VMware - bezpieczeństwo w wirtualnej infrastrukturze

VMware - bezpieczeństwo w wirtualnej infrastrukturze Marcin Zieliński Key Account Manager, DNS Polska Sp z o.o.

Wyzwania stojące przed działami IT Zmniejszenie zużycia Energii elektrycznej Lepsze wsparcie dla Biznesu Lepszy zwrot z prowadzonych inwestycji w IT Uproszczenie złożonych Systemów Departament IT Bezpieczeństwo Redukcja kosztów operacyjnych

.. And others across Industries Automotive / Aviation Insurance Financial Services Technology Government/ Public Sector Healthcare Engineering/ Heavy Industry Retail Services Telecom

Sprawdzone rozwiązanie w Polsce i na świecie 120,000+ klientów na świecie 100% of Fortune 100 95% of Fortune 1000 Ok. 3000 klientów w Polsce używających produktu ESX Server! 94% - używa w środowiskach produkcyjnych 70% wykorzystuje usługę przenoszenie serwerów wirtualnych VMotion w produkcji 50% wykorzystuje w środowiskach Disaster Recovery

Gdzie wykorzystujemy technologię Konsolidacja Konsolidacja istniejących środowisk; zwiększenie współczynnika wykorzystania zasobów, zmniejszenie kosztów operacyjnych Testowanie i rozwój aplikacji Szybkie wdrażanie i przywracanie środowisk testowych na serwerach testowych; biblioteki prekonfigurowanych maszyn testowych Ciągłość Biznesowa Zmniejszenie czasów przywracania systemów; Obniżenie kosztów Disaster Recovery, Prostsza implementacja procedur,

Szybkie porównanie możliwości infrastruktury Platforma systemu Serwery 1U Rack- Mount Serwery Blade Serwery Blade z infrastrukturą wirtualną Utylizacja 5-15% 5-15% 60-80% Koszty Operacyjne X X-25% X-85% Czas przerwy na utrzymanie Wymaga 1-3 godzinnego okna czasowego na utrzymanie Wymaga 1-3 godzinnego okna czasowego na utrzymanie Zerowy czas przerwy zvmotion Zarządzanie zmianami Zarządzanie zmianami Czas uruchomienia 3-10 dni na dostawę 3-10 dni na dostawę Pojedyncze minuty z sprzętu sprzętu wykorzystaniem 1-4 godziny na 1 godzina na wzorców uruchomienie serwera uruchomienie serwera VirtualCenter Przeniesienie usług 4-6 godzin na migrację 4-6 godzin na migrację 2-5 minut z na nowy serwer wykorzystaniem Przerwa w dostępności Przerwa w dostępności VMotion (ciągłość usługi na czas migracji usługi na czas migracji działania usługi) Zarządzanie zmianami Zarządzanie zmianami 10-30 minut bez VMotion

Koncepcja wirtualizacji z VMware Wirtualizacja Architektura tradycyjna Pojedynczy serwer może obsługiwać Każdy serwer działa ł ze swoim wiele maszyn wirtualnych systemem operacyjnym (1core of CPU ~ ok. 6 serwerów wirtualnych) Model jeden serwer jedna Wysoka utylizacja zasobów aplikacja Niska utylizacja zasobów sprzętowych wiele serwerów fizycznych Redukcja liczby serwerów fizycznych np.:10:1 Uniezależnienie maszyny wirtualnej od typu sprzętu (producenta) 8-procesorowe maszyny wirtualne

Konsolidacja = Wirtualizacja Współczynniki konsolidacji: Alior LPP Rafako 4:1 ( 73 zamiast 369 serwerów) 7:1-9 serwerów ESX i 63 VM 7:1-4 serwery ESX i 28 VM BPH 10:1

Właściwości Maszyny Wirtualnej Podział Zasobów Pełna Izolacja Serwer = 3 pliki Niezależność sprzętowa.........

vsphere 4 Delivers Performance for Demanding Applications 95% of application s 1 to 2 CPUs ESX 3.5 ESX 4.0 4 VCPUs 8 VCPUs plications % of Ap <4GB at peak 64 GB per VM 255 GB per VM < 2.4Mbits/s 9 Gb/s 40 Gb/s < 100 at peak 100,000 200,000+ Application Performance Requirements 1. Source: VMware Capacity Planner assessments

VMware vsphere : Most Comprehensive OS Support VMware vsphere MS Hyper-V Windows NT SLES8 4.0 Ubuntu 7.04 Windows 2000 Solaris 10 for Windows Server x86 2003 NetWare 6.5 Windows Server NetWare 6.0 2008 NetWare 6.1 Windows Vista Debian Windows XP CentOS RHEL5 FreeBSD RHEL4 Asianux RHEL3 SCO RHEL2.1 OpenServer SLES10 SCO Unixware SLES9 vsphere = most guest OS Win Server 2008 (up to 4P vsmp) Win Server 2003 SP2 (up to 2P vsmp) Win Server 2000 SP4 (1P only) SLES10 (1P only) Windows Vista SP1 Windows XP Pro SP2/SP3

Analiza środowiska przed wdrożeniem Najlepsza praktyka to przeprowadzenie analizy Capacity Planning, która odpowie ostatecznie na pytanie, które serwery nadają się do wirtualizacji i na jakieg typu o sprzęcie (zasobach) powinny być konsolidowane. Wykorzystanie: 1. VMware Capacity Planer 2. Platespin Power Reckon

Źródła przestojów Przerwy planowane Aktualizacje mikrokodów k Planowany serwis sprzętu ę Backupy Katastrofy Aktualizacja oprogramowania Awarie Powódź, pożar, trzęsienie ziemi Zanik zasilania Problemy budowlane Sprzętu Oprogramowania Błąd ludzki

Źródła przestojów Przerwy planowane Aktualizacje mikrokodów k Planowany serwis sprzętu ę Backupy Katastrofy Aktualizacja oprogramowania Awarie VMotion DRS Powódź, pożar, trzęsienie ziemi Zanik zasilania Problemy budowlane Sprzętu HA, FT VCB Oprogramowania Błąd ludzki

VMware Infrastructure Architecture ESX Server Hosts/Clusters VirtualCenter Server VirtualCenter Database Network Architecture Storage Architecture Datacenter Layout Geographic Considerations Number of Users Operator Administrator VI Web Access (Browser) VI Client VirtualCenter Server VirtualCenter Database License Server Windows Domain Controller or Active Directory ESX Server Host 1 Datastores ESX Server Host 2 ESX Server Host 3 Datacenter

Centralne zarządzanie wirtualną infrastrukturą VirtualCenter daje możliwość całościowej kontroli nad farmami wirtualnych serwerów Centralne zarządzanie setkami serwerów Szybkie uruchamianie nowych serwerów na bazie kreatorów Dynamiczne alokowanie obciążenia ż i bez przerw w pracy serwerów Monitorowanie dostępności i wydajności systemu Automatyczne powiadamianie i alarmowanie administratorów Integracja z istniejącymi narzędziami Virtual Center Managment

Zarządzanie obciążeniem serwerów z VMotion VMotion przenosi pracujące serwery wirtualne wraz z pracującymi na nich aplikacjami pomiędzy maszynami fizycznymi Korzyści: Usługi serwisowe wykonywane bez przestoju Migracja aplikacji z zagrożonego ż systemu Rozłożenie obciążenia serwera w celu zabezpieczenia pozostałych aplikacji/ maszyn

Optymalizacja wykorzystania zasobów - DRS Dynamiczna i inteligentna alokacja zasobów sprzętowych Business Demand Resource Pool Co to jest? Dynamiczne równoważenie zasobów pomiędzy hostami ESX. Inteligentna alokacja zasobów - definiowanie priorytetów i polityk wykorzystania zasobów Znaczenie Alokacja zgodna z potrzebą biznesu Serwisowanie bez przestoju

Serwisowanie bez przestoju z technologią VMware Wykorzystanie VMotion do ewakuacji całego ł środowiska d i k aplikacyjnego Przeniesienie pracujących aplikacji na inne serwery bez przerywania pracy Wykonanie serwisowania w dowolnym momencie dnia pracy Automatyzacja poprzez tryb serwisowania DRS VMotion VMotion 1. Aktywujemy tzw. Maintenance Mode dla serwera fizycznego 2. DRS migruje działające maszyny wirtualne it na inne hosty fizyczne Automatyczne przeniesienie wirtualnych maszyn na inne hosty fizyczne Teraz możesz wyłączyć serwer i Automatyczne równoważenie obciążenia w farmie po zakończeniu serwisowania wykonać zadania serwisowe Po restarcie DRS automatycznie zrównoważy obciążenie

Storage VMotion Niezależna od Storage migracja dysków maszyn wirtualnych Zero przestoju dla VM Niezależne od LUNow na których znajduje j się dysk VM Wspierana tylko technologia Fibre channel dla SANs Minimalizacja czasów przestojów związana z serwisowaniem macierzy Pełna kontrola planowanych czasów przestojów całej infrastruktury z wykorzystaniem VMotion oraz Storage VMotion

VMware DPM Expanded Support Standby Host Server Resource Pool Power Optimized Konsolidacja obciążenia na mniejszej liczbie hostow ESX w przypadku zmniejszonego zapotrzebowania na zasoby Wprowadzenie serwerów w stan czuwania Włączenie serwerów w przypadku zwiększonego zapotrzebowania Konsolidacja obciążenia na mniejszej liczbie hostow ESX w przypadku zmniejszonego zapotrzebowania na zasoby Wprowadzenie serwerów w stan czuwania Włączenie serwerów w przypadku zwiększonego zapotrzebowania

vstorage Thin Provisioning optymalne wykorzystanie s

Hot Extending VMDKs Virtual Machine > Edit Settings > Hardware Tab

Automatyczne odtworzenie po awarii serwera - HA Automatyczny restart maszyn wirtualnych. Łatwa konfiguracja, niezależność od sprzętu, systemów operacyjnych i aplikacji Infrastruktura fizyczna Odbudowa serwera = proces długotrwały Nadmiarowe serwery (stand-by) = wysokie koszty Oprogramowanie klastrowe = drogie i skomplikowane VMware Infrastructure Automatyczny restart maszyn wirtualnych Prosta konfiguracja w VirtualCenter Niezależność ż od systemów operacyjnych oraz aplikacji VMware Infrastructure 2-way System 2-way System 4-way System 8-way System

HA Monitoring OS dla VM Zabezpieczenie przed usterką systemu operacyjnego Maszyny Wirtualnej Automatyczny restart VM po upływie określonego czasu. Resource Pool Redukcja nieplanowanych czasów przestoju infrastruktury w przypadku awarii Hosta bądź OS Serwera wirtualnego

VMware High Availability Spostrzeżenia Datacenter Failure pr rotection APP OS HW VMware HA None 0% 10% Application Coverage 100% Awarie sprzętu, ludzkie błędy Klastrowanie jest zbyt skomplikowane / drogie Zalety Minimalizacja kosztów i przestojów Ochrona większych zasobów Niezależność aplikacji & OS Łatwe wdrożenie i zarządzanie High Availability (HA) wykrywa błędy i dostarcza szybkie rozwiązanie problemu Fault Tolerance (FT) poszerza zalety VMware HA i VMotion aby zabezpieczyć zerowy czas przestoju

Fault Tolerance and HA współpracują razem X X VMware FT VMware FT VMware FT VMware X HA Resource Pool FT maszyn wirtualnych pracuje tlk tylko w klastrze HA W przypadku awarii hosta fizycznego maszyny wirtualne są zabezpieczone przez FT i HA Kiedy serwer ulegnie awarii: FT drugorzędnie przejmuje wirtualną maszynę VM jest urochamiana na hoście objętym planem FT HA-tylkoVMs są restartowane

vdistributed Switch

vnetwork Distributed Switch APP APP APP APP APP APP APP APP APP OS OS OS OS OS OS OS OS OS vswitch vnetwork Cisco vswitch vswitch Distributed Nexus 1000V Switch VMware vsphere

VMware VMsafe API Ipozwalające na ochronę wirtualnych maszyn poprzez sprawdzanie komponentów wirtualnych maszyn (realizowane z poziomu hypervisora) Izolacja mechanizmu obronnego od malware Obejmuje sprawdzanie elementów takich jak: CPU, pamięć, zasoby dyskowe, zasoby sieciowe. Application Operating System Protection Engine VMware vsphere

vshiled Zones segmentacja sieci i jej bezpieczeństwa-

Host Profile wdrażanie kolejnych hostow ESX Profile Host redukują czas potrzebny na wprowadzenie ustawień ń oraz umożliwiają zarządzanie poprawnością i konsystencją konfiguracji. Host referencyjny Klaster 32

vcenter Orchestrator Orchestrator może być używany do tworzenia oraz wykonywania standardowych powtarzających się ę czynności, które automatyzują procesy zarządzania wirtualną infrastrukturą Klient Konfiguracja Serwis Web Silnik workflow vcenter Third-Party Biblioteka XML SSH Serwer Plugin workflow

vcenter Server Linked Mode vcenter Linked Mode Replicated licenses & roles vcenter vcenter vcenter Server vcenter Server vcenter Server vcenter Server Server Server Standardowy VI Client ma dostęp do wszystkich VC w infrastrukturze Widok na wszystkie grupy VC Dzielone grupy i licencje pomiędzy VC ESXi ESX ESX ESXi ESXi ESXi ESX

VMware Update Manager Zarządzanie poprawkami OFFLINE Zarządzanie patch-ami dla serwerów ESX oraz wybranych systemó operacyjnych VM (opartych o Microsoft oraz RHEL) On-linowe i Off-linowe skanowanie Hostów oraz Serwerów wirtualnych, dokonywanie uaktualnień Automatyczne Snapshoty maszyn wirtualnych przed rozpoczęciem procesu aktualizacji Update Manager Eliminuje ręczne śledzenie dostępnych poprawek oraz ich dalszego aplikowania i Automatyczne wymuszanie stosowanie najnowszych poprawek do krytycznych aplikacji Zmniejszenie ryzyka procesu przez Snapshoty oraz zabieg na wyłączonych VM * Note: RHEL guests can only be scanned, not remediated

Backup w vsphere Prosta polityka Backupu z modułem vstorage for data protection Consolidated Backup Backup nie obciąża serwera i sieci Eliminacja konieczności gwarantowania okien backupowych Współpraca z wiodącymi na rynku rozwiązaniami do backupu

vstorage APIs for Data Protection Backup Application Physical Server or VM (Windows or Linux) vstorage APIs for Data Protection Backup Proxy Server Centralized Data Mover Snapshots t Mount SAN Storage

Backup opcja 2 - VMware Data Recovery Bezagentowy dyskowy backup i restore Przywracanie wirtualnych maszyn i plików Backup przyrostowy i deduplikacja danych Szybka, prosta i całkowita ochrona wirtualnych maszyn Zcentralizowane zarządzanie z poziomu Virtual Center Efektywniejsze e zarządzanie anie storagem. 38

Site Recovery Manager

Fizyczna infrastruktura Problemy związane ą z DR w fizycznej infrastrukturze Brak prostych mechanizmów automatyzacji wykonywania planu DR Manualny proces wykonywania planu DR jest narażony na błędy ludzi. Trudne testowanie Nadmiarowe konfiguracje są drogie Aktualizowanie obydwu lokalizacji równocześnie Uaktualnianie planów DR

Wirtualna infrastruktura Zalety wirtualizacji w kontekście DR Wirtualne maszyny są przenośne dzięki enkapsulacji Niezależność od sprzętu Niższe koszty pozwalają zabezpieczyć większą ilość serwerów Sprzęt ę w lokalizacji zapasowej nie musi być taki sam jak głównej Łatwe testowanie

Site Recovery Manager Co to jest katastrofa w kontekście SRM? Całkowita awaria lokalizacji wymagająca przełączenia pracujących VM do zapasowej lokalizacji. Co nie jest katastrofą? Awaria pojedyńczego serwera Awaria aplikacji Krótkotrwałe zakłócenia w dostepności usług Co to jest recovery plan w kontekście SRM? Jest to skrypt określający czynności potrzebne do uruchomienia VM w zapasowej lokalizacji.

VMware Site Recovery Manager Protected Site Recovery Site VirtualCenter Site Recovery Manager VirtualCenter Site Recovery Manager Array Replication Datastores Datastores

VMware Solutions Maximize Uptime Site Prevent Planned Downtime Minimize Unplanned Downtime Site Recovery Manager Data Storage Storage vmotion Consolidated Backup + backup software, Data Recovery Server vmotion + DRS Maintenance Mode HA, Fault Tolerance Component Network Redundancy NIC & HBA Teaming

VMware View wirtualizacja desktopów

Od tradycyjnego środowiska PCs Korzyści PCs PC dla każdego użytkownika Ograniczenia PCs Kosztowne w utrzymaniu, aktualizacji, upgrade Personel na miejscu Brak kontroli nad danymi w zdalnych lokalizacji ( laptops) Czasochłonne wdrażanie nowych desktopów Bezpieczeństwo

Do wirtualnego PC-ta (VDI) Korzyści Prostsze zarządzanie zcentralizowanymi desktopami Kompletne wyizolowane desktopy Disaster Recovery dostępne dla desktopow DRS, Vmotion, HA Zcentralizowany backup PC-tow Dostosowanie zasobów PC do wymogów biznesowych

Uproszczenie przez centralne zarządzanie VMware oddziela system operacyjn i aplikacje od fizycznego sprzętu Desktopy pracują w bezpiecznym datacenter Obraz serwowany przez sieć

VMware View: TCO Wydłużenie wykorzystania sprzętu Stare PC oraz Thin Clients Oszczędności ę energii $59 - $164 / PC / year* Rok po roku oszczędności operacyjne Koszt wsparcia i obsługi Koszt uszkodzenia i wymiany Niższy koszt uruchomienia nowego użytkownika *Source: Butler Group, Infrastructure Virtualization, September 2007

Case Study: NEC Business Challenges Redukcja kosztów operacyjnych Poprawa bezpieczeństwa Solution VMware View and NEC Virtual PC Center Why VMware View While it once took not only a substantial Wsparcie dla 12,000 desktopów amount of effort but also two or three months to TCO obcięte 46%, zadania adminstracyjne deploy new software, it zredukowane o 1/3 is now possible for this to Nie ma danych na thin clients be accomplished in a 20,000 desktopów zostanie uruchomionych matter of just a few hours. '08 '08 Susumu Shimano Sr. Manager, MIS Division

Podsumujmy... Zasilanie Chłodzenie Powierzchnia Uruchamianie, re-konfigurowanie Utrzymanie, support-owanie

Podsumujmy...

Dlaczego infrastruktura wirtualna? Podsumowanie Minimalizacja przestoju Automatyka przełączania Możliwe szybsze przywrócenie po awariach Drastycznie obniża planowane czasy przestoju Niższe koszty Koszty sprzętu Redukcja kosztów zarządzania poprzez jednorodność i dużą automatyzację Uproszczenie implementacji Ciągłości Biznesowej Niezależne ż odtwarzanie po awarii sprzętu, sytemu operacyjnego, aplikacji Łatwe zarządzanie obrazami dzięki uniezależnieniu od warstwy sprzętowej Enkapsulacja umożliwia traktowanie systemu operacyjnego jak danych Maszyny wirtualne są z natury bezpieczniejszym miejscem do uruchamiania aplikacji niż maszyny fizyczne!

Przetestuj już dziś Wersje Ewaluacyjne ESX Server kontakt: Marcin Zieliński Telefon 601 823 2356 marcin_zielinski@dns.com.pl Przetestuj naszego Wirtualnego Laba VMware Enterprise Distributor DNS Polska Kraków 31-346, ul.stawowa 119 Dziękuję za uwagę