Dawid Królica Extreme Networks. Usługi Informatyczne jak dobry obszar do budowy CUW Infrastruktura usługowa

Transkrypt

1 Dawid Królica Extreme Networks Usługi Informatyczne jak dobry obszar do budowy CUW Infrastruktura usługowa

2 CUW to nie tylko obietnica tego, że zrobimy coś razem, ale razem, lepiej i taniej.

3 Usługi informatyczne wymagają infrastruktury usługowej: niezawodnej, wydajnej i bezpiecznej, a przede wszystkim umożliwiającej zarządzanie usługami, a także nią samą. Bez infrastruktury nie da się świadczyć żadnych usług, ani samodzielnie, ani wspólnie.

4 Infrastruktura usługowa to oprogramowanie narzędziowe, które pozwala definiować logiczne powiązania między sprzętem, aplikacjami i użytkownikami. Infrastruktura usługowa działa zwykle na podłączonych do sieci dedykowanych platformach sprzętowych, zapewniając usługom wydajność, niezawodność i bezpieczeństwo, a przede wszystkim skuteczne zarządzanie usługami.

5 Infrastruktura usługowa powinna zapewniać możliwość zarządzania bardzo szerokim spektrum usług, a co za tym idzie: Otwartość, w sensie zgodności z szeroką gamą otwartych standardów Interoperacyjność, w sensie możliwości wymiany danych z innymi środowiskami, transparentnie ale i bezpiecznie Automatyzację procedur zarządzania usługami, aplikacjami i użytkownikami Delegowanie uprawnień zarządczych na jednostki współpracujące Audytowalność wszelkich zdarzeń oraz zmian konfiguracyjnych Bezpieczeństwo usługom, aplikacjom i użytkownikom

6 Cyfrowe Bezpieczeństwo zaplecze legislacyjne Krajowe Ramy Interoperacyjności Ustawa o ochronie danych osobowych Ustawa o systemie informacji oświatowej Ustawa o systemie oświaty Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. Art Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Art. 4a. Szkoły i placówki zapewniające uczniom dostęp do Internetu są obowiązane podejmować działania zabezpieczające uczniów przed dostępem do treści, które mogą stanowić zagrożenie dla ich prawidłowego rozwoju, w szczególności zainstalować i aktualizować oprogramowanie zabezpieczające. Art Kierownicy podmiotów prowadzących lokalne bazy danych SIO są obowiązani niezwłocznie przekazywać do bazy danych SIO informacje o nieuprawnionym dostępie do bazy danych SIO, nielegalnym pozyskaniu danych z bazy danych SIO, zniszczeniu lub utracie danych zgromadzonych w bazie danych SIO lub wykorzystaniu tych danych w nieuprawniony sposób.

7 Problemy i potrzeby infrastruktury w szkołach Równoważenie łatwości w dostępie z kontrolą bezpieczeństwa (BYOD, tablety) Szybki dostęp do usług, wsparcie dla dużej liczby urządzeń (1:1) Dostęp z dowolnego miejsca o dowolnym czasie Różnorodność urządzeń sieciowych, zarządzanie urządzeniami (własnymi, ucznia) Rejestracja urządzeń posiadanych przez uczniów, nauczycieli, pracowników Filtrowanie treści i powiązanie tych danych z użytkownikiem Ograniczony budżet i zmiejszenie kosztów operacyjnych

8 Wykorzystanie cudzych danych logowania Ochrona infrastruktury od wewnątrz Brak wiedzy o systemach końcowych Sniffing, ataki na serwery Tylko po adresie właściwi IP użytkownicy mają dostęp do właściwych zasobów w odpowiednim czasie, z odpowiedniego miejsca Otwarcie zasobów przed nieuprawnionymi osobami, w niewłaściwym czasie Bezpieczny lub z nieodpowiedniego dostęp gościnny miejsca Podpięcie się pod cudze gniazdko sieciowe Kompleksowa wiedza o systemach końcowych Niebezpieczny dostęp Intuicyjne i efektywne dla gości modelowanie automatycznie wdrażanej polityki Żmudne i nieefektywne bezpieczeństwa wdrażanie polityki bezpieczeństwa

9 Reguły bezpieczeństwa tworzone i zarządzane centralnie: Egzekwowanie już na brzegu sieci polityk opartych o QoS, ACL, VLAN Przypisywane na port przełącznika statycznie lub dynamicznie (np. Radius) Wiele urządzeń uwierzytelniających się w różny sposób jednocześnie na jednym porcie przełącznika

10 frowa 7 października, tożsamość Warszawa w infrastrukturze Cyfrowa tożsamość w Infrastrukturze Tożsamość użytkownika Joe Smith Typ(y) dostępu Bezprzewodowy Związany punkt dost.: wifi-243 SSID: Prod-Guest BSSID: 0-1a-e8-14-de-98 Tożsamość urządzeń wirtualnych Windows v7.5.3 Świadczenie aplikacji Web (HTTP): 5Mb pobieranie (SMTP): 2Mb pobieranie Pozostałe usługi: Wyłączone Uwierzytelnianie MAC-Auth: 28:37:37:19:17:e6 PWA: 00:00:f0:45:a2:b X: 00:0D:3A:00:a2:f1 Typy urządzeń Apple MacBook Air Samsung Galaxy Note Tożsamość urządzeń fizycznych Apple Lion OSX v10.7 Android v4.0.4 Położenie Budynek A Piętro - 2 Sala konferencyjna 7b Pora dnia Środa, 11 kwiecień, :41:00 AM EST Stan zabezpieczeń Symantec Anti-Virus: Włączony Wersja sygnatur v Łaty OS Aktualne Usługi P2P: Wyłączone Uruchomione 43 usługi Autoryzacja Rola: Sponsorowany gość Sponsor: Jane Doe Dostęp do Internetu Dzielone serwery inżynieryjne

11 Bezpieczny dostęp do sieci bezprzewodowej: Samodzielna rejestracja (możliwe sponsorowanie dostępu) przez portal gościnny Samodzielne dodawanie urządzeń użytkownika Konta generowane na żądanie Weryfikacja przez Weryfikacja przez SMS Rejestracja przez Facebook

12 frowa tożsamość w infrastrukturze Widoczność i kontrola w warstwie e-usług Jak urządzenia sieciowe widzą aplikacje: Jak ludzie widzą aplikacje: Port 80 Port 443 Extreme Networks Purview

13 frowa 7 października, tożsamość Warszawa w infrastrukturze Analityka biznesowa: weryfikacja stopnia adaptacji aplikacji w przedsiębiorstwie wewnętrzny audyt aplikacji licencjonowanych poszukiwanie źródeł zysków z komercjalizacji (reklamy) Optymalizacja zarządzania siecią: zapotrzebowanie na zasoby pod aplikację w różnych lokalizacjach wskazanie wolno działających usług planowanie rozbudowy infrastruktury Zwiększenie bezpieczeństwa: wykrywanie naruszenia polityki bezpieczeństwa (nadużywanie zasobów sieciowych, wyprowadzanie wrażliwych danych przedsiębiorstwa poprzez sieć) wykrywanie aplikacji działających w sieci bez wiedzy działu IT

14 frowa 7 października, tożsamość Warszawa w infrastrukturze Referencje: Urząd Miasta Ełk Urząd Marszałkowski woj. Warmińsko Mazurskiego Urząd Marszałkowski woj. Zachodnio Pomorskiego Urząd Miasta Olsztyn Urząd Miasta Gliwice Urząd Gminy Toszek Starostwo Powiatowe Kielce Urząd Miasta i Gminy Margonin Urząd Miasta w Kłodzku Urząd Miasta Pionki Urząd Miasta Lublin

15 Dziękuję za uwagę!