Integracja środowiska firmowego z Chmurą Publiczną IaaS, SaaS - transkrypt webinar IDG

Microsoft Public cloudeSeminarium: „Integracja środowiska firmowego z Chmurą Publiczną IaaS, SaaS”

Robert Kołodziejczyk, Integrity Solutions,szef zespołu wdrożeniowego technologii Microsoft

Paweł Kowalski, Integrity Solutions, główny inżynier ds. chmury, serwerów Exchange i zarządzania tożsamością

Projekt Chmura publiczna w scenariuszach biznesowych obejmu-je cykl sześciu spotkań internetowych (eSeminariów) oraz trzech szkoleń produktowych. Tematem pierwszego spotkania jest in-tegracja chmury publicznej z infrastrukturą firmową. W drugim scenariuszu - Disaster recovery i backup - zaprezentowane zostaną mechanizmy tworzenia kopii zapasowych do chmury.

Szkolenia z zakresu wykorzystania chmury w biznesie obejmują pakiet oprogramowania Office 365, platformę Windows Azure oraz zasady programowania aplikacji intranetowych i internetowych dla chmury publicznej.

Informacje o planowanych eSeminariach i szkoleniach znajdziemy na stronie http://eseminaria.azurewebsites.net/.

W pierwszej części tego materiału odpowiemy na pytania: jakie wyzwania i trendy czekają na nas we współczesnym świecie, jeśli chodzi o pracę i interakcję z nowoczesnymi technologiami?Jak działa i wygląda platforma Windows Azure oraz pakiet usług podstawowych Office 365?

Prelegenci

MicrosoftPublic Cloud – cykleSeminariów

Szkolenia produktowe

Infrastruktura hybrydowa

1.

Prowadzący: Jarosław Sokolnicki, Microsoft

Integrity Solutions jest spółką wchodzącą w skład Grupy Altkom. Jako partner firmy Microsoft, zajmuje się wdrożeniami infrastruktury budowanej w oparciu o system Windows Server, usług katalogowych, mechanizmów zarządzania tożsamością, serwerów Microsoft Exchange i Microsoft System Center oraz rozwiązań w chmurze, w tym Windows Azure oraz Office 365.

Kolejne wykłady dotyczyć będą integracji systemów i raportowania w chmurze (Big Data), budowy serwisów intranetowych (wykorzystywanych wewnątrz organizacji) oraz tworzenia aplika-cji internetowych, za pomocą których komunikujemy się ze światem zewnętrznym. Cykl spotkań dotyczących biznesowego wykorzystania chmury zakończy eSeminarium prezentujące zagadnienia dotyczące zarządzania urządzeniami mobilnymi.

W drugiej części zbierzemy wszystkie te informacje, aby na przykładzie infrastruktury hybrydowej Integrity Solutions zaprezentować trzy praktyczne scenariusze zastosowań chmury Azure i usług Office 365 w biznesie.


Microsoft wymienia mobilność, ludzi oraz chmurę, jako trzy najważniejsze trendy, które będą wyznaczać rozwój technologii IT w przyszłości.

To ludzie wyznaczają sposób, w jaki pracujemy. Coraz częściej jeste-śmy w ruchu. Jesteśmy bardziej mobilni, a ze swoich komputerów korzystamy w różnych miejscach – przy biurku, w domu, w podróży. Zmieniają się również nasze przyzwyczajenia oraz interfejsy, z których korzystamy. W tym miejscu nasuwa się pytanie, co należy zrobić, aby na wielu urządzeniach pracować w ten sam sposób?

Prognozyfirmy Microsoft

Chmuramobilności

2.


Hasło mobility odnosi się do mobilności urządzeń – komputerów, tabletów, smartfonów, z których korzystamy na co dzień. Aby urządzenia te funkcjonowały prawidłowo, muszą one być pełnopraw-nym członkiem infrastruktury firmowej. Treści i usługi muszą być odpowiedniej jakości, dostosowa-ne do smartfonów i tabletów oraz dostępne z dowolnego miejsca.

Liczba sprzedanych w ubiegłym roku tabletów była wyższa niż sprzedaż komputerów PC. Wyraźnie widać rosnące znaczenie urządzeń mobilnych, które coraz częściej wykorzystywane są nie tylko do rozrywki, na przykład siedzenia przed telewizorem czy surfowania po internecie, ale również pracy.

Coraz częściej smartfon lub tablet traktowane są jako narzędzia pomagające w wykonywaniu swo-ich obowiązków służbowych. Z tego względu, wygląd interfejsu oraz sposób pracy z urządzeniem (look & feel) musi być identyczny, jak na komputerach przenośnych. Mamy tutaj do czynienia nie tylko z czystą konsumpcją treści, jak ma to miejsce w przypadku prywatnego użytku, ale również działaniami proaktywnymi, podejmowanymi przez pracowników.

Z drugiej strony, jeśli chcemy wykorzystywać urządzenia mobilne w celach służbowych, należy zadać sobie pytanie, co z bezpieczeństwem systemów IT w organizacji oraz dostępem do wrażliwych danych?

Microsoft udostępnia funkcję o nazwie „fragmentacja urządzeń”. Mimo, że korzystamy z wielu kom-puterów, tabletów czy smartfonów, nie powinniśmy dopuści do fragmentacji treści, które powinny być dokładnie takie same na każdym sprzęcie.

Z badań Forrester Research wynika, że cloud computing oraz mobility to dwa trendy, które wzajem-nie się wzmacniają. Chmura udostępnia użytkownikom nowe usługi, dzięki którym rozwija się rynek rozwiązań mobilnych. Z drugiej strony, znaczenie chmury staje się coraz większe tak, jak przybywa urządzeń przenośnych i rośnie zapotrzebowanie na usługi i treści dostępne z każdego miejsca.

Chmura jest naturalnym hubem dla urządzeń mobilnych. Dotychczas, istotnym hamulcem w rozwoju tego rynku była konieczność ręcznego konfigurowania przez użytkownika połączeń mię-dzy telefonem, a komputerem. Technologia chmury udostępnia serwisy, do których po podłączeniu się np. wpisując odnośnik czy dane na temat dostawcy usługi, uzyskujemy automatyczny, natych-miastowy dostęp. Chmura jest miejscem, do którego wrzucamy zdjęcia i skąd pobieramy treści, dostępne z każdego urządzenia.


Każda funkcjonująca organizacja, pomijając konsumentów (użytkowni-ków prywatnych), prawdopodobnie ma jakąś infrastrukturę. Nawet jeśli część usług jest dostarczana w chmurze, nadal mamy sytuację, w której pewne elementy środowiska IT pozostaną lokalne. Infrastruk-tura hybrydowa stanowi pomost pomiędzy tymi dwoma światami.

Zaczynając swoją przygodę z chmurą obliczeniową, która nie jest prze-cież nowym zjawiskiem, warto rozważyć możliwość zaprojektowania i wdrożenia infrastruktury hybrydowej. Firma analityczna Gartner, w swoich prognozach na rok 2014, wymienia chmury hybrydowe jako jedną z najważniejszych strategii i trendów rozwoju rynku IT. Prowa-dząc rozważania na temat wdrożenia usług w chmurze powinniśmy myśleć o hybrydzie oraz sposobach na integrację usług chmurowych z istniejącą infrastrukturą przedsiębiorstwa.

Mamy lokalne środowisko IT, usługi w chmurze i wszystko to mu-simy zintegrować. Na tym etapie nasuwa się pytanie, po co w ogóle chmura w firmie?

Dlaczego chmurahybrydowa?

Hybrydadobra dla chmury

Dlaczego chmura?

3.


Zbudowanie mostu między infrastrukturą lokalną i chmurą jest warunkiem koniecznym do uniknięcia informatycznego „rozdwojenia jaźni”. Konieczność zarządzania środowiskiem IT w dwóch miejscach tworzy wiele problemów związanych z utrzymaniem systemów i usług, obsługą zgłoszeń oraz obie-giem informacji. W chwili kiedy między tymi środowiskami zbudujemy pomost, administratorzy zaczną traktować hybrydową infrastrukturę jako całość. Dla użytkowników nie ma znaczenia, czy poczta e-mail dostarczana jest z wewnątrz organizacji, czy też z chmury. Mechanizmy działające pod spodem powodu-ją, że przyzwyczajenia, które mamy z sieci przenoszą się na chmurę, dostarczając użytkownikom zunifi-kowane środowisko do zarządzania usługami biznesowymi.

W wielu przypadkach wynika to z prozaicznych przyczyn. Wszystkie istniejące na rynku firmy po-siadają jakąś infrastrukturę, zasoby sprzętowe oraz uruchomione usługi np. Active Directory, która zapewnia mechanizmy scentralizowanego logowania użytkowników.

Usługi w chmurze stanowią naturalny etap rozwoju środowiska IT w przedsiębiorstwie. Wraz z wprowadzaniem elementów chmury, infrastruktura firmy ewoluuje, aby zaoferować użytkowni-kom elastyczne i bardziej niezawodne usługi biznesowe. Dzięki chmurze hybrydowej możemy doko-nać ewolucji w infrastrukturze firmy, bez konieczności porzucania posiadanych zasobów i umiejęt-ności. Rewolucji w IT biznes mógłby nie znieść.

Żyjemy w czasach, w których ważna jest elastyczność. Rozwój biznesu wymaga, aby szybciej reagować na zmieniające się otoczenie. W trakcie prowadzenia kampanii promocyjnej czy obsługi dużego wyda-rzenia, od działów IT wymaga się dodatkowych, dużych mocy obliczeniowych, o które w lokalnej serwe-rowni może być trudno.


Wizja firmy Microsoft zakłada, że chmura będzie zorganizowana na zasadach wyznaczonych przez użytkownika. Chmura ma być tak duża jak potrzebujemy, wtedy kiedy jej potrzebujemy i tylko w tym obszarze, w którym chcemy. Do chmury należy przenosić tylko te elementy, które wprowadzą do środowiska informatycznego nową wartość biznesową.

Polskie przedsiębiorstwa nadal podchodzą nieufnie do prze-noszenia swoich zasobów informatycznych do chmury. Jeśli tylko uda się zniwelować czynnik ludzki – strach, działy IT oraz biznes coraz chętniej migrują do chmury, choćby ze względu na mobilność jaką oferuje.

Unifikacjainterfejsu

Praktycznywymiarchmury

4.


Gdybyśmy chcieli całą lokalną infrastrukturę przekształcić w serwisy i usługi chmury, byłoby to bardzo kosztowne oraz długotrwałe. Hybryda oferuje elastyczność w przenoszeniu usług do chmury. Możemy włączać pojedyncze usługi w chmurze, łatwo je rozbudowywać, bez zamykania lokalnej serwerowni.

Dostarczenie kolejnego serwisu dla biznesu np. uruchomienie serwera SharePoint, odbywa się cią-gu kilku minut. Nie ma konieczności zakupu sprzętu, zamawiania licencji itd. Wizja firmy Microsoft zakłada rozbudowę infrastruktury przedsiębiorstwa o konkretne elementy chmury, wtedy kiedy są rzeczywiście potrzebne.

Przykładem jest tutaj możliwość pracy w pociągu, bez konieczności zestawiania połączenia VPN do lokalnej sieci przedsiębiorstwa. W Integrity Solutions potrzeba chmury pojawiła się głównie za sprawą osób z działów handlu i marketingu, którzy chcieli mieć możliwość pracy zawsze i wszędzie, nawet stojąc w korku na autostradzie.

Paweł Kowalski z Integrity Solutions twierdzi, że dzięki instancji serwera SharePoint w chmurze, pracując u klientów mógł dostarczyć im nową jakość obsługi. Chmura firmy Microsoft umożliwiła Pawłowi wchodzenie do witryn projektowych z dowolnego miejsca oraz zapraszanie do współpracy członków zespołu projektowego po stronie klienta. Dzięki mechanizmom uwierzytelniania Live ID każdemu z nich wystarczyło nadać uprawnienia do zasobów i informacji. Wykorzystanie SharePoin-t’a ograniczyło konieczność przesyłania dokumentów pocztą, które teraz były udostępniane i rozpo-wszechniane przez bezpieczny protokół SSL. Pozwoliło to również członkom zespołu wykorzystać cechy i funkcje serwera SharePoint takie jak wersjonowanie dokumentów czy dostęp do informacji w formie list i kalendarzy.

Z badań PMI wynika, że ważniejsze niż budżet, jest dostarczenie produktu lub usługi na rynek. Na obec-ną chwilę, w projektach informatycznych najbardziej liczy się czas, aby być krok przed konkurencją.

Drugim elementem jest wzrost znaczenia mobilności oraz roli chmury, jako naturalnego huba, któ-ry pozwala użytkownikom korzystać ze swoich aplikacji i danych w dowolnym miejscu i czasie.


Kolejną istotną kwestią jest proces integracji chmury prywatnej z lokalną infrastrukturą przedsiębiorstwa. Mowa tu o dwóch ro-dzajach usług. Pierwsza to pakiet podstawowych funkcji Office 365 niezbędnych do pracy. W jego skład wchodzi poczta korporacyjna na platformie Exchange, moduł udostępniania dokumentów, witryn sieci web i pracy grupowej na bazie serwera SharePoint oraz konfe-rencje internetowe prowadzone przy użyciu aplikacji Lync.

Office 365dla firm

5.


Licencje dostępowe (CAL) dla usług Office 365 dla biznesu odpowiadają licencjom CAL dla serwe-rów dostarczanych w modelu on premise.

W Integrity Solutions istnieje tylko jeden dział firmy, który w całości pracuje w chmurze. Mowa o pro-gramistach. Dla tej grupy pracowników chmura to idealne środowisko, które pozwala im w kilka minut postawić nowy serwer o dowolnych parametrach i konfiguracji, bez konieczności przesyłania odpowied-nich wniosków do osób odpowiedzialnych za infrastrukturę. Wirtualizacja używana jest w trakcie prowa-dzenia testów aplikacji, czy też prezentacji klientom działających rozwiązań.

Infrastruktura hybrydowa z wykorzystaniem Windows Azure

Jeśli posiadamy subskrypcję na usługi w chmurze, możemy jednocześnie korzystać z lokalnych zasobów przedsiębiorstwa. Z punktu widzenia użytkownika nie ma znaczenia, czy witryna hostowa-na jest na lokalnym serwerze SharePoint, czy w usłudze uruchomionej w chmurze. Dla działów IT oznacza to większą elastyczność i uproszczenie zasad licencjonowania produktów Microsoft.


6.


Drugim elementem, którego używamy, aby rozbudować możliwości chmury oraz pakiet usług Office 365 jest Windows Azure. Platforma ta składa się z kilku zasadniczych elementów.

WindowsAzure

Pierwszy odpowiada za dostarczanie aplikacji, czyli hostowanie usług lub stron webowych. Drugi element chmury Azure umożliwia przechowywanie treści oraz składowanie informacji w ba-zie danych. Na oficjalnej stronie Azure znajdziemy bogatą dokumentację oraz zestaw przewodników w języku polskim, które ułatwiają wdrażanie usług chmurowych w organizacji.

Windows Azure jest niezależną platformą, która pozwala na uruchomienie w chmurze maszyny wir-tualnej (instancji serwera), serwisu internetowego lub aplikacji bazodanowej. Każdy z tych elemen-tów ma cechy charakterystyczne dla usług świadczonych w chmurze – niezawodność na poziomie ponad 99,9% oraz dostępność z każdego miejsca na świecie.

W chmurze Azure dostępne są maszyny wirtualne, które mają ponad 100 GB pamięci RAM. Są to instancje serwerów przeznaczone do przetwarzania dużej ilości danych (Big Data). Chmura firmy Microsoft stanowi odpowiedź na zapotrzebowanie firm na moc obliczeniową, niedostępną w lokal-nych serwerowniach. Płacimy tutaj wyłącznie za wykorzystane zasoby. Możemy wynająć maszynę wirtualną na trzy dni, na tydzień, na miesiąc lub na czas realizacji projektu, po czym ją wyłączyć i skasować, nie ponosząc za to żadnych dodatkowych kosztów.

Infrastruktura hybrydowa firmy Integrity Solutions składa się z lokalnej serwerowni, w której działa m.in. farma serwerów SQL, połączonej stałym, szyfrowanym tunelem VPN z chmurą publiczną Windows Azu-re. Z perspektywy pracowników, wszystkie maszyny w chmurze Azure są widoczne tak samo, jakby były uruchamiane w biurach Integrity. Mogą oni logować się do usług, korzystać z aplikacji i pobierać dane, tak samo jak robią to w przypadku serwerów dostarczanych lokalnie. W chmurze zdefiniowano kilka, w pełni zarządzanych podsieci oraz uruchomiono usługi sieciowe, realizujące wybrane funkcje biznesowe.

Hybrydaw Integrity

Integrity Solutions informuje, że skonfigurowanie infrastruktury hybrydowej w przedsiębiorstwie zajęło jedynie pół dnia. W tym czasie udało się uruchomić instancję Windows Azure oraz kontroler domeny w chmurze. Oba środowiska zostały spięte ze sobą bezpiecznym tunelem VPN. W chmu-rze uruchomiono kontroler domeny z usługą Active Directory Federation Services (AD FS), który rozszerza funkcje realizowane przez kontrolery domeny działające lokalnie. Logowanie się pracow-ników do usługi Office 365 odbywa się z wykorzystaniem poświadczeń domenowych. Z uwagi na do-datkowy kontroler uruchomiony w chmurze, firma jest niezależna od awarii łączy i innych zdarzeń losowych. Warto dodać, że utrzymanie chmury kosztuje dziennie tyle, co bilet autobusowy.

W tym momencie pojawia się pytanie – jakie korzyści dla biznesu przynosi chmura. Po drugie – czy jest to bezpieczne? Odpowiedzi na te pytania spróbujemy znaleźć prezentując trzy scenariusze wdrożeń.


W hybrydzie, za pomocą kont Active Directory, możemy logować się do zasobów lokalnych, jak i tych dostarczanych w chmurze. Hasła użytkowników przechowywane w lokalnej usłudze katalogowej, po-przez łącza internetowe są również dostępne dla systemu Office 365.

Scenariusz 1. Pojedynczelogowanie

7.


Mechanizm pojedynczego logowania (Single sign-on, SSO) pozwala wykorzystać te same poświad-czenia (nazwa użytkownika, hasło) w trakcie uzyskiwania dostępu do różnych urządzeń (komputer, tablet, smarfton) oraz wszystkich usług, aplikacji i zasobów w środowisku firmy Microsoft. Ten sposób logowania do usług jest tańszy, szybszy i bardziej efektywny, bowiem zawsze używamy tej samej nazwy użytkownika i hasła.

W pierwszym scenariuszu zaprezentujemy chmurę hybrydową, w której zaimplementowano me-chanizmy pojedynczego logowania (Single sign-on, SSO) dla usług uruchamianych lokalnie (on premise) oraz w chmurze. Scenariusz drugi omawia, w jaki sposób podnieść zabezpieczenia w zakresie dostępu do usług poprzez wdrożenie mechanizmów wielostopniowego uwierzytelniania użytkowników uprzywilejowanych (multi-factor autentication). Trzecia prezentacja dotyczyć będzie kwestii bezpieczeństwa danych widzianej z dwóch perspektyw: szyfrowania oraz zarządzania dostę-pem do informacji.

Hybryda i zabezpieczenie usługi pojedynczego logowania


8.


Spróbujmy przybliżyć schemat uwierzytelniania w usłudze Exchange Online. Klient, aby zalogować się do skrzynki e-mail, wysyła do aplika-cji webowej swoje poświadczenia. Na tym etapie serwer sprawdza, czy posiada on konto oraz wymagane licencje na korzystanie z usługi. Jeśli użytkownik zostanie poprawnie rozpoznany, aplikacja przekazuje zapy-tanie o hasło do serwera Active Directory Federation Services (AD FS). To tutaj następuje właściwy proces uwierzytelniania klienta w usłudze.

Pocztaw Exchange Online

Hasła użytkowników nie są przechowywane w chmurze. Proces weryfikacji poświadczeń odbywa się na lokalnym kontrolerze domeny w usłudze Active Directory. Aplikacja Exchange Online otrzymuje jedynie zwrotną informację, czy proces uwierzytelniania zakończył się sukcesem, czy też klientowi należy odmówić dostępu do poczty. Dodajmy, że usługi Active Directory Federation Services wyko-rzystywane są dla dowolnych aplikacji uruchamianych w chmurze.

Narzędzie Dir Sync umożliwia synchronizację kont użytkowników i skrótów haseł w usłudze Office 365. Rozwiązanie to jest stosowane wszędzie tam, gdzie nie ma wdrożonej infrastruktury hybrydo-wej. Standardowo, synchronizacja poświadczeń klientów odbywa się co 2 godziny.

W przypadku awarii łączy internetowych w siedzibie firmy, usługi chmu-ry będą niedostępne, nawet wtedy gdy użytkownik spróbuje uzyskać do nich dostęp spoza organizacji. Jak to możliwe? W trakcie logowania się do aplikacji webowej, zapytanie o hasło przekazywane jest do kontrolera domeny uruchomionego w centrum danych przedsiębiorstwa.

Windows Azure pozwala zapewnić ciągłość działania oraz do-stępność usług w chmurze nawet wtedy, gdy lokalna infrastruk-tura przedsiębiorstwa zostanie odcięta od świata zewnętrznego.

Problemz dostępnością kontrolerów domeny

Kontroler domeny w chmurze

W firmie Integrity Solutions taka usterka zdarzyła się kilka razy. Wyobraźmy sobie sytuację, w któ-rej po przyjściu do pracy nie działa służbowa poczta. Budowa. Koparka przecięła światłowód, a więc zalogowanie się do usług w chmurze okazuje się niemożliwe.

Podsumujmy. Mamy infrastrukturę lokalną oraz infrastrukturę w chmurze. Aby zalogować się do usługi w chmurze konieczne jest sprawdzenie poświadczeń użytkownika w usłudze AD FS urucho-mionej na kontrolerze domeny w centrum danych firmy. To rodzi pewne konsekwencje…

Firma Integrity Solutions zdecydowała się na uruchomienie kontrolera domeny w Windows Azure. Dzięki temu proces uwierzytelniania użytkowników w usłudze odbywa się wyłącznie w chmurze. Z perspektywy przedsiębiorstwa, wdrożenie kontrolera domeny w chmurze, stanowi rozszerzenie usług katalogowych o kolejną lokalizację. Synchronizacja katalogu miedzy kontrolerami odbywa się z wykorzystaniem standardowych mechanizmów replikacji Active Directory.


9.


W trakcie kolejnej prezentacji zalogujemy się do poczty w usłudze Office 365. W tym celu wykorzystamy konto postmaster na serwerze Exchange. W Integrity Solutions jest to skrzynka, do której trafia cała niechciana korespondencja (spam)..

Idea SSO w praktyce

W oknie aplikacji webowej wprowadziliśmy nazwę użytkownika oraz hasło. Serwer automatycznie rozpoznał, że wykorzystaliśmy konto domenowe, a następnie przekazał żądanie uwierzytelnienia do kontrolera domeny uruchomionego w chmurze Windows Azure.

Proces logowania wygląda jednak zgoła inaczej, jeśli próbujemy uzyskać dostęp do skrzynki e-mail, siedząc przed swoim biurkiem w firmie. W tym przypadku uwierzytelnianie w usłudze odbywa się na lokalnym kontrolerze domeny. Dodatkowo, nie ma potrzeby ponownego przedstawienia się usłu-dze w chmurze, bowiem wcześniej zalogowaliśmy się do swojego służbowego komputera.

Właśnie tak działa mechanizm pojedynczego logowania (SSO). Wszystkie usługi, aplikacje i zasoby, zarówno te lokalne jak i w chmurze, dostępne są od razu. W trakcie próby dostępu do aplikacji, sys-tem nie przekierowuje użytkownika do portalu logowania w usłudze uwierzytelniającej AD FS. Nie prosi też o ponowne wprowadzenie hasła.

Po stronie chmury, środowisko hybrydowe w firmie Integrity Solu-tions składa się z pojedynczego kontrolera domeny, sieci wirtualnej oraz szyfrowanego kanału VPN zestawionego w modelu punkt-punkt (site-to-site) do lokalnej sieci przedsiębiorstwa. Tunel VPN dostar-czany jest w formie wirtualnej usługi Azure, która dodatkowo zlicza ilość danych przesyłanych między lokalizacjami w zadanym czasie.

Hybryda w Integrity

Windows Azure oferuje funkcjonalność, dzięki której każda z maszyn wirtualnych uruchamianych w chmurze dostępna jest pod unikalną nazwą DNS, rozwiązywaną z internetu. Nie ma konieczności zestawiania tunelu VPN, jeśli chcemy połączyć się z pulpitem zdalnym kontrolera domeny. Wystar-czy, że w portalu Azure naciśniemy przycisk Connect. Aplikacja automatycznie pobierze konfigura-cję usługi Remote Destkop, a następnie pozwoli na szybkie nawiązanie zdalnego połączenia z wy-branym serwerem. Windows Azure umożliwia wystawienie takiego interfejsu dla dowolnej maszyny. Funkcja ta pozwala wygodnie zarządzać oraz monitorować stan instancji wirtualnych w chmurze.

Podsumujmy: w Windows Azure został uruchomiony kontroler domeny z działającą usługą AD Federation Services. Sieć lokalna przedsiębiorstwa jest połączona z chmurą za pomocą stałego, bezpiecznego tunelu VPN. Z perspektywy infrastruktury, kontroler domeny w chmurze funkcjonuje jako serwer usług Active Directory w kolejnej lokalizacji. Jego zadaniem jest przejęcie zadań zwią-zanych z uwierzytelnianiem użytkowników w usługach uruchamianych w chmurze, także wtedy gdy lokalne usługi AD FS w centrum danych przedsiębiorstwa będą niedostępne.

Przypomnijmy, że integracja środowiska lokalnego i chmury w firmie Integrity Solutions zajęła jedynie pół dnia. Proces ten został zautomatyzowany dzięki szablonom maszyn wirtualnych, które znajdziemy w galerii obrazów Windows Azure. Wystarczy kilka minut, aby można było zalogować się po raz pierwszy do nowego serwera wirtualnego


10.


Proces uwierzytelniania w usługach chmurowych można rozszerzyć o dodatkową warstwę zabezpieczeń w postaci kodów SMS wysyła-nych na telefon komórkowy użytkownika. Model ten jest powszechnie wykorzystywany w bankowości elektronicznej. Zatwierdzenie polece-nia przelewu wymaga podania kodu, otrzymanego od banku w treści wiadomości SMS.

Scenariusz 2.Wielostopniowaautoryzacjaużytkownika

Wdrażanie usług chmurowych, takich jak Azure i Office 365, to kwestia połączenia infrastruktury lokalnej bezpiecznym tunelem VPN. Z perspektywy użytkownika usługi te widoczne są w taki sam sposób, jakby były uruchamiane lokalnie. Dodajmy, że w Windows Azure znajdziemy również opro-gramowanie dostarczane przez firmy trzecie. W ten sam sposób wdrożymy np. bazę danych Oracle, wstępnie skonfigurowaną do pracy w środowisku Windows Server.

Wielostopniową autoryzację użytkownika stosuje się w szczególności dla kont użytkowników uprzy-wilejowanych, którzy uzyskują dostęp do usług i zasobów w chmurze. Dotyczy to administratorów, administratorów rozliczeń i wszystkich innych kont, które mają przypisane wyższe uprawnienia niż standardowy użytkownik. W przypadku ujawnienia (skompromitowania) poświadczeń logowania, atakujący może wydać pieniądze firmy, wyłączyć jakąś usługę, a nawet skasować dane. Wdrożenie podwójnego mechanizmu autoryzacji sprawia, że czujemy się bezpieczniej. Te same zabezpieczenia mogą być wdrażane również w odniesieniu do usług uruchamianych lokalnie, aby zwiększyć poziom zabezpieczeń stosowanych w przedsiębiorstwie.

W procesie logowania użytkownik, oprócz standardowych poświadczeń (nazwa oraz hasło), podaje kod wysłany na jego telefon komórkowy w formie wiadomości SMS. W procesie autoryzacji może być wykorzystane również połączenie telefoniczne (należy odebrać rozmowę zainicjowaną przez serwer usługi) lub aplikacja na smartfon, która generuje jednorazowe kody dostępu.

Mechanizm wielostopniowej autoryzacji (multi-factor autentication), oprócz uwierzytelniania w usługach Office 365, można wykorzystać w portalu Windows Azure, SharePoint i innych aplikacjach uruchamianych w chmurze Microsoftu.

Dla kont administracyjnych usługa wielostopniowej autoryzacji jest darmowa. W przypadku zwy-kłych kont opcja ta jest dodatkowo płatna i rozliczana ze względu na liczbę wysłanych SMS-ów lub na użytkownika.

Portal Azure udostępnia usługę wielostopniowej autoryzacji, którą możemy zsynchronizować z wła-snymi aplikacjami. Jest to gotowy moduł, który wystarczy aktywować. Wchodzimy w konfigurację użytkowników i grup portalu Office 365. Z listy kont uprzywilejowanych wybieramy to, dla którego chcemy włączyć dodatkowe mechanizmy uwierzytelniania.

W trakcie pierwszego logowania użytkownika do usługi, system poprosi o wskazanie numeru telefonu oraz wybór dodatkowej formy autoryzacji. Do wyboru mamy: kod SMS, przychodząca rozmowa telefo-niczna oraz aplikacja na smartfon. Po przejściu tego etapu, status konta użytkownika zmieni się z włą-czone na wymuszone. Od tego momentu, dwustopniowe uwierzytelnienie w usłudze jest obligatoryjne.


11.


Mechanizm wielostopniowej autoryzacji wykorzystamy również do zabezpieczania dostępu w stron i aplikacji internetowych. Przykładem mogą być zdobywające coraz większą popularność serwisy z grami online, w których gracze zostawiają pokaźne sumy pieniędzy. Wprowadzenie dodatkowej formy uwierzytelniania wprowadza nową jakość w świadczeniu usług i bezapelacyjnie zwiększa zaufanie do operatora strony.

W obecnych czasach informacja, z jednej strony jest towarem, a z drugiej czynnikiem, który wpływa na konkurencyjność przedsię-biorstw na rynku. Pewne informacje często nie mogą wyjść poza fir-mę, zbyt szybko lub wcale. Przedsiębiorstwa, których infrastruktura opiera się zarówno na zasobach lokalnych jak i tych zlokalizowa-nych w chmurze muszą mieć rozwiązania, które zapewnią ochronę informacji przed nieuprawnionym ujawnieniem.

Scenariusz 3. Szyfrowanie i zarządzaniedostępem doinformacji

Wdrożenie mechanizmów zarządzania dostępem do informacji w środowisku lokalnym jest długo-trwałe i kosztowne. W Windows Azure wprowadzanie rozwiązań opartych o usługi Active Directory Rights Management Services (AD RMS) zajmuje tylko chwilę.

Zarządzanie prawamidostępu AD RMS

Microsoft Public cloudeSeminarium: „Integracja środowiska firmowego z Chmurą Publiczną IaaS, SaaS”Prowadzący: Jarosław Sokolnicki, Microsoft

AD RMS zarządza uprawnieniami do plików i dokumentów. Usługa sprawdza, czy użytkownik może mieć dostęp do wskazanego obiektu, a jeśli tak to na jakich zasadach. AD RMS zabezpiecza pliki także wte-dy, gdy opuszczają one środowisko korporacyjne. Nie tracimy kontroli nad obiektem, nawet wtedy gdy przekażemy go koledze na nośniku wymiennym lub wyślemy współpracownikowi pocztą e-mail.

Active Directory RightsManagement Services

Chroniony plik może być dokumentem Word, Excel, PowerPoint lub wiadomością e-mail. Jeśli za-żądamy ochrony danego obiektu, serwer AD RMS wstrzykuje do środka pliku kawałek kodu zabez-pieczającego. Na tym etapie właściciel pliku określa zakres jego ochrony. Może on zakazać kopio-wania jego treści, drukowania, oraz otwierania przez osoby nieuprawnione.

W trakcie próby otwarcia zabezpieczonego dokumentu aplikacja odpytuje usługę AD RMS czy mamy do niego prawa dostępu, a jeśli tak, to jakie. W przypadku rozwiązań uruchomionych w chmurze Windows Azure dostęp do serwera AD RMS możliwy jest z dowolnego komputera na całym świecie.

Administrator może zdefiniować reguły filtrowania treści. Przykła-dem może być tutaj poczta korporacyjna na serwerze Exchange. Jeżeli w treści lub załączniku do maila znajdą się wrażliwe informa-cje, usługa AD RMS może wymusić zaszyfrowanie korespondencji lub zablokować możliwość przesyłania dokumentów dalej.

Ochronainformacji

Microsoft udostępnia narzędzia, które umożliwiają wprowadzanie ograniczeń związanych z ochroną informacji automatycznie, bez interakcji z użytkownikiem. Mechanizm Data Lost Prevention (DLP) stosowany jest na serwerach Exchange, podczas gdy do zabezpieczania zasobów na platformie SharePoint stosuje się narzędzia Information Rights Management (IRM). W zależności od konfigu-racji filtrów, system może wymusić zaszyfrowanie dokumentu w trakcie zapisywania go na witrynie czy też wysyłania w treści lub w formie załącznika do wiadomości e-mail.

Mechanizm IRM w SharePoint umożliwia publikowanie chronionych treści w witrynach SharePo-int’a, bez konieczności pamiętania o tym, aby wskazane informacje zostały zaszyfrowane. Jeśli chcemy dać komuś dokument w wersji nieedytowalnej, zazwyczaj tworzymy plik PDF. Mechanizm IRM pozwala umieścić w witrynie SharePoint dokument Worda, którego dzięki nałożonym ograni-czeniom, nikt nie będzie mógł zmodyfikować, ani skopiować. Dzięki temu to usługa uruchomiona na serwerze, a nie użytkownik pilnuje uprawnień do obiektów i danych.

12.


Najprostszą metodą wprowadzenia mechanizmów zabezpieczeń w organizacji jest uruchomienie serwera AD RMS w chmurze Windows Azure.

Wyobraźmy sobie sytuację, w której ktoś, wykorzystując mechani-zmy AD RMS zabezpieczył arkusz kalkulacyjny Excel, a ktoś inny skopiował ten dokument i wyniósł poza firmę. Usługa AD RMS pilnuje tego, aby nikt nieuprawniony nie miał możliwości otwarcia pliku. Arkusz, być może zawierający poufne dane, jest nieużyteczny, jeśli znajduje się poza kontrolą użytkownika i infrastrukturą przed-siębiorstwa. AD RMS pełni rolę strażnika, który w trakcie próby uzyskania dostępu do dokumentu nadaje użytkownikowi uprawnie-nia do jego otwierania, kopiowania, drukowania, itd.

WdrażanieAD RMS

Przykładz Excelemi Wordem

Wdrożenie podstawowych funkcjonalności AD RMS w chmurze Windows Azure i powiązanie ich z usługami Office 365 jest proste i szybkie. W ustawieniach Office 365 przechodzimy na zakładkę Zarządzanie prawami, po czym klikamy Zarządzaj. Wszystko, co należy zrobić to włączyć usługę za-rządzania dostępem do informacji. Kolejny krok to zdefiniowanie warunków filtrowania. Do dyspo-zycji mamy trzy predefiniowane profile (szablony) m.in. dokument poufny oraz tylko do odczytu.

W panelu Exchange znajdziemy zakładkę Ochrona przed utratą danych, która umożliwia stosowanie gotowych wzorców zabezpieczeń lub skonstruowanie własnych reguł filtrowania np. takich, które będą wyszukiwać numery kart kredytowych w treści wysyłanej przez pracowników korespondencji.

Na tym etapie definiujemy akcję, która zostanie podjęta, jeśli warunek filtrowania zostanie spełnio-ny. Do dyspozycji mamy cały wachlarz akcji – blokowanie, szyfrowanie, odrzucanie. Możemy również przyjąć postawę pasywną, rejestrując jedynie informację o zdarzeniu lub powiadamiając użytkowni-ka, za pomocą komunikatu z ostrzeżeniem.

Wprowadzenie mechanizmów zarządzania dostępem do informacji nie ogranicza stosowania innych zabezpieczeń poczty np. szyfrowania i podpisywania wiadomości w standardzie. Z uwagi na funkcje integracji ze środowiskiem Active Directory, istnieje możliwość wykorzystania korporacyjnego cer-tyfikatu cyfrowego dla usług uruchamianych w środowisku lokalnym i chmurze.

W drugim przykładzie spróbujemy pokazać, jak zapewnić ochronę dokumentu Word, który zawiera poufne informacje. W tym celu z menu Plik wybieramy Ochrona dokumentu, a następnie wskazu-jemy pożądany poziom ochrony. Pierwszy poziom to dostęp nieograniczony. Każda osoba, będąca członkiem organizacji, ma swobodny dostęp do dokumentu i może zrobić z nim wszystko. Dokument poufny to taki, który jest przeznaczony do ściśle określonej osoby lub grupy osób. Z kolei plik z polisą „Tylko widok poufny” może być przeglądany przez wyznaczone osoby, bez możliwości jego dalszego przetwarzania. Ten poziom ochrony stosuje się dla dokumentów, które powinny pozostać tajne np. nowa strategia marketingowa firmy. Ten model zabezpieczeń używany jest również do przesyłania plików zawierających informacje, które nie powinny na tym etapie ujrzeć światła dziennego.

13.


Filtry mogą jedynie zbierać informacje, o potencjalnych próbach na-ruszenia ochrony danych. Taki filtr, mimo że wyłączony, nadal dzia-ła. Nie podejmuje żadnej akcji, nie blokuje korespondencji e-mail, ani jej nie szyfruje. Jednocześnie administratorzy widzą działania innych pracowników.

Mechanizmy DLP i AD RMS działają również na urządzeniach mo-bilnych. Z obserwacji specjalistów wynika, że smartfon z Windows Phone w pełni współpracuje z zabezpieczeniami AD RMS, czego nie można powiedzieć o urządzeniu, na którym zainstalowano inny system operacyjny.

Na eSeminarium zaprezentowano trzy technologie firmy Micro-soft – Office 365, Windows Azure z mechanizmami VPN oraz Active Directory Rights Mamangement Services (AD RMS). Omówiono trzy praktyczne scenariusze wdrożeń: budowę infrastruktury hybrydowej, która zapewnia ciągłość działania przedsiębiorstwa nawet w przypadku awarii łączy internetowych, mechanizmy wie-lostopniowej autoryzacji dla kont uprzywilejowanych na przykła-dzie logowania do usługi Office 365 oraz narzędzia do zarządzania ochroną informacji z wykorzystaniem usług DLP oraz AD RMS.

Monitorowanie środowiska IT

Unifikacja środowiska IT

Podsumowanie

Przykład firmy Integrity Solutions pokazuje, że filtr zdefiniowany zaledwie dwa dni wcześniej, wy-krył i zarejestrował aż cztery próby przesłania wiadomości e-mail, w których treści zawarto słowo PESEL. Pokazuje to, że ludzie nierzadko postępują irracjonalnie, wysyłając w niezaszyfrowanej formie, wrażliwe informacje, choćby takie jak numery kart kredytowych.

Z tego względu ważne jest, aby wszystkie używane urządzenia (laptopy, tablety, smarfony) działały pod kontrolą tego samego oprogramowania. Tylko wówczas są przewidywalne i podobnie się zacho-wują. W przypadku rozwiązań dostarczanych przez różnych producentów, podstawowe funkcjonal-ności co prawda działają, ale te bardziej zaawansowane wymagają dodatkowej integracji.

W przypadku odebrania chronionej wiadomości, w programie Outlook oraz aplikacji webowej Outlo-ok Web Access (OWA), nie zostaną wyświetlone przyciski takie jak Odpowiedz i Prześlij dalej. Nie będzie również można skopiować treści korespondencji.

14.

Internet

Integracja środowiska firmowego z Chmurą Publiczną IaaS, SaaS - transkrypt webinar IDG