Ipari felhő infrastruktúrák a gyakorlatban Krasznay Csaba

A felhő első pillantásra

Egy kis „történelem” Elnevezés: internet „felhő” ábra Szolgáltató Elnevezés: internet „felhő” ábra Koncepcionális előzmények: VPN mint telco szolgáltatás (fekete doboz) Virtualizáció (virtuális szerverek) SOA architektúra elvek Informatikai közmű gondolat (már a 60-as években) Evolúciós előzmények: Szerver virtualizációs technológiák Datacenterek elterjedése Amazon adatközpontok „felesleges” kapacitás kihasználás, (AWS) ……

Definíció, jellemzők Cloud Computing: IT erőforrásoknak és kapacitásoknak szolgáltatás alapú; transzparens; a felhasználó számára a fizikai megvalósítástól és üzemeltetéstől független igénybevétele, amely: Megosztott erőforrásokon alapul; Biztonságos; On-demand jellegű igénybevétel és díjazás; Azonnali rugalmasság és skálázhatóság az igénybevett kapacitásokban; Többé-kevésbé önkiszolgáló rendszer, többé-kevésbé automatizált aktiválással; Közmű jelleg, standardizáltság.

Mi van a felhőben? „IT erőforrások és kapacitások” Infrastruktúra (szerver, storage, network, adatbázis) Messaging & Collaboration (pl. e-mail, Sharepoint, stb.) Web services Virtuális kliens szolgáltatások CRM, ERP és ügyviteli rendszerek …?...

Fogalmak, terminológia Megvalósulási rétegek: XaaS (…. as a Service) Üzleti folyamat (Business Process as a Service) Szoftver alkalmazás Szoftver, SaaS megoldás-stack Platform, PaaS (pl. szerver, hálózat, adatbázis, stb.) Infrastruktúra, IaaS Rendszer-felügyelet és adminisztráció

Cloud referencia modell

Szolgáltatás alapú IT ITIL v3 szerinti szolgáltatásmodell

Miben más a cloud? Hagyományos IT szolgáltatás: (pl. datacenter hosting, outsourcing, managed service providers) Cloud szolgáltatás: Technológia- és/vagy eszköz igénybevételi szolgáltatások Hosszútávú szerződéses keretek Statikus szerződési feltételek Egyedi, ügyfélhez igazodó, testre szabott környezetek Portfolió alapú, on-demand alapú kínálat (katalógus) Dinamikus szerződési feltételek Igénybevétel/használat alapú díjazás Standardizált, egységes, egyedi megoldásokat nem támogat

Hogyan működik? – belső technológia Egyesített infrastruktúra konglomerátum (hw, sw, meta-OS) Szolgáltatás-katalógus Self-service portal Cloud-maps: előre definiált templatek az elterjedt alkalmazási környezetek számára Orchestration: azonnali skálázhatóság, erőforrások és kapacitások on-demand vezérlése Vegyes op.r. támogatás Egységes monitorozás IT biztonsági szolgáltatások

Automatizmusok Self-service portal Szolgáltatás-katalógus Szolgáltatás igénylés Autoprovisioning folyamat indítása Szolgáltatás-katalógus Igényelhető termékek, szolgáltatások listája Product layer (ár, SLA, kereskedelmi info) Service layer (szolg. Technikai összetétele) Resource layer (pl. server, VM, storage, etc.) Szolgáltatás aktiválás Automatizált igénylési és indulási folyamat Standardizált környezet „azonnali” indulása Szolgáltatás életciklus menedzsment

Kiépítettségi szintek (deployment model) Hagyományos Private Public Private cloud: egyetlen felhasználó szervezet számára történő üzemelés, külső v. belső helyszínen Public cloud: megosztott erőforrások, több önálló szervezet, pay-per-usage alapon (service provider) Community (public zárt körben): üzleti partnerek, kormányzat, stb. Hibrid: vegyes cloud üzem egységes keretben, saját és cloud szolgáltatások együttélése

Túl a technológián – az átállás kérdései T&T projektek, szervezeti keretek és szerepkörök, üzemeltetés változásai Tervezés, onboarding, átállás, menedzsment és irányítás Teljes körű alkalmazás-konszolidációs portfolió: hatékonyság, modernizáció, racionalizálás és átalakulás összekapcsolása Speciális célzott szolgáltatás AT2C (Application-to-Cloud): alkalmazás szintű átállás-elemzés, üzleti és technológiai átállási készültség felmérése újfajta IT működés, belső erőforrások és feladatok átalakulása: a hangsúly a technológiai területről logikai szintre tolódik

Ösztönzők és kihívások (pro és kontra) Motivációs tényezők: Beruházás nélküli erőforrás rendelkezésre állás, gyors indulás Megosztott, ezáltal optimális és hatékony erőforrás használat Gyors műszaki alkalmazkodás, architektúra váltás Rugalmas kapacitás-felhasználás és –lekötés, pl ideiglenes feladatoknál: tesztelés, oktatás, fejlesztési környezet, kampány jellegű feldolgozások Zöld IT Leggyakoribb fenntartások: Cloud erősen standardizált jellege vs. egyedi elvárások az IT-vel szemben üzleti oldalról Jogi környezet, szabályozás, biztonság, adatkezelés Minden fenntartásra van jó megoldás, sőt!

A cloud biztonságával kockázatok Szabályzati és szervezeti Függőség Irányítás elvesztése Megfelelőségi problémák Technológiai Erőforrások túllépése Izolációs hiba Kiemelt jogosultsággal való visszaélés Menedzsment interfész támadása Átvitel lehallgatása Adatszivárgás Jogi Lefoglalás Különböző joghatóságok Adatvédelem Licencelés Közvetett Hálózati hiba Hálózatmenedzsment Hálózati forgalom módosítása Jogosultság kiterjesztése Social Engineering Megosztott erőforrások miatti problémák Cloud szolgáltatás befejezése Cloud szolgáltató felvásárlása Szállítási lánc megszakadása Nem megfelelő törlés DDoS EDoS (Gazdasági DoS) Titkosító kulcs elvesztése Külső támadási próbálkozások Kompromittált szolgáltatási motor Nem megfelelő hardening Üzemeltetési naplók sérülése Biztonsági naplók elvesztése Mentések elvesztése Nem jogosult fizikai hozzáférés Lopás Természeti katasztrófa Forrás: ENISA, Cloud Computing: Benefits, risks and recommendations for information security

Elvárt védelmi intézkedések

Biztonsági előnyök A korábban felsorolt kockázatok közül néhány éppen hogy előnnyé konvertálható megfelelő tervezéssel (ld. DDoS példája) Összességében az alábbi biztonsági előnyök mutatkoznak a felhőre való áttérés esetében: Szabványos interfészek a menedzselt biztonsági szolgáltatások felé Az erőforrások gyors, intelligens skálázása Auditálás és bizonyítékgyűjtés Gyors, hatékony és hatásos frissítés és az elvárt biztonságos alapértelmezések beállítása Biztonság az SLA-ban, jobb kockázatmenedzsment Az erőforrások központosításából eredő előnyök Gyorsabb, olcsóbb, jobb – de ehhez új nézőpontból kell a biztonságra tekinteni!

Felhőbiztonság vs. biztonság a felhőben A cloud egyik új hozadéka, hogy nem csak az üzleti folyamatokat támogató megoldások felhősödnek, hanem a biztonsági megoldások is. Jó példa erre a mobilbiztonság területe, ahol a gyártók a hagyományos szoftverek mellett párhuzamosan már cloud alapú megoldásokat is kínálnak, mert: Hirtelen kell megoldást nyújtani; Külön infrastruktúra telepítése nélkül; Új szakemberek alkalmazása nélkül. A biztonsági megoldások távoli kezelésével tehát költség takarítható meg, de legféltettebb titkaink kerülnek ki a kezeink közül (pl. naplóadatok). De az outsourcing esetében nem így volt korábban is? Csak a technológia más, a szemlélet és a szabályok változatlanok!

Ajánlott irodalom

Köszönöm a figyelmet! Web: www.krasznay.hu E-mail: csaba@krasznay.hu Twitter: twitter.com/csabika25