問題番号1。インターネット接続のあるクラウド
銀行は、特定のネットワークセグメント用に内部ITチームによってプライベートクラウドを作成しました。時間の経過とともに、経営陣はそのメリットを高く評価し、プライベートクラウドの概念を銀行の他の環境やセグメントに拡張することを決定しました。これには、プライベートクラウドに関するより多くのスペシャリストと強力な専門知識が必要でした。そのため、クラウドの近代化は私たちのチームに委ねられました。
このプロジェクトの主流は、情報セキュリティの追加セグメントである非軍事化ゾーン(DMZ)での仮想マシンの作成でした。銀行のサービスが銀行インフラストラクチャの外部の外部システムと統合されているのはここです。
しかし、このメダルにはマイナス面もありました。DMZのサービスは「外部」で利用可能であり、これには一連の情報セキュリティリスクが伴いました。まず第一に、これはシステムハッキングの脅威であり、DMZの攻撃フィールドのその後の拡大、そして銀行のインフラストラクチャへの侵入です。これらのリスクの一部を最小限に抑えるために、追加の保護ツールであるマイクロセグメンテーションソリューションの使用を提案しました。
マイクロセグメンテーション保護
従来のセグメンテーションは、ファイアウォールを使用してネットワーク境界に安全な境界を構築します。マイクロセグメンテーションを使用すると、個々のVMを個別の分離されたセグメントに分割できます。
これにより、システム全体のセキュリティが強化されます。攻撃者が1つのDMZサーバーに侵入したとしても、攻撃をネットワーク全体に拡散することは非常に困難です。攻撃者は、ネットワーク内の多くの「ロックされたドア」を突破する必要があります。各VMのパーソナルファイアウォールには、VMに関連する独自のルールが含まれており、VMに出入りする権利を決定します。VMwareNSX-T分散ファイアウォールを使用してマイクロセグメンテーションを提供しました。この製品は、VMのファイアウォールルールを一元的に作成し、仮想化インフラストラクチャ全体に配布します。どのゲストOSを使用するかは関係ありません。ルールは、仮想マシンのネットワークへの接続のレベルで適用されます。
問題N2。スピードと利便性を求めて
仮想マシンを展開しますか?簡単!数回クリックするだけで完了です。しかし、その後、多くの疑問が生じます。このVMから別のVMまたはシステムにアクセスする方法は?または、別のシステムからVMに戻りますか?
たとえば、銀行では、クラウドポータルでVMを注文した後、テクニカルサポートポータルを開いて、必要なアクセスを提供するための申請書を提出する必要がありました。アプリケーションのエラーは、状況を修正するための呼び出しと通信に変わりました。同時に、VMは10-15-20のアクセスを持つことができ、それぞれの開発には時間がかかりました。悪魔のようなプロセス。
さらに、リモート仮想マシンのアクティビティの痕跡の「クリーニング」には特別な注意が必要でした。それらを削除した後、何千ものアクセスルールがファイアウォールに残り、機器をロードしました。これは、余分な負担とセキュリティホールの両方です。
クラウドのルールではこれを行うことはできません。これは不便で安全ではありません。
VMへのアクセスを提供する時間を最小限に抑え、VMの管理を容易にするために、VMのネットワークアクセスを管理するサービスを開発しました。
コンテキストメニューの仮想マシンレベルのユーザーは、アクセスルールを作成する項目を選択し、開いたフォームでパラメーターを指定します-どこから、どこで、プロトコルタイプ、ポート番号。フォームに記入して送信すると、必要なチケットがHP ServiceManagerに基づくカスタマーサポートシステムに自動的に作成されます。彼らは、このアクセスまたはそのアクセスに同意する責任者に、アクセスが承認された場合は、まだ自動化されていない操作の一部を実行するスペシャリストに来ます。
スペシャリストが関与するビジネスプロセスの段階が完了すると、サービスのその部分が開始され、ファイアウォールにルールが自動的に作成されます。
最後のコードとして、ユーザーにはポータルで正常に完了したリクエストが表示されます。これは、ルールが作成され、それを操作できることを意味します-表示、変更、削除。
最終的な利益スコア
実際、私たちはプライベートクラウドの小さな側面を近代化しましたが、銀行は顕著な効果をもたらしました。現在、ユーザーはポータルを介してのみオンラインアクセスを取得でき、サービスデスクを直接操作することはできません。必須のフォームフィールド、入力されたデータの正確性の検証、事前設定されたリスト、追加データ-これらはすべて、アクセスの正確な要求を形成するのに役立ちます。これは、高い確率で考慮され、入力エラーのために情報セキュリティ担当者によってラップされません。仮想マシンはブラックボックスではなくなりました。ポータルで変更を加えることで、仮想マシンをさらに操作できます。
その結果、今日、銀行のITスペシャリストは、アクセスを取得するためのより便利なツールを自由に利用でき、プロセスに関与しているのはそれらの人々だけであり、それなしでは絶対に不可能です。人件費の観点から、これは少なくとも1人の毎日の全負荷の免除であり、ユーザーのために数十時間節約されます。ルール作成の自動化により、銀行員に負担をかけないマイクロセグメンテーションソリューションの実装が可能になりました。
最後に、「アクセスルール」がクラウドアカウントになりました。つまり、クラウドはすべてのVMのルールに関する情報を保存し、仮想マシンを削除するときにそれらをクリーンアップするようになりました。
すぐに、近代化のメリットは銀行のクラウド全体に広がりました。 VM作成の自動化とマイクロセグメンテーションは、DMZの外に出て、残りのセグメントを引き継ぎました。そして、これによりクラウド全体のセキュリティが向上しました。
実装されたソリューションは、銀行が開発プロセスをスピードアップし、この基準によってIT企業のモデルに近づけることができるという点でも興味深いものです。結局のところ、モバイルアプリケーション、ポータル、クライアントサービスに関して言えば、今日の大企業は、デジタル製品を生産するための「工場」になることを目指しています。この意味で、銀行は実質的に最強のIT企業と同等の役割を果たしており、新しいアプリケーションの作成に追いついています。また、プライベートクラウドのモデルに基づいて構築されたITインフラストラクチャの機能により、これに必要なリソースを数分で可能な限り安全に割り当てることができると便利です。
著者:
Vyacheslav Medvedev、Jet Infosystemsのクラウドコンピューティング部門の責任者、
Ilya Kuikin、JetInfosystemsのクラウドコンピューティング部門の主任エンジニア