在云中创建虚拟机 (VM) 困难吗?并不比泡茶困难。但对于一家大公司来说,即使是这样一个简单的行动也可能会变得漫长得令人痛苦。创建虚拟机还不够;您还需要根据所有法规获得必要的工作访问权限。每个开发人员都经历过熟悉的痛苦吗?在一家大型银行,这一过程需要几个小时到几天的时间。而且由于每个月都有数百起类似的操作,因此很容易想象这种耗费劳动力的计划的规模。为了结束这种情况,我们对银行的私有云进行了现代化改造,不仅实现了虚拟机创建过程的自动化,还实现了相关操作的自动化。
任务1。具有互联网连接的云
该银行利用其内部 IT 团队为网络的单个部分创建了私有云。随着时间的推移,管理层认识到其优势,并决定将私有云概念扩展到银行的其他环境和部门。这需要更多的专家和强大的私有云专业知识。因此,我们的团队被委托负责云的现代化。
该项目的主要内容是在信息安全的另一个部分 - 非军事区 (DMZ) 中创建虚拟机。这是银行服务与银行基础设施外部的外部系统集成的地方。
但这枚奖牌也有不利的一面。 DMZ 的服务可在“外部”使用,这会带来一系列信息安全风险。首先,这是黑客系统的威胁,随后扩大DMZ中的攻击领域,然后渗透到银行的基础设施中。为了最大限度地减少其中一些风险,我们建议使用额外的安全措施 - 微分段解决方案。
微分段保护
经典分段使用防火墙在网络边界构建受保护的边界。通过微分段,每个单独的虚拟机都可以分为一个个人的、隔离的段。
这增强了整个系统的安全性。即使攻击者入侵了一台 DMZ 服务器,他们也很难在整个网络中传播攻击 - 他们必须突破网络内的许多“上锁的门”。每个虚拟机的个人防火墙都有自己的规则,决定了进入和退出的权限。我们使用 VMware NSX-T 分布式防火墙提供微分段。该产品集中为虚拟机创建防火墙规则并将其分布在虚拟化基础设施中。无论使用哪个来宾操作系统,该规则都适用于将虚拟机连接到网络的级别。
问题N2。追求速度和便利
部署虚拟机?容易地!单击几下即可完成。但随后出现了许多问题:如何从该虚拟机访问另一个虚拟机或系统?或者从另一个系统返回到VM?
例如,在银行中,在云门户上订购虚拟机后,需要打开技术支持门户并提交提供必要访问权限的请求。申请中的一个错误导致我们打电话和写信来纠正这种情况。同时,一台虚拟机可以有 10-15-20 次访问,处理每一次访问都需要时间。恶魔的过程。
此外,“清理”远程虚拟机的生命活动痕迹也需要特别小心。删除后,数千条访问规则仍保留在防火墙上,加载设备。这既是额外的负担,也是安全漏洞。
您无法通过云中的规则来做到这一点。既不方便又不安全。
为了最大限度地缩短虚拟机访问时间并方便管理,我们开发了虚拟机网络访问管理服务。
用户在虚拟机级别的上下文菜单中选择一项来创建访问规则,然后在打开的表单中指定参数——来自何处、何处、协议类型、端口号。填写并提交表单后,基于 HP Service Manager 的用户技术支持系统会自动创建必要的票据。他们负责批准这种或那种访问,如果访问获得批准,他们负责批准执行某些尚未自动化的操作的专家。
在涉及专家的业务流程阶段完成后,服务部分开始自动在防火墙上创建规则。
作为最后的和弦,用户在门户上看到成功完成的请求。这意味着规则已创建,您可以使用它 - 查看、更改、删除。
最终福利分数
本质上,我们对私有云的小方面进行了现代化改造,但银行收到了明显的效果。用户现在只能通过门户获得网络访问权限,而无需直接与服务台打交道。强制性表单字段、对输入数据正确性的验证、预配置列表、附加数据 - 所有这些都有助于制定准确的访问请求,信息安全员工很可能会考虑该请求,而不会拒绝该请求。输入错误。虚拟机不再是黑匣子 - 您可以通过在门户上进行更改来继续使用它们。
因此,如今银行的 IT 专家可以使用更方便的工具来获取访问权限,并且只有这些人参与该过程,没有他们,他们绝对离不开他们。总的来说,就人工成本而言,这对于每天至少1人的满负荷来说是一种释放,同时也为用户节省了几十个小时。规则创建的自动化使得实施微分段解决方案成为可能,并且不会给银行员工造成负担。
最后,“访问规则”成为云的记账单位。也就是说,现在云存储有关所有虚拟机的规则的信息,并在删除虚拟机时清除它们。
很快,现代化的好处将蔓延到整个银行的云中。 VM 创建过程和微分段的自动化已经超越了 DMZ 并捕获了其他分段。这提高了整个云的安全性。
实施的解决方案还很有趣,因为它允许银行加快开发流程,使其更接近根据此标准的 IT 公司模型。毕竟,在移动应用程序、门户网站和客户服务方面,当今任何大公司都致力于成为生产数字产品的“工厂”。从这个意义上说,银行实际上与最强大的 IT 公司处于同一水平,紧跟新应用程序的创建。如果基于私有云模型构建的 IT 基础设施的功能允许您在几分钟内尽可能安全地为此分配必要的资源,那就太好了。
作者:
Vyacheslav Medvedev,Jet Infosystems 云计算部门主管,
Ilya Kuikin,Jet Infosystems 云计算部门首席工程师
来源: habr.com