在雲端中建立虛擬機器 (VM) 困難嗎? 並不比泡茶困難。 但對於一家大公司來說,即使是這樣簡單的行動也可能會變得漫長得令人痛苦。 建立虛擬機器還不夠;您還需要根據所有法規獲得必要的工作存取權限。 每個開發人員都經歷過熟悉的痛苦嗎? 在一家大型銀行,這個過程需要幾個小時到幾天的時間。 而且由於每個月都有數百起類似的操作,因此很容易想像這種耗費勞動力的計劃的規模。 為了結束這種情況,我們對銀行的私有雲進行了現代化改造,不僅實現了虛擬機器創建過程的自動化,還實現了相關操作的自動化。
任務1。 具有網路連線的雲
該銀行利用其內部 IT 團隊為網路的單一部分創建了私有雲。 隨著時間的推移,管理層認識到其優勢,並決定將私有雲概念擴展到銀行的其他環境和部門。 這需要更多的專家和強大的私有雲專業知識。 因此,我們的團隊被委託負責雲端的現代化。
該專案的主要內容是在資訊安全的另一個部分 - 非軍事區 (DMZ) 中建立虛擬機器。 這是銀行服務與銀行基礎設施外部的外部系統整合的地方。
但這面獎牌也有不利的一面。 DMZ 的服務可在「外部」使用,這會帶來一系列資訊安全風險。 首先,這是駭客系統的威脅,隨後擴大DMZ中的攻擊領域,然後滲透到銀行的基礎設施。 為了最大限度地減少其中一些風險,我們建議使用額外的安全措施 - 微分段解決方案。
微分段保護
經典分段使用防火牆在網路邊界建立受保護的邊界。 透過微分段,每個單獨的虛擬機器可以分為一個個人的、隔離的段落。
這增強了整個系統的安全性。 即使攻擊者入侵了一台 DMZ 伺服器,他們也很難在整個網路中傳播攻擊 - 他們必須突破網路內的許多「上鎖的門」。 每個虛擬機器的個人防火牆都有自己的規則,決定了進入和退出的權限。 我們使用 VMware NSX-T 分散式防火牆提供微分段。 此產品集中為虛擬機器建立防火牆規則並將其分佈在虛擬化基礎架構中。 無論使用哪個來賓作業系統,此規則都適用於將虛擬機器連接到網路的層級。
問題N2。 追求速度與便利
部署虛擬機器? 容易! 點擊幾下即可完成。 但隨後出現了許多問題:如何從該虛擬機器存取另一個虛擬機器或系統? 或從另一個系統返回VM?
例如,在銀行中,在雲端入口網站訂購虛擬機器後,需要打開技術支援入口網站並提交提供必要存取權限的請求。 申請中的一個錯誤導致我們打電話和寫信來糾正這種情況。 同時,一台虛擬機器可以有 10-15-20 次訪問,處理每一次訪問都需要時間。 惡魔的過程。
此外,「清理」遠端虛擬機器的生命活動痕跡也需要特別小心。 刪除後,數千條存取規則仍保留在防火牆上,載入裝置。 這既是額外的負擔,也是安全漏洞。
您無法透過雲端中的規則來做到這一點。 既不方便又不安全。
為了最大限度地縮短虛擬機器存取時間並方便管理,我們開發了虛擬機器網路存取管理服務。
使用者在虛擬機器層級的上下文功能表中選擇一項來建立存取規則,然後在開啟的表單中指定參數-來自何處、何處、協定類型、連接埠號碼。 填寫並提交表單後,基於 HP Service Manager 的使用者技術支援系統會自動建立必要的票據。 他們負責批准這種或那種訪問,如果訪問獲得批准,他們負責批准執行某些尚未自動化的操作的專家。
在涉及專家的業務流程階段完成後,服務部分開始自動在防火牆上建立規則。
作為最後的和弦,使用者在入口網站上看到成功完成的請求。 這意味著規則已創建,您可以使用它 - 查看、更改、刪除。
最終福利分數
本質上,我們對私有雲的一些小方面進行了現代化改造,但銀行收到了明顯的效果。 使用者現在只能透過入口網站取得網路存取權限,而無需直接與服務台打交道。 強制性表單欄位、對輸入資料正確性的驗證、預先配置清單、附加資料 - 所有這些都有助於製定準確的存取請求,資訊安全員工很可能會考慮該請求,而不會拒絕該請求。輸入錯誤。 虛擬機器不再是黑盒子 - 您可以透過在入口網站上進行更改來繼續使用它們。
因此,如今銀行的 IT 專家可以使用更方便的工具來獲取存取權限,而只有這些人參與這個過程,沒有他們,他們絕對離不開他們。 總的來說,就人工成本而言,這對於每天至少1人的滿載來說是一種釋放,同時也為用戶節省了幾十個小時。 規則創建的自動化使得實施微分段解決方案成為可能,並且不會對銀行員工造成負擔。
最後,「存取規則」成為雲端的記帳單位。 也就是說,現在雲端儲存有關所有虛擬機的規則的信息,並在刪除虛擬機時清除它們。
很快,現代化的好處將蔓延到整個銀行的雲端。 VM 創建過程和微分段的自動化已經超越了 DMZ 並捕獲了其他分段。 這提高了整個雲端的安全性。
實施的解決方案還很有趣,因為它允許銀行加快開發流程,使其更接近根據此標準的 IT 公司模型。 畢竟,在行動應用程式、入口網站和客戶服務方面,當今任何大公司都致力於成為生產數位產品的「工廠」。 從這個意義上說,銀行實際上與最強大的 IT 公司處於同一水平,緊跟新應用程式的創建。 如果基於私有雲模型建置的 IT 基礎架構的功能可讓您在幾分鐘內盡可能安全地為此分配必要的資源,那就太好了。
作者:
Vyacheslav Medvedev,Jet Infosystems 雲端運算部門主管,
Ilya Kuikin,Jet Infosystems 雲端運算部門首席工程師
來源: www.habr.com