Tạo máy ảo (VM) trên đám mây có khó không? Không khó hơn việc pha trà. Nhưng đối với một tập đoàn lớn, ngay cả một hành động đơn giản như vậy cũng có thể kéo dài một cách đau đớn. Tạo một máy ảo thôi là chưa đủ, bạn còn cần có được quyền truy cập cần thiết để làm việc theo mọi quy định. Một nỗi đau quen thuộc của mọi nhà phát triển? Ở một ngân hàng lớn, thủ tục này mất từ vài giờ đến vài ngày. Và vì có hàng trăm hoạt động tương tự mỗi tháng nên có thể dễ dàng hình dung quy mô của kế hoạch tiêu tốn nhiều lao động này. Để chấm dứt tình trạng này, chúng tôi đã hiện đại hóa đám mây riêng của ngân hàng và tự động hóa không chỉ quá trình tạo máy ảo mà còn cả các hoạt động liên quan.
Nhiệm vụ số 1. Đám mây có kết nối Internet
Ngân hàng đã tạo ra một đám mây riêng bằng cách sử dụng nhóm CNTT nội bộ của mình cho một phân đoạn mạng. Theo thời gian, ban lãnh đạo đánh giá cao lợi ích của nó và quyết định mở rộng khái niệm đám mây riêng sang các môi trường và phân khúc khác của ngân hàng. Điều này đòi hỏi nhiều chuyên gia hơn và kiến thức chuyên môn vững chắc về đám mây riêng. Vì vậy, nhóm của chúng tôi được giao nhiệm vụ hiện đại hóa đám mây.
Luồng chính của dự án này là tạo ra các máy ảo trong một phân khúc bổ sung về bảo mật thông tin - trong khu phi quân sự (DMZ). Đây là nơi các dịch vụ của ngân hàng được tích hợp với các hệ thống bên ngoài nằm bên ngoài cơ sở hạ tầng ngân hàng.
Nhưng tấm huy chương này cũng có mặt trái của nó. Các dịch vụ từ DMZ đều có sẵn “bên ngoài” và điều này kéo theo một loạt rủi ro về bảo mật thông tin. Trước hết, đây là mối đe dọa từ các hệ thống hack, sau đó là mở rộng lĩnh vực tấn công trong DMZ, sau đó xâm nhập vào cơ sở hạ tầng của ngân hàng. Để giảm thiểu một số rủi ro này, chúng tôi đã đề xuất sử dụng một biện pháp bảo mật bổ sung - giải pháp phân đoạn vi mô.
Bảo vệ phân đoạn vi mô
Phân đoạn cổ điển xây dựng các ranh giới được bảo vệ ở ranh giới của mạng bằng tường lửa. Với phân đoạn vi mô, mỗi VM riêng lẻ có thể được tách thành một phân đoạn cá nhân, biệt lập.
Điều này giúp tăng cường tính bảo mật của toàn bộ hệ thống. Ngay cả khi những kẻ tấn công hack một máy chủ DMZ, việc lây lan cuộc tấn công trên mạng sẽ vô cùng khó khăn - chúng sẽ phải vượt qua nhiều “cánh cửa bị khóa” trong mạng. Tường lửa cá nhân của mỗi VM chứa các quy tắc riêng liên quan đến nó, xác định quyền vào và thoát. Chúng tôi đã cung cấp tính năng phân đoạn vi mô bằng Tường lửa phân tán VMware NSX-T. Sản phẩm này tạo tập trung các quy tắc tường lửa cho máy ảo và phân phối chúng trên cơ sở hạ tầng ảo hóa. Việc sử dụng hệ điều hành khách nào không quan trọng, quy tắc này được áp dụng ở cấp độ kết nối máy ảo với mạng.
Vấn đề N2. Tìm kiếm tốc độ và sự tiện lợi
Triển khai một máy ảo? Một cách dễ dàng! Một vài cú nhấp chuột và bạn đã hoàn tất. Nhưng sau đó có nhiều câu hỏi được đặt ra: làm cách nào để có quyền truy cập từ máy ảo này sang máy ảo hoặc hệ thống khác? Hoặc từ hệ thống khác trở lại VM?
Ví dụ: trong một ngân hàng, sau khi đặt hàng VM trên cổng đám mây, cần phải mở cổng hỗ trợ kỹ thuật và gửi yêu cầu cung cấp quyền truy cập cần thiết. Một lỗi trong ứng dụng đã dẫn đến các cuộc gọi và thư từ để khắc phục tình trạng này. Đồng thời, một máy ảo có thể có 10-15-20 quyền truy cập và việc xử lý mỗi lần đều mất thời gian. Quá trình của quỷ.
Ngoài ra, việc "dọn dẹp" dấu vết hoạt động sống của các máy ảo từ xa cần được chăm sóc đặc biệt. Sau khi chúng bị xóa, hàng nghìn quy tắc truy cập vẫn còn trên tường lửa, tải thiết bị. Đây vừa là gánh nặng vừa là lỗ hổng bảo mật.
Bạn không thể làm điều này với các quy tắc trên đám mây. Thật bất tiện và không an toàn.
Để giảm thiểu thời gian cần thiết để cung cấp quyền truy cập vào máy ảo và giúp việc quản lý chúng trở nên thuận tiện, chúng tôi đã phát triển dịch vụ quản lý truy cập mạng cho máy ảo.
Người dùng ở cấp độ máy ảo trong menu ngữ cảnh chọn một mục để tạo quy tắc truy cập, sau đó trong biểu mẫu mở ra sẽ chỉ định các tham số - từ đâu, ở đâu, loại giao thức, số cổng. Sau khi điền và gửi biểu mẫu, các phiếu cần thiết sẽ tự động được tạo trong hệ thống hỗ trợ kỹ thuật người dùng dựa trên Trình quản lý dịch vụ của HP. Họ chịu trách nhiệm phê duyệt quyền truy cập này hoặc quyền truy cập đó và, nếu quyền truy cập được phê duyệt, đối với các chuyên gia thực hiện một số thao tác chưa được tự động hóa.
Sau khi giai đoạn của quy trình kinh doanh liên quan đến các chuyên gia đã hoạt động, phần dịch vụ bắt đầu tự động tạo các quy tắc trên tường lửa.
Là hợp âm cuối cùng, người dùng sẽ thấy yêu cầu đã hoàn thành thành công trên cổng thông tin. Điều này có nghĩa là quy tắc đã được tạo và bạn có thể làm việc với nó - xem, thay đổi, xóa.
Điểm lợi ích cuối cùng
Về cơ bản, chúng tôi đã hiện đại hóa các khía cạnh nhỏ của đám mây riêng, nhưng ngân hàng đã nhận được hiệu quả rõ rệt. Người dùng hiện chỉ nhận được quyền truy cập mạng thông qua cổng mà không cần giao dịch trực tiếp với Service Desk. Các trường biểu mẫu bắt buộc, xác thực của chúng về tính chính xác của dữ liệu đã nhập, danh sách được định cấu hình trước, dữ liệu bổ sung - tất cả những điều này giúp hình thành yêu cầu truy cập chính xác, với khả năng cao sẽ được nhân viên bảo mật thông tin xem xét và không từ chối do đến lỗi đầu vào. Máy ảo không còn là hộp đen nữa—bạn có thể tiếp tục làm việc với chúng bằng cách thực hiện các thay đổi trên cổng thông tin.
Do đó, ngày nay các chuyên gia CNTT của ngân hàng có sẵn một công cụ thuận tiện hơn để truy cập và chỉ những người đó mới tham gia vào quá trình này, nếu không có họ chắc chắn không thể thiếu họ. Tổng cộng, xét về chi phí nhân công, đây là sự giải phóng khỏi công việc đầy tải hàng ngày của ít nhất 1 người, cũng như tiết kiệm được hàng chục giờ cho người dùng. Tự động hóa việc tạo quy tắc giúp có thể triển khai giải pháp phân khúc vi mô mà không tạo gánh nặng cho nhân viên ngân hàng.
Và cuối cùng, “quy tắc truy cập” đã trở thành đơn vị kế toán của đám mây. Nghĩa là, bây giờ đám mây lưu trữ thông tin về các quy tắc cho tất cả các máy ảo và dọn sạch chúng khi máy ảo bị xóa.
Chẳng bao lâu nữa, lợi ích của việc hiện đại hóa sẽ lan rộng đến toàn bộ đám mây của ngân hàng. Tự động hóa quy trình tạo VM và phân khúc vi mô đã vượt ra ngoài DMZ và chiếm lĩnh các phân khúc khác. Và điều này đã tăng cường tính bảo mật của toàn bộ đám mây.
Giải pháp được triển khai còn thú vị ở chỗ nó cho phép ngân hàng đẩy nhanh quá trình phát triển, đưa ngân hàng đến gần hơn với mô hình công ty CNTT theo tiêu chí này. Xét cho cùng, khi nói đến ứng dụng di động, cổng thông tin và dịch vụ khách hàng, bất kỳ công ty lớn nào ngày nay đều cố gắng trở thành “nhà máy” sản xuất các sản phẩm kỹ thuật số. Theo nghĩa này, các ngân hàng thực tế ngang hàng với các công ty CNTT mạnh nhất, theo kịp việc tạo ra các ứng dụng mới. Và thật tốt khi khả năng của cơ sở hạ tầng CNTT được xây dựng trên mô hình đám mây riêng cho phép bạn phân bổ các tài nguyên cần thiết cho việc này trong vài phút và an toàn nhất có thể.
Các tác giả:
Vyacheslav Medvedev, Trưởng phòng Điện toán đám mây, Jet Infosystems,
Ilya Kuikin, kỹ sư trưởng bộ phận điện toán đám mây của Jet Infosystems
Nguồn: www.habr.com