egc snadno a rychle Ing. Zdeněk Jiříček, Ing. Václav Koudele
Rozměr: px
Začít zobrazení ze stránky:

Download "egc snadno a rychle Ing. Zdeněk Jiříček, Ing. Václav Koudele"

Transkript

1 egc snadno a rychle Ing. Zdeněk Jiříček, Ing. Václav Koudele

2 Národní strategie cloud computingu

3 Podporujeme

4 Stát by měl mít cloud computing strategii!

5 Zdroj: Masarykova univerzita Vhodná kombinace datových center státu a komerčních cloudových služeb. Nevymysleli jsme kolo.. Samuelson, Mankiw, Nordhaus

6 Kde existuje trh, nedeformujme trh dotovanými službami.

7 Dotovat speciální služby nebo tam kde neexistuje trh je adekvátní z hlediska výkonu správy a dozoru.

8 Jakou roli má soukromý sektor v egovernment cloudu?

9 Stát může mít prospěch ze sdílených služeb, které již dnes využívá soukromý sektor

10 Inovace je poháněna trhem!

11 6 příkladů klesání cen v Azure 1 st February 2013 Windows Azure SQL - snížení ceny o 82% 5 th December Windows Azure Storage - snížení ceny o 28% 24 th January Locally Redundant Disks/Page Blobs Storage - snížení ceny o 28%. Současně i Azure Storage transactions snížení ceny o 50% 31 st March compute snížení ceny o 35% a storage o 65% 2nd Sept D series (výkonné virtuály) snížení ceny o 27% 1st October 2015 A8-11 (virtuály) snížení ceny o 60%

12 Georedundance a vysoká dostupnost

13 Multiplatformnost a přenositelnost

14 Přenositelnost ano, ale na které úrovni? Úroveň Nástroje 3. SaaS (Aplikace) Migrace dat, otevřené datové formáty Data: W3C (XML) / ISO (PDF) / ISO (ODF) / ISO (OXML) Databáze: přenos pomocí utilit (datové pumpy) 2. PaaS (OS+Middleware) Přenositelnost aplikací: rekompilace / rekonfigurace v jiném prostředí Java,.NET, PHP, Python (podmínka: existence funkčních modulů) 1. IaaS (Hypervisor) Minimálně Windows Server a Linux (RedHat, SUSE...) Server na instrukční sadě X86 / X64 0. Procesor Binární kompatibilita pouze v rámci rodin procesorů např. X86 / X64, PowerPC, SPARC

15 Integrováno v Microsoft Azure Podporovaný ekosystém

16 Microsoft + Open Source

17 Hybridní cloudové modely, kategorizace dat, zabezpečení dat

18 Hybridní modely - Fáze 1: Azure Pack (on-premise) Scénář: Výstavba samoobslužného IaaS / PaaS ve státním cloudu Samoobslužný portál a katalog pro multitenantní služby IaaS / PaaS, a billing API (společná administrace)

19 Hybridní modely - Fáze 2: Backup & Disaster Recovery Scénáře: Záloha šifrovaných dat v cloudu DR 2 státních datacenter DR státního DC do MS Azure StorSimple: Inteligentní šifrované úložiště v cloudu Azure Azure Site Recovery: asynchronní replikace VM s DR mezi vlastními DC: v cloudu pouze metadata (orchestrace) DR v Azure: kompletní VM + replikace dat v Azure

20 Hybridní modely - Fáze 3: Azure Stack (postupně r. 2016) Scénáře: Zvládání výkonových špiček ve státním cloudu (př. státní maturity) Statistika, modelování, Open Data IoT: Chytrá města, optimalizace dopravy Služby vlastního DC v architektuře Azure cloudu Integrace komerčního cloudu Azure: pružné navyšování kapacity Jednotné prostředí pro vývoj, správu a údržbu

21 Hybridní scénáře pro a tým. spolupráci nebo Exchange (hosted), SharePoint (hosted) ve státním cloudu SharePoint Site = datová entita Cloud: SLA, verzování dokum., 1 TB osobní prostor Zřídit sites ve státním nebo komerčním cloudu dle hodnocení aktiv box on-premise nebo v cloudu; lze lehce přesunout v cloudu má výhodnější TCO Šifrování RMS nebo S/MIME Důvěrné přílohy lze zadržovat ve státním cloudu

22 Možné umístění informací v hybridním cloudu dle jejich hodnocení Informace přístupné pouze vymezenému okruhu pracovníků organizace nebo jiných příjemců (např. strategické informace, obchodně citlivé údaje, citlivé interní zprávy či reporty) Informace nepřístupné mimo organizaci, ale přístupné všem pracovníkům organizace (např. běžná interní komunikace, běžné zprávy či reporty) Např. spisová služba Informace přístupné mimo organizaci bez omezení Graf převzat ze studie BDO IT a.s.: Návrh modelu hybridního cloudu s využitím Office 365 a služeb privátního cloudu Microsoft (2016)

23 Příklad cyber inovací v cloudu: Exchange Online Advanced Threat Protection (ATP) Bezpečné přílohy ( ) Sandboxing příloh a scan jejich chování Ochrana ještě než skončí v Inboxu Proti zero-day útokům Bezpečné linky ( ) Time of user click URL protection Aktivuje URL přes dočasný proxy server (ten je v nebezpečí) Reputační databáze > 1 mil. URL linků 23

24 Ochrana u a dokumentů v Office 365 Advanced Threat Protection Safe Links Safe Attachments O365 Advanced Encryption Šifrování s hlavním klíčem pod kontrolou zákazníka Cloud App Security (Adallom) Auditní stopa činnosti uživatelů v cloudu Kontrola podezřelých aktivit Ochrana virtuálních strojů Azure Disk Encryption Šifrování celých VM Autentizace spuštění VM Antimalware for Azure Umí strojové učení v reálném čase Azure Security Center Dashboard, který sám upozorňuje na slabiny VM Ochrana databází Transparent Data Encryption Šifrování s hlavním klíčem pod kontrolou zákazníka SQL Always Encrypted Šifrování vybraných sloupců pod úplnou kontrolou zákazníka SQL Threat Detection Ochrana proti SQL injections červeně 24

25 Bezpečnost Možnosti splnění požadavků vyhl. č. 316/2014 Sb (VoKB) pro všechny úrovně hodnocení aktiv (viz Příloha 1 vyhlášky) nástroji Microsoft Azure a Office 365 studie jako podklad pro analýzu rizik a projekt zabezpečení dat 25

26 Zkušenosti ze zahraničí 26

27 Akreditace cloudových služeb v EU Španělsko National Security Framework dle Royal Decree No. 3 / 2010 Kategorie aktiv Basic/Medium/High Povinné pro organizace zpracovávající Medium a High level data Microsoft Azure a O365: certifikace v 03/2016 na úroveň High UK G-Cloud Dříve CESG Business Impact Levels (IL) 0-6 Nyní jen 4: Public/Official/Secret/TopSecret Akreditace = Informed Business Decision Viz vysvětlení UK Cabinet Office Microsoft Azure a Office 365 již měly akreditaci CESG IL 2, nyní Official 27

28 ZJ Zkušenosti ze zahraničí: UK, DK, SK, DE, AT, EE Obecná pravidla v EU (kromě Slovenska): Státní podniky IT služeb převzaly odštěpením některá historická datová centra a dále je inovují v rámci vlastní nákladovosti Státní investice mimo nákladový model by byla považována za nepovolenou státní podporu Pokud nabízí úřadům mimo vlastní rezort, je to na bázi volné soutěže Zjištěné výjimky Rakousko: služby státních DC dle zákona o IS kritické infrastruktury státu Dánsko: rozšířený status Statens IT k realizaci legislativních změn v IT 7 ministerstvům, avšak tržní dopad ještě nejasný. Nemá formu zákona.

29 Slovenská republika Dobře: silný politický mandát v oblasti IT strategie Špecifika: Investice 250m na 2 nová státní datová centra, 85% EU Strukt. fondy Záměr vybrat jednoho dodavatele aplikací s flat licence na 5 let pro celou veřejnou správu Obdobný postup i v případě Datového centra obcí a měst ( vybrat jednoho dodavatele radničních aplikací Riziko nepovolené státní podpory v oblasti kde funguje trh Otázka lock-in veřejné správy po vypršení 5-leté licence Otázka financování obměny HW a SW dat. center po 5 letech Zafixování cen na 5 let, zatímco trh snižuje ceny nebo zvyšuje hodnotu

30 Cíle Zajistit digitální kontinuitu egov služeb i v případě kybernetického nebo fyzického útoku Hostovat kritické služby egovernmentu v důvěryhodných cloudech v zahraničí Program vyhlášen r. 2014: Min. hospodářství a komunikací Gov CIO Taavi Kotka i-policy; Postimes.ee Video-architekt.; Video-prez. Pilotní testy Nejprve Backup, pak Disaster Recovery Testy Nov-Dec 2014: překlopení a (e-sbírka zákonů) do Microsoft Azure Později celou páteř egovernmentu: 30

31 Zapamatujme si Konsolidace prostřednictvím cloudu je správný a nevyhnutelný směr Umět využít výhody které přináší trh Pro určité typy systémů by měl mít stát svá vlastní datové centra Důležitá je srozumitelnost

32 SPCSS, NAKIT atd

33 Děkujeme

Podobné dokumenty
2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář