Robert Kołodziejczyk, Integrity Solutions, szef zespołu wdrożeniowego technologii Microsoft



Podobne dokumenty
OFFICE ADFS - POŁĄCZENIE KORZYŚCI ROZWIĄZAŃ CHMUROWYCH I CENTRALNEGO ZARZĄDZANIA

Czym. jest. Odkryj nowe możliwości dla swojej firmy dzięki usłudze Office 365. Twoje biuro tam, gdzie Ty. Nowy Office w chmurze.

Pomoc dla r.

Referat pracy dyplomowej

Instrukcja konfiguracji funkcji skanowania

Przetwarzanie w chmurze

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

GSMONLINE.PL. T-Mobile wprowadza platformę T-Mobile Cloud - aktualizacja Polski T-

Leonard G. Lobel Eric D. Boyd. Azure SQL Database Krok po kroku. Microsoft. Przekład: Marek Włodarz. APN Promise, Warszawa 2014

Internetowy serwis Era mail Aplikacja sieci Web

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH.

DESlock+ szybki start

Wyspecjalizowani w ochronie urządzeń mobilnych

Wyspecjalizowani w ochronie urządzeń mobilnych

Wprowadzenie Dwie wersje: do domu i dla firmy. Do kogo adresowany? Komponenty

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Konfiguracja poczty IMO w programach Microsoft Outlook oraz Mozilla Thunderbird

11. Autoryzacja użytkowników

Logowanie do aplikacji TETA Web. Instrukcja Użytkownika

Wykonać Ćwiczenie: Active Directory, konfiguracja Podstawowa

Windows Server Active Directory

Instalacja Active Directory w Windows Server 2003

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

INSTRUKCJA OBSŁUGI. Pakietu Bezpieczeństwa UPC (ios) Radość z. każdej chwili

Small Business Server 2008 PL : instalacja, migracja i konfiguracja / David Overton. Gliwice, cop Spis treści

XXIII Forum Teleinformatyki

2016 Proget MDM jest częścią PROGET Sp. z o.o.

INSTRUKCJA KONFIGURACJI KLIENTA POCZTOWEGO

Obsługa poczty elektronicznej w domenie emeritus.ue.poznan.pl

Case Study: Migracja 100 serwerów Warsaw Data Center z platformy wirtualizacji OpenSource na platformę Microsoft Hyper-V

Instalacja SQL Server Express. Logowanie na stronie Microsoftu

>>> >>> Ćwiczenie. Cloud computing

Bezpieczne strony WWW dla edukacji, organizacji non-profit i uŝytkowników indywidualnych.

Profesjonalne Zarządzanie Drukiem

Praca w sieci z serwerem

Licencjonowanie serwerów do zarządzania wydajnością. Office Web Apps Server

EPA Systemy Sp. z o.o. Przedstawiciel CTERA Networks Ltd w Polsce Tel CTERA

SERWER AKTUALIZACJI UpServ

usługi informatyczne dla firm

System zdalnego dostępu (VPN) do sieci Wydziału Elektrycznego PW

Załącznik nr 1 do pisma znak..- BPSP MMK/13 z dnia 20 sierpnia 2013r.

Czym jest Samsung KNOX? Bezpieczny telefon. -Zabezpieczenie służbowych danych i aplikacji - Środowisko pracy dla biznesu

Opis przedmiotu zamówienia w postępowaniu na usługę udostępniania/świadczenia poczty elektronicznej on-line (z aplikacją kalendarza).

X-CONTROL -FUNKCJONALNOŚCI

SPOSOBY DYSTRYBUCJI OPROGRAMOWANIA PANDA

Szkolenie autoryzowane. MS Administracja i obsługa Windows 7. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

EPA Systemy Sp. z o.o. Przedstawiciel CTERA Networks Ltd w Polsce Tel gbi@profipc.pl CTERA

OCHRONA PRZED RANSOMWARE

Zwiększ mobilność małej firmy. z usługą Microsoft Office 365 ZWIĘKSZ MOBILNOŚĆ MAŁEJ FIRMY Z USŁUGĄ MICROSOFT OFFICE 365 1

Konfiguracja połączenia VPN do sieci Akademii Morskiej

Microsoft Exchange Server 2013

Instrukcja konfiguracji programu Microsoft Outlook do współpracy z serwerami hostingowymi obsługiwanymi przez Ideo

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

SERWERY KOMUNIKACYJNE ALCATEL-LUCENT

System Kancelaris. Zdalny dostęp do danych

Win Admin Replikator Instrukcja Obsługi

Nowa usługa Centrum Komputerowego PŁ. Pliki w Chmurze. Serwis przechowywania i udostępniania danych. Prezentacja wprowadzająca

Dołącz do grona zadowolonych użytkowników systemu Belisama4CRM

AppSense - wirtualizacja użytkownika

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

PREMIUM BIZNES zł 110zł za 1 Mb/s Na czas nieokreślony Od 9 14 Mbit/s

Instalacja i podstawowa konfiguracja aplikacji ImageManager

Praca w sieci równorzędnej

ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI

KONFIGURACJA KONTA POCZTOWEGO DO POBRANIA WIADOMOŚCI Z OBECNEGO SERWERA POCZTOWEGO. Zespół Systemów Sieciowych

Instrukcja instalacji Control Expert 3.0

1. Zakres modernizacji Active Directory

T: Wbudowane i predefiniowane domenowe grupy lokalne i globalne.

Case Study: Migracja 100 serwerów Warsaw Data Center z platformy wirtualizacji OpenSource na platformę Microsoft Hyper-V

[1/15] Chmury w Internecie. Wady i zalety przechowywania plików w chmurze

Instrukcja podłączania komputerów z systemem Microsoft Windows 8 do sieci eduroam

RODO a programy Matsol

Windows Serwer 2008 R2. Moduł 8. Mechanizmy kopii zapasowych

12. Wirtualne sieci prywatne (VPN)

AE/ZP-27-16/14. Oprogramowanie do wykonywania kopii zapasowych oraz zarządzania maszynami wirtualnymi

1 Implementowanie i konfigurowanie infrastruktury wdraŝania systemu Windows... 1

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Pełna specyfikacja pakietów Mail Cloud

Microsoft Office 365 omówienie usług

Jak skorzystać z aplikacji do tworzenia kursów WBT Express

Konfiguracja połączenia VPN do sieci Akademii Morskiej

Office, który znasz. Możliwości, których potrzebujesz.

Serock warsztaty epuap 28 październik 2009 r. Sławomir Chyliński Andrzej Nowicki WOI-TBD Szczecin

Tomasz Greszata - Koszalin

Klient poczty elektronicznej

Serwer druku w Windows Server

Instrukcja obsługi Routera WiFi opracowana przez EVE tech Sp. z o. o. Sp. k.

Rozwiązania HP Pull Print

DHL CAS ORACLE Wymagania oraz instalacja

WINDOWS Instalacja serwera WWW na systemie Windows XP, 7, 8.

SERWER AKTUALIZACJI UpServ

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Instalacja aplikacji

Deduplikacja danych. Zarządzanie jakością danych podstawowych

Jak używać funkcji prostego udostępniania plików do udostępniania plików w systemie Windows XP

KONFIGURACJA PRZEGLĄDAREK. Poniższa konfiguracja dedykowana jest dla Bankowości Internetowej SGB

Klient poczty elektronicznej - Thunderbird

REJESTRACJA, LOGOWANIE I USTAWIENIA PROFILU

Transkrypt:

1. Prelegenci Robert Kołodziejczyk, Integrity Solutions, szef zespołu wdrożeniowego technologii Microsoft Paweł Kowalski, Integrity Solutions, główny inżynier ds. chmury, serwerów Exchange i zarządzania tożsamością Integrity Solutions jest spółką wchodzącą w skład Grupy Altkom. Jako partner firmy Microsoft, zajmuje się wdrożeniami infrastruktury budowanej w oparciu o system Windows Server, usług katalogowych, mechanizmów zarządzania tożsamością, serwerów Microsoft Exchange i Microsoft System Center oraz rozwiązań w chmurze, w tym Windows Azure oraz Office 365. Microsoft Public Cloud cykl eseminariów Projekt Chmura publiczna w scenariuszach biznesowych obejmuje cykl sześciu spotkań internetowych (eseminariów) oraz trzech szkoleń produktowych. Tematem pierwszego spotkania jest integracja chmury publicznej z infrastrukturą firmową. W drugim scenariuszu - Disaster recovery i backup - zaprezentowane zostaną mechanizmy tworzenia kopii zapasowych do chmury. Kolejne wykłady dotyczyć będą integracji systemów i raportowania w chmurze (Big Data), budowy serwisów intranetowych (wykorzystywanych wewnątrz organizacji) oraz tworzenia aplikacji internetowych, za pomocą których komunikujemy się ze światem zewnętrznym. Cykl spotkań dotyczących biznesowego wykorzystania chmury zakończy eseminarium prezentujące zagadnienia dotyczące zarządzania urządzeniami mobilnymi. Szkolenia produktowe Szkolenia z zakresu wykorzystania chmury w biznesie obejmują pakiet oprogramowania Office 365, platformę Windows Azure oraz zasady programowania aplikacji intranetowych i internetowych dla chmury publicznej. Informacje o planowanych eseminariach i szkoleniach znajdziemy na stronie http://eseminaria.azurewebsites.net/. Infrastruktura hybrydowa W pierwszej części tego materiału odpowiemy na pytania: jakie wyzwania i trendy czekają na nas we współczesnym świecie, jeśli chodzi o pracę i interakcję z nowoczesnymi technologiami? Jak działa i wygląda platforma Windows Azure oraz pakiet usług podstawowych Office 365? W drugiej części zbierzemy wszystkie te informacje, aby na przykładzie infrastruktury hybrydowej Integrity Solutions zaprezentować trzy praktyczne scenariusze zastosowań chmury Azure i usług Office 365 w biznesie.

2. Prognozy firmy Microsoft Microsoft wymienia mobilność, ludzi oraz chmurę, jako trzy najważniejsze trendy, które będą wyznaczać rozwój technologii IT w przyszłości. Hasło mobility odnosi się do mobilności urządzeń komputerów, tabletów, smartfonów, z których korzystamy na co dzień. Aby urządzenia te funkcjonowały prawidłowo, muszą one być pełnoprawnym członkiem infrastruktury firmowej. Treści i usługi muszą być odpowiedniej jakości, dostosowane do smartfonów i tabletów oraz dostępne z dowolnego miejsca. Liczba sprzedanych w ubiegłym roku tabletów była wyższa niż sprzedaż komputerów PC. Wyraźnie widać rosnące znaczenie urządzeń mobilnych, które coraz częściej wykorzystywane są nie tylko do rozrywki, na przykład siedzenia przed telewizorem czy surfowania po internecie, ale również pracy. Coraz częściej smartfon lub tablet traktowane są jako narzędzia pomagające w wykonywaniu swoich obowiązków służbowych. Z tego względu, wygląd interfejsu oraz sposób pracy z urządzeniem (look & feel) musi być identyczny, jak na komputerach przenośnych. Mamy tutaj do czynienia nie tylko z czystą konsumpcją treści, jak ma to miejsce w przypadku prywatnego użytku, ale również działaniami proaktywnymi, podejmowanymi przez pracowników. Z drugiej strony, jeśli chcemy wykorzystywać urządzenia mobilne w celach służbowych, należy zadać sobie pytanie, co z bezpieczeństwem systemów IT w organizacji oraz dostępem do wrażliwych danych? Chmura mobilności To ludzie wyznaczają sposób, w jaki pracujemy. Coraz częściej jesteśmy w ruchu. Jesteśmy bardziej mobilni, a ze swoich komputerów korzystamy w różnych miejscach przy biurku, w domu, w podróży. Zmieniają się również nasze przyzwyczajenia oraz interfejsy, z których korzystamy. W tym miejscu nasuwa się pytanie, co należy zrobić, aby na wielu urządzeniach pracować w ten sam sposób? Microsoft udostępnia funkcję o nazwie fragmentacja urządzeń. Mimo, że korzystamy z wielu komputerów, tabletów czy smartfonów, nie powinniśmy dopuści do fragmentacji treści, które powinny być dokładnie takie same na każdym sprzęcie. Z badań Forrester Research wynika, że cloud computing oraz mobility to dwa trendy, które wzajemnie się wzmacniają. Chmura udostępnia użytkownikom nowe usługi, dzięki którym rozwija się rynek rozwiązań mobilnych. Z drugiej strony, znaczenie chmury staje się coraz większe tak, jak przybywa urządzeń przenośnych i rośnie zapotrzebowanie na usługi i treści dostępne z każdego miejsca. Chmura jest naturalnym hubem dla urządzeń mobilnych. Dotychczas, istotnym hamulcem w rozwoju tego rynku była konieczność ręcznego konfigurowania przez użytkownika połączeń między telefonem, a komputerem. Technologia chmury udostępnia serwisy, do których po podłączeniu się np. wpisując odnośnik czy dane na temat dostawcy usługi, uzyskujemy automatyczny, natychmiastowy dostęp. Chmura jest miejscem, do którego wrzucamy zdjęcia i skąd pobieramy treści, dostępne z każdego urządzenia.

3. Dlaczego chmura brydowa? Każda funkcjonująca organizacja, pomijając konsumentów (użytkowników prywatnych), prawdopodobnie ma jakąś infrastrukturę. Nawet jeśli część usług jest dostarczana w chmurze, nadal mamy sytuację, w której pewne elementy środowiska IT pozostaną lokalne. Infrastruktura hybrydowa stanowi pomost pomiędzy tymi dwoma światami. Zbudowanie mostu między infrastrukturą lokalną i chmurą jest warunkiem koniecznym do uniknięcia informatycznego rozdwojenia jaźni. Konieczność zarządzania środowiskiem IT w dwóch miejscach tworzy wiele problemów związanych z utrzymaniem systemów i usług, obsługą zgłoszeń oraz obiegiem informacji. W chwili kiedy między tymi środowiskami zbudujemy pomost, administratorzy zaczną traktować hybrydową infrastrukturę jako całość. Dla użytkowników nie ma znaczenia, czy poczta e-mail dostarczana jest z wewnątrz organizacji, czy też z chmury. Mechanizmy działające pod spodem powodują, że przyzwyczajenia, które mamy z sieci przenoszą się na chmurę, dostarczając użytkownikom zunifikowane środowisko do zarządzania usługami biznesowymi. Hybryda dobra dla chmury Zaczynając swoją przygodę z chmurą obliczeniową, która nie jest przecież nowym zjawiskiem, warto rozważyć możliwość zaprojektowania i wdrożenia infrastruktury hybrydowej. Firma analityczna Gartner, w swoich prognozach na rok 2014, wymienia chmury hybrydowe jako jedną z najważniejszych strategii i trendów rozwoju rynku IT. Prowadząc rozważania na temat wdrożenia usług w chmurze powinniśmy myśleć o hybrydzie oraz sposobach na integrację usług chmurowych z istniejącą infrastrukturą przedsiębiorstwa. W wielu przypadkach wynika to z prozaicznych przyczyn. Wszystkie istniejące na rynku firmy posiadają jakąś infrastrukturę, zasoby sprzętowe oraz uruchomione usługi np. Active Directory, która zapewnia mechanizmy scentralizowanego logowania użytkowników. Usługi w chmurze stanowią naturalny etap rozwoju środowiska IT w przedsiębiorstwie. Wraz z wprowadzaniem elementów chmury, infrastruktura firmy ewoluuje, aby zaoferować użytkownikom elastyczne i bardziej niezawodne usługi biznesowe. Dzięki chmurze hybrydowej możemy dokonać ewolucji w infrastrukturze firmy, bez konieczności porzucania posiadanych zasobów i umiejętności. Rewolucji w IT biznes mógłby nie znieść. Dlaczego chmura? Mamy lokalne środowisko IT, usługi w chmurze i wszystko to musimy zintegrować. Na tym etapie nasuwa się pytanie, po co w ogóle chmura w firmie? Żyjemy w czasach, w których ważna jest elastyczność. Rozwój biznesu wymaga, aby szybciej reagować na zmieniające się otoczenie. W trakcie prowadzenia kampanii promocyjnej czy obsługi dużego wydarzenia, od działów IT wymaga się dodatkowych, dużych mocy obliczeniowych, o które w lokalnej serwerowni może być trudno.

4. Z badań PMI wynika, że ważniejsze niż budżet, jest dostarczenie produktu lub usługi na rynek. Na obecną chwilę, w projektach informatycznych najbardziej liczy się czas, aby być krok przed konkurencją. Drugim elementem jest wzrost znaczenia mobilności oraz roli chmury, jako naturalnego huba, który pozwala użytkownikom korzystać ze swoich aplikacji i danych w dowolnym miejscu i czasie. Unifikacja interfejsu Wizja firmy Microsoft zakłada, że chmura będzie zorganizowana na zasadach wyznaczonych przez użytkownika. Chmura ma być tak duża jak potrzebujemy, wtedy kiedy jej potrzebujemy i tylko w tym obszarze, w którym chcemy. Do chmury należy przenosić tylko te elementy, które wprowadzą do środowiska informatycznego nową wartość biznesową. Gdybyśmy chcieli całą lokalną infrastrukturę przekształcić w serwisy i usługi chmury, byłoby to bardzo kosztowne oraz długotrwałe. Hybryda oferuje elastyczność w przenoszeniu usług do chmury. Możemy włączać pojedyncze usługi w chmurze, łatwo je rozbudowywać, bez zamykania lokalnej serwerowni. Dostarczenie kolejnego serwisu dla biznesu np. uruchomienie serwera SharePoint, odbywa się ciągu kilku minut. Nie ma konieczności zakupu sprzętu, zamawiania licencji itd. Wizja firmy Microsoft zakłada rozbudowę infrastruktury przedsiębiorstwa o konkretne elementy chmury, wtedy kiedy są rzeczywiście potrzebne. Praktyczny wymiar chmury Polskie przedsiębiorstwa nadal podchodzą nieufnie do przenoszenia swoich zasobów informatycznych do chmury. Jeśli tylko uda się zniwelować czynnik ludzki strach, działy IT oraz biznes coraz chętniej migrują do chmury, choćby ze względu na mobilność jaką oferuje. Przykładem jest tutaj możliwość pracy w pociągu, bez konieczności zestawiania połączenia VPN do lokalnej sieci przedsiębiorstwa. W Integrity Solutions potrzeba chmury pojawiła się głównie za sprawą osób z działów handlu i marketingu, którzy chcieli mieć możliwość pracy zawsze i wszędzie, nawet stojąc w korku na autostradzie. Paweł Kowalski z Integrity Solutions twierdzi, że dzięki instancji serwera SharePoint w chmurze, pracując u klientów mógł dostarczyć im nową jakość obsługi. Chmura firmy Microsoft umożliwiła Pawłowi wchodzenie do witryn projektowych z dowolnego miejsca oraz zapraszanie do współpracy członków zespołu projektowego po stronie klienta. Dzięki mechanizmom uwierzytelniania Live ID każdemu z nich wystarczyło nadać uprawnienia do zasobów i informacji. Wykorzystanie SharePoint a ograniczyło konieczność przesyłania dokumentów pocztą, które teraz były udostępniane i rozpowszechniane przez bezpieczny protokół SSL. Pozwoliło to również członkom zespołu wykorzystać cechy i funkcje serwera SharePoint takie jak wersjonowanie dokumentów czy dostęp do informacji w formie list i kalendarzy.

5. W Integrity Solutions istnieje tylko jeden dział firmy, który w całości pracuje w chmurze. Mowa o programistach. Dla tej grupy pracowników chmura to idealne środowisko, które pozwala im w kilka minut postawić nowy serwer o dowolnych parametrach i konfiguracji, bez konieczności przesyłania odpowiednich wniosków do osób odpowiedzialnych za infrastrukturę. Wirtualizacja używana jest w trakcie prowadzenia testów aplikacji, czy też prezentacji klientom działających rozwiązań. Office 365 dla firm Kolejną istotną kwestią jest proces integracji chmury prywatnej z lokalną infrastrukturą przedsiębiorstwa. Mowa tu o dwóch rodzajach usług. Pierwsza to pakiet podstawowych funkcji Office 365 niezbędnych do pracy. W jego skład wchodzi poczta korporacyjna na platformie Exchange, moduł udostępniania dokumentów, witryn sieci web i pracy grupowej na bazie serwera SharePoint oraz konferencje internetowe prowadzone przy użyciu aplikacji Lync. Licencje dostępowe (CAL) dla usług Office 365 dla biznesu odpowiadają licencjom CAL dla serwerów dostarczanych w modelu on premise. Infrastruktura hybrydowa z wykorzystaniem Windows Azure Jeśli posiadamy subskrypcję na usługi w chmurze, możemy jednocześnie korzystać z lokalnych zasobów przedsiębiorstwa. Z punktu widzenia użytkownika nie ma znaczenia, czy witryna hostowana jest na lokalnym serwerze SharePoint, czy w usłudze uruchomionej w chmurze. Dla działów IT oznacza to większą elastyczność i uproszczenie zasad licencjonowania produktów Microsoft.

6. Windows Azure Drugim elementem, którego używamy, aby rozbudować możliwości chmury oraz pakiet usług Office 365 jest Windows Azure. Platforma ta składa się z kilku zasadniczych elementów. Pierwszy odpowiada za dostarczanie aplikacji, czyli hostowanie usług lub stron webowych. Drugi element chmury Azure umożliwia przechowywanie treści oraz składowanie informacji w bazie danych. Na oficjalnej stronie Azure znajdziemy bogatą dokumentację oraz zestaw przewodników w języku polskim, które ułatwiają wdrażanie usług chmurowych w organizacji. Windows Azure jest niezależną platformą, która pozwala na uruchomienie w chmurze maszyny wirtualnej (instancji serwera), serwisu internetowego lub aplikacji bazodanowej. Każdy z tych elementów ma cechy charakterystyczne dla usług świadczonych w chmurze niezawodność na poziomie ponad 99,9% oraz dostępność z każdego miejsca na świecie. W chmurze Azure dostępne są maszyny wirtualne, które mają ponad 100 GB pamięci RAM. Są to instancje serwerów przeznaczone do przetwarzania dużej ilości danych (Big Data). Chmura firmy Microsoft stanowi odpowiedź na zapotrzebowanie firm na moc obliczeniową, niedostępną w lokalnych serwerowniach. Płacimy tutaj wyłącznie za wykorzystane zasoby. Możemy wynająć maszynę wirtualną na trzy dni, na tydzień, na miesiąc lub na czas realizacji projektu, po czym ją wyłączyć i skasować, nie ponosząc za to żadnych dodatkowych kosztów. Hybryda w Integrity Infrastruktura hybrydowa firmy Integrity Solutions składa się z lokalnej serwerowni, w której działa m.in. farma serwerów SQL, połączonej stałym, szyfrowanym tunelem VPN z chmurą publiczną Windows Azure. Z perspektywy pracowników, wszystkie maszyny w chmurze Azure są widoczne tak samo, jakby były uruchamiane w biurach Integrity. Mogą oni logować się do usług, korzystać z aplikacji i pobierać dane, tak samo jak robią to w przypadku serwerów dostarczanych lokalnie. W chmurze zdefiniowano kilka, w pełni zarządzanych podsieci oraz uruchomiono usługi sieciowe, realizujące wybrane funkcje biznesowe. Integrity Solutions informuje, że skonfigurowanie infrastruktury hybrydowej w przedsiębiorstwie zajęło jedynie pół dnia. W tym czasie udało się uruchomić instancję Windows Azure oraz kontroler domeny w chmurze. Oba środowiska zostały spięte ze sobą bezpiecznym tunelem VPN. W chmurze uruchomiono kontroler domeny z usługą Active Directory Federation Services (AD FS), który rozszerza funkcje realizowane przez kontrolery domeny działające lokalnie. Logowanie się pracowników do usługi Office 365 odbywa się z wykorzystaniem poświadczeń domenowych. Z uwagi na dodatkowy kontroler uruchomiony w chmurze, firma jest niezależna od awarii łączy i innych zdarzeń losowych. Warto dodać, że utrzymanie chmury kosztuje dziennie tyle, co bilet autobusowy. W tym momencie pojawia się pytanie jakie korzyści dla biznesu przynosi chmura. Po drugie czy jest to bezpieczne? Odpowiedzi na te pytania spróbujemy znaleźć prezentując trzy scenariusze wdrożeń.

7. W pierwszym scenariuszu zaprezentujemy chmurę hybrydową, w której zaimplementowano mechanizmy pojedynczego logowania (Single sign-on, SSO) dla usług uruchamianych lokalnie (on premise) oraz w chmurze. Scenariusz drugi omawia, w jaki sposób podnieść zabezpieczenia w zakresie dostępu do usług poprzez wdrożenie mechanizmów wielostopniowego uwierzytelniania użytkowników uprzywilejowanych (multi-factor autentication). Trzecia prezentacja dotyczyć będzie kwestii bezpieczeństwa danych widzianej z dwóch perspektyw: szyfrowania oraz zarządzania dostępem do informacji. Scenariusz 1. Pojedyncze logowanie W hybrydzie, za pomocą kont Active Directory, możemy logować się do zasobów lokalnych, jak i tych dostarczanych w chmurze. Hasła użytkowników przechowywane w lokalnej usłudze katalogowej, poprzez łącza internetowe są również dostępne dla systemu Office 365. Hybryda i zabezpieczenie usługi pojedynczego logowania Mechanizm pojedynczego logowania (Single sign-on, SSO) pozwala wykorzystać te same poświadczenia (nazwa użytkownika, hasło) w trakcie uzyskiwania dostępu do różnych urządzeń (komputer, tablet, smarfton) oraz wszystkich usług, aplikacji i zasobów w środowisku firmy Microsoft. Ten sposób logowania do usług jest tańszy, szybszy i bardziej efektywny, bowiem zawsze używamy tej samej nazwy użytkownika i hasła.

8. Poczta w Exchange Online Spróbujmy przybliżyć schemat uwierzytelniania w usłudze Exchange Online. Klient, aby zalogować się do skrzynki e-mail, wysyła do aplikacji webowej swoje poświadczenia. Na tym etapie serwer sprawdza, czy posiada on konto oraz wymagane licencje na korzystanie z usługi. Jeśli użytkownik zostanie poprawnie rozpoznany, aplikacja przekazuje zapytanie o hasło do serwera Active Directory Federation Services (AD FS). To tutaj następuje właściwy proces uwierzytelniania klienta w usłudze. Hasła użytkowników nie są przechowywane w chmurze. Proces weryfikacji poświadczeń odbywa się na lokalnym kontrolerze domeny w usłudze Active Directory. Aplikacja Exchange Online otrzymuje jedynie zwrotną informację, czy proces uwierzytelniania zakończył się sukcesem, czy też klientowi należy odmówić dostępu do poczty. Dodajmy, że usługi Active Directory Federation Services wykorzystywane są dla dowolnych aplikacji uruchamianych w chmurze. Narzędzie Dir Sync umożliwia synchronizację kont użytkowników i skrótów haseł w usłudze Office 365. Rozwiązanie to jest stosowane wszędzie tam, gdzie nie ma wdrożonej infrastruktury hybrydowej. Standardowo, synchronizacja poświadczeń klientów odbywa się co 2 godziny. Problem z dostępnością kontrolerów domeny W przypadku awarii łączy internetowych w siedzibie firmy, usługi chmury będą niedostępne, nawet wtedy gdy użytkownik spróbuje uzyskać do nich dostęp spoza organizacji. Jak to możliwe? W trakcie logowania się do aplikacji webowej, zapytanie o hasło przekazywane jest do kontrolera domeny uruchomionego w centrum danych przedsiębiorstwa. W firmie Integrity Solutions taka usterka zdarzyła się kilka razy. Wyobraźmy sobie sytuację, w której po przyjściu do pracy nie działa służbowa poczta. Budowa. Koparka przecięła światłowód, a więc zalogowanie się do usług w chmurze okazuje się niemożliwe. Podsumujmy. Mamy infrastrukturę lokalną oraz infrastrukturę w chmurze. Aby zalogować się do usługi w chmurze konieczne jest sprawdzenie poświadczeń użytkownika w usłudze AD FS uruchomionej na kontrolerze domeny w centrum danych firmy. To rodzi pewne konsekwencje Kontroler domeny w chmurze Windows Azure pozwala zapewnić ciągłość działania oraz dostępność usług w chmurze nawet wtedy, gdy lokalna infrastruktura przedsiębiorstwa zostanie odcięta od świata zewnętrznego. Firma Integrity Solutions zdecydowała się na uruchomienie kontrolera domeny w Windows Azure. Dzięki temu proces uwierzytelniania użytkowników w usłudze odbywa się wyłącznie w chmurze. Z perspektywy przedsiębiorstwa, wdrożenie kontrolera domeny w chmurze, stanowi rozszerzenie usług katalogowych o kolejną lokalizację. Synchronizacja katalogu miedzy kontrolerami odbywa się z wykorzystaniem standardowych mechanizmów replikacji Active Directory.

Idea SSO w praktyce W trakcie kolejnej prezentacji zalogujemy się do poczty w usłudze Office 365. W tym celu wykorzystamy konto postmaster na serwerze Exchange. W Integrity Solutions jest to skrzynka, do której trafia cała niechciana korespondencja (spam).. W oknie aplikacji webowej wprowadziliśmy nazwę użytkownika oraz hasło. Serwer automatycznie rozpoznał, że wykorzystaliśmy konto domenowe, a następnie przekazał żądanie uwierzytelnienia do kontrolera domeny uruchomionego w chmurze Windows Azure. Proces logowania wygląda jednak zgoła inaczej, jeśli próbujemy uzyskać dostęp do skrzynki e-mail, siedząc przed swoim biurkiem w firmie. W tym przypadku uwierzytelnianie w usłudze odbywa się na lokalnym kontrolerze domeny. Dodatkowo, nie ma potrzeby ponownego przedstawienia się usłudze w chmurze, bowiem wcześniej zalogowaliśmy się do swojego służbowego komputera. Właśnie tak działa mechanizm pojedynczego logowania (SSO). Wszystkie usługi, aplikacje i zasoby, zarówno te lokalne jak i w chmurze, dostępne są od razu. W trakcie próby dostępu do aplikacji, system nie przekierowuje użytkownika do portalu logowania w usłudze uwierzytelniającej AD FS. Nie prosi też o ponowne wprowadzenie hasła. Hybryda w Integrity Po stronie chmury, środowisko hybrydowe w firmie Integrity Solutions składa się z pojedynczego kontrolera domeny, sieci wirtualnej oraz szyfrowanego kanału VPN zestawionego w modelu punkt-punkt (site-to-site) do lokalnej sieci przedsiębiorstwa. Tunel VPN dostarczany jest w formie wirtualnej usługi Azure, która dodatkowo zlicza ilość danych przesyłanych między lokalizacjami w zadanym czasie. Windows Azure oferuje funkcjonalność, dzięki której każda z maszyn wirtualnych uruchamianych w chmurze dostępna jest pod unikalną nazwą DNS, rozwiązywaną z internetu. Nie ma konieczności zestawiania tunelu VPN, jeśli chcemy połączyć się z pulpitem zdalnym kontrolera domeny. Wystarczy, że w portalu Azure naciśniemy przycisk Connect. Aplikacja automatycznie pobierze konfigurację usługi Remote Destkop, a następnie pozwoli na szybkie nawiązanie zdalnego połączenia z wybranym serwerem. Windows Azure umożliwia wystawienie takiego interfejsu dla dowolnej maszyny. Funkcja ta pozwala wygodnie zarządzać oraz monitorować stan instancji wirtualnych w chmurze. Podsumujmy: w Windows Azure został uruchomiony kontroler domeny z działającą usługą AD Federation Services. Sieć lokalna przedsiębiorstwa jest połączona z chmurą za pomocą stałego, bezpiecznego tunelu VPN. Z perspektywy infrastruktury, kontroler domeny w chmurze funkcjonuje jako serwer usług Active Directory w kolejnej lokalizacji. Jego zadaniem jest przejęcie zadań związanych z uwierzytelnianiem użytkowników w usługach uruchamianych w chmurze, także wtedy gdy lokalne usługi AD FS w centrum danych przedsiębiorstwa będą niedostępne. 9. Przypomnijmy, że integracja środowiska lokalnego i chmury w firmie Integrity Solutions zajęła jedynie pół dnia. Proces ten został zautomatyzowany dzięki szablonom maszyn wirtualnych, które znajdziemy w galerii obrazów Windows Azure. Wystarczy kilka minut, aby można było zalogować się po raz pierwszy do nowego serwera wirtualnego

10. Wdrażanie usług chmurowych, takich jak Azure i Office 365, to kwestia połączenia infrastruktury lokalnej bezpiecznym tunelem VPN. Z perspektywy użytkownika usługi te widoczne są w taki sam sposób, jakby były uruchamiane lokalnie. Dodajmy, że w Windows Azure znajdziemy również oprogramowanie dostarczane przez firmy trzecie. W ten sam sposób wdrożymy np. bazę danych Oracle, wstępnie skonfigurowaną do pracy w środowisku Windows Server. Scenariusz 2. Wielostopniowa autoryzacja użytkownika Proces uwierzytelniania w usługach chmurowych można rozszerzyć o dodatkową warstwę zabezpieczeń w postaci kodów SMS wysyłanych na telefon komórkowy użytkownika. Model ten jest powszechnie wykorzystywany w bankowości elektronicznej. Zatwierdzenie polecenia przelewu wymaga podania kodu, otrzymanego od banku w treści wiadomości SMS. Wielostopniową autoryzację użytkownika stosuje się w szczególności dla kont użytkowników uprzywilejowanych, którzy uzyskują dostęp do usług i zasobów w chmurze. Dotyczy to administratorów, administratorów rozliczeń i wszystkich innych kont, które mają przypisane wyższe uprawnienia niż standardowy użytkownik. W przypadku ujawnienia (skompromitowania) poświadczeń logowania, atakujący może wydać pieniądze firmy, wyłączyć jakąś usługę, a nawet skasować dane. Wdrożenie podwójnego mechanizmu autoryzacji sprawia, że czujemy się bezpieczniej. Te same zabezpieczenia mogą być wdrażane również w odniesieniu do usług uruchamianych lokalnie, aby zwiększyć poziom zabezpieczeń stosowanych w przedsiębiorstwie. W procesie logowania użytkownik, oprócz standardowych poświadczeń (nazwa oraz hasło), podaje kod wysłany na jego telefon komórkowy w formie wiadomości SMS. W procesie autoryzacji może być wykorzystane również połączenie telefoniczne (należy odebrać rozmowę zainicjowaną przez serwer usługi) lub aplikacja na smartfon, która generuje jednorazowe kody dostępu. Mechanizm wielostopniowej autoryzacji (multi-factor autentication), oprócz uwierzytelniania w usługach Office 365, można wykorzystać w portalu Windows Azure, SharePoint i innych aplikacjach uruchamianych w chmurze Microsoftu. Dla kont administracyjnych usługa wielostopniowej autoryzacji jest darmowa. W przypadku zwykłych kont opcja ta jest dodatkowo płatna i rozliczana ze względu na liczbę wysłanych SMS-ów lub na użytkownika. Portal Azure udostępnia usługę wielostopniowej autoryzacji, którą możemy zsynchronizować z własnymi aplikacjami. Jest to gotowy moduł, który wystarczy aktywować. Wchodzimy w konfigurację użytkowników i grup portalu Office 365. Z listy kont uprzywilejowanych wybieramy to, dla którego chcemy włączyć dodatkowe mechanizmy uwierzytelniania. W trakcie pierwszego logowania użytkownika do usługi, system poprosi o wskazanie numeru telefonu oraz wybór dodatkowej formy autoryzacji. Do wyboru mamy: kod SMS, przychodząca rozmowa telefoniczna oraz aplikacja na smartfon. Po przejściu tego etapu, status konta użytkownika zmieni się z włączone na wymuszone. Od tego momentu, dwustopniowe uwierzytelnienie w usłudze jest obligatoryjne.

11. Mechanizm wielostopniowej autoryzacji wykorzystamy również do zabezpieczania dostępu w stron i aplikacji internetowych. Przykładem mogą być zdobywające coraz większą popularność serwisy z grami online, w których gracze zostawiają pokaźne sumy pieniędzy. Wprowadzenie dodatkowej formy uwierzytelniania wprowadza nową jakość w świadczeniu usług i bezapelacyjnie zwiększa zaufanie do operatora strony. Scenariusz 3. Szyfrowanie i zarządzanie dostępem do informacji W obecnych czasach informacja, z jednej strony jest towarem, a z drugiej czynnikiem, który wpływa na konkurencyjność przedsiębiorstw na rynku. Pewne informacje często nie mogą wyjść poza firmę, zbyt szybko lub wcale. Przedsiębiorstwa, których infrastruktura opiera się zarówno na zasobach lokalnych jak i tych zlokalizowanych w chmurze muszą mieć rozwiązania, które zapewnią ochronę informacji przed nieuprawnionym ujawnieniem. Zarządzanie prawami dostępu AD RMS Wdrożenie mechanizmów zarządzania dostępem do informacji w środowisku lokalnym jest długotrwałe i kosztowne. W Windows Azure wprowadzanie rozwiązań opartych o usługi Active Directory Rights Management Services (AD RMS) zajmuje tylko chwilę.

12. Active Directory Rights Management Services AD RMS zarządza uprawnieniami do plików i dokumentów. Usługa sprawdza, czy użytkownik może mieć dostęp do wskazanego obiektu, a jeśli tak to na jakich zasadach. AD RMS zabezpiecza pliki także wtedy, gdy opuszczają one środowisko korporacyjne. Nie tracimy kontroli nad obiektem, nawet wtedy gdy przekażemy go koledze na nośniku wymiennym lub wyślemy współpracownikowi pocztą e-mail. Chroniony plik może być dokumentem Word, Excel, PowerPoint lub wiadomością e-mail. Jeśli zażądamy ochrony danego obiektu, serwer AD RMS wstrzykuje do środka pliku kawałek kodu zabezpieczającego. Na tym etapie właściciel pliku określa zakres jego ochrony. Może on zakazać kopiowania jego treści, drukowania, oraz otwierania przez osoby nieuprawnione. W trakcie próby otwarcia zabezpieczonego dokumentu aplikacja odpytuje usługę AD RMS czy mamy do niego prawa dostępu, a jeśli tak, to jakie. W przypadku rozwiązań uruchomionych w chmurze Windows Azure dostęp do serwera AD RMS możliwy jest z dowolnego komputera na całym świecie. Ochrona informacji Administrator może zdefiniować reguły filtrowania treści. Przykładem może być tutaj poczta korporacyjna na serwerze Exchange. Jeżeli w treści lub załączniku do maila znajdą się wrażliwe informacje, usługa AD RMS może wymusić zaszyfrowanie korespondencji lub zablokować możliwość przesyłania dokumentów dalej. Microsoft udostępnia narzędzia, które umożliwiają wprowadzanie ograniczeń związanych z ochroną informacji automatycznie, bez interakcji z użytkownikiem. Mechanizm Data Lost Prevention (DLP) stosowany jest na serwerach Exchange, podczas gdy do zabezpieczania zasobów na platformie SharePoint stosuje się narzędzia Information Rights Management (IRM). W zależności od konfiguracji filtrów, system może wymusić zaszyfrowanie dokumentu w trakcie zapisywania go na witrynie czy też wysyłania w treści lub w formie załącznika do wiadomości e-mail. Mechanizm IRM w SharePoint umożliwia publikowanie chronionych treści w witrynach SharePoint a, bez konieczności pamiętania o tym, aby wskazane informacje zostały zaszyfrowane. Jeśli chcemy dać komuś dokument w wersji nieedytowalnej, zazwyczaj tworzymy plik PDF. Mechanizm IRM pozwala umieścić w witrynie SharePoint dokument Worda, którego dzięki nałożonym ograniczeniom, nikt nie będzie mógł zmodyfikować, ani skopiować. Dzięki temu to usługa uruchomiona na serwerze, a nie użytkownik pilnuje uprawnień do obiektów i danych.

13. Wdrażanie AD RMS Najprostszą metodą wprowadzenia mechanizmów zabezpieczeń w organizacji jest uruchomienie serwera AD RMS w chmurze Windows Azure. Wdrożenie podstawowych funkcjonalności AD RMS w chmurze Windows Azure i powiązanie ich z usługami Office 365 jest proste i szybkie. W ustawieniach Office 365 przechodzimy na zakładkę Zarządzanie prawami, po czym klikamy Zarządzaj. Wszystko, co należy zrobić to włączyć usługę zarządzania dostępem do informacji. Kolejny krok to zdefiniowanie warunków filtrowania. Do dyspozycji mamy trzy predefiniowane profile (szablony) m.in. dokument poufny oraz tylko do odczytu. W panelu Exchange znajdziemy zakładkę Ochrona przed utratą danych, która umożliwia stosowanie gotowych wzorców zabezpieczeń lub skonstruowanie własnych reguł filtrowania np. takich, które będą wyszukiwać numery kart kredytowych w treści wysyłanej przez pracowników korespondencji. Na tym etapie definiujemy akcję, która zostanie podjęta, jeśli warunek filtrowania zostanie spełniony. Do dyspozycji mamy cały wachlarz akcji blokowanie, szyfrowanie, odrzucanie. Możemy również przyjąć postawę pasywną, rejestrując jedynie informację o zdarzeniu lub powiadamiając użytkownika, za pomocą komunikatu z ostrzeżeniem. Wprowadzenie mechanizmów zarządzania dostępem do informacji nie ogranicza stosowania innych zabezpieczeń poczty np. szyfrowania i podpisywania wiadomości w standardzie. Z uwagi na funkcje integracji ze środowiskiem Active Directory, istnieje możliwość wykorzystania korporacyjnego certyfikatu cyfrowego dla usług uruchamianych w środowisku lokalnym i chmurze. Przykład z Excelem i Wordem Wyobraźmy sobie sytuację, w której ktoś, wykorzystując mechanizmy AD RMS zabezpieczył arkusz kalkulacyjny Excel, a ktoś inny skopiował ten dokument i wyniósł poza firmę. Usługa AD RMS pilnuje tego, aby nikt nieuprawniony nie miał możliwości otwarcia pliku. Arkusz, być może zawierający poufne dane, jest nieużyteczny, jeśli znajduje się poza kontrolą użytkownika i infrastrukturą przedsiębiorstwa. AD RMS pełni rolę strażnika, który w trakcie próby uzyskania dostępu do dokumentu nadaje użytkownikowi uprawnienia do jego otwierania, kopiowania, drukowania, itd. W drugim przykładzie spróbujemy pokazać, jak zapewnić ochronę dokumentu Word, który zawiera poufne informacje. W tym celu z menu Plik wybieramy Ochrona dokumentu, a następnie wskazujemy pożądany poziom ochrony. Pierwszy poziom to dostęp nieograniczony. Każda osoba, będąca członkiem organizacji, ma swobodny dostęp do dokumentu i może zrobić z nim wszystko. Dokument poufny to taki, który jest przeznaczony do ściśle określonej osoby lub grupy osób. Z kolei plik z polisą Tylko widok poufny może być przeglądany przez wyznaczone osoby, bez możliwości jego dalszego przetwarzania. Ten poziom ochrony stosuje się dla dokumentów, które powinny pozostać tajne np. nowa strategia marketingowa firmy. Ten model zabezpieczeń używany jest również do przesyłania plików zawierających informacje, które nie powinny na tym etapie ujrzeć światła dziennego.

14. W przypadku odebrania chronionej wiadomości, w programie Outlook oraz aplikacji webowej Outlook Web Access (OWA), nie zostaną wyświetlone przyciski takie jak Odpowiedz i Prześlij dalej. Nie będzie również można skopiować treści korespondencji. Monitorowanie środowiska IT Filtry mogą jedynie zbierać informacje, o potencjalnych próbach naruszenia ochrony danych. Taki filtr, mimo że wyłączony, nadal działa. Nie podejmuje żadnej akcji, nie blokuje korespondencji e-mail, ani jej nie szyfruje. Jednocześnie administratorzy widzą działania innych pracowników. Przykład firmy Integrity Solutions pokazuje, że filtr zdefiniowany zaledwie dwa dni wcześniej, wykrył i zarejestrował aż cztery próby przesłania wiadomości e-mail, w których treści zawarto słowo PESEL. Pokazuje to, że ludzie nierzadko postępują irracjonalnie, wysyłając w niezaszyfrowanej formie, wrażliwe informacje, choćby takie jak numery kart kredytowych. Unifikacja środowiska IT Mechanizmy DLP i AD RMS działają również na urządzeniach mobilnych. Z obserwacji specjalistów wynika, że smartfon z Windows Phone w pełni współpracuje z zabezpieczeniami AD RMS, czego nie można powiedzieć o urządzeniu, na którym zainstalowano inny system operacyjny. Z tego względu ważne jest, aby wszystkie używane urządzenia (laptopy, tablety, smarfony) działały pod kontrolą tego samego oprogramowania. Tylko wówczas są przewidywalne i podobnie się zachowują. W przypadku rozwiązań dostarczanych przez różnych producentów, podstawowe funkcjonalności co prawda działają, ale te bardziej zaawansowane wymagają dodatkowej integracji. Podsumowanie Na eseminarium zaprezentowano trzy technologie firmy Microsoft Office 365, Windows Azure z mechanizmami VPN oraz Active Directory Rights Mamangement Services (AD RMS). Omówiono trzy praktyczne scenariusze wdrożeń: budowę infrastruktury hybrydowej, która zapewnia ciągłość działania przedsiębiorstwa nawet w przypadku awarii łączy internetowych, mechanizmy wielostopniowej autoryzacji dla kont uprzywilejowanych na przykładzie logowania do usługi Office 365 oraz narzędzia do zarządzania ochroną informacji z wykorzystaniem usług DLP oraz AD RMS.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres