Tomasz Matuła Warszawa, 28 lutego Chmura przypadek, czy przemyślana strategia?

Transkrypt

1 Tomasz Matuła Warszawa, 28 lutego 2013 Chmura przypadek, czy przemyślana strategia?

2 Było o wiele przyjemniej, zanim ludzie zaczęli składować wszystkie swoje dane w chmurach Cartoon by New Yorker

3 chmura to? a. grupa zasobów komputerowych ulokowanych na odległej wyspie O b. model przetwarzania danych prowadzący do daleko idących zmian w modelach biznesowych O c. model przetwarzania danych podnoszący efektywność wykorzystania posiadanych zasobów, dzięki umożliwieniu ich współdzielenia mocy obliczeniowej, zasobów pamięci, czy aplikacji O d. elastyczny sposób dostarczania tradycyjnych usług IT, okrzyknięty nowatorskim, choć inżynierom znajomy od dawna? e. It s a stupidity. It s worse than stupidity: it s a marketing hype campaign. It will force people to buy into locked, proprietary systems that will cost more and more over time Richard Stallman

4 definicja cloud computing isn t just a group of computing resources sitting in a remote island. Rather the cloud is a computing model for enabling cost-effective business outcomes through the use of shared application and computing services. ( ) It turns traditionally siloed computing assets into a shared pool of resources so not only do you get to share servers, but you can also share networks, storage, applications, and services. And, when you share everyone is a winner. Cloud computing for dummies, Judith Hurwitz, Marcia Kaufman

5 chmura jest nieuchronną konsekwencją rozwoju IT poprzednia epoka You are here: epoka cloud powstają data centers komputer osobisty rozproszone przetwarzanie danych Internet i www IT on demand: hardware, software, infrastructure, and all you can eat ;-) on demand as a service Big data AOB

6 gdzie jest cloud i jak się ma? według Gartnera, cloud computing, po okresie hurraoptymizmu, wszedł w fazę demitologizacji

7 demitologizacja - co to oznacza w praktyce? zimna i wyrachowana koncentracja inżynierów na dopasowaniu funkcjonalności X-as-a-service do rzeczywistych potrzeb biznesowych bezpieczeństwo zarządzane w scentralizowanym modelu reorganizacja modelu zarządzania centralizacja i mądre współdzielenie zasobów decydują o strategicznej przewadze konkurencyjnej przedsiębiorstw chmura nie jest jednorodna: The cloud is a worldwide phenomenon, and, in theory, it has no national borders. However, in practice, different countries adopt the cloud in different fashions and at different speeds. Gartner czerwiec 2012

8 jaką drogę przeszedł Orange? poprzednia epoka We are here epoka cloud 2002 konsolidacja data centres 2013 konsolidacja infrastruktury IT wirtualizacja infrastruktury IT standaryzacja i automatyzacja procesów bezpieczeństwo usługi

9 jak do tego doszło? - konsolidacja konsolidacja Data Center z 230 do 1 CPD Łódź konsolidacja serwerów środowiska Intel środowiska Unix wymiana starych serwerów na nowe wielordzeniowe ułatwia działania konsolidacyjne i budowę środowisk wirtualnych zmniejszenie zużycia energii o 35-45% Pojemność macierzy GTP dane w TB NAS: 139 TB Highend: 1113 TB 20M PLN oszczędności na licencjach Oracle konsolidacja storage połączenie CPD Warszawa i CPD Łódź na potrzeby migracji danych i Disaster Recovery 100% systemów krytycznych Grupy TP skonsolidowane na macierzach High End i Midrange w ramach sieci SAN rozległa sieć metasan (około 4000 aktywnych portów). jeden Centralny System Backupu - konsolidacja czterech systemów backup owych Orange i TP Middrange: 1074 TB

10 jak do tego doszło? wirtualizacja Stopień wirtualizacji serwerów w OPL - ogółem % dostarczanych do projektów serwerów wirtualnych Terminowość realizacji dostarczania serwerów w CRZ 10

11 Infrastruct uremainte nance cloud Utrzymanie Infrastr., sec. i Infrastructu Rozwój Infrastr., redevelopm sec. i cloud ent Rozwój IT / Platf. Usł. IT S sieci jak do tego doszło? procesy i automatyzacja w stronę centrum usług jednolity proces Dostarczania Infrastruktury IT, security i cloud dla wszystkich wewnętrznych i zewnętrznych klientów obszaru KPI: 96,88 % potrzeb w wymaganym czasie; 4,79 w 5 punktowej skali satysfakcja kierowników projektów automatyzacja procesów dostarczania i zarządzania oparta na ITSM CMDB oraz specjalizowanych narzędzi w tym open source strategia zakupowa zarządzanie pojemnością zarządzanie budżetem procesy dostarczania i utrzymania katalog analiza kosztów zarządzanie poziomem usług Instalacja: Storage Serwery OS / DB / Mid Backup Monitoring Storage Serwery Realizacja projektu Zakup, instalacja i konfiguracja OS / DB / Mid. Backup Monitoring S E C U R I T Y Klienci: wewnętrzne jednostki Orange Polska spółki Grupy Orange (FT) klienci komercyjni B2B

12 hosting XaaS services model w Orange PL Network Service Platforms Data Centre as a Service = Network, Monitoring, Backup, Security, Firewall Infrastructure as a Service = DCaaS + Server, Storage, Operating System, Management Tools, Advanced security (Security as a Service) Platform as a Service = IaaS + logical server and storage, lifecycle management tools, additional tools zależne od przeznaczenia platformy Communication as a Service = IaaS + Office systems, electronic communication systems Software as a Service = IaaS + standard application IT Orange, klienci komercyjni Orange Polska, spółki Grupy Klienci: wewnętrzne jednostki

13 Operations model cloud (IaaS, PaaS) Centralizacja DC i infrastruktury Standaryzacja i automatyzacja procesów wirtualizacja Bezpieczeństwo i usługi IT or Line-of-Business Define Service Service Catalog (Project CUBE) Self-Service Portal ( missing) Request Service Customer Service Retirement Cloud Storage Cloud Software Physical Servers (manual) Network Virtual Servers Automated Provisioning Performance Management Compliance Management Lifecycle Management

14 Case study wirtualne Data Center i IaaS dla usługi FT DPS Orange Poland Cube Data Centre and cloud IaaS in Lodz

15 świat wokół nas zmienia się

16 stały wzrost nowoczesnych technologii opartych na internecie Ruch w internecie wzrasta ok. 50% rocznie, z czego znaczna część powiązana jest z sieciami społecznościowymi oraz mobilnym internetem, podczas gdy obserwujemy 150 ataków na sekundę na 1 GB transferu. Monthly internet traffic (in terabytes) Widać rosnący trend w zamianie telefonów stacjonarnych na rozwiązania oparte o VOiP oraz zmianę tradycyjnej telewizji na IP TV. Powoduje to wzrost ruch, którym obciążani są dostawcy internetu i operatorzy sieci mobilnych. Number of registered Skype users (in millions) 20,68 mln ,76 mln 10,17 mln 474 1,02 18,43 86k 415k 1,51 mln 6,58 mln 4,09 mln Source: Minnesota Internet Traffic Studies Number of Facebook users (in millions) 750 Source: Skype 1 5, Rosnąca liczba rozwiązań sieciowych stawia w nowym świetle rolę operatorów telekomunikacyjnych. Odpowiedzialny operator powinien zadbać o odpowiednie środki zabezpieczające ruch w internecie. Source: Facebook

17 trendy w bezpieczeństwie teleinformatycznym Kategorie zagrożeń w czasie wg odsetka wystąpień ruch w internecie systematycznie wzrasta (największy wzrost notują usługi mobilne) jednocześnie rośnie liczba danych, które można przechwycić i/lub manipulować zarówno działania hakerów, jak i liczba złośliwego oprogramowania w sieci rosną wprost proporcjonalnie do poziomu ruchu

18 klasyfikacja zagrożeń Źródło Motywacja Możliwe konsekwencje Hakerzy, crackerzy Przestępcy komputerowi Terroryści Szpiegostwo przemysłowe (wywiad, inne firmy, rządy obcych państw, inne agendy państwowe) Wtajemniczeni pracownicy (źle wyszkoleni, niezadowoleni, lekkomyślni, nieuczciwi lub zwolnieni pracownicy) Wyzwanie, ego, bunt, status wewnątrz grupy Zniszczenie informacji, nielegalne ujawnienie informacji poufnych, pieniądze Szantaż, chęć niszczenia, wykorzystanie uzyskanych danych, zemsta, zysk polityczny, zainteresowanie mediów Przewaga konkurencyjna, zyski ekonomiczne Ciekawość, ego, inteligencja, pieniądze, zemsta, niezamierzone błędy i przegapienia (we wpisywaniu danych, programowaniu, itd.) Hacking, inżynieria społeczna, wtargnięcie do systemu, włamania Przestępstwa komputerowe, oszustwa, przekupstwo, spoofing, wtargnięcie do systemu Wojna informacyjna, ataki na systemy, penetracja systemów, wprowadzenie zmian w systemach Przewaga obronna i polityczna, korzyści ekonomiczne, kradzież informacji, wyciek istotnych informacji osobistych, nieautoryzowany dostęp i penetracja kluczowych systemów Szantaż, dostęp do informacji zastrzeżonych, nadużycie dostępu, oszustwo, kradzież, szantaż informacyjny, wprowadzenie fałszywego/złośliwego kodu (wirus, bomba logiczna, trojan), sabotaż, nieautoryzowany dostęp

19 cloud computing a bezpieczeństwo- paradoks źródło nowych zagrożeń w cyberprzestrzeni zwiększone bezpieczeństwo zarządzane w scentralizowanym modelu przez zaufanego partnera Internet Sieć Klienta Dostęp do usług przez zdywersyfikowane media Wysoce dostępna infrastruktura Cloud Orange Polska Mechanizmy wykrywania i zapobiegania włamaniom Izolacja usług i danych klientów Ścisła kontrola dostępu Strefa kontroli dostępu Monitorowanie bezpieczeństwa TP CERT Monitoring Sieć Wewnętrzna Backup Monitorowanie dostępności 24/7 Dedykowana infrastruktura zaplecza

20 potencjalne zagrożenia sieć usługowa Orange Polska Internet External breaches internet users (some potentially malicious) internal users (some potentially malicious) TP Service Networks Backbone Metro EURO2012 Neostrada PTK Service Network TP Corporate Network Data Center (CPD) FR/ATM Damback mobile customers (some potentially malicious) FT Group Network fixed-line customers (some potentially malicious)

21 ciekawsze odnotowane incydenty bezpieczeństwa 2012 Protesty przeciw ACTA haktywizm, czy internetowa anarchia? (luty 2012) W drugiej połowie lutego przez Polskę przelała się fala protestów przeciwko ratyfikacji układu ACTA. Ich kluczowym elementem były liczne ataki DDoS (rozproszona odmowa dostępu) na publiczną część internetowej infrastruktury rządowej. TP CERT brał aktywny udział w zapobieganiu atakom, nie wpuszczając do sieci TPNET potwierdzonego ruchu, stanowiącego element ataków. Chińczycy udają dowódcę NATO (marzec 2012) Koordynowany najprawdopodobniej z Chin atak, oparty na inżynierii społecznej, miał na celu dotarcie do publikowanych na Facebooku danych najważniejszych dowódców NATO. W tym celu atakujący stworzyli kilka fałszywych profili znanego ze społecznościowej aktywności głównodowodzącego Sojuszu w Europie, admirała Jamesa Stavridisa. Następnie wysyłali do osób, będących faktycznymi celami ataków, prośby o dołączenie do znajomych. Jeśli ktoś odruchowo się zgodził, udostępniał szpiegom swoje często prywatne informacje. Wyciek półtora miliona kart kredytowych przez zbyt proste zabezpieczenia (marzec 2012) Firma Global Payments, operator płatności kartami kredytowi, stracił (według różnych źródeł) pełne dane od 1,5 do 10 mln kart kredytowych wydanych przez Visę i Mastercard. Słabym punktem systemu okazała się metoda logowania w przypadku zapomnienia hasła atakujący po prostu odgadli pytanie pomocnicze jednego z administratorów systemu. Po upublicznieniu informacji akcje firmy spadły o 9 procent. Ataki na wodopoje (od marca 2012) Sieciowi przestępcy zniechęceni nieudanymi bezpośrednimi atakami na dobrze zabezpieczone sieci firmowe, coraz częściej używają tzw. wodopojów (watering hole). Wodopój to nie budząca podejrzeń witryna, odwiedzana często przez pracowników atakowanej firmy, czy sektora, na której przestępcy niepostrzeżenie umieszczają złośliwy kod, licząc, że w sposób pośredni zdołają skutecznie zaatakować sieć docelową. Wyłudzenie haseł od operatora Telco. (listopad 2012) Przestępca wypatruje w internecie osobę, która coś sprzedaje, i publikuje swój numer telefonu. Dzwoni do niej i informuje, że chętnie dokona zakupu, ale najpierw, by sprawdzić wiarygodność kontrahenta, prosi go o podanie kodu z SMS, który za chwilę otrzyma. Następnie wchodzi na portal samoobsługowy operatora i wybiera opcję "zapomniałem hasła", wpisując numer telefonu atakowanego.

22 ciekawsze odnotowane incydenty bezpieczeństwa 2011 Phishing (systematyczne i regularne ataki) Dla sieciowych przestępców Polska nie jest technologicznym zaściankiem, lecz równie atrakcyjnym rynkiem, jak USA, czy kraje Europy Zachodniej. Dowodem na to są regularnie przeprowadzane, często bardzo wyrafinowane, ataki phishingowe na użytkowników polskich serwisów finansowych, portali aukcyjnych, bądź mające na celu wyłudzenie danych autoryzacyjnych do innego typu witryn. TP CERT, po otrzymaniu i potwierdzeniu informacji o tego typu atakach, blokuje dostęp użytkowników swoich usług do strony phishingowej, bądź jeśli jest ona utrzymywana w sieci TPNET odcina ją od świata. Typosquatting na rządowe domeny prowokacja dziennikarska (październik 2011) Dziennikarze Gazety Wyborczej, zarejestrowali kilka domen www o adresach łudząco podobnych do domen polskich instytucji rządowych (przykładowo cbagov.pl zamiast cba.gov.pl). W efekcie kilkadziesiąt , nie zawsze zawierających informacje przeznaczone dla osób postronnych, zamiast do adresatów, trafiło do dziennikarzy. Zaatakowane Centrum Certyfikacji Diginotar bankrutuje (lipiec-wrzesień 2011) Włamanie do holenderskiego Centrum Certyfikacji Diginotar zaowocowało wystawieniem przynajmniej 531 fałszywych certyfikatów SSL (Google, Yahoo, Wordpress, strona WWW CIA, itd.), które natychmiast zostały użyte w celach przestępczych, niebawem doprowadzając firmę do bankructwa. Do ataku na Diginotar oraz inne CC (m.in. Comodo, Geotrust, Digicert Malezja oraz największe holenderskie CC, KPN/Getronics) przyznała się osoba, podpisująca się jako Comodo Hacker. Sony traci twarz przed dziesiątkami milionów klientów (kwiecień-maj 2011) Wyciek szczegółowych danych 77 mln kont graczy (z przyporządkowanymi do nich numerami kart kredytowych), PlayStation network jeden z flagowych produktów Sony wyłączona na 23 dni. Wpływ włamania na tak wielką skalę na finanse i długoterminowy wizerunek firmy wydaje się być niepoliczalnym, aczkolwiek koszty wyceniono na 3.2 mld dolarów.

23 rok 2013 nowe/stare wyzwania Office of the Comptroller of the Currency (OCC), regulator bankowy działający w ramach amerykańskiego Departamentu Skarbu, ostrzega przed intensyfikacją w 2013 roku ataków Distributed Denial of Service (DDoS) na amerykańskie banki. W opinii OCC celem ataków DDoS, otwarcie zapowiadanych w sieci przez grupy arabskich ekstremistów, ma przede wszystkim być odciągnięcie uwagi jednostek zajmujących się bezpieczeństwem teleinformatycznym, by ułatwić sobie dostanie się do kont klientów atakowanych banków i najzwyklejszą kradzież pieniędzy.

24 cyberwojna, prawdziwi żołnierze

25 cyberwojna, prawdziwi żołnierze W odpowiedzi na wzrastającą liczbę ataków, co do których istnieje podejrzenie wsparcia ze strony rządów (chińska cyberarmia, robak Stuxnet, itd.) coraz więcej krajów decyduje się na stworzenie oddziałów, zajmujących się cyberwojną w ramach jednostek stricte militarnych. 1 października 2010 roku powołano cyberdowództwo w strukturach 2. Armii Stanów Zjednoczonych. Cyberwojna staje się elementem wojny offline projekt nowej doktryny wojennej USA dopuszcza możliwość konwencjonalnej odpowiedzi na atak sieciowy, który w znaczący sposób zaburzy funkcjonowanie kluczowej infrastruktury lub systemów wojskowych. Departament Obrony USA dopuszcza również wykonanie cyberuderzenia wyprzedzającego, w przypadku uzyskania niezbitych dowodów nadchodzącego ataku.

26 warto zapamiętać mówisz chmura, myślisz DCaaS, IaaS, PaaS, SaaS, CaaS, Security-aaS, itd. elastyczny sposób dostarczania tradycyjnych usług IT, okrzyknięty nowatorskim, choć inżynierom znany od dawna nowy sposób zarządzania firmą i jej zasobami nowe modele biznesowe nowe rozwiązania starych problemów firmy nigdy dotąd bezpieczeństwo nie było tak istotne: cyberbezpieczeństwo, dane osobowe, informacje, licencje, prawa autorskie,

27 warto zapamiętać cd. mówisz chmura, myślisz zaufanie, wiarygodność i unikatowe kompetencje jako podstawa partnerstwa łączenie różnych umiejętności i zdobywanie nowych kompetencji organizacja ucząca się w sposób ciągły łatwo powiedzieć, ale nie każdy potrafi dobrze zrobić

28 A better way to cloud computing Backup Netapp w Orange Polska

29 Dziękuję 29 29