Problem Nummer 1. Cloud mit Internetverbindung
Die Bank hat die private Cloud vom internen IT-Team für ein bestimmtes Netzwerksegment erstellt. Im Laufe der Zeit erkannte das Management seine Vorteile und beschloss, das Private Cloud-Konzept auf andere Umgebungen und Segmente der Bank auszudehnen. Dies erforderte mehr Spezialisten und starkes Fachwissen in Private Clouds. Daher wurde die Modernisierung der Cloud unserem Team anvertraut.
Der Hauptstrom dieses Projekts war die Schaffung virtueller Maschinen in einem zusätzlichen Segment der Informationssicherheit - in der entmilitarisierten Zone (DMZ). Hier werden die Dienstleistungen der Bank in externe Systeme außerhalb der Bankinfrastruktur integriert.
Diese Medaille hatte aber auch einen Nachteil. Dienste der DMZ waren "außerhalb" verfügbar, was eine ganze Reihe von Risiken für die Informationssicherheit mit sich brachte. Dies ist zunächst die Gefahr von Systemhacking, die anschließende Erweiterung des Angriffsfeldes in der DMZ und dann das Eindringen in die Infrastruktur der Bank. Um einige dieser Risiken zu minimieren, haben wir vorgeschlagen, ein zusätzliches Schutzwerkzeug zu verwenden - eine Mikrosegmentierungslösung.
Mikrosegmentierungsschutz
Die klassische Segmentierung erstellt mithilfe einer Firewall sichere Grenzen an Netzwerkgrenzen. Mit der Mikrosegmentierung kann jede einzelne VM in ein persönliches isoliertes Segment unterteilt werden.
Dies erhöht die Sicherheit des gesamten Systems. Selbst wenn Angreifer in einen DMZ-Server eindringen, wird es für sie äußerst schwierig sein, den Angriff über das Netzwerk zu verbreiten - sie müssen viele „verschlossene Türen“ innerhalb des Netzwerks durchbrechen. Die persönliche Firewall jeder VM enthält ihre eigenen Regeln, die das Recht zum Betreten und Verlassen bestimmen. Wir haben die Mikrosegmentierung mithilfe der verteilten VMware NSX-T-Firewall bereitgestellt. Dieses Produkt erstellt zentral Firewall-Regeln für VMs und verteilt diese auf die Virtualisierungsinfrastruktur. Es spielt keine Rolle, welches Gastbetriebssystem verwendet wird, die Regel wird auf der Ebene der Verbindung der virtuellen Maschinen zum Netzwerk angewendet.
Problem N2. Auf der Suche nach Geschwindigkeit und Komfort
Eine virtuelle Maschine bereitstellen? Einfach! Ein paar Klicks und Sie sind fertig. Dann stellen sich jedoch viele Fragen: Wie kann man von dieser VM auf eine andere oder ein anderes System zugreifen? Oder von einem anderen System zurück zur VM?
In einer Bank musste beispielsweise nach der Bestellung einer VM in einem Cloud-Portal ein Portal für technischen Support geöffnet und ein Antrag auf Bereitstellung des erforderlichen Zugriffs eingereicht werden. Aus einem Fehler in der Anwendung wurden Anrufe und Korrespondenz, um die Situation zu korrigieren. Gleichzeitig kann die VM über 10-15-20 Zugriffe verfügen, und die Entwicklung der einzelnen hat einige Zeit in Anspruch genommen. Teuflischer Prozess.
Darüber hinaus erforderte die „Bereinigung“ von Spuren der Aktivität von virtuellen Remote-Maschinen besondere Sorgfalt. Nach dem Entfernen blieben Tausende von Zugriffsregeln in der Firewall und luden die Geräte. Dies ist sowohl eine zusätzliche Belastung als auch eine Sicherheitslücke.
Sie können dies nicht mit Regeln in der Cloud tun. Dies ist unpraktisch und unsicher.
Um die Zeit für die Bereitstellung des Zugriffs auf VMs zu minimieren und deren Verwaltung zu vereinfachen, haben wir einen Dienst zur Verwaltung des Netzwerkzugriffs für VMs entwickelt.
Der Benutzer auf der Ebene der virtuellen Maschine wählt im Kontextmenü ein Element zum Erstellen einer Zugriffsregel aus und gibt dann in der geöffneten Form die Parameter an - von wo, wo, Protokolltypen, Portnummern. Nach dem Ausfüllen und Absenden des Formulars werden die erforderlichen Tickets automatisch im Kundensupport-System basierend auf HP Service Manager erstellt. Sie sind dafür verantwortlich, sich auf diesen oder jenen Zugriff zu einigen, und, falls der Zugriff genehmigt wird, auf Spezialisten, die einen Teil der noch nicht automatisierten Vorgänge ausführen.
Nachdem die Phase des Geschäftsprozesses unter Einbeziehung von Spezialisten abgeschlossen ist, beginnt der Teil des Dienstes, der automatisch Regeln für Firewalls erstellt.
Als letzten Akkord sieht der Benutzer eine erfolgreich abgeschlossene Anfrage im Portal. Dies bedeutet, dass die Regel erstellt wurde und Sie damit arbeiten können - anzeigen, ändern, löschen.
Endgültige Leistungsbewertung
Tatsächlich haben wir kleine Aspekte der Private Cloud modernisiert, aber die Bank hat spürbare Auswirkungen gehabt. Benutzer erhalten jetzt nur über das Portal Netzwerkzugriff und nicht mehr direkt mit dem Service Desk. Obligatorische Formularfelder, deren Validierung auf Richtigkeit der eingegebenen Daten, vorkonfigurierte Listen, zusätzliche Daten - all dies trägt dazu bei, eine genaue Zugriffsanfrage zu bilden, die mit hoher Wahrscheinlichkeit berücksichtigt und aufgrund von Eingabefehlern nicht vom Informationssicherheitspersonal eingepackt wird. Virtuelle Maschinen sind keine Black Box mehr - Sie können weiter mit ihnen arbeiten, indem Sie Änderungen im Portal vornehmen.
Infolgedessen verfügen die IT-Spezialisten der Bank heute über ein bequemeres Instrument, um Zugang zu erhalten, und nur diejenigen Personen sind in den Prozess involviert, ohne die es definitiv unmöglich ist, darauf zu verzichten. In Bezug auf die Arbeitskosten ist dies eine Ausnahme von der täglichen Volllast von mindestens 1 Person sowie von Dutzenden von gesparten Stunden für Benutzer. Die Automatisierung der Regelerstellung ermöglichte die Implementierung einer Mikrosegmentierungslösung, die die Bankmitarbeiter nicht belastet.
Schließlich wurde die "Zugriffsregel" zu einem Cloud-Konto. Das heißt, die Cloud speichert jetzt Informationen zu den Regeln für alle VMs und bereinigt diese beim Löschen virtueller Maschinen.
Bald breiteten sich die Vorteile der Modernisierung auf die gesamte Cloud der Bank aus. Die Automatisierung der VM-Erstellung und die Mikrosegmentierung haben die DMZ verlassen und den Rest der Segmente übernommen. Dies erhöhte die Sicherheit der gesamten Cloud.
Die implementierte Lösung ist auch insofern interessant, als sie es der Bank ermöglicht, Entwicklungsprozesse zu beschleunigen und sie durch dieses Kriterium näher an das Modell von IT-Unternehmen heranzuführen. Wenn es um mobile Anwendungen, Portale und Kundendienstleistungen geht, strebt jedes große Unternehmen heute danach, eine "Fabrik" für die Herstellung digitaler Produkte zu werden. In diesem Sinne spielen Banken praktisch auf dem Niveau der stärksten IT-Unternehmen und halten mit der Erstellung neuer Anwendungen Schritt. Und es ist gut, wenn die Funktionen der IT-Infrastruktur, die auf dem Modell einer privaten Cloud basieren, es Ihnen ermöglichen, die erforderlichen Ressourcen dafür in wenigen Minuten und so sicher wie möglich zuzuweisen.
Autoren:
Vyacheslav Medvedev, Leiter der Cloud-Computing-Abteilung von Jet-Infosystemen ,
Ilya Kuikin, leitender Ingenieur der Cloud-Computing-Abteilung von Jet-Infosystemen