Soal nomor 1. Cloud dengan koneksi internet
Bank menciptakan cloud pribadi oleh tim TI internal untuk segmen jaringan tertentu. Seiring waktu, manajemen menghargai manfaatnya dan memutuskan untuk memperluas konsep cloud pribadi ke lingkungan dan segmen bank lainnya. Ini membutuhkan lebih banyak spesialis dan keahlian yang kuat di cloud pribadi. Oleh karena itu, modernisasi cloud dipercayakan kepada tim kami.
Aliran utama dari proyek ini adalah pembuatan mesin virtual di segmen tambahan keamanan informasi - di zona demiliterisasi (DMZ). Di sinilah layanan bank terintegrasi dengan sistem eksternal di luar infrastruktur perbankan.
Tapi medali ini juga punya sisi negatif. Layanan dari DMZ tersedia "di luar" dan ini melibatkan serangkaian risiko keamanan informasi. Pertama-tama, ini adalah ancaman peretasan sistem, perluasan bidang serangan berikutnya di DMZ, dan kemudian penetrasi ke infrastruktur bank. Untuk meminimalkan beberapa risiko ini, kami menyarankan untuk menggunakan alat perlindungan tambahan - solusi segmentasi mikro.
Perlindungan segmentasi mikro
Segmentasi klasik membangun batas aman di batas jaringan menggunakan firewall. Dengan mikro-segmentasi, setiap VM dapat dipisahkan menjadi segmen terisolasi pribadi.
Ini meningkatkan keamanan seluruh sistem. Bahkan jika penyerang membobol satu server DMZ, akan sangat sulit bagi mereka untuk menyebarkan serangan melalui jaringan - mereka harus menerobos banyak "pintu terkunci" di dalam jaringan. Firewall pribadi dari setiap VM berisi aturannya sendiri terkait dengannya, yang menentukan hak untuk masuk dan keluar. Kami menyediakan mikro-segmentasi menggunakan VMware NSX-T Distributed Firewall. Produk ini secara terpusat membuat aturan firewall untuk VM dan mendistribusikannya ke seluruh infrastruktur virtualisasi. Tidak masalah OS tamu mana yang digunakan, aturan tersebut diterapkan pada tingkat koneksi mesin virtual ke jaringan.
Soal N2. Mencari kecepatan dan kenyamanan
Terapkan mesin virtual? Mudah! Beberapa klik dan Anda selesai. Tetapi kemudian banyak pertanyaan muncul: bagaimana cara mendapatkan akses dari VM ini ke sistem atau yang lain? Atau dari sistem lain kembali ke VM?
Misalnya, di bank, setelah memesan VM di portal cloud, Anda perlu membuka portal dukungan teknis dan mengajukan aplikasi untuk menyediakan akses yang diperlukan. Kesalahan dalam aplikasi berubah menjadi panggilan dan korespondensi untuk memperbaiki situasi tersebut. Pada saat yang sama, VM dapat memiliki 10-15-20 akses, dan pengembangannya membutuhkan waktu. Proses jahat.
Selain itu, "pembersihan" jejak aktivitas mesin virtual jarak jauh memerlukan perawatan khusus. Setelah menghapusnya, ribuan aturan akses tetap ada di firewall, memuat peralatan. Ini merupakan beban tambahan dan celah keamanan.
Anda tidak dapat melakukan ini dengan aturan di cloud. Ini tidak nyaman dan tidak aman.
Untuk meminimalkan waktu dalam menyediakan akses ke VM dan membuatnya nyaman untuk mengelolanya, kami telah mengembangkan layanan untuk mengelola akses jaringan untuk VM.
Pengguna di tingkat mesin virtual dalam menu konteks memilih item untuk membuat aturan akses, dan kemudian dalam formulir yang terbuka, menentukan parameter - dari mana, di mana, jenis protokol, nomor port. Setelah mengisi dan mengirimkan formulir, tiket yang diperlukan secara otomatis dibuat di sistem dukungan pelanggan berdasarkan HP Service Manager. Mereka bertanggung jawab untuk menyetujui akses ini atau itu dan, jika akses disetujui, untuk spesialis yang melakukan bagian dari operasi yang belum otomatis.
Setelah tahapan proses bisnis dengan keterlibatan spesialis telah diselesaikan, bagian layanan tersebut dimulai yang secara otomatis membuat aturan di firewall.
Sebagai kunci terakhir, pengguna melihat permintaan yang berhasil diselesaikan di portal. Ini berarti bahwa aturan telah dibuat dan Anda dapat mengerjakannya - lihat, ubah, hapus.
Skor manfaat akhir
Faktanya, kami telah memodernisasi aspek-aspek kecil dari cloud pribadi, tetapi bank memiliki efek yang nyata. Pengguna sekarang hanya mendapatkan akses jaringan melalui portal, tidak langsung berhubungan dengan Service Desk. Bidang formulir wajib, validasinya untuk kebenaran data yang dimasukkan, daftar yang telah dikonfigurasi sebelumnya, data tambahan - semua ini membantu membentuk permintaan akses yang akurat, yang dengan tingkat kemungkinan tinggi akan dipertimbangkan dan tidak akan dibungkus oleh petugas keamanan informasi karena kesalahan input. Mesin virtual bukan lagi kotak hitam - Anda dapat bekerja dengannya lebih jauh dengan membuat perubahan di portal.
Akibatnya, saat ini para spesialis TI bank memiliki alat yang lebih nyaman untuk memperoleh akses, dan hanya orang-orang yang terlibat dalam proses tersebut, yang tanpanya tidak mungkin dilakukan tanpanya. Dalam hal biaya tenaga kerja, ini adalah pengecualian dari beban penuh harian minimal 1 orang, serta puluhan jam yang dihemat untuk pengguna. Otomatisasi pembuatan aturan memungkinkan penerapan solusi segmentasi mikro yang tidak membebani karyawan bank.
Akhirnya, "aturan akses" menjadi akun cloud. Artinya, sekarang cloud menyimpan informasi tentang aturan untuk semua VM dan membersihkannya saat menghapus mesin virtual.
Segera, manfaat modernisasi menyebar ke seluruh awan bank. Otomatisasi pembuatan VM dan mikro-segmentasi telah melangkah keluar dari DMZ dan mengambil alih segmen lainnya. Dan ini meningkatkan keamanan cloud secara keseluruhan.
Solusi yang diterapkan juga menarik karena memungkinkan bank untuk mempercepat proses pengembangan, membawanya lebih dekat ke model perusahaan TI dengan kriteria ini. Bagaimanapun, ketika datang ke aplikasi seluler, portal, layanan klien, perusahaan besar mana pun saat ini berusaha untuk menjadi "pabrik" untuk produksi produk digital. Dalam hal ini, bank secara praktis bermain setara dengan perusahaan IT terkuat, mengikuti pembuatan aplikasi baru. Dan ada baiknya bila kapabilitas infrastruktur TI yang dibangun di atas model awan pribadi memungkinkan Anda mengalokasikan sumber daya yang diperlukan untuk ini dalam beberapa menit dan seaman mungkin.
Penulis:
Vyacheslav Medvedev, Kepala Departemen Cloud Computing di Jet Infosystems ,
Ilya Kuikin, Leading Engineer dari Cloud Computing Department of Jet Infosystems