问题编号1。云与互联网连接
银行由内部IT团队为特定网络段创建了私有云。随着时间的流逝,管理层意识到了它的好处,并决定将私有云概念扩展到银行的其他环境和部门。这就需要更多的专家和私有云方面的专业知识。因此,云的现代化已委托给我们的团队。
该项目的主要工作是在非军事区(DMZ)中在信息安全的另一部分中创建虚拟机。正是在这里,银行的服务与银行基础架构外部的外部系统集成在一起。
但是这个奖牌也有一个缺点。DMZ的服务可在“外部”获得,这带来了一整套信息安全风险。首先,这是系统被黑客入侵的威胁,随后是DMZ中攻击领域的扩大,然后是银行基础设施的渗透。为了最大程度地降低这些风险,我们建议使用其他保护工具-微分段解决方案。
微分段保护
经典分段使用防火墙在网络边界上建立安全边界。通过微细分,每个单独的VM都可以分成一个个人隔离的段。
这增强了整个系统的安全性。即使攻击者闯入一台DMZ服务器,他们也很难在网络上传播攻击-他们将不得不突破网络内部的许多“上锁的门”。每个VM的个人防火墙都包含与之相关的自己的规则,这些规则决定了进入和退出的权利。我们使用VMware NSX-T分布式防火墙提供了微分段。该产品集中为VM创建防火墙规则,并将其分布在虚拟化基础架构中。不管使用哪个来宾操作系统都无关紧要,该规则适用于虚拟机与网络的连接级别。
问题N2。寻找速度和便利
部署虚拟机?简单!几次点击,您就完成了。但是随后出现了许多问题:如何从该虚拟机访问另一个或系统?还是从另一个系统回到虚拟机?
例如,在银行中,在云门户网站上订购虚拟机后,有必要打开技术支持门户网站并提交用于提供必要访问权限的应用程序。应用程序中的错误变成了呼叫和通信,以纠正这种情况。同时,VM可以具有10-15-20个访问权限,每个访问权限的开发都花费时间。恶魔般的过程。
此外,“清理”远程虚拟机活动的痕迹需要特别注意。删除它们之后,防火墙上仍然保留了数千个访问规则,从而加载了设备。这既是额外的负担,又是安全漏洞。
您无法使用云中的规则执行此操作。这是不方便且不安全的。
为了最大程度地减少提供对VM的访问并使其易于管理,我们开发了一项服务,用于管理VM的网络访问。
上下文菜单中虚拟机级别的用户选择一个项目来创建访问规则,然后以打开的形式指定参数-从何处,何处,协议类型,端口号。填写并提交表格后,将在基于HP Service Manager的客户支持系统中自动创建必要的票证。他们会请负责就此访问权限或该访问权限达成一致的人员,如果批准了访问权限,则将负责执行部分操作(尚未实现自动化)的专家。
在由专家参与的业务流程阶段完成之后,该服务的该部分开始,该部分将自动在防火墙上创建规则。
作为最后的和弦,用户会在门户网站上看到成功完成的请求。这意味着该规则已创建,您可以使用它-查看,更改,删除。
最终收益分数
实际上,我们已经对私有云的小部分进行了现代化改造,但是银行已经产生了显着的影响。现在,用户只能通过门户网站进行在线访问,而不能直接与服务台打交道。强制性表单字段,它们对输入数据的正确性的验证,预配置的列表,其他数据-所有这些都有助于形成准确的访问请求,由于输入错误,信息安全人员将高度考虑这些请求并且不会对其进行处理。虚拟机不再是黑盒子-您可以通过在门户上进行更改来进一步使用它们。
结果,如今,银行的IT专家可以使用一种更方便的工具来获取访问权限,只有那些人参与了流程,没有他们,那绝对不可能。在人工成本方面,这免除了每天至少1人的满负荷工作以及为用户节省的数十小时工作时间。规则创建的自动化使实施微细分解决方案成为可能,该解决方案不会给银行员工造成负担。
最终,“访问规则”成为了云帐户。也就是说,现在云存储了有关所有VM规则的信息,并在删除虚拟机时将其清除。
不久,现代化的好处便蔓延至整个银行。虚拟机创建自动化和微细分已经超越了DMZ,并接管了其余的细分市场。从而提高了整个云的安全性。
实施的解决方案也很有趣,因为它允许银行加快开发流程,从而使该银行更接近于IT公司的模型。毕竟,在移动应用程序,门户,客户服务方面,今天任何大公司都在努力成为数字产品生产的“工厂”。从这个意义上讲,银行实际上在与最强大的IT公司并驾齐驱,跟上新应用程序的创建。当建立在私有云模型上的IT基础架构的功能允许您在几分钟内并尽可能安全地分配必要的资源时,这是很好的。
作者:
维亚切斯拉夫·梅德韦杰夫,李连杰INFOSYSTEMS的云计算部门负责人,
伊利亚Kuikin,李连杰INFOSYSTEMS的云计算部门的负责工程师