ISS Integrated Service Support Presentazione Tecnica - Gennaio 2012

Transcript

1 ISS Integrated Service Support Presentazione Tecnica - Gennaio 2012

2 Scenario Il continuo mutamento dei sistemi informativi fa nascere l esigenza di avere un controllo dell infrastruttura oltre che ad un contenimento dei costi. Oggi è possibile gestire l intero perimetro dei sistemi, delle applicazioni e degli elementi di rete, attraverso strutture flessibili, garantendo nel contempo con personale qualificato, una sinergia fra esigenze e tempi di realizzazione. I servizi Integrati di supporto offerti risultano essere di semplice implementazione, di facile utilizzo e rivolti essenzialmente alla gestione IT, scalabili anche per le esigenze delle grandi imprese ed erogati in ambienti sicuri. Il servizio permette il controllo, attraverso l impostazione di valori di soglia per ogni componente del sistema, di tutti i sistemi IT. Inoltre è in grado di controllare i processi applicativi, garantendo un buon livello di business continuity. I Servizi La Consulenza La consulenza di personale qualificato permette di verificare attraverso un assessment il servizio più adatto alle esigenze del cliente. La consulenza affronta sia aspetti legati ai singoli servizi (System, Application, Network Management, implementazioni Procedure) sia aspetti legati alla sicurezza (implementazione controlli di sicurezza, Accounting, Access Control, Log Management, Identity Management, DpS). Il servizio di Monitoring Il servizio permette il controllo, attraverso l impostazione di valori di soglia per ogni componente del sistema, di tutti i sistemi IT. Inoltre è in grado di controllare i processi applicativi, garantendo un buon livello di business continuity.

3 I Servizi La Comunicazione La comunicazione tra piattaforma Server ed i sistemi Target è effettuata nel rispetto delle principali norme di sicurezza, utilizzando canali in HTTP SSL (Web Console), SNMP V3 (utilizzo di pass phrase cifrata) o NRPE (Agent). Help Desk di 1 Livello La piattaforma è fornita con un servizio di HD di 1 livello atto a raccogliere, gestire e tracciare tutte le richieste degli utenti, attraverso l uso di un sistema di TTM (Trouble Ticket Management) Fault Management, Change Management In accordo con le best practice ITIL / V3, la piattaforma PIM è in grado di gestire i processi di fault management e change menagemet, attraverso l uso di un CMDB integrato e repository shareable in cui tracciare sia le richieste di incident sia memorizzare le azioni di fixed. Supporto specialistico di 2 Livello Personale certificato e altamente qualificato garantisce un servizio specialistico di 2 livello in ambienti: Database (Oracle, SQLServer, MySql) S.O. (Microsoft, Unix/Linux, HPUX, Sun Solaris) e Network (CISCO) Tracciabilità La piattaforma PIM è intagrata in un sistema di TTM (Trouble Ticket Management) in grado di gestire anche in modo automatico le attività tecniche sui sistemi gestiti. La personalizzazione dell ambiente ha permesso di gestire informazioni di Tipo Richiesta, Attività, Fault, inadempienze per la verifica degli SLA, in accordo con le best practice ITIL /V3

4 In che consiste Immagini L erogazione dei servizi descritti, è sicuramente un progetto di elevata complessità tecnica. Infatti, per la soluzione architetturale è necessario la presa visione dell intero basamento su cui poggia l attuale sistema informativo, aprendo al contempo un insieme di possibilità tecnologiche ed architetturali, che di norma si affrontano durante l evoluzione di un sistema già esistente. Gli obiettivi principali del servizi erogati sono i seguenti : Gestione del Servizio: Offrire dei servizi rispettando le Best practice ITILv3 (Service Management) Razionalizzazione: Fornire un servizio di monitoraggio completo dei servizi e dei server. Il servizio offerto è basato su tecnologie Open Source su piattaforma Linux Scalabilità dell architettura: il sistema di monitoraggio permette di aumentare la capacità di elaborazione senza modificare l architettura stessa. Tecnologia: Il progetto Impiega lo stato dell arte in campo tecnologico e valutare possibilmente il trend per i prossimi anni. Evoluzione: L architettura del sistema di monitoraggio permette la naturale evoluzione dei sistemi e dei servizi coinvolti. Sarà, per quanto possibile, neutra rispetto alla tecnologia dei sistemi che la compongono Sicurezza: La sicurezza dei sistemi informatici riveste sicuramente un aspetto che, ormai da qualche anno, non `e più trascurabile, anzi lo si deve considerare un fattore di base nella progettazione di tutti i livelli di un sistema informativo, dall infrastruttura di rete fino ai servizi resi all utenza. Supporto specialistico: Personale specialistico a supporto dei servizi di monitoraggio permette interventi mirati alla risoluzione dei fault evidenziati dalla piattaforma., negli ambienti Microsoft, Unix/Linus, Istanze Oracle, MySQL, SQL Server, Network.

5 Come funziona La piattaforma di monitoraggio è una customizzazione del prodotto open-source Nagios. La sua architettura logica è rappresentata nella figura riportata. Attraverso le sue 4 componenti principali, Monitoring logic Notifcation logic Event Logic Performance Logic Nagios Daemon si interfaccia con i files di configurazione Config files da cui appunto identifica gli oggetti da monitorare, con gli status files che memorizzano lo stato dei servizi e degli hosts che saranno disponibili alla web interface, ed inoltre i log files su cui sono tracciati tutti gli eventi di Nagios. La componente Monitoring Logic, si interfaccia con i targets monitorati tramite i plugins. La componente Notification logic governa quello che è il processo delle notificazioni che avviene attraverso comandi (molto simili ai plugins utilizzati dalla componente Monitoring Logic per il controllo dei servizi e degli hosts) che permettono di inviare , sms ai contatti definiti nei files di configurazione. La componente Events Logic permette l nterfaccia con il substrato logico dei Event handllers e OCP Commands che attraverso delle code gestiscono dei comandi di ripristino dei servizi (event handlers) ed i comandi che sono eseguiti dalla rete distribuita di nagios per le notifiche degli stati dei nodi e dei servizi al Nagios Centrale. La Componente Performance Logic, permette attraverso tools (installati sul server di monitoraggio e richiesti come requisito per la gestione dei trends), di graficare l andamento dello stato dei servizi e degli host nel tempo. I risultati possono essere traferiti anche a programmi esterni (external programs ) che li elaborano. Gli External Commands riportati in basso a destra della figura rappresentano i comandi come NSCA, oppure programmi esterni (vedi MRTG) che permettono la elaborazione dei risultati del monitoring.

6 Servizi disponibili L Help desk di 1 livello L help desk si propone come l interfaccia tra gli utenti e l IT con il compito di rispondere alle loro chiamate e soddisfare la maggior parte delle richieste in tempi brevi. In questa prospettiva viene fornito il servizio su un unica struttura centralizzata, evitando equivoci e dubbi. In molte organizzazioni, però, il numero elevato delle applicazioni utilizzate e la complessità dei sistemi rappresenta il più grande impedimento ad avere un unico supporto centralizzato. In alcuni casi sono indispensabili conoscenze differenziate da parte degli operatori per soddisfare il ventaglio delle richieste, per cui potrebbe essere necessario ricorrere a strutture differenziate e specializzate per gruppi di utenza. Le chiamate possono arrivare all help desk attraverso canali diversi, come il telefono, eventualmente integrato a sistemi automatizzati di instradamento (automatic call distribution), il fax, la posta elettronica e più recentemente Internet. In tutti i casi il personale deve registrare i dati del richiedente, definire il problema e, qualora non sia in grado di risolverlo, assegnargli una priorità e inoltrare la segnalazione al gruppo responsabile del problem management. I processi di HD di 1 livello all utente: Gestione dei problemi hardware Gestione dei problemi software Monitoraggio dei livelli di servizio Supporto applicativo Installazione/disinstallazione Documentazione Formazione Spostamenti, modifiche Gestione delle richieste

7 Servizi disponibili I processi di gestione dei sistemi: Gestione parco hardware (acquisizione, distribuzione, ritiro, immagazzinamento) Gestione configurazioni hardware e software Controllo licenze software Distribuzione del software Gestione delle modifiche Inventario delle postazioni, delle ubicazioni e degli utenti I processi di gestione delle utenze: Gestione dei profili utente Parole chiavi/autorizzazioni Posta elettronica Gestione dati e servizi di directory Gestione workflow e workgroup computing I processi di gestione delle infrastrutture tecnologiche: Gestione dei sistemi elaborativi Gestione della rete di comunicazione Sicurezza, controllo degli accessi e dell integrità dei dati Backup/recovery Capacity management Gestione dei dati

8 Servizi disponibili Il Supporto specialistico di 2 livello Questo servizio consente di avere un supporto specialistico di 2 livello, in grado di risolvere problemi tecnici non risolvibili dal personale del primo livello (HD Control Room) e che possono creare disservizi o indisponibilità dei sistemi a perimetro. Per i sistemi a perimetro della piattaforma di monitoraggio vengono forniti i seguenti servizi di 2 Livello: Organizzazione Del Piano Di Esercizio: Pianificare le attività di esercizio applicativo ordinario relative ai sistemi interessati; Definire le soglie di controllo per il monitoraggio dei sistemi; Supportare l attività di Capacity Planning con le informazioni di volume ed utilizzo dei sistemi di elaborazione e di controllo delle performance; Pianificare l allineamento periodico a richiesta dei dati (se presente almeno una istanza) Gestione Segnalazioni Di 2 Livello: Lavorazione Segnalazioni provenienti dal Help Desk Control room di 1 livello relativamente a problematiche rilevate sulla Piattaforma di monitoring. Lavorazione sta ad indicare la presa in carico, l analisi e la risoluzione di segnalazioni interamente lavorabili nell ambito delle attività/competenze. Problem managment : relativamente agli Incident gestiti dal primo livello; classificazione ed analisi degli incident volta all individuazione di interventi preventivi al ripetersi degli stessi.

9 Servizi disponibili DB Management (se presente almeno una istanza): Pianificare ed eseguire le attività necessarie per assicurare/ripristinare l integrità dei dati all interno delle aree applicative in ambito Reporting: Produzione e diffusione del reporting sullo stato dei sistemi, la loro disponibilità durante il servizio, le performance. Supporto al Rilascio In Produzione: Controllo ed esecuzione dei piani di rilascio per l aggiunta o la diminuzione dei sistemi al perimetro gestito. Il Monitoring dei sistemi / applicazioni / apparati di rete Il servizio è viene erogato nella Control Room del fornitore dove sono allocate una o più postazioni per il system management, ed due console di monitoraggio ( una per l allarmistica dei sistemi che ospiterà la web gui del sistema di monitoraggio, e l altra per la visualizzazione dei ticket generati dal sistema di monitoraggio ) dell infrastruttura di rete e dei sistemi del Cliente.Le console saranno monitorate da due o più operatori di help desk negli orari previsti e nei termini di erogazione del servizio

10 Servizi disponibili Il servizio si comporrà delle seguenti parti: Monitoraggio entità: tramite gli strumenti messi a disposizione dal fornitore sarà possibile rileverà le anomalie delle entità oggetto del servizio Fault Management di primo livello: il fornitore effettuerà l analisi dell anomalia ed eseguirà l applicazione, se possibile, delle procedure di fault recovery documentate. In caso contrario effettuerà escalation al secondo livello di intervento specialistico. Verranno tracciati nel sistema TTM gli eventi rilevati nella prima fase e la loro storia durante tutta la fase di lavorazione con l emissione di un ticket. Incident report: attività di documentare gli incidenti occorsi a fronte di una rilevazione di fault o mancata segnalazione dello stesso al supporto specialistico di 2 livello, che abbia comportato un blocco significativo del sistema e relativo disservizio Event Tracking: il fornitore si impegna a fornire dettagli su tutti gli eventi rilevati dall attività di monitoring o segnalati dall utenza che impattano in maniera significativa sull erogazione del servizio. Verranno documentate anche le azioni di primo livello intraprese a fronte di disservizi.

11 Servizi disponibili Gestione della comunicazione verso gli utenti: il fornitore si impegna ad effettuare una segnalazione, tramite l utilizzo di mezzi informatici e delle mailing list concordate con il cliente, delle interruzioni e dei ripristini delle normali condizioni di operatività del servizio interrotto. Il numero e la natura delle persone da contattare sarà concordato con il cliente nella fase di assesment dei requisiti. Inoltre il fornitore si impegna a segnalare anche eventuali rallentamenti applicativi con le stesse modalità prima indicate; Reporting: il fornitore produrrà una serie di report legati alle attività di fermo dei sistemi, ed agli eventi di disservizio grave. Tali report verranno prodotti con frequenza settimanale (escluso i festivi).

12 Teconologia e Ambiente La piattaforma supporta i più comuni S.O quali IBM AIX, SUN Solaris, HP-UX, True64, Linux, Microsoft, RDBMS (Oracle, MySQL, SQLServer) Caratteristiche della piattaforma suddivisione server Protocollo Plugin o Agent Agent Protocollo Plugin o Agent Server unix NRPE Load cpu Load mem, numero dei processi per servizio Spazio disco Server Microsoft NRPE o SNMPv3 Load cpu Load mem, numero dei processi per servizio Spazio disco Router SNMPv3 o SNMP Spazio disco Load mem time cpu Storage SNMPv3 Check_raid, check_hot spare etc Switch SNMPv3? UPS SNMPV3 Check alive Apparati proprieatri SNMPv3oSNMPv 2c Check alive e altri controlli Appliance SNMPv3oSNMPv Check alive ed altri 2c controlli specifici Servizi di rete NRPE Ssh, telnet, ftp,ldap,dns,http,https,smtp,pop,imap Servizi internet NRPE ftp, telnet,http,https,,smtp,pop,imap DATABASEs NRPE Spazio tablespaces o tabelle processi Check_connessione Listener ( oracle)

13 Architettura L architettura prevede l installazione, l implementazione e la personalizzazione di un ambiente di Network e System Management per il monitoraggio e la gestione della rete e dei sistemi informatici. Lo scenario di implementazione è basato su un architettura distribuita di IP, con connessioni remote di varia tipologia (diversificate per Cliente), basata su hardware e software eterogenei. Il centro di gestione in sede Systeam Consulting S.p.A. sarà finalizzato ad attività di monitoring preventivo, per il controllo dello stato della rete, dei servizi ed applicazioni, ad attività di troubleshooting per l identificazione e risoluzione dei problemi (Fault Management, Problem Management e Configuration Management) e ad attività di Data collection per la costruzione di report (Service Level Management). La struttura del Data Center è basata sul modello di rete a doppio livello di sicurezza (sicurezza perimetrale ) che consiste nella separazione sia logica che fisica dei due diversi gruppi di rete (front-end, back-end), con sensibilità differente, rispettivamente media (front-end), e alta backend, sia nella creazione di due punti di controllo delle policy di sicurezza aziendali, con conseguente miglioramento delle funzionalità di controllo accessi ai dati /servizi.

14 Architettura L architettura di sicurezza per le funzionalità di controllo accessi e difesa perimetrale è basata principalmente sui sistemi firewall e IDS (Intruction detection system), rispettivamente in grado di separare le LAN del Centro servizi e di rilevare eventuali tentativi di attacco. Architettura fisica centralizzata Lo schema architetturale rappresenta il collegamento sicuro tra il Data Center e la piattaforma centralizzata. Nella figura viene rappresentata l architettura centralizzata della piattaforma di monitoraggio del Server Nagios e del server TT (nel nostro Data Center è attestato il Server Centrale Nagios e il sistema di TT). Firewall+VPN Sysste monitoring Server nagios Internet VPN fw VPN HA router Lan Cliente Intrusion detection HA -Firewall+VPN Proxy server DNS Primario Front-End LAN Backup & System mngt Front-end LAN Firewall & Systems Console System Management Console NT Systems Management Server nagios TT OTRS HA -Firewall fw Detection Intrusion system Backup Server storage Back-End LAN Web server +application server Databases Front-end & Back -end Management LAN da utilizzare anche per operazioni di Backup dati Front-end & Back -end Service LAN

15 Architettura Architettura fisica distribuita Nella figura seguente è rappresentata l architettura distribuita dei Server Nagios (nel nostro Data Center è attestato il Server Centrale Nagios e nel Data Cnter del Cliente è attestato il server nagios distribuito senza WEB GUI) Internet VPN Firewall+VPN Systems Monitoring Server Nagios distribuito fw VPN HA router Lan Cliente Intrusion detection HA -Firewall+VPN Proxy server DNS Primario Front-End LAN Backup & System mngt Front-end LAN Firewall & Systems Console System Management Console NT Systems Management Server nagios Centrale TT OTRS HA -Firewall fw Detection Intrusion system Backup Server storage Back-End LAN Web server +application server Databases Front-end & Back -end Management LAN da utilizzare anche per operazioni di Backup dati Front-end & Back -end Service LAN

16 Sicurezza Verifica delle misure di sicurezza La realizzazione del servizio presuppone la verifica delle misure di sicurezza adottate dal cliente con successiva proposizione di azioni da intraprendere al fine dell innalzamento del livello di sicurezza costituisce un ulteriore obiettivo di miglioramento dei livelli di sicurezza complessivi della propria rete e di quella del cliente. Un modo efficace per accertarsi di eventuali falle presenti sulla rete è quello di verificare con tecniche di intrusione abusiva il livello di sicurezza reale che la rete ha in un dato momento. Quest attività ha significato se ripetuta nel tempo, in quanto le problematiche di sicurezza mutano nel tempo. Partendo da questo presupposto, si utilizza un servizio di Vulnearbility Assestment qualificato, puntuale e ripetuto nel tempo. Sicurezza per ogni tipo di dato trattato Le misure di sicurezza che la Systeam Consulting S.p.A implementa nei server o workstation, dipendono dal tipo di informazioni che sono memorizzate all interno degli stessi. Per i server collegati a Internet, anche per i dati di importanza, è necessario adottiamo un livello base di sicurezza, per proteggerlo dall attacco nella rete di appartenenza o da altre reti esterne. Dati sul sistema La Systeam consulting S.p.A determina per ogni server o workstation i dati sono ospitati e per determinare il grado di sicurezza da applicare: Chiavi e certificati Il codice sorgente in fase di sviluppo.

17 Sicurezza La Comunicazione La comunicazione tra piattaforma Server ed i sistemi Target è effettuata nel rispetto delle principali norme di sicurezza, utilizzando canali in HTTP SSL (Web Console), SNMP V3 (utilizzo di pass phrase cifrata) o NRPE (Agent). Firewall Il firewall dovrà proteggere la rete in modo tale da rendere accessibili dall esterno solo alcuni servizi. È di primaria importanza poi che il traffico sui server non ecceda un certo rate in modo da non sovraccaricare e quindi interrompere il servizio. Un altro problema potrebbe arrivare dagli utenti della rete nel caso attivino operazioni non consentite: è quindi importante impedire che ciò accada. Infine, è importante che i server e i terminali all interno della rete non possano sferrare attacchi verso terzi e limitare i danni che un server conquistato da un malintenzionato possa arrecare alla rete. È infatti, importante prevenire l effetto Domino che provocherebbe la caduta di tutti i sistemi controllati: è quindi necessario difenderli da eventuali attacchi provenienti dalla rete esterna e dalla rete interna. Allo stesso modo difende la rete interna dalla DMZ e da internet e quest ultimo dalla rete interna e dalla DMZ. Per il sistema di monitoraggio quindi come misura di sicurezza oltre che attivare la comunicazione attraverso un canale criptato che è per l appunto la VPN sarà necessario porre il sistema di monitoraggio su una rete dedicata che è per l appunto la Lan di Management, sia che il server sia attestato presso il cliente sia che sia posizionato all interno della rete di Systeam Consulting S.p.A.

18 Sicurezza Crittografia Poiché NRPE e SNMP mandano i risultati dei loro controlli attraverso la rete è necessario nascondere questi dati. Questi dati sono da proteggere in quanto è pericoloso mandare informazioni sulla struttura di una rete locale o sullo stato di salute di un server senza una anche minima protezione. La crittografia dei dati è la risposta più concreta a questo problema. OpenSSL è un programma Open Source che implementa l'utilizzo de i protocolli SSL e TSL insieme ad un buon numero di librerie apposite utilizzate per la crittografia dei dati. SSL è l'acronimo di Security Socket Layer ed è un protocollo che fu sviluppato dalla Netscape Developmet Corporation per poi essere accettato universalmente come protocollo per l'autenticazione comunicazione criptata fra client e server. SSL si pone i livelli OSI 5 e 6 di Presentation e Session Layer e si pone fra il TCP/IP e i protocolli ad alto livello come HTML o IMAP e consente ad un client di autenticarsi ad un server e viceversa, in modo tale da poter stabilire una connessione criptata. Quindi un SSL server authentication è utilizzato da un utente per autenticare l identità del server: il client SSL utilizza tecniche standard di crittografia a chiave pubblica per controllare che il certificato di un server sia valido. Allo stesso modo un SSL authentication client consente ad un server di confermare l'identità di un client: con le stesse tecniche di crittografia a chiave pubblica il server controlla che il certificato prodotto dal SSL client sia valido. Infine, sarà possibile avviare una connessione SSL criptata dove i file criptati dal software del mittente saranno decriptati dal software ricevente, fornendo un alto grado di confidenzialità: tutto ciò dà la possibilità di evitare che i dati mandati siano manomessi.

19 Sicurezza Sicurezza dell Infrastruttura La realizzazione di un piano per la sicurezza per l erogazione dei servizi è basato sulla creazione di un Single Point of Control che consenta l accesso protetto attraverso firewall alla LAN del cliente finalizzato all erogazione del servizio di monitoraggio dei servizi e dei sistemi del cliente. Alfine di ridurre al minimo le vulnerabilità dei propri sistemi, per le proprie LAN ( VLAN ) prevede: un controllo degli accessi in modo da fornire protezione alle risorse interne ed il monitoraggio di tutti gli accessi in ingresso ed in uscita; il filtraggio di tutti i pacchetti trasmessi; la ridondanza della soluzione firewall in modalità High Availability basata su dispositivi hardware; l analisi del traffico SMTP, FTP ed HTTP sulla rete aziendale Systeam per verificarne il eventualmente eliminare i pericoli rilevati (virus, malicious applets, ecc.); la creazione di una console di gestione( system management, firewall console ); la produzione dei report, definibili dall utente, di audit, e performance I principali requisiti per la soluzione di sicurezza, sono i seguenti: scalabilità nel tempo ; soluzione ridondata per garantire continuità di servizio; accesso controllato tra le varie VLAN; possibilità di gestione della Quality of Service per garantire la qualità del servizio per gli accessi verso i sistemi che forniscono servizi agli utenti; apertura verso soluzioni di tipo Virtual Private network (VPN) su Internet per consentire l accesso alla rete interna del cliente in maniera sicura tramite Internet; gestione centralizzata della sicurezza. La soluzione si pone come obiettivo quello di fornire un architettura caratterizzata da : Dispositivi di sicurezza perimetrale da e verso le reti dedicate al servizio di monitoraggio Gestione centralizzata delle policy attraverso la VLAN di management Collocazione di dispositivi di Intrusion detection atti a monitorare costantemente il traffico verso la rete interna. Inoltre la soluzione prevista è caratterizzata dall essere: Affidabile, perché i firewall e router saranno configurati in modalità Fail Over, in modo da sopperire ad eventuali malfuzionamenti dei nodi primari Scalabile, perché i dispositivi forniti sono in grado di poter essere aggiornati e potenziati, per il supporto di molteplici VPN e per poter eventualmente far fronte ad un ulteriore incremento del traffico da e verso internet/intranet; Performance perché i dispositivi scelti sono in grado di gestire un elevato throughput manomessi.

20 Sicurezza La soluzione si pone come obiettivo quello di fornire un architettura caratterizzata da : Dispositivi di sicurezza perimetrale da e verso le reti dedicate al servizio di monitoraggio Gestione centralizzata delle policy attraverso la VLAN di management Collocazione di dispositivi di Intrusion detection atti a monitorare costantemente il traffico verso la rete interna. Inoltre la soluzione prevista è caratterizzata dall essere: Affidabile, perché i firewall e router saranno configurati in modalità Fail Over, in modo da sopperire ad eventuali malfunzionamenti dei nodi primari Scalabile, perché i dispositivi forniti sono in grado di poter essere aggiornati e potenziati, per il supporto di molteplici VPN e per poter eventualmente far fronte ad un ulteriore incremento del traffico da e verso internet/intranet; Performance perché i dispositivi scelti sono in grado di gestire un elevato throughput.

21 Vantaggi e benefici Un maggiore controllo dei costi operativi Una riduzione della complessità Una continuità di servizio Assoluta aderenza agli SLA e KPI (SLA management e Performance Management)

22 Sede Operativa : Tel Fax Direzione Commerciale: sales@corylus.it Direzione Marketing: mkt@corylus.it Direzione Tecnica: r&s@corylus.it