Problema número 1. Nuvem com conexão à internet
O banco criou a nuvem privada pela equipe interna de TI para um determinado segmento de rede. Com o tempo, a administração apreciou seus benefícios e decidiu estender o conceito de nuvem privada a outros ambientes e segmentos do banco. Isso exigiu mais especialistas e forte experiência em nuvens privadas. Portanto, a modernização da nuvem foi confiada à nossa equipe.
O principal fluxo deste projeto foi a criação de máquinas virtuais em um segmento adicional de segurança da informação - na zona desmilitarizada (DMZ). É aqui que os serviços do banco são integrados a sistemas externos fora da infraestrutura bancária.
Mas essa medalha também teve uma desvantagem. Os serviços da DMZ estavam disponíveis "fora" e isso envolvia todo um conjunto de riscos à segurança da informação. Em primeiro lugar, essa é a ameaça de hackeamento do sistema, a subsequente expansão do campo de ataque na DMZ e, em seguida, a penetração na infraestrutura do banco. Para minimizar alguns desses riscos, sugerimos o uso de uma ferramenta de proteção adicional - uma solução de microssegmentação.
Proteção de microssegmentação
A segmentação clássica cria limites seguros nos limites da rede usando um firewall. Com a microssegmentação, cada VM individual pode ser separada em um segmento pessoal isolado.
Isso aumenta a segurança de todo o sistema. Mesmo se os invasores invadirem um servidor DMZ, será extremamente difícil para eles espalharem o ataque pela rede - eles terão que quebrar muitas “portas trancadas” dentro da rede. O firewall pessoal de cada VM contém suas próprias regras em relação a ele, que determinam o direito de entrada e saída. Fornecemos microssegmentação usando VMware NSX-T Distributed Firewall. Este produto cria regras de firewall para VMs de maneira centralizada e as distribui pela infraestrutura de virtualização. Não importa qual sistema operacional convidado é usado, a regra é aplicada no nível da conexão das máquinas virtuais à rede.
Problema N2. Em busca de rapidez e comodidade
Implantar uma máquina virtual? Fácil! Alguns cliques e pronto. Mas então muitas questões surgem: como obter acesso desta VM para outra ou sistema? Ou de outro sistema de volta para a VM?
Por exemplo, em um banco, após fazer o pedido de uma VM em um portal na nuvem, era necessário abrir um portal de suporte técnico e enviar um aplicativo para fornecer o acesso necessário. Um erro no aplicativo se transformou em ligações e correspondência para corrigir a situação. Ao mesmo tempo, a VM pode ter de 10 a 15 a 20 acessos, e o desenvolvimento de cada um demorou. Processo diabólico.
Além disso, a “limpeza” dos vestígios da atividade das máquinas virtuais remotas exigia cuidados especiais. Após retirá-los, milhares de regras de acesso permaneceram no firewall, carregando o equipamento. Isso é um fardo extra e brechas de segurança.
Você não pode fazer isso com regras na nuvem. Isso é inconveniente e inseguro.
A fim de minimizar o tempo de acesso às VMs e tornar mais conveniente seu gerenciamento, desenvolvemos um serviço de gerenciamento de acesso à rede para VMs.
O usuário no nível da máquina virtual no menu de contexto seleciona um item para criar uma regra de acesso e, em seguida, no formulário aberto indica os parâmetros - de onde, onde, tipos de protocolo, números de porta. Depois de preencher e enviar o formulário, os tíquetes necessários são criados automaticamente no sistema de suporte ao cliente com base no HP Service Manager. Vêm aos responsáveis por pactuar este ou aquele acesso e, caso o acesso seja aprovado, aos especialistas que realizam parte das operações, ainda não automatizadas.
Concluída a etapa do processo de negócio com o envolvimento de especialistas, começa aquela parte do serviço que cria automaticamente as regras nos firewalls.
Como acorde final, o usuário vê uma solicitação concluída com êxito no portal. Isso significa que a regra foi criada e você pode trabalhar com ela - visualizar, alterar, excluir.
Pontuação de benefício final
Na verdade, modernizamos pequenos aspectos da nuvem privada, mas o banco teve um efeito notável. Os usuários agora só têm acesso online por meio do portal, não lidando diretamente com o Service Desk. Campos obrigatórios do formulário, sua validação quanto à exatidão dos dados inseridos, listas pré-configuradas, dados adicionais - tudo isso ajuda a formar uma solicitação precisa de acesso, que com um alto grau de probabilidade será considerada e não será encerrada pelos responsáveis pela segurança da informação devido a erros de entrada. As máquinas virtuais não são mais caixas pretas - você pode trabalhar mais com elas fazendo alterações no portal.
Com isso, hoje os especialistas em informática do banco têm à disposição uma ferramenta mais conveniente para o acesso, e somente aquelas pessoas estão envolvidas no processo, sem as quais é definitivamente impossível prescindir. Em termos de custos de mão de obra, trata-se de uma isenção da carga total diária de pelo menos 1 pessoa, bem como dezenas de horas poupadas para os utilizadores. A automação da criação de regras possibilitou a implementação de uma solução de microssegmentação que não sobrecarrega os funcionários do banco.
Finalmente, a "regra de acesso" se tornou a conta na nuvem. Ou seja, agora a nuvem armazena informações sobre as regras para todas as VMs e as limpa ao excluir as máquinas virtuais.
Logo, os benefícios da modernização se espalharam por toda a nuvem do banco. A automação de criação de VM e a microssegmentação saíram da DMZ e assumiram o controle do restante dos segmentos. E isso aumentou a segurança da nuvem como um todo.
A solução implementada também é interessante na medida em que permite ao banco agilizar os processos de desenvolvimento, aproximando-se do modelo das empresas de TI por este critério. Afinal, quando se trata de aplicativos móveis, portais, atendimento ao cliente, qualquer grande empresa hoje se esforça para se tornar uma "fábrica" de produção de produtos digitais. Nesse sentido, os bancos estão praticamente jogando em pé de igualdade com as empresas de TI mais fortes, acompanhando a criação de novos aplicativos. E é bom quando os recursos da infraestrutura de TI construída no modelo de uma nuvem privada permitem que você aloque os recursos necessários para isso em poucos minutos e da forma mais segura possível.
Autores:
Vyacheslav Medvedev, Chefe do Departamento de Computação em Nuvem da Jet Infosystems ,
Ilya Kuikin, Engenheiro Líder do Departamento de Computação em Nuvem da Jet Infosystems