Sicurezza: esperienze sostenibili e di successo Accesso unificato e sicuro via web alle risorse ed alle informazioni aziendali: l esperienza FERPLAST Dott. Sergio Rizzato (Ferplast SpA) Dott. Maurizio Novello (Miriade SpA) Montebelluna, 13 novembre 2007 1
Agenda 1. Il Sistema Informativo centralizzato 2. Apertura verso l esterno 3. Accesso unificato: Intranet, Extranet, Portale 4. Accesso sicuro: SSL, IDS, FW e DMZ 5. Accesso affidabile e disponibile: DNS, linee Internet bilanciate, servizi ridondati, monitoraggio 2
Il Sistema Informativo centralizzato Nel 1999 Ferplast decide unificare i S.I. delle varie società del gruppo (600 utenti) e di centralizzarne la gestione in Italia (casa madre): adozione di un sistema ERP standardizzazione di processi, strumenti, configurazioni IT erogazione e monitoraggio dei servizi IT dalla sede centrale (ASP) 3
Il Sistema Informativo centralizzato Il nuovo modello di S.I. nella sede centrale: applicazioni web-based (intranet) servizi di rete (file, stampe, accesso ad Internet) computer thin (browser, antivirus) gestione IT centralizzata 5 persone per ERP 4 persone per infrastruttura, servizi e applicazioni protezione da Internet 4
Il Sistema Informativo centralizzato ERP Thin client ` intranet.ferplast.com Computer Network printer La sede centrale Messaging Network services TS Applications Storage Internet 5
Il Sistema Informativo centralizzato Il nuovo modello di S.I. nelle sedi periferiche: dalla sede centrale: applicazioni web-based (intranet) gestione IT centralizzata computer thin (browser, antivirus, client di stampa) protezione da Internet connessioni Internet dedicate (VPN) con la sede centrale 6
Il Sistema Informativo centralizzato Filiale (commerciale o produttiva) Thin client ` intranet.ferplast.com VPN Computer Network printer Internet xdsl xdsl Sede centrale 7
Apertura verso l esterno Diverse tipologie di utenti hanno bisogno di interagire con il S.I. dall esterno: dipendenti mobili (dati e applicazioni) fornitori (manutenzione e assistenza, scambio files) agenti di vendita (informazioni su prodotti, statistiche, applicazione di budget) clienti (ordini on line, informazioni su prodotti, statistiche) 8
Accesso unificato Intranet / Extranet EXTRANET I dipendenti mobili utilizzano la stessa interfaccia sia in azienda che all esterno intranet.ferplast.com extranet.ferplast.com I fornitori accedono ai dispositivi in rete attraverso applicazioni (RDP, VNC, putty, ) pubblicate nella Extranet 9
Accesso unificato Intranet / Extranet EXTRANET Interfaccia unificata Gestione semplice e centralizzata (group policies AD) Buone performance prestazioni indipendenti dal client (servizi TS) traffico ridotto (max 20kbs, se non si spostano file) Sicurezza traffico costituito da immagini (se non si spostano file) crittografia SSL con certificato distribuito da Ferplast Configurazione non invasiva non si interviene su firewall (apertura porte) non si configurano VPN lato client 10
Accesso unificato Portale PORTALE Il PORTALE pubblica informazioni e applicazioni a utenti (agenti di vendita, clienti, fornitori) che non necessitano di accedere alla rete aziendale: informazioni su prodotti (immagini, leaflet, ) statistiche di vendita / acquisto applicativo per redazione/revisione del budget cliente applicativo per inserimento di ordini (B2B) scambio file via FTP 11
Accesso unificato Portale PORTALE 12
Accesso unificato Portale PORTALE Sicurezza i servizi si trovano in DMZ le informazioni vengono pubblicate/prelevate da processi in LAN Configurazione non invasiva non si configurano software lato client Economicità soluzione realizzata in ambiente open source (Linux PHP Nuke) non ci sono costi di licenza utente/client 13
Accesso web Che cosa c è sotto Accesso web a informazioni e risorse aziendali Come garantiamo: Sicurezza Affidabilità Disponibilità 14
Accesso web Che cosa c è sotto? L infrastruttura IT a supporto dei servizi web DMZ DNS GATEWAY SSL EXTRANET PORTAL Application servers (INTRANET) DMZ switch LAN switch LAN Firewalls (HA) HDSL (VPN) Router HDSL Router IDS & connections manegement Internet ADSL Router 15
Accesso web Sicurezza IDS (Intrusion Detection System) Posizionato PRIMA del firewall Intercetta e blocca alcuni tentativi classici di accesso fraudolento: WORM virus più noti Backdoors HDSL (VPN) Router Attacchi DNS Attacchi al Web server HDSL Si aggiorna periodicamente via Internet Internet IDS Router Router ADSL 16
Accesso web Sicurezza Firewall Configurato in alta affidabilità Verifica e gestisce il traffico entrante (verso la rete aziendale e la DMZ) e uscente (verso Internet e la DMZ) Gestisce le VPN con le sedi periferiche DMZ switch LAN switch IDS & connections management FIREWALL (HA) 17
Accesso web Sicurezza DMZ (DeMilitarized Zone) Contiene server che pubblicano informazioni e applicazioni a utenti non autorizzati ad accedere alla rete aziendale DMZ DNS GATEWAY SSL EXTRANET PORTAL DMZ switch Firewalls (HA) IDS & connections management 18
Accesso web Sicurezza Gateway SSL (Secure Socket Layer) Protegge la comunicazione tra il client e la EXTRANET con protocollo di crittografia Il certificato viene generato e distribuito da Ferplast SSL SSL ` Internet Client GATEWAY SSL EXTRANET https://extranet.ferplast.com 19
Accesso web Affidabilità e disponibilità Connettività & gestione linee 3 linee Internet - fornitori diversi - tecnologie diverse Bilanciamento del traffico e gestione della banda aggregata Accesso ai servizi tramite la linea più performante - il DNS interroga il dispositivo di connections management - il dispositivo verifica il percorso migliore e ritorna l indirizzo IP della linea Internet corrispondente 20
Accesso web Affidabilità e disponibilità Ridondanza di apparati e servizi Router di backup a magazzino 2 Firewall in alta affidabilità - switch automatico dal primario al secondario in caso di fault Server applicativi ridondati e bilanciati Servizi in DMZ duplicati (off-line) in ambiente virtuale Off site recovery 21
Accesso web Affidabilità e disponibilità Monitoraggio Monitoraggio del traffico e dei servizi - rilevamento del traffico, della disponibilità dei servizi e dei tempi di risposta - grafici e notifica via e-mail - strumenti open source in ambiente Linux (CACTI, NAGIOS) 22
Accesso web Affidabilità e disponibilità Backup & Recovery Backup delle configurazioni degli apparati - backup automatico delle configurazioni di routers, firewall, dispositivo di connections management Procedure documentate per il recovery - problemi di funzionamento delle connessioni - guasto di router - fault del dispositivo di connections management - mancato switch tra i 2 firewall - indisponibilità dei servizi in DMZ 23