HOSTING ASICT. Roberto Gaffuri Servizio infrastrutture software e identità digitale

Transcript

1 HOSTING ASICT Roberto Gaffuri Servizio infrastrutture software e identità digitale ASICT 4 Giugno 2013

2 INDICE 2 Contesto Hosting ASICT Policy di sicurezza Policy di integrazione con Anagrafica Unica

3 SERVIZIO INFRASTRUTTURE SOFTWARE E IDENTITA DIGITALE 3 Framework per lo sviluppo del software Architetture ed ingegneria del software Infrastruttura per lo sviluppo delle applicazioni ASICT Supporto per la cooperazione e l integrazione applicativa Hosting Definizione degli standard e dell offerta di hosting Gestione delle piattaforme di hosting Identità digitale Applicazioni a supporto dell anagrafica unica di Ateneo (registrazione, gestione credenziali, riconoscimento utenti, ecc) Servizi di Autenticazione ed Autorizzazione

4 SERVIZI A COMPLEMENTO 4 ASICT - Servizio Infrastrutture software e identità digitale ACRE Servizio Web e grafica di Ateneo ASICT - Servizio Gestione Rete ASICT - Servizio Gestione Server

5 HOSTING ASICT 5 Un infrastruttura in grado di ospitare siti e applicazioni web: Gestiti Configurati aggiornati standardizzati Monitorati Soggetti al piano di continuità operativa e disaster recovery

6 6 COSA NON COMPRENDE HOSTING ASICT Progettazione, realizzazione, aggiornamento dei contenuti del sito Per servizi di questo tipo ed in particolare per grafica, architettura dell informazione e supporto con il CMS Typo3 è possibile rivolgersi al servizio web e grafica di Ateneo di ACRE all indirizzo web@polimi.it

7 COME RICHIEDERE HOSTING ASICT 7 1. Responsabile gestionale (o Referente ICT) contatta il servizio Hosting presente su Servizi Online nel menu Servizi ICT di Ateneo 2. Dal sito hosting.polimi.it è possibile ottenere: Documento Offerta hosting + Modulo richiesta Documento Policy di sicurezza Documento Policy di integrazione con Anagrafica Unica 3. Dipartimento restituisce Modulo richiesta compilato con indicazione di: Responsabile dei contenuti del sito Referente tecnico del sito Breve descrizione dei contenuti Se è il caso: dati personali trattati e modalità di conservazione 4. Hosting ASICT sottopone a Servizio Web e grafica ACRE il modulo di richiesta per validazione FQDN e contenuti 5. Hosting ASICT contatta Referente tecnico del sito per pianificazione e attivazione del servizio 6. Se necessario al Responsabile gestionale viene assegnata la responsabilità di un nuovo «trattamento di dati personali» e se necessario il Referente tecnico viene nominato Amministratore di sistema 7. Hosting ASICT e Referente tecnico collaborano per aggiornamenti sito, patch di sicurezza, attivazione monitoraggio, ecc

8 TIPI DI SITI, AMBIENTI, PIATTAFORME 8 Siti e applicazioni istituzionali: Polimi, Dipartimenti, Poli, Scuole Siti tematici: Progetti, Eventi, Promozione di servizi, ecc Siti statici (HTML) CMS Typo3 (sito Joomla!, Drupal, Wordpress, MediaWiki (Wikipedia), Liferay Siti PHP/MySQL (LAMP) Applicazioni J2EE (Java + Tomcat) ASP.NET

9 9 DOMINI WEB *.struttura.polimi.it (per siti dipartimentali) scelta più libera all interno del 3 livello precedentemente concordato con ACRE *.polimi.it (per siti istituzionali) naming da concordare con ACRE *.it, *.eu (la richiesta è più laboriosa sempre tramite GARR) *.com, *.edu, etc. (tramite registrar esterno) è possibile richiedere certificati SSL (HTTPS)

10 SERVIZI A SUPPORTO 10 Statistiche/Analytics Motore di ricerca Mail server per invio mail dai siti ospitati Backup Monitoraggio con alert via mail e sms Supporto all installazione e aggiornamento dei sistemi Security e vulnerability assessment Integrazione autenticazione Ateneo e autorizzazione basata su Gruppi AUnica

11 POLICY DI SICUREZZA 11 Contenere, entro limiti accettabili, il rischio di compromissione della riservatezza, integrità e disponibilità dei servizi erogati e delle informazioni (anche personali) in essi contenute. prevenzione delle minacce e degli attacchi registrazione e conservazione degli eventi reazione ad eventuali attacchi ripristino e investigazione

12 ATTORI COINVOLTI NELLA POLICY 12 ASICT - Area Servizi ICT Erogatore del servizio di hosting Svolge attività di audit verso altri erogatori Fruitore del servizio di hosting Responsabile del sito Referente tecnico del sito Richiedente di un servizio di hosting Responsabile gestionale Utente Utilizzatore del servizio ospitato

13 AMBITO DI APPLICAZIONE DELLE POLICY 13 Servizi in hosting presso ASICT è a carico di ASICT l applicazione della policy Il fruitore è tenuto a collaborare anche in modo proattivo al fine di mantenere un adeguato livello di sicurezza Servizi in hosting presso altre strutture è a carico della struttura e sotto la sua responsabilità l applicazione della policy e la relazione con i fruitori è a carico di ASICT un attività di audit

14 POLICY SULLE ARCHITETTURE 14 Sicurezza fisica (protezione del datacenter) Sicurezza di rete (segmentazione e tiers) Sicurezza del software installato Tailoring e hardening dei sistemi Software di sicurezza (antivirus, firewall, ids/ips) Monitoraggio dei sistemi e delle applicazioni

15 15 POLICY SULLE PROCEDURE Processi di configurazione e deploy dei servizi Controllo degli accessi ai sistemi (datacenter, rete, sistemi, applicativi) Gestione vulnerabilità (tracking e patching) Backup Gestione degli incidenti Audit Compliance normativa in materia di protezione dei dati personali

16 AMBITI DELL AUDIT 16 Contenuti (idoneità, copyright, etc.) a cura di ACRE Servizio Web e grafica di Ateneo NB: La responsabilità sui contenuti è comunque del responsabile del sito Assessment di sicurezza dei meccanismi di accesso ai sistemi Monitoraggio del traffico di rete (IDS/IPS) Assessment di sicurezza sull hardening dei sistemi e sulle configurazioni dei servizi attivi Assessment di sicurezza sulle modalità di implementazione dei servizi applicativi

17 ANAGRAFICA UNICA (AUnica) 17 Gestore centralizzato delle Identità digitali Credenziali di accesso Codice persona e relativa pwd Informazioni personali generalità personali dati di contatto Informazioni di carriera come student come staff come alumn

18 AUNICA - RUOLO DIPARTIMENTI 18 Registrazione utente, Gestione Credenziali, Riconoscimento Docenti a contratto Collaboratori per didattica integrativa e per amministrazione Assegnisti Visiting professor, visiting phd Ospiti, congressisti, fornitori di servizi, ecc Assunzione di responsabilità per trattamento dati personali Responsabile gestionale è nominato Responsabile per il trattamento di dati personali Il Responsabile gestionale deve nominare gli incaricati al trattamento

19 19 POLICY DI ACCESSO AD AUNICA - richiesta La richiesta di accesso ad AUnica viene valutata da ASICT sulla base di: Finalità dell accesso Funzionalità richieste (solo auth o auth+info) Tipologia di informazioni richieste Modalità di conservazione delle informazioni raccolte Possono usufruire di AUnica: Servizi interni ad ASICT Servizi esterni gestiti da ASICT Servizi inclusi nella federazione IDEM Servizi satellite erogati da soggetti terzi

20 POLICY DI ACCESSO AD AUNICA - modalità 20 Accesso diretto al repository centrale o ai repository secondari (LDAP/AD) Normalmente per i servizi sviluppati da ASICT Eccezionalmente per i servizi gestiti da ASICT qualora non si possano utilizzare i connettori web Accesso tramite connettori web Connettori disponibili: Shibboleth, oauth, Web Services, Radius Disponibili anche per i servizi satellite (IDEM, di terzi)

21 POLICY DI ACCESSO AUNICA - audit 21 ASICT effettua attività di audit nei seguenti ambiti: Monitoraggio dell autenticazione utenti e del trasferimento dei dati personali Assessment di sicurezza sulle modalità di integrazione con AUnica Verifica adempimenti in materia di trattamento dei dati personali Assessment di sicurezza sulle modalità di memorizzazione dei dati personali