Problema número 1. Nube con conexión a internet
El banco creó la nube privada por el equipo de TI interno para un segmento de red en particular. Con el tiempo, la dirección apreció sus beneficios y decidió extender el concepto de nube privada a otros entornos y segmentos del banco. Esto requirió más especialistas y una gran experiencia en nubes privadas. Por ello, la modernización de la nube fue encomendada a nuestro equipo.
La corriente principal de este proyecto fue la creación de máquinas virtuales en un segmento adicional de seguridad de la información: en la zona desmilitarizada (DMZ). Es aquí donde los servicios del banco se integran con sistemas externos fuera de la infraestructura bancaria.
Pero esta medalla también tuvo un inconveniente. Los servicios de la DMZ estaban disponibles "fuera" y esto implicaba una serie de riesgos de seguridad de la información. En primer lugar, esta es la amenaza de piratería del sistema, la posterior expansión del campo de ataque en la DMZ y luego la penetración en la infraestructura del banco. Para minimizar algunos de estos riesgos, sugerimos utilizar una herramienta de protección adicional: una solución de microsegmentación.
Protección de microsegmentación
La segmentación clásica crea límites seguros en los límites de la red mediante un firewall. Con la microsegmentación, cada VM individual se puede separar en un segmento aislado personal.
Esto mejora la seguridad de todo el sistema. Incluso si los atacantes entran en un servidor DMZ, será extremadamente difícil para ellos difundir el ataque a través de la red; tendrán que atravesar muchas "puertas cerradas" dentro de la red. El firewall personal de cada VM contiene sus propias reglas en relación con él, que determinan el derecho a entrar y salir. Proporcionamos microsegmentación mediante VMware NSX-T Distributed Firewall. Este producto crea de forma centralizada reglas de firewall para máquinas virtuales y las distribuye a través de la infraestructura de virtualización. No importa qué sistema operativo invitado se utilice, la regla se aplica al nivel de la conexión de las máquinas virtuales a la red.
Problema N2. En busca de rapidez y comodidad
¿Implementar una máquina virtual? ¡Fácil! Un par de clics y listo. Pero luego surgen muchas preguntas: ¿cómo obtener acceso desde esta máquina virtual a otra o sistema? ¿O de otro sistema a la VM?
Por ejemplo, en un banco, luego de solicitar una VM en un portal en la nube, era necesario abrir un portal de soporte técnico y presentar una solicitud para brindar el acceso necesario. Un error en la aplicación se convirtió en llamadas y correspondencia para corregir la situación. Al mismo tiempo, la VM puede tener de 10 a 15-20 accesos, y el desarrollo de cada uno tomó tiempo. Proceso diabólico.
Además, la "limpieza" de los rastros de la actividad de las máquinas virtuales remotas requirió un cuidado especial. Después de eliminarlos, miles de reglas de acceso permanecieron en el firewall, cargando el equipo. Esto es tanto una carga adicional como agujeros de seguridad.
No puede hacer esto con reglas en la nube. Esto es inconveniente e inseguro.
Con el fin de minimizar el tiempo para proporcionar acceso a las VM y facilitar su administración, hemos desarrollado un servicio para administrar el acceso a la red para las VM.
El usuario en el nivel de la máquina virtual en el menú contextual selecciona un elemento para crear una regla de acceso y luego, en el formulario que se abre, especifica los parámetros: desde dónde, dónde, tipos de protocolo, números de puerto. Después de completar y enviar el formulario, los tickets necesarios se crean automáticamente en el sistema de soporte al cliente basado en HP Service Manager. Acuden a los responsables de acordar tal o cual acceso y, si se aprueba el acceso, a los especialistas que realizan parte de las operaciones, que aún no están automatizadas.
Una vez completada la etapa del proceso empresarial con la participación de especialistas, comienza esa parte del servicio que crea automáticamente reglas sobre firewalls.
Como acorde final, el usuario ve una solicitud completada con éxito en el portal. Esto significa que la regla se ha creado y puede trabajar con ella: ver, cambiar, eliminar.
Puntaje de beneficio final
De hecho, hemos modernizado pequeños aspectos de la nube privada, pero el banco ha tenido un efecto notable. Los usuarios ahora solo obtienen acceso a la red a través del portal, no tratando directamente con la mesa de servicio. Campos de formulario obligatorios, su validación para la corrección de los datos ingresados, listas preconfiguradas, datos adicionales: todo esto ayuda a formar una solicitud de acceso precisa, que con un alto grado de probabilidad será considerada y no será envuelta por los oficiales de seguridad de la información debido a errores de entrada. Las máquinas virtuales ya no son cajas negras; puede seguir trabajando con ellas realizando cambios en el portal.
Como resultado, hoy en día los especialistas en TI del banco tienen a su disposición una herramienta más conveniente para obtener acceso, y solo esas personas están involucradas en el proceso, sin las cuales es definitivamente imposible prescindir. En términos de costos laborales, esta es una exención de la carga completa diaria de al menos 1 persona, así como decenas de horas ahorradas para los usuarios. La automatización de la creación de reglas hizo posible implementar una solución de microsegmentación que no crea una carga para los empleados del banco.
Finalmente, la "regla de acceso" se convirtió en una cuenta en la nube. Es decir, ahora la nube almacena información sobre las reglas de todas las máquinas virtuales y las limpia al eliminar las máquinas virtuales.
Pronto, los beneficios de la modernización se extendieron a toda la nube del banco. La automatización y microsegmentación de la creación de máquinas virtuales han salido de la DMZ y se han apoderado del resto de los segmentos. Y esto aumentó la seguridad de la nube en su conjunto.
La solución implementada también es interesante porque permite al banco acelerar los procesos de desarrollo, acercándolo al modelo de empresas de TI por este criterio. Después de todo, cuando se trata de aplicaciones móviles, portales, servicios al cliente, cualquier gran empresa hoy se esfuerza por convertirse en una “fábrica” para la producción de productos digitales. En este sentido, los bancos están prácticamente a la par de las empresas de TI más fuertes, manteniéndose al día con la creación de nuevas aplicaciones. Y es bueno cuando las capacidades de la infraestructura de TI construida sobre el modelo de una nube privada le permiten asignar los recursos necesarios para esto en unos minutos y de la manera más segura posible.
Autores:
Vyacheslav Medvedev, jefe del departamento de computación en la nube de Jet Infosystems ,
Ilya Kuikin, ingeniero líder del departamento de computación en la nube de Jet Infosystems