Embed Size (px)
DESCRIPTION
Közel az idő, amikor a vállalati szerverszobák kiürülnek, és helyettük a 220V-os csatlakozó aljzatok mellett megjelennek a tár- és számítási kapacitást kínáló UTP aljzatok.(Krasznay Csaba, IT biztonsági szakértő, HP)
Citation preview
Ipari felhő infrastruktúrák a Ipari felhő infrastruktúrák a gyakorlatbangyakorlatban
Krasznay CsabaKrasznay Csaba
A felhő első pillantásraA felhő első pillantásra
Egy kis „történelem”Egy kis „történelem”Elnevezés: internet „felhő” ábraElnevezés: internet „felhő” ábra Koncepcionális előzmények:Koncepcionális előzmények:
VPN mint telco szolgáltatás (fekete doboz)VPN mint telco szolgáltatás (fekete doboz)Virtualizáció (virtuális szerverek)Virtualizáció (virtuális szerverek)SOA architektúra elvekSOA architektúra elvekInformatikai közmű gondolat (már a 60-as években)Informatikai közmű gondolat (már a 60-as években)
Evolúciós előzmények:Evolúciós előzmények:Szerver virtualizációs technológiákSzerver virtualizációs technológiákDatacenterek elterjedéseDatacenterek elterjedéseAmazon adatközpontok „felesleges” kapacitás kihasználás, Amazon adatközpontok „felesleges” kapacitás kihasználás, (AWS)(AWS)
…………
Szolgáltató
Szolgáltató
Definíció, jellemzőkDefiníció, jellemzők• Cloud Computing: IT erőforrásoknak és kapacitásoknakCloud Computing: IT erőforrásoknak és kapacitásoknak
• szolgáltatás alapú;szolgáltatás alapú;• transzparens;transzparens;• a felhasználó számára a fizikai megvalósítástól és üzemeltetéstől a felhasználó számára a fizikai megvalósítástól és üzemeltetéstől
függetlenfüggetlenigénybevétele, amely:igénybevétele, amely:
• Megosztott erőforrásokon alapul;Megosztott erőforrásokon alapul;• Biztonságos;Biztonságos;• On-demand jellegű igénybevétel és díjazás;On-demand jellegű igénybevétel és díjazás;• Azonnali rugalmasság és skálázhatóság az igénybevett kapacitásokban;Azonnali rugalmasság és skálázhatóság az igénybevett kapacitásokban;• Többé-kevésbé önkiszolgáló rendszer, többé-kevésbé automatizált Többé-kevésbé önkiszolgáló rendszer, többé-kevésbé automatizált
aktiválással;aktiválással;• Közmű jelleg, standardizáltság.Közmű jelleg, standardizáltság.
Mi van a felhőben?Mi van a felhőben?„IT erőforrások és kapacitások”
Fogalmak, terminológiaFogalmak, terminológia
Ren
dsze
r-felü
gyele
t és
adm
inisztrá
ció
• Megvalósulási rétegek: XaaS Megvalósulási rétegek: XaaS (…. as a Service)(…. as a Service)
Cloud referencia modellCloud referencia modell
Szolgáltatás alapú ITSzolgáltatás alapú IT
ITIL v3 szerinti szolgáltatásmodell
Miben más a cloud?Miben más a cloud?Hagyományos IT szolgáltatás: (pl. datacenter hosting, outsourcing, managed service providers)
Cloud szolgáltatás:
• Technológia- és/vagy eszköz igénybevételi szolgáltatások
• Hosszútávú szerződéses keretek
• Statikus szerződési feltételek
• Egyedi, ügyfélhez igazodó, testre szabott környezetek
• Portfolió alapú, on-demand alapú kínálat (katalógus)
• Dinamikus szerződési feltételek
• Igénybevétel/használat alapú díjazás
• Standardizált, egységes, egyedi megoldásokat nem támogat
Hogyan működik? – belső Hogyan működik? – belső technológiatechnológia• Egyesített infrastruktúra konglomerátum (hw, sw, meta-OS)Egyesített infrastruktúra konglomerátum (hw, sw, meta-OS)• Szolgáltatás-katalógusSzolgáltatás-katalógus• Self-service portal Self-service portal • Cloud-maps: előre definiált templatek az elterjedt alkalmazási Cloud-maps: előre definiált templatek az elterjedt alkalmazási
környezetek számárakörnyezetek számára• Orchestration: azonnali skálázhatóság, erőforrások és Orchestration: azonnali skálázhatóság, erőforrások és
kapacitások on-demand vezérlésekapacitások on-demand vezérlése• Vegyes op.r. támogatásVegyes op.r. támogatás• Egységes monitorozásEgységes monitorozás• IT biztonsági szolgáltatásokIT biztonsági szolgáltatások
AutomatizmusokAutomatizmusok• Self-service portalSelf-service portal
• Szolgáltatás igénylésSzolgáltatás igénylés• Autoprovisioning folyamat indításaAutoprovisioning folyamat indítása
• Szolgáltatás-katalógusSzolgáltatás-katalógus• Igényelhető termékek, szolgáltatások listájaIgényelhető termékek, szolgáltatások listája• Product layer (ár, SLA, kereskedelmi info)Product layer (ár, SLA, kereskedelmi info)• Service layer (szolg. Technikai összetétele)Service layer (szolg. Technikai összetétele)• Resource layer (pl. server, VM, storage, etc.)Resource layer (pl. server, VM, storage, etc.)
• Szolgáltatás aktiválásSzolgáltatás aktiválás• Automatizált igénylési és indulási folyamatAutomatizált igénylési és indulási folyamat• Standardizált környezet „azonnali” indulásaStandardizált környezet „azonnali” indulása• Szolgáltatás életciklus menedzsmentSzolgáltatás életciklus menedzsment
Kiépítettségi szintek Kiépítettségi szintek (deployment model)(deployment model)
Hagyományos
Private
Public
• Private cloud: Private cloud: • egyetlen felhasználó szervezet számára történő üzemelés, egyetlen felhasználó szervezet számára történő üzemelés, • külső v. belső helyszínenkülső v. belső helyszínen
• Public cloud: Public cloud: • megosztott erőforrások, megosztott erőforrások, • több önálló szervezet, több önálló szervezet, • pay-per-usage alapon (service provider)pay-per-usage alapon (service provider)
• Community (public zárt körben): üzleti partnerek, kormányzat, Community (public zárt körben): üzleti partnerek, kormányzat, stb.stb.
• Hibrid: vegyes cloud üzem egységes keretben, saját és cloud Hibrid: vegyes cloud üzem egységes keretben, saját és cloud szolgáltatások együttéléseszolgáltatások együttélése
Túl a technológián – az átállás Túl a technológián – az átállás kérdéseikérdései• T&T projektek, szervezeti keretek és szerepkörök, üzemeltetés T&T projektek, szervezeti keretek és szerepkörök, üzemeltetés
változásaiváltozásai• Tervezés, onboarding, átállás, menedzsment és irányításTervezés, onboarding, átállás, menedzsment és irányítás• Teljes körű alkalmazás-konszolidációs portfolió: hatékonyság, Teljes körű alkalmazás-konszolidációs portfolió: hatékonyság,
modernizáció, racionalizálás és átalakulás összekapcsolásamodernizáció, racionalizálás és átalakulás összekapcsolása• Speciális célzott szolgáltatás AT2C (Application-to-Cloud): Speciális célzott szolgáltatás AT2C (Application-to-Cloud):
alkalmazás szintű átállás-elemzés, üzleti és technológiai átállási alkalmazás szintű átállás-elemzés, üzleti és technológiai átállási készültség felmérésekészültség felmérése
• újfajta IT működés, belső erőforrások és feladatok átalakulása: a újfajta IT működés, belső erőforrások és feladatok átalakulása: a hangsúly a technológiai területről logikai szintre tolódikhangsúly a technológiai területről logikai szintre tolódik
Ösztönzők és kihívások (pro és Ösztönzők és kihívások (pro és kontra)kontra)• Motivációs tényezők:Motivációs tényezők:
• Beruházás nélküli erőforrás rendelkezésre állás, gyors indulásBeruházás nélküli erőforrás rendelkezésre állás, gyors indulás• Megosztott, ezáltal optimális és hatékony erőforrás használatMegosztott, ezáltal optimális és hatékony erőforrás használat• Gyors műszaki alkalmazkodás, architektúra váltásGyors műszaki alkalmazkodás, architektúra váltás• Rugalmas kapacitás-felhasználás és –lekötés, pl ideiglenes feladatoknál: Rugalmas kapacitás-felhasználás és –lekötés, pl ideiglenes feladatoknál:
tesztelés, oktatás, fejlesztési környezet, kampány jellegű feldolgozásoktesztelés, oktatás, fejlesztési környezet, kampány jellegű feldolgozások• Zöld ITZöld IT
• Leggyakoribb fenntartások:Leggyakoribb fenntartások:• Cloud erősen standardizált jellege vs. egyedi elvárások az IT-vel szemben Cloud erősen standardizált jellege vs. egyedi elvárások az IT-vel szemben
üzleti oldalrólüzleti oldalról• Jogi környezet, szabályozás, biztonság, adatkezelésJogi környezet, szabályozás, biztonság, adatkezelés
• Minden fenntartásra van jó megoldás, sőt!Minden fenntartásra van jó megoldás, sőt!
A cloud biztonságával A cloud biztonságával kockázatokkockázatok
• Megosztott erőforrások miatti problémák• Cloud szolgáltatás befejezése• Cloud szolgáltató felvásárlása• Szállítási lánc megszakadása
• Nem megfelelő törlés• DDoS• EDoS (Gazdasági DoS)• Titkosító kulcs elvesztése• Külső támadási
próbálkozások• Kompromittált szolgáltatási
motor• Nem megfelelő hardening
• Üzemeltetési naplók sérülése• Biztonsági naplók elvesztése• Mentések elvesztése• Nem jogosult fizikai
hozzáférés• Lopás• Természeti katasztrófa
Forrás: ENISA, Cloud Computing:Benefits, risks and recommendationsfor information security
Elvárt védelmi intézkedésekElvárt védelmi intézkedések
Biztonsági előnyökBiztonsági előnyök• A korábban felsorolt kockázatok közül néhány éppen hogy előnnyé A korábban felsorolt kockázatok közül néhány éppen hogy előnnyé
konvertálható megfelelő tervezéssel (ld. DDoS példája)konvertálható megfelelő tervezéssel (ld. DDoS példája)• Összességében az alábbi biztonsági előnyök mutatkoznak a felhőre Összességében az alábbi biztonsági előnyök mutatkoznak a felhőre
való áttérés esetében:való áttérés esetében:• Szabványos interfészek a menedzselt biztonsági szolgáltatások feléSzabványos interfészek a menedzselt biztonsági szolgáltatások felé• Az erőforrások gyors, intelligens skálázásaAz erőforrások gyors, intelligens skálázása• Auditálás és bizonyítékgyűjtésAuditálás és bizonyítékgyűjtés• Gyors, hatékony és hatásos frissítés és az elvárt biztonságos Gyors, hatékony és hatásos frissítés és az elvárt biztonságos
alapértelmezések beállításaalapértelmezések beállítása• Biztonság az SLA-ban, jobb kockázatmenedzsmentBiztonság az SLA-ban, jobb kockázatmenedzsment• Az erőforrások központosításából eredő előnyökAz erőforrások központosításából eredő előnyök
• Gyorsabb, olcsóbb, jobb – de ehhez új nézőpontból kell a biztonságra Gyorsabb, olcsóbb, jobb – de ehhez új nézőpontból kell a biztonságra tekinteni!tekinteni!
Felhőbiztonság vs. biztonság a Felhőbiztonság vs. biztonság a felhőbenfelhőben• A cloud egyik új hozadéka, hogy nem csak az üzleti folyamatokat A cloud egyik új hozadéka, hogy nem csak az üzleti folyamatokat
támogató megoldások felhősödnek, hanem a biztonsági megoldások támogató megoldások felhősödnek, hanem a biztonsági megoldások is.is.
• Jó példa erre a mobilbiztonság területe, ahol a gyártók a hagyományos Jó példa erre a mobilbiztonság területe, ahol a gyártók a hagyományos szoftverek mellett párhuzamosan már cloud alapú megoldásokat is szoftverek mellett párhuzamosan már cloud alapú megoldásokat is kínálnak, mert:kínálnak, mert:
• Hirtelen kell megoldást nyújtani;Hirtelen kell megoldást nyújtani;• Külön infrastruktúra telepítése nélkül;Külön infrastruktúra telepítése nélkül;• Új szakemberek alkalmazása nélkül.Új szakemberek alkalmazása nélkül.
• A biztonsági megoldások távoli kezelésével tehát költség takarítható A biztonsági megoldások távoli kezelésével tehát költség takarítható meg, de legféltettebb titkaink kerülnek ki a kezeink közül (pl. meg, de legféltettebb titkaink kerülnek ki a kezeink közül (pl. naplóadatok).naplóadatok).
• De az outsourcing esetében nem így volt korábban is?De az outsourcing esetében nem így volt korábban is?• Csak a technológia más, a szemlélet és a szabályok változatlanok!Csak a technológia más, a szemlélet és a szabályok változatlanok!
Ajánlott irodalomAjánlott irodalom
Köszönöm a figyelmet!Köszönöm a figyelmet!
Web: www.krasznay.huWeb: www.krasznay.hu
E-mail: [email protected]: [email protected]
Twitter: twitter.com/csabika25Twitter: twitter.com/csabika25
