近些年,信息安全问题的频发,大多金融机构在生产环境投入了资源和技术手段来保证生产环境的安全性和可靠性,而在开发测试环境上安全投入较少。Nutanix 开发测试平台解决方案中提供了全面的安全体系建设方案,面对当前开发测试中所存在的安全威胁,可以有效的隔离和降低和规避安全问题的发生。结合数据通信的流量方向,提供从前端到后端打造一体化的安全体系架构。
前端安全:保障前端接入、数据、代码安全
Nutanix EUC(终端用户计算)解决方案为企业提供了多种选择。
可以采用 Citrix XenDesktop/XenApp 或者使用 VMware Horizon View,另外,如果使用 Citrix XenDesktop/XenApp 可以直接使用 Nutanix AHV 虚拟化,无需单独部署额外的虚拟化平台。
在个人用户配置文件存储的选择上使用 Nutanix 文件存储,无需单独采购第三方文件存储,降低管理和运维复杂度,节省成本。Nutanix 文件存储还提供文件分析和审计的功能,帮助企业更好的可视化管理数据。
在方案配置方面,Nutanix 有专业的配置指导工具,针对企业不同的配置选项自动生成最佳的推荐方案。自动生成的推荐软硬件配置方案如下图:
同时,根据企业员工招募的规划,在集群使用过程中,进行资源的使用预测和规划,提前进行资源的扩展,更好的满足企业员工数量的变化。如下图在管理界面中,新增加 100 个 VDI 开发者用户的工作负载,目标运行1年,系统会根据以前工作负载所使用的资源变化自动会提供需要增加的资源信息。
虚拟桌面除了保障开发测试环境中的代码安全,其实也成为了一种新的工作方式,尤其在疫情期间员工无法进场工作期间,使用虚拟桌面即不影响开发测试进度,也满足防疫的规定。很多金融机构在很早之前就已经部署了虚拟桌面,在 2020 年疫情期间实际上没有影响任何业务系统的开发和测试任务,有效保障了业务系统的上线时间。
金融机构在开发测试环境中部署了 VDI 之后,员工就可以在任何时候/任意地方安全连接到自己的内网桌面中,连接内网的开发测试系统,安全的进行业务开发测试工作。
中间安全:控制通信、交互、操作风险
Nutanix 统一管理平台提供了运维/开发/测试人员自服务访问接口,可以使用管理平台本地或结合 AD 域,进行用户的创建和赋予角色与权限。在不同的项目组中添加对应的人员进行系统的访问和操作。
创建项目组:为不同的开发测试部门创建不同的项目组,选择所对应的集群、网络和给予项目的资源配额。创建角色:创建项目组中的角色,并赋予其权限。添加用户:为项目组添加用户,并选择所属角色。同时也可以选择是否允许写作。
经过人员-角色-权限的绑定可以防止信息通信和交互所带来的安全风险,同时所有人员的操作也会被记录用于审计,阻断了对于非授权业务的操作。
后端安全:满足环境安全和一键应用隔离
在 Nutanix 开发测试平台上可以自动化部署属于不同项目组(环境)、不同安全策略的应用或业务系统,让其在平台上安全的运行。而对应安全策略所采用的技术是当前 IT 界流行的网络微分段的技术, Nutanix Flow 是一款高度集成于 Nutanix AHV 和Prism 的软件定义网络产品,用于执行以应用为中心的策略,并支持全面可视化和流量控制。
Nutanix Flow 支持以下类型的安全策略:
Nutanix Flow 可以直接在管理界面上开启使用,配置比较简单和方便,可以结合 Nutanix Calm 部署应用时自动化附加其所属安全策略。对于开发测试环境中可以利用不同的策略来保护后端的整体安全。
隔离开发测试环境,降低测试环境安全威胁影响:通常开发测试团队会有多个项目组,每个项目组都会需要自己的开发测试资源,而这些项目组之间的业务系统数据通信关系,一般只有项目管理员知道,运维同事不能准确配置网络安全策略,一般都是被告知需要开放哪些端口进行通信,没办法细颗粒度控制安全风险。一旦某一个项目组内的虚拟机被攻击或者受感染可能会对整个开发测试环境的安全造成影响。
如上图所示,在 Nutanix 开发测试平台上可以使用环境隔离策略,将不同的项目组的开发测试环境单独隔离,阻断环境间的网络通信,即使单个环境出现问题,也不会影响到整个开发测试环境,降低安全威胁影响。
在配置方面也比较简单,在每个项目组资源申请时会自动添加环境隔离属性,无需手动配置。另外,在等保 2.0 的规范中明确要求“应在网络边界或区域之间根据访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信”和“应保证当虚拟机迁移时,访问控制策略随其迁移”。
Nutanix Flow 不仅可以用于网络边界和阻断非允许通信流量,而且无论虚拟机是否迁移,所有策略仍然会生效,满足等保要求。
基于ID策略自动下发,随身防护:Nutanix Flow 支持与 AD域结合,基于AD 域中的用户和组应用安全策略,当检测到用户登录到 VDI 环境时,ID防火墙会自动将登录的虚拟机置于适当的类别中,从而限制该虚拟机在目标业务系统中的通信。下图为管理界面配置视图:
一键隔离异常,安全取证和查杀:如果在开发测试环境中出现异常行为的虚拟机或者受感染的虚拟机,可以在管理界面上右键隔离虚拟机,如下图:
隔离后的虚拟机可以阻断一切流量,防止病毒蔓延,同时也可以指定一组可以与虚拟机通信的检测工具,针对该虚拟机进行查杀和取证。当虚拟机变为安全后,右键该虚拟机选择解除隔离即可恢复所有通信。
以上是Nutanix 开发测试平台提供的部分安全建设解决方案,在金融业务加速创新的背景下,采用新的信息化技术,提升金融效率和服务的过程中,信息安全始终都是最重要的环节之一,无论是生产环境还是开发测试环境都应建设全方位的安全保护策略,最大程度降低安全的风险。
