Сложно ли создать виртуальную машину (ВМ) в облаке? Не сложнее, чем заварить чай.
Но когда речь идет о крупной корпорации, даже такое простое действие может оказаться мучительно долгим.
Недостаточно создать виртуальную машину; вам также необходимо получить необходимый допуск к работе в соответствии со всеми нормативными актами.
Знакомая боль каждого разработчика? В одном крупном банке эта процедура заняла от нескольких часов до нескольких дней.
А поскольку подобных операций в месяц совершались сотни, нетрудно представить масштаб этой трудоемкой схемы.
Чтобы положить этому конец, мы модернизировали частное облако банка и автоматизировали не только процесс создания ВМ, но и сопутствующие операции.
Задача №1. Облако с подключением к Интернету
Банк создал частное облако, используя свою внутреннюю ИТ-команду для одного сегмента сети.Со временем руководство оценило его преимущества и решило распространить концепцию частного облака на другие среды и сегменты банка.
Это потребовало большего количества специалистов и большого опыта работы с частными облаками.
Поэтому нашей команде доверили модернизацию облака.
Основным направлением этого проекта стало создание виртуальных машин в дополнительном сегменте информационной безопасности – в демилитаризованной зоне (ДМЗ).
Здесь услуги банка интегрируются с внешними системами, расположенными за пределами банковской инфраструктуры.
Но у этой медали была и обратная сторона.
Сервисы из демилитаризованной зоны были доступны «извне», и это влекло за собой целый комплекс рисков информационной безопасности.
Прежде всего, это угроза взлома систем, последующего расширения поля атаки в демилитаризованной зоне, а затем и проникновения в инфраструктуру банка.
Чтобы минимизировать некоторые из этих рисков, мы предложили использовать дополнительную меру безопасности — решение микросегментации.
Защита от микросегментации
Классическая сегментация строит защищенные границы на границах сетей с помощью межсетевого экрана.
С помощью микросегментации каждую отдельную виртуальную машину можно разделить на личный изолированный сегмент. 
Это повышает безопасность всей системы.
Даже если злоумышленники взломают один сервер DMZ, им будет крайне сложно распространить атаку по сети — им придется прорваться через множество «запертых дверей» внутри сети.
Персональный фаервол каждой ВМ содержит в отношении нее свои правила, определяющие право входа и выхода.
Мы обеспечили микросегментацию с помощью распределенного межсетевого экрана VMware NSX-T. Этот продукт централизованно создает правила межсетевого экрана для виртуальных машин и распределяет их по инфраструктуре виртуализации.
Неважно, какая гостевая ОС используется, правило применяется на уровне подключения виртуальных машин к сети.
Проблема №2. В поисках скорости и удобства
Развернуть виртуальную машину? Легко! Пара кликов и все готово.Но тогда возникает много вопросов: как получить доступ с этой ВМ к другой или системе? Или из другой системы обратно на ВМ? Например, в банке после заказа ВМ на облачном портале нужно было открыть портал техподдержки и подать заявку на предоставление необходимого доступа.
Ошибка в приложении привела к звонкам и переписке для исправления ситуации.
При этом к ВМ может быть 10-15-20 обращений и обработка каждого занимала время.
Дьявольский процесс.
Кроме того, особой тщательности требовала «зачистка» следов жизнедеятельности удаленных виртуальных машин.
После их удаления на межсетевом экране остались тысячи правил доступа, нагружающих оборудование.
Это и дополнительная нагрузка, и дыры в безопасности.
Вы не можете сделать это с помощью правил в облаке.
Это неудобно и небезопасно.
Чтобы минимизировать время предоставления доступа к виртуальным машинам и сделать удобным управление ими, мы разработали сервис управления сетевым доступом для виртуальных машин.
Пользователь на уровне виртуальной машины в контекстном меню выбирает пункт для создания правила доступа, а затем в открывшейся форме указывает параметры – откуда, откуда, типы протоколов, номера портов.
После заполнения и отправки формы необходимые тикеты автоматически создаются в системе технической поддержки пользователей на базе HP Service Manager. Они отвечают за разрешение того или иного доступа и, в случае одобрения доступа, перед специалистами, выполняющими часть еще не автоматизированных операций.
После того, как этап бизнес-процесса с участием специалистов отработал, начинается часть сервиса, которая автоматически создает правила на межсетевых экранах.
В качестве финального аккорда пользователь видит успешно выполненный запрос на портале.
Это означает, что правило создано и с ним можно работать — просматривать, изменять, удалять.
Окончательная оценка преимуществ
По сути, мы модернизировали небольшие аспекты частного облака, но банк получил заметный эффект. Пользователи теперь получают доступ к сети только через портал, не обращаясь напрямую в Службу поддержки.Обязательные поля формы, их проверка на корректность введенных данных, заранее настроенные списки, дополнительные данные – все это помогает сформулировать точный запрос на доступ, который с большой долей вероятности будет рассмотрен и не отклонен сотрудниками ИБ ввиду для ввода ошибок.
Виртуальные машины больше не являются черными ящиками — с ними можно продолжать работать, внося изменения на портале.
В результате сегодня в распоряжении ИТ-специалистов банка имеется более удобный инструмент для получения доступа, а в процессе участвуют только те люди, без которых им точно не обойтись.
В сумме по трудозатратам это освобождение от ежедневной полной нагрузки как минимум 1 человека, а также десятки сэкономленных часов для пользователей.
Автоматизация создания правил позволила реализовать решение микросегментации, не создающее нагрузки на сотрудников банка.
И, наконец, единицей учета облака стало «правило доступа».
То есть теперь облако хранит информацию о правилах для всех ВМ и очищает их при удалении виртуальных машин.
Вскоре преимущества модернизации распространятся на все облако банка.
Автоматизация процесса создания виртуальных машин и микросегментация вышли за пределы демилитаризованной зоны и захватили другие сегменты.
И это повысило безопасность облака в целом.
Внедренное решение интересно еще и тем, что позволяет банку ускорить процессы развития, приближая его по этому критерию к модели ИТ-компаний.
Ведь когда речь идет о мобильных приложениях, порталах и клиентских службах, любая крупная компания сегодня стремится стать «фабрикой» по производству цифровых продуктов.
В этом смысле банки практически играют наравне с сильнейшими ИТ-компаниями, не отставая от создания новых приложений.
И хорошо, когда возможности ИТ-инфраструктуры, построенной по модели частного облака, позволяют выделить для этого необходимые ресурсы за несколько минут и максимально безопасно.
Авторы: Вячеслав Медведев, руководитель отдела облачных вычислений, «Инфосистемы Джет» , Илья Куйкин, ведущий инженер отдела облачных вычислений ООО «Инфосистемы Джет» Теги: #Виртуализация #Облачные вычисления #облако #виртуальные машины #виртуальные машины #виртуальные машины
-
Русские Блоги О Javascript
19 Oct, 24
