Problème numéro 1. Cloud avec connexion Internet
La banque a créé le cloud privé par l'équipe informatique interne pour un segment de réseau particulier. Au fil du temps, la direction a apprécié ses avantages et a décidé d'étendre le concept de cloud privé à d'autres environnements et segments de la banque. Cela nécessitait davantage de spécialistes et une solide expertise dans les clouds privés. C'est pourquoi la modernisation du cloud a été confiée à notre équipe.
Le flux principal de ce projet était la création de machines virtuelles dans un segment supplémentaire de la sécurité de l'information - dans la zone démilitarisée (DMZ). C'est ici que les services de la banque sont intégrés à des systèmes externes en dehors de l'infrastructure bancaire.
Mais cette médaille avait aussi un inconvénient. Les services de la DMZ étaient disponibles «à l'extérieur» et cela impliquait tout un ensemble de risques pour la sécurité de l'information. Tout d'abord, il s'agit de la menace des systèmes de piratage, de l'expansion ultérieure du champ d'attaque dans la DMZ, puis de la pénétration dans l'infrastructure de la banque. Pour minimiser certains de ces risques, nous avons suggéré d'utiliser un outil de protection supplémentaire - une solution de micro-segmentation.
Protection contre la micro-segmentation
La segmentation classique crée des limites sécurisées aux limites du réseau à l'aide d'un pare-feu. Avec la micro-segmentation, chaque VM individuelle peut être séparée en un segment isolé personnel.
Cela améliore la sécurité de l'ensemble du système. Même si les attaquants pénètrent dans un serveur DMZ, il leur sera extrêmement difficile de propager l'attaque sur le réseau - ils devront franchir de nombreuses «portes verrouillées» à l'intérieur du réseau. Le pare-feu personnel de chaque machine virtuelle contient ses propres règles relatives à celui-ci, qui déterminent le droit d'entrée et de sortie. Nous avons fourni une micro-segmentation à l'aide du pare-feu distribué VMware NSX-T. Ce produit crée de manière centralisée des règles de pare-feu pour les machines virtuelles et les distribue à travers l'infrastructure de virtualisation. Peu importe le système d'exploitation invité utilisé, la règle est appliquée au niveau de la connexion des machines virtuelles au réseau.
Problème N2. En quête de rapidité et de commodité
Déployer une machine virtuelle? Facile! Quelques clics et vous avez terminé. Mais alors de nombreuses questions se posent: comment accéder de cette VM à une autre ou à un système? Ou d'un autre système à la VM?
Par exemple, dans une banque, après avoir commandé une VM sur un portail cloud, il était nécessaire d'ouvrir un portail de support technique et de soumettre une candidature pour fournir l'accès nécessaire. Une erreur dans l'application s'est transformée en appels et en correspondance pour corriger la situation. Dans le même temps, la VM peut avoir 10-15-20 accès, et le développement de chacun a pris du temps. Processus diabolique.
De plus, le «nettoyage» des traces de l'activité des machines virtuelles distantes a nécessité une attention particulière. Après les avoir supprimées, des milliers de règles d'accès sont restées sur le pare-feu, chargeant l'équipement. C'est à la fois un fardeau supplémentaire et des failles de sécurité.
Vous ne pouvez pas faire cela avec des règles dans le cloud. Ceci est peu pratique et dangereux.
Afin de minimiser le temps nécessaire pour fournir l'accès aux VM et de faciliter leur gestion, nous avons développé un service de gestion de l'accès réseau pour les VM.
L'utilisateur au niveau de la machine virtuelle dans le menu contextuel sélectionne un élément pour créer une règle d'accès, puis dans le formulaire qui s'ouvre, spécifie les paramètres - d'où, où, types de protocole, numéros de port. Après avoir rempli et soumis le formulaire, les tickets nécessaires sont automatiquement créés dans le système de support client basé sur HP Service Manager. Ils s'adressent aux personnes chargées d'accepter tel ou tel accès et, si l'accès est approuvé, à des spécialistes qui effectuent une partie des opérations, qui ne sont pas encore automatisées.
Une fois que l'étape du processus métier avec la participation de spécialistes est terminée, commence la partie du service qui crée automatiquement des règles sur les pare-feu.
En guise d'accord final, l'utilisateur voit une demande terminée avec succès sur le portail. Cela signifie que la règle a été créée et que vous pouvez l'utiliser - afficher, modifier, supprimer.
Score final des bénéfices
En fait, nous avons modernisé de petits aspects du cloud privé, mais la banque a eu un effet notable. Les utilisateurs ont désormais uniquement accès au réseau via le portail, sans traiter directement avec le Service Desk. Champs de formulaire obligatoires, leur validation pour l'exactitude des données saisies, listes préconfigurées, données supplémentaires - tout cela permet de former une demande d'accès précise, qui avec un degré de probabilité élevé sera prise en compte et ne sera pas encapsulée par les responsables de la sécurité de l'information en raison d'erreurs de saisie. Les machines virtuelles ne sont plus des boîtes noires - vous pouvez continuer à travailler avec elles en apportant des modifications sur le portail.
En conséquence, aujourd'hui, les informaticiens de la banque ont à leur disposition un outil plus pratique pour y accéder, et seules ces personnes sont impliquées dans le processus, sans lesquelles il est définitivement impossible de se passer. En termes de coûts de main-d'œuvre, il s'agit d'une exonération de la charge quotidienne d'au moins 1 personne, ainsi que des dizaines d'heures économisées pour les utilisateurs. L'automatisation de la création de règles a permis de mettre en place une solution de micro-segmentation qui ne crée pas de charge pour les employés de la banque.
Enfin, la "règle d'accès" est devenue un compte cloud. Autrement dit, le cloud stocke désormais des informations sur les règles de toutes les machines virtuelles et les nettoie lors de la suppression des machines virtuelles.
Bientôt, les bénéfices de la modernisation se sont étendus à l'ensemble du cloud de la banque. L'automatisation de la création de VM et la micro-segmentation sont sorties de la DMZ et ont repris le reste des segments. Et cela a augmenté la sécurité du cloud dans son ensemble.
La solution mise en œuvre est également intéressante en ce qu'elle permet à la banque d'accélérer les processus de développement, la rapprochant du modèle des entreprises informatiques par ce critère. Après tout, lorsqu'il s'agit d'applications mobiles, de portails, de services clients, toute grande entreprise s'efforce aujourd'hui de devenir une «usine» de production de produits numériques. En ce sens, les banques jouent pratiquement à égalité avec les entreprises informatiques les plus fortes, en suivant la création de nouvelles applications. Et c'est bien quand les capacités de l'infrastructure informatique bâtie sur le modèle d'un cloud privé vous permettent d'allouer les ressources nécessaires pour cela en quelques minutes et de la manière la plus sécurisée possible.
Auteurs:
Vyacheslav Medvedev, chef du département Cloud Computing de Jet Infosystems ;
Ilya Kuikin, ingénieur principal du département Cloud Computing de Jet Infosystems