Systemax SSC esettanulmány Suba Attila Advisory Technology Consultant, NET54 Kft.
Magyarország (EMEA központ) Globális Ipar szegmens Alapítás: 1949 Számítástechnika, számítástechnikai alkatrész, fogyasztói elektronikus termékek, ipari termékek Kihívás 13 európai site szerver- és alkalmazás konszolidációja, migrációja Mo.-ra Európai site-okon teljes üzemeltetés leépítése DC, hálózat és biztonsági infrastruktúra tervezése DC infrastruktúra kiépítése (hálózat, storage, mentés, virtualizáció) Office és biztonsági infrastruktúra kiépítése Nemzetközi MPLS hálózat végponti támogatása, VoIP integráció Európa szerte Migrációk levezénylése, teljes körű project menedzsment Biztonsági auditra felkészítés (PCI DSS, SOX) Nemzetközi migrációk auditja Nemzetközi webes platformok, sales portálok migrációja IT személyzet hatékonyságának növelése, menedzsment rendszerek kialakítása Megoldás Konszolidált Cisco UCS platform VMware virtualizációs réteggel Cisco Nexus DC hálózati infrastruktúra EMC adatközponti infrastruktúra (VNX5700, DD610, Networker) NET 54 üzemeltetés 13 európai telephelyen Üzleti előnyök TCO csökkentés és Opex redukálás Konszolidált kapacitások, megemelt kihasználtság és csökkenő üzemeltetési, pénzügyi géptermi hely, áram és hűtési költségek Meglevő alkalmazások kapacitásának és performanciájának növelése Magasabb rendelkezésre állás és jobb teljesítmény
Business és IT, hogy az elmúlt években lerakott informatikai jövőkép nem más, mint a gyártók, partnerek ránk erőltetett stratégiája, és az IT nem is Business Driver? 3
Business és IT What if I told you, hogy az elmúlt években lerakott informatikai jövőkép nem más, mint a gyártók, partnerek ránk erőltetett stratégiája, és az IT nem is Business Driver? 4
Az ész álma szörnyeket teremt 5 + 168. Váci út, H-1138 Budapest, Hungary ( +36 1 270-9554 7 +36 1 270-9516 3 info@net54.hu
Evolúciós IT fejlődés 6
Tervezés vs vödrösnarancs design 7
Moduláris topológiai ábra 8
Topológiai ábra 9
Topológiai ábra 10
Jó az öreg a háznál 11
FTP NFS
FTP NFS
A tűzfalas szegmentáció kérdései 14
L3 WAN OPT. WAN DC L3 FW L3/4 SLB WAN OPT. IPS SSL L5-7 SEC. L7 XML GW SSL egyéb FE SRV APP SRV DB NAS FC- SAN STORAGE
L3 WAN OPT. WAN DC L3 FW L3/4 SLB WAN OPT. IPS SSL L5-7 SEC. L7 XML GW SSL egyéb FE SRV APP SRV DB NAS DC Alkalmazás szolgáltatások FC- SAN STORAGE SRV-STORAGE infra
L3 WAN OPT. WAN DC L3 FW L3/4 SLB WAN OPT. IPS SSL L5-7 SEC. L7 XML GW SSL egyéb FE SRV APP SRV DB NAS FC- SAN STORAGE
L3 WAN OPT. WAN DC L3 FW L3/4 SLB WAN OPT. IPS SSL L5-7 SEC. L7 XML GW SSL egyéb FE SRV APP SRV DB NAS FC- SAN STORAGE 18
https
L3 WAN OPT. WAN DC L3 FW L3/4 SLB WAN OPT. IPS SSL L5-7 SEC. L7 XML GW SSL egyéb FE SRV APP SRV DB NAS FC- SAN STORAGE 21
L3 WAN OPT. WAN DC L3 FW L3/4 SLB WAN OPT. IPS SSL L5-7 SEC. L7 XML GW SSL egyéb FW FE SRV APP SRV DB NAS FC- SAN STORAGE
L3 WAN OPT. WAN DC L3 FW L3/4 SLB WAN OPT. IPS SSL L5-7 SEC. L7 XML GW SSL egyéb FW FE SRV APP SRV DB NAS ESX CLUSTER FC- SAN STORAGE
FW FE SRV APP SRV DB NAS Hypervisor FC - SAN STORAGE
FW NAS Hypervisor FE SRV APP SRV DB FC- SAN STORAGE
FW FW FE SRV APP SRV DB NAS Hypervisor FC- SAN STORAGE
L3 WAN OPT. WAN DC L3 FW FW L3/4 SLB WAN OPT. IPS SSL L5-7 SEC. L7 XML GW SSL egyéb FW FE SRV APP SRV DB NAS FC- SAN STORAGE
vswitch
Nagysebességű DC tűzfalas szegmentációja
40 Gbps kapacitásra tűzfal Cisco Nexus 7000 Series Firewall Service Module (FWM-NX1) Na ilyen nincs. 32
Szerepkör alapú hozzáférés-vezérlés CÉL FORRÁS HR MARKETING L1 OPERÁTOROK L2 OPERÁTOROK L3 OPERÁTOROK SALES SERVICE DESK EXEC BYOD EXEC BYOD PCI DSS KÖRNYEZET FS1 FS2 FS3 PCS ABC DB1 X X C X C C X C X X X X X X C X X X X X X C C X X X X C C C X X X C C C X X C C C X X C X X X X X C X X C C C C X X X X X X X C X X C C C C X X X C X X X DB2 33
HR L1 L2 HR 10.2.34.0/24 10.2.35.0/24 10.2.36.0/24 10.3.102.0/24 10.3.152.0/24 10.4.111.0/24. ABC FS3 DB1 Szerverek SALE DC-RTP (VDI) ACL/FW szabályok források célcímek permit HR to FS3 eq NFS permit HR to ABC eq 993 Permit HR to DB1 eq 1521 deny L1 to FS3 eq NFS deny L1 to ABC eq SSH permit L1 to DB1 eq HTTPS deny L2 to FS3 eq NFS deny L2 to ABC eq SSH permit L2 to DB1 eq HTTPS ACL 3 forrásra és 3 célcímre permit SALE to FS3 for HTTPS deny SALE to DB1 for SQL deny SALE to ABC for SSH Újabb forrás permit HR to VDI eq RDP deny L1 to VDI eq RDP deny L2 to VDI eq RDP deny PCI to VDI eq RDP Újabb cél 34
S = Subject = A person or automated agent R = Role = Job function or title which defines an authority level P = Permissions = An approval of a mode of access to a resource SE = Session = A mapping involving S, R and/or P SA = Subject Assignment PA = Permission Assignment RH = Partially ordered role Hierarchy. RH can also be written: (The notation: x y means that x inherits the permissions of y.) A subject can have multiple roles. A role can have multiple subjects. A role can have many permissions. A permission can be assigned to many roles. RBAC vs ACL RBACm = ACLg J. Barkley Rosser, Jr 35
SGT Overview HR L1 L2 ABC FS3 DB1 Szerverek HR SALE DC-RTP (VDI) BYOD Source SGT: Employee (10) BYOD (200) Security Group Filtering Destination SGT: Production_Servers (50) VDI (201) VDI Szerver Permit Employee to Szerverek eq HTTPS Permit Employee to Szerverek eq SQL Permit Employee to Szerverek eq SSH Permit Employee to VDI eq RDP Deny BYOD to Szerverek (any) Deny BYOD to VDI eq RDP
Enforcement ISE Portal_ACL permit tcp dst eq 443 permit tcp dst eq 80 permit tcp dst eq 22 permit tcp dst eq 3389 permit tcp dst eq 135 permit tcp dst eq 136 permit tcp dst eq 137 permit tcp dst eq 138 permit tcp des eq 139 deny ip
Users, Device Classification ISE Enforcement Directory Fin Servers SGT = 4 SGT:5 HR Servers SGT = 10 Switch Router DC FW DC Switch SGT Transport SGT : 16 bit-es érték az L2 keretben Osztályzás: A rendszer/felhasználó szerepköre szerint (felhasználói szerepkör, helyszín, hozzáférés módja) A kontextus alapú osztályzás leterjed az SGT segítségével A tűzfalak, routerek és switchek továbbítási vagy blokkolási döntést hoznak a DC-ben 38
Osztályozás Kikényszerítés
TrustSec összefoglalás
Disaster Recovery a felhőbe
DR tervezés kiinduló pontja RPO RTO TIME DAYS HRS MIN SEC Event SEC MIN HRS DAYS
Mi legyen a Cloud DR-ban? Networker Virtuális gépek SAN RecoverPoint IP? Thirdparty SAN storage Local journals
Ideális megoldás (nem cloud) PRODUCTION DISASTER RECOVERY vcenter SRM SRA SRM SRA vcenter Protected Virtual Machines VMware Infrastructure Servers Automated VM failover Nondisruptive DR testing Protected Virtual Machines VMware Infrastructure Servers SAN RecoverPoint WAN RecoverPoint SAN LUN Heterogeneous storage LUN LUN Production LUNs Disaster recovery journal Disaster recovery replicas
Data backup S3-ra
Visszaállás S3 backupból AWS EC2-re
Networker Virtuális gépek SAN RecoverPoint IP Szolgáltatások szerinti cloud Kolokációs szolgáltatás? nem is cloud cloud szolgáltatás Thirdparty SAN storage Local journals Üzemeltetés OPEX terhek!
Köszönöm a figyelmet! suba.attila@net54.hu
Backup slide mgmt