A HP és az Oracle közös rendezvénye a margitszigeti szállodában tartott Megoldásakadémia, amely az informatikai területen kínál megoldásokat különböző feladatok, nehézségek és problémák leküzdésére. A legutóbbi rendezvényen a biztonság és a virtualizáció témakörében telt.
A bűvszó: IdAM
Napjainkban az egyik legnagyobb kihívás a biztonság és megfelelőség elérése és megtartása. Éppen úgy igaz ez a magánszféránkban, mint ahogyan a cégek életében. Ez utóbbiaknak kínál megoldást a központi felhasználó-, jogosulság és hozzáférés kezelés (Identity & Access Management - IdAM) bevezetése. Egy ilyen megoldás magában hordozza:
A konferencia első felében egy angol nyelven beszélő úriember bevezetett mindenkit a fenti betűszó világának módszertanába, amelyre a második előadás a konkrét Oracle megoldásokat tartalmazó termékskálát bemutatva építkezett.
Egy rendszer megvalósítása mindig az alábbi hármas alapján történik:
Az Oracle hagyományos megoldása kizárólagosan az Oracle rendszerekhez nyújt megoldást, és nélkülözi a fenti modellt. Egyszerűen csak egy közös címtárral dolgozó réteget képviselnek. Mint látni fogjuk, minden esetben létezik külön (így itt is) kizárólag az alkalmazás szerverekhez (Oracle Internet Directory), és egy olyan megoldás, amely az alkalmazás szerverekhez és a hagyományos adatbázis alapú alkalmazásokhoz nyújt megoldást (Oracle Enterprise User Security). Mindkét esetben egy LDAPv3 címtárszerver működik. Az alkalmazásszerveres megoldásnál lehetőség van SSO-ra (Single Sign-On), amely a régi adatbázisos rendszerek esetében is megoldható, csak picit bonyolultabb (legalábbis az előadó szerint :) ).
Az új megoldások
Az informatikai cég a jövőt azonban a fenti ábrás modellben látják, így ehhez is van megoldásparkjuk:
A konferencia másik fele a virtualizáció témakörében telt, melynek lényege, hogy az erőforrások megosztása és dinamikus átcsoportosítása révén segítse a szerverkonszolidáció lehetőségein messze túlmutató teljes IT konszolidációt, összességében a hardver- és szoftvererőforrásokkal való lényegesen hatékonyabb gazdálkodást téve lehetővé. (csak, hogy a cég reklámszövegét kölcsönvegyem...)
Első körben itt is egy kis elméletet kaptunk. Megismertük a szervervirtualizációs technológiákat:
A HP Integrity Virtual Machine (IVM) tökéletes megoldás lehet ebben a témakörben, derült ki az előadáson.
IVM architektúra
Összesen 1 CPU maghoz 20 virtuális CPU rendelhető. (szintén csak egy adat, amit sikerült gyorsan felfirkantanom magamnak a gyorsan pergő előadáson)
IVM jellemzők
Az IVM gyakorlati hasznát az előadó a következőkben látta:
Viszont az első kettő szöget ütött a fejembe. Az első még nem is annyira, de a második már nagyon. Ugyan nagyon jó szimulációs eszközök léteznek amivel kellemes oktató anyagokat lehet csinálni e-learning módon, ám ezek mégsem maguk a rendszerek, nem engednek elég szabadságot, zártak, általában egy-két előre rögzített útvonalon vezetik végig a tanulót, egyáltalán nem támogatják a felfedezéses tanulás módszerét. De ha nem is az e-oktatásban, az élőben mégiscsak biztosítható általuk egy olyan biztonságos, virtuálisan éles környezet, amely a valódi élestől elszeparált, tehát annak integritását nem veszélyezteti, mégis teljes értékű, és így kiküszöbölhető a „teszt felhasználó esetleg galibát okoz az éles rendszerben” életérzés.
Virtualizáció USB kulccsal
Az előadót egy másik virtualizációval foglalkozó termékleírás követte: ProLiant integrációs megoldás.
A megoldás lényege, hogy USB kulcs tartalmazza az előre elkészített kész megoldást. A gép erről bootol, a virtualizációs eszköz (VMWare illetve XenServer) feláll, és nincs más dolgunk ezt követően, mint telepíteni a virtuális gépeket. A kulcs lényege, hogy a teljes HP rendszerkörnyezethez hozzá lett integrálva.
A két rendszer között nincs nagy különbség, igazán csak az alapjaikban, virtualizációs metódusukban mások :)
Virtuális hálózati kapcsolat
Szó esett még a Virtual Connect technológiáról, amely végül is nem más, mint a hálózati fizikai (MAC és WWN) címek virtualizációja, azaz elrejti a külvilágtól a tényleges fizikai címeket, így ha bármi arra hivatkozik, de egy meghibásodás során mondjuk ki kellett cserélni a kártyát a gépben és új címe lett, ez ne borítsa fel a teljes rendszert.
Compliance menedzsment
A konferencia végén szó esett még módszertanról ismételten, melyben a kockázatkezelés, teljesíthetőség, vállalatirányítás hármasát vizsgálta az előadó.
Első körben részletezte miről is szól a kockázatkezelés: Az elkerülhetetlen akadályok, veszélyek, negatív hatások menedzselése (elkerülés, csökkentés, bekalkulálás). Hangsúlyozta, hogy ez egy eszköz, amelynek használatához elkerülhetetlen, hogy a vállalat irányítása irányt mutasson.
Második körben teljesíthetőségről (compliance) esett szó, amelynek akkor van szerepe, ha kockázatkezelés kudarcal végződik, amely jelentős veszteséget okoz, és ennek hatására külső szabályozás (pl. állami) lép életbe, amely akár a vállalatnak hátrányos is lehet. A eszköz lényege, hogy úgy feleljünk a szabályoknak, hogy ne legyen gond a vállalti működésben.
A harmadik vállalatirányítás. Ez már nem termék, eszköz, hanem folyamat. Szabályok és irányok meghatározása, amelyek meghatározzák az előző kettő működését, úgy, hogy figyelembe veszi azok eredményét.
Az Oracle megoldása, referencia modellje
Az előadás második felében az Oracle Compliance Reference Modell-ről hallhattunk. A modell 5, egymásra épülő elemből áll:
A bűvszó: IdAM
Napjainkban az egyik legnagyobb kihívás a biztonság és megfelelőség elérése és megtartása. Éppen úgy igaz ez a magánszféránkban, mint ahogyan a cégek életében. Ez utóbbiaknak kínál megoldást a központi felhasználó-, jogosulság és hozzáférés kezelés (Identity & Access Management - IdAM) bevezetése. Egy ilyen megoldás magában hordozza:
- a külső és belső szabályozási követelményeknek való megfelelést,
- a nem átlátható működésből származó biztonsági kockázatok csökkenését,
- a működési hatékonyság növelését, az üzemeltetési költségek csökkenését.
A konferencia első felében egy angol nyelven beszélő úriember bevezetett mindenkit a fenti betűszó világának módszertanába, amelyre a második előadás a konkrét Oracle megoldásokat tartalmazó termékskálát bemutatva építkezett.
Egy rendszer megvalósítása mindig az alábbi hármas alapján történik:
- Tervezés
- Környezetelemzés
- Dokumentum szükséglet
- Termékszükséglet átgondolása
- Architektúra meghatározása
- Rendszer és funkcióterv elkészítés
- Integrációs terv elkészítése
- Fejlesztés, kiépítés
- Egyéni igények testre szabása
- Helyszíni üzembe helyezés
- Tesztelés
- Az Oracle rendszer lényege, hogy teljesen rendszer független megoldást biztosít, csomagjai a rendszerekből kiemeltek, központosítottak.
Az Oracle hagyományos megoldása kizárólagosan az Oracle rendszerekhez nyújt megoldást, és nélkülözi a fenti modellt. Egyszerűen csak egy közös címtárral dolgozó réteget képviselnek. Mint látni fogjuk, minden esetben létezik külön (így itt is) kizárólag az alkalmazás szerverekhez (Oracle Internet Directory), és egy olyan megoldás, amely az alkalmazás szerverekhez és a hagyományos adatbázis alapú alkalmazásokhoz nyújt megoldást (Oracle Enterprise User Security). Mindkét esetben egy LDAPv3 címtárszerver működik. Az alkalmazásszerveres megoldásnál lehetőség van SSO-ra (Single Sign-On), amely a régi adatbázisos rendszerek esetében is megoldható, csak picit bonyolultabb (legalábbis az előadó szerint :) ).
Az új megoldások
Az informatikai cég a jövőt azonban a fenti ábrás modellben látják, így ehhez is van megoldásparkjuk:
- Directory Service (Címtárkörnyzet)
- Megoldás 1 (Oracle Internet Directory): Címtár szinkronizáció: Lényegében egy master-slave elven működő megoldás. Hátránya a +1 identity tár, illetve a szinronizációs folyamat és az abban rejlő hibalehetőség.
- Megoldás 2 (Oracle Virtual Directory): A tároló valójában nem tárol semmit, nincs másodlagos tár. Sokkal inkább egy fordítóként működik, amely online tolmácsol a rendszerek között.
- Acces Control (Hozzáférés menedzselés)
- Megoldás 1 (Oracle Access Manager): Egységes bejelentkező felületet biztosít, lehetővé téve a gyártófüggetlenséget, megvalósítva az SSO-t. Viszont ez a megoldás a webes alkalmazásokhoz nyújt segítséget (ezért is rendszerfüggetlen), a régi adb-s dolgokhoz nem használható.
- Megoldás 2 (Oracle Enterprise Single Sing-On): Kliens alapú (Desktop bejelentkezést biztosít), így lehető téve a webes és nem webes alkalmazásokhoz is a hozzáférést.
- Identity Administration (Rendszeradminisztráció)
- Megoldás (Oracle Indentity Manager): Egységesen kezelt hozzáférések. Egységes szabálykezelés, amelyet kiterjeszt (érvényesít) az egyes rendszerekhez. Első alkalommal összegyűjti a meglévő felhasználókat a szabályrendszerükkel, egy helyen letárolja, majd központi felületet biztosít ezek kezelésére, és végül érvényesíti azokat az egyes rendszereken.
A konferencia másik fele a virtualizáció témakörében telt, melynek lényege, hogy az erőforrások megosztása és dinamikus átcsoportosítása révén segítse a szerverkonszolidáció lehetőségein messze túlmutató teljes IT konszolidációt, összességében a hardver- és szoftvererőforrásokkal való lényegesen hatékonyabb gazdálkodást téve lehetővé. (csak, hogy a cég reklámszövegét kölcsönvegyem...)
Első körben itt is egy kis elméletet kaptunk. Megismertük a szervervirtualizációs technológiákat:
- Terhelésmegosztás
- Particionálás
- Erőforrás elosztás
- Fürtözés (több gép 1 gépként)
- Katasztrófatűrő alkalmazások
A HP Integrity Virtual Machine (IVM) tökéletes megoldás lehet ebben a témakörben, derült ki az előadáson.
IVM architektúra
Összesen 1 CPU maghoz 20 virtuális CPU rendelhető. (szintén csak egy adat, amit sikerült gyorsan felfirkantanom magamnak a gyorsan pergő előadáson)
IVM jellemzők
- CPU virtualizáció: CPU dinamikus megosztása, 5-100% osztható kapacitás arány
- Dinamikus memória kiosztás: 64M csomagokban lehet kiosztani
- Merevlemez virtualizáció: Három kategória: Teljes lemez, Logikai méret, File
- Optikai meghajtó virtualizáció: ISO fájl (bármennyi), Fizikai lemez (csak 1)
- Hálózati virtualizáció: Dinamikus hálózati kapacitás, WLAN támogatás
- Biztonság: A virtuális gépek egymástól elszigeteltek, nincs átjárás közöttük (csak LAN-on)
- VMmanager (ingyenes) az IVM menedzselésére
- Fürtözési lehetőség (egyik gép kiesik, egy másik átveheti a működését)
Az IVM gyakorlati hasznát az előadó a következőkben látta:
- Fejlesztő és tesztrendszerek
- Oktató rendszerek
- Produktív rendszerek
Viszont az első kettő szöget ütött a fejembe. Az első még nem is annyira, de a második már nagyon. Ugyan nagyon jó szimulációs eszközök léteznek amivel kellemes oktató anyagokat lehet csinálni e-learning módon, ám ezek mégsem maguk a rendszerek, nem engednek elég szabadságot, zártak, általában egy-két előre rögzített útvonalon vezetik végig a tanulót, egyáltalán nem támogatják a felfedezéses tanulás módszerét. De ha nem is az e-oktatásban, az élőben mégiscsak biztosítható általuk egy olyan biztonságos, virtuálisan éles környezet, amely a valódi élestől elszeparált, tehát annak integritását nem veszélyezteti, mégis teljes értékű, és így kiküszöbölhető a „teszt felhasználó esetleg galibát okoz az éles rendszerben” életérzés.
Virtualizáció USB kulccsal
Az előadót egy másik virtualizációval foglalkozó termékleírás követte: ProLiant integrációs megoldás.
A megoldás lényege, hogy USB kulcs tartalmazza az előre elkészített kész megoldást. A gép erről bootol, a virtualizációs eszköz (VMWare illetve XenServer) feláll, és nincs más dolgunk ezt követően, mint telepíteni a virtuális gépeket. A kulcs lényege, hogy a teljes HP rendszerkörnyezethez hozzá lett integrálva.
A két rendszer között nincs nagy különbség, igazán csak az alapjaikban, virtualizációs metódusukban mások :)
- VMWare -> emuláció
- XenServer -> paravirtualizáció
Virtuális hálózati kapcsolat
Szó esett még a Virtual Connect technológiáról, amely végül is nem más, mint a hálózati fizikai (MAC és WWN) címek virtualizációja, azaz elrejti a külvilágtól a tényleges fizikai címeket, így ha bármi arra hivatkozik, de egy meghibásodás során mondjuk ki kellett cserélni a kártyát a gépben és új címe lett, ez ne borítsa fel a teljes rendszert.
Compliance menedzsment
A konferencia végén szó esett még módszertanról ismételten, melyben a kockázatkezelés, teljesíthetőség, vállalatirányítás hármasát vizsgálta az előadó.
Első körben részletezte miről is szól a kockázatkezelés: Az elkerülhetetlen akadályok, veszélyek, negatív hatások menedzselése (elkerülés, csökkentés, bekalkulálás). Hangsúlyozta, hogy ez egy eszköz, amelynek használatához elkerülhetetlen, hogy a vállalat irányítása irányt mutasson.
Második körben teljesíthetőségről (compliance) esett szó, amelynek akkor van szerepe, ha kockázatkezelés kudarcal végződik, amely jelentős veszteséget okoz, és ennek hatására külső szabályozás (pl. állami) lép életbe, amely akár a vállalatnak hátrányos is lehet. A eszköz lényege, hogy úgy feleljünk a szabályoknak, hogy ne legyen gond a vállalti működésben.
A harmadik vállalatirányítás. Ez már nem termék, eszköz, hanem folyamat. Szabályok és irányok meghatározása, amelyek meghatározzák az előző kettő működését, úgy, hogy figyelembe veszi azok eredményét.
Az Oracle megoldása, referencia modellje
Az előadás második felében az Oracle Compliance Reference Modell-ről hallhattunk. A modell 5, egymásra épülő elemből áll:
- Rendszer hozzáférés, folyamatbiztonság (IdM)
- Hozzáférési pontok kezelése (hozzáférési szabályok, jelsző menedzselés, SSO, erős azonosítás (pl. ujjlenyomat))
- Kivétel kezelés menedzselés (események monitorozása, figyelmeztetések, stb.)
- Monitorozás (trend analízis, ütemezési riportok, stb.)
- Érvényesség kontrol (Validate Controls)
Megjegyzések