Bulutda virtual mashina (VM) yaratish qiyinmi? Choy tayyorlashdan qiyinroq emas. Ammo yirik korporatsiya haqida gap ketganda, hatto bunday oddiy harakat ham og'riqli uzoq davom etishi mumkin. Virtual mashinani yaratishning o'zi etarli emas, shuningdek, barcha qoidalarga muvofiq ishlash uchun kerakli ruxsatni olishingiz kerak. Har bir ishlab chiquvchi uchun tanish og'riqmi? Bitta yirik bankda bu protsedura bir necha soatdan bir necha kungacha davom etdi. Va har oyda yuzlab shunga o'xshash operatsiyalar bo'lganligi sababli, bu mehnat talab qiladigan sxemaning ko'lamini tasavvur qilish oson. Bunga chek qoβyish uchun biz bankning shaxsiy bulutini modernizatsiya qildik va nafaqat VM yaratish jarayonini, balki tegishli operatsiyalarni ham avtomatlashtirdik.
Vazifa β 1. Internetga ulangan bulutli
Bank tarmoqning yagona segmenti uchun ichki IT jamoasidan foydalangan holda shaxsiy bulutni yaratdi. Vaqt o'tishi bilan rahbariyat uning afzalliklarini yuqori baholadi va xususiy bulut kontseptsiyasini bankning boshqa muhitlari va segmentlariga kengaytirishga qaror qildi. Bu xususiy bulutlarda ko'proq mutaxassislar va kuchli tajribani talab qildi. Shuning uchun bizning jamoamizga bulutni modernizatsiya qilish ishonib topshirildi.
Ushbu loyihaning asosiy oqimi axborot xavfsizligining qo'shimcha segmentida - qurolsizlantirilgan zonada (DMZ) virtual mashinalarni yaratish edi. Bu yerda bank xizmatlari bank infratuzilmasidan tashqarida joylashgan tashqi tizimlar bilan birlashtirilgan.
Ammo bu medalning boshqa tomoni ham bor edi. DMZ xizmatlari "tashqarida" mavjud edi va bu axborot xavfsizligi xavflarining butun to'plamini talab qildi. Avvalo, bu tizimlarni buzish tahdidi, keyinchalik DMZda hujum maydonining kengayishi va keyin bank infratuzilmasiga kirib borishi. Ushbu xavflarning ayrimlarini minimallashtirish uchun biz qo'shimcha xavfsizlik chorasi - mikro-segmentatsiya yechimidan foydalanishni taklif qildik.
Mikro-segmentatsiyadan himoya qilish
Klassik segmentatsiya xavfsizlik devori yordamida tarmoqlar chegaralarida himoyalangan chegaralarni quradi. Mikrosegmentatsiya yordamida har bir alohida VM shaxsiy, izolyatsiya qilingan segmentga ajratilishi mumkin.
Bu butun tizimning xavfsizligini oshiradi. Agar tajovuzkorlar bitta DMZ serverini buzib kirishsa ham, ular uchun hujumni tarmoq bo'ylab tarqatish juda qiyin bo'ladi - ular tarmoq ichidagi ko'plab "qulflangan eshiklarni" yorib o'tishlari kerak bo'ladi. Har bir VM ning shaxsiy xavfsizlik devori unga tegishli qoidalarni o'z ichiga oladi, ular kirish va chiqish huquqini belgilaydi. Biz VMware NSX-T Distributed Firewall yordamida mikro-segmentatsiyani taqdim etdik. Ushbu mahsulot markaziy ravishda VMlar uchun xavfsizlik devori qoidalarini yaratadi va ularni virtualizatsiya infratuzilmasi bo'ylab tarqatadi. Qaysi mehmon OS ishlatilishi muhim emas, qoida virtual mashinalarni tarmoqqa ulash darajasida qo'llaniladi.
Muammo N2. Tezlik va qulaylikni izlashda
Virtual mashinani o'rnatasizmi? Osonlik bilan! Bir necha marta bosish va ish tugadi. Ammo keyin ko'plab savollar tug'iladi: ushbu VM dan boshqasiga yoki tizimga qanday kirish mumkin? Yoki boshqa tizimdan VM ga qaytishmi?
Masalan, bankda, bulutli portalda VMga buyurtma bergandan so'ng, texnik yordam portalini ochish va kerakli kirishni ta'minlash uchun so'rov yuborish kerak edi. Arizada xatolik tufayli vaziyatni to'g'irlash uchun qo'ng'iroqlar va yozishmalar paydo bo'ldi. Shu bilan birga, VM 10-15-20 ta kirishga ega bo'lishi mumkin va ularning har birini qayta ishlash vaqt talab etadi. Shayton jarayoni.
Bundan tashqari, masofaviy virtual mashinalarning hayotiy faoliyati izlarini "tozalash" alohida e'tibor talab qildi. Ular olib tashlanganidan keyin minglab kirish qoidalari xavfsizlik devorida qolib, uskunani yuklaydi. Bu ham qo'shimcha yuk, ham xavfsizlik teshiklari.
Bulutdagi qoidalar bilan buni qila olmaysiz. Bu noqulay va xavfsiz emas.
VM larga kirishni ta'minlash uchun ketadigan vaqtni kamaytirish va ularni boshqarishni qulay qilish uchun biz VM lar uchun tarmoqqa kirishni boshqarish xizmatini ishlab chiqdik.
Kontekst menyusidagi virtual mashina darajasida foydalanuvchi kirish qoidasini yaratish uchun elementni tanlaydi, so'ngra ochilgan shaklda parametrlarni ko'rsatadi - qayerdan, qayerdan, protokol turlari, port raqamlari. Shaklni to'ldirgandan va topshirgandan so'ng, kerakli chiptalar avtomatik ravishda HP Service Manager asosidagi foydalanuvchi texnik yordam tizimida yaratiladi. Ular u yoki bu kirishni ma'qullash uchun mas'uldirlar va agar kirish ruxsat etilgan bo'lsa, hali avtomatlashtirilmagan ba'zi operatsiyalarni bajaradigan mutaxassislarga.
Mutaxassislar ishtirokidagi biznes jarayonining bosqichi ishlagandan so'ng, xizmatning avtomatik ravishda xavfsizlik devorlari qoidalarini yaratadigan qismi boshlanadi.
Yakuniy akkord sifatida foydalanuvchi portalda muvaffaqiyatli bajarilgan so'rovni ko'radi. Bu qoida yaratilganligini anglatadi va siz u bilan ishlashingiz mumkin - ko'rish, o'zgartirish, o'chirish.
Imtiyozlarning yakuniy bahosi
Aslida, biz xususiy bulutning kichik jihatlarini modernizatsiya qildik, ammo bank sezilarli samara oldi. Endi foydalanuvchilar tarmoqqa kirishni faqat xizmat ko'rsatish stoliga to'g'ridan-to'g'ri murojaat qilmasdan portal orqali olishadi. Majburiy shakl maydonlari, kiritilgan ma'lumotlarning to'g'riligini tekshirish, oldindan tuzilgan ro'yxatlar, qo'shimcha ma'lumotlar - bularning barchasi yuqori ehtimollik bilan ko'rib chiqiladigan va axborot xavfsizligi xodimlari tomonidan rad etilmaydigan aniq kirish so'rovini shakllantirishga yordam beradi. kiritish xatolar uchun. Virtual mashinalar endi qora qutilar emas - portalga o'zgartirishlar kiritish orqali ular bilan ishlashni davom ettirishingiz mumkin.
Natijada, bugungi kunda bankning IT-mutaxassislari ixtiyorida kirish uchun qulayroq vosita mavjud va jarayonda faqat odamlar ishtirok etadilar, ularsiz ular aniq ishlamaydi. Hammasi bo'lib, mehnat xarajatlari nuqtai nazaridan, bu kamida 1 kishining kunlik to'liq yukidan ozod qilish, shuningdek, foydalanuvchilar uchun saqlangan o'nlab soatlar. Qoidalarni yaratishni avtomatlashtirish bank xodimlariga og'irlik qilmaydigan mikro-segmentatsiya yechimini amalga oshirish imkonini berdi.
Va nihoyat, "kirish qoidasi" bulutning buxgalteriya birligiga aylandi. Ya'ni, endi bulut barcha VMlar uchun qoidalar haqidagi ma'lumotlarni saqlaydi va virtual mashinalar o'chirilganda ularni tozalaydi.
Tez orada modernizatsiyaning afzalliklari butun bank bulutiga tarqaladi. VM yaratish jarayonini avtomatlashtirish va mikro-segmentatsiya DMZ doirasidan tashqariga chiqdi va boshqa segmentlarni qamrab oldi. Va bu umuman bulutning xavfsizligini oshirdi.
Amalga oshirilgan yechim bankka rivojlanish jarayonlarini tezlashtirish, uni ushbu mezon bo'yicha IT-kompaniyalar modeliga yaqinlashtirish imkonini berishi bilan ham qiziq. Axir, mobil ilovalar, portallar va mijozlarga xizmat ko'rsatish haqida gap ketganda, bugungi kunda har qanday yirik kompaniya raqamli mahsulotlarni ishlab chiqarish uchun "zavod" bo'lishga intiladi. Shu ma'noda banklar amalda eng kuchli IT-kompaniyalar bilan teng bo'lib, yangi ilovalar yaratishda davom etadilar. Xususiy bulutli modelga asoslangan IT infratuzilmasining imkoniyatlari buning uchun zarur resurslarni bir necha daqiqada va iloji boricha xavfsiz tarzda ajratishga imkon bersa, bu yaxshi.
Mualliflar:
Vyacheslav Medvedev, Jet Infosystems bulutli hisoblash bo'limi boshlig'i,
Ilya Kuikin, Jet Infosystems bulutli hisoblash bo'limi yetakchi muhandisi
Manba: www.habr.com