی تجویز پیش کی۔
مائیکرو سیگمنٹیشن تحفظ
کلاسک سیگمنٹیشن فائر وال کا استعمال کرتے ہوئے نیٹ ورکس کی حدود میں محفوظ حدود بناتی ہے۔ مائیکرو سیگمنٹیشن کے ساتھ، ہر انفرادی VM کو ذاتی، الگ تھلگ طبقہ میں الگ کیا جا سکتا ہے۔
یہ پورے نظام کی حفاظت کو بڑھاتا ہے۔ یہاں تک کہ اگر حملہ آور ایک DMZ سرور کو ہیک کر لیتے ہیں، تب بھی ان کے لیے حملے کو پورے نیٹ ورک پر پھیلانا انتہائی مشکل ہو جائے گا - انہیں نیٹ ورک کے اندر بہت سے "مقفل دروازے" کو توڑنا پڑے گا۔ ہر VM کے ذاتی فائر وال میں اس کے متعلق اس کے اپنے اصول ہوتے ہیں، جو داخل ہونے اور باہر نکلنے کے حق کا تعین کرتے ہیں۔ ہم نے VMware NSX-T تقسیم شدہ فائر وال کا استعمال کرتے ہوئے مائیکرو سیگمنٹیشن فراہم کی۔ یہ پروڈکٹ مرکزی طور پر VMs کے لیے فائر وال کے اصول بناتی ہے اور انہیں ورچوئلائزیشن کے بنیادی ڈھانچے میں تقسیم کرتی ہے۔ اس سے کوئی فرق نہیں پڑتا ہے کہ کون سا مہمان OS استعمال کیا جاتا ہے، یہ اصول ورچوئل مشینوں کو نیٹ ورک سے منسلک کرنے کی سطح پر لاگو ہوتا ہے۔
مسئلہ N2۔ رفتار اور سہولت کی تلاش میں
ایک ورچوئل مشین تعینات کریں؟ آسانی سے! چند کلکس اور آپ کا کام ہو گیا۔ لیکن پھر بہت سے سوالات پیدا ہوتے ہیں: اس VM سے دوسرے یا سسٹم تک رسائی کیسے حاصل کی جائے؟ یا کسی دوسرے سسٹم سے واپس VM میں؟
مثال کے طور پر، ایک بینک میں، کلاؤڈ پورٹل پر VM آرڈر کرنے کے بعد، تکنیکی مدد کے پورٹل کو کھولنا اور ضروری رسائی کی فراہمی کے لیے درخواست جمع کروانا ضروری تھا۔ درخواست میں خرابی کے نتیجے میں صورتحال کو درست کرنے کے لیے کالز اور خط و کتابت ہوئی۔ ایک ہی وقت میں، ایک VM میں 10-15-20 رسائی ہو سکتی ہے اور ہر ایک پر کارروائی کرنے میں وقت لگتا ہے۔ شیطان کا عمل۔
اس کے علاوہ، ریموٹ ورچوئل مشینوں کی زندگی کی سرگرمی کے نشانات کو "صفائی" کرنے کے لیے خصوصی دیکھ بھال کی ضرورت ہوتی ہے۔ انہیں ہٹائے جانے کے بعد، آلات کو لوڈ کرتے ہوئے، فائر وال پر رسائی کے ہزاروں قواعد موجود رہے۔ یہ ایک اضافی بوجھ اور حفاظتی سوراخ دونوں ہے۔
آپ بادل میں قواعد کے ساتھ ایسا نہیں کر سکتے ہیں۔ یہ تکلیف دہ اور غیر محفوظ ہے۔
VMs تک رسائی فراہم کرنے میں لگنے والے وقت کو کم کرنے اور ان کا انتظام کرنے میں آسان بنانے کے لیے، ہم نے VMs کے لیے نیٹ ورک ایکسیس مینجمنٹ سروس تیار کی ہے۔
سیاق و سباق کے مینو میں ورچوئل مشین کی سطح پر صارف رسائی کا اصول بنانے کے لیے ایک آئٹم کا انتخاب کرتا ہے، اور پھر جو فارم کھلتا ہے اس میں پیرامیٹرز کی وضاحت ہوتی ہے - کہاں سے، کہاں، پروٹوکول کی اقسام، پورٹ نمبر۔ فارم کو پُر کرنے اور جمع کرانے کے بعد، HP سروس مینیجر کی بنیاد پر صارف کے تکنیکی معاونت کے نظام میں ضروری ٹکٹ خود بخود بن جاتے ہیں۔ وہ اس یا اس رسائی کو منظور کرنے کے ذمہ دار ہیں اور، اگر رسائی منظور ہو جاتی ہے، تو ایسے ماہرین کے لیے جو کچھ ایسے آپریشنز انجام دیتے ہیں جو ابھی تک خودکار نہیں ہیں۔
ماہرین کو شامل کرنے والے کاروباری عمل کے مرحلے پر کام کرنے کے بعد، سروس کا وہ حصہ شروع ہوتا ہے جو خود بخود فائر والز پر قوانین بناتا ہے۔
حتمی راگ کے طور پر، صارف پورٹل پر کامیابی سے مکمل شدہ درخواست دیکھتا ہے۔ اس کا مطلب یہ ہے کہ اصول بنا دیا گیا ہے اور آپ اس کے ساتھ کام کر سکتے ہیں - دیکھیں، تبدیل کریں، حذف کریں۔
فوائد کا حتمی اسکور
بنیادی طور پر، ہم نے نجی کلاؤڈ کے چھوٹے پہلوؤں کو جدید بنایا، لیکن بینک کو نمایاں اثر ملا۔ صارفین اب سروس ڈیسک سے براہ راست ڈیل کیے بغیر، صرف پورٹل کے ذریعے نیٹ ورک تک رسائی حاصل کرتے ہیں۔ لازمی فارم فیلڈز، درج کردہ ڈیٹا کی درستگی کے لیے ان کی توثیق، پہلے سے تشکیل شدہ فہرستیں، اضافی ڈیٹا - یہ سب ایک درست رسائی کی درخواست کو تیار کرنے میں مدد کرتا ہے، جس پر بہت زیادہ امکان کے ساتھ غور کیا جائے گا اور انفارمیشن سیکیورٹی ملازمین کی وجہ سے اسے مسترد نہیں کیا جائے گا۔ غلطیاں داخل کرنے کے لیے۔ ورچوئل مشینیں اب بلیک باکس نہیں رہیں — آپ پورٹل پر تبدیلیاں کرکے ان کے ساتھ کام جاری رکھ سکتے ہیں۔
نتیجے کے طور پر، آج بینک کے آئی ٹی ماہرین کے پاس رسائی حاصل کرنے کے لیے ایک زیادہ آسان ٹول ہے، اور صرف وہی لوگ اس عمل میں شامل ہیں، جن کے بغیر وہ یقینی طور پر نہیں کر سکتے۔ مجموعی طور پر، مزدوری کے اخراجات کے لحاظ سے، یہ کم از کم 1 شخص کے یومیہ مکمل بوجھ سے رہائی ہے، اور ساتھ ہی صارفین کے لیے درجنوں گھنٹے بچائے گئے ہیں۔ قاعدے کی تخلیق کے آٹومیشن نے مائیکرو سیگمنٹیشن حل کو لاگو کرنا ممکن بنایا جو بینک ملازمین پر بوجھ نہیں ڈالتا ہے۔
اور آخر کار، "رسائی کا اصول" کلاؤڈ کا اکاؤنٹنگ یونٹ بن گیا۔ یعنی، اب کلاؤڈ تمام VMs کے قوانین کے بارے میں معلومات کو ذخیرہ کرتا ہے اور ورچوئل مشینوں کے حذف ہونے پر انہیں صاف کرتا ہے۔
جلد ہی جدیدیت کے فوائد پورے بینک کے کلاؤڈ میں پھیل جائیں گے۔ VM تخلیق کے عمل کی آٹومیشن اور مائیکرو سیگمنٹیشن نے DMZ سے آگے بڑھ کر دوسرے حصوں کو اپنی گرفت میں لے لیا ہے۔ اور اس سے کلاؤڈ کی سیکورٹی میں مجموعی طور پر اضافہ ہوا۔
نافذ کردہ حل اس لحاظ سے بھی دلچسپ ہے کہ یہ بینک کو ترقی کے عمل کو تیز کرنے کی اجازت دیتا ہے، اس معیار کے مطابق اسے آئی ٹی کمپنیوں کے ماڈل کے قریب لاتا ہے۔ آخر کار، جب موبائل ایپلیکیشنز، پورٹلز اور کسٹمر سروسز کی بات آتی ہے، آج کوئی بھی بڑی کمپنی ڈیجیٹل مصنوعات کی تیاری کے لیے ایک "فیکٹری" بننے کی کوشش کرتی ہے۔ اس لحاظ سے، بینک عملی طور پر مضبوط ترین آئی ٹی کمپنیوں کے برابر کھیلتے ہیں، نئی ایپلی کیشنز کی تخلیق کو برقرار رکھتے ہوئے۔ اور یہ اچھا ہے جب نجی کلاؤڈ ماڈل پر بنائے گئے IT انفراسٹرکچر کی صلاحیتیں آپ کو چند منٹوں میں اور جتنا ممکن ہو محفوظ طریقے سے اس کے لیے ضروری وسائل مختص کرنے کی اجازت دیتی ہیں۔
مصنفین:
ویاچسلاو میدویدیف، کلاؤڈ کمپیوٹنگ ڈیپارٹمنٹ کے سربراہ، جیٹ انفو سسٹم,
جیٹ انفو سسٹمز کے کلاؤڈ کمپیوٹنگ ڈپارٹمنٹ کے معروف انجینئر الیا کویکن
ماخذ: www.habr.com