microsoft public cloud

Transkrypt

Microsoft Public Cloud
Prowadzący: Jarosław Sokolnicki, Microsoft
Prelegenci
eSeminarium:
„Integracja środowiska
firmowego z Chmurą
Publiczną IaaS, SaaS”
Robert Kołodziejczyk, Integrity Solutions,
szef zespołu wdrożeniowego technologii Microsoft
Paweł Kowalski, Integrity Solutions, główny inżynier ds. chmury,
serwerów Exchange i zarządzania tożsamością
Integrity Solutions jest spółką wchodzącą w skład Grupy Altkom. Jako partner firmy Microsoft,
zajmuje się wdrożeniami infrastruktury budowanej w oparciu o system Windows Server, usług
katalogowych, mechanizmów zarządzania tożsamością, serwerów Microsoft Exchange i Microsoft
System Center oraz rozwiązań w chmurze, w tym Windows Azure oraz Office 365.
Microsoft
Public Cloud
– cykl
eSeminariów
Projekt Chmura publiczna w scenariuszach biznesowych obejmuje cykl sześciu spotkań internetowych (eSeminariów) oraz trzech
szkoleń produktowych. Tematem pierwszego spotkania jest integracja chmury publicznej z infrastrukturą firmową. W drugim
scenariuszu - Disaster recovery i backup - zaprezentowane zostaną
mechanizmy tworzenia kopii zapasowych do chmury.
Kolejne wykłady dotyczyć będą integracji systemów i raportowania w chmurze (Big Data),
budowy serwisów intranetowych (wykorzystywanych wewnątrz organizacji) oraz tworzenia aplikacji internetowych, za pomocą których komunikujemy się ze światem zewnętrznym. Cykl spotkań
dotyczących biznesowego wykorzystania chmury zakończy eSeminarium prezentujące zagadnienia
dotyczące zarządzania urządzeniami mobilnymi.
Szkolenia
produktowe
Szkolenia z zakresu wykorzystania chmury w biznesie obejmują
pakiet oprogramowania Office 365, platformę Windows Azure oraz
zasady programowania aplikacji intranetowych i internetowych dla
chmury publicznej.
Informacje o planowanych eSeminariach i szkoleniach znajdziemy
na stronie http://eseminaria.azurewebsites.net/.
Infrastruktura
hybrydowa
W pierwszej części tego materiału odpowiemy na pytania:
jakie wyzwania i trendy czekają na nas we współczesnym świecie,
jeśli chodzi o pracę i interakcję z nowoczesnymi technologiami?
Jak działa i wygląda platforma Windows Azure oraz pakiet usług
podstawowych Office 365?
W drugiej części zbierzemy wszystkie te informacje, aby na przykładzie infrastruktury hybrydowej
Integrity Solutions zaprezentować trzy praktyczne scenariusze zastosowań chmury Azure i usług
Office 365 w biznesie.
1.
Prognozy
firmy Microsoft
eSeminarium:
firmowego z Chmurą
Microsoft wymienia mobilność, ludzi oraz chmurę, jako trzy
najważniejsze trendy, które będą wyznaczać rozwój technologii IT
w przyszłości.
Hasło mobility odnosi się do mobilności urządzeń – komputerów, tabletów, smartfonów, z których
korzystamy na co dzień. Aby urządzenia te funkcjonowały prawidłowo, muszą one być pełnoprawnym członkiem infrastruktury firmowej. Treści i usługi muszą być odpowiedniej jakości, dostosowane do smartfonów i tabletów oraz dostępne z dowolnego miejsca.
Liczba sprzedanych w ubiegłym roku tabletów była wyższa niż sprzedaż komputerów PC. Wyraźnie
widać rosnące znaczenie urządzeń mobilnych, które coraz częściej wykorzystywane są nie tylko do
rozrywki, na przykład siedzenia przed telewizorem czy surfowania po internecie, ale również pracy.
Coraz częściej smartfon lub tablet traktowane są jako narzędzia pomagające w wykonywaniu swoich obowiązków służbowych. Z tego względu, wygląd interfejsu oraz sposób pracy z urządzeniem
(look & feel) musi być identyczny, jak na komputerach przenośnych. Mamy tutaj do czynienia nie
tylko z czystą konsumpcją treści, jak ma to miejsce w przypadku prywatnego użytku, ale również
działaniami proaktywnymi, podejmowanymi przez pracowników.
Z drugiej strony, jeśli chcemy wykorzystywać urządzenia mobilne w celach służbowych, należy zadać
sobie pytanie, co z bezpieczeństwem systemów IT w organizacji oraz dostępem do wrażliwych danych?
Chmura
mobilności
To ludzie wyznaczają sposób, w jaki pracujemy. Coraz częściej jesteśmy w ruchu. Jesteśmy bardziej mobilni, a ze swoich komputerów
korzystamy w różnych miejscach – przy biurku, w domu, w podróży.
Zmieniają się również nasze przyzwyczajenia oraz interfejsy, z których
korzystamy. W tym miejscu nasuwa się pytanie, co należy zrobić, aby
na wielu urządzeniach pracować w ten sam sposób?
Microsoft udostępnia funkcję o nazwie „fragmentacja urządzeń”. Mimo, że korzystamy z wielu komputerów, tabletów czy smartfonów, nie powinniśmy dopuści do fragmentacji treści, które powinny
być dokładnie takie same na każdym sprzęcie.
Z badań Forrester Research wynika, że cloud computing oraz mobility to dwa trendy, które wzajemnie się wzmacniają. Chmura udostępnia użytkownikom nowe usługi, dzięki którym rozwija się rynek
rozwiązań mobilnych. Z drugiej strony, znaczenie chmury staje się coraz większe tak, jak przybywa
urządzeń przenośnych i rośnie zapotrzebowanie na usługi i treści dostępne z każdego miejsca.
Chmura jest naturalnym hubem dla urządzeń mobilnych. Dotychczas, istotnym hamulcem
w rozwoju tego rynku była konieczność ręcznego konfigurowania przez użytkownika połączeń między telefonem, a komputerem. Technologia chmury udostępnia serwisy, do których po podłączeniu
się np. wpisując odnośnik czy dane na temat dostawcy usługi, uzyskujemy automatyczny, natychmiastowy dostęp. Chmura jest miejscem, do którego wrzucamy zdjęcia i skąd pobieramy treści,
dostępne z każdego urządzenia.
2.
Dlaczego
chmura
hybrydowa?
eSeminarium:
firmowego z Chmurą
Każda funkcjonująca organizacja, pomijając konsumentów (użytkowników prywatnych), prawdopodobnie ma jakąś infrastrukturę. Nawet jeśli
część usług jest dostarczana w chmurze, nadal mamy sytuację,
w której pewne elementy środowiska IT pozostaną lokalne. Infrastruktura hybrydowa stanowi pomost pomiędzy tymi dwoma światami.
Zbudowanie mostu między infrastrukturą lokalną i chmurą jest warunkiem koniecznym do uniknięcia
informatycznego „rozdwojenia jaźni”. Konieczność zarządzania środowiskiem IT w dwóch miejscach
tworzy wiele problemów związanych z utrzymaniem systemów i usług, obsługą zgłoszeń oraz obiegiem informacji. W chwili kiedy między tymi środowiskami zbudujemy pomost, administratorzy zaczną
traktować hybrydową infrastrukturę jako całość. Dla użytkowników nie ma znaczenia, czy poczta e-mail
dostarczana jest z wewnątrz organizacji, czy też z chmury. Mechanizmy działające pod spodem powodują, że przyzwyczajenia, które mamy z sieci przenoszą się na chmurę, dostarczając użytkownikom zunifikowane środowisko do zarządzania usługami biznesowymi.
Hybryda
dobra dla
chmury
Zaczynając swoją przygodę z chmurą obliczeniową, która nie jest przecież nowym zjawiskiem, warto rozważyć możliwość zaprojektowania
i wdrożenia infrastruktury hybrydowej. Firma analityczna Gartner,
w swoich prognozach na rok 2014, wymienia chmury hybrydowe jako
jedną z najważniejszych strategii i trendów rozwoju rynku IT. Prowadząc rozważania na temat wdrożenia usług w chmurze powinniśmy
myśleć o hybrydzie oraz sposobach na integrację usług chmurowych
z istniejącą infrastrukturą przedsiębiorstwa.
W wielu przypadkach wynika to z prozaicznych przyczyn. Wszystkie istniejące na rynku firmy posiadają jakąś infrastrukturę, zasoby sprzętowe oraz uruchomione usługi np. Active Directory, która
zapewnia mechanizmy scentralizowanego logowania użytkowników.
Usługi w chmurze stanowią naturalny etap rozwoju środowiska IT w przedsiębiorstwie. Wraz
z wprowadzaniem elementów chmury, infrastruktura firmy ewoluuje, aby zaoferować użytkownikom elastyczne i bardziej niezawodne usługi biznesowe. Dzięki chmurze hybrydowej możemy dokonać ewolucji w infrastrukturze firmy, bez konieczności porzucania posiadanych zasobów i umiejętności. Rewolucji w IT biznes mógłby nie znieść.
Dlaczego
chmura?
Mamy lokalne środowisko IT, usługi w chmurze i wszystko to musimy zintegrować. Na tym etapie nasuwa się pytanie, po co w ogóle
chmura w firmie?
Żyjemy w czasach, w których ważna jest elastyczność. Rozwój biznesu wymaga, aby szybciej reagować
na zmieniające się otoczenie. W trakcie prowadzenia kampanii promocyjnej czy obsługi dużego wydarzenia, od działów IT wymaga się dodatkowych, dużych mocy obliczeniowych, o które w lokalnej serwerowni może być trudno.
3.
eSeminarium:
firmowego z Chmurą
Z badań PMI wynika, że ważniejsze niż budżet, jest dostarczenie produktu lub usługi na rynek. Na obecną chwilę, w projektach informatycznych najbardziej liczy się czas, aby być krok przed konkurencją.
Drugim elementem jest wzrost znaczenia mobilności oraz roli chmury, jako naturalnego huba, który pozwala użytkownikom korzystać ze swoich aplikacji i danych w dowolnym miejscu i czasie.
Unifikacja
interfejsu
Wizja firmy Microsoft zakłada, że chmura będzie zorganizowana
na zasadach wyznaczonych przez użytkownika. Chmura ma być tak
duża jak potrzebujemy, wtedy kiedy jej potrzebujemy i tylko w tym
obszarze, w którym chcemy. Do chmury należy przenosić tylko te
elementy, które wprowadzą do środowiska informatycznego nową
wartość biznesową.
Gdybyśmy chcieli całą lokalną infrastrukturę przekształcić w serwisy i usługi chmury, byłoby to bardzo
kosztowne oraz długotrwałe. Hybryda oferuje elastyczność w przenoszeniu usług do chmury. Możemy
włączać pojedyncze usługi w chmurze, łatwo je rozbudowywać, bez zamykania lokalnej serwerowni.
Dostarczenie kolejnego serwisu dla biznesu np. uruchomienie serwera SharePoint, odbywa się ciągu kilku minut. Nie ma konieczności zakupu sprzętu, zamawiania licencji itd. Wizja firmy Microsoft
zakłada rozbudowę infrastruktury przedsiębiorstwa o konkretne elementy chmury, wtedy kiedy są
rzeczywiście potrzebne.
Praktyczny
wymiar
chmury
Polskie przedsiębiorstwa nadal podchodzą nieufnie do przenoszenia swoich zasobów informatycznych do chmury.
Jeśli tylko uda się zniwelować czynnik ludzki – strach, działy
IT oraz biznes coraz chętniej migrują do chmury, choćby ze
względu na mobilność jaką oferuje.
Przykładem jest tutaj możliwość pracy w pociągu, bez konieczności zestawiania połączenia VPN
do lokalnej sieci przedsiębiorstwa. W Integrity Solutions potrzeba chmury pojawiła się głównie za
sprawą osób z działów handlu i marketingu, którzy chcieli mieć możliwość pracy zawsze i wszędzie,
nawet stojąc w korku na autostradzie.
Paweł Kowalski z Integrity Solutions twierdzi, że dzięki instancji serwera SharePoint w chmurze,
pracując u klientów mógł dostarczyć im nową jakość obsługi. Chmura firmy Microsoft umożliwiła
Pawłowi wchodzenie do witryn projektowych z dowolnego miejsca oraz zapraszanie do współpracy
członków zespołu projektowego po stronie klienta. Dzięki mechanizmom uwierzytelniania Live ID
każdemu z nich wystarczyło nadać uprawnienia do zasobów i informacji. Wykorzystanie SharePoint’a ograniczyło konieczność przesyłania dokumentów pocztą, które teraz były udostępniane i rozpowszechniane przez bezpieczny protokół SSL. Pozwoliło to również członkom zespołu wykorzystać
cechy i funkcje serwera SharePoint takie jak wersjonowanie dokumentów czy dostęp do informacji
w formie list i kalendarzy.
4.
eSeminarium:
firmowego z Chmurą
W Integrity Solutions istnieje tylko jeden dział firmy, który w całości pracuje w chmurze. Mowa o programistach. Dla tej grupy pracowników chmura to idealne środowisko, które pozwala im w kilka minut
postawić nowy serwer o dowolnych parametrach i konfiguracji, bez konieczności przesyłania odpowiednich wniosków do osób odpowiedzialnych za infrastrukturę. Wirtualizacja używana jest w trakcie prowadzenia testów aplikacji, czy też prezentacji klientom działających rozwiązań.
Office 365
dla firm
Kolejną istotną kwestią jest proces integracji chmury prywatnej
z lokalną infrastrukturą przedsiębiorstwa. Mowa tu o dwóch rodzajach usług. Pierwsza to pakiet podstawowych funkcji Office 365
niezbędnych do pracy. W jego skład wchodzi poczta korporacyjna
na platformie Exchange, moduł udostępniania dokumentów, witryn
sieci web i pracy grupowej na bazie serwera SharePoint oraz konferencje internetowe prowadzone przy użyciu aplikacji Lync.
Licencje dostępowe (CAL) dla usług Office 365 dla biznesu odpowiadają licencjom CAL dla serwerów dostarczanych w modelu on premise.
Infrastruktura hybrydowa
z wykorzystaniem Windows Azure
Jeśli posiadamy subskrypcję na usługi w chmurze, możemy jednocześnie korzystać z lokalnych
zasobów przedsiębiorstwa. Z punktu widzenia użytkownika nie ma znaczenia, czy witryna hostowana jest na lokalnym serwerze SharePoint, czy w usłudze uruchomionej w chmurze. Dla działów IT
oznacza to większą elastyczność i uproszczenie zasad licencjonowania produktów Microsoft.
5.
Windows
Azure
eSeminarium:
firmowego z Chmurą
Drugim elementem, którego używamy, aby rozbudować możliwości
chmury oraz pakiet usług Office 365 jest Windows Azure. Platforma
ta składa się z kilku zasadniczych elementów.
Pierwszy odpowiada za dostarczanie aplikacji, czyli hostowanie usług lub stron webowych.
Drugi element chmury Azure umożliwia przechowywanie treści oraz składowanie informacji w bazie danych. Na oficjalnej stronie Azure znajdziemy bogatą dokumentację oraz zestaw przewodników
w języku polskim, które ułatwiają wdrażanie usług chmurowych w organizacji.
Windows Azure jest niezależną platformą, która pozwala na uruchomienie w chmurze maszyny wirtualnej (instancji serwera), serwisu internetowego lub aplikacji bazodanowej. Każdy z tych elementów ma cechy charakterystyczne dla usług świadczonych w chmurze – niezawodność na poziomie
ponad 99,9% oraz dostępność z każdego miejsca na świecie.
W chmurze Azure dostępne są maszyny wirtualne, które mają ponad 100 GB pamięci RAM. Są to
instancje serwerów przeznaczone do przetwarzania dużej ilości danych (Big Data). Chmura firmy
Microsoft stanowi odpowiedź na zapotrzebowanie firm na moc obliczeniową, niedostępną w lokalnych serwerowniach. Płacimy tutaj wyłącznie za wykorzystane zasoby. Możemy wynająć maszynę
wirtualną na trzy dni, na tydzień, na miesiąc lub na czas realizacji projektu, po czym ją wyłączyć
i skasować, nie ponosząc za to żadnych dodatkowych kosztów.
Hybryda
w Integrity
Infrastruktura hybrydowa firmy Integrity Solutions składa się z lokalnej
serwerowni, w której działa m.in. farma serwerów SQL, połączonej
stałym, szyfrowanym tunelem VPN z chmurą publiczną Windows Azure. Z perspektywy pracowników, wszystkie maszyny w chmurze Azure
są widoczne tak samo, jakby były uruchamiane w biurach Integrity.
Mogą oni logować się do usług, korzystać z aplikacji i pobierać dane,
tak samo jak robią to w przypadku serwerów dostarczanych lokalnie.
W chmurze zdefiniowano kilka, w pełni zarządzanych podsieci oraz
uruchomiono usługi sieciowe, realizujące wybrane funkcje biznesowe.
Integrity Solutions informuje, że skonfigurowanie infrastruktury hybrydowej w przedsiębiorstwie
zajęło jedynie pół dnia. W tym czasie udało się uruchomić instancję Windows Azure oraz kontroler
domeny w chmurze. Oba środowiska zostały spięte ze sobą bezpiecznym tunelem VPN. W chmurze uruchomiono kontroler domeny z usługą Active Directory Federation Services (AD FS), który
rozszerza funkcje realizowane przez kontrolery domeny działające lokalnie. Logowanie się pracowników do usługi Office 365 odbywa się z wykorzystaniem poświadczeń domenowych. Z uwagi na dodatkowy kontroler uruchomiony w chmurze, firma jest niezależna od awarii łączy i innych zdarzeń
losowych. Warto dodać, że utrzymanie chmury kosztuje dziennie tyle, co bilet autobusowy.
W tym momencie pojawia się pytanie – jakie korzyści dla biznesu przynosi chmura. Po drugie – czy jest
to bezpieczne? Odpowiedzi na te pytania spróbujemy znaleźć prezentując trzy scenariusze wdrożeń.
6.
eSeminarium:
firmowego z Chmurą
W pierwszym scenariuszu zaprezentujemy chmurę hybrydową, w której zaimplementowano mechanizmy pojedynczego logowania (Single sign-on, SSO) dla usług uruchamianych lokalnie (on
premise) oraz w chmurze. Scenariusz drugi omawia, w jaki sposób podnieść zabezpieczenia w
zakresie dostępu do usług poprzez wdrożenie mechanizmów wielostopniowego uwierzytelniania
użytkowników uprzywilejowanych (multi-factor autentication). Trzecia prezentacja dotyczyć będzie
kwestii bezpieczeństwa danych widzianej z dwóch perspektyw: szyfrowania oraz zarządzania dostępem do informacji.
Scenariusz 1.
Pojedyncze
logowanie
W hybrydzie, za pomocą kont Active Directory, możemy logować się
do zasobów lokalnych, jak i tych dostarczanych w chmurze. Hasła
użytkowników przechowywane w lokalnej usłudze katalogowej, poprzez łącza internetowe są również dostępne dla systemu Office 365.
Hybryda i zabezpieczenie usługi
pojedynczego logowania
Mechanizm pojedynczego logowania (Single sign-on, SSO) pozwala wykorzystać te same poświadczenia (nazwa użytkownika, hasło) w trakcie uzyskiwania dostępu do różnych urządzeń (komputer,
tablet, smarfton) oraz wszystkich usług, aplikacji i zasobów w środowisku firmy Microsoft. Ten
sposób logowania do usług jest tańszy, szybszy i bardziej efektywny, bowiem zawsze używamy tej
samej nazwy użytkownika i hasła.
7.
Poczta
w Exchange
Online
eSeminarium:
firmowego z Chmurą
Spróbujmy przybliżyć schemat uwierzytelniania w usłudze Exchange
Online. Klient, aby zalogować się do skrzynki e-mail, wysyła do aplikacji webowej swoje poświadczenia. Na tym etapie serwer sprawdza, czy
posiada on konto oraz wymagane licencje na korzystanie z usługi. Jeśli
użytkownik zostanie poprawnie rozpoznany, aplikacja przekazuje zapytanie o hasło do serwera Active Directory Federation Services (AD FS).
To tutaj następuje właściwy proces uwierzytelniania klienta w usłudze.
Hasła użytkowników nie są przechowywane w chmurze. Proces weryfikacji poświadczeń odbywa się
na lokalnym kontrolerze domeny w usłudze Active Directory. Aplikacja Exchange Online otrzymuje
jedynie zwrotną informację, czy proces uwierzytelniania zakończył się sukcesem, czy też klientowi
należy odmówić dostępu do poczty. Dodajmy, że usługi Active Directory Federation Services wykorzystywane są dla dowolnych aplikacji uruchamianych w chmurze.
Narzędzie Dir Sync umożliwia synchronizację kont użytkowników i skrótów haseł w usłudze Office
365. Rozwiązanie to jest stosowane wszędzie tam, gdzie nie ma wdrożonej infrastruktury hybrydowej. Standardowo, synchronizacja poświadczeń klientów odbywa się co 2 godziny.
Problem
z dostępnością
kontrolerów
domeny
W przypadku awarii łączy internetowych w siedzibie firmy, usługi chmury będą niedostępne, nawet wtedy gdy użytkownik spróbuje uzyskać do
nich dostęp spoza organizacji. Jak to możliwe? W trakcie logowania się
do aplikacji webowej, zapytanie o hasło przekazywane jest do kontrolera
domeny uruchomionego w centrum danych przedsiębiorstwa.
W firmie Integrity Solutions taka usterka zdarzyła się kilka razy. Wyobraźmy sobie sytuację, w której po przyjściu do pracy nie działa służbowa poczta. Budowa. Koparka przecięła światłowód, a więc
zalogowanie się do usług w chmurze okazuje się niemożliwe.
Podsumujmy. Mamy infrastrukturę lokalną oraz infrastrukturę w chmurze. Aby zalogować się do
usługi w chmurze konieczne jest sprawdzenie poświadczeń użytkownika w usłudze AD FS uruchomionej na kontrolerze domeny w centrum danych firmy. To rodzi pewne konsekwencje…
Kontroler domeny
w chmurze
Windows Azure pozwala zapewnić ciągłość działania oraz dostępność usług w chmurze nawet wtedy, gdy lokalna infrastruktura przedsiębiorstwa zostanie odcięta od świata zewnętrznego.
Firma Integrity Solutions zdecydowała się na uruchomienie kontrolera domeny w Windows Azure.
Dzięki temu proces uwierzytelniania użytkowników w usłudze odbywa się wyłącznie w chmurze.
Z perspektywy przedsiębiorstwa, wdrożenie kontrolera domeny w chmurze, stanowi rozszerzenie
usług katalogowych o kolejną lokalizację. Synchronizacja katalogu miedzy kontrolerami odbywa się
z wykorzystaniem standardowych mechanizmów replikacji Active Directory.
8.
Idea SSO
w praktyce
eSeminarium:
firmowego z Chmurą
W trakcie kolejnej prezentacji zalogujemy się do poczty w usłudze
Office 365. W tym celu wykorzystamy konto postmaster na serwerze
Exchange. W Integrity Solutions jest to skrzynka, do której trafia
cała niechciana korespondencja (spam)..
W oknie aplikacji webowej wprowadziliśmy nazwę użytkownika oraz hasło. Serwer automatycznie
rozpoznał, że wykorzystaliśmy konto domenowe, a następnie przekazał żądanie uwierzytelnienia do
kontrolera domeny uruchomionego w chmurze Windows Azure.
Proces logowania wygląda jednak zgoła inaczej, jeśli próbujemy uzyskać dostęp do skrzynki e-mail,
siedząc przed swoim biurkiem w firmie. W tym przypadku uwierzytelnianie w usłudze odbywa się
na lokalnym kontrolerze domeny. Dodatkowo, nie ma potrzeby ponownego przedstawienia się usłudze w chmurze, bowiem wcześniej zalogowaliśmy się do swojego służbowego komputera.
Właśnie tak działa mechanizm pojedynczego logowania (SSO). Wszystkie usługi, aplikacje i zasoby,
zarówno te lokalne jak i w chmurze, dostępne są od razu. W trakcie próby dostępu do aplikacji, system nie przekierowuje użytkownika do portalu logowania w usłudze uwierzytelniającej AD FS.
Nie prosi też o ponowne wprowadzenie hasła.
Hybryda
w Integrity
Po stronie chmury, środowisko hybrydowe w firmie Integrity Solutions składa się z pojedynczego kontrolera domeny, sieci wirtualnej
oraz szyfrowanego kanału VPN zestawionego w modelu punkt-punkt
(site-to-site) do lokalnej sieci przedsiębiorstwa. Tunel VPN dostarczany jest w formie wirtualnej usługi Azure, która dodatkowo zlicza
ilość danych przesyłanych między lokalizacjami w zadanym czasie.
Windows Azure oferuje funkcjonalność, dzięki której każda z maszyn wirtualnych uruchamianych
w chmurze dostępna jest pod unikalną nazwą DNS, rozwiązywaną z internetu. Nie ma konieczności
zestawiania tunelu VPN, jeśli chcemy połączyć się z pulpitem zdalnym kontrolera domeny. Wystarczy, że w portalu Azure naciśniemy przycisk Connect. Aplikacja automatycznie pobierze konfigurację usługi Remote Destkop, a następnie pozwoli na szybkie nawiązanie zdalnego połączenia z wybranym serwerem. Windows Azure umożliwia wystawienie takiego interfejsu dla dowolnej maszyny.
Funkcja ta pozwala wygodnie zarządzać oraz monitorować stan instancji wirtualnych w chmurze.
Podsumujmy: w Windows Azure został uruchomiony kontroler domeny z działającą usługą AD
Federation Services. Sieć lokalna przedsiębiorstwa jest połączona z chmurą za pomocą stałego,
bezpiecznego tunelu VPN. Z perspektywy infrastruktury, kontroler domeny w chmurze funkcjonuje
jako serwer usług Active Directory w kolejnej lokalizacji. Jego zadaniem jest przejęcie zadań związanych z uwierzytelnianiem użytkowników w usługach uruchamianych w chmurze, także wtedy gdy
lokalne usługi AD FS w centrum danych przedsiębiorstwa będą niedostępne.
9.
Przypomnijmy, że integracja środowiska lokalnego i chmury w firmie Integrity Solutions zajęła
jedynie pół dnia. Proces ten został zautomatyzowany dzięki szablonom maszyn wirtualnych, które
znajdziemy w galerii obrazów Windows Azure. Wystarczy kilka minut, aby można było zalogować się
po raz pierwszy do nowego serwera wirtualnego
eSeminarium:
firmowego z Chmurą
Wdrażanie usług chmurowych, takich jak Azure i Office 365, to kwestia połączenia infrastruktury
lokalnej bezpiecznym tunelem VPN. Z perspektywy użytkownika usługi te widoczne są w taki sam
sposób, jakby były uruchamiane lokalnie. Dodajmy, że w Windows Azure znajdziemy również oprogramowanie dostarczane przez firmy trzecie. W ten sam sposób wdrożymy np. bazę danych Oracle,
wstępnie skonfigurowaną do pracy w środowisku Windows Server.
Scenariusz 2.
Wielostopniowa
autoryzacja
użytkownika
Proces uwierzytelniania w usługach chmurowych można rozszerzyć
o dodatkową warstwę zabezpieczeń w postaci kodów SMS wysyłanych na telefon komórkowy użytkownika. Model ten jest powszechnie
wykorzystywany w bankowości elektronicznej. Zatwierdzenie polecenia przelewu wymaga podania kodu, otrzymanego od banku w treści
wiadomości SMS.
Wielostopniową autoryzację użytkownika stosuje się w szczególności dla kont użytkowników uprzywilejowanych, którzy uzyskują dostęp do usług i zasobów w chmurze. Dotyczy to administratorów,
administratorów rozliczeń i wszystkich innych kont, które mają przypisane wyższe uprawnienia niż
standardowy użytkownik. W przypadku ujawnienia (skompromitowania) poświadczeń logowania,
atakujący może wydać pieniądze firmy, wyłączyć jakąś usługę, a nawet skasować dane. Wdrożenie
podwójnego mechanizmu autoryzacji sprawia, że czujemy się bezpieczniej. Te same zabezpieczenia
mogą być wdrażane również w odniesieniu do usług uruchamianych lokalnie, aby zwiększyć poziom
zabezpieczeń stosowanych w przedsiębiorstwie.
W procesie logowania użytkownik, oprócz standardowych poświadczeń (nazwa oraz hasło), podaje
kod wysłany na jego telefon komórkowy w formie wiadomości SMS. W procesie autoryzacji może
być wykorzystane również połączenie telefoniczne (należy odebrać rozmowę zainicjowaną przez
serwer usługi) lub aplikacja na smartfon, która generuje jednorazowe kody dostępu.
Mechanizm wielostopniowej autoryzacji (multi-factor autentication), oprócz uwierzytelniania w
usługach Office 365, można wykorzystać w portalu Windows Azure, SharePoint i innych aplikacjach
uruchamianych w chmurze Microsoftu.
Dla kont administracyjnych usługa wielostopniowej autoryzacji jest darmowa. W przypadku zwykłych kont opcja ta jest dodatkowo płatna i rozliczana ze względu na liczbę wysłanych SMS-ów lub
na użytkownika.
Portal Azure udostępnia usługę wielostopniowej autoryzacji, którą możemy zsynchronizować z własnymi aplikacjami. Jest to gotowy moduł, który wystarczy aktywować. Wchodzimy w konfigurację
użytkowników i grup portalu Office 365. Z listy kont uprzywilejowanych wybieramy to, dla którego
chcemy włączyć dodatkowe mechanizmy uwierzytelniania.
W trakcie pierwszego logowania użytkownika do usługi, system poprosi o wskazanie numeru telefonu
oraz wybór dodatkowej formy autoryzacji. Do wyboru mamy: kod SMS, przychodząca rozmowa telefoniczna oraz aplikacja na smartfon. Po przejściu tego etapu, status konta użytkownika zmieni się z włączone na wymuszone. Od tego momentu, dwustopniowe uwierzytelnienie w usłudze jest obligatoryjne.
10.
eSeminarium:
firmowego z Chmurą
Mechanizm wielostopniowej autoryzacji wykorzystamy również do zabezpieczania dostępu w stron
i aplikacji internetowych. Przykładem mogą być zdobywające coraz większą popularność serwisy
z grami online, w których gracze zostawiają pokaźne sumy pieniędzy. Wprowadzenie dodatkowej
formy uwierzytelniania wprowadza nową jakość w świadczeniu usług i bezapelacyjnie zwiększa
zaufanie do operatora strony.
Scenariusz 3.
Szyfrowanie
i zarządzanie
dostępem do
informacji
W obecnych czasach informacja, z jednej strony jest towarem,
a z drugiej czynnikiem, który wpływa na konkurencyjność przedsiębiorstw na rynku. Pewne informacje często nie mogą wyjść poza firmę, zbyt szybko lub wcale. Przedsiębiorstwa, których infrastruktura
opiera się zarówno na zasobach lokalnych jak i tych zlokalizowanych w chmurze muszą mieć rozwiązania, które zapewnią ochronę
informacji przed nieuprawnionym ujawnieniem.
Zarządzanie prawami
dostępu AD RMS
Wdrożenie mechanizmów zarządzania dostępem do informacji w środowisku lokalnym jest długotrwałe i kosztowne. W Windows Azure wprowadzanie rozwiązań opartych o usługi Active Directory
Rights Management Services (AD RMS) zajmuje tylko chwilę.
11.
Active Directory
Rights
Management
Services
eSeminarium:
firmowego z Chmurą
AD RMS zarządza uprawnieniami do plików i dokumentów. Usługa
sprawdza, czy użytkownik może mieć dostęp do wskazanego obiektu,
a jeśli tak to na jakich zasadach. AD RMS zabezpiecza pliki także wtedy, gdy opuszczają one środowisko korporacyjne. Nie tracimy kontroli
nad obiektem, nawet wtedy gdy przekażemy go koledze na nośniku
wymiennym lub wyślemy współpracownikowi pocztą e-mail.
Chroniony plik może być dokumentem Word, Excel, PowerPoint lub wiadomością e-mail. Jeśli zażądamy ochrony danego obiektu, serwer AD RMS wstrzykuje do środka pliku kawałek kodu zabezpieczającego. Na tym etapie właściciel pliku określa zakres jego ochrony. Może on zakazać kopiowania jego treści, drukowania, oraz otwierania przez osoby nieuprawnione.
W trakcie próby otwarcia zabezpieczonego dokumentu aplikacja odpytuje usługę AD RMS czy mamy
do niego prawa dostępu, a jeśli tak, to jakie. W przypadku rozwiązań uruchomionych w chmurze
Windows Azure dostęp do serwera AD RMS możliwy jest z dowolnego komputera na całym świecie.
Ochrona
informacji
Administrator może zdefiniować reguły filtrowania treści. Przykładem może być tutaj poczta korporacyjna na serwerze Exchange.
Jeżeli w treści lub załączniku do maila znajdą się wrażliwe informacje, usługa AD RMS może wymusić zaszyfrowanie korespondencji
lub zablokować możliwość przesyłania dokumentów dalej.
Microsoft udostępnia narzędzia, które umożliwiają wprowadzanie ograniczeń związanych z ochroną
informacji automatycznie, bez interakcji z użytkownikiem. Mechanizm Data Lost Prevention (DLP)
stosowany jest na serwerach Exchange, podczas gdy do zabezpieczania zasobów na platformie
SharePoint stosuje się narzędzia Information Rights Management (IRM). W zależności od konfiguracji filtrów, system może wymusić zaszyfrowanie dokumentu w trakcie zapisywania go na witrynie
czy też wysyłania w treści lub w formie załącznika do wiadomości e-mail.
Mechanizm IRM w SharePoint umożliwia publikowanie chronionych treści w witrynach SharePoint’a, bez konieczności pamiętania o tym, aby wskazane informacje zostały zaszyfrowane. Jeśli
chcemy dać komuś dokument w wersji nieedytowalnej, zazwyczaj tworzymy plik PDF. Mechanizm
IRM pozwala umieścić w witrynie SharePoint dokument Worda, którego dzięki nałożonym ograniczeniom, nikt nie będzie mógł zmodyfikować, ani skopiować. Dzięki temu to usługa uruchomiona na
serwerze, a nie użytkownik pilnuje uprawnień do obiektów i danych.
12.
Wdrażanie
AD RMS
eSeminarium:
firmowego z Chmurą
Najprostszą metodą wprowadzenia mechanizmów zabezpieczeń
w organizacji jest uruchomienie serwera AD RMS w chmurze
Windows Azure.
Wdrożenie podstawowych funkcjonalności AD RMS w chmurze Windows Azure i powiązanie ich
z usługami Office 365 jest proste i szybkie. W ustawieniach Office 365 przechodzimy na zakładkę
Zarządzanie prawami, po czym klikamy Zarządzaj. Wszystko, co należy zrobić to włączyć usługę zarządzania dostępem do informacji. Kolejny krok to zdefiniowanie warunków filtrowania. Do dyspozycji mamy trzy predefiniowane profile (szablony) m.in. dokument poufny oraz tylko do odczytu.
W panelu Exchange znajdziemy zakładkę Ochrona przed utratą danych, która umożliwia stosowanie
gotowych wzorców zabezpieczeń lub skonstruowanie własnych reguł filtrowania np. takich, które
będą wyszukiwać numery kart kredytowych w treści wysyłanej przez pracowników korespondencji.
Na tym etapie definiujemy akcję, która zostanie podjęta, jeśli warunek filtrowania zostanie spełniony. Do dyspozycji mamy cały wachlarz akcji – blokowanie, szyfrowanie, odrzucanie. Możemy również
przyjąć postawę pasywną, rejestrując jedynie informację o zdarzeniu lub powiadamiając użytkownika, za pomocą komunikatu z ostrzeżeniem.
Wprowadzenie mechanizmów zarządzania dostępem do informacji nie ogranicza stosowania innych
zabezpieczeń poczty np. szyfrowania i podpisywania wiadomości w standardzie. Z uwagi na funkcje
integracji ze środowiskiem Active Directory, istnieje możliwość wykorzystania korporacyjnego certyfikatu cyfrowego dla usług uruchamianych w środowisku lokalnym i chmurze.
Przykład
z Excelem
i Wordem
Wyobraźmy sobie sytuację, w której ktoś, wykorzystując mechanizmy AD RMS zabezpieczył arkusz kalkulacyjny Excel, a ktoś inny
skopiował ten dokument i wyniósł poza firmę. Usługa AD RMS
pilnuje tego, aby nikt nieuprawniony nie miał możliwości otwarcia
pliku. Arkusz, być może zawierający poufne dane, jest nieużyteczny,
jeśli znajduje się poza kontrolą użytkownika i infrastrukturą przedsiębiorstwa. AD RMS pełni rolę strażnika, który w trakcie próby
uzyskania dostępu do dokumentu nadaje użytkownikowi uprawnienia do jego otwierania, kopiowania, drukowania, itd.
W drugim przykładzie spróbujemy pokazać, jak zapewnić ochronę dokumentu Word, który zawiera
poufne informacje. W tym celu z menu Plik wybieramy Ochrona dokumentu, a następnie wskazujemy pożądany poziom ochrony. Pierwszy poziom to dostęp nieograniczony. Każda osoba, będąca
członkiem organizacji, ma swobodny dostęp do dokumentu i może zrobić z nim wszystko. Dokument
poufny to taki, który jest przeznaczony do ściśle określonej osoby lub grupy osób. Z kolei plik z polisą
„Tylko widok poufny” może być przeglądany przez wyznaczone osoby, bez możliwości jego dalszego
przetwarzania. Ten poziom ochrony stosuje się dla dokumentów, które powinny pozostać tajne np.
nowa strategia marketingowa firmy. Ten model zabezpieczeń używany jest również do przesyłania
plików zawierających informacje, które nie powinny na tym etapie ujrzeć światła dziennego.
13.
eSeminarium:
firmowego z Chmurą
W przypadku odebrania chronionej wiadomości, w programie Outlook oraz aplikacji webowej Outlook Web Access (OWA), nie zostaną wyświetlone przyciski takie jak Odpowiedz i Prześlij dalej. Nie
będzie również można skopiować treści korespondencji.
Monitorowanie
środowiska IT
Filtry mogą jedynie zbierać informacje, o potencjalnych próbach naruszenia ochrony danych. Taki filtr, mimo że wyłączony, nadal działa. Nie podejmuje żadnej akcji, nie blokuje korespondencji e-mail,
ani jej nie szyfruje. Jednocześnie administratorzy widzą działania
innych pracowników.
Przykład firmy Integrity Solutions pokazuje, że filtr zdefiniowany zaledwie dwa dni wcześniej, wykrył i zarejestrował aż cztery próby przesłania wiadomości e-mail, w których treści zawarto słowo
PESEL. Pokazuje to, że ludzie nierzadko postępują irracjonalnie, wysyłając w niezaszyfrowanej
formie, wrażliwe informacje, choćby takie jak numery kart kredytowych.
Unifikacja
środowiska IT
Mechanizmy DLP i AD RMS działają również na urządzeniach mobilnych. Z obserwacji specjalistów wynika, że smartfon z Windows
Phone w pełni współpracuje z zabezpieczeniami AD RMS, czego
nie można powiedzieć o urządzeniu, na którym zainstalowano inny
system operacyjny.
Z tego względu ważne jest, aby wszystkie używane urządzenia (laptopy, tablety, smarfony) działały
pod kontrolą tego samego oprogramowania. Tylko wówczas są przewidywalne i podobnie się zachowują. W przypadku rozwiązań dostarczanych przez różnych producentów, podstawowe funkcjonalności co prawda działają, ale te bardziej zaawansowane wymagają dodatkowej integracji.
Podsumowanie
14.
Na eSeminarium zaprezentowano trzy technologie firmy Microsoft – Office 365, Windows Azure z mechanizmami VPN oraz Active
Directory Rights Mamangement Services (AD RMS). Omówiono
trzy praktyczne scenariusze wdrożeń: budowę infrastruktury
hybrydowej, która zapewnia ciągłość działania przedsiębiorstwa
nawet w przypadku awarii łączy internetowych, mechanizmy wielostopniowej autoryzacji dla kont uprzywilejowanych na przykładzie logowania do usługi Office 365 oraz narzędzia do zarządzania
ochroną informacji z wykorzystaniem usług DLP oraz AD RMS.

microsoft public cloud

Transkrypt

Podobne dokumenty

Monitoring mediów

„Pogoda w chmurach, chmury nad pogodą”

Cennik produktów przedstawiono w tabeli. Licencja użytkowania

treścią artykułu

Sekretariat w chmurze E-Office Sekretariat

Microsoft dla edukacji – Klaudyna Stachoń

Praca „w chmurze” Temat 4. Zasady bezpieczeństwa pracy w chmurze

„Chmury nad e-biznesem”, http://infotrendy.eu/psi2014/o

Pobierz kartę zgłoszenia - Centrum Kształcenia Ustawicznego w