A kormányzati felhő kialakítása

2014. október 29.Gazdag Ferencinfrastruktúra főmérnök

IVSZ adatközpont és felhő workshop

01 02 03 Bevezetés Szolgáltatások,

ügyfelekMegvalósult technológia

04 Bővítési lehetőségek, terveink

Tartalom

Bevezetés, előzmények, a NISZ általános bemutatása

Alkalmazottak számaLeányvállalatokkal együtt ~1000 fő

Vállalati formaZártkörűen működő részvénytársaság (Zrt.)

Főbb tevékenységekKormányzati informatika,uniós projektek,e-kormányzati szolgáltatások

Árbevétel2014-es terv ~23 mrd Ft

Főbb ügyfelekMinisztériumok,Költségvetési intézmények

LeányvállalatokPRO-M Zrt.KDIV Kft.IdomSoft Zrt.

Elérhetőségekwww.nisz.huTel.: +36 1 459 4200Fax: +36 1 303 1000

Alapítás éve1964 (Konjunktúra- és Piackutató Intézet (KOPINT))

A projekt előzményei

A kormányzati felhőt a kapacitáshiány és a konszolidáció költségmegtakarításai hívták

életre

A kormányzati felhő projektet az alábbi tényezők indokolták elsősorban: • A meglévő infrastruktúra elöregedése • Az uniós fejlesztések során előálló új

rendszerek kapacitásigénye

• A konszolidációval elérhető költségmegtakarítási lehetőségek

Ügyfelek és igényeik

• kormányzati szervek

• egészségügy• oktatás

közigazgatás és kormányzati

szervek

testreszabott megoldások

megbízhatóság, sértetlenség, rendelkezésre

álláskormányzati felhő

• megfelelő szakmai támogatás egyéb IT tevékenységhez

• önkiszolgáló portál a felhasználók IT szakértőinek

• védett és biztonságos infrastruktúra

• megfelelő képzettségű üzemeltetői szervezet

• folyamatos működés (7/24)

Az ügyfelek számára nem a felhő felépítése fontos, hanem az igényeknek való

megfelelés.

költséghatékonyság• uniós forrásból

megvalósult projekt• egységes üzemeltetés

A kormányzati felhő szolgáltatásai 1.Virtuális szerverek (VG, IaaS)

– Fix: előredefiniált, nem változtatható paraméterű virtuális szerverek:• egyszerűen kezelhető, méretezhető,• pénzügyileg tervezhető.

– Flex: rugalmasan skálázható virtuális szerverek• költséghatékonya megoldás a VG teljes élettartam alatt, változó erőforrás

igényekkel rugalmas kiszolgálása• igény növekedés esetén növekedési lehetőség

Virtuális adatközpont / dedikált erőforrások– felhasználó igényekre testre szabott fizikai konfiguráció, az alábbi célok teljesüléséért:

• szoftver licencelések betartása,• pályázati előírások betartása,• biztonsági vagy üzemviteli szempontok.

Szakmai támogatások– konzultáció, tervezés– migráció, konszolidációs tervek– üzemeltetés, mentés, archiválás, ügyfélszolgálat.

A kormányzati felhő szolgáltatásai 2.

Virtuális gépek Kicsi Közepes Nagy Nagyon

nagy Flex

Processzor(vCPU) 1 2 2 4 1-16

Memória [GB] 2 4 8 16 1-128

Tároló [GB]50 50 100 200 50-2000

Árak [Ft/hó]5 650 10 260 15 860 24 020 Egyedi

Mentés 6,5 Ft/GB/hóArchiválás 3,5 Ft/GB/hó

Tervezési bemenetek• 2400 darab virtális gép futtatási képessége

– VG egység: 2 vCPU, 12 GB RAM, 150 GB tárterület (NISZ átlagból)• konvergens (Blokk 1-2) és

– szállítás előtt összeállított, önállóan működő (belső LAN, SAN)• nem konvergens (Blokk 3 szerver, tároló) kialakítása

– önálló eszközök, helyszínen összeállított• két adatközpont, aktív-aktív működés

– produktív erőforrásokból teljesen szimmetrikus– mindkét oldalon VG futtatási lehetősé– L2 és SAN kapcsolat (DWDM-en át) a két telephely között– adatközpontonként önálló hálózati kijárat

Fizikai architektúra (terv)

Szerver Pengeszerverek

Szerver

Szerver

Szerver

Szerver

Szerver

Szerver

Tároló A

SAN switch

LAN switch

Tűzfal 1 (internet)

Tűzfal 2 (NTG)

Mentési szerver

Mentési puffer tároló

Archiváló céleszköz

Szalagtárak + magnók

Pengeszerverek

Tároló

blokk LAN switch

blokk SAN switch

blokk menedzsment szerver

VTL

szerverenként önálló szerverenként önálló pass throu

szerverenként önálló

szerverenként önálló pass throu

trönk

trönk

NAS

NAS, NDMP NAS,

NDMP

SAN

NTG

Internet

TFW witch 2

Infra menedzsment szerverek

Naplózó Virtual connector

Felhő menedzsment szerver

Hipervizor 1 menedzsment

szerver

Hipervizor 2 menedzsment

szerver

Hipervizor 3 menedzsment

szerver

szerverenként önálló

szerverenként önálló

Naplózó

Pengeszerverek

Tároló

blokk LAN switch

blokk SAN switch

blokk menedzsment szerver

trönk

trönk

Blokk 3 Blokk 2 Blokk 1

Tároló B

Felhő rendszerelemek

Microsoft Hyper-V 2012 (server only)

VMware vSphere ESXi Enterprise+VMware vCenter Standard

Oracle VM for x86

HP MatrixHP Cloud System Automation

Felhő rendszerelemek

HP tárolókkettős lemezhiba elleni védelem8Gbps SAN10 Gbps LAN kapcsolatSSD, SAS és SATA lemezekautomatikus tieringredundáns belső felépítés

HP és IBM x86 alapú szerverek2 CPU, 8 mag&2GHz256 GB memória2x8Gbps SAN kapcsolat2x10 Gbps LAN kapcsolatredundáns belső felépítés

IBM x86 alapú szerverek4 CPU, 8 mag&2GHz512 GB memória2x8Gbps SAN kapcsolat2x10 Gbps LAN kapcsolatredundáns belső felépítés

Felhő rendszerelemek

Fujitsu CS8800 (korábban CS2000)80 TB pufferNAS és VTL kapcsolatokHA és DR működés

EMC Networker600TB kapacitás alapú

Quantum Scalar i500 1000 db LTO6 szalag ~5 PB tömörített kapacitás

Felhő rendszerelemek

Cisco Nexus 7010 LAN switch240x1/10 Gbps port

HP SN8000B SAN director240x8 Gbps port

Juniper EXmenedzsment hálózat

Felhő rendszerelemek

szabványos felületek mentén bővíthetőátlátható, ügyfélauditra felkészített rendszer

külső audit, rendszerminősítésszabályozásnak, törvénynek megfelel

Elhelyezés• Wigner adatközpont

– 4. blokk• 47U, sorolt Rittal szekrények• hideg-meleg folyosó• 10kW / rack hűtési kapacitás• 42 rack (csak a Felhőnek)

• NISZ gépterem

– új gépterem• 47U, sorolt Rittal szekrények• hideg-meleg folyosó• 10 kW / rack hűtési kapacitás• 20 rack (bővítető)

Fizikai architektúra (megvalósult)

IBM x3650 rack

Pengeszerverek IBM PureFlex

IBM x3650 rack

IBM x3750 rack

IBM x3750 rack

IBM x3750 rack

IBM x3750 rack

IBM x3750 rack

négyvezérlős Tároló

HP 3par 7400

HP SN8000B SAN switch

Cisco Nexus 7010 LAN switch

Tűzfal

EMC Networker + IBM x 3750

Mentési rendszer

Imidzs mentési tároló

HP 3par 7200

Fujitsu CS8800 Mentésvezérlő,

archiváló céleszköz

Quantum iScalar 500

Szalagtárak + magnók

HP c7000 Pengeszerverek

HP 7400 Tároló

HP 5900 LAN sw

VTL

szerverenként önálló szerverenként önálló pass throu

szerverenként önálló

trönk

trönk

NAS

NAS, NDMP NAS,

NDMP

SAN

NTG Internet

Infra menedzsment szerverek

Felhő menedzsment szerver (HP CSA)

VMware menedzsment

szerver

Hyper-V menedzsment

szerver

Oracle VM menedzsment

szerver

szerverenként önálló

HP Arcsight Naplózó

HP c7000 Pengeszerverek

HP 7400 Tároló

HP 5900 LAN sw

trönk

trönk

Menedzsment tűzfal

Juniper EX4200

Virt. EMC Avamar

Blokk 3 Blokk 2 Blokk 1 Blokk 0

Felhőmenedzsment felépítése

HPCSA

Ügyfél AdminNISZ AdminCSA Admin

OLDAP

MS AD

HP Matrix- A

OVMM-A

HP OO

Hyper-VvCenter

HP Matrix- B

OVMM-B Hyper-V vCenter

HP Matrix Operating Environment

Kormányzati felhő tulajdonságok

• Egységes infrastruktúra platform• x86 (x64) alapú • VMware vSphere ESXi, Microsoft Hyper-V, Oracle VM for x86• Microsoft Windows, SUSE Linux Enterprise, Red Hat Enterprise Linux

• Adaközpontok száma: 2 db (Róna, Wigner)• Produktív szerverek száma: 2x58 db• Összes CPU mag: 2x1080 db, teljesítménye: 2x2,5 THz• Teljes memória kapacitás: 2x18 TB• Elsődleges tárolók: 2x290 TB (HP 3par: SSD, SAS, NLSAS)• Másodlagos tárolók: 5,6 PB (Fujitsu CS8800, Quantum: SAS, SATA, LTO6)

Adatvédelem és a felhő kapcsolata

• jogszabály: 2011. évi CXII. törvény • - felhő alapú megoldások valamekkora része biztosan személyes adatokat kezel

(személyes adat – bármely meghatározott, a személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személlyel kapcsolatba hozható adat, valamint az adatból levonható, az érintettre vonatkozó következtetés)

• - ebből következően a felhő alapú szolgáltatást nyújtó szolgáltatók minimum, adatfeldolgozónak, de néha adatkezelőnek minősülnek(adatkezelő – aki önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;adatfeldolgozó -aki szerződés alapján - beleértve a jogszabály rendelkezése alapján kötött szerződést is - az adatkezelési műveletekhez kapcsolódó technikai feladatokat végzi, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik)

Felhő alapú számítástechnika adatvédelmi kockázatai• Nincs egységes nemzetközi szabályozás

– a magyar állam áll mögötte, egyértelmű a szolgáltatást nyújtó• Globális szolgáltatás

– meghatározott földrajzi helyekről nyújtják, auditálható, a magyar jog alkalmazandó, egyértelmű a felelősség

• Bonyolult általános szerződési feltételek– hazai jogrendszeren belül, megoldható feladatok, részletekre figyelni

kell• Érintetti jogok nem érvényesülnek megfelelően

– szereplőkre pontos szabályok vonatkoznak• Adatbiztonsági kihívások

– könnyebben ellenőrizhető a felhő szolgáltató– könnyebb intézményesített jelentési kötelezettséget előírni

Adatvédelmi kockázatok kezelése a Kormányzati Felhővel• Nincs egységes nemzetközi szabályozás

– a magyar állam áll mögötte, egyértelmű a szolgáltatást nyújtó• Globális szolgáltatás

– meghatározott földrajzi helyekről nyújtják, auditálható, a magyar jog alkalmazandó, egyértelmű a felelősség

• Bonyolult általános szerződési feltételek– hazai jogrendszeren belül, megoldható feladatok, részletekre

figyelni kell• Érintetti jogok nem érvényesülnek megfelelően

– szereplőkre pontos szabályok vonatkoznak• Adatbiztonsági kihívások

– könnyebben ellenőrizhető a felhő szolgáltató– könnyebb intézményesített jelentési kötelezettséget előírni

Információ biztonság jogszabályi követelmények• 2013. évi L. törvény:

2§ (2) E törvény rendelkezéseit kell alkalmazni:a) az (1) bekezdésben meghatározott szervek és ezen szervek számára adatkezelést végzők,b) a jogszabályban meghatározott, a nemzeti adatvagyon körébe tartozó állami nyilvántartások adatfeldolgozói,c) az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú rendszerelemmé törvény alapján kijelölt rendszerelemek

• elektronikus információs rendszereinek védelmére.• 309/2011 (XII. 23.) Korm. Rendelet a központosított informatikai és

elektronikus hírközlési szolgáltatásokról• 38/2011. (III. 22.) Korm. Rendelet a nemzeti adatvagyon körébe tartozó

állami nyilvántartások adatfeldolgozásának biztosításáról• 346/2010. (XII. 28.) Korm. Rendelet a kormányzati célú hálózatokról

Információ biztonsági besorolás• NISZ Szervezeti kötelezettség: 5 (legmagasabb) biztonsági szint

– bármely biztonsági osztályba (1-5) sorolt rendszer üzemeltetethető általa

• Tetszőleges informatikai rendszer– biztonsági osztály: 1-5, az adatgazda felelőssége besorolni

• Kormányzati Felhő biztonsági szintje– nem önálló informatikai rendszer, nem besorolható (IaaS)– alkalmazói rendszerrel és adatokkal együtt történhet meg a besorolás– nem tartalmaz olyan szűkítést, ami megakadályozná a legmagasabb

szint elérését

Bővítési lehetőségek• kapacitás: bármely, műszakilag megfelelő, gyártó integrálható

– szerverek: Dell, Fujitsu, Cisco UCS, ...– tárolók: NetApp, EMC, Hitachi, IBM, Fujitsu, ...– hypervizor: KVM, XEN, Citrix

• biztonság– secure multitenancy (Cisco UCS + Cisco SW + NetApp + VMware)– beépített biztonsági elemek (Intel TXT, AES-NI) használata– SecaaS: Security as a Service, 2013. évi L. törvénynek való megfelelés támogatása

• nyílt forráskódú, platformfüggetlen menedzsment– Openstack, eredeti és gyártói disztribúciók használata

• szolgáltatási szint emelés– platform

• operációs rendszer, adatbázis (DBaaS), köztes réteg, SOA– szolgáltatás

• ERP, levelezés, tartalomkezelés, CRM, CallCenter, ...

27

Gazdag Ferencgazdag.ferenc@nisz.

huhttp://www.kof.hu