Integrator nr III/2014 (128)

Transkrypt

Integrujemy przyszłość®
ISSN 1233–4944
Biuletyn Informacyjny SOLIDEX®
Nr III/2014 (128)
20 lat
Integratora®
czytaj str. 4
W numerze
między innymi:
WYDARZENIA:
PORZĄDEK w SIECI –
jesień 2014
NOWOŚCI:
Sandboxing w wykonaniu
Check Point
TECHNOLOGIE:
Anteny Cisco dla sieci
bezprzewodowych
ROZWIĄZANIA:
Cisco TelePresence - seria SX
www.integrator.SOLIDEX.com.pl
Gold Certified Partner
Cisco Learning
Specialized Partner
Platinum Partner
Collaborative Certified
Support Provider
Platinum Partner
J-Partner Elite
Gold Partner
Elite Partner
Numer: III/2014 (128)
Szanowni Państwo,
Z przyjemnością przedstawiamy Państwu trzeci w tym roku numer naszego firmowego biuletynu informacyjnego
INTEGRATOR.
Właśnie tej jesieni mija 20 lat od wydania pierwszego numeru INTEGRATORA, który od początku miał za zadanie
dostarczać czytelnikom rzetelnej wiedzy i informacji na temat ciekawych zagadnień z zakresu nowych technologii teleinformatycznych. Nasz kwartalnik redagowany jest przez Zespół SOLIDEX i trafia do grupy kilku tysięcy profesjonalistów IT.
W bieżącym numerze INTEGRATORA znajdą Państwo wiele artykułów poświęconych rozwiązaniom z oferty naszych
partnerów technologicznych takich jak: Check Point, F5, Cisco i EMC oraz omówione zostanie zagadnienie z dziedziny
bezpieczeństwa dotyczące biblioteki OpenSSL.
Zachęcamy również do przeczytania artykułu na temat jubileuszu 20-lecia INTEGRATORA oraz tekstu o kolejnej jesiennej
akcji „Porządek w Sieci 2014”, na którą serdecznie Państwa zapraszamy.
Mamy nadzieję, że prezentowane w tym numerze tematy spotkają się z Państwa zainteresowaniem, a tych z Państwa,
którzy zainteresowani są prenumeratą zapraszamy do zapoznania się z naszym serwisem www.integrator.SOLIDEX.com.pl.
Życzymy przyjemnej lektury
Zespół SOLIDEX
Spis treści
WYDARZENIA
1994 – 2014: 20 lat Integratora ®
PORZĄDEK w SIECI – jesień 2014
4
5
NOWOŚCI
7
12
Sandboxing w wykonaniu Check Point
F5 Synthesis – aplikacje bez ograniczeń
TECHNOLOGIE
16
21
Chmura obliczeniowa bez tajemnic
Anteny Cisco dla sieci bezprzewodowych
ROZWIĄZANIA
25
30
33
37
Cisco Virtual Wireless LAN Controller – instalacja i wstępna konfiguracja
Heartbleed – sprawdź czy jesteś bezpieczny
Cisco TelePresence – seria SX
EMC Data Domain – macierz zabezpieczająca z wykorzystaniem techniki deduplikacji
WYDARZENIA
1994 – 2014:
20 lat Integratora®
Kiedy 20 lat temu, jesienią 1994 roku został wydany pierwszy numer naszego
biuletynu Integrator, SOLIDEX był niewielką 25 osobową firmą, a mało kto
wiedział o istnieniu internetu. Od początku SOLIDEX stawiał sobie za zadanie
szerzenie wiedzy i dostarczanie swoim Klientom najlepszych rozwiązań
teleinformatycznych dla rozwoju rozwiązań internetowych.
Aby na bieżąco informować naszych
czytelników o najnowszych urządzeniach i technologiach nasi inżynierowie, doskonali praktycy, mający za
sobą doświadczenie w projektowaniu,
wdrażaniu i utrzymywaniu rozwiązań
liderów branży IT, zaczęli dzielić się
swoim doświadczeniem publikując
interesujące ar tykuły dotyczące
również problematyki Internetu.
Aż trudno uwierzyć, że świat Internetu
tak wszechobecny w dzisiejszych
czasach i ogarniający każdą dziedzinę
życia, jeszcze dwie dekady temu powoli
wychodził poza mury uczelni. Wtedy
też, zaczynały powstawać pierwsze
polskie strony internetowe a wśród
nich www.SOLIDEX.com.pl.
Sukcesem Internetu stała się standaryzacja technologii, otwartość dostępu
4
do sieci oraz wielu użytkowników,
którzy nie tylko korzystają z informacji
oferowanym im przez wirtualny świat,
ale również sami stają się twórcami
jego zawartości. Ostanie 20 lat to
również burzliwy rozwój technologii.
Nieustannie zasypywani jesteśmy
nowinkami producentów sprzętu
i oprogramowania, nowymi rozwiązaniami telekomunikacyjnymi i
wirtualnymi produktami, które mają
zaspokajać coraz to bardziej rozbudzone
potrzeby konsumenta. Wiele z tych
nowości są jednak wprowadzanymi
na nowo, odmłodzonymi podejściami,
które już od wielu lat spełniają nasze
oczekiwania. Nie ma jednak wątpliwości, że współczesny świat jeszcze
nie raz nas zaskoczy, a my staniemy się
świadkami, a zarazem i uczestnikami
tworzenia historii. Rewolucja technologiczna i teleinformatyczna czyli po prostu
rewolucja internetowa, to nie chwilowa
moda, ale wyzwanie które stawia przed
nami coraz to większe wymagania.
Aby nasi Czytelnicy nie byli w tej
drodze osamotnieni, od momentu
projektowania przez etap realizacji,
wdrażanie i eksploatację wybranych
przez siebie rozwiązań, mogą liczyć na
pomoc naszych SOLIDnych EXpertów.
Bardzo dziękujemy naszym wiernym
Czytelnikom, którzy od 20 lat zgłębiają
z nami tajniki rozwiązań IT. Mamy
również nadzieję, że kolejne numery
Integratora spełnią Państwa oczekiwania i zainteresują swymi fachowymi
artykułami.
Zespół SOLIDEX
Numer: III/2014 (128)
PORZĄDEK w SIECI – jesień 2014
„Sztuka Powietrznej Integracji”
Organizowane przez SOLIDEX seminarium edukacyjno-promocyjne „Porządek
w Sieci” stało się obowiązkowym punktem w kalendarzu każdego pasjonata
i eksperta w dziedzinie infrastruktury IT. Z tego powodu mamy przyjemność
poinformować o kolejnej jesiennej edycji naszych spotkań, na której grupa
SOLIDnych Expertów zaprezentuje najnowsze rozwiązania oraz trendy
w budowie niezawodnej i bezpiecznej infrastruktury IT.
Państwu o możliwościach każdego
z rozwiązań. Poruszane tematy, uzupełnione pokazami praktycznymi, tym
razem będą skupiać się na integracji
sieci bezprzewodowych z systemami
bezpieczeństwa. Nasze laboratorium
demonstracyjne stanowić będzie
gotowy przepis na niezawodną oraz
Jesienią 2014 będzie miała miejsce bezpieczną sieć bezprzewodową.
kolejna, już czwarta seria spotkań Z aprezentowane zost aną nast ę w ramach akcji „Porządek w Sieci”. pujące tematy:
Seminaria prowadzone będą w lekko • Ochrona użytkowników i infrazmienionej formie. Tym razem przed- struktury prywatnej sieci WiFi.
stawione zostaną trzy prezentacje Nieustanna ewolucja charakteryzamiast czterech. Natomiast na każdą styki pracy użytkowników zorienz nich będzie przeznaczone więcej czasu, towanych na urządzenia mobilne
tak by nasi inżynierowie w większych generuje coraz większe wymagania
szc zegó łach mogli opowiedzieć dla ł ąc zno ś c i bezpr zewodowej.
Podczas poprzedniej, trzeciej już akcji
„Porządek w Sieci”, która odbyła się
na wiosnę 2014 roku w głównej mierze
przedstawione zostało jak efektywnie
realizować zarządzanie w swojej sieci
oraz w jaki sposób umocnić swoją
architekturę bezpieczeństwa.
Dzisiaj sieć WiFi nie jest już tylko
wykorzystywana do zapewnienia
podstawowej łączności z Internetem,
ale również jako platforma do dostarczania usług mobilnych.
Chcąc sprostać tym wymaganiom,
Cisco udostępniło produkt Mobility
Services Engine (MSE), dzięki któremu
inżynierowie IT mogą zwiększyć
widoczność oraz bezpieczeństwo infrastruktury sieciowej.
Wykorzystując usługę wIPS (Wireless
Int r u sion P r event ion S ys t em)
jesteśmy w stanie chronić się przed
szkodliwymi urządzeniami bezprzewodowymi destabilizującymi pracę
infrastruktury oraz atakami skierowanymi bezpośrednio na sieć WiFi.
5
WYDARZENIA
C isco MSE to t ak że możliwoś ć
agregacji kluczowych informacji
o stanie sieci WiFi oraz urządzeniach
w niej pracujących.
•
Skuteczne zarządzanie infras t r uk t ur ą z a b e z pie c z e ń s ie c i
bezprzewodowych
Wraz z rosnąc ą lic zbą urządzeń
bezprzewodowych, podsieci oraz
realizowanych usług mobilnych
rośnie liczba reguł i polityk w każdym
systemie zabezpieczeń. Zarządzanie
odpowiednim poziomem protekcji
u ż yt kowników kor z ys t ają c yc h
z sieci bezprzewodowej staje się
poważnym wyzwaniem dla każdego
działu IT. Istotnymi aspektem staje
się odpowiednia kontrola dostępu
do zasobów oraz aplikacji mobilnych.
Na przykładzie systemu zabezpieczeń
zbudowanego w oparciu o technologię
firmy Check Point zaprezentujemy jak
skutecznie chronić użytkowników sieci
bezprzewodowej przed współczesnymi
zagrożeniami oraz jak w łatwy sposób
zarządzać politykami bezpieczeństwa
z poziomu pojedynczej konsoli.
•
B e z pie c z ne i nie z awodne
udostępnianie aplikacji dla użytkowników mobilnych.
Wraz z nieustanie rosnącą popularnością aplikacji mobilnych lawinowo
wzrasta liczba zadań stawianych
przez każdą organizacją. Istotnym
elementem wpływającym za złożoność problemu jest potrzeba niezawodnego i bezpiecznego dostępu
każdemu użytkownikowi niezależnie
od miejsca w którym się znajduje
Nowym wyzwaniem staje się dostarczanie takich aplikacji 24 godziny
na dobę. Rozwiązaniem gwarantującym wysoką dostępność oraz
niezawodność usług jest wykorzystanie technik optymalizacji ruchu
sie c iowego p opr ze z int eg r ac j ę
systemów z rozwiązaniami firmy
F5 Networks.
6
Spotkania na które mamy przyjemność Serdecznie zapraszamy do zgłaszania
Państwa zaprosić w tej edycji odbędą udziału już dzisiaj. Rejestracja oraz
się w miastach siedzib naszych wszelkie informacje organizacyjne
oddziałów t.j. w: Gdańsku, Poznaniu, - zarówno o bieżących oraz o archiWrocławiu, Warszawie i oczywiście walnych edycjach akcji - dostępne są
w centrali w Krakowie.
na www.porzadek.SOLIDEX.com.pl
… z poprzedniej wiosennej edycji
Wiosną 2014 roku zaprezentowane zostały
infrastrukturą sieciową zbudowaną
cztery wykłady uzupełnianie pokazami
w oparciu o rozwiązania wielu różnych
„na żywo”, podczas których przedsta-
producentów.
wione były najważniejsze oraz najcie-
• Websense TRITON – bezpieczeństwo
kawsze możliwości każdego z rozwiązań.
na styku z Internetem. Ten wykład skupiał
Omawianymi technologiami były:
uwagę uczestników na nowe oraz szybko
• Juniper JSA (SIEM) – wykrywanie
ewoluujące zagrożenia pochodzące z sieci
zagrożeń przy pomocy korelacji zdarzeń.
Internet. Zaprezentowane zostały narzę-
Podczas tego pokazu wprowadzone zostało
dzia i mechanizmy będące odpowiedzią
pojęcie „Inteligencji bezpieczeństwa”,
firmy Websense na te niebezpieczeństwa.
a całość prezentacji stanowiła próbę udo-
• Cisco Prime – zarządzanie, monitoring
wodnienia na przykładzie rozwiązania firmy
oraz śledzenie zmian w sieci. Ostatnia
Juniper, że systemy klasy SIEM są jednym
z wiosennych prezentacji miała na celu
z jej obowiązkowych elementów.
przybliżenie rozwiązania, które znacznie
• Infoblox NetMRI – metody zarządza-
ułatwia życie każdego administratora
nia sieciami wielu dostawców. Druga
urządzeń sieciowych firmy Cisco. Podczas
z prezentacji uzupełniała grono kompo-
pokazu „na żywo” zaprezentowane zostały
nentów wspomnianej „Inteligenc ji
najważniejsze cechy systemu, jak centralne
bezpieczeństwa” o zunifikowany system,
zarządzanie oraz możliwość pobrania oraz
dzięki któremu w sposób łatwy i efek-
instalacji nowej wersji oprogramowania
tywny możliwe jest pełne zarządzanie
z poziomu platformy Prime.
Zespół SOLIDEX
Numer: III/2014 (128)
Sandboxing w wykonaniu Check Point
Nieustanna walka między cyberprzestępcami a nowymi systemami
zabezpieczeń z dnia na dzień przechodzi na coraz wyższy poziom. Efekty pracy
jednej ze stron są motorem napędowym rozwoju drugiej. Pojawienie się zagrożeń
typu zero-day, które wykorzystują podatności różnego rodzaju oprogramowania
zaczęło stanowić ogromny problem zarówno dla inżynierów bezpieczeństwa,
jak i samych klientów będących ofiarami takich ataków. Przewaga czasowa
hakerów oraz brak sygnatur opisujących dany atak sprawiał, że świat
był bezbronny w obliczu nowego niebezpieczeństwa. Na ratunek przyszła
technologia sandboxing’u, która zostanie scharakteryzowana w tym artykule
na przykładzie rozwiązania Check Point Threat Emulation.
Czym jest atak typu zero-day?
ataku wymierzonego w klientów
konkretnej aplikacji i instalacji złośliwego
Atak typu zero-day jest jednym z najgroź- oprogramowania tym kanałem komuniniejszych ataków, z którymi przychodzi kacyjnym. Nazwa tego typu zagrożenia
zmierzyć się użytkownikom współ- pochodzi od stanu w jakim programiści
czesnego Internetu. Genezą ataku się znajdują w momencie przeprowajest wykrycie wcześniej nieznanej dzenia ataku, gdyż mają dokładnie
luki w oprogramowaniu. Informacje zero dni na wprowadzenie poprawek
o nieznanych deweloperom danej w kodzie źródłowym i wydaniu patcha
aplikacji podatnościach są znajdowane usuwającego wykorzystywane błędy
bezpośrednio przez atakujących lub w programie. Do liderów pod względem
są przedmiotem handlu na czarnym rynku. ilości kompromitacji z pewnością zaliczyć
Cyberprzestępcy wykorzystują te dane można aplikacje Java, Internet Explorer
do przeprowadzenia zaawansowanego oraz Adobe Reader.
Rozwiązanie problemu
Odpowiedzią inżynierów bezpieczeństwa IT na ataki zero-day jest
technologia nazywana powszechnie
jako Sandbox . Mechanizm ten
używany jest do realizacji testów
nieznanego lub niezaufanego kodu
w celu weryfikacji czy dany plik nie
posiada znamion złośliwego oprogramowania. Proces ten jest niezwykle
prosty – „podejrzany” plik zostaje
zwyczajnie uruchomiony. Pomysł
byłby absurdalny gdyby nie fakt,
7
NOWOŚCI
Rys. 1. Threat Intelligence & Incident Response: dane z organizacji amerykańskich i europejskich, Luty 2014
że testy na podejrzanym elemencie
przeprowadzane są w specjalnie
przygotowanym do tego celu środowisku. Właśnie tam monitorowane
są w czasie rzeczywistym wszelkie
zachowania oprogramowania, przeprowadzane zmiany na urządzeniu oraz
podejmowana jest decyzja, czy analizowany plik stanowi zagrożenie czy
był to jedynie tak zwany false positive.
Check Point ThreatCloud
W 2012 firma Check Point wprowadziła us ł ugę T hreatC loud. Jest
to jedna z pierwszych rozległych
infrastruktur bezpieczeństwa, której
głównym celem jest walka z cyberprzestępczością. ThreatCloud jest
zaawansowaną usługą zorientowaną
na chmurę, która dostarcza modułom
klasy Threat Prevention najnowsze
aktualizacje bazy znanych zagrożeń,
8
podatności, ataków oraz wiele więcej.
Dzięki integracji bladów z serii Threat
Prevention razem z usługami oferowanymi przez ThreatCloud można
niskim kosztem osiągnąć niezwykle
skutec zną inteligencję systemu
bezpieczeństwa. Całość architektury
T hreatC loud składa się z trzech
komponentów:
• ThreatCloud Emulation Service
– zapewnia wysoki stopień ochrony
przed nieznanymi zagrożeniami,
atakami typu zero-day oraz atakami
wymierzonymi bezpośrednio w daną
organizację lub grupę użytkowników.
Jest to innowacyjne rozwiązanie,
które realizuje inspekcję podejrzanych
plików w środowisku wirtualnym.
Zidentyfikowane złośliwe oprogramowanie jest blokowane przed dostaniem
się do sieci wewnętrznej.
• ThreatCloud Incident Response
Service – usługa oferująca pomoc
ekspertów Check Point w sytuacji
wystąpienia ataku. Zakres usług
uwzględnia usunięcie zagrożenia, działania mające na celu minimalizację
strat oraz przywrócenie poprawnej
pracy systemu. Całość prac sfinalizowana jest szczegółowym raportem.
• ThreatCloud Managed Security
Service – usługa oferująca monitorowanie stanu infrastruktury teleinformatycznej oraz systemów bezpieczeństwa.
Prace wykonywane są przez ekspertów
Check Point 24 godziny na dobę przez
7 dni w tygodniu.
Check Point Threat
Emulation
Od niedawna, wraz z wprowadzeniem
wersji oprogramowania R77, rodzina
software blade w kategorii Threat
P revention posiada dodatkowy
komponent. Do grona funkcjonalności
Numer: III/2014 (128)
Emulation niezbędny komponent
systemu bezpieczeństwa w sytuacji,
gdy konieczne jest zabezpieczenie
przeciwko atakom typu zero-day.
Schemat działania modułu Threat
Emulation w sposób idealny przedst awia grafika zaprezentowana
na rysunku 2 . Proces przewiduje
pracę czteroetapową. Szczegółowy
opis każdej z faz opisany został
w następnych punktach.
Identyfikacja pliku
P ier ws z ym e t ap em na dr o d z e
skutecznego działania jest odpowiednia
identyfikacja pliku. Dokument lub
plik oznaczony przez silnik Check
Point jako podejrzany zostaje natychmias t sk ier owany do sys t emu
Sandbox. Klasyfikacja pliku odbywa
się przed dopuszczeniem go do sieci
Rys. 2. Proces realizowany przez Threat Emulation.
wewnętrznej, którą chroni firewall
takich jak: AntiVirus oraz AntiBot komplek sową . Obec nie rozwią - Check Point. Skanowanie w poszudo s z e d ł mo du ł z wa ny T hr e at zania Check Point oprócz protekcji kiwaniu złośliwych elementów
Emulation. Stanowi on uzupełnienie przeciwko znanym i sklasyfikowanym odbywa się na drodze komunikacyjnej
systemu zabezpieczeń przeciwko zagrożeniom mogą również zabez- poczty elektronicznej lub w sesjach
zagrożeniom typu malware, dzięki pieczyć chronioną infrastrukturę webowych. W przypadku analizy
czemu ochrona zapewniana przez IT przeciwko temu, co jeszcze jest danych przesyłanych przez email
systemy Check Point stała się ochroną nieznane. Wszystko to czyni z Threat skanowaniu podlegają same załączniki.
Obsługiwanymi protokołami dla
badania zawartości korespondencji
mailowej są SMTP oraz TLS. Protokół
TLS jest wspierany w wykorzystaniu
urządzenia Check Point w topologii
jako MTA (Message Transport Agent)
lub instalacji dedykowanego agenta
na serwerze Exchange. Druga opcja
pozwala na korzystanie z usługi
Threat Emulation klientom, którzy nie
posiadają infrastruktury Check Point.
W przypadku komunikacji webowej
wspierane protokoły to HT TP oraz
HT TP S. W tym wariancie skanowaniu podlegają pliki pobierane przez
użytkowników sieci wewnętrznej.
Typy plików, które podlegają analizie
to najc zę ś ciej wykorzystywane
formaty do przenoszenia złośliwego
Rys. 3. Typy plików podlegające skanowaniu przez Threat Emulation.
opr og ramowania . Z alic z ają się
9
NOWOŚCI
operuje zegarami systemowi stwarzając
iluzję upłynięcia odpowiedniej porcji
czasu. W następnym kroku zebrane
podczas analizy informacje stanowią
dane wejściowe dla zaawansowanego
algorytmu, który podejmuje decyzję
Emulacja
czy dany plik zawiera w sobie złośliwe
oprogramowanie, czy też nie. Po zakońKolejnym i wręcz najważniejszym
czeniu emulacji i prac z nią stowarzyetapem pracy Threat Emulation jest
uruchomienie przesłanego pliku Podczas wykonywania pliku rozwią- szonych badana porcja danych zostaje
w środowisku wirtualnym. Komuni- zanie Check Point monitoruje jego usunięta z pamięci chmury.
kacja między naszym Gateway’em, aktywność w celu wykrycia znamion
a rozproszoną usługą Check Point malwaru. System buduje sobie profil Ochrona przed wykrytym
w chmurze jest zaszyfrowana kluczem zachowania w celu odpowiedniego zagrożeniem
publicznym. Producent zapewnił oflagowania jakichkolwiek wykrytych
w ten sposób poufność przesyłanych anomalii. Threat Emulation zwraca Unikatową cechą wyróż niając ą
danych. T hreatC loud wykonuje jednak szczególną uwagę na kilka akcji Threat Emulation na tle konkurendeszyfrację przesłanego strumienia stowarzyszonych z pracą otrzymanego cyjnych rozwiązań klasy Sandbox jest
danych kluczem prywatnym, po czym pliku. Sprawdzane są zmiany w plikach możliwość zablokowania wykrytego
przechodzi do właściwej emulacji systemowych, zmiany w rejestrach przez Check Point złośliwego oprograsystemu operacyjnego, nawiązywane mowania na samym Gateway’u.
podejrzanych danych.
Uruchomienie pliku odbywa się połączenia sieciowe oraz uruchamiane Wstrzymanie dostarczenia pliku
w specjalnie wydzielonym do tych procesy. Wykazanie jakiejkolwiek na czas przeprowadzanych badań
celów środowisku sandboxowym. anomalii na wymienionych płaszczy- w środowisku wirtualnym jest możliwe
W tym momencie system Check znach jest następnie dogłębnie anali- w następujących konfiguracjach:
Point dokonuje inspekcji zachowania zowane. W sytuacji, gdy potencjalny • Dla komunikacji webowej, gdy
badanego pliku w kontekście pracy malware znajdujący się na skano- system wdrożony jest w architekturze
na różnych systemach operacyjnych wanym pliku posiada zabezpieczenie in-line.
w kombinacji z zainstalowanymi czasowe przed natychmiastowym • Dla skanowania załączników, gdy
różnymi wersjami oprogramowania wykryciem – uruchamia się po jakimś wykorzystywana jest topologia MTA
Microsoft Office i Adobe. Obecnie czasie. Sandbox firmy Check Point na Security Gateway’u.
• Dla skanowania załąc zników,
gdy wykorzystywany jest agent
na serwerze Exchange.
Według oficjalnych danych producenta czas potrzebny na przeprowadzenie pełnej emulacji wynosi od 60
do 70 sekund.
do nich pliki wykonywalne (exe),
pliki archiwalne (zip) oraz dokumenty
Microsoft Office (Word, Excel, PowerPoint) i Adobe PDF.
obsługiwanymi przez Threat Emulation
wersjami są:
• Microsoft Windows XP,
• Microsoft Windows 7,
• Microsoft Windows 8,
• Microsoft Office 2003, 2007 (planowane wsparcie dla MS Office 2010),
• Adobe Reader 9.
Aktualizacja bazy o nowe
zagrożenie
Rys. 4. Przykładowy raport wygenerowany przez Threat Emulation.
10
W sytuacji, gdy Threat Emulation
wykrył nowe zagrożenie lub nową
podatnością dokonywana jest natychmiastowa zbiorowa aktualizacja.
Realizowana jest ona poprzez usługę
chmurową ThreatCloud i zebrane
dane są propagowane do wszystkich
klientów tej usługi. W skład aktualizacji
Numer: III/2014 (128)
wchodzi zestaw informacji na temat
nowo zidentyfikowanego zagrożenia.
Przesłane dane zawierają skrót MD5
zainfekowanego pliku, SHA1 oraz
całościowy raport opisujący zachowanie wykrytego złośliwego oprogramowania (uruchamiane procesy,
stworzone pliki, zmiany w rejestrze oraz
nawiązywane zdalne sesje).
wirtualnego Sandboxa na znajdującym
się lokalnie dedykowanym do tego celu
urządzeniu Check Point.
Podsumowanie
Obecnie rynek rozwią zań klasy
Sandbox doświadcza ogromnego
roz woju . Spowodowane jest
to w głównej mierze wymaganiami
Scenariusze wdrożenia
rynku na kompleksowy system zabezpieczeń chroniący zarówno przed
Kolejną cechą unikatową rozwiązania znanymi zagrożeniami, jak i nowymi,
jest pewna elastyczność we wdrożeniu nierozpoznanymi jeszcze atakami typu
rozwiązania klasy Sandbox. Domyślną zero-day. System Threat Emulation
oraz rekomendowaną przez produ- oferowany przez firmę Check Point
centa formą korzystania z Threat stanowi zaawansowane narzędzie,
Emulation jest usługa w chmurze. dzięki któremu poziom protekcji
Jest ona zdecydowanie efektywniejsza zostaje znacznie podniesiony. Rozwiąkosztowo oraz cały proces przetwa- zanie wyróżnia się na tle konkurencji
rzania nie absorbuje w żadnym stopniu kilkoma znaczącymi cechami. Pierwszą
wewnętrznych zasobów organizacji. jest unikatowa funkcjonalność zabloJednak dla grona klientów sceptycznie kowania złośliwego oprogramowania
podchodzących do oferty chmury przed dostaniem się do sieci firmowej.
public znej C heck Point pr zygo - Drugą natomiast jest elastyczność
tował alternatywę w postaci tak wdrożenia, która zapewniona jest
zwanej chmury prywatnej. Pozwala poprzez implementację Sandboxingu
to na skonfigurowanie własnego w dwóch wariantach – publicznej lub
prywatnej chmury. Threat Emulation
jest modułem relatywnie nowym
i obecnie jest on silnie rozwijany przez
firmę Check Point. Mamy nadzieję,
że niniejszy artykuł przyczynił się
do zwiększenia świadomości na temat
rozwiązań tej klasy oraz zwrócił oczy
czytelników na konieczność sprostania
nowoczesnym zagrożeniom, z którymi
przychodzi nam się zmierzyć.
M.M.
Rys. 5. Możliwe scenariusze wdrożenia Threat Emulation.
11
NOWOŚCI
F5 Synthesis – aplikacje bez ograniczeń
Aplikacje są siłą napędową każdego biznesu. By opracować je w odpowiedni
sposób należy poświecić dużo czasu i pieniędzy. Jednakże zmiany w trendach
technologicznych sprawiają, że osiągniecie tego prostego celu staje się
coraz trudniejsze.
Aby sobie to uświadomić należy
zwróc ić uwagę jak w ost atnich
czasach zmienił się sposób dostępu
do aplikacji. Obecnie może on być
realizowany z praktycznie każdego
miejsca na świecie dzięki wykorzystaniu Internetu. Jest to w dużej
mierze napędzane przez zawrotny
rozwój urządzeń mobilnych. Szacuje
się , ż e w r ok u 2 0 1 7 ilo ś ć t yc h
urządzeń przekroczy 2.9 mld. Dzięki
temu 40% pracowników stanie się
w pełni mobilna.
Proces w jakim tworzone i dostarczane są aplikacje również ulega
gwałtownym przemianom. Preferowaną platformą do rozwijania
oprogramowania staje się chmura.
W iele pr ze dsię bior s t w powoli
wdraża podejście DevOps, które
pozwala na bliż sz ą wspó ł prac ę
pomiędzy twórcami a użytkownikami
12
oprogramowania. P rowadzi
to do poprawienia jakości oraz
prędkości rozwoju oprogramowania,
co jest ogromną zaletą dla wszystkich.
W kontekście tych zmian, ogrom zastosowań aplikacji jest oszałamiający.
Na rok 2012 szacowało się, że było
ich ponad 48 mld, z czego wiele z nich
przeznaczonych jest do stosowania
na telefonach. Należy również dodać,
że ich wzrost nie ogranicza się tylko
do konsumenta. Przedsiębiorstwa
muszą obsługiwać setki, jeśli nie
tysiące aplikacji. Jednak nawet te ilości
wydają się nieistotne w momencie
wejścia w erę „Internetu rzeczy”
(Internet of Things).
Biorąc pod uwagę wszystkie te zmiany,
przedsiębiorstwa muszą borykać się
z problemem w jaki sposób dostarczać
aplikacje aby było to bezpieczne,
terminowe oraz wiarygodne.
Obecne ograniczenia
Częścią problemu jest to, że aplikacje
dostarczane są przez architektów
sieciowych, którzy z zasady nie
nadążają za trendami w aplikacjach.
Większość infrastruktur sieciowych,
które zapewniają komunikację dla
aplikacji jest nadal tylko powierzchniowo do tego przystosowane. Bazują
one na złożonych topologiach oraz
sztywnej architekturze, która nie jest
łatwo skalowalna, a także wymaga
coraz bardziej wyrafinowanego
doświadczenia aby ją skonfigurować
oraz obsługiwać. Co więcej, na takie
sieci składa się hardware i software,
który często jest oddzielnie licencjonowany, co skutkuje bardzo wysokim
kosztem ich utrzymania.
Warstwy 4 – 7 usług aplikacji o ile
istnieją, są zazwyczaj autonomiczne
Numer: III/2014 (128)
Synthesis składa się z trzech głównych
elementów:
• Wysokowydajny fabric dla usług
• Inteligentne usługi zarządzania
• Uproszczone modele biznesowe
Wysokowydajny fabric dla
usług
Rys. 1. Trzy główne filary systemu F5 Synthesis.
i statyczne. Brakuje im możliwości
dynamicznego optymalizowania
połączenia z centrum danych oraz
infrastruktury sieciowej. Brakuje
r ównie ż z apewnienia oc hr ony
przeciwko znanym i nieznanym
zagrożeniom, a także niezawodności
w dostarczaniu aplikacji w chmurach
publicznych i prywatnych.
Pomimo ogromnego post ę pu
w wir tualizacji, ewolucja infrastruktury sieciowej pozostaje w tyle.
Inicjatywy takie jak SDN (Software-Defined Networking) pojawiły się
by sprostać tym wyzwaniom, ale nawet
one okazały się niewystarczające,
ponieważ brak im było kompleksowego wsparcia dla usług aplikacji
w warstwach 4 – 7. Od momentu kiedy
sieć stała się kluczowa w obsłudze
aplikacji, każda nowa architektura musi
być w stanie sprostać wyzwaniom
jednocześnie warstwy sieciowej jak
i warstwy aplikacji.
Powyższe ograniczenia sprawiają,
że dostarczenie aplikacji w dzisiejszych czasach w sposób niezawodny,
szybki i bezpiec zny jest bardzo
czasochłonne i kosztowne. Skutkuje
to tym, że jedynie aplikacje krytyczne
dla przedsiębiorstw są zapewniane
w odpowiedni sposób a pozostałe
zwykle zostają w tyle.
Nowy model dla usług
aplikacji
Konieczna wydaje się zmiana podejścia,
które zorientowana jest na aplikacje
a nie na urządzenie lub sieć. Nowe
Wysokowydajny fabric dla usług
koncentruje się na dostarczaniu usług
dla wyższych warstw – Software
Defined Application Services™ (SDAS).
W związku z tym, fabric ten nie dąży
do replikacji lub zastępowania funkcjonalności elementów warstw niższych,
zamiast tego F5 Synthesis współpracuje w pełni z wszystkimi typami
architektury sieciowej od tradycyjnego
Ethernetu do SDN.
Usł ugi dostarc zane przez fabric
są elastyczne, w pełni programowalne ora z wielokont ek s t owe .
Zautomatyzowana obsługa i system przydzielania zasobów
są niezbędne do umożliwieniasprawnego działaniausług we
wszystkich aplikacjach. F5 Synthesis zapewniaorganizacjom
bezproblemowe zarządzanie, przydzielanie zasobów,
skalowanie oraz bogaty zestaw usług aplikacji niezależnie od
elementów infrastruktury, a także modelu wdrożenia.
podejście musi dostarczać aplikacje
bez ograniczeń dla kogokolwiek, gdziekolwiek i w każdej chwili, a jednocześnie ma być realizowane w sposób
bezpieczny, szybki i niezawodny.
Do tego, podejście to powinno być
proste i łatwe w użyciu, aby pasowało
do różnych modeli biznesowych.
Ten nowy model usług aplikacji już
istnieje. F5 Synthesis™ jest architektoniczną wizją dla dostarczania
urządzeń, sieci oraz usług aplikacji
bez jakichkolwiek ograniczeń. F5
W skład fabrica wchodzą elementy
zarówno fizyczne jak i wirtualne, które
są zorientowane na aplikacje. Mogą
one być w pełni skalowalne przy
użyciu technologii F5 ScaleN, a także
stosowane w dowolnej kombinacji
platformy sprzętowej, oprogramowania czy chmury. Fabric odpowiada
w pełni potrzebom aplikacji poprzez
bycie odpornym na awarie (fault-tolerant) dzięki zapewnieniu dostępności
oraz przełączaniu awaryjnemu a także
zdolności do klastrowania. Jest także
13
NOWOŚCI
Rys. 2. Zestaw programowalnych usług dostępnych do konfiguracji dzięki Software Defined Application Services.
wysoce programowalny na płaszczyznach sterowania i danych, aby
zapewnić w pełni elastyczny system.
Fabric dostarcza szereg usług dla
aplikacji, które skupiają się na bezpieczeństwie, mobilności, wydajności oraz
dostępności.
Inteligentne usługi
zarządzania
Zautomatyzowana obsługa i system
przydzielania zasobów są niezbędne
do umoż liwienia sprawnego
działania us ł ug we wszystk ich
aplikacjach. F5 Synthesis zapewnia
or g a ni z ac jom b e z pr oble m ow e
zarządzanie, przydzielanie
zasobów, skalowanie oraz bogaty
zestaw usług aplikacji niezależnie
o d e l e m e n t ó w inf r a s t r u k t u r y
( har dwar e , s of t war e , c hmur a),
a także modelu wdrożenia (on-premises, prywatna/publiczna chmura,
14
hybryda). Komponent zarządzający
także wspiera integrację z innymi
systemami, takimi jak publiczne
chmur y ISP ( A ma zon Web
Services, VMware), a także narzędziami zarządzającymi ( VMware,
Cisco, OpenStack) poprzez zestaw
otwartych API.
Dopełnieniem wykorzystania wielokontek stowości jest możliwoś ć
wykorzystania jej także w nowym
podejściu do zarządzania. Dzięki
temu organizacje mogą zbliżyć się
do „IT as a Service” bez obawy, że może
wpłynąć to na stabilność i bezpieczeństwo usług fabrica.
Uproszczone modele
biznesowe
Usługi aplikacji powinny być nie tylko
łatwe w dostarczeniu, ale również
łatwe do zdobycia. Jeśli chodzi o IT,
wiele modeli wdrażania i zakupu już
istnieje. F5 Synthesis, poprzez innowacyjne podejście do licencjonowania
i praktyk sprzedażowych, został zaprojektowany aby wpierać wdrażanie
elastycznych usług również w modelu
hybrydowym jak i w chmurze.
Korzyści
F5 Synthesis dostarcza biznesowi
korzyści w trzech podstawowych
obszarach: szybkości usług, ryzyka
operacyjnego i kosztów.
Z wi ę k s z e nie pr ę dko ś c i us ł ug .
Automatyzacja usług oraz zarządzanie nimi są krytyczne dla przedsiębiorstw aby realizować swoje
zadania i zwiększać szybkość usług.
F5 Synthesis nie tylko jest w pełni
programowalne aby umoż liwić
szybkie przydzielanie i zarządzanie
us ł ugami, t o t ak ż e mo ż liwo ś ć
dla pr ze dsię bior s t w do r oz s ze rzenie i tworzenia nowych usług.
Numer: III/2014 (128)
Niczym nie ograniczona możliwość
programowania F5 Synthesis jest
u z y s k iw a n a d z i ę k i b o g a t e mu
wyp o s a ż eniu w z int eg r owa ne
nar z ę d z ia i r oz wią z ania , k t óre
pozwalają iść w kierunku tworzenia
centrum danych zorientowanym
na aplikacje, zwiększając tempo
w jakim biznes może się rozwijać.
Zmniejszenie ryzyka operacyjnego.
Ujednolicenie platformy usług może
znacząco zmniejszyć ryzyko operacyjne
oraz poprawić ciągłość biznesową.
F5 Synthesis pozwala przedsiębiorstwom na zcentralizowane zarządzanie
i wdrażanie spójnych topologii usług
aplikacji, co skutkuje zmniejszoną
ilością błędów podczas wdrożeń, które
stają się bardziej przewidywalne.
Zmniejszenie kosztów. F5 Synthesis
zapewnia wielokontek stowo ś ć ,
elastyczność oraz wysokowydajny
fabric, który wspiera wdrożenia niezależnie od wybranego sprzętu, oprogramowania, a także technologii chmury.
Pozwala t o pr zedsię bior stwom
wybrać model biznesowy najlepiej Opracowano na podstawie materiałów
dopasowany do każdej aplikacji, bez producenta
narażania krytycznych usług aplikacji
na problemy związane ze skaloM.K.
walnością, bezpieczeństwem czy
niezawodnością.
Podsumowanie
F5 Synthesis został zaprojektowany
w celu rozwiązania dzisiejszych
znaczących wyzwań związanych
z dostarczaniem i wdrażaniem usług
aplikacji. Produkt ten łączy w sobie
wysokowydajny fabric, inteligentne
z ar z ądz anie us ł ugami, a t ak ż e
upraszcza modele biznesowe. Pozwala
to osiągnąć nowe korzyści zarówno
patrząc z punktu widzenia oszczędności kosztów jak i wysiłku włożonego
w działanie aplikacji. Nie pozostawiając żadnej aplikacji w tyle, F5
Synthesis dostarcza istotnych korzyści
dla biznesu niezależnie od wysokiego
wpływu aktualnych trendów i zmian
w technologii.
Waszych organizacji
www.SOLIDEX.com.pl
15
TECHNOLOGIE
Chmura obliczeniowa bez tajemnic
Chmura obliczeniowa to jedno z najbardziej nowoczesnych rozwiązań
informatycznych obecnych czasów, które staje się coraz bardziej powszechną
usługą, mającą szansę zastąpić tradycyjne rozwiązania udostępniania zasobów.
Chmurą obliczeniową nazywamy zbiór technologii, serwisów oraz aplikacji, które
w odróżnieniu od konwencjonalnych programów uruchamiane są na wirtualnych
zasobach, do których dostęp uzyskiwany jest poprzez łącze z Internetem. Zasoby
jakimi dysponuje technologia z definicji są wirtualne i nielimitowane. Od osoby
zamawiającej zależy jaką mocą obliczeniową oraz pojemnością dyskową
ma dysponować zamawiana usługa. Wybrać można również konkretne
aplikacje, najbardziej dopasowane do potrzeb użytkownika końcowego. Ilość
kombinacji i konfiguracji takiego systemu jest wieloraka. Wszystko oczywiście
zależy od zasobności portfela.
Zastosowanie słowa „chmura” odnosi
się do dwóch podstawowych koncepcji:
• Abstrakcja – Aplikacje są uruchamiane na fizycznych urządzeniach,
których specyfikacja i lokalizacja
nie są znane. Dane są gromadzone
na macierzach, których pojemność
jest prawie nieograniczona. O nieprzerwany dostęp do usługi dba grupa
administratorów i obsł ugi technicznej, z którą można skontaktować
się telefonicznie lub mailowo.
16
• Wirtualizacja – Systemy operacyjne wirtualizowane są na udostępnionych serwerach, z którymi można
połączyć się na przykład za pomocą
zdalnego pulpitu. Nawet bardzo
skomplikowane aplikacje uruchamiane na takich systemach, można
kontrolować za pomocą zwykłego
biurowego komputera, ponieważ
wydaje on tylko komendy a wszystkie
operacje obliczeniowe wykonywane
są na zdalnych, potężnych serwerach.
Z połączenia tych koncepcji powstaje
produkt finalny w postaci sprawnie
działającej chmury obliczeniowej.
Korzystanie z takiej usługi ma niewątpliwe zalety oraz jest opłacalne
w dłuższej perspektywie czasowej.
Modele chmur
obliczeniowych
C hmur y oblic zeniowe moż na
podzielić na trzy rodzaje. Różnią się
Numer: III/2014 (128)
one zakresem odpowiedzialności jaki
spoczywa na usługodawcy. Może
on udostępniać jedynie sprzęt, zasilanie
i łącze szerokopasmowe, gdy reszta
począwszy od systemów operacyjnych
leży w gestii klienta. Można również
wybrać gotowy produkt i wtedy tylko
podanie prawidłowego loginu i hasła
dzieli użytkownika od komfortowej
i szybkiej pracy.
Infrastr uk tura jako ser wis
(Infrastructure as a Service – IaaS ),
z ap ewnia ma s z yn ę wir t ua ln ą ,
przestrzeń dyskową, infrastrukturę
i sprzęt, które są niezbędne do prawidłowego działania. W tej taryfie
można elastyc znie wybrać iloś ć
procesorów, pamięci operacyjnej,
pot r zebną pr zest r ze ń dyskową
oraz miejsce do przechowywania
baz danych. W zależności od mocy
obliczeniowej wybranej maszyny
zmienia się cena miesięcznego abonamentu. W tej koncepcji dostawca
zapewnia całą infrastrukturę, a resztą
zajmuje się klient. Wybór systemu
operacyjnego i oprogramowania leży
po stronie zleceniodawcy.
Platforma jako serwis (Platform
as a Service – PaaS ), zapewnia
podstawową infrastrukturę, która
z o s t a ł a wymieniona p owy ż ej ,
z tą jednak różnicą, że dostawca
udostępnia również system operacyjny
oraz zestaw niezbędnych aplikacji
i różnego rodzaju platformy programistyczne, które pozwolą na uruchamianie programów w środowisku
serwerowym. Z tego względu opcja
ta skierowana jest do zastosowań
deweloperskich. Systemem operacyjnym zarządza dostawca, za to instalowanie i administrowanie aplikacjami
leży po stronie klienta.
O pr og r a m ow a nie ja k o s e r wis
(Software as a Service – SaaS ), jest
już gotowym, w pełni działającym
produktem. Klient nie przejmuje się
instalacją systemów operacyjnych czy
programów. Za wszystkie te czynności
odpowiada dostawca. Usługa ta jest
Rys. 1. Podział obowiązków w zależności od taryfy.
niezwykle popularna za sprawą szerokiego wachlarza możliwości oferowanych usług. Najczęściej używana
usługa tego typu polega na przechowywaniu i udostępnianiu plików.
wykorzystuje rodzaj publicznej chmury
obliczeniowej. Dostęp do usług tych
firm jest swobodny. Oferują one dostęp
do swoich usług na kilka sposobów.
Czasami zdarzają się bezpłatne mocno
okrojone wersje płatnych pakietów,
Rodzaje chmur
albo kilkudziesięciodniowa wersja
próbna pełnej możliwości usługi. Jest
obliczeniowych
to najbardziej popularny rodzaj usługi
W zależności od aspektu przyna- chmurowej. ponieważ jest dostępny
leżności wyróżniamy trzy rodzaje dla szerszej grupy odbiorców.
c h mu r y o b lic z e ni o w e j . Je d n e • Hybrydowa – jest to połączenie
wynajmuje się od firm specjalizu- obu wyżej wymienionych konwencji.
jących się, lub posiadających taką Czasami zdarza się tak, że firma dziertechnologię na własność we własnym żawi oprogramowanie, które znajprzedsiębiorstwie, na użytek pracow- duje się na chmurze publicznej, a dane
ników i kontrahentów.
gromadzone są na dyskach wewnątrz
• Prywatna – prywatna chmura firmy, czyli w chmurze prywatnej.
obliczeniowa charakteryzuje się W ten sposób klient ma kontrolę nad
tym, że technologia i związane z nią danymi, jeżeli woli mieć pewność
urządzenia zostały zakupione przez co do ich bezpieczeństwa.
firmę, która używa tego rozwiązania
do własnych celów. Jest ona wyko- Cechy
rzystywana tylko i wyłącznie przez
daną firmę.
Chmury oblic zeniowe posiadają
• Publiczna – firma zajmująca się wiele zalet, które nierzadko decydują
dzierżawieniem zasobów/sprzętu o wyborze tej technologii. W roku
17
TECHNOLOGIE
2009 firmy Cisco oraz EMC zawarły jest niezbędny na odbudowanie
partnerstwo przy wsparciu finan- środowiska po katastrofie takiej jak
sowym firm VMware oraz Intel powódź, trzęsienie ziemi lub pożar
twor z ąc w t en sposób V ir tual budynku, w którym znajduje się
Computing Environment Company sprzęt. Wyrażenie to odnosi się również
(VCE). EMC to firma z wieloletnim do przywrócenia systemu do stanu
doświadczeniem w przechowywaniu, używalności w przypadku zerwania
zabezpieczaniu, zarządzaniu oraz anali- wszystkich linii energetycznych dostarczających zasilanie do budynku lub
zowaniu dużych ilości danych.
Efekt tej współpracy pozwolił
na stworzenie produktu,
charakteryzującego się poniższymi cechami.
• Niezawodność
Pierwszą sprawą, na którą
trzeba zwrócić szczególną
uwagę jest ochrona fizyczna.
Aby urządzenia, instalacja
i cała infrastruktura była
bezpieczna niezbędne jest
zabezpieczenie jej od strony
fizycznej, zarówno przed
wandalizmem jak i kradzieżą.
Rys. 2. Virtual Computing Environment.
S p r z ę t t r z e b a r ów nie ż
chronić przed skutkami
zdarzeń losowych, jak pożar
czy klęski żywiołowe.
w przypadku przerwania światłowodu
SL A (Service Level Agreement ) łączącego z Internetem. Sytuacje
jest to rodzaj kontraktu zawierany te są niezwykle rzadkie, jednakże
pomiędzy usługodawcą a usługobiorcą, należy określić szczegółowe procedury
w którym określa się jakość usługi działania na wspomnianą ewentuoferowanej przez operatora. Odnosi alność. Jeżeli usługodawca posiada
się on między innymi do niezawod- kilka centrów danych, może odtworzyć
ności sięgającej na przykład 99,999%. system na serwerach znajdujących się
Taka wartość określa maksymalny nawet w innej części globu. W ten
czas przestoju na 5 minut w ciągu roku. sposób zyska cenny czas na uporanie się
Czasami zdarzają się awarie, których ze skutkami katastrofy bez uszczerbku
czas naprawy MTTR jest kluczowy, dla klientów.
ponieważ mają wpływ na niekorzystne Firma EMC w ofercie posiada moduł
przestoje. Pochodzący od angielskiego EMC Storage Resource Management
wyrażenia Mean time to repair to średni Suite do monitorowania pracy systemu
czas potrzebny na naprawę uszkodzenia dzięki czemu na bieżąco można określić
licząc od czasu zgłoszenia awarii. Czas jego stan.
ten im jest niższy tym lepiej, ponieważ • Infrastruktura sieciowa
bezpośrednio wpływa na nieza- Prawidłowa konfiguracja zapory
wodność całego systemu. Umowa ogniowej pozwala na kontrolowanie
może też określać, takie parametry jak ruchu wchodzącego i wychodzącego
minimalna przepustowość łączy lub z sieci firmy. Dobrze zaprojektowany
opóźnienia podczas transmisji.
i monitorowany system w dużym
O d t w a r z a n i e p o k a t a s t r o f i e stopniu chroni przed niebezpieczeń(Disaster Recovery), to czas, który stwami pochodzącymi z Internetu.
18
EMC Storage Resource Management
Suite informuje o wszelkich nieprawidłowościach. Tworzy również mapę
powiązań poszczególnych urządzeń
w sieci dla łatwiejszego poglądu całej
topologii.
• Kontrola zdalna
Zdalny dostęp pozwala na kontrolę
systemu działającego na serwerach
chmury obliczeniowej. Aby
pliki i aplikacje uruchamiane na serwerach
wykonywał y swoje
czynności muszą odbierać
komendy wydawane przez
u ż yt kownika . Kont rola
połączenia zachowywana
je s t popr zez pr ot oko ł y
H T T P S lub S SL , k t ór e
gwarantują ochronę komunikacji pomiędzy serwerem
a klientem. Dla użytkowników innych urz ądzeń
niż komputer stacjonarny
zapewniony jest dostęp
mobilny. Popular yzacja
smartfonów i tabletów, wymusza
na dostawcach tworzenie narzędzi
dla deweloperów i dedykowanych
aplikacji na popularne systemy operacyjne dla telefonów takich jak Android,
IOS czy Windows Phone. Ostatnim
zagadnieniem związanym z kontrolą
jest kontrola dostępu. Już w trakcie
rozmów przed podpisaniem umowy
z usługodawcą, należy określić, która
strona jest odpowiedzialna za administrowanie kontami użytkowników.
• Dane
Szyfrowanie przy pomocy podpisu
cyfrowego jest sposobem potwierdzenia autentyczności dokumentu.
Daje to pewność , że wiadomość
podczas transportu przez Internet nie
została zmieniona lub przekłamana.
Backup to tworzenie kopii zapasowych
plików swoich klientów. Funkcja ta jest
bardzo przydatna, gdy nad jednym
dokumentem pracuje kilka osób.
Dzięki temu w łatwy sposób można
wrócić do stanu sprzed kilku ostatnich
Numer: III/2014 (128)
zmian. Jeżeli chcemy usunąć pliki
z serwera bezpowrotnie, trzeba również
usunąć wszystkie kopie zapasowe aby
uniemożliwić ponowne odtworzenie
starszej wersji dokumentu.
Archiwizacja służy do przechowywania plików przez okres przekraczający kilka miesięcy. Niektóre pliki,
np. kadrowe należy składować nawet
przez 50 lat. Do zarządzania takim
procesem służy EMC SourceOne. Jest
on w stanie w czasie rzeczywistym
zarchiwizować plik i nadać mu okres
przez jaki będzie przechowywany. Dla
ułatwienia procesu szukania stosuje
się indeksowanie a dla zmniejszenia
rozmiarów kompresję.
Dyski SSD charakteryzują się dużymi
prędkościami zapisu i odczytu jak
również bardzo krótkim czasem
dostępu do danych. Aby odpowiednio
rozróżniać pliki należy stosować
wersjonowanie.
Dz ię k i E MC St or age Re s our c e
Management Suite można określić
jaki jest stan zasobów dyskowych
dzięki raportowaniu wykorzystania
przestrzeni przez konkretne funkcje
lub usługi. W ten sposób można
manipulować przydzielonym miejscem
i dowolnie je modyfikować.
• Tożsamość
Dzięki uwierzytelnieniu otrzymujemy
potwierdzenie, że osoba, która próbuje
uzyskać dostęp jest tą za którą się
podaje. Jest to krytyczny aspekt,
o który należy zadbać w pierwszej
kolejności, aby zablokować dostęp
do danych osób niepowołanych. Każda
niezautoryzowana osoba powinna być
domyślnie odrzucana przez serwer
a takie działanie rejestrowane w logach
systemu. Ma to zwrócić uwagę administratorów na możliwą próbę włamania.
Nawet po poprawnej autoryzacji nie
mamy pewności czy osoba, która
nawiązała połączenie, jest nadal podłączona. Ten problem należy rozwiązać
poprzez zarządzanie sesją. Kontrolę nad
tym, kto w danej chwili połączony jest
z usługą najłatwiej jest utrzymać dzięki
zmianom kluczy szyfrowania nie tylko
podczas łączenia się z serwerem ale
również w trakcie połączenia.
Testowanie podatności na ataki
dotyczy wszystkich systemów, które
muszą być cyklicznie sprawdzane
pod kątem podatności na działanie
złośliwego oprogramowania czy próby
uzyskania dostępu. Testy bezpieczeństwa muszą wychwycić niedociągnięcia i luki w zabezpieczeniach, które
należy jak najszybciej poprawić albo
odłączyć. Na ogół, jeżeli luki w zabezpieczeniu znajdują się w zainstalowanych aplikacjach, wystarczy
zainstalować łatki. Są to najnowsze
wersje aplikacji i aktualizacje insta-
każdej dziedzinie jaką badana firma się
zajmuje. Dlatego też cykl życia projektu
bezpieczeństwa, musi być na bieżąco
monitorowany. Coraz krótszy czas
życia produktu, wymusza tworzenie
nowych projektów dostosowujących
się do najnowszych technologii
i trendów.
• Zagrożenia
Rozpoznawanie zagrożenia, pozwala
na wczesne wykrycie potencjalnego
problemu, dzięki czemu zmniejsza
ryzyko potencjalnych strat, takie jak
awaria sprzętu czy przejęcie wartości
intelektualnej. Jednym z produktów
EMC jest RSA Data Loss Prevention
(DLP). Jest to monitor, który kontroluje
przepływ informacji wrażliwych takich
Chmury obliczeniowe posiadają wiele zalet, które nierzadko
decydują o wyborze tej technologii. W roku 2009 firmy Cisco
oraz EMC zawarły partnerstwo przy wsparciu finansowym firm
VMware oraz Intel tworząc w ten sposób Virtual Computing
Environment Company (VCE).
lowane w systemach operacyjnych,
które powinny zapewniać maksimum
bezpieczeństwa i ograniczać możliwość
wykorzystania tak zwanego backdoor,
czyli dostępu dla atakującego przez
‘tylne drzwi’ systemu bądź aplikacji
zawierającej błąd.
Audyt polega na zbadaniu przez
firmy niezależne poziomu i sposobu
zabezpieczeń, kompetencji pracowników, sprawdzenie efektywności
procedur bezpiec zeństwa. Takie
badania powinny być przeprowadzane cyklicznie przez różne firmy aby
ograniczyć zaniedbania samego procesu
audytu. Wyniki takich badań powinny
stwierdzać niedoskonałości w systemie
i ukierunkowywać proces zmian. Audyt
może zostać przeprowadzony w prawie
jak numery kart kredytowych, dane
osobowe czy własność intelektualna
firmy. Kontrolowanymi kanałami,
przez które mogą wyciekać dane
to między innymi: email, webmail,
serwisy społecznościowe, FTP, strony
WEB, NAS, bazy danych lub pamięci
USB, bez względu czy jest to PC, laptop
czy smartfon. Moduł ten identyfikuje każdy plik pod kątem czy
nie jest on wrażliwy, czyli czy nie
zawiera określonych kombinacji (np.
nr karty kredytowej, loginów oraz
haseł, numerów kont bankowych)
i na tej podstawie decyduje czy
dany plik może zostać przesłany.
Każdy incydent odnotowywany jest
w systemie i powiadamia administratora oraz przełożonego.
19
TECHNOLOGIE
Chmura obliczeniowa vs.
serwer
Warto również wymienić cechy, które
charakteryzują technologię chmury
obliczeniowej na tle konwencjonalnych
serwerów lub macierzy dyskowych,
znajdujących się w firmach oraz
korporacjach. Chmura obliczeniowa
charakteryzuje się wieloma cechami,
do których należy między innymi
łatwa migracja. Polega ona na łatwym
przeniesieniu całego systemu na nowy
sprzęt , który charakteryzuje się
lepszymi parametrami lub migracja
pomiędzy dostawcami. Kolejną cechą
jest możliwy dostęp poprzez API, które
służy do korzystania z udogodnień
i podwyższa użyteczność użytych
rozwiązań. Jest to kod źródłowy, który
zawiera zbiór bibliotek, klas i procedur
służące do napisania własnej aplikacji
korzystającej z większości najważniejszych funkcji danej usługi. Dzięki temu
można utworzyć aplikacje w języku
takim jak Java oraz C#.
Następną cechą charakterystyczną
jest cena, która może być atrakcyjna
zarówno dla nowych jak i działających już od dawna na rynku firm.
Wydzierżawienie usługi chmury
obliczeniowej jest zaledwie procentem
tego, co należałoby było zainwestować tworząc skomplikowane oraz
kosztowne centra danych lub centra
obliczeniowe. Dla małych firm, których
wymagania ograniczają się do potrzeby
korzystania z mocnych urządzeń kilka
razy w tygodniu, oferowane są inne
sposoby rozliczeń, niż abonament
miesięczny. Usługodawcy prześcigają
się w pomysłach, które umożliwiają
zaoferowanie swojej usługi szerszej
grupie odbiorców. Jedną z ciekawszych
ofert jest wynajęcie chmury na czas,
na przykład na 3 godziny. W ten
sposób mamy dostęp do potrzebnego
nam programu, na przykład do renderowania grafiki. Wynajęty sprzęt
zrobi cały proces w kilkadziesiąt
20
minut, zamiast w kilkanaście godzin
a nawet kilka dni. Na rynku pojawiają
się coraz ciekawsze oferty natomiast
duża konkurencja przyczynia się
do tego, że opisana technologia staje
się powszechnie dostępna dla coraz
większej rzeszy odbiorców. Następną
zaletą jest to, że do pełnego korzystania z udogodnień, wystarczy dostęp
do Internetu. Nie ma znaczenia, czy
łączymy się za pomocą komputera
klasy PC czy popularnych w ostatnim
czasie tabletów. Wszędzie tam gdzie
jest połączenie do Internetu, jest też
dostęp do tej technologii.
Dzier ż awiący zawsze dokładają
wszelkich starań aby niezawodność
była bliska 100 procent. Jest to aspekt
krytyczny, ponieważ powierzając
nasze dane firmom zewnętrznym
chcielibyśmy mieć pewność dostępu
w każdym możliwym momencie.
Usługodawcy prześcigają się w oferowaniu coraz to bardziej niezawodnych
rozwiązań korzystając z najnowszych zdobyczy techniki. Wyższa
niezawodność jednakże, wiąże się
z wyższymi opłatami za usługę.
Patrząc na zagadnienie skalowalności,
odnieść można wrażenie, że nie jest
to żadna przeszkoda. Pomimo ciągłego
powiększania infrastruktury jak
i wachlarza usług oferowanych przez
centra, jej efektywne działanie jest
coraz wyższe. Dodawanie nowego lub
modernizacja już istniejącego sprzętu,
ma na celu coraz sprawniejsze działanie
oraz efektywniejsze wykorzystanie
całego systemu. Inwestycja w nowy
sprzęt zawsze wiąże się z wysokimi
w stosunku do oczekiwań kosztami.
W przypadku chmury wystarczy
powiększyć ilość zarezerwowanych
procesorów i zwiększyć ilość dostępnej
pamięci RAM aby znacząco podnieść
wydajność dosłownie za cenę kilkudziesięciu dolarów za miesiąc.
Bezpieczeństwo firm użytkujących
i oferujących wyżej opisaną usługę
stoi na wysokim poziomie. Dotyczy
to zarówno bezpieczeństwa czynnego
jakim jest szyfrowanie danych
i połączenia po bezpieczeństwo bierne
w postaci zabezpieczenia całej infrastruktury przed awarią bądź wandalizmem czy kradzieżą.
Im bardziej jest skomplikowana
i składająca się z większej ilości sprzętu
infrastruktura, tym wyższe są koszty
ut r z ymania choc ia ż by s amego
personelu technicznego, opiekującego
się sprzętem. W przypadku chmur
dwudziestoczterogodzinna pomoc
techniczna, poprzez telefon lub email
to już standard.
Podsumowanie
Dz ię k i wspó ł pr ac y f ir m C is c o
i EMC otrzymujemy funkcjonalne
rozwiązanie do administrowania
i efektywnego korzystania z chmury
obliczeniowej. Koalicja dwóch potentatów pozwoliła na osiągnięcie
bardzo wysokiego poziomu oferowanego rozwią zania. Kompatybilność z wieloma dostawcami sprzętu
i oprogramowania, takimi jak HP, IBM,
VMware, Microsoft czy Oracle znacznie
poszerza funkcjonalność rozwiązania.
Mnogość protokołów, technologii
i aplikacji ułatwia zarządzanie oraz
zaadoptowanie takiego rozwiązania
we własnej firmie. Rozwiązanie
posiada moduły do zarządzania
czasem dostępności SL A, eliminuje
zagrożenie wyciekiem danych oraz
ich utratą poprzez wydajne kopie
zapasowe oraz archiwizowanie.
M.P.
Numer: III/2014 (128)
Anteny Cisco dla sieci
bezprzewodowych
Firma Cisco w swojej ofercie posiada kilka rodzajów anten zewnętrznych oraz
anten wbudowanych bezpośrednio w punkt dostępowy (access point). Wybór
danego rozwiązana jest przede wszystkim podyktowany charakterystyką
obszaru jakim ma obejmować swym zasięgiem sieć bezprzewodowa.
Access pointy Cisco przystosowane
do instalacji zewnętrznych anten,
oznaczone w produktach Cisco literą
„e” (external antenna), są to urządzenia
przystosowane do pracy w trudnych
warunkach otoczenia. Charakteryzują
się między innymi obudową metalową
oraz szerszym zakresem temperatury
pracy. Możliwoś ć „rozdzielenia”
anteny od access pointa daje większą
elastyczność w trakcie instalacji z racji
między innymi większego zakresu
temperatury pracy anteny względem
nadajnika. Również potrzeba ukierunkowania sygnału wymaga z reguły
użycia anten zewnętrznych gdyż
charakterystyka anten w modelach
zintegrowanych jest zazwyc zaj
dookólna w płaszczyźnie azymutu.
A nteny wbudowane, oznac zone
są w produktach Cisco literą „i”
(internal antenna). Docelowym ich
Rys. 1. Charakterystyka promieniowania anteny dipolowej
21
TECHNOLOGIE
Rys. 2. Charakterystyka promieniowania anteny kierunkowej
przeznaczeniem są powierzchnie biurowe
ze względu na ich walory estetyczne.
Rozważyć można również ich instalację
na powierzchniach magazynowych
o względnie wysoko położonym suficie.
W dalszej części artykułu zostanie zobrazowana propagacja sygnału w modelu
Cisco AP-2600i. W zintegrowanych
antenach występuje mniejsze zjawisko
zaniku sygnału pod anteną w porównaniu do anten dipolowych o większym
zysku. Zjawisko uwidacznia się wraz
ze wzrostem wysokości na której umieszczona jest antena.
Anteny charakteryzują się różnym
wzorcem promieniowania, który
decyduje o wyborze danej anteny
w zastosowaniu na określonym
obszarze. Każdą antenę można opisać
m.in. za pomoc ą nast ępujących
wymienionych w dalszej c zę ści
tekstu parametrów.
kierunkach. W specyfikacji technicznej
producenci anten najczęściej określają
kształt wypromieniowanej wiązki
za pomocą płaszczyzny azymutu
(Azimuth Plane) - poziomej oraz
płaszczyzny elewacji (Elevation
Plane) - pionowej. Na rysunku 1 płaszczyzna azymutu (c) powstała przez
przekrój wzdłuż osi x-y wzorca 3D
(b), natomiast płaszczyzna elewacji
powstała przez przekrój wzdłuż osi
x-z lub y-z.
można zaobserwować porównując
wzorce promieniowania z rysunku 1
i rysunku 2.
Szerokość wiązki
(Beamwidth)
Jest to kąt wyznaczony pomiędzy
dwoma punktami, w których zysk
anteny zmniejsza się o połowę czyli 3dB
od wartości najwyższej. Na rysunku 2,
kąt wyznaczony jest prostymi liniami
w kolorze niebieskim. Zysk anteny
Zysk anteny (Antenna Gain)
dipolowej (rysunek 1) w płaszczyźnie
azymutu wynosi w każdym punkcie
Iloś ć energii wypromieniowanej 2.2 dBi, natomiast dla porównania
najwi ę c ej w da nym k ie r unk u zysk anteny kierunkowej (rysunek
w porównaniu do anteny wzorcowej. 2) dla płaszczyzny azymutu wynosi
Jako wzorzec najczęściej używana jest aż 18 dBi, jednak szerokość wiązki dla
antena izotropowa – bezkierunkowa podanej wartości wynosi około 20
czyli teoretyczna antena, która promie- stopni w porównaniu do 360 stopni
niuje jednakowo we wszystkich anteny dipolowej.
kierunkach. Antena zamienia sygnał W tej części artykułu zostaną zapreCharakterystyka
elektryczny na falę elektromagne- zentowane anteny Cisco dwuzatyczną i na odwrót na odbiorniku. kresowe, do zastosowań z modelami
promieniowania
Antena kształtuje wiązkę – skupia urządzeń z serii „e”: 1600, 2600,
Jest to natężenie pola elektroma- sygnał w danym kierunku, nie dodaje 2700, 3700 APs oraz dla porównania
gnetycznego zmierzone w tej samej w żaden sposób mocy doprowadzonej schemat propagacji access pointa
odległości od anteny w różnych z zasilacza. Pojęcie zysku anteny 2600i z anteną wbudowaną.
22
Numer: III/2014 (128)
Typ anteny (Antenna type)
4-elementowa, dwuzakresowa
(Dual Band)
Zysk (Gain)
Pasmo (band) 2.4GHz: 2 dBi Pasmo
(band) 5GHz: 4 dBi
2.4GHz: 69° 5GHz: 60°
E-Plane
Dookólny (Omnidirectional)
H-Plane
Zakres Temperatury
(Temperature range)
2.4GHz Azimuth (Red) and Elevation(Blue) Plane Patterns
0° – 56° C
5-GHz Azimuth(Red) and Elevation(Blue) Plane Patterns
Tabela 1. Specyfikacja anteny AIR-ANT2524V4C-R
4-Elementowa, Dwuzakresowa
(Dual Band)
Zysk (Gain)
Pasmo (band) 2.4GHz: 4 dBi Pasmo
(band) 5GHz: 4 dBi
E-Plane
2.4GHz: 60° 5.4GHz: 33°
H-Plane
Dookólny (Omnidirectional)
Zakres Temperatury (Temperature
range)
-30° – 70° C
5GHz Azimuth(Red) and Elevation(Blue) Plane Patterns
Tabela 2. Specyfikacja anteny AIR-ANT2544V4M-R
23
TECHNOLOGIE
4-elementowa, dwuzakresowa
(Dual Band)
Zysk (Gain)
Pasmo (band) 2.4-GHz: 6 dBi
Pasmo (band) 5-GHz: 6 dBi
E-Plane
2.4GHz: 105° 5GHz: 125°
H-Plane
2.4GHz: 70° 5GHz: 60°
Zakres Temperatury (Temperature
range)
-30° – 70° C
5GHz Azimuth(Red) and Elevation(Blue) Plane Patterns
Tabela 3. Specyfikacja anteny AIR-ANT2566P4W-R
Rys. 3. Specyfikacja anteny zintegrowanej w modelu AP-2600i
Dla porównania zamieszczony został
schemat propagacji anteny zintegrowanej na przykładzie AP-2600i
(Rysunek 3).
Podsumowanie
Wykorzystanie anten zintegrowanych
jest tańszym rozwiązaniem ale nie
zapewnia takiej elastyczności jaką
24
zapewnia użycie anten zewnętrznych.
O wyborze danego rozwią zania
zadecyduje charakterystyka miejsca,
w którym będzie wdrażana sieć
bezprzewodowa. Propagacja sygnału
tej samej anteny za każdym razem
b ę dzie się róż nić w zale ż no ś c i
od miejsca oraz sposobu instalacji.
W głównej mierze znaczenie będzie
miał rodzaj przeszkód, na które
napotyka sygnał wypromieniowany
z anteny. Niewłaściwe umiejscowienie
anteny może w sposób znaczący
zmienić jej wzorzec promieniowania.
Dlatego istotną czę ścią każdego
projektu jest Site Survey przeprowadzony w środowisku docelowym.
P.W.
Numer: III/2014 (128)
Cisco Virtual Wireless LAN
Controller – instalacja i wstępna
konfiguracja
Oprogramowanie kontrolera WLC do wersji 7.3 mogło działać jedynie
na dedykowanym do tego sprzęcie, który należało zakupić. Obecnie,
oprogramowanie to może zostać uruchomione na maszynie wirtualnej jako
Virtual Wireless LAN Controller (vWLC). Mimo, że vWLC nie zastąpi w pełni
sprzętowego kontrolera, to z jego wdrożenia płynie wiele korzyści.
Topologia
Do głównych zalet vWLC można
zaliczyć:
• elastyczność w doborze sprzętu
w oparciu o wymagania sprzętowe,
• redukcję kosztów zakupu sprzętu oraz
ilości wymaganego miejsca dzięki zastąpieniu wielu skrzynek jednym urządzeniem, na którym może być uruchomione
wiele instancji kontrolerów (WLC),
systemów zarządzających (NCS) i innych
serwerów (ISE, MSE, VSG),
• niezależne instancje pozwalające
administratorom używać wielu wirtualnych kontrolerów do zarządzania
różnymi lokalizacjami używając tego
samego fizycznego sprzętu,
• dostarczenie funkcji oferowanych
przez oprogramowanie do wirtualizacji,
w tym wysoką dostępność, przełączanie
awaryjne, a także łatwość migracji.
Funkcjonalności charakteryzujące
vWLC to:
• maksymalna liczba punktów dostępowych (AP): 200,
• maksymalna liczba klientów: 3000,
• maksymalna liczba lokalizacji: 200,
• przepustowoś ć do 5 00 Mbps
na jeden wirtualny kontroler.
Wdrożenie vWLC zostało pokazane
na przykładzie środowiska testowego,
którego topologia została przedstawiona na rysunku 1. Użyte komponenty i ich minimalne wymagania
zostały przedstawione poniżej:
• Cisco Catalyst Switch,
• Wireless L AN Controller Virtual
Appliance,
Aby vWLC mógł w pełni funkcjo- • W ireless L A N C ont roller 7. 3
nować potrzebne jest spełnienie Software,
wymagań:
• Cisco Prime Infrastructure 1.2,
• VMware OS: ESX/ESXi 4.x/5.x,
• 802.11n Access Points in FlexCon• CPU: 1 virtual CPU (vCPU),
nect Mode,
• Memory: 2 GB,
• DHCP server,
• Disk Space: 8 GB,
• DNS Server,
• Network Interfaces: 2 or more virtual • NTP,
Network Interface cards (vNICs).
• L aptopy (wireless), smar tfony
i t ablety ( A pple iOS , A ndroid,
Windows i Mac).
25
ROZWIĄZANIA
Rys. 1. Topologia wdrożenia vWLC
Konfiguracja interfejsów
na switchu Catalyst oraz
na serwerze ESXi
W pierwszej kolejności na switchu
Catalyst zostały skonfigurowane
dwa interfejsy podłączone do serwera
ESXi. Konfiguracja interfejsów ESXi
Management i ESXi Trunk została
przedstawiona na rysunku 2.
W następnej kolejności na serwerze
E S X i z o s t a ł y u t w o r z o ne dw a
oddzielne wirtualne switche w celu
zmapowania interfejsów Service Port
i Data Port wirtualnego kontrolera.
By to uzyskać należy:
1. Przejść do ESX > Configuration >
Networking i kliknąć Add Networking,
jak pokazano na rysunku 3.
2. Wybrać Virtual Machine i kliknąć
Next jak na rysunku 4.
3. Stworzyć vSwitch i przypisać
do niego fizyczną kartę sieciową
(NIC) aby połączyć interfejs Service
26
interface GigabitEthernet1/1/2
description ESXi Management
switchport access vlan 10
switchport mode access
!
interface GigabitEthernet1/1/3
description ESXi Trunk
switchport trunk encapsulation dot1q
switchport mode trunk
end
Rys. 2. Konfiguracja interfejsów ESXi Management i ESXi Trunk
Port vWLC, jak pokazano na rysunku 5. None (0), jako że Service Port jest
Ponieważ interfejs Service Port nie zazwyczaj portem access (rysunek 6).
musi być podłączony do jakiejkolwiek 5. Po utworzeniu vSwitch1 dla interczęści sieci każda karta sieciowa może fejsu Service Por t vWLC , należy
być wykorzystana do tego celu (nawet wykonać te same kroki dla interfejsu
Data Port, z dwiema różnicami:
w stanie down).
4. Wpisać etykietę w polu Network • pr z y t wor zeniu wir tualnego
Label (w tym wypadku vWLC Service switcha należy wybrać fizyczną kartę
Port) oraz w polu WLAN ID wybrać sieciową (NIC) podłączoną do portu
Numer: III/2014 (128)
trunk switcha,
• w polu Network Label wpisać
etykietę vWLC Data Port i wybrać
ALL(4095) w polu VL AN ID, jako
że interfejs jest podłączony do portu
trunk switcha.
Instalacja Cisco Virtual
Wireless LAN Controller
Rys. 3. Tworzenie vSwitcha
Rys. 4. Tworzenie vSwitcha zakładka Connection Type
Opr og r amowanie wir t ualnego
kontrolera jest dostępne w postaci
pliku OVA, który należy zainstalować
na maszynie wirtualnej. Aby rozpocząć
proces instalacji należy:
1. Przejść do ESX > File > Deploy OVF
Template i wskazać lokalizację pliku
OVA.
2. W oknie Name and Location podać
nazwę wirtualnego kontrolera.
3. W oknie Disk Format pozostawić
domyślne ustawienie Thick Provision
Lazy Zeroed.
4. Następnie pozostawić domyślne
ustawienia Network Mapping.
5. Po zatwierdzeniu wszystkich ustawień rozpocznie się proces instalacji
wirtualnego kontrolera.
Konfiguracja Cisco Virtual
Rys. 5. Tworzenie vSwitcha zakładka Network Access
Po utworzeniu wirtualnego kontrolera
należ y zmienić jego ustawienia
odnośnie mapowania interfejsów oraz
utworzyć wirtualny port konsolowy.
Wirtualny port konsolowy może być
utworzony jako Physical Serial Port
on the Host, wtedy jest on zmapowany
do fizycznego portu szeregowego
serwera ESXi. Opcja ta jest jednak
ograniczona co do ilości portów szeregowych na serwerze i w przypadku
wdrażania wielu instancji wirtualnego
kontrolera nie jest idealna. Drugim
sposobem jest utworzenie wirtualnego
por tu konsolowego Connec t via
Network. W tym wypadku wirtualny
port konsolowy jest dostępny przy
użyciu sesji Telnet ze zdalnego hosta
na określony por t przydzielony
Rys. 6. Tworzenie vSwitcha zakładka Connection Settings
27
ROZWIĄZANIA
do wirtualnej maszyny (na przykład
jeśli adresem IP serwera ESXi jest
10.10.10.10, a portem przydzielonym
do wirtualnego kontrolera jest 9090,
to dostęp do konsoli vWLC można
uzyskać za pomocą „telnet 10.10.10.10
9090”). Aby skonfigurować wszystkie
powyższe opcje należy:
1. Zaznaczyć wirtualny kontroler
i kliknąć Edit virtual machine settings.
2. Dla Network adapter 1 wybrać
w polu Network Connection vWLC
Service Port.
3. Dla Network adapter 2 wybrać
w polu Network Connection vWLC
Data Port.
4. Następnie kliknąć przycisk Add.
5. W oknie Device Type wybrać Serial
Port.
6. W oknie Select Port Type wybrać
Connect via Network.
7. W polu Network Backing wybrać
S er ver ( VM listens for c onnection), a w polu Por t URI podać
telnet://<host>:<port> (na przykład
telnet://10.10.10.10:9090).
8.W o s t a t n im o k n i e z a t w i e r dzić wszystkie ustawienia klikając
na Finish, a następnie kliknąć na OK,
aby zamknąć okno edycji ustawień.
9. Następnie przejść do zakładki
ESX > Configuration > Security
Profile i w części Firewall kliknąć
na Properties.
10. W oknie Firewall Properties
zaznaczyć VM serial port connected
to vSPC, aby umożliwić dostęp konsolowy poprzez sieć.
Rys. 7. Proces uruchamiania vWLC
Rys. 8. Uruchamianie sesji Telnet
Uruchamianie Cisco Virtual
Rys. 9. Uruchamianie kreatora konfiguracji vWLC
Rys. 10. Zapisywanie ustawień kreatora konfiguracji vWLC
28
Aby uruchomić wirtualny kontroler
należy wykonać następujące kroki:
1. Zaznaczyć wirtualny kontroler,
kliknąć przycisk L aunch Vir tual
Machine Console, a następnie Power
On, jak pokazano na rysunku 7.
2. Po pojawieniu się infor mac ji
o restarcie systemu należy uruchomić
sesję Telnet do wirtualnego kontrolera,
Numer:
(128)
Numer:III/2014
II/2012 (119)
Podsumowanie
co
przedstawiono na rysunku 8.
3. Na s t ę pnie na le ż y p o c z ek a ć ,
Lync jest wieloplatformowy, może
a ż zostanie wyświetlony monit
działać zarówno na komputerach
ostacjonarnych
uruchomieniu Windows
kreatora konfiguracji
i Mac OS,
kontrolera,
jak pokazano
na rysunku
9.
jak i Platformach
Mobile
Windows
Phone,
iOS (iPad, iPhone),
Android.
4.
Po skonfigurowaniu
w kreatorze
Podstawowyustawień,
interfejs nie
odbiega
wstępnych
czyli
hostod wzorcowego okna komunikatora
name-u kontrolera, nazwy użytkowinternetowego. Rysunek 3 przedstawia
nika
i hasła
administratora,
interfejsu
pionowo
zorientowaną
listę kontaktów
zarządzania,
interfejsu
wirtualnego,
sieci
ze zdjęciami, obok umieszczono status
WLAN,
czy
serwera
NTP,
należy
zaaki opis, w
górnej
części
menu
podstawowychwprowadzone
funkcji. Wspomniany
ceptować
zmiany populpit
czym
nawigacyjny
odnajdowanie
nastąpi
restartupraszcza
vWLC (rysunek
10).
i używanie typowych funkcji, takich
Od tego momentu możliwe jest
jak klawiatura numeryczna, wizualna
już
zalogowanie
siękontaktów
do interfejsu
poczta
głosowa, lista
i lista
graficznego
wirtualnego
aktywnych konwersacji. kontrolera
jest bardzo elastyczny,
jeśli
iLync
przeprowadzenie
jego dalszej
chodzi o wdrożenia i możliwości
konfiguracji.
integracji. Możliwa jest również
Rozwiązanie Cisco Virtual Wireless
integracja programu z istniejącą
LAN
Controller
umożliwia
elastyczne
telefonią
IP, jak
na przykład
Cisco.
iRysunek
efektywne
kosztowo wdrożenia
sieci
2 przedstawia
przykładową
bezprzewodowych.
vWLC może zostać
integrację z IP telefonami.
uruchomione na dowolnej wirtuPowyższy
artykuł
miałczemu
na celumamy
przedalnej
maszynie
dzięki
stawienie aplikacji Lync od strony
elastyczność co do wyboru sprzętu,
użytkownika. Program Microsoft Lync
opierając
się jedynie
o wymagania
2010 to doskonały
klient
do ujednosprzętowe.
Dodatkowo
Cisco Virtual
liconej komunikacji
z możliwością
obsługi wiadomości
błyskawicznych,
Wireless
LAN Controller
może dzielić
połączeń
głosowych
oraz
istniejącą infrastrukturę do spotkań.
wirtualiW zak
tualizowanym
inter
fejsie
zacji
z innymi
wirtualnymi
rozwiąużytkownika programu Lync rozmaite
zaniami,
co do
pozwala
zminimalizować
narzędzia
komunikacji
rozmieszkoszty
zakupu
sprzętu
oraz ilość
czono w sposób usprawniający
ich
potrzebnego
miejsca,
poprzez
zastąobsługę. Funkcje
konferencji
są jeszcze
skuteczniejsze
pienie
wielu dzięki
pude łwbudowanej
ek je dnym
funkcji
udostępniania
pulpitu
i aplikacji,
urządzeniem. Dzięki wykorzystywaniu
funkcji przekazywania w programie
przez vWLC infrastruktury do wirtuPower Point oraz funkcji kopiowania
alizacji
możliwe
jesti innej
również
korzyi wklejania
obrazów
zawartości.
stanie z jej funkcjonalności takich
Opracowano
podstawie
jak:
VMotion,nacloning,
czyoficjalnych
snapshot.
materiałów
producenta.
Mimo,
że vWLC
nie zastąpi w pełni
sprzętowego kontrolera, jest to idealne
M.G.
rozwiązanie dla Inżynier
małych iSOLIDEX
średnich
przedsiębiorstw.
SOLIDność
w każdym działaniu...
Opracowano na podstawie oficjalnych
materiałów producenta.
K.K.
33
29
ROZWIĄZANIA
Heartbleed – sprawdź czy jesteś
bezpieczny
Wśród specjalistów od bezpieczeństwa panuje zgodna opinia, że podatność
typu Heartbleed jest jednym z największych ujawnionych problemów ostatnich
lat. Nawet inne słynne luki i wykorzystujące je robaki, takie jak Slammer,
Conficker, Blaster, a nawet „dziura” w sshd odkryta w 2001 roku przez Polaka
Michała Zalewskiego, umożliwiająca nieautoryzowane uruchomienie zdalnej
sesji powłoki, nie występowały tak masowo i nie niosły takiego zagrożenia
jak „krwawienie z serca”. Szacuje się, że podatność dotyczyła ponad połowy
serwerów dostępnych publicznie w Internecie. Możliwość wykorzystania luki
istniała przez ponad 2 lata przed oficjalnym ujawnieniem.
Ujawniona w dniu 8 kwietnia 2014
(przez Adama Langley) podatność
wpisana do bazy MITRE pod numerem
C VE-2014-0160 czyli Heartbleed,
sprowadza się do błędu w bardzo
popular nej bibliotece OpenS SL
używanej do obsługi ruchu szyfrowanego. Błąd pozwala na przesłanie
do komputera napastnika fragmentu
pamięci procesu, który korzysta z tej
biblioteki o rozmiarze do 64kB. Jest
to całkiem duży fragment pamięci
(t aki obszar może zaadresować
procesor ośmiobitowy, jak na przykład
Atari w dawnych czasach). Zaskakująco c zę sto wyst ępują w tak
30
dużym bloku wrażliwe dane, takie
jak nazwy użytkowników i hasła
podane w postaci nieszyfrowanej,
identyfikatory sesji SSL, pozwalające
na przejęcie sesji przez atakującego
lub nawet klucze prywatne certyfikatów używanych na serwerze. Atak
nie pozostawia po sobie żadnych
śladów i można go ponawiać cyklicznie
do momentu, aż coś ciekawego pojawi
się w pamięci atakowanego programu.
Biorąc pod uwagę, że do produkcyjnego
kodu źródłowego biblioteki Openssl
podatność została wprowadzona 14
marca 2012, widzimy potencjalną skalę
wycieku informacji przez ponad 2 lata.
Wśród serwisów internetowych, które
w mniejszym lub większym stopniu
były podatne na lukę, możemy znaleźć
amerykańskie: Google (włączając
Gmail oraz Youtube), Yahoo, Facebook,
Amazon Web Services (nie mylić
ze sklepem Amazon.com, który nie był
podatny), Instagram, Pintrest, Tublr,
Dropbox, GitHub, Wikipedia oraz
polskie: mPay, Polki.pl, giełda Bitcoin
bitcurex.pl. W tych serwisach internetowych, gdzie luka została załatana,
zalecana jest zmiana hasła. Nie należy
natomiast zmieniać hasła przed
usunięciem luki, ponieważ wtedy
właśnie nowe hasło może zostać łatwo
Numer: III/2014 (128)
Rys. 1. Fragment zrzutu pamięci z podatnego na Heartbleed portalu amerykańskiego Yahoo. Widoczne są login i hasło w postaci
otwartego tekstu. Źródło: pic.twitter.com/v8kddiP0Yo
przejęte z pamięci serwera. Rekomendowanym działaniem właścicieli
serwerów (portali) jest wymiana certyfikatów SSL po usunięciu podatności,
co uniemożliwia wykorzystanie potencjalnie zdobytych wcześniej informacji
(klucze prywatne) do deszyfrowania.
Więk szoś ć ser wisów wykonała
tę czynność dość szybko.
Podatne na atak są serwery wykorzystujące bibliotekę Openssl w wersji
1.0.1 do 1.0.1f. Jeśli na serwerze
występuje biblioteka w którejś z wyżej
wymienionych wersji, to należy
ją jak najszybciej zaktualizować
albo zastosować hotfix zaimplementowany do używanej wersji openssl
albo aktualizację OpenSSL do wersji
1 .0.1g , k tóra zawiera poprawkę
b łę du. Jedną z szybkich metod
eliminacji problemu jest przekompilowanie OpenSSL ze źródeł z opcją
DOPENSSL_NO_HEARTBEATS.
Oprócz serwera, może być zaatakowany także klient protokołu https,
o ile używa biblioteki Openssl. Nie
jest to częsta sytuacja w przypadku
Rys. 2. Wynik badania serwera w sieci wewnętrznej na podatność Heartbleed zakończony wynikiem pozytywnym. Wykryto lukę.
31
ROZWIĄZANIA
w „chmurze” adres nie zostanie użyty
przeciwko nam. Jeżeli jednak skanowanie online jest jedyną opcją, to test
online jest na stronie firmy Qualys:
https://www.ssllabs.com/ssltest/.
Tester ten wykonuje ogólną ocenę
bezpieczeństwa ssl, test na omawianą
podatność jest tylko jednym z wielu
testów protokołu SSL.
Ur z ą d z enia do s t a r c z a ne pr z e z
dostawców IT są podatne w różnym
stopniu. Czasem problem dotyczy
p o ds t awowej f unkc jonalno ś c i
urządzenia lub jego dodatkowych
funkcji. Dużo częściej podatne atakowi
Heartbleed są różnego rodzaju interfejsy do zarządzania urządzeniami lub
sieciami. Nie są one zwykle dostępne
w publicznym Internecie, nie należy
jednak zapominać o ich aktualizacji
w dłuższym okresie. Czołowi światowi
dostawcy rozwiązań IT pracują nad
Rys. 3. Wynik badania skanerem online popularnego portalu internetowego. Wynik
zniwelowaniem wykrytych podatjest negatywny, podatności nie stwierdzono (druga od dołu zielona ramka
ności. Informacja ta może uspokoić ich
na dole rysunku).
klientów. W przypadku wątpliwości,
czy konkretne urządzenie danego
przeglądarek na PC. Na urządzeniach poprawki w TLS1.0, albo wdrożenie producenta jest zagrożone należy
mobilnych podatny jest Android TLS1.1 / 1.2, które wymagały aktuali- skontaktować się z jego producentem
JellyBean jedynie w wersji 4.1.1. Wejście zacji biblioteki OpenSSL właśnie lub jego autoryzowanym przedstana odpowiednio spreparowaną stronę do wersji, w której wprowadzono wicielem – powinien on udzielić
wszelkich informacji.
internetową przy pomocy telefonu zagrożenie Heartbleed.
z tym systemem może skończyć się W jak i spos ób spr awd z ić , c z y
W.T.
kradzieżą danych z pamięci urządzenia, w jakiejś usłudze sieciowej występuje
pobieranych również w postaci nieza- „krwawienie”? Polecanym sposobem
szyfrowanych bloków pamięci.
jest ściągnięcie skryptu ze strony
Urządzenia posiadające OpenSSL internetowej zaufanego dostawcy
starsze niż 2 lata (poniżej wersji ssl i sprawdzenie podatności samodzielnie.
1.0.1) są bezpieczne (przynajmniej jeśli Mo ż na tut aj pole c ić napis any
chodzi o omawiany atak). Nasuwa w Pythonie oficjalny skaner offline
się wniosek, że nie warto biblioteki firmy Redhat dostępny pod adresem
SSL instalować w najnowszej wersji, https://access.redhat.com/labs/hearta jedynie inst alować poprawki bleed/heartbleed-poc.py. Narzędzie
dotyczące wykrytych luk. Biblioteka uruchamiamy na maszynie wyposapowinna być przynajmniej przez 2 lata żonej w odpowiedni interpreter,
dostępna do użytku, zanim zostanie na przykład na Linuksie. W przypadku
zaimplementowana na systemach wykrycia luki, program kończy się
p r o d u k c y j n y c h . W a r t o t u t a j komunikatem „server is vulnerable”.
wspomnieć, że aktualizację OpenSSL Do badania podatności generalnie nie
przed kilku laty wymusił atak BEAST, polecamy używania skanerów online.
na który był podatny TLS 1.0. Ścieżka Ze względu na brak śladów włamania
upgrade’u wtedy była dwojaka: albo nie wiadomo, czy wpisany gdzieś
32
Numer: III/2014 (128)
Cisco TelePresence – seria SX
W pierwszym kwartale 2014 Cisco ogłosiło, że wprowadzi na rynek wiele
nowych rozwiązań dotyczących komunikacji wideo, których celem będzie
udostępnienie tej technologii w każdej z organizacji, niezależnie od jej wielkości.
Nie poprzestając na słowach w niedługim czasie poszerzyło ofertę kodeków serii
SX o dwa nowe rozwiązania. Do dostępnego od niedawna na rynku modelu
SX20 Quick Set dołączyły modele SX80 oraz SX10 Quick Set, które zostaną
w tym artykule opisane.
Cisco TelePresence SX80
Codec
Rys. 1. Rodzina kodeków serii SX (od lewej: SX80, SX10, SX20)
Seria SX80 to elastyczna platforma,
która zapewnia uż ytkownikowi
możliwość zorganizowania doskonale
jakościowego spotkania wideo. SX80
został stworzony z myślą o pracy
w salach konferencyjnych, do współpracy zespołowej oraz zastosowań
przemysłowych. Posiada on również
nieograniczone możliwości integracji.
SX80 to kodek nowej generacji
zbudowany na bazie modeli C60 oraz
C90. Dzięki nowoczesnym procesorom
zapewnia połączenie wideo w rozdzielc zo ś c i 10 8 0p z c z ę stotliwo ś c ią
60 kl./sek., tym samym odpowiadając
33
ROZWIĄZANIA
Rys. 2. Kodek SX80 wraz z 10 calowym dotykowym ekranem sterującym oraz nowoczesnymi
kamerami SpeakerTrack 60 umożliwiającymi lokalizację prelegenta.
na potrzebę rynku – standardu Full
HD i jako pierwszy w branży oferuje
wsparcie dla st andardu H. 2 6 5 1 .
Cisco tym samym stanęło na czele
firm, które będą określać kierunek
dalszego rozwoju, przyszłych wydajności i przepustowości technologii
TelePresence. Kodek obsługuje również
bez przeszkód dotychczas używane
protokoły H.323 oraz SIP.
Funkcjonalności
z a r z ą d z a nie c a ł ym sys t e me m .
Również pod względem wizualnym
kodek zasługuje na uwagę. Niewielkie
wymiary (44 x 31 cm, rozmiar 1U),
solidna obudowa oraz dołączony
ze s t aw mont a ż owy poz walają
na podwieszenie go na przykład
na ścianie pod telewizorem w jednej
z sal konferencyjnych.
Łączność
Video
wejście: 3xHDMI, 1xDVI-I, 1xS-Video
wyjście: 2xHDMI, 1xDVI-I
Audio
Wejścia mikrofonowe: 8xEuroblok
Wejście liniowe: 4xEuroblok
Wyjście liniowe: 6xEuroblok
Wejście HDMI: 3xStereo
Wyjście HDMI: 2xStereo
Łączność
Kodek SX80 wyposażony został 3xGigabit Ethernet
Cisco w kodekach nowej generacji w bogatą ilość wejść i wyjść wideo 2xRS232
postawiło na wysoką jakość przesy- oraz audio. Ma to zapewne przygo- (sterowanie kamerą i kodekiem)
ł anego obr a z u i d ź wię k u . Dla tować go na możliwość dostosowania 2xUSB oraz 1x10Gb
połączeń jednotorowych optymalną do każdej z potrzeb klienta. Kodek został (dla przyszłego użytku)
rozdzielczością jest standard Full HD wyposażony w następujące złącza:
1xGPIO (4 kanały)
(1080p 60 kl./sek.). Kodek ma również
moż liwo ś ć prac y wielotorowej.
W przypadku użycia 5 torów rozdzielczość połączenia jest na poziomie
720p30, trójtorowe oraz czterotorowe
połączenie zestawiane jest w rozdzielczości 1080p30.
SX80 oferuje ponadto wsparcie dla
podłączenia do 3 ekranów, umożliwiając tym samym różne możliwości
użycia dostosowane do konkretnych
potrzeb. Do zestawu dołączany jest
także intuicyjny 10” panel sterujący,
Rys. 3. Panel tylni kodeka SX80
który umożliwia w prosty sposób
34
Numer: III/2014 (128)
kamer, z których jedna lokalizuje
aktywnego prelegenta przedstawiając
go w zbliżeniu, druga w tym czasie
lokalizuje kolejnego rozmówcę. Dzięki
nowoczesnemu procesorowi następuje
bardzo szybkie, bezpośrednie przełączenie rozmówcy, przez co uczestnik
po drugiej stronie wideokonferencji
ma odczucie prawdziwego spotkania.
Należy dodać, że obraz z obydwu kamer
przesyłany jest w jakości FullHD.
Rys. 4. Złącza audio kodeka SX80
Kamery
Nieodzownym elementem każdego
kodeka jest kamera a w przypadku serii
SX80 firma Cisco przewidziała wybór
jedną trzech możliwości. Parametry
poszczególnych kamer przedstawione
zostały w tabeli 1. Kamera PHD 1080p
4x jest podstawowym rozwiązaniem
zapewniającym obraz wideo w jakości
1080p (60 kl./sek.) oraz czterokrotnym
zoomem optycznym (ośmiokrotnym
zoomem cyfrowym). Drugą z kolei
jest kamera Precision 60, różniąca
W SpeakerTrack 60 wykorzystano unikalny system dwóch
kamer, z których jedna lokalizuje aktywnego prelegenta
przedstawiając go w zbliżeniu, druga w tym czasie
lokalizuje kolejnego rozmówcę. Dzięki nowoczesnemu
procesorowi następuje bardzo szybkie, bezpośrednie
przełączenie rozmówcy, przez co uczestnik po drugiej
stronie wideokonferencji ma odczucie prawdziwego
spotkania. Należy dodać, że obraz z obydwu kamer
przesyłany jest w jakości FullHD.
Cisco TelePresence SX10
Quick Set
Rys. 5. Złącza wideo oraz złącza funkcjonalne kodeka SX80
się od swojej poprzedniczki lepszą
optyką i większym polem widzenia.
Na szc zególną uwagę zasł uguje
kamera, precyzyjniej mówiąc system
kamer SpeakerTrack 60, który jest
całkowitą nowością w tej gamie.
Podczas typowej wideokonferencji,
kamera domyślnie rejestruje całą salę
konferencyjną. W SpeakerTrack 60
wykorzystano unikalny system dwóch
Cisco TelePresence SX10 Quick Set,
to urządzenie „all in one” przeznaczone
do użytku przede wszystkim w małych
pomieszczeniach. Mobilne rozwiązanie
pozwala na stworzenie przestrzeni
wideo prawie w każdym miejscu.
Kompaktowy kodek z wbudowaną
wysokiej jakości kamerą i mikrofonem
mogą zostać zamontowane na płaskim
telewizorze (zestaw wyposażony
w specjalny uchwyt) i zasilone
za pomocą sieci Ethernet (PoE). SX10
zapewnia wysoką rozdzielczość przesyłanego obrazu (1080p 30kl./sek.),
a szeroki kąt pola widzenia pozwala
na zapewnienie udziału w spotkaniu
nawet kilku osobom.
35
ROZWIĄZANIA
PHD 1080p 4x
Precision 60
Rozdzielczość
1080p60 (60 kl./sek.)
1080p60 (60 kl./sek.)
1080p60 (60 kl./sek.)
Pole widzenia
43,5° w pionie
70°w poziomie
48,8° w pionie
80° w poziomie
80° w poziomie obsługująca
funkcję HFOV
4 x optyczny
8 x cyfrowy
10 x optyczny
20 x cyfrowy
Każda z kamer:
10 x optyczny
20 x cyfrowy
HDMI
HDMI oraz 3G-SDI
2xHDMI oraz 3G-SDI
Zoom
Wyjścia wideo
Sposób montażu
Zakres obrotu/
kąt nachylenia
Podwieszana lub stojąco, z
ręcznym ustawieniem obrazu
SpeedTrack 60
Podwieszana lub stojąco, z
Nie może zostać zamontowana
automatycznym ustawieniem
pod sufitem.
obrazu
-90° do +90°/-25 do +15°
-100° do +100°/-20° do +20°
Każda z kamer:
-100° do +100°/-20° do +20°
Tabela 1. Cechy kamer współpracujących z kodekiem SX80
Dostępność
Jak pokazują statystyki branżowe,
obecnie ponad 93% sal konferencyjnych
na całym świecie nie jest wyposażonych w wysokiej jakości rozwiązania do komunikacji wideo. Cisco
próbując zmienić ten trend wprowadza
na rynek zaawansowane technologie,
które pozwalają mobilnym i rozproszonym zespołom komunikować się
w taki sposób, jakby ich członkowie
przebywali w jednym pomieszczeniu
– a może nawet jeszcze lepiej.
Solidex jako integrator sieciowy
wpisuje się w to działanie poprzez
nieszablonowe podejście do każdego
z projektów i dobór optymalnego
rozwiązania.
Rys. 6. Urządzenie SX10 jako rozwiązanie „all in one”
M.K.
H.265 – High Efficiency Video Coding (HEVC) – standard kompresji wideo opracowany przez grupę Moving Picture Experts Group. Został następcą
standardu H.264, a jego zadaniem jest obsługa rozdzielczości do 7680x4320 – UHDTV. Pliki zakodowane w standardzie H.265 mają zajmować dwa
razy mniej miejsca niż kompresowane za pomocą standardu H.264, przy zachowaniu takiej samej jakości.
1
36
Numer: III/2014 (128)
EMC Data Domain
– macierz zabezpieczająca z
wykorzystaniem techniki deduplikacji
W obecnych czasach każde z przedsiębiorstw funkcjonujące na rynku gromadzi
coraz większą liczbę danych, które musi przechowywać w swoich zasobach pamięci
dyskowych co wiąże się z dużym wyzwaniem. Aby ułatwić to zadanie firma EMC
poza standardowymi macierzami oferuje także linię zabezpieczających pamięci
masowych na potrzeby kopii zapasowych oraz archiwizacji z funkcją deduplikacji
w celu oszczędności przestrzeni dyskowych pamięci.
Deduplikacja
na przechowywany blok. Biorąc pod
uwagę, że dany blok może powtórzyć
Deduplikacja to specjalna metoda się setki lub tysiące razy (częstokompresji danych w celu wyelimino- tliwość powtórzeń zależy od rozmiaru
wania kopii powtarzających się bloków bloku), ilość przechowywanych lub
danych. Używana jest dla polepszenia przesyłanych danych ulegnie redukcji.
utylizacji pamięci masowych oraz Przeciętne zmniejszenie ilości pamięci
może być wykorzystywana w trans- wymaganej do przechowywania
ferze danych w sieci dla zredukowania danych wynosi od 10 do 30 razy.
ilości wysyłanych bajtów danych. W rezultacie przechowywanie danych
W procesie deduplikacji unikalne bloki na dysku staje się wydajną alternatywą
danych lub wzorce bajtowe są identy- do używania taśm jako nośnika kopii
fikowane i zapisywane w procesie zapasowych oraz danych archiwalnych.
analizy danych. Na dalszym etapie Dane przechowywane w taki sposób
analizy inne bloki danych są z nimi mają większą dostępność oraz już
porównywane i kiedy wzorzec się zdeduplikowane mogą być wydajniej
powtórzy jest zastępowany małym przesyłane do innych ośrodków w celu
o d n i e s i e n i e m w s k a z u j ą c y m przechowywania.
Deduplikacja w locie
Deduplikację dzielimy ze względu
na moment przeprowadzenia procesu
analizy danych deduplikowanych.
Pierwszym typem jest deduplikacja
na danych przechowywanych. Polega
na uruchomieniu procesu analizy
w momencie gdy dane są już przechowywane na nośniku docelowym.
Drugi rodzaj to deduplikacja w locie,
czyli przed nastąpieniem procesu
zapisu, w trakcie kopiowania danych
na nośnik docelowy. W efekcie
na nośniku docelowym zapisywane
są dane zdeduplikowane, czyli niepowtarzające się bloki danych oraz
odnośniki w miejscach wystąpienia
37
ROZWIĄZANIA
Skalowalna pamięć masowa
z deduplikacją
Rys. 1. Ogólny schemat działania rozwiązania Data Domain
Deduplikacja umożliwia tak wydajne przechowywanie
danych, że ilość przestrzeni zajmowanej przez wielomiesięczne
kopie, w przypadku braku deduplikacji zapełniłyby taką
samą fizyczną przestrzeń w kilka dni.
Dzięki znacznej redukcji ilości danych
wskutek deduplikacji: dla kopii
zapasowych 10 – 30 krotnie oraz do 5
krotnie dla danych archiwizowanych,
EMC Data Domain znacznie redukują
także ilość przestrzeni zajmowanej
przez system kopii zapasowych oraz
archiwum danych. W środowiskach,
które potrzebują przechowywać kopie
danych przez dłuższe okresy, wskazane
jest oprogramowanie dedykowane
do przedłużonego przechowywania
danych. Wymaganie te spełnia EMC
Data Domain Extended Retention,
obejmujące przedłużoną ochroną
do 100 PB danych.
Deduplikacja umożliwia tak wydajne
przechowywanie danych, że ilość
przestrzeni zajmowanej przez wielomiesięczne kopie, w przypadku braku
deduplikacji zapełniłyby taką samą
fizyczną przestrzeń w kilka dni.
Architektura gwarantująca
nienaruszalność danych
kopii danych. Systemy EMC Data obliczeniowej procesorów, nie jest
Domain oferują rozwiązanie drugiego zaś powiązana jedynie z prędkością EMC Data Domain została zaprojektypu, najszybsze w branży rozwią- obrotową dysków.
towana jako pamięć masowa ostatniej
zanie pamięci masowych z dedupliszansy, zbudowana dla zapewnienia
kac ją zapewniając e ogromną
przepustowość – 31 TB/h.
Kluczowym elementem pozwalającym na osiągniecie tak dobrych
efek t ów jest archit ek tura SISL
(Stream-Informed Segment Layout)
która korzysta z faktu, że prędkość
produkowanych procesorów ciągle
wzrasta, zaś prędkość odczytu/zapisu
na dyski, a więc iloś ć dostępów
do danych w czasie obrotu dysku nie
zmienia się drastycznie od wielu lat.
Dzięki SISL , Dat a Domain
deduplikuje dane w locie identyfikując duplikujące się segmenty
danych w pamię ci, co znac ząco
zmniejsza użycie dysków. Dzięki
temu przepustowoś ć systemów
Rys. 2. Schemat przedstawiający weryfikację poprawności danych w systemie
Data Domain jest zależna od mocy
38
Numer: III/2014 (128)
DD160
DD620
DD2500
DD4200
1.8 - 9.4 PB
5.6 - 28.4 PB
DD4500
2.8 - 14.2 PB
11.4 - 57.0 PB
DD7200
4.2 - 21.4 PB
17.1 - 85.6 PB
DD990
5.7 - 28.5 PB
20 - 100 PB
Logical Capacity
40 - 195 TB
83 - 415 TB
1.3 - 6.6 PB
Max. Throughput
(Other)
667 GB/hr
1.1 TB/hr
5.3 TB/hr
10.2 TB/hr
10.2 TB/hr
11.9 TB/hr
15.0 TB/hr
Max. Throughput
(DD Boost)
1.1 TB/hr
2.4 TB/hr
13.4 TB/hr
22.0 TB/hr
22.0 TB/hr
26.0 TB/hr
31.0 TB/hr
Rys. 3. Specyfikacja Data Domain
niezawodnego odzyskania danych.
Architektura nienaruszalności danych
EMC Dat a Domain (EMC Data
Domain Data Invulnerability Architecture) jest integralną częścią każdego
systemu Data Domain zapewniającą
najlepszą w branży ochronę przed
problemami z integralnością danych.
Głównymi cechami są weryfikacja
zapisu i odczytu w locie chroni oraz
automatyczna naprawia błędów
integralności danych. Przechwytywanie oraz korekcja błędów wejścia/
wyjścia w locie podczas procesu
tworzenia kopii zapasowej eliminuje
potrzebę powtarzania wykonywania
kopii zapewniając kompletność kopii
na czas oraz spełniając umowy warunkujące poziom usług. W dodatku
w odróżnieniu od innych systemów
pamięci typu enterprise, EMC Data
Domain dostarcza ciągłe wykrywanie błędów oraz samoleczenie,
co zapewnia że dane pozost ają
odzyskiwane w swoim cyklu życia
na systemie Data Domain.
Wdrażanie systemu EMC Data Domain
nie wymaga zmiany w procesie ani infrastrukturze, można więc szybko i wydajnie
zauwa ż yć war toś ć deduplikacji.
Wszystkie wiodące aplikacje backupowe
oraz archiwizujące są wspierane przez
EMC Data Domain. Dodatkowo
użytkownicy mogą wykorzystać system
Data Domain jako docelowe miejsce
dla narzędzi ochrony aplikacji takich
jak Oracle RMAN. Można również
zapisywać w nim dane bezpośrednio
z użyciem protokołów CIFS lub NFS
z obsługą różnych rodzajów obciążeń,
w tym również archiwalnych.
Z uwagi na możliwość jednoczesnych
metod dostępu, takich jak NFS, CIFS,
VTL, NDMP, EMC Data Domain Boost,
ze wszystkich aplikacji oraz narzędzi
można korzystać w systemie w tym
samym czasie. Zwiększa to konsolidację zabezpieczającej pamięci masowej.
System może być widoczny dla
użytkowników oraz aplikacji jako:
• serwer plików z dostępem po protokołach CIFS i NFS w sieci Ethernet
• jako wirtualna biblioteka taśmowa
przez Fibre Channel
Bezszwowa integracja
• serwer taśmowy NDMP poprzez
Systemy Data Domain integrują się Ethernet
w prosty sposób z istniejącą infra- • docelowy dysk używający specyfistrukturą oraz mogą być używane kowanych dla aplikacji interfejsów, jak
z wieloma aplikacjami używanymi Data Domain Boost.
do backupu i archiwizacji danych.
Konsolidacja tworzenia
kopii zapasowych oraz
archiwizacji
Systemy EMC Data Domain są pierwszymi i jedynymi na rynku systemami
deduplikacji w locie, wspierającymi
tworzenie kopii zapasowych oraz
archiwizację. Funkcja ta pozwala
na redukcję kosztów posiadania
( TCO) poprzez dzielenie zasobów
przez backup oraz archiwum danych.
Dokładnie mówiąc, system Data
Domain może być wykorzystany
jako system kopii oraz odzyskiwania
danych dla oprogramowania przedsiębiorstwa (włączając w to Oracle,
Microsoft,VMware i IBM oraz systemy
typu mainframe) jak i archiwizowania
(plików, poczty, danych firmowych
jak i baz danych). Systemy Data
Domain chronią aplikację w sposób
wydajny kosztowo poprzez integrację
z wiodącymi aplikacjami do archiwizowania danych, jak EMC SourceOne
oraz Symantec Enterprise Vault. Dzięki
konsolidacji na pojedynczą pamięć
masową z deduplikacją eliminuje
się wielki system storagowy oraz
związane z nim kwestie zarządzania,
przestrzeń potrzebną w serwerowni,
zasilanie i chłodzenie. Dodatkowo
dzięki oprogramowaniu blokady
pr ze c howywania danyc h E MC
39
ROZWIĄZANIA
dostarczają różne scenariusze replikacji, takie jak: mirrorowanie całego
systemu, replikację dwukierunkową,
„wiele na jeden”, „jeden na wiele” oraz
replikację kaskadową. Przy użyciu
scenariusza ‚wiele na jeden’ dane
z do 270 źródeł mogą spływać na jeden
system Data Domain.
Prostota użytkowania
Systemy EMC Data Domain są bardzo
proste we wdrożeniu oraz zarządzaniu,
Rys. 4. Schemat replikacji danych w konfiguracji all-to-one
co obniża koszty administracyjne oraz
operacyjne. Administratorzy mają
Data Domain (EMC Data Domain EMC Data Domain Replicator może dostęp do Data Domain poprzez CLI,
Retention Lock) systemy spełniają kopiować 52Tb/h przez 10Gb sieć. Data SSH oraz przez Data Domain System
polityki organizac ji rz ądowych Domain dzięki deduplikacji danych Manager, przeglądarkowy interfejs
dotyczące archiwizowania danych.
kopiuje tylko niepowtarzające się bloki graficzny. Wstępna konfiguracja
danych, dzięki czemu wymagają tylko oraz updatowanie mogą być prosto
Szybkie, wydajne
części czasu, szerokości pasma oraz przeprowadzone dla wielu systemów
kosztów wymaganych przez trady- wra z z monit orowaniem st anu
i skalowalne przywracanie
cyjne systemy. Może to zredukować systemu oraz jego funkcjonowania.
poawaryjne
szerokość pasma o 99% czyniąc repli- Prostota w oskryptowaniu oraz
Gdy dane są umieszczane na EMC Data kację szybką, godną zaufania oraz tanią. zarządzanie przez SNMP dostarcza
Domain, natychmiast zostają zrepli- Dla podwyższenia poziomu bezpie- dodatkową wydajność w zarządzaniu.
kowane do miejsca przechowywania czeństwa dane replikowane przez Dodatkowo wszystkie systemy Data
danych na wypadek awarii. By sprostać Data Domain mogą być szyfrowane Domain posiadają automatyczną
wymaganiom przywracania danych, z użyciem SSL. Systemy Data Domain funkcję rapor towania call-home,
DD160
DD620
DD2500
DD4200
DD4500
DD7200
DD990
Maximum
Throughput
(Other)
667 GB/hr
1.1 TB/hr
5.3 TB/hr
10.2 TB/hr
10.2 TB/hr
11.9 TB/hr
15.0 TB/hr
Maximum
Throughput
(DD Boost)
1.1 TB/hr
2.4 TB/hr
13.4 TB/hr
22.0 TB/hr
22.0 TB/hr
26.0 TB/hr
31.0 TB/hr
40-195 TB
83-415 TB
1.3-6.6 PB
1.8-9.4 PB
2.8-14.2 PB
4.2-21.4 PB
5.7-28.5 PB
5.6-28.4 PB 11.4-57.0 PB 17.1-85.6 PB
Up to 100
PB
Logical Capacity1
Logical Capacity
w/DD Extended
Retention
Max Usabe
Capacity
Up to 3.98 TB
Up to 8.3 TB
Up to 133 TB
Max Usabe
Capacity w/
Extended
Retention
ES30 Shelves
Supported
Drive Type
Up to 189 TB
Up to 285 TB Up to 428 TB Up to 570 TB
Up to 569 TB
Up to 1.1 PB
Up to 1.7 PB
Up to 2.0 PB
-
-
2 TB, 3 TB
2 TB, 3 TB
2 TB, 3 TB
2 TB, 3 TB
1 TB, 2 TB,
3 TB
SATA
SATA
SAS
SAS, SATA
SAS, SATA
SAS, SATA
SATA
Tabela 1. Specyfikacja modeli systemu EMC Data Domain
40
Numer: III/2014 (128)
z w a n ą au t o w s p a r c i e m , k t ó r e
dostarcza powiadomienia pocztą
elektroniczną statusu do EMC oraz
wybranych administratorów. Ten
system alarmowania oraz gromadzenia danych umożliwia proaktywne
wsparcie oraz serwis bez interwencji
administratora dodatkowo upraszczając zarządzanie systemem.
masowej kopii zapasowych od 10
do 30 krotnie. Zmniejszone są również
(do 5 krotnie) wymagania dotyczące
systemu archiwizacji.
Dzię k i architek tur ze zapewniającej nienaruszalność danych Data
Domain weryfikuje dane w trakcie
zapisu i odczytu „w locie”, gwarantując
ciągłe wykrywanie i naprawę błędów.
Dostarcza także podwójną parzystość
Podsumowanie
dysków RAID-6.
Data Domain łatwo się integruje
System EMC Data Domain zapewnia dzięki obsłudze wiodących aplikacji
szybką deduplikację w trakcie zapisu do obsługi kopii zapasowych i archido 31TB/h. Szybkość deduplikacji wizacji danych, plików, poczty elektrogłównie zależy od mocy oblicze- nicznej oraz środowisk wirtualnych.
niowej procesorów a nie od prędkości Dostarcza również wydajną konsoliużytych dysków.
dację systemu kopii zapasowych z archiDzięki deduplikacji zmniejszone wizacją danych oraz zapewnia zgodność
są wymagania dotyczące pamięci z przepisami prawa dotyczącymi
przechowywania danych.
Pozwala szybko i wydajnie przywracać
dane po awarii, redukując wymagania
dotyczące przepustowości sieci do 99%
oraz umożliwiając replikację nawet
270 ośrodków na jeden system.
Dzięki prostej obsłudze obniża również
koszty zarządzania. Ponadto dostarcza
system zgłoszeń automatycznych oraz
zdecydowanie zmniejsza wymagania
dotyczące przestrzeni do przechowywania systemu kopii zapasowych
i archiwizacji.
P.C.
Autoryzowane
szkolenia Cisco
w SOLIDEX!
Zapraszamy:
Kraków, ul. J. Lea 124
Warszawa Złote Tarasy, ul. Złota 59
szczegóły na str. 43
41
Warsztaty Check Point Next – Generation Firewall R76
Centrum Szkoleniowe SOLIDEX przygotowało dla Państwa nową propozycję
szkoleniową – Warsztaty Check Point Next – Generation Firewall R76.
Program warsztatów obejmuje następujące zagadnienia:
 Instalacja produktów,
 Aktualizacja oprogramowania,
 Tworzenie polityk bezpieczeństwa,
 Dostępne mechanizmy translacji
adresów oraz ich konfiguracja,
 Tworzenie i konfiguracja tuneli VPN S2S
oraz Remote Access,
 Tworzenie i konfiguracja tuneli SSL
VPN,
 Ochrona przez atakami – IPS,

Content Security,
 Integracja z ActiveDirectory
– budowanie polityk bezpieczeństwa
w oparciu o tożsamość użytkownika,
 Kontrola aplikacji na firewallu,
 Konfiguracja klastra wysokiej
dostępności.
Szczegółowy opis warsztatów oraz harmonogram znajdą Państwo na stronie:
http://www.SOLIDEX.com.pl/oferta/warsztaty
Autoryzowane Szkolenia Cisco System
Program SOLIDEX®
ICND1
ICND2
CCNAX
ROUTE
SWITCH
TSHOOT
BGP
MPLS
QOS
IINS
SENSS
SITCS
SISAS
SIMOS
SASAA
SASAC
SWISE
ACS
SASSL
SISE
ICOMM
CVOICE
WMNGI
CUWN
CIPT1
CIPT2
CWLMS
IP6FD
IUWNE
DESGN
ARCH
IPS
SAEXS
Interconnecting Cisco Network Devices Part 1
Interconnecting Cisco Network Devices Part 2
Interconnecting Cisco Networking Devices: Accelerated
Implementing Cisco IP Routing
Implementing Cisco IP Switched Networks
Troubleshooting and Maintaining Cisco IP Networks
Configuring BGP on Cisco Routers
Implementing Cisco MPLS
Implementing Cisco Quality of Service
Implementing Cisco IOS Network Security
Implementing Cisco Edge Network Security Solutions
Implementing Cisco Threat Control Solutions
Implementing Cisco Secure Access Solutions
Implementing Cisco Secure Mobility Solutions
Implementing Advanced Cisco ASA Security
Implementing Core Cisco ASA Security
Implementing Cisco Identity Services Engine for Wireless Engineers
Implementing Cisco Secure Access Control System
Managing Advanced Cisco SSL VPN
Implementing and Configuring Cisco Identity Services
Introducing Cisco Voice and Unified Communications Administration
Implementing Cisco Voice Communications and QoS Managing Cisco Wireless LANs
Cisco Unified Wireless Networking
Implementing Cisco Unified Communications Manager Part 1
Implementing Cisco Unified Communications Manager Part 2
Implementing CiscoWorks LMS
IPv6 Fundamentals, Design, and Deployment
Implementing Cisco Unified Wireless Networking Essentials
Designing for Cisco Internetwork Solutions
Designing Cisco Network Service Architectures
Implementing Cisco Intrusion Prevention System
Cisco ASA Express Security
Infolinia: 800 49 55 82
Kraków
Warszawa Centrum Kompetencyjno-Szkoleniowe SOLIDEX Złote Tarasy - Lumen, ul. Złota 59
www.SOLIDEX.com.pl
Jak otrzymywać bezpłatnie numery INTEGRATORA?
Serdecznie zapraszamy do podjęcia prenumeraty wszystkich dotychczasowych czytelników
naszego kwartalnika i tych, którzy zechcą się do nich przyłączyć.
Zainteresowanych prosimy o wypełnienie formularza na stronie:
www.integrator.SOLIDEX.com.pl/prenumerata
Bezpłatne wydawnictwo INTEGRATOR ukazuje się na rynku od 1994 roku. Jest to unikatowy na rynku specjalistyczny magazyn branżowy poświęcony tematyce profesjonalnych rozwiązań sieciowych i technologii
towarzyszących. Redagowany od samego początku przez Zespół SOLIDEX S.A.
ISSN 1233–4944
Redakcja:
SOLIDEX S.A. ul. Lea 124, 30–133 Kraków
tel. +48 12 638 04 80; fax: +48 12 638 04 70; e–mail: [email protected]
Oddano do druku: sierpień 2014
Wszystkie znaki towarowe oraz nazwy produktów występujące w tekście są zastrzeżone przez ich właścicieli.
www.integrator.SOLIDEX.com.pl

Integrator nr III/2014 (128)

Transkrypt

Podobne dokumenty

W numerze między innymi:

Integrator Nr II/2011 (115)

Szkolenia

Integrator Nr I/2012 (118)

Integrator Nr III/2013 (124)

AGH - nowy wymiar w edukacji IT Centrum Informatyki

Bring Your Own Device

Integrator Nr I/2013 (122)

W numerze między innymi: - Integrator

WAF (Web Application Firewall)

Inteligentne usługi w sieciach bezprzewodowych

Ochrona danych w urządzeniach mobilnych i nie tylko

Integrator Review 3/2008

Integrator Nr IV/2010 (113)

Integrator Nr IV/2012 (121)

Integrator Review Wydanie Jubileuszowe

Integrator Nr I/2014 (126)

systemy emc data domain

BADANIA KOMPATYBILNOŚCI ELEKTROMAGNETYCZNEJ DEDYKOWANE ROZWIĄZANIA PROBLEMÓW Z KOMPATYBILNOŚCIĄ ELEKTROMAGNETYCZNĄ (EMC)

tutaj - CERT Polska