Whitepaper ICT-infrastructuur

Whitepaper ICT-infrastructuur ICT-infrastructuren kunnen een complexe aangelegenheid zijn. Omdat er in de markt een enorme diversiteit aan oplossingen is, bestaat de kans de kern van de zaak uit het oog te verliezen. Daarom heeft u een goede, flexibele ICT-infrastructuur nodig, die (op basis van moderne technologie) doet wat het moet doen; uw organisatie, processen en gebruikers met goed werkende ICT faciliteren. Bij het bouwen van een ICT-infrastructuur staan een aantal zaken centraal: uw data; de beveiliging; uw gebruikers en hun werkzaamheden. Met een goede ICT-infrastructuur zijn gebruikers productief, ongeacht waar ze werken. Men kan functionaliteit en data op een veilige manier gebruiken. Zeker tegenwoordig, nu we steeds vaker 24 uur per dag slagvaardig moeten zijn, wordt er veel gevraagd van de ICT-infrastructuur. Werken vanuit elke mogelijke locatie, op ieder tijdstip, zonder afhankelijk te zijn van een vaste werkplek op locatie en met een goede performance van de ICT-functionaliteiten. Voor ICT-afdelingen is het daarbij essentieel dat de beveiliging gewaarborgd blijft. Tevens zal de omgeving beheersbaar moeten blijven voor de eigen ICT–afdeling of een solide partner aan wie het beheer wordt uitbesteed. Indien een organisatie flexibel in wil spelen op (organisatie)veranderingen, dan heeft men hiervoor ook een goede ICT-infrastructuur nodig. Waar het voorheen vaak maanden tijd kostte om ICT aan te passen aan veranderende omstandigheden, wordt vanuit de business nu verwacht dat ICT zeer snel kan worden aangepast. Bij eventuele bedrijfsuitbreiding of -krimp verwacht men snelle aanpassing, net zoals bij uitbreiding van functionaliteiten. De ICT-afdeling zal daarom een flexibele en schaalbare ICT-infrastructuur nodig hebben om dit te faciliteren.Om een goede ICTinfrastructuur te bouwen dient vanuit een aantal modulaire onderdelen te worden gedacht, die samen de flexibele

02

en schaalbare ICT-infrastructuur maken die een organisatie nodig heeft. Door deze onderdelen afzonderlijk te benaderen en vervolgens als geheel te bezien, ontstaat een duidelijk beeld van de benodigde ICT-infrastructuur voor een organisatie. Deze onderdelen dienen in een moderne ICT-infrastructuur altijd benoemd te zijn, ongeacht de keuzes die worden gemaakt over de invulling ervan. Er zijn per slot van rekening meerdere mogelijkheden voor het invullen. Dit is uiteraard afhankelijk van de specifieke organisatiebehoeften en -kenmerken. In dit whitepaper wordt ingegaan op de verschillende modulaire onderdelen van een ICTinfrastructuur. Hiermee krijgt u een eerste beeld van de onderwerpen die bij het bouwen of aanpassen van een ICT-infrastructuur binnen een organisatie besproken dienen te worden. In onderstaande tekening is een ICT-infrastructuur concept opgenomen, waarin de modulaire onderdelen benoemd zijn. Remote- & thuiswerkers

Web Apps Exchange Online

Social Media

Leveranciers Keten partners

CRM online

Internet

Office 365

Cloud Mail

Klanten Portals

Unified Communications (o.a. Voice)

Thin Clients

Laptops

Mobile Devices

Randapparatuur

BI & Reporting

File & Print Service

Portals

Business applicaties

KA applicaties

Web service

Active Directory

File & Print

Database

Remote Desktop

Applicatie AS400

Netwerk (LAN)

Backup Server Virtualisatie Hosts Backup Target

Storage Netwerk (SAN)

Backup naar offsite locatie (Cloud, uitwijklocatie)

FYSIEKE IT INFRASTRUCTUUR

REDUNDANCY & RECOVERY

MANAGEMENT & SECURITY

Applicatie, communicatie en informatie infrastructuur

INTEGRATIE

Desktops

VIRTUELE IT INFRASTRUCTUUR

Gebruikersomgeving

GEBRUIKERS & WERKPLEKKEN

Firewall

Storage Array Unit

U kunt ervoor kiezen Prodware te laten assisteren bij het bouwen of aanpassen van uw ICTinfrastructuur en/of voor u te beheren. Prodware levert bewezen oplossingen en diensten voor alle onderdelen. Wij bieden ICT-infrastructuren op twee manieren aan: op uw locatie of gehost vanuit het moderne Prodware datacenter. Kiest u voor Prodware als uw partner voor ICT-infrastructuren, dan kiest u voor een bewezen standaard aanpak, zonder dat we daarbij de unieke wensen, eisen en eigenschappen van uw organisatie uit het oog verliezen. U kunt bij Prodware terecht van advies tot het daadwerkelijk inrichten en beheren van uw ICTinfrastructuur.

WHITEPAPER ICT-INFRASTRUCTUUR

03

Fysieke ICT-infrastructuur Het bouwen van een ICT-infrastructuur is geen doel op zich. Echter is het wel een onmisbaar technologisch middel waarmee vele aspecten zijn gemoeid. Dit betekent dat het ontwerpen ervan zorgvuldig dient te gebeuren. Een moderne infrastructuur bestaat uit fysieke hostservers en netwerken storagecomponenten. Even afgezien van waar deze spullen staan en wie er de eigenaar van is, bestaat er geen enkele functionele ICT-component (applicatie, bestand) welke uiteindelijk kan functioneren zonder deze fysieke onderlaag. Zeer grof gesteld heeft de fysieke onderlaag de opdracht om voldoende resources en connectiviteit te bieden aan de functionele bovenlaag. Er moet dus voldoende processorkracht, geheugen en opslagcapaciteit aanwezig zijn en alle onderdelen moeten met elkaar kunnen communiceren. Dit kan in de praktijk complex zijn waardoor er expertise nodig is om een kosten efficiënte, performante en beheersbare fysieke ICT-onderlaag te ontwerpen. Om deze reden kiezen organisaties ervoor om het eigenaarschap en beheer van de fysieke componenten aan specialistische partijen uit te besteden en ze af te nemen als een dienst: Infrastructure as a Service, oftewel IaaS. Deze aanpak is niet voor iedere organisatie de beste aanpak. Sommige organisaties investeren liever zelf in hardware en zoeken hiervoor naar de juiste expertise om een hardware aanschaf- of vervangingsproject uit te voeren. Het is dus zaak om op basis van de juiste argumenten en uitgangspunten de juiste keuze te maken. Technologische ontwikkelingen zorgen voor een steeds betere samenwerking en integratie van de verschillende hardwarecomponenten. In deze zogenaamde Integrated Systems werken de servers, storage- en netwerkcomponenten efficiënt en intelligent met elkaar samen. Dit resulteert in veel minder kosten voor opbouw, integratie en beheer. In hoofdlijnen bestaan hiervoor de volgende deployment modellen: ›› 19 inch racks met daarin losse 19” serverhardware, storage en netwerkapparatuur; ›› 19 inch racks met daarin een Bladechassis met blade server nodes, geïntegreerde netwerkapparatuur. Storage systemen worden meestal los gedeployed; ›› Volledige Integrated systemen, met daarin een fysieke en intelligente koppeling tussen compute nodes, netwerk nodes en storage nodes.


04

Virtuele ICT-infrastructuur In moderne ICT-infrastructuren is virtualisatie niet meer weg te denken. Deze technologie heeft zich inmiddels volledig bewezen. De beloofde voordelen zoals minder kosten voor hardware en stroomverbruik, efficiënter beheer en een verhoogde beschikbaarheid zijn zonder meer waar te maken. Met de voortgang in techniek is het bovendien reëel om te stellen dat er nog maar weinig workloads zijn die niet voor virtualisatie in aanmerking komen. Individuele virtuele servers kunnen nu zoveel resources toegewezen krijgen dat zelfs zeer zware databaseloads, op basis van de juiste sizing, virtueel zijn af te handelen. Virtualisatie biedt zonder nadelen de mogelijkheid om servers in te richten op basis van hun specifieke rol. Het is niet meer nodig om rollen te combineren om op hardware kosten te besparen. Hiermee wordt voorkomen dat verschillende serverapplicaties elkaar in de weg zitten, of dat er aanpassingen moeten worden gemaakt omdat er meerdere server OS versies nodig zijn. Dit betekent dat met behulp van server virtualisatie dus een optimale infrastructuur kan worden ingericht, waarin op een flexibele en schaalbare wijze de benodigde componenten snel kunnen worden uitgerold. Ook maakt het migraties flexibeler omdat oude server workloads (tijdelijk) kunnen worden gevirtualiseerd. Bovendien hebben veel software fabrikanten zoals Microsoft hun licentiemodellen aangepast op het gebruik van virtuele servers, waardoor interessante mogelijkheden zijn ontstaan.

De juiste hypervisor Vaak toegepaste software voor virtualisatie is Microsoft Hyper-V en VMware ESXi. De volgende aspecten zijn belangrijk om een goede keuze te maken voor de juiste variant: ›› Welk configuratie maximum is gekoppeld aan de software versie. (Er zijn bijvoorbeeld varianten waarbij niet meer dan 3 fysieke hosts mogen worden ingezet) en passen deze nu, maar ook in de groeiprognose voor de komende jaren? ›› Welke functionaliteiten zijn vereist in de architectuur en biedt de hypervisor deze? ›› Hoe eenvoudig kan ik upgraden, downgraden of uitbreiden? ›› Welke voorzieningen voor verhoogde beschikbaarheid zijn vereist? ›› Wordt aanwezige of aan te kopen hardware ondersteund (HCL, Hardware Compatibility List)? ›› Wat zijn de kosten van de hypervisor licentie? ›› Wat zijn de kosten van software support en onderhoud?


05

Gebruikers en werkplekken Het hebben of bouwen van een goede ICT-infrastructuur is geen doel op zich. Het gaat erom dat een ICT-infrastructuur de basis legt voor een optimale ondersteuning van uw bedrijfsprocessen. En dat uw medewerkers de geboden technologie eenvoudig en efficiënt kunnen gebruiken. Het is dan ook van groot belang dat de wensen en eisen van uw organisatie en medewerkers ondersteund worden, zeker als het gaat om de functionele en technische inrichting van een ICT-werkplek. Gebruikers verwachten vandaag de dag hun eigen apparatuur ook zakelijk te kunnen gebruiken, of andersom. In beide gevallen mag dit nooit ten koste gaan van productiviteit, beheersbaarheid en veiligheid. Ook willen gebruikers dat ze onafhankelijk van plaats en device toegang kunnen krijgen tot data en applicaties. Dit is voor organisaties allereerst natuurlijk geweldig, de medewerkers worden namelijk veel productiever. U moet echter wel nadenken over de consequenties en daarop het beleid uitstippelen. Een voorbeeld hiervan is dat een medewerker gevoelige financiële informatie wel mag opvragen vanuit kantoor, maar niet vanuit de trein. Ontwikkelingen zoals social media en een sterke groei van mobiliteit betekenen een enorme stijging van het aantal devices die een verbinding maken met uw ICT-infrastructuur. Dit kan op allerlei vlakken consequenties hebben, zoals extra benodigde licenties, een tekort aan bandbreedte, overbelasting van wireless netwerken en veiligheidsrisico’s. Het invullen van alle wensen en eisen van een organisatie en haar gebruikers mag natuurlijk niet leiden tot een veel te kostbare of ingewikkelde omgeving. Het gaat er dus om een goede balans te vinden in een aanpak die voor u op maat is. Vanuit de hieronder genoemde aspecten kunt u afleiden welke aanpak het beste bij uw werkplek en applicatiedistributie past.

Gebruikers Welke type gebruikers zijn er: ›› De task worker met een zeer specifieke taak, die beperkte functionaliteit nodig heeft; ›› De medewerker met een vaste of flexibele werkplek op kantoor; ›› De mobiele werker of thuisgebruiker, die altijd en overal toegang nodig heeft; ›› De medewerker die langdurig werkzaam is bij klanten of andere locaties buiten kantoor, maar wel toegang nodig heeft; ›› Gastgebruikers, zoals ketenpartners.


06

Wat heeft een gebruiker nodig op de werkplek: ›› De juiste applicaties om productief te zijn; ›› Een Operating System (OS); ›› Personalisatie (gebruiker settings) van de omgeving zodat de gebruiker prettig en efficiënt kan werken; ›› Een optimale samenwerking tussen hardware, software en randapparatuur.

Werkplekken en applicaties Er zijn verschillende mogelijkheden voor de aanpak en inrichting van een werkplek, ieder met eigen kenmerken en voordelen. Hieronder wordt een overzicht gegeven van enkele mogelijkheden. Het gaat hierbij niet alleen om het werkplek device zelf, maar juist om de distributie van applicaties en operating systemen. In de praktijk zullen veel organisaties een mix toepassen, zodat verschillende voordelen te behalen zijn in één omgeving.

Fat clients Binnen dit concept wordt gebruik gemaakt van devices waarop het operating systeem, applicaties en gebruikersinstellingen worden geïnstalleerd. De applicaties worden vervolgens uitgevoerd vanaf het device zelf. Via het netwerk maken de fat clients gebruik van beschikbare services in de backoffice (o.a. file-, print- en mailservices). De algemene kenmerken binnen dit concept: ›› Veel processorkracht en grafische/video rekenkracht op werkplek; ›› Ondersteuning en connectie van randapparatuur is zeer divers en breed; ›› Gebruiker heeft de mogelijkheid applicaties te installeren, instellingen aan te passen en gegevens lokaal op te slaan. De gebruiker heeft hiermee een eigen, ongedeelde, werkplek ervaring. Eventuele beperkingen hierop dienen additioneel te worden ingesteld; ›› Gebruiker heeft de mogelijkheid fysieke randapparatuur (bijv. USB) te koppelen, ofwel CD’s en DVD’s te gebruiken. Eventuele beperkingen hierop dienen additioneel te worden ingesteld; ›› Grotere fysieke footprint op de werkplek; ›› Draagbare variant mogelijk: notebook/laptop; ›› Applicaties zijn offline (geen verbinding netwerk of internet nodig) te gebruiken; ›› Verlies, diefstal of defect betekent een herinstallatie en een potentieel veiligheidsrisico; ›› Verschil in fysieke hardware betekent verschil in inrichten OS en mogelijk ook applicaties; ›› Door de “vervuiling” die door gebruik plaats kan vinden ontstaat risico tot stabiliteitsproblemen of performance degradatie.


07

Virtuele Desktop Infrastructuur (VDI) Binnen dit concept wordt een werkplek gevirtualiseerd. De virtuele desktop wordt centraal beschikbaar gesteld via virtualisatie serverhosts. Een eindgebruiker zal vanaf een (thin cliënt) device, een connectie maken naar zijn of haar (of een) gevirtualiseerde desktop. De algemene kenmerken binnen dit concept: ›› Efficiënt gebruik van resources door centralisatie op virtualisatie hosts; ›› Geen rekenkracht vereist op client device; ›› Meer resources vereist aan de centrale server kant; ›› Minder grafische/video rekenkracht beschikbaar; ›› Een gebruiker kan een ongedeelde desktop ervaring worden geboden, vergelijkbaar met een fat-client. Anderzijds biedt het concept de mogelijkheid standaard desktops aan te bieden waarvan meerdere gebruikers gebruik maken; ›› Gecentraliseerd beheer van de virtuele desktops images; ›› Gebruiker heeft beperkte mogelijkheid fysieke randapparatuur (bijv. USB) te koppelen, ofwel CD’s en DVD’s te gebruiken; ›› De desktop bestanden (dus configuraties) staan centraal beschikbaar op de storageomgeving; ›› Omdat de desktop een bestand is geworden (virtuele machines en/of images), biedt het een organisatie de mogelijkheid tot efficiëntere omgang met zo’n desktop (aanschaf, uitrol, uitfasering, beveiliging, beheer en backup); ›› Virtualisatie maakt de werkplek onafhankelijk van hardware. Images van desktops zijn daardoor breed inzetbaar en niet gekoppeld aan een specifiek desktop model; ›› Flexibiliteit en diversiteit in OS keuze; ›› Actieve netwerkconnectie met centrale servers (nagenoeg altijd) vereist; ›› Centraal en efficiënter beheer m.b.t. desktop images, updates en patches; ›› Oplossing maakt gebruik van een centrale storage voorziening; ›› Keuze in desktop devices: fat client, thin client; ›› Concept biedt mogelijkheid een “eigen” desktop beschikbaar te stellen onafhankelijk van de locatie waar de medewerker zich bevindt.

Server Based Computing In dit concept, soms ook Hosted Shared Desktop genoemd, is er een fysieke scheiding gemaakt tussen de locatie waar de gebruiker zich bevindt en de locatie waar applicaties uitgevoerd worden. De gebruiker heeft door middel van een muis en een beeldscherm interactie met de centrale serveromgeving op afstand.


08

De algemene kenmerken binnen dit concept: ›› Efficiënt gebruik van resources door centralisatie op Remote Desktop Servers.Terminal Servers); ›› Geen rekenkracht nodig op client device; ›› Meer resources vereist aan de centrale server kant; ›› Standaard minder grafische/video rekenkracht beschikbaar; ›› Gebruiker heeft beperkte mogelijkheid fysieke randapparatuur (bijv. USB) te koppelen; ›› Gebruik van streaming audio / video ontwikkelt zich nog steeds (maar is meestal nog niet 100 % gelijk aan fatclient-technieken; ›› Actieve netwerkconnectie met centrale servers vereist; ›› Centraal en efficiënt beheer m.b.t. RDS servers, updates en patches; ›› Oplossing kan gebruik maken van een centrale storage voorziening; ›› Keuze in (desktop)devices: fat client, thin client, smartphone; ›› Concept biedt toegang tot benodigde functionaliteit onafhankelijk van de locatie waar de medewerker zich bevindt; ›› Applicaties moeten geschikt zijn om te kunnen draaien in multi-user (shared) omgeving; ›› Minimale bandbreedte per gebruikerssessie nodig, waardoor ook draadloos werken (d.m.v. UMTS/HSDPA) tot de mogelijkheden behoort.

Mobile Devices Het gebruik van mobiele devices neemt enorm toe. Hoewel deze in de meeste gevallen nog geen vervanger van de bestaande werkplek apparatuur zijn, worden mobiele devices zoals smartphones en tablets steeds vaker zakelijk gebruikt. De meest bekende voorbeelden zijn natuurlijk de integratie vanuit een mobiel device met mail en agenda systemen.

Applicatie- en Desktop Delivery Onderdeel van elk genoemd concept is de manier waarop applicaties en de desktop beschikbaar gemaakt worden. Strikt gezien zijn applicatie- en desktop delivery mechanismen los te koppelen van het onderliggende desktop device concept. Wel is het zo dat keuzes elkaar wederzijds zullen beïnvloeden. Feitelijk kunnen applicatie- en desktop delivery in twee punten worden samengevat (gemixte mechanismes zijn mogelijk, maar ook verfijningen per mechanisme): 1.

Installeren (op een fat client, virtuele desktop of terminal/citrix server laag);

2. Streamen (applicatie of applicatiewijzigingen streamen naar een (virtuele) desktop of RDS/Citrix server op het moment dat dit nodig is, ondemand).


09

Algemene kenmerken van installeren: ›› Creëert vaste footprint (op een fat client, virtuele desktop of terminal/citrix server laag); ›› Applicatie is afhankelijk van het onderliggend OS; ›› In geval van veel applicaties (bijv. bij Gemeenten) worden applicaties nooit op alle werkplekken geïnstalleerd i.v.m. conflicten, licenties, verstoringen en performance.

Algemene kenmerken van streamen: ›› Flexibiliteit; ›› Iedere keer een schone nieuwe OS omgeving of applicatie; ›› Een mix tussen fat clients, SBC en VDI is mogelijk. Applicaties die gekoppeld zijn aan specifieke devices (bijv. i.v.m. randapparatuur) kunnen alsnog geïnstalleerd worden of alleen gestreamed worden naar die specifieke werkplekken; ›› Kleinere footprint applicaties doordat alleen noodzakelijke componenten worden gestreamed; ›› Geen blijvende footprint, alles kan volledig verwijderd worden; ›› Onderkennen en testen van onderlinge applicatieafhankelijkheid is noodzakelijk.

Belangrijke opmerkingen en overwegingen: ›› Niet iedere applicatie kan werken in een server based computing omgeving. Die applicaties moeten dan op een andere manier beschikbaar gemaakt worden (mogelijkheden: installeren of streamen op fat/virtuele cliënt). ›› Applicaties die een afhankelijkheid hebben van andere applicaties (soms zichtbaar, soms onzichtbaar) dienen bij streamen wel “samen” te werken om de volledige functionaliteit te kunnen gebruiken.


10

Redundancy en Recovery Algemeen is business continuïteit te definiëren als de set van maatregelen en acties die een organisatie heeft ingeregeld om de primaire en dus vitale processen onverstoord doorgang te laten vinden. Dat business continuïteit een zeer breed begrip is wordt duidelijk als we de lagen aanduiden waar business continuïteit een impact heeft: ›› Strategie; ›› Organisatie; ›› Processen; ›› Data en applicaties; ›› Technologie; ›› Facilities/Security.

Hieronder wordt beschreven hoe data & applicaties, technologie & (ICT) security verhoogd beschikbaar kunnen worden gemaakt en welke voorzieningen er zijn om na een verstoring weer binnen een daarvoor gestelde tijd (voldoende) operationeel te zijn.

Wat is de business case? Een ICT-infrastructuur dient idealiter altijd beschikbaar te zijn. In de praktijk is honderd procent beschikbaarheid lastig te realiseren, zonder hiervoor significante investeringen te moeten doen. Waar het dus om gaat is dat een organisatie zich bewust is van de mate van beschikbaarheid en continuïteit van hun ICT-voorzieningen en ICT-processen. En daarnaast bekend is met de risico’s en consequenties voor de organisatie zodra deze voorzieningen of processen (gedeeltelijk) uitvallen. Hier worden termen als RTO en RPO gedefinieerd, waarmee een organisatie bepaalt hoe lang een bedrijfskritiek systeem of proces niet beschikbaar mag zijn en hoe oud de data en informatie maximaal mag zijn. Met deze informatie kan een organisatie bepalen welke extra voorzieningen benodigd zijn om vervolgens de business case op te stellen die de investering in extra ICT-middelen en processen rechtvaardigt.

Voorzieningen voor verhoogde beschikbaarheid Er zijn meerdere voorzieningen in te zetten om de beschikbaarheid van data, applicaties en technologie te verhogen. Hierna worden een aantal voorbeelden gegeven.


11

Technologie De afhankelijkheid van onderliggende technologie binnen de ICT-infrastructuur (servers, networking en storage) kan op verschillende manieren worden aangepakt: ›› Redundantie van hardware componenten. Door het toepassen van redundante componenten in hardware worden single points of failure voorkomen; ›› Redundantie in communicatieverbindingen; ›› Redundantie in stroomtoevoer; ›› Redundantie m.b.t. fysieke locatie, door het inrichten van systeemcomponenten op een uitwijklocatie.

Applicatie en Data De beschikbaarheid van data en applicaties kunnen als volgt worden verhoogd: ›› Het maken van periodieke back-ups/snapshots. Hoe frequenter een back-up wordt gemaakt, hoe jonger de data is waarmee, na een restore, kan worden verder gewerkt; ›› Data replicatie. Door data continu (of op basis van een vooraf bepaalde frequentie) te repliceren blijft deze data verhoogd beschikbaar vanaf de locatie waarheen is gerepliceerd; ›› Inrichten van “cold standby” systemen. Door het vooraf functioneel inrichten van een passief systeem en ervoor te zorgen dat dit passieve systeem over recente data beschikt, wordt downtijd sterk verkort; ›› Inrichten van een actief uitwijksysteem verkort nog verder de downtijd omdat functies zelfs realtime kunnen worden overgenomen door een goed ingericht actief failover systeem.

Elke voorziening die de RTO en RPO tijden verkorten vragen extra investeringen. In de vorm van de aanschaf van hardware, software en communicatieverbindingen of in het opstellen van processen en beschrijven van handelingen die moeten worden uitgevoerd om doelstellingen te behalen.


12

Security De daadwerkelijke inrichting van de beveiliging van de ICT-infrastructuur dient een afgeleide te zijn van het beveiligingsbeleid van een organisatie. In dit document wordt ingegaan op de inrichting van de beveiliging van de ICT-infrastructuur. Hiervoor kan vanuit vier lagen worden gedacht: ›› Laag-1: Toegang beveiliging; ›› Laag-2: Server en Operating System beveiliging; ›› Laag-3: Host beveiliging; ›› Laag-4: Data beveiliging.

Laag-1: Toegang beveiliging Deze laag kan worden gezien als de vier wanden en het dak van een huis. De beveiliging hiervan wordt verzorgd door de inzet van firewalls, routers en proxy servers. Uit onderzoek blijkt dat 7080% van de aanvallen intern zijn, dat wil zeggen vanuit het interne netwerk van de organisatie. Het zorgen voor beveiliging van het huis, dus voorkomen dat onbevoegden toegang krijgen tot het interne netwerk is dan ook de eerste verdedigingslinie. Echter alleen deze beveiliging is niet voldoende om de ICT-infrastructuur en waardevolle informatie te beschermen.

Laag-2: Server en besturingssysteem beveiliging Deze laag verzorgt in het interne netwerk de bescherming van het besturingssysteem en de aanwezige servers. Het verkeer op het interne netwerk wordt geregeld op basis van de behoeften van de organisatie en de toepassingen die uitgevoerd worden op verschillende aanwezige servers. Met andere woorden; gebruikers krijgen enkel toegang tot die systemen, applicaties of data, waartoe men rechten heeft gekregen. Dit is ingesteld in het besturingssysteem en de netwerk laag van de ICT-infrastructuur. Misbruik van privileges op het besturingssysteem of het netwerk kan potentieel gevaar opleveren voor de beveiliging. Gebruikers met toegang tot het onderliggende besturingssysteem kunnen de beschikbaarheid en de integriteit van de ICT-infrastructuur in gevaar brengen. Dit kan resulteren in zowel interne als externe bedreigingen. Het is dan ook van belang om op deze laag van beveiliging goed om te gaan met administrator wachtwoorden en duidelijke procedures voor het wijzigen van instellingen vast te leggen. Hiernaast is het van belang om beveiligingslekken in het besturingssysteem direct te dichten. Daarvoor worden door de fabrikanten van de besturingssystemen zogenaamde security-fixes of hotfixes gemaakt. Deze dienen door de ICT-afdeling adequaat te worden doorgevoerd om de beveiliging op deze laag in stand te houden.


13

Laag-3: Host beveiliging De eerste twee lagen zorgen voor de beveiliging van de toegang en het interne netwerk. De derde laag zorgt voor de beveiliging van de interne werkstations die aangesloten zijn op het netwerk. De beveiliging van de werkstations dient om twee redenen plaats te vinden: 1.

Bescherming tegen iemand die probeert van binnen het netwerk via de werkstations kwaad te doen;

2. Bescherming tegen iemand die probeert van buitenaf (via de firewall) gegevens van de werkstations te halen.

De belangrijkste zaken die de veiligheid van werkstations bevorderen zijn: ›› Formuleer een User Access-beleid en controleer de uitvoering daarvan; ›› Update regelmatig de patches en hotfixes voor het besturingssysteem van de werkstations en toepassingen; ›› Beperk de toegang tot netwerk bronnen enkel tot waar een gebruiker daadwerkelijk gebruik van dient te maken; ›› Zorg voor antivirus software en update deze regelmatig op alle werkstations; ›› Zorg voor een actieve firewall op alle werkstations die altijd up-to-date is; ›› Zorg ervoor dat zo weinig mogelijk data lokaal op werkstation komt te staan. Op deze manier wordt de data ook meegenomen in een centrale back-up; ›› Laat slechts één gebruiker inloggen op een werkstation; ›› Stel logging standaarden in voor werkstations.; ›› Zorg ervoor dat defecte of oude harde schijven gecrasht (leeggemaakt) worden voordat ze het pand verlaten.

Laag-4: Data beveiliging De vierde laag van beveiliging betreft de data beveiliging. Data beveiliging bestaat uit onderdelen zoals schijfpartitionering, bestandstoegang, en data-encryptie. Schijfpartitionering splitst de harde schijf in aparte entiteiten met elk eigen toegang controles. Bestandstoegang verzorgt de toestemming om afzonderlijke bestanden te openen en bewerken. Daarnaast zorgt dit voor de beveiliging van directories (folders) tegen ongeautoriseerd gebruik. Encryptie zorgt ervoor een bestand wordt gewijzigd middels een sleutel naar een onleesbare staat, die vervolgens alleen kan worden geopend en gewijzigd door degenen die de juiste sleutel hebben.


14

Management Voor de uitvoer van het beheer van een ICT-infrastructuur, wordt gebruik gemaakt van middelen (tooling), methoden (processen en werkvoorschriften) en mensen (beheermedewerkers).

Middelen Hardware en software onderdelen van een ICT-infrastructuur bevatten vaak standaard management modules. Deze worden ingezet voor het technisch beheren van de onderdelen in de ICT-infrastructuur en bijvoorbeeld het daadwerkelijk uitvoeren van wijzigingen daarop. Voorbeelden hiervan zijn de back-up management software, storage management software, virtualisatie management software en SBC management software. Een monitoring tool wordt aanvullend gebruikt voor het proactief constateren van afwijkingen in de ICT-infrastructuur, die aanleiding vormen om actie te ondernemen. Voor het registeren van service meldingen en opvolging daarvan wordt gebruik gemaakt van een service management pakket. Afhankelijk van de specifieke doelstellingen van een organisatie wordt invulling gegeven aan de benodigde middelen.

Methoden Om het beheer van een ICT-infrastructuur gestructureerd en efficiënt uit te voeren, is het raadzaam hiervoor beheerprocessen in te richten. Een veel gebruikte methode hiervoor is de ISM-methode. Dit is een sterk aan populariteit winnend servicegericht framework voor IT-beheer met een aansluitende implementatiemethode en support. ISM bevat het beste uit de praktijk van een groot aantal organisaties en is geheel compatibel met populaire referentiemodellen zoals ITIL, ASL en MOF. Deze referentiemodellen zijn op zichzelf niet implementeerbaar, maar met de ISM-methode zijn de gewenste richtlijnen uit die modellen overgenomen en kunnen in een organisatie worden ingevoerd. De combinatie van framework, implementatiemethode en support leidt tot snelle invoeringen en aantoonbaar succesvolle toepassingen. Het basis principe van de ISM-methode gaat uit van continu verbeteren, wat deze methode extra krachtig maakt. De methode voorziet hiervoor in kort cyclische stappen, waardoor resultaat op korte termijn gerealiseerd wordt. Het ISM-procesmodel bestaat uit de volgende zes hoofdprocessen: ›› Incident Management (IM); ›› Change Management (CHM); ›› Operations Management (OM); ›› Configuration Management (COM); ›› Service Level Management (SLM); ›› Quality Management (QM).


15

Deze processen vormen samen met de standaarddefinities en templates het hart van het ISMframework en de basis voor de uitvoer van gedegen ICT-beheer. Afhankelijk van de specifieke doelstellingen van een organisatie dienen beheerprocessen te worden geïmplementeerd.

Mensen Medewerkers van de beheerafdeling, welke direct bij de uitvoering van beheerdienstverlening betrokken zijn, dienen de kennis en vaardigheden te bezitten om het beheer te kunnen uitvoeren. Het is verstandig deze medewerkers diverse ICT-beheer trainingsprogramma’s te laten doorlopen. Daarnaast kan het voorkomen dat bij bepaalde beheerhandelingen gecertificeerde personen ingezet dienen te worden. Indien deze niet binnen een organisatie voorhanden zijn, dienen deze extern te worden ingehuurd. Dit kan in de vorm van ondersteuningsovereenkomsten met ICT-partners of door uitbesteding van het beheer. Voor gebruikers is het belangrijk om een helder eerste aanspreekpunt te hebben, in de vorm van een loket waar men vragen en problemen kwijt kan. Veelal wordt hiervoor een helpdesk ingezet die bemand is door eigen ICT-medewerkers of wordt dit aan een ICT-partner overgelaten. Afhankelijk van de specifieke doelstellingen van een organisatie wordt de bemensing van ICTbeheer ingevuld binnen de eigen organisatie of daarbuiten middels uitbesteding of inhuur van ICT-kennis.


16

Integratie Op de infrastructuur draait bij organisaties een diversiteit aan toepassingen. Deze toepassingen vormen samen het kloppende hart van een organisatie. Doordat de toepassingen afhankelijk van elkaar zijn, worden er gegevens met elkaar gedeeld. Applicaties aanpassen zodat de informatiestromen op elkaar aansluiten is in veel gevallen niet mogelijk. Zeker niet als er gebruik gemaakt wordt van Software as a Service (SaaS) applicaties. Deze applicaties worden gehost en de informatiestromen gaan via een vast gedefinieerde interface. Ook koppelingen met partners buiten de grenzen van een organisatie zijn moeilijk aan te passen aan de organisatiespecifieke voorkeuren. Het gaat dus over integratie van systemen binnen of buiten de organisaties met behulp van Enterprise Application Integration (EAI) en/of Enterprise Service Bus (ESB). MY ORGANIZATION Business Analysists

Customer XML

CRM

EDI, Flat File, etc.

Enterprise Service Bus

Supplier

Swift Industry Standards

ERP

Database

Financial

Logistics

Koppelingen tussen ICT-systemen kunnen op talloze manieren worden gerealiseerd. Een consistente aanpak – op basis van een Service Oriented Architectuur (SOA) – is daarom vereist. Hierbij dragen Web Services het nodige bij. Integratietools en -oplossingen zijn zeer nuttige hulpmiddelen om deze koppelingen op een efficiënte, consistente en servicegeoriënteerde manier te realiseren. Voor communicatie met partners (B2B) is meer flexibiliteit nodig. Gegevensuitwisseling tussen businesspartners heeft zijn eigen specifieke karakteristieken: een grote variëteit aan berichtformaten (van EDI tot XML) en uiteraard ook beveiliging. Een Enterprise Services Bus is daarvoor een prima bouwsteen. De ESB vormt dikwijls ook het fundament voor Business Proces engines. Uit de diversiteit van integratietools moet de juiste geselecteerd op basis van de gewenste koppelingen en de gewenste flexibiliteit. Veelal bestaan koppelingen uit een combinatie van deze functionaliteiten: transformaties, orchestraties, transacties, fire-and-forget, request-response. Afhankelijk welke functionaliteit nodig gewenst is, kunnen ook Webservices, Queues of een Windows Azure Service bus gebruikt worden. WHITEPAPER ICT-INFRASTRUCTUUR

17

Message Sender

Service Bus Namespace

Message Receiver

Queue

Service or Application

Web App Mobile App Service

Om integratie tussen ERP-systemen mogelijk te maken is het van belang dat ERP-systemen hun data beschikbaar stellen of kunnen exporteren. Microsoft Dynamics NAV en AX hebben standaardtools, zoals AIF en Commerce Gateway, om hun data via Webservices beschikbaar te maken. Als de integratie beperkt is of niet via gestandaardiseerde berichtformaten zoals EDI of HL7 hoeft, dan behoren Scribe en Connectivity Studio ook tot de mogelijkheden.


Whitepaper ICT-infrastructuur

Recommend Documents