Virtuální datové centrum a jeho dopad na infrastrukturu sítě

Podobné dokumenty
Jednotná komunikace a síťová infrastruktura automatizace zabezpečení a správythere

Koncept. Centrálního monitoringu a IP správy sítě

Sjednotit, zjednodušit, posílit. posílit. Rackové servery Cisco UCS C-Series. Obchodní přehled

Aktivní bezpečnost sítě

Zákon o kybernetické bezpečnosti: kdo je připraven?

Koncept centrálního monitoringu a IP správy sítě

ZJEDNODUŠENÍ SÍŤOVÉ BEZPEČNOSTI UVNITŘ DATOVÉHO CENTRA. Jaroslav Sedláček network architect

Enterprise Mobility Management

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Cloud. Nebo zatím jen mlha? Workshop Day 2011 WG06 Jaromír Šlesinger, CA Technologies Bratislava, 13. október 2011

Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Flow Monitoring & NBA. Pavel Minařík

CA AppLogic platforma typu cloud pro podnikové aplikace

Virtualizace síťových prvků

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

IBM Tivoli Monitoring pro Virtuální prostředí

IBM Cloud computing. Petr Leština Client IT Architect. Jak postavit enterprise cloud na klíč IBM Corporation

Obsah. Úvod 13. Věnování 11 Poděkování 11

Budování infrastruktury v době digitalizace společnosti

FlowMon Vaše síť pod kontrolou

Flow monitoring a NBA

Praktické ukázky, případové studie, řešení požadavků ZoKB

Aby vaše data dorazila kam mají. Bezpečně a včas.

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Využití moderních přístupů při budování Technologického centra kraje

Efektivní a zabezpečená platforma pro váš hybridní cloud

Služby datového centra

Datasheet SanDisk Řada PCIe-SSD Fusion iomemory PX600 Server

Služby datového centra

Cloud Slovník pojmů. J. Vrzal, verze 0.9

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Desigo Control Point řešení pro ovládání a monitorování budov siemens.cz/desigo

Daniela Lišková Solution Specialist Windows Client.

Monitorování datových sítí: Dnes

FlowMon Monitoring IP provozu

Pokročilé zálohování a monitoring ve virtuálním prostředí

doba datová začne již za: Copyright 2012 EMC Corporation. All rights reserved.

Business Intelligence

Zabezpečené vzdálené přístupy k aplikacím případová studie. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Role technologií v čisté mobilitě Ing. Vlastimil Vyskočáni Manažer M2M Vertical

Extreme Forum Datová centra A10, VMWare, Citrix, Microsoft, Ixia

Alternativní řešení pro ochranu dat, správu infrastruktury a zabezpečení přístupu. Simac Technik ČR, a.s.

Nejlepší přítel správce sítě! Řešení bezpečnosti Vaší sítě v Cloudu. Pavel Minařík CTO, AdvaICT,a.s.

Identity Manager 4. Poskytujte okamžitý přístup ke zdrojům v rámci celého podniku

Představení Kerio Control

Bezpečná a efektivní IT infrastruktura

nástroj pro jednoduchou správu a vedení agendy studentských počítačových sítí na kolejích SU OPF Karviná Ing.

Cloud řešení na bázi hostitelských serverů VMWare, Cisco Nexus 1000V a technologie VXLAN

AddNet. Detailní L2 monitoring a spolehlivé základní síťové služby (DDI/NAC) základ kybernetické bezpečnosti organizace. Jindřich Šavel 19.9.

Michal Hroch Server Product Manager Microsoft Česká republika

1. Integrační koncept

Co je doma, to se počítá, aneb Jak ušetřit na komunikaci. Petr SOLNAŘ / Liberecká IS, a.s. Michal NOVÁK / SOITRON CZ, s.r.o

Co je Symantec pcanywhere 12.0? Hlavní výhody Snadné a bezpečné vzdálené připojení Hodnota Důvěra

Přechod na virtuální infrastrukturu

Network Audit Komplexní provozní a bezpečnostní monitoring sítě

ního bezpečnostního úřadu známý jako kauza nbusr123 mluví za vše.

Aplikační inteligence a identity management jako základ bezpečné komunikace

Jak eliminovat rizika spojená s provozem nedůvěryhodných zařízení v síti? BVS. Jindřich Šavel NOVICOM s.r.o

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

1. Organizace dokumentu. 2. Zabezpečení jako priorita. 3. Cloudová infrastruktura Hybrid Ads

VirtualBox desktopová virtualizace. Zdeněk Merta

Brno. 30. května 2014

AleFIT MAB Keeper & Office Locator

KAPITOLA 1 Úvod do zkoušky VMware Certified Professional pro vsphere 25. KAPITOLA 2 Úvod do serverové virtualizace a řady produktů VMware 43

Integrované řízení a zabezpečení sítě cesta k rychlé reakci na kybernetické hrozby

User based tunneling (UBT) a downloadable role

Cloud - jak jej monitorovat, reporty, účtování a fakturace

Průvodce Bosch IP síťovými video produkty. Představení IP technologie a budoucnosti průmyslové televize.

Úvod - Podniková informační bezpečnost PS1-2

Akční plán AP3 : Optimalizace organizační struktury

Projektové řízení jako základ řízení organizace

Tabulka mandatorních požadavků stojanové rozvaděče pro servery s elektroinstalací Požadavek na funkcionalitu Minimální Odůvodnění

Strategický dokument se v současné době tvoří.

CHARAKTERISTIKA VEŘEJNÉ ZAKÁZKY

TECHNICKÁ SPECIFIKACE

Datasheet Fujitsu ETERNUS DX200 S3 Diskové systémy

Příloha č. 2 ke smlouvě. Rozsah a podmínky provozní podpory

SPOJENÍ SE SVĚTEM VÍCEBUŇKOVÉ TELEFONNÍ SYSTÉMY SIP DECT SPOLEČNOSTI PANASONIC

VMWARE CLOUD FOUNDATION: INTEGROVANÁ PLATFORMA HYBRIDNÍHO CLOUDU TECHNICKÝ DOKUMENT LISTOPAD 2017

TOP 10 produktů a služeb

AddNet integrovaný DDI/NAC nástroj

Restrukturalizace průmyslové sítě zvyšuje dostupnost a flexibilitu

VoltTerra základní informace

Endura 2.0 Nová generace CCTV IP systémů s Full-HD rozlišením Endura Optimalizace HD

Rostoucí význam nových médií pro bankovní transakce

Implementace vysoce dostupné virtualizované IT infrastruktury

Cloud Computing pro státní správu v praxi. Martin Vondrouš - Software602, a.s. Pavel Kovář - T-Systems Czech Republic a.s.

přes webový prohlížeč pomocí Ing. Tomáš Petránek

Jak efektivně ochránit Informix?

Příloha č. 1 Technická specifikace předmětu plnění

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE

Avaya Scopia verze 8.3

Výčet strategií a cílů, na jejichž plnění se projektový okruh podílí:

A) Aktivních síťové prvky podklad pro zadávací dokumentaci

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE INTEGROVANÝCH PROJEKTŮ ITI

Ukládání a archivace dat

Jak být online a ušetřit? Ing. Ondřej Helar

Střední průmyslová škola elektrotechnická Praha 10, V Úžlabině 320 M A T U R I T N Í T É M A T A P Ř E D M Ě T U

Je virtualizace vhodná i pro Vás?

Transkript:

Whitepaper Virtuální datové centrum a jeho dopad na infrastrukturu sítě Náročnější požadavky nižší rozpočet: toto dilema v současné době řeší stále více podnikových úseků IT, jež na druhé straně musí navíc zvýšit pružnost a spolehlivost služeb, které ve svých datových centrech nabízejí. Zároveň musí udržet nebo dokonce zvýšit současnou úroveň zabezpečení. Podle odborných odhadů se více než 80% rozpočtu IT organizací vynakládá na údržbu stávajících prostředí aplikací v datovém centru. Tato skutečnost vede k intenzivní snaze o snížení celkových nákladů na vlastnictví (TCO) v této oblasti například optimalizací hostingu datových center s pomocí serverů a konsolidace úložné kapacity a snížením nákladů na investice inteligentním návrhem a lepším využitím prostředků. Náklady datových center na elektrickou energii a chlazení také exponenciálně stoupají, a v mnoha prostředích dokonce převyšují náklady na hardware. Kromě toho stoupající náklady na energie obracejí větší pozornost k zeleným aktivitám datových center. A právě z tohoto důvodu, a také kvůli vyšší flexibilitě a možnosti zjednodušené administrativy apod., jsou nasazovány virtualizační technologie. Souhrnně lze říci, že cílem je zvýšit výkonnost a efektivnost serverů a úložné kapacity. Bohužel debata o virtualizaci serverových systémů často ignoruje potenciální problémy, jako je bezpečnost a dopad na infrastrukturu sítě (vždyť je přece možné všechno řídit virtuálně ). Nakonec jsou to však právě tyto problémy, na kterých se světy, které musí koordinovaně spolupracovat, setkají. Samotná otázka, kdo provádí konfiguraci (virtuálních) přepínačů, v sobě skrývá stejně výbušný potenciál jako otázka kladená v minulosti zda vyhraje hlas nebo data. Technologie hypervizorů a integrované funkce virtuálního přepínače kladou správcům tradičních sítí a bezpečnosti následující otázky: - Kdo je odpovědný za dohled nad bezpečností hypervizoru nových softwarových aplikací, patch managementu nebo jiných aplikací? - Kdo je odpovědný za konfiguraci virtuálních přepínačů na hostitelích koordinovaných s fyzickou infrastrukturou sítě a jejími zabezpečovacími mechanismy (firewall, VLAN, seznamy přístupů, VRF atd.), aby nevznikaly mezery v zabezpečení? - Kdo je odpovědný za správu změn na serveru a na straně sítě? Jak je vůbec možné rozpoznat a sledovat virtuální stroje (VM) v rámci infrastruktury (v důsledku požadavků na dodržování předpisů a za účelem odstraňování závad)? - Kdo je odpovědný za plánování kapacity fyzické infrastruktury, aby zajistila dostatečnou šířku pásma ve všech kombinacích virtuálního stroje/hostitele? Vždyť z počátku není komunikace mezi virtuálními stroji na stejném hostiteli viditelná. Dále stojí za zmínku, že integrované přepínače virtualizačních řešení, které jsou na trhu k dostání, nelze považovat za vyspělé a to jak z hlediska funkcí, tak z hlediska stability. Kromě toho zkušení síťoví

technici stojí před otázkou, jaký vliv mají tyto softwarové komponenty na výkon a monitoring. A jak se má kvantifikovat odpovídající vliv na hostitele při aktivaci dalších funkcí (pokud vůbec existují). Není možné, aby administrátor sítě virtuální přepínače skrýval, ale měl by v návaznosti na ně nakonfigurovat svoji provozní koncepci a integrovat je, aniž by na ně přenášel příliš mnoho funkcí. Tím došlo ke zvýšení provozních nákladů i zbytečné složitosti, což by mohlo vést k nežádoucím důsledkům. Jeden přístup, praktikovaný významným výrobcem sítí, spočívá v náhradě virtuálního přepínače svým vlastním, aby byl stejný vzhled příkazové řádky (CLI) a současně se zjednodušila konfigurace. Tento přístup však vede k tomu, že je zákazník naprosto závislý na kombinaci síťové a virtualizační technologie dodavatele. A ze zkušenosti víme, že to není žádoucí. Problém, který se v této souvislosti stále a stále vyskytuje, jsou například tzv. zámky verzí. V případě, že partner nestačí včas upgradovat, může pak zjistit, že z důvodů kompatibility nemůže novou verzi nainstalovat ani používat. Naprosto jiný přístup má například společnost Enterasys, divize síťových a bezpečnostních produktů společnosti Siemens Enterprise Communications. U tohoto přístupu tvoří integrace prostřednictvím systémů správy jednu variantu. Podle další varianty je primárním cílem nezávislost na virtualizační technologii. Můžeme si to ilustrovat na následujících příkladech. První varianta doporučuje minimalizovat úroveň integrace: každý nový virtuální stroj je oddělen zabezpečovacími mechanismy na úrovni virtuálního přepínače, jako jsou odděleny chráněné porty nebo soukromé sítě VLAN (dostupné v produktu vsphere 4.0) administrátorem serveru, a veškerou specifikací sítě VLAN, seznamů přístupů, kvality služby, atd. Takzvané zásady (policy) se realizují síťovou infrastrukturou. Výhodou této varianty je, že složitější konfiguraci je třeba ve skutečnosti použít pouze v jednom místě. Enterasys Whitepaper Stránka 2

Infrastruktura sítě a její správa by měly tuto konfiguraci dynamicky svázat s identitou virtuálního stroje (MAC adresou, IP, jménem hostitele nebo digitálním certifikátem na virtuálním stroji), aby při přemístění virtuálního stroje z důvodů redundance nebo sdílení pracovní zátěže nebyl ze strany administrátora sítě nutný vůbec žádný zásah. K tomu musí být komponenty síťové infrastruktury speciálně navrženy. Uveďme si příklad. Řada přepínačů S od společnosti Enterasys podporuje různé profily u jednoho virtuálního stroje a rovněž tak na port v odpovídajících proporcích. Profily jsou dynamicky přiřazeny příslušnému virtuálnímu stroji poté, co byl na tomto portu virtuální stroj identifikován a/nebo autentizován. To pak umožňuje sledování virtuálního stroje. Za tímto účelem se používají základní technologie řízení přístupu do sítě (NAC - Network Access Control), například detekce nových koncových bodů, jejich identifikace a autentizace, a posléze i autorizace. Enterasys Whitepaper Stránka 3

Další varianta spočívá v integraci poskytovatelů virtualizace a jejich správy, např. XENCenter a vcenter, prostřednictvím stávajících rozhraní API. V tomto případě se pro výměnu a synchronizaci dat mezi virtuálním strojem a systémy pro správu sítě používají webové služby prostřednictvím XML. Systém pro správu virtuálních strojů obdrží v reálném čase od systému pro správu sítě stav, přidělený profil a umístění (na kterém fyzickém portu přepínače je virtuální stroj umístěn) virtuálního stroje. Díky tomu má administrátor serveru kompletní přehled o všech významných parametrech. Kromě toho, při generování nových virtuálních strojů a při jejich přidělování do sítě VLAN na úrovni VM/virtuálních přepínačů, jsou tyto informace automaticky synchronizovány do systému pro správu sítě, kde jsou svázány s profily konkrétní sítě. To znamená, že síťový administrátor nepotřebuje zasahovat, přestože má přímý přístup ke všem datům virtuálního stroje. To je nesmírně důležité například při odstraňování závad, plánování kapacity a při jakémkoli reportování (o dodržování předpisů), které bude potřeba provádět. V návaznosti na funkce rozhraní API je možné tuto koncepci rozšířit a přepsat konfiguraci virtuálního přepínače znovu ze systému pro správu sítě podle toho, kdo má mít celkovou konfiguraci pod kontrolou. V prostředí virtualizovaného serveru je třeba věnovat zvláštní pozornost plánování kapacit a/nebo monitorování šířky pásma, které se používá v aktuálním i historickém hledisku. V důsledku potenciálního přesunu serverových prostředků na nové nebo málo používané hostitele se může celý profil provozu v datovém centru náhle změnit. Síťový administrátor si toho musí být vědom a měl by se na to náležitě Enterasys Whitepaper Stránka 4

vybavit. Z tohoto hlediska má nejvyšší prioritu transparentnost. To znamená, že statistické údaje o provozu na jednotlivých virtuálních strojích by se měly shromažďovat s použitím přesných technologií, jako je např. Netflow, a měly by být na požádání k dispozici. Díky tomu je možné zjišťovat trendy a předpovídat modely chování. Údaje o síťovém provozu jsou především užitečné pro detekci útoků na infrastrukturu virtuálních strojů. Zde je klíčovým slovem analýza chování sítě (NBA - Network Behaviour Analysis). Ve spojení se systémem pro monitorování bezpečnosti (nejnovější generace) má tedy z hlediska bezpečnosti administrátor sítě pod kontrolou celé datové centrum i aplikace, které jsou v něm k dispozici. Z toho vyplývá, že použitím webových služeb a koncepcí správy na architektuře SOA lze značně zjednodušit hosting virtuálního prostředí datového centra a dosáhnout vysokého stupně automatizace. A to zase umožňuje potenciální snížení provozních nákladů a v souvislosti s hostingem zaručuje bezpečnost a transparentnost. Autor: Markus Nispel, viceprezident architektury řešení u společnosti Enterasys, divize pro sítě a zabezpečení společnosti Siemens Enterprise Communications GmbH & Co KG Kontaktujte nás Pro více informací nás navštivte na webových stránkách www.enterasys.com 2007 Enterasys Networks, Inc. Všechna práva rezervována. Enterasys je registrovanou obchodní značkou. Secure Networks je obchodní značka Enterasys Networks. Všechny ostatní produkty nebo služby zde odkazované jsou identifikovatelné obchodními značkami či servisními značkami příslušných společností či organizací. Upozornění: Enterasys Networks si vyhrazuje právo měnit specifikace bez předchozího upozornění. Prosím kontaktujte obchodního zástupce či partnera pro potvrzení aktuálního stavu. 08/10 Enterasys Whitepaper Stránka 5

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář