egov Cloud pohledem IBM Petr Leština petr_lestina@cz.ibm.com duben 2016
Agenda IBM komentáře k dokumentu "Národní strategie cloud computingu" Referenční architektura pro cloud, hybrid cloud a g- cloud Implementace g-cloudu v zahraničí - zkušenosti z implementací (CalCloud - California Cloud a další) Doporučení a zkušenosti z IBM projektů IBM Corporation 2
Komentáře k dokumentu Národní strategie Komentáře a faktické poznámky IBM Corporation 3
Co bude provozovat egc Ve státním cloudu budou provozovány ty ICT služby, které: spravují data strategického významu a stát je nechce ukládat na komerční infrastruktuře, mají jedinečnou funkcionalitu, která není na trhu standardně nabízena (např. aplikace na podporu agend VS), mají funkcionalitu, která musí být totožná pro všechny uživatele VS (to se zejména týká ICT služeb na podporu agend přenesené odpovědnosti), jsou pod působností zákona o kybernetické bezpečnosti v kategorii významné informační systémy a kritická informační infrastruktura V komerčním cloudu budou provozovány všechny ostatní ICT služby. v komerčním cloudu bude konkurenční prostředí (tatáž služba bude moci být nabízena více dodavateli) Státní cloud bude de-fakto hosting centrem...komerční cloud bude portálem pro cloud služby poskytovatelů (IBM, MS...) IBM Corporation 4
Komoditní ICT služby a jejich charakter Od r. 2017 zahájit nákup a provoz komoditních ICT služeb ve VS pomocí veřejně dostupného portálu, který bude nabízet certifikované ICT služby dodávané komerčním cloudem. Komoditní služby musí splňovat určité parametry: /1/ Pro více odběratelů konzumentů /2/ Přístupné formou samoobsluhy /3/ Funkčně stejné a jednoznačné pro všechny odběratele včetně procesu dodávky /4/ Transparentní kdo je odběratelem/konzumentem /5/ Monitorovatelné /6/ Zúčtovatelné (KDO použil CO za JAK DLOUHO a za KOLIK Kč) IBM Corporation 5
Třetí fáze (2018-2020) Standardizace Třetí fáze (2018-2020) je zaměřena na standardizaci aplikací (tj. aby tutéž funkcionalitu různým OVM zajišťovala ze státního cloudu jediná standardní aplikace, nebo v případě komerčního cloudu několik málo aplikací s obdobnou funkcionalitou). Základem vstupem pro standardizaci je servisní katalog. Ten určí nejen jaké aplikace a služby bude cloud nabízet, ale bude reprezentovat aplikační standard pro různé agendy. Pokud se aplikace do katalogu nedostane bude to znamenat: (a) aplikace je natolik specifická, že má pouze jediného klienta, proto ji nemá smysl nabízet jako službu (b) aplikaci v reálu nikdo nevyužívá neboť její funkce je realizována v jiném systému/systémech. IBM Corporation 6
Třetí fáze (2018-2020) Zjednodušení a zrychlení nákupu Cíle a benefity fáze 3: zjednodušení a zrychlení nákupu standardních aplikací komoditního charakteru Další automatizace pracovních postupů; tam kde to bude možné bude požadavek v cloudu realizován procesně definovanou cestou, kterou IT zajistí bez nutnosti manuálního lidského zásahu. (např. na to aby se vytvořila e-mail schránka nebude muset uživatel nikam telefonovat, ale požadavek takzvaně vykliká a při splnění požadovaných vstupních kritérií se i zrealizuje Pravidla schvalování investičních záměrů Tento bod bude schopen cloud řešit částečně... Cloud je schopen tento bod adresovat pro opakovatelné a často požadované služby. Aplikace a systémy, které budou mít vymezený účel a pouze omezenou skupinu uživatelů budou muset být provozovány MIMO CLOUD (armáda, NBÚ apod) IBM Corporation 7
Efektivita využívání služeb v cloudu Subjekty, kterých se G-Cloud týká: Čím více konzumentů službu využívá, tím je ve finále levnější... Utilizace (použití) cloudu a jeho služeb je pak efektivnější. Používá-li cloud pouze omezená skupina uživatelů, je provoz cloudu neekonomický. Best Practice IBM: Aby dávalo ekonomický smysl budovat cloud, musí být počet konzumentů cloud služby v řádu minimálně stovek uživatelů. Cloud by měl mít v servisním katalogu alespoň jednotky různých služeb. Službu přidám do cloudu, pokud bude odběrateli požadována, nebo jsem schopen zajistit odběr pro desítky konzumentů IBM Corporation 8
Snižování cen ICT služeb Všechny ostatní ICT služby mohou být nabízeny jak státními, tak komerčními poskytovateli. Tím se dosáhne potřebné konkurence a tlaku na snižování cen ICT služeb. IBM doporučení: Apeloval bych na formulaci tlak na snižování cen ICT služeb. I když je služba komodita, její cena by měla být stanovena konfigurátorem a volbou parametrů by pak byla určena celková cena za stanovený časový interval. Výběr služby by tedy měl být multi-faktoriální (tzn. služba není definovaná jen a pouze cenou). V cloudu by by-design NEMĚLO fungovat třídění služeb pouze podle ceny. Uživatel by měl být motivován a veden k tomu, aby používal to co potřebuje ke své práci tak, aby fungoval produktivně efektivně. IBM Corporation 9
Referenční architektura pro Cloud Computing Komentáře a faktické poznámky IBM Corporation 10
IBM Referenční architektura pro Cloud Computing Agreguje IBM zkušenosti z implementací projektů cloud computingu Cloud-enabled data center / building IaaS Platform Services CCRA 3.0 Cloud Service Provider Building SaaS Metodicky vede k návrhu IaaS, PaaS, SaaS cloudu Common Reference Architecture Foundation Obsahuje micro-patterny a macropatterny které definují Cloud Service Consumer Cloud Services Cloud Service Provider Common Cloud Platform (CCMP) Cloud Service Creator architekturu, návrh a implementaci cloudu Cloud Service Integration Tools Existing & 3 rd party services, Partner Ecosystems Business-Processas-a-Service Software-as-a-Service V návrhu (CCRA) je reflektována: Operational Support Services (OSS) Business Support Services (BSS) Service Creation Tools Metodika pro klienty Cloud = Poskytování služeb Consumer In-house IT Platform-as-a-Service Infrastructure-as-a-Service Cloud služba formou SW/HW appliance Cloud funkce v samotných SW/HW produktech Infrastructure Security, Resiliency, Performance & Consumability Governance IBM Corporation 11
Infrastructure Mgmt Interfaces Platform Mgmt Interfaces Software Mgmt Interfaces BP Mgmt Interfaces Referenční arcihtektura Popisuje Operational Services a Business Services potřebné k implementaci různých cloud modelů Cloud Service Consumer Cloud Service Provider Cloud Service Creator Consumer End user Cloud Service Integration Tools Cloud Services Existing & 3 rd party services, Partner Ecosystems API BPaaS Common Cloud Platform OSS Operational Support Services Service Delivery Catalog Service Manager BSS Business Support Services Customer Account Service Offering Catalog Business Manager Service Offering Service Component Developer Service Composer Service Integrator Consumer Business Manager Consumer Inhouse IT API API SaaS PaaS Service Consumer Portal & API Service Automation Service Request Provisioning Monitoring & Event Change & Configuration Incident & Problem IT Asset & License Image Lifecycle IT Service Level Capacity & Performance Contracts & Agreement Subscription Service Request Pricing Order Entitlement Metering Rating Billing Service Development Portal & API Offering Manager Service Creation Tools Service Development Tools Business Processes Applications Middleware Infrastructure Service Consumer Administrator API IaaS Platform & Virtualization Deployment Architect Transition Manager Infrastructure Operations Manager Clearing & Settlement Service Provider Portal & API Accounts Payable Security & Risk Manager Accounts Receivable Customer Care Service Runtime Development Tools Software Development Tools Image Creation Tools Security, Resiliency, Performance & Consumability Governance IBM Corporation 12
Příklady ze zahraničí a zkušenosti z reálných projektů California Cloud UK gcloud Slovensko IBM Corporation 13
CalCloud v USA California Department of Technology (OTech) je poskytovatel IaaS Cloud služeb všem státním institucím/agendám ve státě Kalifornie USA Jedná se o Dedikovaný Privátní Cloud IBM je generální dodavatel poskytoval cloud technologií, OTech je provozovatelem celého řešení Profil OTech zaměstnává 700 lidí Podpora pro více jak 3,000 lokací ve všech 58 regionech v rámci Kalifornie. Infrastruktura soustředěna do 2x Tier III Data Center Hlavní služby: Servery, ukládání dat & Síťová infrastruktura, Email, Hostování aplikací 500 zákazníků ze sektoru státní správy IBM Corporation 14
California Cloud koncept CalCloud Flexibility Security and isolation Control Multiple technology platforms Competitive Pay-as-yougo CalCloud A CalCloud B Dedicated virtual private cloud Shared cloud services Dedikovaný privátní cloud (IaaS) pro státní instituce v USA. Služba je na úrovni státního institutu, na úrovni privátní sítě (LAN/WAN) včetně zabezpečení a veškerého HW/SW Cloud řešení dodáno na klíč IBM. CalCloud poskytuje hardware, software, portal a OS administraci (patching) jako službu Účtování a platba je za konzumaci IT prostředků - žádné dopředné náklady. Self-Service business model (web portal) a servisní katalog IBM Corporation 15
CalCloud jako poskytoval cloud služeb CalCloud poskytuje cloudové služby služby pouze státním institucím; cena a kvalita služby je dopředu jasná, snížení ceny je možné docílit pouze vyšším odběrem (volume discounts) State departments Small Businesses Cities Consortia TOM CalCloud Counties Public healthcare organizations Universities School systems 16 IBM Corporation 16
Bezpečnost Řešení prošlo 1500 bezpečnostními parametry definovanými OTech Parametry převzaté z ISO/IEC 27002 (IT Security standards) a FEDRamp (Federal Risk and Authorization Program) ITIL implementován pro Coordinated Security Incident Handling Coordinated Change Control OTech Managed Vulnerability Scanning (identifikace zranitelností) Data ve vlastnictví státu (VMs, virtual disks, data sets..) Lustrace poskytovatelů technolgií a služeb NDA podepsané s dodavateli Prinicpy: Least Privilege a Separation of Duties Správa prostředí pouze z teritoria USA Unikátní přistupová práva pro každého klienta/konzumenta cloud služeb (NO SHARED CREDENTIALS) IBM Corporation 17
Klíčové zkušenosti z projektu Nákup služby The CalCloud self-service web portal je založen na principu nákupního košíku a balíčku konfigurací. Cena za služby Ceny za pronájem serveru jsou MĚSÍČNÍ, ceny zahrnují OBJEMOVÉ slevy, ceny se stanovují v KONFIGURÁTORU. Servisní katalog IaaS, PaaS, SaaS Bezpečnost Úroveň zabezpečení v cloudu byla nastavena na stejnou nebo vyšší než měla infrastruktura v tradičních datacentrech mimo cloud Zabezpečení a podpora standardů naplněna dle regulativních požadavků včetně bezpečnostních požadavkůch konzumentů cloud služeb IBM Corporation 18
Více info online na http://www.servicecatalog.dts.ca.gov/ IBM Corporation 19
Cloud GOV.UK Je GOV.UK cloud tvořen státem vlastněnými a privátními datový centry? Ano, pokud například státní instituce poskytují cloudové služby externě, jsou součástí G-Cloud katalogu. Mimo G-Cloud datacentra existují státem vlastněná datacentra, která nejsou součástí G-Cloudu Jaká pravidla určují, které služby budou provozovány ve státním a které v komerčním cloudu? Umístění dat je dáno jejich klasifikací (official, secret, top secret) a podle tohoto kritéria je určeno, ve kterém datacentru budou data umístěna a také mechanismus jejich uložení (kryptování) Mohou si služby státního a komerčního cloudu konkurovat? Orgány státní správy mohou využívat služby G-Cloudu, ale není to jejich povinnost. Jaký je počet národních datových center v UK? V UK je provozováno 100+ státem vlastněných datacenter různé velikosti IBM Corporation 20
Slovensko Cloud služby jsou nabízeny prostřednictvím Ministerstva Vnitra & Financí Cloud na MF v provozu Cloud na MV ve fázi implementace Datová centra budou poskytovat jedinečné služby (tzn. odlišné servisní katalogy); budou se vájemně zálohovat pro případ výpadku Cloud na MF je typu IaaS provozuje cca 300 VM, zákazníci jsou z MF Technologie jsou od několika dodavatelů Rozvoj: Implementace PaaS předpokládána v r.2016 IBM Corporation 21
Děkuji za pozornost