1
Основа территориального центра обработки – типовые проектные решения : Система консолидированных серверов и данных Система терминального доступа Система резервного копирования СХД СКСД СТД Сервер приложений 1 Сервер приложений N Виртуализационный слой VMWare СРК Толстый клиент ОС Пользователь 1Пользователь N Прил 1 Комбинированный клиент Тонкий клиент Прил N 2
Внедрения проекта виртуальных серверов в учреждениях Банка России позволило: сократить времени на внедрение автоматизированных систем (подготовка технической базы автоматизированной системы с 4-5 месяцев до 2-3- дней); снизить стоимости владения комплексом технических средств; повысить надежности за счет свойств виртуальной среды и резервирования; повысить эффективное использование вычислительных ресурсов (с 1-5% до 50-80%); снизить затраты на администрирование комплекса серверов; по мере роста потребностей проводить модернизацию СКСД, а не АС; экономить площади ВЦ (около 100 виртуальных серверов и рабочих станций – 1 стойка); снизить требования к системам инженерного обеспечения. Внедрение проекта СТД в территориальных управлениях позволило : отказаться от серверного оборудования в РКЦ (в ИС); снизить трудоемкость администрирования типовых программных комплексов; сократить время на внедрение ППК; снизить стоимость АРМ ТУ. 3
повышение управляемости существующей инфраструктуры автоматизация процессов администрирования обеспечение непрерывности процесса предоставления сервисов и повышение их качественных характеристик повышение показателей быстродействия и качества обслуживания инфраструктуры повышение уровня информационной безопасности обеспечение оперативной эластичности ( масштабируемости ) Использование виртуальных рабочих мест пользователей (VDI) 4
Снижение затрат: Снижение количества персонала, обслуживающего ИС, выполняющего тот же объем работ Повышение качества обслуживания: Сокращение числа и вероятности допущения ошибок при выполнении работ обслуживающим ИС персоналом; Обеспечение высоких значений отказоустойчивости и доступности предоставляемых сервисов; Тотальный контроль и управление элементами физической и виртуальной инфраструктуры Сокращение времени выполнения заявок: Сокращение времени и затрат на обработку типовых запросов на обслуживание 5
6
HPCSABMCBladeLogicDELLVISVmware vCloud Director IBMCloudBurst Поддержка компонент сторонних разработчиков Интегрированное решение Быстрое и удобное создание сервисов Управление жизненным циклом приложений Контроль потребляемых сервисов Решение для частного «облака» Инсталляция приложений Конфигурирование серверов Нет управления СХД Не интегрированное решение Поставщики облачных решений 7
Практическая проверка общих принципов построения и управления облачной инфраструктурой Отработка контролируемого централизованного предоставления пользователям набора ИТ- сервисов Проверка возможности администрирования всего комплекса сокращенным обслуживающим персоналом - до 500 контролируемых ресурсов на 1-ого сотрудника и повышение качества их обслуживания Тестирование решений информационной безопасности облачной инфраструктуры 8
В рамках Макета под понятием «облако» понимается совокупность следующих элементов: - Система консолидированных серверов обработки и хранения данных в составе: - 3-х серверов виртуализации (HP BL460) - сервера управления (HP DL360) - системы хранения данных (EMC CLARiiON) - Установленный на СКСД комплекс программного обеспечения управления и автоматизации администрирования виртуальных серверов: -программные средства виртуализации (VMWare ESXi, vCenter Server) -программные средства контроля и управления виртуальной инфраструктурой (HP CSA, Operations Orchestration, Server Automation) - Специализированные программные средства для обеспечения информационной безопасности (ИБ) в виртуальной среде: - централизованной антивирусной защиты - централизованного контроля и управления событиями ИБ - разграничение доступа, контроль целостности, разделение полномочий в виртуальной среде и др. 9
Системные операторы и администраторы предоставление платформы для развертывания серверных инфраструктур и рабочих мест пользователей предоставление инструментов контроля и управления Администраторы систем облака консолидация рабочих мест операторов АС консолидация рабочих мест администраторов АС Выделение типовых рабочих мест администраторов подсистем облака : АРМ администратора облачной инфраструктуры АРМ администратора средств защиты от вредоносного кода АРМ администратора информационной безопасности 10
Инсталляци я серверов Пользователь Системный инженер Портал самообслуживания Портал администратора облака Администратор облака IT admin portal Инсталляция приложений серверы Приложения Управление СХД Ресурсы хранения Сетевые ресурсы Управление СПД Контроль предоставления и мониторинг Безопасность Управление и аудит Управление IT admin portal Админист раторы ЦОД Контроллер « облака » База данных CMDB Решение HP Cloud Service Automation 11
База данных CMDB Портал самообслуживания Приложения Виртуальные машины Администратор облака Системный администратор Пользователь Контроллер « облака » 12
13
Отсутствие защиты гипервизора Отсутствие контроля действий пользователей и вносимых ими изменений в конфигурацию виртуальной среды Отсутствие требуемого уровня защиты виртуальных машин, долгое время находящихся в выключенном состоянии Отсутствие межсетевых экранов в виртуальной среде Опасность перегрузки вычислительных ресурсов при использовании стандартных средств защиты от вредоносного кода 14
15 получение несанкционированного управления системой виртуальных серверов несанкционированный доступ к виртуальным машинам внедрение вредоносного ПО при работе пользователей на персональном виртуальном компьютере несанкционированный сетевой доступ внутри виртуальной инфраструктуры несанкционированное изменение виртуальных машин в выключенном состоянии угроза компрометации образов виртуальных машин
16 Активные Спящие Проснулись, но системы безопасности устарели Атаки между виртуальными машинами Спящие виртуальные машины Разные уровни безопасности для данных Обычный антивирус
Отсутствие защиты гипервизора Отсутствие контроля действий пользователей и вносимых ими изменений в конфигурацию виртуальной среды Отсутствие требуемого уровня защиты виртуальных машин, долгое время находящихся в выключенном состоянии Отсутствие межсетевых экранов в виртуальной среде Опасность перегрузки вычислительных ресурсов при использовании стандартных средств защиты от вредоносного кода Trend Micro Deep Security 17
Координированный подход: Оптимизированная защита Агенты безопасности: Дополнительные модули защиты Мобильность для перемещения в облако Virtual Appliance: AV, IDS/IPS, FW высокая эффективность управляемость Интеграция с гипервизором и vCenter: Понимается контекст виртуализации Защищает машины при включении 18
С точки зрения пользователей Стандартизированные услуги самообслуживания Быстрое предоставление услуг С точки зрения администраторов Виртуализированные ресурсы Управление единым ресурсом Предоставление услуг с гибким масштабированием Автоматическая инсталляция, конфигурация и обновление приложений Единая консоль автоматизированного мониторинга и управления Бесконфликтное разделение зон ответственности с АИБ 19
Отдельная консоль администратора ИБ Прозрачен для администратора облака Обеспечение контроля всех видов подключений к vCenter Обеспечение гибкого ролевого разграничения доступа к элементам управления облачной инфраструктуры Поддержка двухфакторной аутентификации Выдача привилегий на время 20
21 БезопасностьИТ-службы Пользователи Защищает от атак нулевого дня веб-приложения, корпоративные системы и ОС. Обнаруживает и блокирует множество угроз. Повышает степень консолидации виртуальных машин, одновременно снижая воздействие на производительность. Более эффективный и быстрый патчинг. Избавляет от необходимости в агентах безопасности Избавляет от необходимости осуществлять обновления
IDS / IPS Защита Web -приложений Контроль приложений Глубокий пакетный анализ (DPI) Анализ событий Контроль целостности Антивирус Межсетевой экран Агент Virtual Appliance 22
Deep Security Manager Deep Security Manager Оповещения Обновления для системы безопасности Отчеты Интегрировано с ИТ инфраструктурой vCenter vShield Manager Active Directory Веб сервисы Обновления для системы безопасности Deep Security Agent Deep Security Agent Кластер из 3-х ESX серверов (Тушино) Deep Security Virtual Appliance Deep Security Virtual Appliance Deep Security Virtual Appliance Deep Security Virtual Appliance Deep Security Virtual Appliance Deep Security Virtual Appliance 23
24
25
26
27 Trend Micro Deep Security HyTrust HTA HP CSA Администратор системы АИБ агентов АИБ системы Пользователь Виртуальная машина
Контроль сетевых взаимодействий Антивирус без агентов Управление доступом к объектам ВИ Защита периметра виртуальной инфраструктуры Контроль доступа к средствам администрирования Управление событиями ИБ и их корреляция 28
Зонирование информации по уровням безопасности Изображение Данные ДСП ИОД Информация общего пользования WaaS Изображение Данные WaaS Изображение Данные WaaS информация Изображение
30