eGC snadno a rychle Ing. Zdeněk Jiříček, Ing. Václav Koudele
Národní strategie cloud computingu
Podporujeme
Stát by měl mít cloud computing strategii!
Zdroj: Masarykova univerzita
Vhodná kombinace datových center státu a komerčních cloudových služeb. Nevymysleli jsme kolo…..
Samuelson, Mankiw, Nordhaus…
Kde existuje trh, nedeformujme trh dotovanými službami.
Dotovat speciální služby nebo tam kde neexistuje trh je adekvátní z hlediska výkonu správy a dozoru.
Jakou roli má soukromý sektor v eGovernment cloudu?
Stát může mít prospěch ze sdílených služeb, které již dnes využívá soukromý sektor
Inovace je poháněna trhem!
6 příkladů klesání cen v Azure • 1st February 2013 – Windows Azure SQL - snížení ceny o 82% • 5th December 2013 - Windows Azure Storage - snížení ceny o 28% • 24th January 2014 - Locally Redundant Disks/Page Blobs Storage snížení ceny o 28%. Současně i Azure Storage transactions snížení ceny o 50% • 31st March 2014 - compute snížení ceny o 35% a storage o 65% • 2nd Sept. 2015 – D series (výkonné virtuály) snížení ceny o 27% • 1st October 2015 – A8-11 (virtuály) snížení ceny o 60%
Georedundance a vysoká dostupnost
Multiplatformnost a přenositelnost
Přenositelnost ano, ale na které úrovni? Úroveň
Nástroje
3. SaaS (Aplikace)
Migrace dat, otevřené datové formáty Data: W3C (XML) / ISO 26300 (PDF) / ISO 29500 (ODF) / ISO 32000 (OXML) Databáze: přenos pomocí utilit (datové pumpy)
2. PaaS (OS+Middleware) Přenositelnost aplikací: rekompilace / rekonfigurace v jiném prostředí – Java, .NET, PHP, Python (podmínka: existence funkčních modulů)
1. IaaS (Hypervisor)
Minimálně Windows Server a Linux (RedHat, SUSE...) Server na instrukční sadě X86 / X64
0. Procesor
Binární kompatibilita pouze v rámci rodin procesorů – např. X86 / X64, PowerPC, SPARC
Integrováno v Microsoft Azure
Podporovaný ekosystém
Microsoft + Open Source
Hybridní cloudové modely, kategorizace dat, zabezpečení dat
Hybridní modely - Fáze 1: Azure Pack (on-premise) Scénář: Výstavba samoobslužného IaaS / PaaS ve státním cloudu
Samoobslužný portál a katalog pro multitenantní služby IaaS / PaaS, a billing API (společná administrace)
Hybridní modely - Fáze 2: Backup & Disaster Recovery Scénáře: • Záloha šifrovaných dat v cloudu • DR 2 státních datacenter • DR státního DC do MS Azure
• • • •
StorSimple: Inteligentní šifrované úložiště v cloudu Azure Azure Site Recovery: asynchronní replikace VM‘s DR mezi vlastními DC: v cloudu pouze metadata (orchestrace) DR v Azure: kompletní VM + replikace dat v Azure
Hybridní modely - Fáze 3: Azure Stack (postupně r. 2016) Scénáře: • Zvládání výkonových špiček ve státním cloudu (př. státní maturity) • Statistika, modelování, Open Data • IoT: Chytrá města, optimalizace dopravy • Služby vlastního DC v architektuře Azure cloudu • Integrace komerčního cloudu Azure: pružné navyšování kapacity • Jednotné prostředí pro vývoj, správu a údržbu
Hybridní scénáře pro email a tým. spolupráci nebo Exchange (hosted), SharePoint (hosted) ve státním cloudu
• SharePoint Site = datová entita • Cloud: SLA, verzování dokum., 1 TB osobní prostor • Zřídit sites ve státním nebo komerčním cloudu dle hodnocení aktiv
• Email box on-premise nebo v cloudu; lze lehce přesunout
• Email v cloudu má výhodnější TCO • Šifrování RMS nebo S/MIME • Důvěrné přílohy lze zadržovat ve státním cloudu
Možné umístění informací v hybridním cloudu dle jejich hodnocení
Informace přístupné pouze vymezenému okruhu pracovníků organizace nebo jiných příjemců (např. strategické informace, obchodně citlivé údaje, citlivé interní zprávy či reporty) Informace nepřístupné mimo organizaci, ale přístupné všem pracovníkům organizace (např. běžná interní komunikace, běžné zprávy či reporty)
Např. spisová služba
Informace přístupné mimo organizaci bez omezení
Graf převzat ze studie BDO IT a.s.: „Návrh modelu hybridního cloudu s využitím Office 365 a služeb privátního cloudu Microsoft“ (2016)
Příklad “cyber “ inovací v cloudu:
Exchange Online Advanced Threat Protection (ATP)
Bezpečné přílohy (email)
Bezpečné linky (email)
•
Sandboxing příloh a scan jejich chování
•
„Time of user click“ URL protection
•
Ochrana ještě než email skončí v Inboxu
•
Aktivuje URL přes dočasný proxy server (ten je v nebezpečí)
•
Proti zero-day útokům
•
Reputační databáze > 1 mil. URL linků
23
Ochrana virtuálních Ochrana emailu a dokumentů v Office 365 strojů • Advanced Threat Protection • Email: Safe Links • Email: Safe Attachments
• O365 Advanced Encryption • Šifrování s hlavním klíčem pod kontrolou zákazníka
• Cloud App Security (Adallom) • Auditní stopa činnosti uživatelů v cloudu • Kontrola podezřelých aktivit
červeně
• Azure Disk Encryption • Šifrování celých VM • Autentizace spuštění VM
• Antimalware for Azure • Umí strojové učení v reálném čase
• Azure Security Center • Dashboard, který sám upozorňuje na slabiny VM
Ochrana databází • Transparent Data Encryption • Šifrování s hlavním klíčem pod kontrolou zákazníka
• SQL „Always Encrypted“ • Šifrování vybraných sloupců pod úplnou kontrolou zákazníka
• SQL Threat Detection • Ochrana proti SQL injections
24
Bezpečnost Možnosti splnění požadavků vyhl. č. 316/2014 Sb (VoKB) •
pro všechny úrovně hodnocení aktiv (viz Příloha 1 vyhlášky)
•
nástroji Microsoft Azure a Office 365
•
studie jako podklad pro analýzu rizik a projekt zabezpečení dat
25
Zkušenosti ze zahraničí
26
Akreditace cloudových služeb v EU Španělsko National Security Framework dle Royal Decree No. 3 / 2010 Kategorie aktiv „Basic/Medium/High“
Povinné pro organizace zpracovávající Medium a High level data Microsoft Azure a O365: certifikace v 03/2016 na úroveň „High“
UK G-Cloud Dříve CESG Business Impact Levels (IL) 0-6
Nyní jen 4: Public/Official/Secret/TopSecret Akreditace = „Informed Business Decision“ Viz vysvětlení UK Cabinet Office Microsoft Azure a Office 365 již měly akreditaci CESG „IL 2“, nyní „Official“
27
ZJ
Zkušenosti ze zahraničí: UK, DK, SK, DE, AT, EE • Obecná pravidla v EU (kromě Slovenska): Státní podniky IT služeb převzaly odštěpením některá historická datová centra a dále je inovují v rámci vlastní nákladovosti Státní investice mimo nákladový model by byla považována za nepovolenou státní podporu
Pokud nabízí úřadům mimo vlastní rezort, je to na bázi volné soutěže
• Zjištěné výjimky Rakousko: služby státních DC dle zákona o IS kritické infrastruktury státu Dánsko: rozšířený status „Statens IT“ k realizaci legislativních změn v IT 7 ministerstvům, avšak tržní dopad ještě nejasný. Nemá formu zákona.
Slovenská republika • Dobře: silný politický mandát v oblasti IT strategie
• Špecifika: Investice €250m na 2 nová státní datová centra, 85% EU Strukt. fondy Záměr vybrat jednoho dodavatele aplikací s „flat licence“ na 5 let pro celou veřejnou správu Obdobný postup i v případě Datového centra obcí a měst (www.DCOM.sk) – vybrat jednoho dodavatele radničních aplikací
• Riziko nepovolené státní podpory v oblasti kde funguje trh • Otázka „lock-in“ veřejné správy po vypršení 5-leté licence • Otázka financování obměny HW a SW dat. center po 5 letech • Zafixování cen na 5 let, zatímco trh snižuje ceny nebo zvyšuje hodnotu
Cíle
Pilotní testy
Zajistit digitální kontinuitu eGov služeb i v případě kybernetického nebo fyzického útoku
Nejprve Backup, pak Disaster Recovery
Hostovat kritické služby eGovernmentu v důvěryhodných cloudech v zahraničí
Testy Nov-Dec 2014: překlopení www.president.ee a www.riigiteataja.ee (e-sbírka zákonů) do Microsoft Azure
Později celou páteř eGovernmentu:
Program vyhlášen r. 2014: Min. hospodářství a komunikací Gov CIO Taavi Kotka i-policy; Postimes.ee Video-architekt.; Video-prez. 30
Zapamatujme si • Konsolidace prostřednictvím cloudu je správný a nevyhnutelný směr • Umět využít výhody které přináší trh • Pro určité typy systémů by měl mít stát svá vlastní datové centra • Důležitá je srozumitelnost
SPCSS, NAKIT atd…
Děkujeme
[email protected] [email protected]
