Integrator nr III/2014 (128)
Transkrypt
Integrator nr III/2014 (128)
Integrujemy przyszłość® ISSN 1233–4944 Biuletyn Informacyjny SOLIDEX® Nr III/2014 (128) 20 lat Integratora® czytaj str. 4 W numerze między innymi: WYDARZENIA: PORZĄDEK w SIECI – jesień 2014 NOWOŚCI: Sandboxing w wykonaniu Check Point TECHNOLOGIE: Anteny Cisco dla sieci bezprzewodowych ROZWIĄZANIA: Cisco TelePresence - seria SX www.integrator.SOLIDEX.com.pl Gold Certified Partner Cisco Learning Specialized Partner Platinum Partner Collaborative Certified Support Provider Platinum Partner J-Partner Elite Gold Partner Elite Partner Numer: III/2014 (128) Szanowni Państwo, Z przyjemnością przedstawiamy Państwu trzeci w tym roku numer naszego firmowego biuletynu informacyjnego INTEGRATOR. Właśnie tej jesieni mija 20 lat od wydania pierwszego numeru INTEGRATORA, który od początku miał za zadanie dostarczać czytelnikom rzetelnej wiedzy i informacji na temat ciekawych zagadnień z zakresu nowych technologii teleinformatycznych. Nasz kwartalnik redagowany jest przez Zespół SOLIDEX i trafia do grupy kilku tysięcy profesjonalistów IT. W bieżącym numerze INTEGRATORA znajdą Państwo wiele artykułów poświęconych rozwiązaniom z oferty naszych partnerów technologicznych takich jak: Check Point, F5, Cisco i EMC oraz omówione zostanie zagadnienie z dziedziny bezpieczeństwa dotyczące biblioteki OpenSSL. Zachęcamy również do przeczytania artykułu na temat jubileuszu 20-lecia INTEGRATORA oraz tekstu o kolejnej jesiennej akcji „Porządek w Sieci 2014”, na którą serdecznie Państwa zapraszamy. Mamy nadzieję, że prezentowane w tym numerze tematy spotkają się z Państwa zainteresowaniem, a tych z Państwa, którzy zainteresowani są prenumeratą zapraszamy do zapoznania się z naszym serwisem www.integrator.SOLIDEX.com.pl. Życzymy przyjemnej lektury Zespół SOLIDEX Spis treści WYDARZENIA 1994 – 2014: 20 lat Integratora ® PORZĄDEK w SIECI – jesień 2014 4 5 NOWOŚCI 7 12 Sandboxing w wykonaniu Check Point F5 Synthesis – aplikacje bez ograniczeń TECHNOLOGIE 16 21 Chmura obliczeniowa bez tajemnic Anteny Cisco dla sieci bezprzewodowych ROZWIĄZANIA 25 30 33 37 Cisco Virtual Wireless LAN Controller – instalacja i wstępna konfiguracja Heartbleed – sprawdź czy jesteś bezpieczny Cisco TelePresence – seria SX EMC Data Domain – macierz zabezpieczająca z wykorzystaniem techniki deduplikacji Biuletyn Informacyjny SOLIDEX® WYDARZENIA 1994 – 2014: 20 lat Integratora® Kiedy 20 lat temu, jesienią 1994 roku został wydany pierwszy numer naszego biuletynu Integrator, SOLIDEX był niewielką 25 osobową firmą, a mało kto wiedział o istnieniu internetu. Od początku SOLIDEX stawiał sobie za zadanie szerzenie wiedzy i dostarczanie swoim Klientom najlepszych rozwiązań teleinformatycznych dla rozwoju rozwiązań internetowych. Aby na bieżąco informować naszych czytelników o najnowszych urządzeniach i technologiach nasi inżynierowie, doskonali praktycy, mający za sobą doświadczenie w projektowaniu, wdrażaniu i utrzymywaniu rozwiązań liderów branży IT, zaczęli dzielić się swoim doświadczeniem publikując interesujące ar tykuły dotyczące również problematyki Internetu. Aż trudno uwierzyć, że świat Internetu tak wszechobecny w dzisiejszych czasach i ogarniający każdą dziedzinę życia, jeszcze dwie dekady temu powoli wychodził poza mury uczelni. Wtedy też, zaczynały powstawać pierwsze polskie strony internetowe a wśród nich www.SOLIDEX.com.pl. Sukcesem Internetu stała się standaryzacja technologii, otwartość dostępu 4 do sieci oraz wielu użytkowników, którzy nie tylko korzystają z informacji oferowanym im przez wirtualny świat, ale również sami stają się twórcami jego zawartości. Ostanie 20 lat to również burzliwy rozwój technologii. Nieustannie zasypywani jesteśmy nowinkami producentów sprzętu i oprogramowania, nowymi rozwiązaniami telekomunikacyjnymi i wirtualnymi produktami, które mają zaspokajać coraz to bardziej rozbudzone potrzeby konsumenta. Wiele z tych nowości są jednak wprowadzanymi na nowo, odmłodzonymi podejściami, które już od wielu lat spełniają nasze oczekiwania. Nie ma jednak wątpliwości, że współczesny świat jeszcze nie raz nas zaskoczy, a my staniemy się świadkami, a zarazem i uczestnikami Integrujemy przyszłość® tworzenia historii. Rewolucja technologiczna i teleinformatyczna czyli po prostu rewolucja internetowa, to nie chwilowa moda, ale wyzwanie które stawia przed nami coraz to większe wymagania. Aby nasi Czytelnicy nie byli w tej drodze osamotnieni, od momentu projektowania przez etap realizacji, wdrażanie i eksploatację wybranych przez siebie rozwiązań, mogą liczyć na pomoc naszych SOLIDnych EXpertów. Bardzo dziękujemy naszym wiernym Czytelnikom, którzy od 20 lat zgłębiają z nami tajniki rozwiązań IT. Mamy również nadzieję, że kolejne numery Integratora spełnią Państwa oczekiwania i zainteresują swymi fachowymi artykułami. Zespół SOLIDEX Numer: III/2014 (128) PORZĄDEK w SIECI – jesień 2014 „Sztuka Powietrznej Integracji” Organizowane przez SOLIDEX seminarium edukacyjno-promocyjne „Porządek w Sieci” stało się obowiązkowym punktem w kalendarzu każdego pasjonata i eksperta w dziedzinie infrastruktury IT. Z tego powodu mamy przyjemność poinformować o kolejnej jesiennej edycji naszych spotkań, na której grupa SOLIDnych Expertów zaprezentuje najnowsze rozwiązania oraz trendy w budowie niezawodnej i bezpiecznej infrastruktury IT. Państwu o możliwościach każdego z rozwiązań. Poruszane tematy, uzupełnione pokazami praktycznymi, tym razem będą skupiać się na integracji sieci bezprzewodowych z systemami bezpieczeństwa. Nasze laboratorium demonstracyjne stanowić będzie gotowy przepis na niezawodną oraz Jesienią 2014 będzie miała miejsce bezpieczną sieć bezprzewodową. kolejna, już czwarta seria spotkań Z aprezentowane zost aną nast ę w ramach akcji „Porządek w Sieci”. pujące tematy: Seminaria prowadzone będą w lekko • Ochrona użytkowników i infrazmienionej formie. Tym razem przed- struktury prywatnej sieci WiFi. stawione zostaną trzy prezentacje Nieustanna ewolucja charakteryzamiast czterech. Natomiast na każdą styki pracy użytkowników zorienz nich będzie przeznaczone więcej czasu, towanych na urządzenia mobilne tak by nasi inżynierowie w większych generuje coraz większe wymagania szc zegó łach mogli opowiedzieć dla ł ąc zno ś c i bezpr zewodowej. Podczas poprzedniej, trzeciej już akcji „Porządek w Sieci”, która odbyła się na wiosnę 2014 roku w głównej mierze przedstawione zostało jak efektywnie realizować zarządzanie w swojej sieci oraz w jaki sposób umocnić swoją architekturę bezpieczeństwa. Biuletyn Informacyjny SOLIDEX® Dzisiaj sieć WiFi nie jest już tylko wykorzystywana do zapewnienia podstawowej łączności z Internetem, ale również jako platforma do dostarczania usług mobilnych. Chcąc sprostać tym wymaganiom, Cisco udostępniło produkt Mobility Services Engine (MSE), dzięki któremu inżynierowie IT mogą zwiększyć widoczność oraz bezpieczeństwo infrastruktury sieciowej. Wykorzystując usługę wIPS (Wireless Int r u sion P r event ion S ys t em) jesteśmy w stanie chronić się przed szkodliwymi urządzeniami bezprzewodowymi destabilizującymi pracę infrastruktury oraz atakami skierowanymi bezpośrednio na sieć WiFi. 5 WYDARZENIA C isco MSE to t ak że możliwoś ć agregacji kluczowych informacji o stanie sieci WiFi oraz urządzeniach w niej pracujących. • Skuteczne zarządzanie infras t r uk t ur ą z a b e z pie c z e ń s ie c i bezprzewodowych Wraz z rosnąc ą lic zbą urządzeń bezprzewodowych, podsieci oraz realizowanych usług mobilnych rośnie liczba reguł i polityk w każdym systemie zabezpieczeń. Zarządzanie odpowiednim poziomem protekcji u ż yt kowników kor z ys t ają c yc h z sieci bezprzewodowej staje się poważnym wyzwaniem dla każdego działu IT. Istotnymi aspektem staje się odpowiednia kontrola dostępu do zasobów oraz aplikacji mobilnych. Na przykładzie systemu zabezpieczeń zbudowanego w oparciu o technologię firmy Check Point zaprezentujemy jak skutecznie chronić użytkowników sieci bezprzewodowej przed współczesnymi zagrożeniami oraz jak w łatwy sposób zarządzać politykami bezpieczeństwa z poziomu pojedynczej konsoli. • B e z pie c z ne i nie z awodne udostępnianie aplikacji dla użytkowników mobilnych. Wraz z nieustanie rosnącą popularnością aplikacji mobilnych lawinowo wzrasta liczba zadań stawianych przez każdą organizacją. Istotnym elementem wpływającym za złożoność problemu jest potrzeba niezawodnego i bezpiecznego dostępu każdemu użytkownikowi niezależnie od miejsca w którym się znajduje Nowym wyzwaniem staje się dostarczanie takich aplikacji 24 godziny na dobę. Rozwiązaniem gwarantującym wysoką dostępność oraz niezawodność usług jest wykorzystanie technik optymalizacji ruchu sie c iowego p opr ze z int eg r ac j ę systemów z rozwiązaniami firmy F5 Networks. 6 Spotkania na które mamy przyjemność Serdecznie zapraszamy do zgłaszania Państwa zaprosić w tej edycji odbędą udziału już dzisiaj. Rejestracja oraz się w miastach siedzib naszych wszelkie informacje organizacyjne oddziałów t.j. w: Gdańsku, Poznaniu, - zarówno o bieżących oraz o archiWrocławiu, Warszawie i oczywiście walnych edycjach akcji - dostępne są w centrali w Krakowie. na www.porzadek.SOLIDEX.com.pl … z poprzedniej wiosennej edycji Wiosną 2014 roku zaprezentowane zostały infrastrukturą sieciową zbudowaną cztery wykłady uzupełnianie pokazami w oparciu o rozwiązania wielu różnych „na żywo”, podczas których przedsta- producentów. wione były najważniejsze oraz najcie- • Websense TRITON – bezpieczeństwo kawsze możliwości każdego z rozwiązań. na styku z Internetem. Ten wykład skupiał Omawianymi technologiami były: uwagę uczestników na nowe oraz szybko • Juniper JSA (SIEM) – wykrywanie ewoluujące zagrożenia pochodzące z sieci zagrożeń przy pomocy korelacji zdarzeń. Internet. Zaprezentowane zostały narzę- Podczas tego pokazu wprowadzone zostało dzia i mechanizmy będące odpowiedzią pojęcie „Inteligencji bezpieczeństwa”, firmy Websense na te niebezpieczeństwa. a całość prezentacji stanowiła próbę udo- • Cisco Prime – zarządzanie, monitoring wodnienia na przykładzie rozwiązania firmy oraz śledzenie zmian w sieci. Ostatnia Juniper, że systemy klasy SIEM są jednym z wiosennych prezentacji miała na celu z jej obowiązkowych elementów. przybliżenie rozwiązania, które znacznie • Infoblox NetMRI – metody zarządza- ułatwia życie każdego administratora nia sieciami wielu dostawców. Druga urządzeń sieciowych firmy Cisco. Podczas z prezentacji uzupełniała grono kompo- pokazu „na żywo” zaprezentowane zostały nentów wspomnianej „Inteligenc ji najważniejsze cechy systemu, jak centralne bezpieczeństwa” o zunifikowany system, zarządzanie oraz możliwość pobrania oraz dzięki któremu w sposób łatwy i efek- instalacji nowej wersji oprogramowania tywny możliwe jest pełne zarządzanie z poziomu platformy Prime. Zespół SOLIDEX Integrujemy przyszłość® Numer: III/2014 (128) Sandboxing w wykonaniu Check Point Nieustanna walka między cyberprzestępcami a nowymi systemami zabezpieczeń z dnia na dzień przechodzi na coraz wyższy poziom. Efekty pracy jednej ze stron są motorem napędowym rozwoju drugiej. Pojawienie się zagrożeń typu zero-day, które wykorzystują podatności różnego rodzaju oprogramowania zaczęło stanowić ogromny problem zarówno dla inżynierów bezpieczeństwa, jak i samych klientów będących ofiarami takich ataków. Przewaga czasowa hakerów oraz brak sygnatur opisujących dany atak sprawiał, że świat był bezbronny w obliczu nowego niebezpieczeństwa. Na ratunek przyszła technologia sandboxing’u, która zostanie scharakteryzowana w tym artykule na przykładzie rozwiązania Check Point Threat Emulation. Czym jest atak typu zero-day? ataku wymierzonego w klientów konkretnej aplikacji i instalacji złośliwego Atak typu zero-day jest jednym z najgroź- oprogramowania tym kanałem komuniniejszych ataków, z którymi przychodzi kacyjnym. Nazwa tego typu zagrożenia zmierzyć się użytkownikom współ- pochodzi od stanu w jakim programiści czesnego Internetu. Genezą ataku się znajdują w momencie przeprowajest wykrycie wcześniej nieznanej dzenia ataku, gdyż mają dokładnie luki w oprogramowaniu. Informacje zero dni na wprowadzenie poprawek o nieznanych deweloperom danej w kodzie źródłowym i wydaniu patcha aplikacji podatnościach są znajdowane usuwającego wykorzystywane błędy bezpośrednio przez atakujących lub w programie. Do liderów pod względem są przedmiotem handlu na czarnym rynku. ilości kompromitacji z pewnością zaliczyć Cyberprzestępcy wykorzystują te dane można aplikacje Java, Internet Explorer do przeprowadzenia zaawansowanego oraz Adobe Reader. Biuletyn Informacyjny SOLIDEX® Rozwiązanie problemu Odpowiedzią inżynierów bezpieczeństwa IT na ataki zero-day jest technologia nazywana powszechnie jako Sandbox . Mechanizm ten używany jest do realizacji testów nieznanego lub niezaufanego kodu w celu weryfikacji czy dany plik nie posiada znamion złośliwego oprogramowania. Proces ten jest niezwykle prosty – „podejrzany” plik zostaje zwyczajnie uruchomiony. Pomysł byłby absurdalny gdyby nie fakt, 7 NOWOŚCI Rys. 1. Threat Intelligence & Incident Response: dane z organizacji amerykańskich i europejskich, Luty 2014 że testy na podejrzanym elemencie przeprowadzane są w specjalnie przygotowanym do tego celu środowisku. Właśnie tam monitorowane są w czasie rzeczywistym wszelkie zachowania oprogramowania, przeprowadzane zmiany na urządzeniu oraz podejmowana jest decyzja, czy analizowany plik stanowi zagrożenie czy był to jedynie tak zwany false positive. Check Point ThreatCloud W 2012 firma Check Point wprowadziła us ł ugę T hreatC loud. Jest to jedna z pierwszych rozległych infrastruktur bezpieczeństwa, której głównym celem jest walka z cyberprzestępczością. ThreatCloud jest zaawansowaną usługą zorientowaną na chmurę, która dostarcza modułom klasy Threat Prevention najnowsze aktualizacje bazy znanych zagrożeń, 8 podatności, ataków oraz wiele więcej. Dzięki integracji bladów z serii Threat Prevention razem z usługami oferowanymi przez ThreatCloud można niskim kosztem osiągnąć niezwykle skutec zną inteligencję systemu bezpieczeństwa. Całość architektury T hreatC loud składa się z trzech komponentów: • ThreatCloud Emulation Service – zapewnia wysoki stopień ochrony przed nieznanymi zagrożeniami, atakami typu zero-day oraz atakami wymierzonymi bezpośrednio w daną organizację lub grupę użytkowników. Jest to innowacyjne rozwiązanie, które realizuje inspekcję podejrzanych plików w środowisku wirtualnym. Zidentyfikowane złośliwe oprogramowanie jest blokowane przed dostaniem się do sieci wewnętrznej. • ThreatCloud Incident Response Service – usługa oferująca pomoc Integrujemy przyszłość® ekspertów Check Point w sytuacji wystąpienia ataku. Zakres usług uwzględnia usunięcie zagrożenia, działania mające na celu minimalizację strat oraz przywrócenie poprawnej pracy systemu. Całość prac sfinalizowana jest szczegółowym raportem. • ThreatCloud Managed Security Service – usługa oferująca monitorowanie stanu infrastruktury teleinformatycznej oraz systemów bezpieczeństwa. Prace wykonywane są przez ekspertów Check Point 24 godziny na dobę przez 7 dni w tygodniu. Check Point Threat Emulation Od niedawna, wraz z wprowadzeniem wersji oprogramowania R77, rodzina software blade w kategorii Threat P revention posiada dodatkowy komponent. Do grona funkcjonalności Numer: III/2014 (128) Emulation niezbędny komponent systemu bezpieczeństwa w sytuacji, gdy konieczne jest zabezpieczenie przeciwko atakom typu zero-day. Schemat działania modułu Threat Emulation w sposób idealny przedst awia grafika zaprezentowana na rysunku 2 . Proces przewiduje pracę czteroetapową. Szczegółowy opis każdej z faz opisany został w następnych punktach. Identyfikacja pliku P ier ws z ym e t ap em na dr o d z e skutecznego działania jest odpowiednia identyfikacja pliku. Dokument lub plik oznaczony przez silnik Check Point jako podejrzany zostaje natychmias t sk ier owany do sys t emu Sandbox. Klasyfikacja pliku odbywa się przed dopuszczeniem go do sieci Rys. 2. Proces realizowany przez Threat Emulation. wewnętrznej, którą chroni firewall takich jak: AntiVirus oraz AntiBot komplek sową . Obec nie rozwią - Check Point. Skanowanie w poszudo s z e d ł mo du ł z wa ny T hr e at zania Check Point oprócz protekcji kiwaniu złośliwych elementów Emulation. Stanowi on uzupełnienie przeciwko znanym i sklasyfikowanym odbywa się na drodze komunikacyjnej systemu zabezpieczeń przeciwko zagrożeniom mogą również zabez- poczty elektronicznej lub w sesjach zagrożeniom typu malware, dzięki pieczyć chronioną infrastrukturę webowych. W przypadku analizy czemu ochrona zapewniana przez IT przeciwko temu, co jeszcze jest danych przesyłanych przez email systemy Check Point stała się ochroną nieznane. Wszystko to czyni z Threat skanowaniu podlegają same załączniki. Obsługiwanymi protokołami dla badania zawartości korespondencji mailowej są SMTP oraz TLS. Protokół TLS jest wspierany w wykorzystaniu urządzenia Check Point w topologii jako MTA (Message Transport Agent) lub instalacji dedykowanego agenta na serwerze Exchange. Druga opcja pozwala na korzystanie z usługi Threat Emulation klientom, którzy nie posiadają infrastruktury Check Point. W przypadku komunikacji webowej wspierane protokoły to HT TP oraz HT TP S. W tym wariancie skanowaniu podlegają pliki pobierane przez użytkowników sieci wewnętrznej. Typy plików, które podlegają analizie to najc zę ś ciej wykorzystywane formaty do przenoszenia złośliwego Rys. 3. Typy plików podlegające skanowaniu przez Threat Emulation. opr og ramowania . Z alic z ają się Biuletyn Informacyjny SOLIDEX® 9 NOWOŚCI operuje zegarami systemowi stwarzając iluzję upłynięcia odpowiedniej porcji czasu. W następnym kroku zebrane podczas analizy informacje stanowią dane wejściowe dla zaawansowanego algorytmu, który podejmuje decyzję Emulacja czy dany plik zawiera w sobie złośliwe oprogramowanie, czy też nie. Po zakońKolejnym i wręcz najważniejszym czeniu emulacji i prac z nią stowarzyetapem pracy Threat Emulation jest uruchomienie przesłanego pliku Podczas wykonywania pliku rozwią- szonych badana porcja danych zostaje w środowisku wirtualnym. Komuni- zanie Check Point monitoruje jego usunięta z pamięci chmury. kacja między naszym Gateway’em, aktywność w celu wykrycia znamion a rozproszoną usługą Check Point malwaru. System buduje sobie profil Ochrona przed wykrytym w chmurze jest zaszyfrowana kluczem zachowania w celu odpowiedniego zagrożeniem publicznym. Producent zapewnił oflagowania jakichkolwiek wykrytych w ten sposób poufność przesyłanych anomalii. Threat Emulation zwraca Unikatową cechą wyróż niając ą danych. T hreatC loud wykonuje jednak szczególną uwagę na kilka akcji Threat Emulation na tle konkurendeszyfrację przesłanego strumienia stowarzyszonych z pracą otrzymanego cyjnych rozwiązań klasy Sandbox jest danych kluczem prywatnym, po czym pliku. Sprawdzane są zmiany w plikach możliwość zablokowania wykrytego przechodzi do właściwej emulacji systemowych, zmiany w rejestrach przez Check Point złośliwego oprograsystemu operacyjnego, nawiązywane mowania na samym Gateway’u. podejrzanych danych. Uruchomienie pliku odbywa się połączenia sieciowe oraz uruchamiane Wstrzymanie dostarczenia pliku w specjalnie wydzielonym do tych procesy. Wykazanie jakiejkolwiek na czas przeprowadzanych badań celów środowisku sandboxowym. anomalii na wymienionych płaszczy- w środowisku wirtualnym jest możliwe W tym momencie system Check znach jest następnie dogłębnie anali- w następujących konfiguracjach: Point dokonuje inspekcji zachowania zowane. W sytuacji, gdy potencjalny • Dla komunikacji webowej, gdy badanego pliku w kontekście pracy malware znajdujący się na skano- system wdrożony jest w architekturze na różnych systemach operacyjnych wanym pliku posiada zabezpieczenie in-line. w kombinacji z zainstalowanymi czasowe przed natychmiastowym • Dla skanowania załączników, gdy różnymi wersjami oprogramowania wykryciem – uruchamia się po jakimś wykorzystywana jest topologia MTA Microsoft Office i Adobe. Obecnie czasie. Sandbox firmy Check Point na Security Gateway’u. • Dla skanowania załąc zników, gdy wykorzystywany jest agent na serwerze Exchange. Według oficjalnych danych producenta czas potrzebny na przeprowadzenie pełnej emulacji wynosi od 60 do 70 sekund. do nich pliki wykonywalne (exe), pliki archiwalne (zip) oraz dokumenty Microsoft Office (Word, Excel, PowerPoint) i Adobe PDF. obsługiwanymi przez Threat Emulation wersjami są: • Microsoft Windows XP, • Microsoft Windows 7, • Microsoft Windows 8, • Microsoft Office 2003, 2007 (planowane wsparcie dla MS Office 2010), • Adobe Reader 9. Aktualizacja bazy o nowe zagrożenie Rys. 4. Przykładowy raport wygenerowany przez Threat Emulation. 10 Integrujemy przyszłość® W sytuacji, gdy Threat Emulation wykrył nowe zagrożenie lub nową podatnością dokonywana jest natychmiastowa zbiorowa aktualizacja. Realizowana jest ona poprzez usługę chmurową ThreatCloud i zebrane dane są propagowane do wszystkich klientów tej usługi. W skład aktualizacji Numer: III/2014 (128) wchodzi zestaw informacji na temat nowo zidentyfikowanego zagrożenia. Przesłane dane zawierają skrót MD5 zainfekowanego pliku, SHA1 oraz całościowy raport opisujący zachowanie wykrytego złośliwego oprogramowania (uruchamiane procesy, stworzone pliki, zmiany w rejestrze oraz nawiązywane zdalne sesje). wirtualnego Sandboxa na znajdującym się lokalnie dedykowanym do tego celu urządzeniu Check Point. Podsumowanie Obecnie rynek rozwią zań klasy Sandbox doświadcza ogromnego roz woju . Spowodowane jest to w głównej mierze wymaganiami Scenariusze wdrożenia rynku na kompleksowy system zabezpieczeń chroniący zarówno przed Kolejną cechą unikatową rozwiązania znanymi zagrożeniami, jak i nowymi, jest pewna elastyczność we wdrożeniu nierozpoznanymi jeszcze atakami typu rozwiązania klasy Sandbox. Domyślną zero-day. System Threat Emulation oraz rekomendowaną przez produ- oferowany przez firmę Check Point centa formą korzystania z Threat stanowi zaawansowane narzędzie, Emulation jest usługa w chmurze. dzięki któremu poziom protekcji Jest ona zdecydowanie efektywniejsza zostaje znacznie podniesiony. Rozwiąkosztowo oraz cały proces przetwa- zanie wyróżnia się na tle konkurencji rzania nie absorbuje w żadnym stopniu kilkoma znaczącymi cechami. Pierwszą wewnętrznych zasobów organizacji. jest unikatowa funkcjonalność zabloJednak dla grona klientów sceptycznie kowania złośliwego oprogramowania podchodzących do oferty chmury przed dostaniem się do sieci firmowej. public znej C heck Point pr zygo - Drugą natomiast jest elastyczność tował alternatywę w postaci tak wdrożenia, która zapewniona jest zwanej chmury prywatnej. Pozwala poprzez implementację Sandboxingu to na skonfigurowanie własnego w dwóch wariantach – publicznej lub prywatnej chmury. Threat Emulation jest modułem relatywnie nowym i obecnie jest on silnie rozwijany przez firmę Check Point. Mamy nadzieję, że niniejszy artykuł przyczynił się do zwiększenia świadomości na temat rozwiązań tej klasy oraz zwrócił oczy czytelników na konieczność sprostania nowoczesnym zagrożeniom, z którymi przychodzi nam się zmierzyć. M.M. Rys. 5. Możliwe scenariusze wdrożenia Threat Emulation. Biuletyn Informacyjny SOLIDEX® 11 NOWOŚCI F5 Synthesis – aplikacje bez ograniczeń Aplikacje są siłą napędową każdego biznesu. By opracować je w odpowiedni sposób należy poświecić dużo czasu i pieniędzy. Jednakże zmiany w trendach technologicznych sprawiają, że osiągniecie tego prostego celu staje się coraz trudniejsze. Aby sobie to uświadomić należy zwróc ić uwagę jak w ost atnich czasach zmienił się sposób dostępu do aplikacji. Obecnie może on być realizowany z praktycznie każdego miejsca na świecie dzięki wykorzystaniu Internetu. Jest to w dużej mierze napędzane przez zawrotny rozwój urządzeń mobilnych. Szacuje się , ż e w r ok u 2 0 1 7 ilo ś ć t yc h urządzeń przekroczy 2.9 mld. Dzięki temu 40% pracowników stanie się w pełni mobilna. Proces w jakim tworzone i dostarczane są aplikacje również ulega gwałtownym przemianom. Preferowaną platformą do rozwijania oprogramowania staje się chmura. W iele pr ze dsię bior s t w powoli wdraża podejście DevOps, które pozwala na bliż sz ą wspó ł prac ę pomiędzy twórcami a użytkownikami 12 oprogramowania. P rowadzi to do poprawienia jakości oraz prędkości rozwoju oprogramowania, co jest ogromną zaletą dla wszystkich. W kontekście tych zmian, ogrom zastosowań aplikacji jest oszałamiający. Na rok 2012 szacowało się, że było ich ponad 48 mld, z czego wiele z nich przeznaczonych jest do stosowania na telefonach. Należy również dodać, że ich wzrost nie ogranicza się tylko do konsumenta. Przedsiębiorstwa muszą obsługiwać setki, jeśli nie tysiące aplikacji. Jednak nawet te ilości wydają się nieistotne w momencie wejścia w erę „Internetu rzeczy” (Internet of Things). Biorąc pod uwagę wszystkie te zmiany, przedsiębiorstwa muszą borykać się z problemem w jaki sposób dostarczać aplikacje aby było to bezpieczne, terminowe oraz wiarygodne. Integrujemy przyszłość® Obecne ograniczenia Częścią problemu jest to, że aplikacje dostarczane są przez architektów sieciowych, którzy z zasady nie nadążają za trendami w aplikacjach. Większość infrastruktur sieciowych, które zapewniają komunikację dla aplikacji jest nadal tylko powierzchniowo do tego przystosowane. Bazują one na złożonych topologiach oraz sztywnej architekturze, która nie jest łatwo skalowalna, a także wymaga coraz bardziej wyrafinowanego doświadczenia aby ją skonfigurować oraz obsługiwać. Co więcej, na takie sieci składa się hardware i software, który często jest oddzielnie licencjonowany, co skutkuje bardzo wysokim kosztem ich utrzymania. Warstwy 4 – 7 usług aplikacji o ile istnieją, są zazwyczaj autonomiczne Numer: III/2014 (128) Synthesis składa się z trzech głównych elementów: • Wysokowydajny fabric dla usług • Inteligentne usługi zarządzania • Uproszczone modele biznesowe Wysokowydajny fabric dla usług Rys. 1. Trzy główne filary systemu F5 Synthesis. i statyczne. Brakuje im możliwości dynamicznego optymalizowania połączenia z centrum danych oraz infrastruktury sieciowej. Brakuje r ównie ż z apewnienia oc hr ony przeciwko znanym i nieznanym zagrożeniom, a także niezawodności w dostarczaniu aplikacji w chmurach publicznych i prywatnych. Pomimo ogromnego post ę pu w wir tualizacji, ewolucja infrastruktury sieciowej pozostaje w tyle. Inicjatywy takie jak SDN (Software-Defined Networking) pojawiły się by sprostać tym wyzwaniom, ale nawet one okazały się niewystarczające, ponieważ brak im było kompleksowego wsparcia dla usług aplikacji w warstwach 4 – 7. Od momentu kiedy sieć stała się kluczowa w obsłudze aplikacji, każda nowa architektura musi być w stanie sprostać wyzwaniom jednocześnie warstwy sieciowej jak i warstwy aplikacji. Powyższe ograniczenia sprawiają, że dostarczenie aplikacji w dzisiejszych czasach w sposób niezawodny, szybki i bezpiec zny jest bardzo czasochłonne i kosztowne. Skutkuje to tym, że jedynie aplikacje krytyczne dla przedsiębiorstw są zapewniane w odpowiedni sposób a pozostałe zwykle zostają w tyle. Nowy model dla usług aplikacji Konieczna wydaje się zmiana podejścia, które zorientowana jest na aplikacje a nie na urządzenie lub sieć. Nowe Wysokowydajny fabric dla usług koncentruje się na dostarczaniu usług dla wyższych warstw – Software Defined Application Services™ (SDAS). W związku z tym, fabric ten nie dąży do replikacji lub zastępowania funkcjonalności elementów warstw niższych, zamiast tego F5 Synthesis współpracuje w pełni z wszystkimi typami architektury sieciowej od tradycyjnego Ethernetu do SDN. Usł ugi dostarc zane przez fabric są elastyczne, w pełni programowalne ora z wielokont ek s t owe . Zautomatyzowana obsługa i system przydzielania zasobów są niezbędne do umożliwieniasprawnego działaniausług we wszystkich aplikacjach. F5 Synthesis zapewniaorganizacjom bezproblemowe zarządzanie, przydzielanie zasobów, skalowanie oraz bogaty zestaw usług aplikacji niezależnie od elementów infrastruktury, a także modelu wdrożenia. podejście musi dostarczać aplikacje bez ograniczeń dla kogokolwiek, gdziekolwiek i w każdej chwili, a jednocześnie ma być realizowane w sposób bezpieczny, szybki i niezawodny. Do tego, podejście to powinno być proste i łatwe w użyciu, aby pasowało do różnych modeli biznesowych. Ten nowy model usług aplikacji już istnieje. F5 Synthesis™ jest architektoniczną wizją dla dostarczania urządzeń, sieci oraz usług aplikacji bez jakichkolwiek ograniczeń. F5 Biuletyn Informacyjny SOLIDEX® W skład fabrica wchodzą elementy zarówno fizyczne jak i wirtualne, które są zorientowane na aplikacje. Mogą one być w pełni skalowalne przy użyciu technologii F5 ScaleN, a także stosowane w dowolnej kombinacji platformy sprzętowej, oprogramowania czy chmury. Fabric odpowiada w pełni potrzebom aplikacji poprzez bycie odpornym na awarie (fault-tolerant) dzięki zapewnieniu dostępności oraz przełączaniu awaryjnemu a także zdolności do klastrowania. Jest także 13 NOWOŚCI Rys. 2. Zestaw programowalnych usług dostępnych do konfiguracji dzięki Software Defined Application Services. wysoce programowalny na płaszczyznach sterowania i danych, aby zapewnić w pełni elastyczny system. Fabric dostarcza szereg usług dla aplikacji, które skupiają się na bezpieczeństwie, mobilności, wydajności oraz dostępności. Inteligentne usługi zarządzania Zautomatyzowana obsługa i system przydzielania zasobów są niezbędne do umoż liwienia sprawnego działania us ł ug we wszystk ich aplikacjach. F5 Synthesis zapewnia or g a ni z ac jom b e z pr oble m ow e zarządzanie, przydzielanie zasobów, skalowanie oraz bogaty zestaw usług aplikacji niezależnie o d e l e m e n t ó w inf r a s t r u k t u r y ( har dwar e , s of t war e , c hmur a), a także modelu wdrożenia (on-premises, prywatna/publiczna chmura, 14 hybryda). Komponent zarządzający także wspiera integrację z innymi systemami, takimi jak publiczne chmur y ISP ( A ma zon Web Services, VMware), a także narzędziami zarządzającymi ( VMware, Cisco, OpenStack) poprzez zestaw otwartych API. Dopełnieniem wykorzystania wielokontek stowości jest możliwoś ć wykorzystania jej także w nowym podejściu do zarządzania. Dzięki temu organizacje mogą zbliżyć się do „IT as a Service” bez obawy, że może wpłynąć to na stabilność i bezpieczeństwo usług fabrica. Uproszczone modele biznesowe Usługi aplikacji powinny być nie tylko łatwe w dostarczeniu, ale również łatwe do zdobycia. Jeśli chodzi o IT, wiele modeli wdrażania i zakupu już Integrujemy przyszłość® istnieje. F5 Synthesis, poprzez innowacyjne podejście do licencjonowania i praktyk sprzedażowych, został zaprojektowany aby wpierać wdrażanie elastycznych usług również w modelu hybrydowym jak i w chmurze. Korzyści F5 Synthesis dostarcza biznesowi korzyści w trzech podstawowych obszarach: szybkości usług, ryzyka operacyjnego i kosztów. Z wi ę k s z e nie pr ę dko ś c i us ł ug . Automatyzacja usług oraz zarządzanie nimi są krytyczne dla przedsiębiorstw aby realizować swoje zadania i zwiększać szybkość usług. F5 Synthesis nie tylko jest w pełni programowalne aby umoż liwić szybkie przydzielanie i zarządzanie us ł ugami, t o t ak ż e mo ż liwo ś ć dla pr ze dsię bior s t w do r oz s ze rzenie i tworzenia nowych usług. Numer: III/2014 (128) Niczym nie ograniczona możliwość programowania F5 Synthesis jest u z y s k iw a n a d z i ę k i b o g a t e mu wyp o s a ż eniu w z int eg r owa ne nar z ę d z ia i r oz wią z ania , k t óre pozwalają iść w kierunku tworzenia centrum danych zorientowanym na aplikacje, zwiększając tempo w jakim biznes może się rozwijać. Zmniejszenie ryzyka operacyjnego. Ujednolicenie platformy usług może znacząco zmniejszyć ryzyko operacyjne oraz poprawić ciągłość biznesową. F5 Synthesis pozwala przedsiębiorstwom na zcentralizowane zarządzanie i wdrażanie spójnych topologii usług aplikacji, co skutkuje zmniejszoną ilością błędów podczas wdrożeń, które stają się bardziej przewidywalne. Zmniejszenie kosztów. F5 Synthesis zapewnia wielokontek stowo ś ć , elastyczność oraz wysokowydajny fabric, który wspiera wdrożenia niezależnie od wybranego sprzętu, oprogramowania, a także technologii chmury. Pozwala t o pr zedsię bior stwom wybrać model biznesowy najlepiej Opracowano na podstawie materiałów dopasowany do każdej aplikacji, bez producenta narażania krytycznych usług aplikacji na problemy związane ze skaloM.K. walnością, bezpieczeństwem czy niezawodnością. Podsumowanie F5 Synthesis został zaprojektowany w celu rozwiązania dzisiejszych znaczących wyzwań związanych z dostarczaniem i wdrażaniem usług aplikacji. Produkt ten łączy w sobie wysokowydajny fabric, inteligentne z ar z ądz anie us ł ugami, a t ak ż e upraszcza modele biznesowe. Pozwala to osiągnąć nowe korzyści zarówno patrząc z punktu widzenia oszczędności kosztów jak i wysiłku włożonego w działanie aplikacji. Nie pozostawiając żadnej aplikacji w tyle, F5 Synthesis dostarcza istotnych korzyści dla biznesu niezależnie od wysokiego wpływu aktualnych trendów i zmian w technologii. Waszych organizacji www.SOLIDEX.com.pl Biuletyn Informacyjny SOLIDEX® 15 TECHNOLOGIE Chmura obliczeniowa bez tajemnic Chmura obliczeniowa to jedno z najbardziej nowoczesnych rozwiązań informatycznych obecnych czasów, które staje się coraz bardziej powszechną usługą, mającą szansę zastąpić tradycyjne rozwiązania udostępniania zasobów. Chmurą obliczeniową nazywamy zbiór technologii, serwisów oraz aplikacji, które w odróżnieniu od konwencjonalnych programów uruchamiane są na wirtualnych zasobach, do których dostęp uzyskiwany jest poprzez łącze z Internetem. Zasoby jakimi dysponuje technologia z definicji są wirtualne i nielimitowane. Od osoby zamawiającej zależy jaką mocą obliczeniową oraz pojemnością dyskową ma dysponować zamawiana usługa. Wybrać można również konkretne aplikacje, najbardziej dopasowane do potrzeb użytkownika końcowego. Ilość kombinacji i konfiguracji takiego systemu jest wieloraka. Wszystko oczywiście zależy od zasobności portfela. Zastosowanie słowa „chmura” odnosi się do dwóch podstawowych koncepcji: • Abstrakcja – Aplikacje są uruchamiane na fizycznych urządzeniach, których specyfikacja i lokalizacja nie są znane. Dane są gromadzone na macierzach, których pojemność jest prawie nieograniczona. O nieprzerwany dostęp do usługi dba grupa administratorów i obsł ugi technicznej, z którą można skontaktować się telefonicznie lub mailowo. 16 • Wirtualizacja – Systemy operacyjne wirtualizowane są na udostępnionych serwerach, z którymi można połączyć się na przykład za pomocą zdalnego pulpitu. Nawet bardzo skomplikowane aplikacje uruchamiane na takich systemach, można kontrolować za pomocą zwykłego biurowego komputera, ponieważ wydaje on tylko komendy a wszystkie operacje obliczeniowe wykonywane są na zdalnych, potężnych serwerach. Integrujemy przyszłość® Z połączenia tych koncepcji powstaje produkt finalny w postaci sprawnie działającej chmury obliczeniowej. Korzystanie z takiej usługi ma niewątpliwe zalety oraz jest opłacalne w dłuższej perspektywie czasowej. Modele chmur obliczeniowych C hmur y oblic zeniowe moż na podzielić na trzy rodzaje. Różnią się Numer: III/2014 (128) one zakresem odpowiedzialności jaki spoczywa na usługodawcy. Może on udostępniać jedynie sprzęt, zasilanie i łącze szerokopasmowe, gdy reszta począwszy od systemów operacyjnych leży w gestii klienta. Można również wybrać gotowy produkt i wtedy tylko podanie prawidłowego loginu i hasła dzieli użytkownika od komfortowej i szybkiej pracy. Infrastr uk tura jako ser wis (Infrastructure as a Service – IaaS ), z ap ewnia ma s z yn ę wir t ua ln ą , przestrzeń dyskową, infrastrukturę i sprzęt, które są niezbędne do prawidłowego działania. W tej taryfie można elastyc znie wybrać iloś ć procesorów, pamięci operacyjnej, pot r zebną pr zest r ze ń dyskową oraz miejsce do przechowywania baz danych. W zależności od mocy obliczeniowej wybranej maszyny zmienia się cena miesięcznego abonamentu. W tej koncepcji dostawca zapewnia całą infrastrukturę, a resztą zajmuje się klient. Wybór systemu operacyjnego i oprogramowania leży po stronie zleceniodawcy. Platforma jako serwis (Platform as a Service – PaaS ), zapewnia podstawową infrastrukturę, która z o s t a ł a wymieniona p owy ż ej , z tą jednak różnicą, że dostawca udostępnia również system operacyjny oraz zestaw niezbędnych aplikacji i różnego rodzaju platformy programistyczne, które pozwolą na uruchamianie programów w środowisku serwerowym. Z tego względu opcja ta skierowana jest do zastosowań deweloperskich. Systemem operacyjnym zarządza dostawca, za to instalowanie i administrowanie aplikacjami leży po stronie klienta. O pr og r a m ow a nie ja k o s e r wis (Software as a Service – SaaS ), jest już gotowym, w pełni działającym produktem. Klient nie przejmuje się instalacją systemów operacyjnych czy programów. Za wszystkie te czynności odpowiada dostawca. Usługa ta jest Rys. 1. Podział obowiązków w zależności od taryfy. niezwykle popularna za sprawą szerokiego wachlarza możliwości oferowanych usług. Najczęściej używana usługa tego typu polega na przechowywaniu i udostępnianiu plików. wykorzystuje rodzaj publicznej chmury obliczeniowej. Dostęp do usług tych firm jest swobodny. Oferują one dostęp do swoich usług na kilka sposobów. Czasami zdarzają się bezpłatne mocno okrojone wersje płatnych pakietów, Rodzaje chmur albo kilkudziesięciodniowa wersja próbna pełnej możliwości usługi. Jest obliczeniowych to najbardziej popularny rodzaj usługi W zależności od aspektu przyna- chmurowej. ponieważ jest dostępny leżności wyróżniamy trzy rodzaje dla szerszej grupy odbiorców. c h mu r y o b lic z e ni o w e j . Je d n e • Hybrydowa – jest to połączenie wynajmuje się od firm specjalizu- obu wyżej wymienionych konwencji. jących się, lub posiadających taką Czasami zdarza się tak, że firma dziertechnologię na własność we własnym żawi oprogramowanie, które znajprzedsiębiorstwie, na użytek pracow- duje się na chmurze publicznej, a dane ników i kontrahentów. gromadzone są na dyskach wewnątrz • Prywatna – prywatna chmura firmy, czyli w chmurze prywatnej. obliczeniowa charakteryzuje się W ten sposób klient ma kontrolę nad tym, że technologia i związane z nią danymi, jeżeli woli mieć pewność urządzenia zostały zakupione przez co do ich bezpieczeństwa. firmę, która używa tego rozwiązania do własnych celów. Jest ona wyko- Cechy rzystywana tylko i wyłącznie przez daną firmę. Chmury oblic zeniowe posiadają • Publiczna – firma zajmująca się wiele zalet, które nierzadko decydują dzierżawieniem zasobów/sprzętu o wyborze tej technologii. W roku Biuletyn Informacyjny SOLIDEX® 17 TECHNOLOGIE 2009 firmy Cisco oraz EMC zawarły jest niezbędny na odbudowanie partnerstwo przy wsparciu finan- środowiska po katastrofie takiej jak sowym firm VMware oraz Intel powódź, trzęsienie ziemi lub pożar twor z ąc w t en sposób V ir tual budynku, w którym znajduje się Computing Environment Company sprzęt. Wyrażenie to odnosi się również (VCE). EMC to firma z wieloletnim do przywrócenia systemu do stanu doświadczeniem w przechowywaniu, używalności w przypadku zerwania zabezpieczaniu, zarządzaniu oraz anali- wszystkich linii energetycznych dostarczających zasilanie do budynku lub zowaniu dużych ilości danych. Efekt tej współpracy pozwolił na stworzenie produktu, charakteryzującego się poniższymi cechami. • Niezawodność Pierwszą sprawą, na którą trzeba zwrócić szczególną uwagę jest ochrona fizyczna. Aby urządzenia, instalacja i cała infrastruktura była bezpieczna niezbędne jest zabezpieczenie jej od strony fizycznej, zarówno przed wandalizmem jak i kradzieżą. Rys. 2. Virtual Computing Environment. S p r z ę t t r z e b a r ów nie ż chronić przed skutkami zdarzeń losowych, jak pożar czy klęski żywiołowe. w przypadku przerwania światłowodu SL A (Service Level Agreement ) łączącego z Internetem. Sytuacje jest to rodzaj kontraktu zawierany te są niezwykle rzadkie, jednakże pomiędzy usługodawcą a usługobiorcą, należy określić szczegółowe procedury w którym określa się jakość usługi działania na wspomnianą ewentuoferowanej przez operatora. Odnosi alność. Jeżeli usługodawca posiada się on między innymi do niezawod- kilka centrów danych, może odtworzyć ności sięgającej na przykład 99,999%. system na serwerach znajdujących się Taka wartość określa maksymalny nawet w innej części globu. W ten czas przestoju na 5 minut w ciągu roku. sposób zyska cenny czas na uporanie się Czasami zdarzają się awarie, których ze skutkami katastrofy bez uszczerbku czas naprawy MTTR jest kluczowy, dla klientów. ponieważ mają wpływ na niekorzystne Firma EMC w ofercie posiada moduł przestoje. Pochodzący od angielskiego EMC Storage Resource Management wyrażenia Mean time to repair to średni Suite do monitorowania pracy systemu czas potrzebny na naprawę uszkodzenia dzięki czemu na bieżąco można określić licząc od czasu zgłoszenia awarii. Czas jego stan. ten im jest niższy tym lepiej, ponieważ • Infrastruktura sieciowa bezpośrednio wpływa na nieza- Prawidłowa konfiguracja zapory wodność całego systemu. Umowa ogniowej pozwala na kontrolowanie może też określać, takie parametry jak ruchu wchodzącego i wychodzącego minimalna przepustowość łączy lub z sieci firmy. Dobrze zaprojektowany opóźnienia podczas transmisji. i monitorowany system w dużym O d t w a r z a n i e p o k a t a s t r o f i e stopniu chroni przed niebezpieczeń(Disaster Recovery), to czas, który stwami pochodzącymi z Internetu. 18 Integrujemy przyszłość® EMC Storage Resource Management Suite informuje o wszelkich nieprawidłowościach. Tworzy również mapę powiązań poszczególnych urządzeń w sieci dla łatwiejszego poglądu całej topologii. • Kontrola zdalna Zdalny dostęp pozwala na kontrolę systemu działającego na serwerach chmury obliczeniowej. Aby pliki i aplikacje uruchamiane na serwerach wykonywał y swoje czynności muszą odbierać komendy wydawane przez u ż yt kownika . Kont rola połączenia zachowywana je s t popr zez pr ot oko ł y H T T P S lub S SL , k t ór e gwarantują ochronę komunikacji pomiędzy serwerem a klientem. Dla użytkowników innych urz ądzeń niż komputer stacjonarny zapewniony jest dostęp mobilny. Popular yzacja smartfonów i tabletów, wymusza na dostawcach tworzenie narzędzi dla deweloperów i dedykowanych aplikacji na popularne systemy operacyjne dla telefonów takich jak Android, IOS czy Windows Phone. Ostatnim zagadnieniem związanym z kontrolą jest kontrola dostępu. Już w trakcie rozmów przed podpisaniem umowy z usługodawcą, należy określić, która strona jest odpowiedzialna za administrowanie kontami użytkowników. • Dane Szyfrowanie przy pomocy podpisu cyfrowego jest sposobem potwierdzenia autentyczności dokumentu. Daje to pewność , że wiadomość podczas transportu przez Internet nie została zmieniona lub przekłamana. Backup to tworzenie kopii zapasowych plików swoich klientów. Funkcja ta jest bardzo przydatna, gdy nad jednym dokumentem pracuje kilka osób. Dzięki temu w łatwy sposób można wrócić do stanu sprzed kilku ostatnich Numer: III/2014 (128) zmian. Jeżeli chcemy usunąć pliki z serwera bezpowrotnie, trzeba również usunąć wszystkie kopie zapasowe aby uniemożliwić ponowne odtworzenie starszej wersji dokumentu. Archiwizacja służy do przechowywania plików przez okres przekraczający kilka miesięcy. Niektóre pliki, np. kadrowe należy składować nawet przez 50 lat. Do zarządzania takim procesem służy EMC SourceOne. Jest on w stanie w czasie rzeczywistym zarchiwizować plik i nadać mu okres przez jaki będzie przechowywany. Dla ułatwienia procesu szukania stosuje się indeksowanie a dla zmniejszenia rozmiarów kompresję. Dyski SSD charakteryzują się dużymi prędkościami zapisu i odczytu jak również bardzo krótkim czasem dostępu do danych. Aby odpowiednio rozróżniać pliki należy stosować wersjonowanie. Dz ię k i E MC St or age Re s our c e Management Suite można określić jaki jest stan zasobów dyskowych dzięki raportowaniu wykorzystania przestrzeni przez konkretne funkcje lub usługi. W ten sposób można manipulować przydzielonym miejscem i dowolnie je modyfikować. • Tożsamość Dzięki uwierzytelnieniu otrzymujemy potwierdzenie, że osoba, która próbuje uzyskać dostęp jest tą za którą się podaje. Jest to krytyczny aspekt, o który należy zadbać w pierwszej kolejności, aby zablokować dostęp do danych osób niepowołanych. Każda niezautoryzowana osoba powinna być domyślnie odrzucana przez serwer a takie działanie rejestrowane w logach systemu. Ma to zwrócić uwagę administratorów na możliwą próbę włamania. Nawet po poprawnej autoryzacji nie mamy pewności czy osoba, która nawiązała połączenie, jest nadal podłączona. Ten problem należy rozwiązać poprzez zarządzanie sesją. Kontrolę nad tym, kto w danej chwili połączony jest z usługą najłatwiej jest utrzymać dzięki zmianom kluczy szyfrowania nie tylko podczas łączenia się z serwerem ale również w trakcie połączenia. Testowanie podatności na ataki dotyczy wszystkich systemów, które muszą być cyklicznie sprawdzane pod kątem podatności na działanie złośliwego oprogramowania czy próby uzyskania dostępu. Testy bezpieczeństwa muszą wychwycić niedociągnięcia i luki w zabezpieczeniach, które należy jak najszybciej poprawić albo odłączyć. Na ogół, jeżeli luki w zabezpieczeniu znajdują się w zainstalowanych aplikacjach, wystarczy zainstalować łatki. Są to najnowsze wersje aplikacji i aktualizacje insta- każdej dziedzinie jaką badana firma się zajmuje. Dlatego też cykl życia projektu bezpieczeństwa, musi być na bieżąco monitorowany. Coraz krótszy czas życia produktu, wymusza tworzenie nowych projektów dostosowujących się do najnowszych technologii i trendów. • Zagrożenia Rozpoznawanie zagrożenia, pozwala na wczesne wykrycie potencjalnego problemu, dzięki czemu zmniejsza ryzyko potencjalnych strat, takie jak awaria sprzętu czy przejęcie wartości intelektualnej. Jednym z produktów EMC jest RSA Data Loss Prevention (DLP). Jest to monitor, który kontroluje przepływ informacji wrażliwych takich Chmury obliczeniowe posiadają wiele zalet, które nierzadko decydują o wyborze tej technologii. W roku 2009 firmy Cisco oraz EMC zawarły partnerstwo przy wsparciu finansowym firm VMware oraz Intel tworząc w ten sposób Virtual Computing Environment Company (VCE). lowane w systemach operacyjnych, które powinny zapewniać maksimum bezpieczeństwa i ograniczać możliwość wykorzystania tak zwanego backdoor, czyli dostępu dla atakującego przez ‘tylne drzwi’ systemu bądź aplikacji zawierającej błąd. Audyt polega na zbadaniu przez firmy niezależne poziomu i sposobu zabezpieczeń, kompetencji pracowników, sprawdzenie efektywności procedur bezpiec zeństwa. Takie badania powinny być przeprowadzane cyklicznie przez różne firmy aby ograniczyć zaniedbania samego procesu audytu. Wyniki takich badań powinny stwierdzać niedoskonałości w systemie i ukierunkowywać proces zmian. Audyt może zostać przeprowadzony w prawie Biuletyn Informacyjny SOLIDEX® jak numery kart kredytowych, dane osobowe czy własność intelektualna firmy. Kontrolowanymi kanałami, przez które mogą wyciekać dane to między innymi: email, webmail, serwisy społecznościowe, FTP, strony WEB, NAS, bazy danych lub pamięci USB, bez względu czy jest to PC, laptop czy smartfon. Moduł ten identyfikuje każdy plik pod kątem czy nie jest on wrażliwy, czyli czy nie zawiera określonych kombinacji (np. nr karty kredytowej, loginów oraz haseł, numerów kont bankowych) i na tej podstawie decyduje czy dany plik może zostać przesłany. Każdy incydent odnotowywany jest w systemie i powiadamia administratora oraz przełożonego. 19 TECHNOLOGIE Chmura obliczeniowa vs. serwer Warto również wymienić cechy, które charakteryzują technologię chmury obliczeniowej na tle konwencjonalnych serwerów lub macierzy dyskowych, znajdujących się w firmach oraz korporacjach. Chmura obliczeniowa charakteryzuje się wieloma cechami, do których należy między innymi łatwa migracja. Polega ona na łatwym przeniesieniu całego systemu na nowy sprzęt , który charakteryzuje się lepszymi parametrami lub migracja pomiędzy dostawcami. Kolejną cechą jest możliwy dostęp poprzez API, które służy do korzystania z udogodnień i podwyższa użyteczność użytych rozwiązań. Jest to kod źródłowy, który zawiera zbiór bibliotek, klas i procedur służące do napisania własnej aplikacji korzystającej z większości najważniejszych funkcji danej usługi. Dzięki temu można utworzyć aplikacje w języku takim jak Java oraz C#. Następną cechą charakterystyczną jest cena, która może być atrakcyjna zarówno dla nowych jak i działających już od dawna na rynku firm. Wydzierżawienie usługi chmury obliczeniowej jest zaledwie procentem tego, co należałoby było zainwestować tworząc skomplikowane oraz kosztowne centra danych lub centra obliczeniowe. Dla małych firm, których wymagania ograniczają się do potrzeby korzystania z mocnych urządzeń kilka razy w tygodniu, oferowane są inne sposoby rozliczeń, niż abonament miesięczny. Usługodawcy prześcigają się w pomysłach, które umożliwiają zaoferowanie swojej usługi szerszej grupie odbiorców. Jedną z ciekawszych ofert jest wynajęcie chmury na czas, na przykład na 3 godziny. W ten sposób mamy dostęp do potrzebnego nam programu, na przykład do renderowania grafiki. Wynajęty sprzęt zrobi cały proces w kilkadziesiąt 20 minut, zamiast w kilkanaście godzin a nawet kilka dni. Na rynku pojawiają się coraz ciekawsze oferty natomiast duża konkurencja przyczynia się do tego, że opisana technologia staje się powszechnie dostępna dla coraz większej rzeszy odbiorców. Następną zaletą jest to, że do pełnego korzystania z udogodnień, wystarczy dostęp do Internetu. Nie ma znaczenia, czy łączymy się za pomocą komputera klasy PC czy popularnych w ostatnim czasie tabletów. Wszędzie tam gdzie jest połączenie do Internetu, jest też dostęp do tej technologii. Dzier ż awiący zawsze dokładają wszelkich starań aby niezawodność była bliska 100 procent. Jest to aspekt krytyczny, ponieważ powierzając nasze dane firmom zewnętrznym chcielibyśmy mieć pewność dostępu w każdym możliwym momencie. Usługodawcy prześcigają się w oferowaniu coraz to bardziej niezawodnych rozwiązań korzystając z najnowszych zdobyczy techniki. Wyższa niezawodność jednakże, wiąże się z wyższymi opłatami za usługę. Patrząc na zagadnienie skalowalności, odnieść można wrażenie, że nie jest to żadna przeszkoda. Pomimo ciągłego powiększania infrastruktury jak i wachlarza usług oferowanych przez centra, jej efektywne działanie jest coraz wyższe. Dodawanie nowego lub modernizacja już istniejącego sprzętu, ma na celu coraz sprawniejsze działanie oraz efektywniejsze wykorzystanie całego systemu. Inwestycja w nowy sprzęt zawsze wiąże się z wysokimi w stosunku do oczekiwań kosztami. W przypadku chmury wystarczy powiększyć ilość zarezerwowanych procesorów i zwiększyć ilość dostępnej pamięci RAM aby znacząco podnieść wydajność dosłownie za cenę kilkudziesięciu dolarów za miesiąc. Bezpieczeństwo firm użytkujących i oferujących wyżej opisaną usługę stoi na wysokim poziomie. Dotyczy Integrujemy przyszłość® to zarówno bezpieczeństwa czynnego jakim jest szyfrowanie danych i połączenia po bezpieczeństwo bierne w postaci zabezpieczenia całej infrastruktury przed awarią bądź wandalizmem czy kradzieżą. Im bardziej jest skomplikowana i składająca się z większej ilości sprzętu infrastruktura, tym wyższe są koszty ut r z ymania choc ia ż by s amego personelu technicznego, opiekującego się sprzętem. W przypadku chmur dwudziestoczterogodzinna pomoc techniczna, poprzez telefon lub email to już standard. Podsumowanie Dz ię k i wspó ł pr ac y f ir m C is c o i EMC otrzymujemy funkcjonalne rozwiązanie do administrowania i efektywnego korzystania z chmury obliczeniowej. Koalicja dwóch potentatów pozwoliła na osiągnięcie bardzo wysokiego poziomu oferowanego rozwią zania. Kompatybilność z wieloma dostawcami sprzętu i oprogramowania, takimi jak HP, IBM, VMware, Microsoft czy Oracle znacznie poszerza funkcjonalność rozwiązania. Mnogość protokołów, technologii i aplikacji ułatwia zarządzanie oraz zaadoptowanie takiego rozwiązania we własnej firmie. Rozwiązanie posiada moduły do zarządzania czasem dostępności SL A, eliminuje zagrożenie wyciekiem danych oraz ich utratą poprzez wydajne kopie zapasowe oraz archiwizowanie. M.P. Numer: III/2014 (128) Anteny Cisco dla sieci bezprzewodowych Firma Cisco w swojej ofercie posiada kilka rodzajów anten zewnętrznych oraz anten wbudowanych bezpośrednio w punkt dostępowy (access point). Wybór danego rozwiązana jest przede wszystkim podyktowany charakterystyką obszaru jakim ma obejmować swym zasięgiem sieć bezprzewodowa. Access pointy Cisco przystosowane do instalacji zewnętrznych anten, oznaczone w produktach Cisco literą „e” (external antenna), są to urządzenia przystosowane do pracy w trudnych warunkach otoczenia. Charakteryzują się między innymi obudową metalową oraz szerszym zakresem temperatury pracy. Możliwoś ć „rozdzielenia” anteny od access pointa daje większą elastyczność w trakcie instalacji z racji między innymi większego zakresu temperatury pracy anteny względem nadajnika. Również potrzeba ukierunkowania sygnału wymaga z reguły użycia anten zewnętrznych gdyż charakterystyka anten w modelach zintegrowanych jest zazwyc zaj dookólna w płaszczyźnie azymutu. A nteny wbudowane, oznac zone są w produktach Cisco literą „i” (internal antenna). Docelowym ich Rys. 1. Charakterystyka promieniowania anteny dipolowej Biuletyn Informacyjny SOLIDEX® 21 TECHNOLOGIE Rys. 2. Charakterystyka promieniowania anteny kierunkowej przeznaczeniem są powierzchnie biurowe ze względu na ich walory estetyczne. Rozważyć można również ich instalację na powierzchniach magazynowych o względnie wysoko położonym suficie. W dalszej części artykułu zostanie zobrazowana propagacja sygnału w modelu Cisco AP-2600i. W zintegrowanych antenach występuje mniejsze zjawisko zaniku sygnału pod anteną w porównaniu do anten dipolowych o większym zysku. Zjawisko uwidacznia się wraz ze wzrostem wysokości na której umieszczona jest antena. Anteny charakteryzują się różnym wzorcem promieniowania, który decyduje o wyborze danej anteny w zastosowaniu na określonym obszarze. Każdą antenę można opisać m.in. za pomoc ą nast ępujących wymienionych w dalszej c zę ści tekstu parametrów. kierunkach. W specyfikacji technicznej producenci anten najczęściej określają kształt wypromieniowanej wiązki za pomocą płaszczyzny azymutu (Azimuth Plane) - poziomej oraz płaszczyzny elewacji (Elevation Plane) - pionowej. Na rysunku 1 płaszczyzna azymutu (c) powstała przez przekrój wzdłuż osi x-y wzorca 3D (b), natomiast płaszczyzna elewacji powstała przez przekrój wzdłuż osi x-z lub y-z. można zaobserwować porównując wzorce promieniowania z rysunku 1 i rysunku 2. Szerokość wiązki (Beamwidth) Jest to kąt wyznaczony pomiędzy dwoma punktami, w których zysk anteny zmniejsza się o połowę czyli 3dB od wartości najwyższej. Na rysunku 2, kąt wyznaczony jest prostymi liniami w kolorze niebieskim. Zysk anteny Zysk anteny (Antenna Gain) dipolowej (rysunek 1) w płaszczyźnie azymutu wynosi w każdym punkcie Iloś ć energii wypromieniowanej 2.2 dBi, natomiast dla porównania najwi ę c ej w da nym k ie r unk u zysk anteny kierunkowej (rysunek w porównaniu do anteny wzorcowej. 2) dla płaszczyzny azymutu wynosi Jako wzorzec najczęściej używana jest aż 18 dBi, jednak szerokość wiązki dla antena izotropowa – bezkierunkowa podanej wartości wynosi około 20 czyli teoretyczna antena, która promie- stopni w porównaniu do 360 stopni niuje jednakowo we wszystkich anteny dipolowej. kierunkach. Antena zamienia sygnał W tej części artykułu zostaną zapreCharakterystyka elektryczny na falę elektromagne- zentowane anteny Cisco dwuzatyczną i na odwrót na odbiorniku. kresowe, do zastosowań z modelami promieniowania Antena kształtuje wiązkę – skupia urządzeń z serii „e”: 1600, 2600, Jest to natężenie pola elektroma- sygnał w danym kierunku, nie dodaje 2700, 3700 APs oraz dla porównania gnetycznego zmierzone w tej samej w żaden sposób mocy doprowadzonej schemat propagacji access pointa odległości od anteny w różnych z zasilacza. Pojęcie zysku anteny 2600i z anteną wbudowaną. 22 Integrujemy przyszłość® Numer: III/2014 (128) Typ anteny (Antenna type) 4-elementowa, dwuzakresowa (Dual Band) Zysk (Gain) Pasmo (band) 2.4GHz: 2 dBi Pasmo (band) 5GHz: 4 dBi 2.4GHz: 69° 5GHz: 60° E-Plane Dookólny (Omnidirectional) H-Plane Zakres Temperatury (Temperature range) 2.4GHz Azimuth (Red) and Elevation(Blue) Plane Patterns 0° – 56° C 5-GHz Azimuth(Red) and Elevation(Blue) Plane Patterns Tabela 1. Specyfikacja anteny AIR-ANT2524V4C-R Typ anteny (Antenna type) 4-Elementowa, Dwuzakresowa (Dual Band) Zysk (Gain) Pasmo (band) 2.4GHz: 4 dBi Pasmo (band) 5GHz: 4 dBi E-Plane 2.4GHz: 60° 5.4GHz: 33° H-Plane Dookólny (Omnidirectional) Zakres Temperatury (Temperature range) -30° – 70° C 2.4GHz Azimuth (Red) and Elevation(Blue) Plane Patterns 5GHz Azimuth(Red) and Elevation(Blue) Plane Patterns Tabela 2. Specyfikacja anteny AIR-ANT2544V4M-R Biuletyn Informacyjny SOLIDEX® 23 TECHNOLOGIE Typ anteny (Antenna type) 4-elementowa, dwuzakresowa (Dual Band) Zysk (Gain) Pasmo (band) 2.4-GHz: 6 dBi Pasmo (band) 5-GHz: 6 dBi E-Plane 2.4GHz: 105° 5GHz: 125° H-Plane 2.4GHz: 70° 5GHz: 60° Zakres Temperatury (Temperature range) -30° – 70° C 2.4GHz Azimuth (Red) and Elevation(Blue) Plane Patterns 5GHz Azimuth(Red) and Elevation(Blue) Plane Patterns Tabela 3. Specyfikacja anteny AIR-ANT2566P4W-R Rys. 3. Specyfikacja anteny zintegrowanej w modelu AP-2600i Dla porównania zamieszczony został schemat propagacji anteny zintegrowanej na przykładzie AP-2600i (Rysunek 3). Podsumowanie Wykorzystanie anten zintegrowanych jest tańszym rozwiązaniem ale nie zapewnia takiej elastyczności jaką 24 zapewnia użycie anten zewnętrznych. O wyborze danego rozwią zania zadecyduje charakterystyka miejsca, w którym będzie wdrażana sieć bezprzewodowa. Propagacja sygnału tej samej anteny za każdym razem b ę dzie się róż nić w zale ż no ś c i od miejsca oraz sposobu instalacji. W głównej mierze znaczenie będzie miał rodzaj przeszkód, na które Integrujemy przyszłość® napotyka sygnał wypromieniowany z anteny. Niewłaściwe umiejscowienie anteny może w sposób znaczący zmienić jej wzorzec promieniowania. Dlatego istotną czę ścią każdego projektu jest Site Survey przeprowadzony w środowisku docelowym. P.W. Numer: III/2014 (128) Cisco Virtual Wireless LAN Controller – instalacja i wstępna konfiguracja Oprogramowanie kontrolera WLC do wersji 7.3 mogło działać jedynie na dedykowanym do tego sprzęcie, który należało zakupić. Obecnie, oprogramowanie to może zostać uruchomione na maszynie wirtualnej jako Virtual Wireless LAN Controller (vWLC). Mimo, że vWLC nie zastąpi w pełni sprzętowego kontrolera, to z jego wdrożenia płynie wiele korzyści. Topologia Do głównych zalet vWLC można zaliczyć: • elastyczność w doborze sprzętu w oparciu o wymagania sprzętowe, • redukcję kosztów zakupu sprzętu oraz ilości wymaganego miejsca dzięki zastąpieniu wielu skrzynek jednym urządzeniem, na którym może być uruchomione wiele instancji kontrolerów (WLC), systemów zarządzających (NCS) i innych serwerów (ISE, MSE, VSG), • niezależne instancje pozwalające administratorom używać wielu wirtualnych kontrolerów do zarządzania różnymi lokalizacjami używając tego samego fizycznego sprzętu, • dostarczenie funkcji oferowanych przez oprogramowanie do wirtualizacji, w tym wysoką dostępność, przełączanie awaryjne, a także łatwość migracji. Funkcjonalności charakteryzujące vWLC to: • maksymalna liczba punktów dostępowych (AP): 200, • maksymalna liczba klientów: 3000, • maksymalna liczba lokalizacji: 200, • przepustowoś ć do 5 00 Mbps na jeden wirtualny kontroler. Wdrożenie vWLC zostało pokazane na przykładzie środowiska testowego, którego topologia została przedstawiona na rysunku 1. Użyte komponenty i ich minimalne wymagania zostały przedstawione poniżej: • Cisco Catalyst Switch, • Wireless L AN Controller Virtual Appliance, Aby vWLC mógł w pełni funkcjo- • W ireless L A N C ont roller 7. 3 nować potrzebne jest spełnienie Software, wymagań: • Cisco Prime Infrastructure 1.2, • VMware OS: ESX/ESXi 4.x/5.x, • 802.11n Access Points in FlexCon• CPU: 1 virtual CPU (vCPU), nect Mode, • Memory: 2 GB, • DHCP server, • Disk Space: 8 GB, • DNS Server, • Network Interfaces: 2 or more virtual • NTP, Network Interface cards (vNICs). • L aptopy (wireless), smar tfony i t ablety ( A pple iOS , A ndroid, Windows i Mac). Biuletyn Informacyjny SOLIDEX® 25 ROZWIĄZANIA Rys. 1. Topologia wdrożenia vWLC Konfiguracja interfejsów na switchu Catalyst oraz na serwerze ESXi W pierwszej kolejności na switchu Catalyst zostały skonfigurowane dwa interfejsy podłączone do serwera ESXi. Konfiguracja interfejsów ESXi Management i ESXi Trunk została przedstawiona na rysunku 2. W następnej kolejności na serwerze E S X i z o s t a ł y u t w o r z o ne dw a oddzielne wirtualne switche w celu zmapowania interfejsów Service Port i Data Port wirtualnego kontrolera. By to uzyskać należy: 1. Przejść do ESX > Configuration > Networking i kliknąć Add Networking, jak pokazano na rysunku 3. 2. Wybrać Virtual Machine i kliknąć Next jak na rysunku 4. 3. Stworzyć vSwitch i przypisać do niego fizyczną kartę sieciową (NIC) aby połączyć interfejs Service 26 interface GigabitEthernet1/1/2 description ESXi Management switchport access vlan 10 switchport mode access ! interface GigabitEthernet1/1/3 description ESXi Trunk switchport trunk encapsulation dot1q switchport mode trunk end Rys. 2. Konfiguracja interfejsów ESXi Management i ESXi Trunk Port vWLC, jak pokazano na rysunku 5. None (0), jako że Service Port jest Ponieważ interfejs Service Port nie zazwyczaj portem access (rysunek 6). musi być podłączony do jakiejkolwiek 5. Po utworzeniu vSwitch1 dla interczęści sieci każda karta sieciowa może fejsu Service Por t vWLC , należy być wykorzystana do tego celu (nawet wykonać te same kroki dla interfejsu Data Port, z dwiema różnicami: w stanie down). 4. Wpisać etykietę w polu Network • pr z y t wor zeniu wir tualnego Label (w tym wypadku vWLC Service switcha należy wybrać fizyczną kartę Port) oraz w polu WLAN ID wybrać sieciową (NIC) podłączoną do portu Integrujemy przyszłość® Numer: III/2014 (128) trunk switcha, • w polu Network Label wpisać etykietę vWLC Data Port i wybrać ALL(4095) w polu VL AN ID, jako że interfejs jest podłączony do portu trunk switcha. Instalacja Cisco Virtual Wireless LAN Controller Rys. 3. Tworzenie vSwitcha Rys. 4. Tworzenie vSwitcha zakładka Connection Type Opr og r amowanie wir t ualnego kontrolera jest dostępne w postaci pliku OVA, który należy zainstalować na maszynie wirtualnej. Aby rozpocząć proces instalacji należy: 1. Przejść do ESX > File > Deploy OVF Template i wskazać lokalizację pliku OVA. 2. W oknie Name and Location podać nazwę wirtualnego kontrolera. 3. W oknie Disk Format pozostawić domyślne ustawienie Thick Provision Lazy Zeroed. 4. Następnie pozostawić domyślne ustawienia Network Mapping. 5. Po zatwierdzeniu wszystkich ustawień rozpocznie się proces instalacji wirtualnego kontrolera. Konfiguracja Cisco Virtual Wireless LAN Controller Rys. 5. Tworzenie vSwitcha zakładka Network Access Po utworzeniu wirtualnego kontrolera należ y zmienić jego ustawienia odnośnie mapowania interfejsów oraz utworzyć wirtualny port konsolowy. Wirtualny port konsolowy może być utworzony jako Physical Serial Port on the Host, wtedy jest on zmapowany do fizycznego portu szeregowego serwera ESXi. Opcja ta jest jednak ograniczona co do ilości portów szeregowych na serwerze i w przypadku wdrażania wielu instancji wirtualnego kontrolera nie jest idealna. Drugim sposobem jest utworzenie wirtualnego por tu konsolowego Connec t via Network. W tym wypadku wirtualny port konsolowy jest dostępny przy użyciu sesji Telnet ze zdalnego hosta na określony por t przydzielony Rys. 6. Tworzenie vSwitcha zakładka Connection Settings Biuletyn Informacyjny SOLIDEX® 27 ROZWIĄZANIA do wirtualnej maszyny (na przykład jeśli adresem IP serwera ESXi jest 10.10.10.10, a portem przydzielonym do wirtualnego kontrolera jest 9090, to dostęp do konsoli vWLC można uzyskać za pomocą „telnet 10.10.10.10 9090”). Aby skonfigurować wszystkie powyższe opcje należy: 1. Zaznaczyć wirtualny kontroler i kliknąć Edit virtual machine settings. 2. Dla Network adapter 1 wybrać w polu Network Connection vWLC Service Port. 3. Dla Network adapter 2 wybrać w polu Network Connection vWLC Data Port. 4. Następnie kliknąć przycisk Add. 5. W oknie Device Type wybrać Serial Port. 6. W oknie Select Port Type wybrać Connect via Network. 7. W polu Network Backing wybrać S er ver ( VM listens for c onnection), a w polu Por t URI podać telnet://<host>:<port> (na przykład telnet://10.10.10.10:9090). 8.W o s t a t n im o k n i e z a t w i e r dzić wszystkie ustawienia klikając na Finish, a następnie kliknąć na OK, aby zamknąć okno edycji ustawień. 9. Następnie przejść do zakładki ESX > Configuration > Security Profile i w części Firewall kliknąć na Properties. 10. W oknie Firewall Properties zaznaczyć VM serial port connected to vSPC, aby umożliwić dostęp konsolowy poprzez sieć. Rys. 7. Proces uruchamiania vWLC Rys. 8. Uruchamianie sesji Telnet Uruchamianie Cisco Virtual Wireless LAN Controller Rys. 9. Uruchamianie kreatora konfiguracji vWLC Rys. 10. Zapisywanie ustawień kreatora konfiguracji vWLC 28 Integrujemy przyszłość® Aby uruchomić wirtualny kontroler należy wykonać następujące kroki: 1. Zaznaczyć wirtualny kontroler, kliknąć przycisk L aunch Vir tual Machine Console, a następnie Power On, jak pokazano na rysunku 7. 2. Po pojawieniu się infor mac ji o restarcie systemu należy uruchomić sesję Telnet do wirtualnego kontrolera, Numer: (128) Numer:III/2014 II/2012 (119) Podsumowanie co przedstawiono na rysunku 8. 3. Na s t ę pnie na le ż y p o c z ek a ć , Lync jest wieloplatformowy, może a ż zostanie wyświetlony monit działać zarówno na komputerach ostacjonarnych uruchomieniu Windows kreatora konfiguracji i Mac OS, kontrolera, jak pokazano na rysunku 9. jak i Platformach Mobile Windows Phone, iOS (iPad, iPhone), Android. 4. Po skonfigurowaniu w kreatorze Podstawowyustawień, interfejs nie odbiega wstępnych czyli hostod wzorcowego okna komunikatora name-u kontrolera, nazwy użytkowinternetowego. Rysunek 3 przedstawia nika i hasła administratora, interfejsu pionowo zorientowaną listę kontaktów zarządzania, interfejsu wirtualnego, sieci ze zdjęciami, obok umieszczono status WLAN, czy serwera NTP, należy zaaki opis, w górnej części menu podstawowychwprowadzone funkcji. Wspomniany ceptować zmiany populpit czym nawigacyjny odnajdowanie nastąpi restartupraszcza vWLC (rysunek 10). i używanie typowych funkcji, takich Od tego momentu możliwe jest jak klawiatura numeryczna, wizualna już zalogowanie siękontaktów do interfejsu poczta głosowa, lista i lista graficznego wirtualnego aktywnych konwersacji. kontrolera jest bardzo elastyczny, jeśli iLync przeprowadzenie jego dalszej chodzi o wdrożenia i możliwości konfiguracji. integracji. Możliwa jest również Rozwiązanie Cisco Virtual Wireless integracja programu z istniejącą LAN Controller umożliwia elastyczne telefonią IP, jak na przykład Cisco. iRysunek efektywne kosztowo wdrożenia sieci 2 przedstawia przykładową bezprzewodowych. vWLC może zostać integrację z IP telefonami. uruchomione na dowolnej wirtuPowyższy artykuł miałczemu na celumamy przedalnej maszynie dzięki stawienie aplikacji Lync od strony elastyczność co do wyboru sprzętu, użytkownika. Program Microsoft Lync opierając się jedynie o wymagania 2010 to doskonały klient do ujednosprzętowe. Dodatkowo Cisco Virtual liconej komunikacji z możliwością obsługi wiadomości błyskawicznych, Wireless LAN Controller może dzielić połączeń głosowych oraz istniejącą infrastrukturę do spotkań. wirtualiW zak tualizowanym inter fejsie zacji z innymi wirtualnymi rozwiąużytkownika programu Lync rozmaite zaniami, co do pozwala zminimalizować narzędzia komunikacji rozmieszkoszty zakupu sprzętu oraz ilość czono w sposób usprawniający ich potrzebnego miejsca, poprzez zastąobsługę. Funkcje konferencji są jeszcze skuteczniejsze pienie wielu dzięki pude łwbudowanej ek je dnym funkcji udostępniania pulpitu i aplikacji, urządzeniem. Dzięki wykorzystywaniu funkcji przekazywania w programie przez vWLC infrastruktury do wirtuPower Point oraz funkcji kopiowania alizacji możliwe jesti innej również korzyi wklejania obrazów zawartości. stanie z jej funkcjonalności takich Opracowano podstawie jak: VMotion,nacloning, czyoficjalnych snapshot. materiałów producenta. Mimo, że vWLC nie zastąpi w pełni sprzętowego kontrolera, jest to idealne M.G. rozwiązanie dla Inżynier małych iSOLIDEX średnich przedsiębiorstw. SOLIDność w każdym działaniu... Opracowano na podstawie oficjalnych materiałów producenta. K.K. Biuletyn Informacyjny SOLIDEX® Biuletyn Informacyjny SOLIDEX® 33 29 ROZWIĄZANIA Heartbleed – sprawdź czy jesteś bezpieczny Wśród specjalistów od bezpieczeństwa panuje zgodna opinia, że podatność typu Heartbleed jest jednym z największych ujawnionych problemów ostatnich lat. Nawet inne słynne luki i wykorzystujące je robaki, takie jak Slammer, Conficker, Blaster, a nawet „dziura” w sshd odkryta w 2001 roku przez Polaka Michała Zalewskiego, umożliwiająca nieautoryzowane uruchomienie zdalnej sesji powłoki, nie występowały tak masowo i nie niosły takiego zagrożenia jak „krwawienie z serca”. Szacuje się, że podatność dotyczyła ponad połowy serwerów dostępnych publicznie w Internecie. Możliwość wykorzystania luki istniała przez ponad 2 lata przed oficjalnym ujawnieniem. Ujawniona w dniu 8 kwietnia 2014 (przez Adama Langley) podatność wpisana do bazy MITRE pod numerem C VE-2014-0160 czyli Heartbleed, sprowadza się do błędu w bardzo popular nej bibliotece OpenS SL używanej do obsługi ruchu szyfrowanego. Błąd pozwala na przesłanie do komputera napastnika fragmentu pamięci procesu, który korzysta z tej biblioteki o rozmiarze do 64kB. Jest to całkiem duży fragment pamięci (t aki obszar może zaadresować procesor ośmiobitowy, jak na przykład Atari w dawnych czasach). Zaskakująco c zę sto wyst ępują w tak 30 dużym bloku wrażliwe dane, takie jak nazwy użytkowników i hasła podane w postaci nieszyfrowanej, identyfikatory sesji SSL, pozwalające na przejęcie sesji przez atakującego lub nawet klucze prywatne certyfikatów używanych na serwerze. Atak nie pozostawia po sobie żadnych śladów i można go ponawiać cyklicznie do momentu, aż coś ciekawego pojawi się w pamięci atakowanego programu. Biorąc pod uwagę, że do produkcyjnego kodu źródłowego biblioteki Openssl podatność została wprowadzona 14 marca 2012, widzimy potencjalną skalę wycieku informacji przez ponad 2 lata. Integrujemy przyszłość® Wśród serwisów internetowych, które w mniejszym lub większym stopniu były podatne na lukę, możemy znaleźć amerykańskie: Google (włączając Gmail oraz Youtube), Yahoo, Facebook, Amazon Web Services (nie mylić ze sklepem Amazon.com, który nie był podatny), Instagram, Pintrest, Tublr, Dropbox, GitHub, Wikipedia oraz polskie: mPay, Polki.pl, giełda Bitcoin bitcurex.pl. W tych serwisach internetowych, gdzie luka została załatana, zalecana jest zmiana hasła. Nie należy natomiast zmieniać hasła przed usunięciem luki, ponieważ wtedy właśnie nowe hasło może zostać łatwo Numer: III/2014 (128) Rys. 1. Fragment zrzutu pamięci z podatnego na Heartbleed portalu amerykańskiego Yahoo. Widoczne są login i hasło w postaci otwartego tekstu. Źródło: pic.twitter.com/v8kddiP0Yo przejęte z pamięci serwera. Rekomendowanym działaniem właścicieli serwerów (portali) jest wymiana certyfikatów SSL po usunięciu podatności, co uniemożliwia wykorzystanie potencjalnie zdobytych wcześniej informacji (klucze prywatne) do deszyfrowania. Więk szoś ć ser wisów wykonała tę czynność dość szybko. Podatne na atak są serwery wykorzystujące bibliotekę Openssl w wersji 1.0.1 do 1.0.1f. Jeśli na serwerze występuje biblioteka w którejś z wyżej wymienionych wersji, to należy ją jak najszybciej zaktualizować albo zastosować hotfix zaimplementowany do używanej wersji openssl albo aktualizację OpenSSL do wersji 1 .0.1g , k tóra zawiera poprawkę b łę du. Jedną z szybkich metod eliminacji problemu jest przekompilowanie OpenSSL ze źródeł z opcją DOPENSSL_NO_HEARTBEATS. Oprócz serwera, może być zaatakowany także klient protokołu https, o ile używa biblioteki Openssl. Nie jest to częsta sytuacja w przypadku Rys. 2. Wynik badania serwera w sieci wewnętrznej na podatność Heartbleed zakończony wynikiem pozytywnym. Wykryto lukę. Biuletyn Informacyjny SOLIDEX® 31 ROZWIĄZANIA w „chmurze” adres nie zostanie użyty przeciwko nam. Jeżeli jednak skanowanie online jest jedyną opcją, to test online jest na stronie firmy Qualys: https://www.ssllabs.com/ssltest/. Tester ten wykonuje ogólną ocenę bezpieczeństwa ssl, test na omawianą podatność jest tylko jednym z wielu testów protokołu SSL. Ur z ą d z enia do s t a r c z a ne pr z e z dostawców IT są podatne w różnym stopniu. Czasem problem dotyczy p o ds t awowej f unkc jonalno ś c i urządzenia lub jego dodatkowych funkcji. Dużo częściej podatne atakowi Heartbleed są różnego rodzaju interfejsy do zarządzania urządzeniami lub sieciami. Nie są one zwykle dostępne w publicznym Internecie, nie należy jednak zapominać o ich aktualizacji w dłuższym okresie. Czołowi światowi dostawcy rozwiązań IT pracują nad Rys. 3. Wynik badania skanerem online popularnego portalu internetowego. Wynik zniwelowaniem wykrytych podatjest negatywny, podatności nie stwierdzono (druga od dołu zielona ramka ności. Informacja ta może uspokoić ich na dole rysunku). klientów. W przypadku wątpliwości, czy konkretne urządzenie danego przeglądarek na PC. Na urządzeniach poprawki w TLS1.0, albo wdrożenie producenta jest zagrożone należy mobilnych podatny jest Android TLS1.1 / 1.2, które wymagały aktuali- skontaktować się z jego producentem JellyBean jedynie w wersji 4.1.1. Wejście zacji biblioteki OpenSSL właśnie lub jego autoryzowanym przedstana odpowiednio spreparowaną stronę do wersji, w której wprowadzono wicielem – powinien on udzielić wszelkich informacji. internetową przy pomocy telefonu zagrożenie Heartbleed. z tym systemem może skończyć się W jak i spos ób spr awd z ić , c z y W.T. kradzieżą danych z pamięci urządzenia, w jakiejś usłudze sieciowej występuje pobieranych również w postaci nieza- „krwawienie”? Polecanym sposobem szyfrowanych bloków pamięci. jest ściągnięcie skryptu ze strony Urządzenia posiadające OpenSSL internetowej zaufanego dostawcy starsze niż 2 lata (poniżej wersji ssl i sprawdzenie podatności samodzielnie. 1.0.1) są bezpieczne (przynajmniej jeśli Mo ż na tut aj pole c ić napis any chodzi o omawiany atak). Nasuwa w Pythonie oficjalny skaner offline się wniosek, że nie warto biblioteki firmy Redhat dostępny pod adresem SSL instalować w najnowszej wersji, https://access.redhat.com/labs/hearta jedynie inst alować poprawki bleed/heartbleed-poc.py. Narzędzie dotyczące wykrytych luk. Biblioteka uruchamiamy na maszynie wyposapowinna być przynajmniej przez 2 lata żonej w odpowiedni interpreter, dostępna do użytku, zanim zostanie na przykład na Linuksie. W przypadku zaimplementowana na systemach wykrycia luki, program kończy się p r o d u k c y j n y c h . W a r t o t u t a j komunikatem „server is vulnerable”. wspomnieć, że aktualizację OpenSSL Do badania podatności generalnie nie przed kilku laty wymusił atak BEAST, polecamy używania skanerów online. na który był podatny TLS 1.0. Ścieżka Ze względu na brak śladów włamania upgrade’u wtedy była dwojaka: albo nie wiadomo, czy wpisany gdzieś 32 Integrujemy przyszłość® Numer: III/2014 (128) Cisco TelePresence – seria SX W pierwszym kwartale 2014 Cisco ogłosiło, że wprowadzi na rynek wiele nowych rozwiązań dotyczących komunikacji wideo, których celem będzie udostępnienie tej technologii w każdej z organizacji, niezależnie od jej wielkości. Nie poprzestając na słowach w niedługim czasie poszerzyło ofertę kodeków serii SX o dwa nowe rozwiązania. Do dostępnego od niedawna na rynku modelu SX20 Quick Set dołączyły modele SX80 oraz SX10 Quick Set, które zostaną w tym artykule opisane. Cisco TelePresence SX80 Codec Rys. 1. Rodzina kodeków serii SX (od lewej: SX80, SX10, SX20) Biuletyn Informacyjny SOLIDEX® Seria SX80 to elastyczna platforma, która zapewnia uż ytkownikowi możliwość zorganizowania doskonale jakościowego spotkania wideo. SX80 został stworzony z myślą o pracy w salach konferencyjnych, do współpracy zespołowej oraz zastosowań przemysłowych. Posiada on również nieograniczone możliwości integracji. SX80 to kodek nowej generacji zbudowany na bazie modeli C60 oraz C90. Dzięki nowoczesnym procesorom zapewnia połączenie wideo w rozdzielc zo ś c i 10 8 0p z c z ę stotliwo ś c ią 60 kl./sek., tym samym odpowiadając 33 ROZWIĄZANIA Rys. 2. Kodek SX80 wraz z 10 calowym dotykowym ekranem sterującym oraz nowoczesnymi kamerami SpeakerTrack 60 umożliwiającymi lokalizację prelegenta. na potrzebę rynku – standardu Full HD i jako pierwszy w branży oferuje wsparcie dla st andardu H. 2 6 5 1 . Cisco tym samym stanęło na czele firm, które będą określać kierunek dalszego rozwoju, przyszłych wydajności i przepustowości technologii TelePresence. Kodek obsługuje również bez przeszkód dotychczas używane protokoły H.323 oraz SIP. Funkcjonalności z a r z ą d z a nie c a ł ym sys t e me m . Również pod względem wizualnym kodek zasługuje na uwagę. Niewielkie wymiary (44 x 31 cm, rozmiar 1U), solidna obudowa oraz dołączony ze s t aw mont a ż owy poz walają na podwieszenie go na przykład na ścianie pod telewizorem w jednej z sal konferencyjnych. Łączność Video wejście: 3xHDMI, 1xDVI-I, 1xS-Video wyjście: 2xHDMI, 1xDVI-I Audio Wejścia mikrofonowe: 8xEuroblok Wejście liniowe: 4xEuroblok Wyjście liniowe: 6xEuroblok Wejście HDMI: 3xStereo Wyjście HDMI: 2xStereo Łączność Kodek SX80 wyposażony został 3xGigabit Ethernet Cisco w kodekach nowej generacji w bogatą ilość wejść i wyjść wideo 2xRS232 postawiło na wysoką jakość przesy- oraz audio. Ma to zapewne przygo- (sterowanie kamerą i kodekiem) ł anego obr a z u i d ź wię k u . Dla tować go na możliwość dostosowania 2xUSB oraz 1x10Gb połączeń jednotorowych optymalną do każdej z potrzeb klienta. Kodek został (dla przyszłego użytku) rozdzielczością jest standard Full HD wyposażony w następujące złącza: 1xGPIO (4 kanały) (1080p 60 kl./sek.). Kodek ma również moż liwo ś ć prac y wielotorowej. W przypadku użycia 5 torów rozdzielczość połączenia jest na poziomie 720p30, trójtorowe oraz czterotorowe połączenie zestawiane jest w rozdzielczości 1080p30. SX80 oferuje ponadto wsparcie dla podłączenia do 3 ekranów, umożliwiając tym samym różne możliwości użycia dostosowane do konkretnych potrzeb. Do zestawu dołączany jest także intuicyjny 10” panel sterujący, Rys. 3. Panel tylni kodeka SX80 który umożliwia w prosty sposób 34 Integrujemy przyszłość® Numer: III/2014 (128) kamer, z których jedna lokalizuje aktywnego prelegenta przedstawiając go w zbliżeniu, druga w tym czasie lokalizuje kolejnego rozmówcę. Dzięki nowoczesnemu procesorowi następuje bardzo szybkie, bezpośrednie przełączenie rozmówcy, przez co uczestnik po drugiej stronie wideokonferencji ma odczucie prawdziwego spotkania. Należy dodać, że obraz z obydwu kamer przesyłany jest w jakości FullHD. Rys. 4. Złącza audio kodeka SX80 Kamery Nieodzownym elementem każdego kodeka jest kamera a w przypadku serii SX80 firma Cisco przewidziała wybór jedną trzech możliwości. Parametry poszczególnych kamer przedstawione zostały w tabeli 1. Kamera PHD 1080p 4x jest podstawowym rozwiązaniem zapewniającym obraz wideo w jakości 1080p (60 kl./sek.) oraz czterokrotnym zoomem optycznym (ośmiokrotnym zoomem cyfrowym). Drugą z kolei jest kamera Precision 60, różniąca W SpeakerTrack 60 wykorzystano unikalny system dwóch kamer, z których jedna lokalizuje aktywnego prelegenta przedstawiając go w zbliżeniu, druga w tym czasie lokalizuje kolejnego rozmówcę. Dzięki nowoczesnemu procesorowi następuje bardzo szybkie, bezpośrednie przełączenie rozmówcy, przez co uczestnik po drugiej stronie wideokonferencji ma odczucie prawdziwego spotkania. Należy dodać, że obraz z obydwu kamer przesyłany jest w jakości FullHD. Cisco TelePresence SX10 Quick Set Rys. 5. Złącza wideo oraz złącza funkcjonalne kodeka SX80 się od swojej poprzedniczki lepszą optyką i większym polem widzenia. Na szc zególną uwagę zasł uguje kamera, precyzyjniej mówiąc system kamer SpeakerTrack 60, który jest całkowitą nowością w tej gamie. Podczas typowej wideokonferencji, kamera domyślnie rejestruje całą salę konferencyjną. W SpeakerTrack 60 wykorzystano unikalny system dwóch Biuletyn Informacyjny SOLIDEX® Cisco TelePresence SX10 Quick Set, to urządzenie „all in one” przeznaczone do użytku przede wszystkim w małych pomieszczeniach. Mobilne rozwiązanie pozwala na stworzenie przestrzeni wideo prawie w każdym miejscu. Kompaktowy kodek z wbudowaną wysokiej jakości kamerą i mikrofonem mogą zostać zamontowane na płaskim telewizorze (zestaw wyposażony w specjalny uchwyt) i zasilone za pomocą sieci Ethernet (PoE). SX10 zapewnia wysoką rozdzielczość przesyłanego obrazu (1080p 30kl./sek.), a szeroki kąt pola widzenia pozwala na zapewnienie udziału w spotkaniu nawet kilku osobom. 35 ROZWIĄZANIA PHD 1080p 4x Precision 60 Rozdzielczość 1080p60 (60 kl./sek.) 1080p60 (60 kl./sek.) 1080p60 (60 kl./sek.) Pole widzenia 43,5° w pionie 70°w poziomie 48,8° w pionie 80° w poziomie 80° w poziomie obsługująca funkcję HFOV 4 x optyczny 8 x cyfrowy 10 x optyczny 20 x cyfrowy Każda z kamer: 10 x optyczny 20 x cyfrowy HDMI HDMI oraz 3G-SDI 2xHDMI oraz 3G-SDI Zoom Wyjścia wideo Sposób montażu Zakres obrotu/ kąt nachylenia Podwieszana lub stojąco, z ręcznym ustawieniem obrazu SpeedTrack 60 Podwieszana lub stojąco, z Nie może zostać zamontowana automatycznym ustawieniem pod sufitem. obrazu -90° do +90°/-25 do +15° -100° do +100°/-20° do +20° Każda z kamer: -100° do +100°/-20° do +20° Tabela 1. Cechy kamer współpracujących z kodekiem SX80 Dostępność Jak pokazują statystyki branżowe, obecnie ponad 93% sal konferencyjnych na całym świecie nie jest wyposażonych w wysokiej jakości rozwiązania do komunikacji wideo. Cisco próbując zmienić ten trend wprowadza na rynek zaawansowane technologie, które pozwalają mobilnym i rozproszonym zespołom komunikować się w taki sposób, jakby ich członkowie przebywali w jednym pomieszczeniu – a może nawet jeszcze lepiej. Solidex jako integrator sieciowy wpisuje się w to działanie poprzez nieszablonowe podejście do każdego z projektów i dobór optymalnego rozwiązania. Rys. 6. Urządzenie SX10 jako rozwiązanie „all in one” Opracowano na podstawie oficjalnych materiałów producenta. M.K. H.265 – High Efficiency Video Coding (HEVC) – standard kompresji wideo opracowany przez grupę Moving Picture Experts Group. Został następcą standardu H.264, a jego zadaniem jest obsługa rozdzielczości do 7680x4320 – UHDTV. Pliki zakodowane w standardzie H.265 mają zajmować dwa razy mniej miejsca niż kompresowane za pomocą standardu H.264, przy zachowaniu takiej samej jakości. 1 36 Integrujemy przyszłość® Numer: III/2014 (128) EMC Data Domain – macierz zabezpieczająca z wykorzystaniem techniki deduplikacji W obecnych czasach każde z przedsiębiorstw funkcjonujące na rynku gromadzi coraz większą liczbę danych, które musi przechowywać w swoich zasobach pamięci dyskowych co wiąże się z dużym wyzwaniem. Aby ułatwić to zadanie firma EMC poza standardowymi macierzami oferuje także linię zabezpieczających pamięci masowych na potrzeby kopii zapasowych oraz archiwizacji z funkcją deduplikacji w celu oszczędności przestrzeni dyskowych pamięci. Deduplikacja na przechowywany blok. Biorąc pod uwagę, że dany blok może powtórzyć Deduplikacja to specjalna metoda się setki lub tysiące razy (częstokompresji danych w celu wyelimino- tliwość powtórzeń zależy od rozmiaru wania kopii powtarzających się bloków bloku), ilość przechowywanych lub danych. Używana jest dla polepszenia przesyłanych danych ulegnie redukcji. utylizacji pamięci masowych oraz Przeciętne zmniejszenie ilości pamięci może być wykorzystywana w trans- wymaganej do przechowywania ferze danych w sieci dla zredukowania danych wynosi od 10 do 30 razy. ilości wysyłanych bajtów danych. W rezultacie przechowywanie danych W procesie deduplikacji unikalne bloki na dysku staje się wydajną alternatywą danych lub wzorce bajtowe są identy- do używania taśm jako nośnika kopii fikowane i zapisywane w procesie zapasowych oraz danych archiwalnych. analizy danych. Na dalszym etapie Dane przechowywane w taki sposób analizy inne bloki danych są z nimi mają większą dostępność oraz już porównywane i kiedy wzorzec się zdeduplikowane mogą być wydajniej powtórzy jest zastępowany małym przesyłane do innych ośrodków w celu o d n i e s i e n i e m w s k a z u j ą c y m przechowywania. Biuletyn Informacyjny SOLIDEX® Deduplikacja w locie Deduplikację dzielimy ze względu na moment przeprowadzenia procesu analizy danych deduplikowanych. Pierwszym typem jest deduplikacja na danych przechowywanych. Polega na uruchomieniu procesu analizy w momencie gdy dane są już przechowywane na nośniku docelowym. Drugi rodzaj to deduplikacja w locie, czyli przed nastąpieniem procesu zapisu, w trakcie kopiowania danych na nośnik docelowy. W efekcie na nośniku docelowym zapisywane są dane zdeduplikowane, czyli niepowtarzające się bloki danych oraz odnośniki w miejscach wystąpienia 37 ROZWIĄZANIA Skalowalna pamięć masowa z deduplikacją Rys. 1. Ogólny schemat działania rozwiązania Data Domain Deduplikacja umożliwia tak wydajne przechowywanie danych, że ilość przestrzeni zajmowanej przez wielomiesięczne kopie, w przypadku braku deduplikacji zapełniłyby taką samą fizyczną przestrzeń w kilka dni. Dzięki znacznej redukcji ilości danych wskutek deduplikacji: dla kopii zapasowych 10 – 30 krotnie oraz do 5 krotnie dla danych archiwizowanych, EMC Data Domain znacznie redukują także ilość przestrzeni zajmowanej przez system kopii zapasowych oraz archiwum danych. W środowiskach, które potrzebują przechowywać kopie danych przez dłuższe okresy, wskazane jest oprogramowanie dedykowane do przedłużonego przechowywania danych. Wymaganie te spełnia EMC Data Domain Extended Retention, obejmujące przedłużoną ochroną do 100 PB danych. Deduplikacja umożliwia tak wydajne przechowywanie danych, że ilość przestrzeni zajmowanej przez wielomiesięczne kopie, w przypadku braku deduplikacji zapełniłyby taką samą fizyczną przestrzeń w kilka dni. Architektura gwarantująca nienaruszalność danych kopii danych. Systemy EMC Data obliczeniowej procesorów, nie jest Domain oferują rozwiązanie drugiego zaś powiązana jedynie z prędkością EMC Data Domain została zaprojektypu, najszybsze w branży rozwią- obrotową dysków. towana jako pamięć masowa ostatniej zanie pamięci masowych z dedupliszansy, zbudowana dla zapewnienia kac ją zapewniając e ogromną przepustowość – 31 TB/h. Kluczowym elementem pozwalającym na osiągniecie tak dobrych efek t ów jest archit ek tura SISL (Stream-Informed Segment Layout) która korzysta z faktu, że prędkość produkowanych procesorów ciągle wzrasta, zaś prędkość odczytu/zapisu na dyski, a więc iloś ć dostępów do danych w czasie obrotu dysku nie zmienia się drastycznie od wielu lat. Dzięki SISL , Dat a Domain deduplikuje dane w locie identyfikując duplikujące się segmenty danych w pamię ci, co znac ząco zmniejsza użycie dysków. Dzięki temu przepustowoś ć systemów Rys. 2. Schemat przedstawiający weryfikację poprawności danych w systemie Data Domain jest zależna od mocy 38 Integrujemy przyszłość® Numer: III/2014 (128) DD160 DD620 DD2500 DD4200 1.8 - 9.4 PB 5.6 - 28.4 PB DD4500 2.8 - 14.2 PB 11.4 - 57.0 PB DD7200 4.2 - 21.4 PB 17.1 - 85.6 PB DD990 5.7 - 28.5 PB 20 - 100 PB Logical Capacity 40 - 195 TB 83 - 415 TB 1.3 - 6.6 PB Max. Throughput (Other) 667 GB/hr 1.1 TB/hr 5.3 TB/hr 10.2 TB/hr 10.2 TB/hr 11.9 TB/hr 15.0 TB/hr Max. Throughput (DD Boost) 1.1 TB/hr 2.4 TB/hr 13.4 TB/hr 22.0 TB/hr 22.0 TB/hr 26.0 TB/hr 31.0 TB/hr Rys. 3. Specyfikacja Data Domain niezawodnego odzyskania danych. Architektura nienaruszalności danych EMC Dat a Domain (EMC Data Domain Data Invulnerability Architecture) jest integralną częścią każdego systemu Data Domain zapewniającą najlepszą w branży ochronę przed problemami z integralnością danych. Głównymi cechami są weryfikacja zapisu i odczytu w locie chroni oraz automatyczna naprawia błędów integralności danych. Przechwytywanie oraz korekcja błędów wejścia/ wyjścia w locie podczas procesu tworzenia kopii zapasowej eliminuje potrzebę powtarzania wykonywania kopii zapewniając kompletność kopii na czas oraz spełniając umowy warunkujące poziom usług. W dodatku w odróżnieniu od innych systemów pamięci typu enterprise, EMC Data Domain dostarcza ciągłe wykrywanie błędów oraz samoleczenie, co zapewnia że dane pozost ają odzyskiwane w swoim cyklu życia na systemie Data Domain. Wdrażanie systemu EMC Data Domain nie wymaga zmiany w procesie ani infrastrukturze, można więc szybko i wydajnie zauwa ż yć war toś ć deduplikacji. Wszystkie wiodące aplikacje backupowe oraz archiwizujące są wspierane przez EMC Data Domain. Dodatkowo użytkownicy mogą wykorzystać system Data Domain jako docelowe miejsce dla narzędzi ochrony aplikacji takich jak Oracle RMAN. Można również zapisywać w nim dane bezpośrednio z użyciem protokołów CIFS lub NFS z obsługą różnych rodzajów obciążeń, w tym również archiwalnych. Z uwagi na możliwość jednoczesnych metod dostępu, takich jak NFS, CIFS, VTL, NDMP, EMC Data Domain Boost, ze wszystkich aplikacji oraz narzędzi można korzystać w systemie w tym samym czasie. Zwiększa to konsolidację zabezpieczającej pamięci masowej. System może być widoczny dla użytkowników oraz aplikacji jako: • serwer plików z dostępem po protokołach CIFS i NFS w sieci Ethernet • jako wirtualna biblioteka taśmowa przez Fibre Channel Bezszwowa integracja • serwer taśmowy NDMP poprzez Systemy Data Domain integrują się Ethernet w prosty sposób z istniejącą infra- • docelowy dysk używający specyfistrukturą oraz mogą być używane kowanych dla aplikacji interfejsów, jak z wieloma aplikacjami używanymi Data Domain Boost. do backupu i archiwizacji danych. Biuletyn Informacyjny SOLIDEX® Konsolidacja tworzenia kopii zapasowych oraz archiwizacji Systemy EMC Data Domain są pierwszymi i jedynymi na rynku systemami deduplikacji w locie, wspierającymi tworzenie kopii zapasowych oraz archiwizację. Funkcja ta pozwala na redukcję kosztów posiadania ( TCO) poprzez dzielenie zasobów przez backup oraz archiwum danych. Dokładnie mówiąc, system Data Domain może być wykorzystany jako system kopii oraz odzyskiwania danych dla oprogramowania przedsiębiorstwa (włączając w to Oracle, Microsoft,VMware i IBM oraz systemy typu mainframe) jak i archiwizowania (plików, poczty, danych firmowych jak i baz danych). Systemy Data Domain chronią aplikację w sposób wydajny kosztowo poprzez integrację z wiodącymi aplikacjami do archiwizowania danych, jak EMC SourceOne oraz Symantec Enterprise Vault. Dzięki konsolidacji na pojedynczą pamięć masową z deduplikacją eliminuje się wielki system storagowy oraz związane z nim kwestie zarządzania, przestrzeń potrzebną w serwerowni, zasilanie i chłodzenie. Dodatkowo dzięki oprogramowaniu blokady pr ze c howywania danyc h E MC 39 ROZWIĄZANIA dostarczają różne scenariusze replikacji, takie jak: mirrorowanie całego systemu, replikację dwukierunkową, „wiele na jeden”, „jeden na wiele” oraz replikację kaskadową. Przy użyciu scenariusza ‚wiele na jeden’ dane z do 270 źródeł mogą spływać na jeden system Data Domain. Prostota użytkowania Systemy EMC Data Domain są bardzo proste we wdrożeniu oraz zarządzaniu, Rys. 4. Schemat replikacji danych w konfiguracji all-to-one co obniża koszty administracyjne oraz operacyjne. Administratorzy mają Data Domain (EMC Data Domain EMC Data Domain Replicator może dostęp do Data Domain poprzez CLI, Retention Lock) systemy spełniają kopiować 52Tb/h przez 10Gb sieć. Data SSH oraz przez Data Domain System polityki organizac ji rz ądowych Domain dzięki deduplikacji danych Manager, przeglądarkowy interfejs dotyczące archiwizowania danych. kopiuje tylko niepowtarzające się bloki graficzny. Wstępna konfiguracja danych, dzięki czemu wymagają tylko oraz updatowanie mogą być prosto Szybkie, wydajne części czasu, szerokości pasma oraz przeprowadzone dla wielu systemów kosztów wymaganych przez trady- wra z z monit orowaniem st anu i skalowalne przywracanie cyjne systemy. Może to zredukować systemu oraz jego funkcjonowania. poawaryjne szerokość pasma o 99% czyniąc repli- Prostota w oskryptowaniu oraz Gdy dane są umieszczane na EMC Data kację szybką, godną zaufania oraz tanią. zarządzanie przez SNMP dostarcza Domain, natychmiast zostają zrepli- Dla podwyższenia poziomu bezpie- dodatkową wydajność w zarządzaniu. kowane do miejsca przechowywania czeństwa dane replikowane przez Dodatkowo wszystkie systemy Data danych na wypadek awarii. By sprostać Data Domain mogą być szyfrowane Domain posiadają automatyczną wymaganiom przywracania danych, z użyciem SSL. Systemy Data Domain funkcję rapor towania call-home, DD160 DD620 DD2500 DD4200 DD4500 DD7200 DD990 Maximum Throughput (Other) 667 GB/hr 1.1 TB/hr 5.3 TB/hr 10.2 TB/hr 10.2 TB/hr 11.9 TB/hr 15.0 TB/hr Maximum Throughput (DD Boost) 1.1 TB/hr 2.4 TB/hr 13.4 TB/hr 22.0 TB/hr 22.0 TB/hr 26.0 TB/hr 31.0 TB/hr 40-195 TB 83-415 TB 1.3-6.6 PB 1.8-9.4 PB 2.8-14.2 PB 4.2-21.4 PB 5.7-28.5 PB 5.6-28.4 PB 11.4-57.0 PB 17.1-85.6 PB Up to 100 PB Logical Capacity1 Logical Capacity w/DD Extended Retention Max Usabe Capacity Up to 3.98 TB Up to 8.3 TB Up to 133 TB Max Usabe Capacity w/ Extended Retention ES30 Shelves Supported Drive Type Up to 189 TB Up to 285 TB Up to 428 TB Up to 570 TB Up to 569 TB Up to 1.1 PB Up to 1.7 PB Up to 2.0 PB - - 2 TB, 3 TB 2 TB, 3 TB 2 TB, 3 TB 2 TB, 3 TB 1 TB, 2 TB, 3 TB SATA SATA SAS SAS, SATA SAS, SATA SAS, SATA SATA Tabela 1. Specyfikacja modeli systemu EMC Data Domain 40 Integrujemy przyszłość® Numer: III/2014 (128) z w a n ą au t o w s p a r c i e m , k t ó r e dostarcza powiadomienia pocztą elektroniczną statusu do EMC oraz wybranych administratorów. Ten system alarmowania oraz gromadzenia danych umożliwia proaktywne wsparcie oraz serwis bez interwencji administratora dodatkowo upraszczając zarządzanie systemem. masowej kopii zapasowych od 10 do 30 krotnie. Zmniejszone są również (do 5 krotnie) wymagania dotyczące systemu archiwizacji. Dzię k i architek tur ze zapewniającej nienaruszalność danych Data Domain weryfikuje dane w trakcie zapisu i odczytu „w locie”, gwarantując ciągłe wykrywanie i naprawę błędów. Dostarcza także podwójną parzystość Podsumowanie dysków RAID-6. Data Domain łatwo się integruje System EMC Data Domain zapewnia dzięki obsłudze wiodących aplikacji szybką deduplikację w trakcie zapisu do obsługi kopii zapasowych i archido 31TB/h. Szybkość deduplikacji wizacji danych, plików, poczty elektrogłównie zależy od mocy oblicze- nicznej oraz środowisk wirtualnych. niowej procesorów a nie od prędkości Dostarcza również wydajną konsoliużytych dysków. dację systemu kopii zapasowych z archiDzięki deduplikacji zmniejszone wizacją danych oraz zapewnia zgodność są wymagania dotyczące pamięci z przepisami prawa dotyczącymi przechowywania danych. Pozwala szybko i wydajnie przywracać dane po awarii, redukując wymagania dotyczące przepustowości sieci do 99% oraz umożliwiając replikację nawet 270 ośrodków na jeden system. Dzięki prostej obsłudze obniża również koszty zarządzania. Ponadto dostarcza system zgłoszeń automatycznych oraz zdecydowanie zmniejsza wymagania dotyczące przestrzeni do przechowywania systemu kopii zapasowych i archiwizacji. Opracowano na podstawie oficjalnych materiałów producenta. P.C. Autoryzowane szkolenia Cisco w SOLIDEX! Zapraszamy: Kraków, ul. J. Lea 124 Warszawa Złote Tarasy, ul. Złota 59 Biuletyn Informacyjny SOLIDEX® szczegóły na str. 43 41 Warsztaty Check Point Next – Generation Firewall R76 Centrum Szkoleniowe SOLIDEX przygotowało dla Państwa nową propozycję szkoleniową – Warsztaty Check Point Next – Generation Firewall R76. Program warsztatów obejmuje następujące zagadnienia: Instalacja produktów, Aktualizacja oprogramowania, Tworzenie polityk bezpieczeństwa, Dostępne mechanizmy translacji adresów oraz ich konfiguracja, Tworzenie i konfiguracja tuneli VPN S2S oraz Remote Access, Tworzenie i konfiguracja tuneli SSL VPN, Ochrona przez atakami – IPS, Content Security, Integracja z ActiveDirectory – budowanie polityk bezpieczeństwa w oparciu o tożsamość użytkownika, Kontrola aplikacji na firewallu, Konfiguracja klastra wysokiej dostępności. Szczegółowy opis warsztatów oraz harmonogram znajdą Państwo na stronie: http://www.SOLIDEX.com.pl/oferta/warsztaty Integrujemy przyszłość® Autoryzowane Szkolenia Cisco System Program SOLIDEX® ICND1 ICND2 CCNAX ROUTE SWITCH TSHOOT BGP MPLS QOS IINS SENSS SITCS SISAS SIMOS SASAA SASAC SWISE ACS SASSL SISE ICOMM CVOICE WMNGI CUWN CIPT1 CIPT2 CWLMS IP6FD IUWNE DESGN ARCH IPS SAEXS Interconnecting Cisco Network Devices Part 1 Interconnecting Cisco Network Devices Part 2 Interconnecting Cisco Networking Devices: Accelerated Implementing Cisco IP Routing Implementing Cisco IP Switched Networks Troubleshooting and Maintaining Cisco IP Networks Configuring BGP on Cisco Routers Implementing Cisco MPLS Implementing Cisco Quality of Service Implementing Cisco IOS Network Security Implementing Cisco Edge Network Security Solutions Implementing Cisco Threat Control Solutions Implementing Cisco Secure Access Solutions Implementing Cisco Secure Mobility Solutions Implementing Advanced Cisco ASA Security Implementing Core Cisco ASA Security Implementing Cisco Identity Services Engine for Wireless Engineers Implementing Cisco Secure Access Control System Managing Advanced Cisco SSL VPN Implementing and Configuring Cisco Identity Services Introducing Cisco Voice and Unified Communications Administration Implementing Cisco Voice Communications and QoS Managing Cisco Wireless LANs Cisco Unified Wireless Networking Implementing Cisco Unified Communications Manager Part 1 Implementing Cisco Unified Communications Manager Part 2 Implementing CiscoWorks LMS IPv6 Fundamentals, Design, and Deployment Implementing Cisco Unified Wireless Networking Essentials Designing for Cisco Internetwork Solutions Designing Cisco Network Service Architectures Implementing Cisco Intrusion Prevention System Cisco ASA Express Security Infolinia: 800 49 55 82 Kraków Warszawa Centrum Kompetencyjno-Szkoleniowe SOLIDEX Złote Tarasy - Lumen, ul. Złota 59 www.SOLIDEX.com.pl Jak otrzymywać bezpłatnie numery INTEGRATORA? Serdecznie zapraszamy do podjęcia prenumeraty wszystkich dotychczasowych czytelników naszego kwartalnika i tych, którzy zechcą się do nich przyłączyć. Zainteresowanych prosimy o wypełnienie formularza na stronie: www.integrator.SOLIDEX.com.pl/prenumerata Bezpłatne wydawnictwo INTEGRATOR ukazuje się na rynku od 1994 roku. Jest to unikatowy na rynku specjalistyczny magazyn branżowy poświęcony tematyce profesjonalnych rozwiązań sieciowych i technologii towarzyszących. Redagowany od samego początku przez Zespół SOLIDEX S.A. ISSN 1233–4944 Redakcja: SOLIDEX S.A. ul. Lea 124, 30–133 Kraków tel. +48 12 638 04 80; fax: +48 12 638 04 70; e–mail: [email protected] Oddano do druku: sierpień 2014 Wszystkie znaki towarowe oraz nazwy produktów występujące w tekście są zastrzeżone przez ich właścicieli. www.integrator.SOLIDEX.com.pl
Podobne dokumenty
systemy emc data domain
Systemy Data Domain można łatwo integrować z istniejącymi infrastrukturami i można z nich bezproblemowo korzystać przy użyciu różnych aplikacji do obsługi tworzenia kopii zapasowych i archiwizacji....
Bardziej szczegółowo