KDYŽ POTŘEBUJETE MNOHEM VÍC, NEŽ JEN ANTIVIR NA DESKTOPU

ÛĉÌiÊÓä££

<* ÷ "-/Ê6Ê/ KDYŽ POTŘEBUJETE MNOHEM VÍC, NEŽ JEN ANTIVIR NA DESKTOPU

-1/ ÷ Ê -1* ,*"÷/÷"6Ê = <"Ê TESTOVACÍ DATACENTRUM HP

"1 Ê*,"Ê CLOUD COMPUTING PRO MALÉ A MINIATURNÍ FIRMY

" - xÓÊ

NOVINKY AKTUALITY Z PODNIKOVÉHO IT

È{Ê

NEJEN ANTIVIR TRENDY V BEZPEČNOSTI

ÇxÊ

LEO MÁ PLÁN NOVÁ STRATEGIE HP

x{Ê

ŠIFROVAČKA JAK FUNGUJE BITLOCKER

ÈxÊ

ÇÈÊ

IBM IMPACT 2011 NOVINKY Z KONFERENCE IBM

xÈÊ

POZOR NA INFRASTRUKTURU KRITICKÉ INFRASTRUKTURY

PROJÍT KONKURZEM CO BY MĚL UMĚT SMB FIREWALL KOMPLETNÍ OCHRANA 3D SECURITY

ÇnÊ

SUPERPOČÍTAČOVÉ ŽELEZO TESTOVACÍ DATACENTRUM HP

xnÊ

CERT/CSIRT BEZPEČNOST KOMUNIKAČNÍCH SÍTÍ PREVENTIVNÍ OČKOVÁNÍ DALŠÍ POHLED NA DLP

näÊ

KOMUNIKAČNÍ JEDNOTA UNIFIED COMMUNICATION

ÈÈÊ

ÈnÊ

ÈäÊ

ÈÓÊ

ARCHITEKTURA SECUREX ARCHITEKTURA A BEZPEČNOSTNÍ RÁMEC

NA DOBRÉ ADRESE SEND V IPV6

ÇäÊ

PŘES NĚJ NEPROJDEŠ ZABEZPEČENÁ KOMUNIKACE IPSEC

ÇÓÊ

DIGITÁLNA AGENDA V CLOUDU CLOUD PRE ŽIVNOSTNÍKOV

aktuality AreaGuard Neo ochrání lokální data

Alternetivo uvádí na český trh mikrovlnný spoj EtherHaul

Brněnská firma SODATSW po třech letech dokončila vývoj šifrovacího nástroje AreaGuard Neo, který právě uvádí na trh. AreaGuard Neo zajišťuje ochranu informací a dat na koncových stanicích ve více vrstvách. Kombinuje ochranu dat online transparentním šifrováním s omezením nežádoucího používání výměnných médií. Pomocí centrální vzdálené správy lze snadno chránit data na noteboocích, koncových stanicích uživatelů a zároveň účelně omezovat využívání výměnných zařízení uživateli. Celý systém pracuje s Active Directory a platformou Windows, takže není nutné vytvářet žádné další nadstavby. Více informací hledejte na sodatsw.cz/neo.

Společnost Alternetivo (dříve atlantis datacom) uvedla na tuzemský trh nový mikrovlnný spoj EtherHaul od izraelské firmy Siklu. Zařízení pracuje v pásmu milimetrových vln 71–76 GHz a nabízí přenosové rychlosti v rozsahu 100 až 500 Mb/s. Je zde integrovaný ethernetový switch, SFP sloty a je možné nastavit asymetrický přenos a výrobce uvádí maximální spolehlivost minimálně do vzdálenosti 1,5 km. EtherHaul

VMware kupuje nástroj SlideRocket Virtualizační gigant VMware oznámil akvizici společnosti SlideRocket, která provozuje stejnojmenný nástroj pro tvorbu, správu a řízení prezentací v cloudu. VMware tak prakticky získává webovou aplikaci, kterou je nyní možné nasadit například do katalogu poskytovaných aplikací z cloudu. Akvizice, jejíž finanční podrobnosti nebyly zveřejněny, na první pohled nezapadá do hlavního proudu zaměření VMware. Firma v rámci SaaS aplikací nabízela spíše platformu a možnost aplikace provozovat, nenabízela však přímo vlastní služby. Je tedy dost možné, že se firma tímto odkupem posouvá zase někam dále.

chce konkurovat především mikrovlnným spojům v pásmech 10–26 GHz. Doporučená maloobchodní cena startuje pod 100 tisíci korunami.

HP slaví 20 let v České republice Společnost HewlettPackard v těchto dnech slaví 20 let od svého nástupu na tuzemský trh. Oficiální zastoupení slavné americké firmy funguje v České republice od roku 1991. V 90. letech HP zákazníkům nabízelo především spotřební elektroniku

a později přišlo na trh také se servery a dalšími službami. HP dnes patří mezi největší tuzemské IT zaměstnavatele a patří k nejvýznamnějším tuzemským (a celosvětovým) IT dodavatelům a mimo jiné provozuje také značkovou prodejnu. Českou pobočku v současné době řídí Jan Kameníček.

Red Hat bude v Brně nabírat další zaměstnance Brněnský Red Hat hodlá v brzké době otevřít další pracovní pozice pro schopné vývojáře. V únoru tohoto roku počet zaměstnanců ambiciózní pobočky přesáhl hranici 300, firma tak překonala původní odhady a plány. Red Hat se chce poohlížet především po mladých absolventech brněnských technických škol, zejména po lidech z Masarykovy univerzity a VUT. Red Hat v České republice působí od roku 2004, vývojové centrum v Brně funguje od roku 2006. Brno má přitom pro Red Hat

v globálním měřítku jednu z nejdůležitějších rolí.

Jednou větou

52

Connect! květen 2011

ALC odstartovalo roadshow nového produktu ALVAO Service Desk, který rozšiřuje portfolio firmy o produkt pro enterprise řešení

Brněnská firma Kentico, která vyvíjí systém Kentico CMS, otevřela nové pobočky ve Velké Británii a v USA

Novell dokončil akvizici společnosti Attachmate Corporation v hodnotě 6,10 dolaru za akcii. Firma zároveň odprodala některé patenty v hodnotě 450 milionů dolarů

Zástupci firem Safetica Technologies a AdvaICT se vrátili z tříměsíčního pobytu v Silicon Valley v rámci programu CzechInvest. Rozhovor s nimi naleznete na video.zive.cz

Lotus Symposium 2011 začátkem června Tradiční akce Lotus Symposium pořádaná společností IBM se letos uskuteční 2. června v hotelu Andel´s v Praze. IBM zde hodlá předvést nejžhavější novinky ve svých produktech IBM Lotus a nabídne různá řešení pro týmovou spolupráci a komunikaci. Akce je určena pro již stávající uživatele IBM produktů, potenciální nové zájemce o řešení IBM, ředitele, IT ředitele, manažery a odborníky a vývojáře aplikací a správce systémů. Celá akce je přístupná zdarma, stačí, když se včas zaregistrujete na webových stránkách na adrese ibm. com/cz/events/symposium2011, kde také naleznete podrobnější informace a program. Mediálním partnerem akce je časopis Connect, můžete se proto těšit na podrobnější článek v některém z následujících vydání.

Cisco otevřelo datacentrum se solárními kolektory

Síťový a komunikační gigant otevřel v Allenu v americkém státě Texas nové datové centrum, které má patřit k těm nejvíce

ekologickým na světě. V rámci infrastruktury jsou logicky použity komponenty a prvky z portfolia společnosti, například síťové systémy a nástroje pro ukládání dat. Nové datacentrum využívá namísto baterií jako zdroj napětí rotační setrvačníky, které jsou v případě nutnosti nahrazeny dieselovými agregátory. Střecha centra je pokryta solárními kolektory, které dokáží generovat 100 kW pro kanceláře. K zavlažování okolních rostlin je využívaná laguna zachycující dešťovou vodu.

INZERCE A111005524

SR108 SILENT !

0 WX g$ X?`p X^ X?$ 07 : ;< ?%: =o%: " " ? $ E?:) $@ $% * :% $ $) "= $ " $=&%

& $ " 7 $> > > X "q: 7 ? 7l $? " w y $$ ?%:=o%:" :o% $= @E?:z%#?E : #% X^X?$ $ J"""#$%&'()*+,-..#012),59:01

Windows 7 nyní s certifikací EAL4+ (;-<=%&>?@%&'(),-..G | } $* @7 7 W >7 (:#

| g??% ? %& %l Made in Germany!

,

| } * $&" $@7 $ $ %

N, - U N )$

,<

+?

)\-<( 59[ Z<

| Z &7:\7 ?

JK

Systémy Windows 7 a Windows Server 2008 R2 získaly certifikaci Common Criteria Evaluation Assurance Level 4 (EAL4+). Jedná se o mezinárodní certifikaci softwarových produktů týkající se bezpečnosti (ISO/IEC 15408). Produkty, které mají tuto certifikaci, splňují veškeré atributy týkající se procesu specifikace, implementace a vyhodnocení bezpečnostních požadavků, které deklarují. Některé země a instituce splnění těchto certifikací vyžadují pro nasazení v rámci svého IT. Windows 7 a Windows Server 2008 R2 jsou tak nyní plně připraveny pro případné nasazení.

N J

| { > ? %" $

(0

| ( $ $ $ @ :" $

. V & X Y - > .

OD CZK

15.217,-

{ > ? ) o ? %" ${ @"&?# www.thomas-krenn.cz

CZ: 840 505 555 · EU: +49 (0) 8551 9150-0

! " #$%& '( &% ) *&07 : ;< :=>7 "?# @

" ? %#%E?# @ &)%#?7$$"JQQWWW$7 : #Q "0? @#7& :##7 & % 7 07 : ;<)X"$& #7X$?Y# ) Z[\]^_`g$)g$h ` )g$ )g$g ?)g$g ?h ` )j j g ? #7 @: " l $?g$ " $? X; o%#7:%#7


53

téma

.,"6÷ Co umí a jak funguje BitLocker BitLocker je standardní součástí vyšších edicí operačního systému Windows Vista a 7, a není tak nutné investovat do nástrojů třetích stran v případě, že potřebujete šifrovat data. Zároveň není nutné budovat složitou správu v rámci organizace pro šifrování pevných disků, datových disků a vyměnitelných médií.

AUTOR

V

54

dnešní době, kdy cena notebooku je velmi nízká, software je zakoupený a může být instalován na podnikové počítače i v případě jeho ztráty, jsou tím nejcennějším data. Pokud se podíváte na situaci, kdy dojde k odcizení počítače, pak notebook koupíte nový, software je obnoven z firemního image, ale o co přicházíPoužití kombinací zabezpečení BitLocker pro te, jsou data. V tom lepším případě systémové oddíly. Každý způsob je náchylný k máte zálohu a data můžete obnovit, něčemu jinému ale o tom šifrování není. Šifrování je o tom, aby se data nedostala do nepovolaných rukou. A nemusí se jednat ani o firemní data, ale například i o fotografie z rodinné dovolené či podobné informace, které mohou pomoci k identifikaci dané osoby a mohou být v horší variantě zneužity. Vedle šifrování dat na počítači je čím dál tím důležitější šifrovat data na externích úložištích dat, jako jsou Použití kombinací zabezpečení pro datový oddíl. USB flashdisky nebo externí pevné Výhody a nevýhody u každého způsobu jsou zřejmé disky. Ty velmi často obsahují právě citlivá data a o jejich ztrátě se v mnoha vatelů nechává prohlížeč „zapamatovat“ si přihlašovací jména do různých webových případech nikdo nedozví do té doby, než stránek, stejně tak jsou v systému uloženy se tato citlivá data někde objeví. To už ale bývá pozdě myslet na šifrování. Navíc zahashe síťových hesel, a pokud je počítač zapomenout flashdisk na schůzce nebo ho řazený do domény, pak potenciální útočník vytratit je vzhledem k jeho velikosti relazískává důvěryhodný počítač pro vedení tivně jednoduché. A vzhledem k jeho zaútoku proti organizaci. V případech, kdy nedbatelné ceně nikdo tyto ztráty nehlásí. je disk šifrovaný, se k těmto i systémovým Je proto dobré mít k dispozici řešení, které informacím není možné dostat. umožňuje šifrování dat jednoduchým způHavárie disku a jeho vyřazení sobem, který lze navíc vynutit pravidly přímo v operačním systému. Co provedete v případě, že vám havaruje disk? Obvykle je disk odevzdán do servisu Systémová data na opravu a uživatel předpokládá, že disk bude neopravitelně poškozený. Leckdy je Na chvíli zapomeňte na situaci, kdy máte na pevném disku nějaká data (což je teoale problém například v elektronice pevnérie). I v případě, že na disku nejsou data, ho disku a po její výměně má servis plný se kterými pracujete, velké množství užipřístup na váš havarovaný disk a může provést „bezpečnostní zálohu“ dat, o které koncový uživatel ani nemusí vědět – důvěOndřej Výšek řujete svému servisu? Pokud není servisní Senior Solution Architect, Microsoft, DELL Česká organizace prověřená, není možné jí důvěrepublika řovat. Pokud má uživatel data zašifrovaná,


pak dojde k opravě disku, ale servisní organizace má přístup k zašifrovaným datům, která jsou jí k ničemu – nemá klíče pro jejich odemčení. Podobná situace může nastat ve chvíli, kdy je počítač u konce své životnosti a „bude likvidován“. Některé organizace vlastní nákladná zařízení na ničení disků pomocí elektromagnetického pole či specializovaný software na bezpečné smazání disku. Opět, pokud je disk zašifrovaný, pak odemčení dat, když není znám PIN nebo heslo pro dešifrování, zůstává v teoretické rovině.

Encrypted File System (EFS) jako řešení? Již několik generací operační systémy Windows podporují šifrování jednotlivých souborů pomocí technologie EFS. Toto řešení by mohlo být alternativou pro BitLocker, nicméně není možné pomocí EFS šifrovat boot operačního systému. EFS je například vhodným řešením pro šifrování souborů, které se pohybují po síti mezi více uživateli.

Technický pohled na BitLocker Ještě předtím, než je provedeno rozhodnutí o nasazení šifrování pomocí BitLockeru, je důležité znát několik podstatných informací. Důležitým aspektem je například porovnání hardwarového a softwarového šifrování, kdy BitLocker coby zástupce softwarového šifrování nevyžaduje žádný specifický hardware, ale šifrování také spotřebovává systémové prostředky – nicméně pro běžného uživatele i za použití následné virtualizace můžeme hovořit o zpomalení systému v jednotkách procent. Další podstatnou výhodou technologie BitLockeru je fakt, že je obsažena již v operačním systému a není nutné budovat speciální systémy pro jeho správu. Při zvažování nasazení technologie BitLocker je nutné vzít v úvahu, že šifrované disky budou čitelné pouze v prostředí Windows a zapisovat na vyměnitelná média je možné pouze v rámci Windows 7. Další důležitou informací je způsob šifrování. BitLocker využívá v základní konfiguraci AES128 + Diffuser. Je možné použít i AES256 + Diffuser (využívají americké vládní organizace), případně tuto funkci vypnout. Diffuser je technologie, která náhodně rozmisťuje data na disku, a je tedy řešením proti útokům nazývaným „Pattern Search“, kde jsou vyhledávány stejné vzorky dat, podle kterých by bylo možné odhadnout klíč použitý pro dešifrování. Nejčastěji je BitLocker používaný ve spojení s TPM čipem, který slouží jako zabezpečené úložiště dešifrovacích klíčů a generátor dešifrovacích klíčů. Je také možné nasadit BitLocker bez TPM, kde

téma

dešifrovací klíče jsou uloženy například na USB tokenu (v podání BitLockeru se jedná o běžný USB flashdisk). Různé kombinace technologií zvyšují úroveň zabezpečení, ale také snižují úroveň jednoduchosti použití. Šifrování datových oddílů od systémových navíc přináší některé další metody ověření uživatele ve Windows 7. Datové oddíly je možné šifrovat například i pomocí smartkaret, je možné zajistit automatické odemykání datových svazků (v takovém případě je vyžadováno zašifrování systémového oddílu, aby nebyly kompromitovány klíče pro datový oddíl). Pro obnovení u datového oddílu je možné použít certifikát recovery agenta (OID 1.3.6.1.4.1.311.67.1.1).

Bootovací proces BitLocker umožňuje šifrování již v čase startu operačního systému. Pro start operačního systému (boot loader) je samozřejmě nutné mít část disku nešifrovanou, pro tyto účely se ve Windows 7 používá 100MB systémový oddíl (Vista 1,5GB), který je automaticky vytvořen při instalaci na prázdný disk (pokud vytvoříte oddíl ručně anebo oddíl již existuje, 100MB oddíl není vytvořen). Pokud pro práci s BitLockerem použijete TPM čip, pak při výrobě počítače výrobce TPM čipu vytváří „Endorsement Key“ (EK), který nikdy neopouští TPM čip. Tento klíč je RSA-2048bit a následně podepisuje veřejnou částí další klíče – struktura TPM na obrázku. Jakmile je povolen a inicializován TPM čip, jsou vygenerovány další klíče: Storage Root Key (SRK), podepsaný pomocí EK a uložený v TPM čipu (veřejná i privátní část) Volume Master Key (VMK), který je podepsaný pomocí SRK Full Volume Encryption Key (FVEK), podepsaný pomocí VMK. Tento klíč se následně používá pro šifrování disku. Klíče VMK a FVEK jsou uloženy na šifrované části disku s operačním systémem. Pokud se podíváme na uspořádání dat na disku, pak oproti Windows Vista došlo také ke změnám, kde došlo ke zvětšení bloků s vlastními daty, a především pak k navýšení počtu bloků s metadaty, která jsou důležitá pro ukládání CRC šifrovaných dat a při případné obnově havarovaného disku. Při přípravě počítačů je možné také vytvořit systémový oddíl o velikosti 300 MB, následně je do něj možné umístit i Windows Recovery Environment (WinRE), který umožňuje případnou opravu při pádu vlastního OS. Pokud nastartujete operační systém, tak ještě před zahájením startu vlastního OS jste dotázáni na potvrzení, že jste opráv-

něni tento OS spustit – ať je to zadáním PIN (může být alfanumerický), či vložením USB klíče.

Zašifrování disku bez přítomnosti TPM čipu Pro zajištění šifrování pevných disků není nutné mít přítomný TPM čip, který je používán pro generování klíčů a ukládání šifrovacích informací. Pokud tedy není TPM čip přítomen, je možné pro uložení dešifrovacího klíče využít vyměnitelné médium, jako je disketa či USB klíč. Pro povolení šifrování za pomoci vyměnitelného média je nutné modifikovat bezpečnostní politiku počítače, kde je nutné informovat operační systém, že TPM není vyžadován – konfigurace skupinové politiky (může být i lokální). Přejděte do Konfigurace počítače | Šablona pro správu | Součásti

Při obnovení je nutné zadat šifrovací klíč

BitLocker vás provede ověřením přístupu k počítači pomocí USB tokenu

systému Windows | Šifrování jednotky pomocí služby BitLocker | Požadovat při spuštění další ověřování a zvolte „Povolit nástroj BitLocker bez kompatibilního čipu TPM“. Následně je možné povolit šifrování systémového disku. Po dokončení průvodce dojde k restartu počítače a následně k zašifrování obsahu disku. V průběhu šifrování je možné běžně pracovat, nicméně pozor na snížený výkon diskového subsystému. Disk je také v průběhu šifrování plně alokován, takže je k dispozici pouze omezené množství volného prostoru. Jakmile je BitLocker povolen a na disku probíhá šifrování, je nutné při startu počítače provést ověření platnosti přístupu k počítači, a to zadáním PIN kódu, který je ve spojení s TPM čipem, případně za využití

USB tokenu, který byl vytvořen předchozím postupem. V případě, že dojde ke změně boot sekvence, tedy například k zásahu na disku, změně konfigurace některých nastavení BIOSu, případně si uživatel nepamatuje přístupový PIN, je možné pro obnovení použít hesla pro obnovu, jež se vytváří při šifrování disku. Toto heslo pro obnovu může být uloženo na disku, vytisknuto, případně uloženo k objektu počítače v rámci Active Directory.

Šifrování vyměnitelných médií V rámci technologie BitLocker je k dispozici také šifrování vyměnitelných médií, především tedy různých USB klíčů a disků, nicméně je možné šifrovat jakákoliv vyměnitelná mass storage média. Tato technologie se nazývá BitLocker ToGo. Pro zašifrování vyměnitelného média není nutné, aby uživatel vlastnil administrátorská oprávnění. Nastavení šifrování vyměnitelných médií může být stejně jako u pevných disků řízeno pomocí skupinových politik, kde je možné nastavení – vyměnitelné médium bude pouze pro čtení, dokud nebude zašifrováno. Takto lze zajistit, že data, která budou z počítače odnášena, budou na zašifrovaném médiu. BitLocker ToGo je možné také použít na operačních systémech, které BitLocker ToGo nepodporují – tedy například Windows Vista/XP. V takovém případě se při vložení vyměnitelného média do operačního systému spustí BitLocker ToGo Reader a data je možné přečíst (nikoliv zapsat – to je možné pouze na Windows 7, a to i v nižších edicích, edice Ultimate a Enterprise jsou vyžadovány při vytvoření šifrovaného svazku). Pokud se podíváte blíže na obsah vyměnitelného média, pak naleznete jeden velký soubor, který je de facto šifrovaným svazkem, a několik dalších souborů, včetně BitLocker ToGo Reader. Tato struktura je viditelná právě ve starších verzích Windows. Prostředí BitLocker je kompletně integrované do operačního systému Windows, a je tedy možná jednoduchá správa pomocí skupinových politik. Klíče pro obnovu je možné ukládat nejenom na koncových zařízeních, ale také k objektu počítače v rámci Active Directory. K dispozici je také celá řada nástrojů pro správu, příkladem může být nástroj příkazové řádky manage-bde.exe, celá řada poskytovatelů WMI, VBscript a v neposlední řadě také nový nástroj z rodiny produktů Microsoft Desktop Optimization Pack (MDOP) – Microsoft BitLocker Administration and Monitoring, jenž umožňuje centrální správu prostředí BitLocker.


55

téma

*"<",Ê Ê ,-/,1/1,1 V hledáčku počítačových zločinců je kritická infrastruktura Zájem počítačového organizovaného zločinu se v posledních letech stále více přesouvá k velkým, mnohdy nadnárodním firmám, mezi které patří i provozovatelé kritické civilní infrastruktury, jako jsou elektrorozvodné sítě nebo systémy pro rozvod a zpracování pitné vody, ropy či zemního plynu.

P

AUTOR

odle nedávného průzkumu společnosti McAfee se zhruba třetina velkých firem domnívá, že na kybernetický útok nejsou dostatečně připraveny. Dvě pětiny korporací přitom odhadují, že k masivnímu útoku dojde v průběhu následujícího roku. O tom, že nejde o plané obavy, svědčí fakt, že podobné rozsáhlé napadení již zaznamenalo 80 % firem. Čtvrtina podniků se stala obětí vydírání ze strany počítačových kriminálníků. Experti z McAfee zjistili, že přijímání bezpečnostních opatření v civilním průmyslu nestačí držet krok s nárůstem hrozeb, ke kterému došlo za poslední rok. O vážnosti

56

Rudolf Pleva nezávislý publicista, spolupracovník redakce


situace jsou ale zřejmě přesvědčení pouze firemní specialisté na IT bezpečnost. Zhruba 90–95 % ostatních zaměstnanců vnímá bezpečnost informačních systémů na jednom z posledních míst na žebříčku důležitosti. Rozvodné sítě a další kritická infrastruktura jsou přitom na počítačových sítích ve velké míře závislé. Tyto systémy se nejčastěji označují jako SCADA (supervisory control and data acquisitions, doslova „nadřazené řízení a sběr dat“). Pavel Hanko, McAfee Channel Territory Manager pro ČR a SR říká: „Vedle zranitelností a chyb je přitom mnohdy problematický i nevhodný návrh sítí. Relativně malý incident se pak může kaskádovitě šířit a nakonec vyřadit z provozu značnou část sítě. To může vést například k přerušení dodávek ropy nebo tzv. blackoutu v případě elektrorozvodných sítí.“

Nejčastější formou kybernetických útoků vůči provozovatelům kritické infrastruktury jsou podle Hanka útoky na dostupnost služby (DDoS, distributed denial of service). S těmito incidenty se setkaly čtyři z pěti firem a jejich počet stále roste. Ještě více, zhruba 85 % podniků, se již potýkalo se zavirovanou počítačovou sítí. Čtvrtina společností uvádí, že k takovým útokům dochází denně či týdně nebo jimi vyděrači aspoň vyhrožují.

Pořád ten Stuxnet Téměř polovina elektroenergetických firem a zhruba 40 % v ostatních odvětvích loni objevila ve svých systémech červ Stuxnet. Tento mimořádně ničivý kód loni mimo jiné zaútočil na řízení provozu obohacování uranu v Íránu. Na nový malware poprvé upozornila běloruská bezpečnostní firma VirusBlokAda v polovině června minulého roku. Velmi důmyslný červ se šířil například prostřednictvím USB klíčů a využíval zero-day zranitelnosti operačních systémů Windows, přičemž se útočníci zaměřili především na počítače, jejichž součástí jsou systémy SCADA. Jakmile se dostal do místní počítačové sítě, překonfiguroval software

téma

a změnil instrukce pro technické řízení. Nejúčinněji se výskyt Stuxnetu podařilo potlačit v Itálii, Japonsku a Spojených arabských emirátech, tento malware je dnes rozšířen naopak hlavně v Indii. Podíl firem, které se staly obětí vydírání hackery, se za poslední rok zvýšil o čtvrtinu na 25 %. V této oblasti existují velké regionální rozdíly. Mnohem častější je vydírání například v Indii nebo Mexiku, kde se s ním setkalo 60–80 % podniků. Hackeři přitom napadají všechna odvětví kritické infrastruktury zhruba stejnou intenzitou. „Útočníci mnohdy nevyhrožují planě, ale jsou schopni fungování kritické infrastruktury narušit. Předpokládá se, že za výpadky elektrorozvodných sítí v řadě zemí světa opravdu stály kybernetické útoky, ačkoliv z oficiálních míst to bývá jako příčina incidentů obvykle popíráno,“ uvedl ředitel SANS Institute Allan Paller. Právě vydírání je podle něj velikou, a přitom obvykle málo zmiňovanou oblastí kybernetické kriminality. Za rostoucím počtem útoků na strategické podniky souvisí zásadní přeměna na poli počítačového zločinu, ke které začalo docházet na začátku tisíciletí. Z kybernetické kriminality se stal výnosný byznys, ve kterém osamělé „geeky“ stále více nahrazují organizované skupiny s napojením na klasický organizovaný zločin. Dalším fenoménem jsou politicky motivované útoky a možná zainteresovanost některých vlád na vysoce sofistikovaných kybernetických incidentech. Po objevení Stuxnetu nebo dalšího cíleného útoku Hydraq začínají odborníci stále častěji hovořit o hrozbě kybernetické války. Zároveň se experti shodují v tom, že míra zabezpečení počítačových sítí, včetně těch kritických, je nedostatečná. Podle studie McAfee se oproti loňskému roku míra zabezpečení kritické infra-

struktury zvýšila jen velmi málo a k relativně největšímu zlepšení situace došlo jen u vodárenských firem a provozovatelů kanalizací. Příliš se nezlepšila ani příprava na nejvíc rozšířené hrozby, jako jsou DDoS útoky. Podle zjištění není na DDoS útoky připravena zhruba třetina firem s kritickou infrastrukturou. Jen částečnou přípravu, na které je ještě možné leccos zlepšit, přiznává 35 % IT manažerů. Podobné je to i u prevence proti skrytým infiltracím, na které je zcela nepřipraveno 32 % firem a pouze částečnou přípravu přiznává 38 % podniků.

Pozor na sofistikované útoky Firmy se při ochraně své infrastruktury často přednostně zaměřují na hrubé útoky, které se nijak nemaskují, namísto ochrany před sofistikovaným malwarem provádějícím nepozorovaně sabotáž. Pokroky v této oblasti jsou jen velmi pozvolné. Nástroje

odběru energií. Tato data navíc mohou neoprávněně modifikovat. Celosvětový trh s těmito sítěmi se v roce 2015 odhaduje na 45 miliard dolarů. Elektrorozvodné firmy a další provozovatelé infrastruktury by se podle doporučení McAfee měli zaměřit především na zlepšení mechanismů pro autentizaci uživatelů, například využitím biometrických identifikátorů namísto používání hesel. Dalším doporučením je zaměření se na šifrování dat a zároveň sledování neobvyklého dění v síti. Zvýšený dohled by měly firmy věnovat i novým přístupovým kanálům do sítí, jako je internet, mobilní zařízení či přenosná média, například USB klíče. K včasnému varování by pak mohlo pomoci efektivní partnerství firem s jednotlivými vládami. V zavádění bezpečnostních opatření zaostávají hlavně Brazílie, Mexiko a Francie, na opačném konci žebříčku se nacházejí

Firmy jsou často vydírány počítačovými hackery. Za poslední rok počet případů narostl o 25 % ke sledování činnosti sítí používá jen čtvrtina firem a podobné procento podniků se zabývá detekcí neobvyklého chování informačních systémů. Programy s cílem nenápadně rozvracet počítačové sítě se přitom objevují u tří čtvrtin podniků, komentuje dění Hanko. Vážná bezpečnostní rizika existují i ve vztahu k právě zaváděným inteligentním elektrorozvodným sítím, které umožňují například v reálném čase regulovat výrobu a spotřebu elektrické energie. Tyto tzv. „smart grids“ totiž zasahují až ke koncovým odběratelům, a do rukou hackerů se tak mohou dostat citlivá data o účtování nebo

Čína, Japonsko a Itálie. USA a Evropa jsou za asijskými zeměmi pozadu v míře zapojení vlád. V Číně a Japonsku probíhá s ohledem na zabezpečení kritické infrastruktury mezi komerčním sektorem a vládami řada formálních i neformálních kontaktů, naopak v USA, Velké Británii nebo Španělsku je takových interakcí minimum. V Číně musejí provozovatelé kritické infrastruktury procházet náročnými bezpečnostními audity. Ani vládní angažmá nebo mezinárodní spolupráce při potlačování stávajících kybernetických hrozeb však problém zcela nevyřeší a zločinci budou vždy o krok napřed. Jde o to, aby ten krok byl co nejmenší.


57

téma

,/É -,/Ê

Aby se tým mohl oficiálně nazývat týmem typu CERT/CSIRT, je potřeba, aby nabízel především službu řešení nebo koordinace řešení bezpečnostních incidentů v rámci definovaného pole působnosti, a tím naplnil slovo „response“ použité ve zkratkách CERT a CSIRT – reakce na bezpečnostní incident. Polem působnosti je obvykle myšlena oblast kyberprostoru, ve které je tým způsobilý konat a nad kterou má příslušné pravomoci a odpovědnosti definované zřizovatelem. Na základě deklarovaného pole působnosti je potom tým kontaktován např. napadenými a řeší problémy ve sféře svého vlivu. Pole působnosti týmu může být definováno jako konkrétní síť/sítě, autonomní systém(y), jmenná doména/domény.

Týmová práce pro zajištění bezpečnosti komunikačních sítí Problematiku bezpečnosti sítí a jejich služeb s důrazem na oblast řešení bezpečnostních incidentů řeší profesionální týmy CSIRT (Computer Security Incident Response Team), případně CERT (Computer Emergency Response Team).

U

AUTOR

plynulá dekáda znamenala překotný rozvoj internetu a také jeho masivní komercionalizaci. Zvýšil se počet služeb dostupných jeho prostřednictvím a především počet provozovaných kritických aplikací, a to jak ve sféře komerční (elektronické bankovnictví, elektronické obchody), tak ve sféře státní (systémy bezpečnostních složek, informační servis státní správy a samosprávy). S tím souvisí nejen zvyšující se počet bezpečnostních incidentů, ale i nárůst jejich závažnosti a negativního dopadu na chod firem a soukromý život uživatelů. Proto je nutné, aby na možnost narušení bezpečnosti sítě a služeb na ní provozovaných byli jejich správci a uživatelé připraveni a měli k dispozici funkční struktury, efektivní postupy, pravidla a technické prostředky vedoucí k co nejrychlejšímu odstranění problémů při minimalizaci škod. První CERT tým vznikl v roce 1988 na Carnegie Mellon University (CMU) jako reakce na jeden z prvních vážných bezpečnostních problémů tehdejšího internetu, tzv. Morissův červ. Nejcennějším výsledkem práce tohoto týmu, který byl zřízen především za účelem nalezení účinné obrany proti jedinému (byť pustošivému) incidentu, bylo poznání, že nejdůležitější je být na možnost narušení bezpečnosti předem připraven a v okamžiku problému

58

Andrea Kropáčová Šéfka modelového pracoviště CSIRT.CZ a bezpečnostního týmu CESNET-CERTS


spustit předem definovaný a vyzkoušený záchranný plán, a ne teprve začít zkoumat, co je nutné udělat. Výsledek práce prvního ad hoc CERTu na CMU odstartoval éru budování světové infrastruktury týmů tohoto typu. Carnegie Mellon University si zkratku CERT zaregistrovala jako ochrannou známku, a ač se jejímu užití ostatními organizacemi v tomto kontextu nebrání, právě toto bylo příčinou vzniku a zavedení druhého pojmu CSIRT, přičemž obě zkratky vyjadřují totéž. CERT/CSIRT dané sítě (organizace) tedy představuje záchytný bod, na který je možné se obrátit se zjištěným bezpečnostním problémem (nebo jen podezřením), který by tým měl prozkoumat a podle možností zjednat nápravu. Existence aspoň jednoho oficiálního CERT/CSIRT týmu je žádoucí v každé provozované síti, obzvláště pak v těch velkých (tranzitní, regionální, univerzitní, rozsáhlé koncové apod.), tzn. na úrovni velkých ISP, ale také v bankách nebo u poskytovatelů služeb. Významnou a specifickou roli mají zastřešující vrcholové týmy – tzv. národní nebo vládní, o kterých bude řeč později. Globálně lze pak na existující CERT/CSIRT týmy nahlížet jako na infrastrukturu, která řeší bezpečnostní problémy Internetu.

Vznik a fungování CSIRT týmu Organizace, která se rozhodne zřídit tým typu CERT/CSIRT, si musí na začátku jasně a srozumitelně definovat, čeho chce ustavením týmu dosáhnout a jakou roli od nově zřizovaného týmu chce, tzn. definovat jeho pole působnosti a provozované služby.

Na úplném počátku při vytváření týmu typu CERT/CSIRT ale stojí také vybudování jeho zázemí – technické, administrativní a organizační – bez kterého nemůže efektivně fungovat žádný tým. Technickým zázemím se myslí například nástroj pro efektivní správu hlášení bezpečnostních incidentů, který umožní sledovat celý jeho životní cyklus – kdo se v kterých fázích incidentem zabýval, proč, jak postupoval, koho požádal o spolupráci apod. Pro tuto oblast týmy obvykle používají různé ticketovací systémy, např. RTIR (Request Tracker for Incident Response), OTRS (Open Source Ticket Request System). Dalšími důležitými pomocníky na poli technických nástrojů jsou různé systémy IDS (Intrusion Detection System), systémy pro bezpečnostní audity, forenzní analýzy, sledování provozu sítě (netflow) apod. Zázemí administrativně-organizační představuje právě onu „připravenost“ na problém, tzn. definování základních pravidel pro chod týmu tak, aby každý člen týmu znal svou roli, povinnosti a zodpovědnost, politiku postupu řešení bezpečnostních incidentů, pravidla pro komunikaci a spolupráci apod. Základem v této oblasti je obecně dobře zvládnutý tzv. incident management, kterým se ovšem v tomto článku dopodrobna zabývat nebudu.

Spolupráce CERT/CSIRT infrastruktury V současnosti neexistuje oficiální hierarchie CERT týmů. Tyto týmy vznikaly a vznikají dobrovolně a v samotném jejich zájmu je navzájem efektivně komunikovat, vyměňovat si důležité informace a poznatky a spolupracovat. Sdružují se proto v mezinárodních organizacích. V současnosti nejznámější a nejaktivnější organizace, které se touto problematikou zabývají, jsou následující:

téma

TERENA – The Trans-European Research and Education Networking Association, www.terena.org. FIRST – Forum for Incident Response and Security Teams, www.first.org. ENISA – European Network and Information Security Agency, www.enisa. europa.eu. Všechny tři výše zmíněné organizace představují platformu, která umožňuje pravidelná setkávání, výměnu zkušeností a definování základních pravidel spolupráce a komunikace mezi světovými CERT/ CSIRT týmy. Světovou infrastrukturu CERT/CSIRT týmů v současné době představuje cca 250 týmů, které jsou buď členy organizace FIRST nebo spolupracují s evropsky působícími organizacemi TERENA a ENISA.

Národní a vládní týmy CERT/CSIRT Jak už bylo řečeno, speciální úlohu v této bezpečnostní infrastruktuře mají týmy národní a vládní. Národní CERT/CSIRT týmy v prostředí svých zemí obvykle plní především roli národního PoC (Point of Contact) pro sdílení informací s ostatními světovými CERT/ CSIRT týmy a se subjekty a organizacemi země působnosti. Na základě znalostí světové infrastruktury a prostředí dokáže národní tým efektivně nastavit a zprostředkovat komunikační kanály mezi zainteresovanými subjekty, například v okamžiku řešení vážného, často plošného, bezpečnostního incidentu. Z pohledu stále zdůrazňované služby řešení bezpečnostních incidentů pak národní tým funguje jako tzv. tým posledního útočiště (last resort). To znamená, že tomuto týmu mohou být oznamovány bezpečnostní incidenty, které mají původ v sítích provozovaných v dané zemi, a to v okamžiku, kdy tým (osoba) zodpovědný za síť (zařízení), která je zdrojem problému, problém neřeší, nebo vůbec nereaguje, odmítá řešit nebo takový kontakt není možné nalézt (nebo není platný). Plní roli poslední možné instance v případě přetrvávajícího problému, od které je možné očekávat pomoc. Je nutné zdůraznit, že národní CERT/ CSIRT není primárně určen k fyzickému řešení konkrétních zaznamenaných problémů (incidentů). V případě vzniku incidentu je vždy žádoucí, aby byl co nejrychleji kontaktován přímo tým konkrétně zodpovědný za danou síť, který má možnost zasáhnout (třeba i fyzicky a provést odpojení problémové sítě nebo zařízení), a případně následně národní tým až v případě přetrvávání problému v rámci eskalace jeho řešení. Dalším momentem, kde má národní CERT/ CSIRT v této oblasti uplatnění, mohou být útoky většího rozsahu, kdy je potřeba rych-

lé vyhodnocení situace, koordinace spolupráce mnoha subjektů a varování dalších možných potenciálních cílů. Další důležitou rolí národního CERT/ CSIRT, kterou pracoviště tohoto typu má plnit, je role fóra pro výměnu zkušeností a navázání bližší spolupráce mezi subjekty typu CERT/CSIRT týmy, poskytovatelé připojení, poskytovatelé obsahu, banky, bezpečnostní složky státu apod. a pomoc organizacím ve vybudování jejich vlastních CERT/CSIRT týmů. V neposlední řadě se národní CERT/ CSIRT obvykle věnuje šíření osvěty a vzdělanosti v oblasti počítačové bezpečnosti směrem k uživatelům (občanům). Do této oblasti patří pořádání vzdělávacích akcí, informování uživatelů např. o aktuálních hrozbách prostřednictvím médií, webových stránek nebo elektronické pošty. Obecně může národní tým CERT/CSIRT nabízet celou řadu reaktivních i proaktivních služeb v oblasti bezpečnosti, záleží především na jeho provozovateli. Týmy označované jako vládní jsou obvykle určené pro dohled nad sítěmi státní správy, samosprávy a tzv. kritické infrastruktury země. V některých zemích, za všechny jmenujme například Finsko, jsou týmy tohoto typu zřízené přímo státem na základě zákona, který definuje jejich pravomoc, pole působnosti a zodpovědnost. V mnoha zemích plní vládní týmy zároveň roli národního týmu. V zemích, kde není ustaven ani národní ani vládní tým, ale existuje zde CERT/CSIRT tým například v prostředí významného ISP nebo v akademickém sektoru, je tento tým světovou infrastrukturou chápán jako de facto národní a tuto roli národního týmu plní. Tuto situaci lze velmi dobře ilustrovat například na známých útocích na Gruzii, kde se role hlavního koordinátora obrany ujal tým CERT-GE provozovaný organizací GRENA (Georgian Research and Educational Networking Association), jediný v té době existující tým typu CERT.

Situace v České republice V České republice existují v současné době čtyři konstituované a světovou komunitou oficiálně uznané CERT/CSIRT týmy: CESNET-CERTS provozovaný sdružením CESNET, z.s.p.o. CZNIC-CSIRT provozovaný sdružením CZ.NIC, z.s.p.o. CSIRT-MU provozovaný Masarykovou Univerzitou Brno CSIRT.CZ vytvořený v rámci grantu MVČR Bezpečnostní tým CESNET-CERTS (http://csirt.cesnet.cz/) je zodpovědný za řešení bezpečnostních incidentů v síti národního výzkumu a vzdělávání CESNET2. Uživatelé sítě CESNET2, což jsou především

studenti a zaměstnanci českých univerzit a Akademie věd, spadají do pole působnosti tohoto týmu a mohou mu hlásit zjištěné bezpečnostní incidenty. Tým CESNET-CERTS je v síti CESNET2 (autonomní systému AS2852) způsobilý konat a řešit bezpečnostní incidenty přímým zásahem. Pracoviště CSIRT.CZ (www.csirt.cz) vzniklo v rámci plnění grantu Ministerstva vnitra České republiky „Problematika kybernetických hrozeb z hlediska bezpečnostních zájmů České republiky“ (identifikační kód projektu je VD20072010B013). Toto pracoviště je označováno jako modelové a bylo vybudováno za účelem ověření stavu bezpečnostní infrastruktury v ČR a ověření realizovatelnosti distribuované hierarchie pro systematické plošné řešení bezpečnostní problematiky v počítačových sítích ČR prostřednictvím CSIRT týmů. Provoz tohoto týmu byl spuštěn 3. dubna 2008 a v květnu téhož roku byl přijat evropskou infrastrukturou CERT/CSIRT týmů jako pracoviště typu CSIRT s rolí „last resort“ pro Českou republiku. Další funkční tým typu CSIRT je provozován také Ministerstvem obrany ČR – jedná se o vojenský CSIRT tým určený pro spolupráci s obdobnými týmy v rámci členských zemí NATO. Je pravděpodobné, že ačkoliv v rámci dalších komerčních organizací nejsou CERT/CSIRT týmy oficiálně ustaveny, existují zde oddělení nebo osoby, které se bezpečností sítí a služeb reálně zabývají a roli CERT/CSIRT týmu de facto plní. Tato oddělení a týmy nejsou ale napojeny na světovou bezpečnostní infrastrukturu CERT/CSIRT týmů a nezapojují se do spolupráce a výměny informací.

Český národní tým Česká republika se o vybudování národního nebo vládního pracoviště typu CERT/ CSIRT snaží již několik let. Za první dobrý krok lze v tomto směru považovat vybudování již zmíněného modelového pracoviště CSIRT.CZ, které vzniklo v rámci vědecko-výzkumného grantu MV ČR. CSIRT.CZ položilo základy pro další rozvoj vrcholové úrovně CERT/CSIRT infrastruktury v ČR, a to především v oblasti spolupráce lokální a mezinárodní, protože žádný CERT/CSIRT, obzvláště ne národní nebo vládní, nemůže pracovat izolovaně. V únoru tohoto roku bylo při Ministerstvu vnitra České republiky zřízeno Oddělení kybernetické bezpečnosti, které má kromě mnoha jiných povinností za úkol zajišťovat provoz vládního pracoviště CSIRT. O dalším vývoji tedy rozhodnou následující měsíce. Nezbývá než doufat, že se Česká republika již brzy připojí k těm zemím EU, které mají oficiálně zřízen funkční národní nebo vládní CERT/CSIRT.


59

téma

V

elkou hrozbu pro firmy znamená především únik dat, vůči kterému není imunní žádná společnost bez ohledu na velikost nebo obor. Vanson Bourne jménem společnosti Dimension Data provedl začátkem roku 2011 průzkum mezi reprezentativním vzorkem 200 IT zaměstnanců s rozhodovacími pravomocemi (CIO, IT ředitelé, IT manažeři, atd.), kteří pracují ve firmách ve Velké Británii s více než 500 zaměstnanci. Z výsledků studie vyplývá, že každá desátá velká společnost ve Velké Británii zažila únik dat a každá dvacátá byla podobným únikem poškozena. Navíc více než polovina respondentů (51 %) se domnívá, že jejich firma byla poškozena únikem, o kterém ani neví. Navzdory tomu 31 % společností ani neposoudilo obchodní rizika spojená s únikem dat. Formy poškození mohou být různé, od poškození dobrého jména (zaznamenalo 91 % poškozených společností), přes ztrátu konkurenční výhody (27 % poškozených firem), ztrátu dodavatelů/ partnerů (18 %) a zákazníků (9 %) až po sankce za nedodržování dohod (9 %).

Prevence šetří náklady

AUTOR

Prvním krokem v oblasti zabezpečení dat by měla být implementace technologií prevence ztráty dat (DLP). Přestože v důsledku úniku dat dochází k výrazné ztrátě potenciálních zákazníků a ztrátě dobré pověsti, nejsou firemní investice do DLP dostatečné. Společnosti potom musí vynaložit vysoké částky na změnu procesů, zabezpečení dat a školení zaměstnanců. Podle průzkumu mezi hlavní překážky pro přijetí DLP patří: Ostatní IT výdaje mají vyšší prioritu, vedení společnosti není dostatečně ochotné provést potřebné investice a není jistota, že je DLP pro společnost nezbytné Firmy věří, že jim se podobná věc nestane a prosazují reaktivní přístup Absence diskuze o rizicích na úrovní vrcholového managementu společnosti Rizika spojená s únikem dat lze jen těžko vyčíslit, a proto je složité připravit důvody pro investice do zabezpečení dat. Úkolem pro IT zaměstnance s rozhodovacími pravomocemi by tak mělo být vytváření obchodních případů z této oblasti. V současné době existuje již mnoho veřejně známých případů úniku dat, což argumentaci usnadňuje. DLP je potřeba přizpůsobit konkrétním potřebám jednotlivých společností. Nejdříve je nutné provést komplexní analýzu bezpečnostní situace, aby mohlo dojít k přijetí DLP a snížení rizika.

60

Zbyszek Lugsch Sales & Solutions Director, Dimension Data Czech Republic a.s.


*, 6 /6 Ê "÷"6

Další pohled na DLP Útoky hackerů jsou sofistikované a nebezpečné, ale jako jeden z nejčastějších problémů se nakonec jeví člověk, který nedbá na bezpečnost, není poučený nebo prostě má možnost vynést citlivá firemní data. Tomu se snaží zabránit technologie Data Loss Prevention. V některých případech nakonec nemusí dojít k novým investicím, ale již tento proaktivní přístup je správným krokem, který se v případě úniku pozitivně projeví. Informace jsou dnes prostřednictvím internetu šířeny rychleji než kdykoli dříve, k čemuž přispívá i rozvoj sociálních sítí, takže se znásobuje dopad úniku. Nicméně přesto má řada společností reaktivní přístup a spoléhá na to, že právě jim se nic podobného nestane. Ovšem pokud společnost není na tuto situaci připravena, dochází k pomalejší reakci a následky jsou o to horší. Změny přijímané v krizové situaci jsou podstatně nákladnější a komplikovanější než opatření přijatá předem.

Mobilní zařízení – pomocník i hrozba Mobilní zařízení představují pro IT specialisty zcela novou výzvu v oblasti zabezpečení dat. Specifickou oblastí je právě ochrana před únikem dat. V posledních letech došlo k dramatickému nárůstu počtu těchto přístrojů. Obliba chytrých mobilních zařízení překonává oblibu osobních počítačů. Podle odhadů bude během následujících pěti let více lidí připojeno k internetu přes tyto přístroje než přes osobní počítače. Zároveň dochází k prolínání pracovního a osobního života, takže zaměstnanci často využívají jedno zařízení doma i v práci. Většina znalostních pracovníků se dnes již neobejde bez notebooku nebo chytrého telefonu a po správcích IT požadují

možnost dostat se ze svého zařízení do podnikové sítě. Na rozdíl od klasických počítačů ale mobilní zařízení v podstatně vyšší míře fungují na různých platformách, z těch hlavní jmenujme Apple iOS, Google Android, BlackBerry a Windows Phone, což znesnadňuje jejich integraci do firmy a rizika se mnohonásobně zvyšují. Zapojení nových zařízení do podnikového prostředí je samo o sobě bezpečnostní riziko. Navíc pro počítačové zločince jsou tyto přístroje mnohem atraktivnější než klasické počítače, protože jsou většinu času zapnuté a někdy vůbec nedochází k jejich vypínání. Klasické stolní počítače nejsou například přes noc aktivně připojené k síti, ale mobilní zařízení jsou již ze své podstaty většinou připojená nepřetržitě, takže mohou sloužit jako dokonalý zdroj aktuálních informací. Navíc útočníci sice napadnou jeden přístroj, ale ten v sobě spojuje hned několik komunikačních kanálů. Chytré telefony kombinují klasickou hlasovou komunikaci, textové zprávy, e-mailovou komunikaci, IM, ale také slouží pro ověřování například bankovních hesel. Ještě před integrací mobilních zařízení do podnikové sítě je nutné udělat důkladnou analýzu a zjistit všechna bezpečnostní rizika a jejich dopady. Následně je potřeba aktualizovat celkovou bezpečnostní strategii a vytvořit bezpečnostní politiku pro mobilní zařízení. V bezpečnosti není žádný stav definitivní a také v tomto případě musí být strategie průběžně aktualizována a vy-

téma

hodnocována. Pokud dojde k zanedbání průběžného updatování bezpečnostního přístupu, může dojít k zásadnímu narušené celého systému. Mobilní zařízení a jejich operační systémy mají velkou výhodu, že jejich architektura byla vyvinuta teprve v nedávné minulosti, kdy již povědomí o hrozbách bylo vysoké. Výrobci od samého počátku při vývoji kladli velký důraz na bezpečnost a zabezpečení je velkou výhodou těchto přístrojů. Aplikace lze ale snadno stahovat prostřednictvím různých služeb – pro uživatele zařízení Apple je k dispozici App Store, pro uživatele přístrojů se systémem Android je připravený Android Market a pro BlackBerry App World – a mohou je tvořit i běžní uživatelé, což představuje významné riziko. Například Apple proto všechny aplikace kontroluje a ověřuje ještě před jejich zařazení do App Store. Mobilní platformy jsou také přirozeně více odolné vůči škodlivému kódu. To ale neznamená, že by tato zařízení byla vůči hrozbám imunní. Například dochází ke zneužívání zranitelností v PDF nebo prohlížečích, ale objevují se i rafinovanější cílené hrozby, které se vydávají za legitimní aplikace. Na chytrých telefonech se systémem Android již například podvodná aplikace informovala zločince o aktuální poloze uživatelů a zároveň vybízela k boji proti pirátství a stahování nelegálního softwaru.

Lákavý cíl pro zloděje Mobilní zařízení nelákají jen počítačové zločince, ale i klasické zločince. Moderní přístroje jsou kompaktní a snadno se vejdou pouze do kapsy. Pro zloděje pak není problém takové zařízení ukradnout a získat velmi cenná data. Nebezpečím přitom není jen krádež, ale i obyčejná ztráta. Pro kriminálníky se jedná o zajímavý cíl, což potvrzují i statistiky:

Zaměstnanci na služebních cestách na letištích v Severní Americe ztratili za pouhý jeden víkend 12 000 notebooků 63 % malých a středních firem ztratilo nějaké přenosné zařízení v minulém roce Při průzkumu 100 % organizací potvrdilo, že firma nemá technologie na vzdálené smazání citlivých dat 42 % narušení dat v Severní Americe bylo v důsledku ztráty nebo ukradení zařízení Jako příklad můžeme například uvést ztrátu prototypu Apple iPhone 4 ještě před jeho oficiálním představením. Technik společnosti Apple ztratil telefon v jednom baru a technologický web Gizmodo zaplatil 5 000 dolarů jeho nálezci a jako první přinesl fotografie a komplexní reportáž a novém zařízení. Důsledky ztráty zařízení mohou být ještě katastrofálnější, když vezmeme v úvahu předpisy o ochraně údajů. Současná legislativa sice ještě není detailně propracovaná, přesto (anebo právě proto), je potřeba tomuto bodu věnovat velkou pozornost. Například v oblasti digitalizace zdravotnictví a s rozvojem programu e-Health je zabezpečení dat klíčové. Zdravotní personál v mobilních zařízeních snadno může aktualizovat informace o pacientech, ale zároveň se tím zvyšuje riziko úniku informací. Optimálním řešením je přechod na sjednocenou komunikaci, takže chráněna jsou nejenom data, ale veškerá komunikace, od hlasu až po IM.

Vzdělávání a osvěta V oblasti firemní bezpečnosti je tradičně velkou hrozbou samotný uživatel. Firmy musí klást velký důraz na školení a vzdělávání zaměstnanců. Uživatelé musí rozumět rizikům a znát zásady bezpečnosti. V minulém roce došlo k rapidnímu nárůstu cílených hrozeb a tento trend bude pokračovat

Mobilní aplikace v „app storech“ jsou sice kontrolovány ještě před umístěním do obchodu, i tak jsou ale uzavřené mobilní systémy bezpečnostním rizikem. Škodlivý kód se do systému může dostat například formou PDF přílohy v e-mailu

i v následujících letech. Útočníci se zaměřují pouze na přesně definované skupiny, skrz které se dostanou k hledaným informacím. Hrozby jsou tak důmyslnější a pro obyčejné uživatelé je stále složitější útoky rozeznat. Navíc počítačoví zločinci zneužívají i sociální sítě. Ovšem jejich striktní zákaz problém nevyřeší. Opět je potřeba je ošetřit v rámci sjednocené komunikace. Pokud má být celý proces efektivní, musí být všechna opatření v rovnováze se svobodou, kterou mají zařízení poskytovat. Pokud jsou nařízení stanovená příliš přísně, dochází k jejich nedodržování a porušování, a tím se hroutí celý systém. Optimální je tedy definovat nastavení ve spolupráci s uživateli.

Sjednocená komunikace Integrace mobilních zařízení, ať již se jedná o notebooky, chytré telefony nebo například tablety, by mělo být součástí jedné komplexní firemní strategie, která tyto přístroje zapojí do struktury jednotné komunikace. Teprve v rámci ní uživatelé plně využijí potenciál všech nových technologií. Optimální je propojení mobilních zařízení s cloudovými technologiemi a službami, protože stačí relativně malý výpočetní výkon a přístup k internetu a zařízení se promění v plně mobilní kancelář. Uživatelé v rámci sjednocené komunikace mohou snadno také přepínat mezi mobilní sítí a bezdrátovou podnikovou sítí, takže jsou k zastižení na jednom čísle bez ohledu na používané zařízení. Sjednocená komunikace je bezpečná a efektivní cesta. Ale hned na počátku je potřeba neztratit se na rozcestí, pokud má cesta vést do úspěšně cíle. Nastavení celého systému je velmi citlivé, a základy je proto potřeba vybudovat velmi pevně. Firmy by proto neměly váhat s kontaktováním firem, jako je Dimension Data, a své vize s nimi konzultovat. V minulosti řada firem odmítala z principu přejít na moderní technologie, ale lpět na tradičních hodnotách lze i jinak. Firmy dnes musí pružně reagovat na vývoj trhu a musí mít možnost vstupovat na nové trhy a rozvíjet své podnikání. Mobilní zařízení dávají zaměstnancům svobodu. Není nutné sedět v kanceláři u stolu a pracovat je možné prakticky odkudkoli. Výrazně se tak zvyšuje produktivita a efektivita pracovníků a zároveň se zvyšuje jejich spokojenost. Podle průzkumů většina zaměstnanců dává přednost volnosti před vyšším platem. Firmy by tedy již neměly přemýšlet, jestli se touto cestou vydat nebo ne, ale svou energii by měly zaměřit směrem, jak tuto transformaci provést bezpečně. Přestože mediální povyk kolem nových hrozeb je místy lehce přehnaný, podceňovat rizika se nevyplácí.


61

téma

<* ÷ "-/Ê 6Ê,"<< Ê -6ù/ù

ternetu než pořád posilovat mezinárodní trasy. A olej do ohně přilily ty nešťastné cloud služby. Napřed byly jak yetti, rok dva o nich každý mluvil, i když je nikdo nikde neviděl. Pak ale přece jen přišly. A začaly se z nich valit gigabajty dat nahoru a dolů. A přesouvaly se do nich kritické aplikace, citlivé na parametry přenosu, například videokonference nebo rychlé transakce. Někteří obchodníci se dožadovali milisekund v odezvách a přitom se tvářili docela vážně. Ale jak na to, když jen do centra a zpátky to rychleji než za 80 milisekund v principu nejde? Nebylo vyhnutí, začala se vytvářet místní připojení do internetu. To síti hodně odlehčilo a parametry přenosu se pro většinu aplikací zřetelně zlepšily. Ale pro bezpečnost to byla rána. Komunikace se rozprostřely intenzivní komunika-

Architektura SecureX Bob má na starosti bezpečnost v docela úspěšné mezinárodní firmě. Zrovna cosi testuje, ale na chvíli přerušuje práci, upíjí z kalíšku, zavírá oči a vzpomíná.

D

AUTOR

onedávna to byla celkem pohoda. Každý z kolegů měl jeden černý notebook, na všech běžel jeden operační systém s ověřenou sadou aplikací. Pak se ale začalo dít něco zvláštního. Objevili se první otravové s bílými notebooky a méně obvyklým operačním systémem. Že se jim líbí a nic jiného nechtějí. Potom začali vyměňovat svoje staré dobré telefony za nové, inteligentnější. Ani by nevadilo, že se při jednáních nesoustředili, každou chvíli je vytahovali a nepříčetně osahávali, někdy i dvěma prsty současně – ale oni na nich měli další operační systémy. A začali se s nimi připojovat do sítě, a ještě se domáhali přístupu k aplikacím. A do toho všeho přišly ty tablety. Bob si najednou vzpomněl, sáhl do kapsy a vzal si další tabletu. Hned mu bylo o něco líp. Tak třeba Cyril, typický potížista. Má tři mobilní zařízení – telefon s iOSem, tablet s Androidem a notebook s Linuxem. Prostě lahůdka. Své mazlíčky běžně připojuje do sítě současně na různých místech. Notebook nechá večer ve firmě, aby přes noc zazálohoval svých dvacet gigabytů dat. Pak si klidně odejde domů, kde vytáhne tablet, aby si konečně přečetl poštu. Přitažlivé hračky se ale samozřejmě zmocní jeho děti. Přes domácí Wi-Fi a již spuštěný VPN tunel se snaží proniknout do další úrovně napínavé hry. Jakýkoliv pokus zmocnit se

62

Ivo Němeček Vedoucí týmu konzultantů a systémových inženýrů, Cisco Systems


tabletu Cyril po chvíli vzdává. Nechává tablet malé havěti napospas a nachází přístřeší v nedalekém pohostinství, kde si s mobilním telefonem užívá druhou směnu. Bob z toho občas propadá trudnomyslnosti – nejenže musí zajistit aspoň rozumnou bezpečnost třem zařízením s různými operačními systémy místo jednoho. Ale ještě musí přemýšlet, která z těch tří jsou připojena oprávněně. Jsou všechna v povolaných rukou? Má dvě z nich zablokovat? Ale která? Pokud by šlo jen o jednoho potížistu a tři mašiny, ale ono je jich několik tisíc a strojů skoro třikrát tolik. A to je jen začátek. Ještě nedávno měla firma jedno připojení do internetu. To byla pohoda. Demilitarizovaná zóna, soustava firewallů, IPS, pár bran pro VPN, web a poštu, průzračná architektura, všechno v jednom místě a celkem pod kontrolou.

Doba se mění Pak se ale uživatelé zbláznili do videokonferencí. Dokud je používali jen ve firmě, tak to šlo. Ale potom se začali propojovat i s partnery a zákazníky, tedy ven ze sítě, často v HD kvalitě, že prý jim to šetří čas a kdesi cosi. Všechno video, někdy i několik megabitů za sekundu pro jedinou dvojici, se začalo valit přes centrálu za oceánem, tam a zpátky, křížem krážem, dokonce i když oba propojení seděli pod jednou střechou. Kupodivu to nějakou dobu docela dobře šlapalo i přes internet, než se linky naplnily. Začalo být jasné, že mnohem levnější bude zřídit místní přípojky do in-

cí každého s každým a všemi směry, okraje sítě se rozmazaly nepřeberným množstvím přenosných zařízení a různých typů připojení. Bobovi bylo zřejmé, že se musí změnit i způsob, jakým bude síť chránit: Síť i správce musí mít přehled o tom kdo, kde, z jakého zařízení a v jakých souvislostech je připojen. Bezpečnost se musí rozprostřít podobně jako komunikace, musí proniknout skrz celou infrastrukturu. Bezpečnostní i síťové technologie musejí zvládat dynamické multimediální komunikace. Události v síti je nutné posuzovat v souvislostech, ne izolovaně v jednom místě. Síť i bezpečnostní zařízení musí mít přístup ke globálním informacím o aktuálních hrozbách. Jinak se nové hrozby nedají správně vyhodnotit a reagovat na ně v reálném čase je skoro nemožné. Bez softwaru pro jednotnou správu bezpečnosti to dál nepůjde. Takový software musí jednoduše formulovat globální pravidla a zavádět je do celé sítě, optimálně co nejblíže ke koncovým zařízením. S nástupem virtualizace je nutné účinně chránit data a aplikace ve fyzickém i virtualizovaném prostředí. Bob se začal rozhlížet, jestli by nenašel něco, co by jeho představy aspoň částečně naplnilo. Narazil na concept SecureX architektury. Jak si přečetl, SecureX je architektura, kde jednotlivé součásti spolupracují na zabezpečení sítě jako celku. Přitom právě hodnocení souvislostí je klíčem pro účinnou ochranu. SecureX posoudí identitu uživatele, typ zařízení, se kterým pracuje, způsob, jakým je připojen a aplikace, které používá. Zároveň bere v úva-

téma

hu informace o aktuálních hrozbách. Ty jsou v reálném čase dostupné v globální databázi. Po prvním přečtení Bob pojal podezření, že jde o vizi, kterou sotva dostane do skutečné sítě. Pak se podíval blíž na jednotlivé součásti SecureX a jejich vlastnosti. Anyconnect klient zajistí ověřování uživatelů a přezkoumá stav mobilních zařízení různých typů, s různými operačními systémy. Technologie TrustSec v LAN infrastruktuře vyhodnotí údaje o přihlášeném uživateli, o zařízení, ze kterého je připojen, a klasifikuje a šifruje přenášená data. Klasifikace pak využívají bezpečnostní a síťová zařízení pro přidělování přístupu ke zdrojům ve fyzické infrastruktuře, virtualizovaném prostředí nebo ke cloud službám. Bezpečnostní funkce sítě jsou velmi silné. Síťová zařízení mohou ověřovat uživatele, šifrovat přenos, předávat informace, aktivovat filtry, hostit softwarové nebo hardwarové intrusion prevention systémy, firewally, popř. spustit další bezpečnostní funkce. Centrální ověřovací systém spravuje uživatele a přiděluje oprávnění v závislosti na jejich identitě i stavu jejich zařízení. Grafický systém pro správu bezpečnostních pravidel umí pracovat s tisíci různorodými zařízeními najednou. IPS systémy a brány pro ochranu webu a pošty nepustí ani myš. Využívají mimo jiné i globální databáze reputace a hrozeb (SenderBase a SensorBase). Ty jsou aktualizované v reálném čase živými experty i neživými bezpečnostními zařízeními v ostrých sítích. Bezpečnostní cloud služba ScanSafe chrání uživatele ve firemních sítích i mimo ně. Důkladné bezpečnostní zpravodajství informuje správce o aktuálních hrozbách a doporučuje postupy. Aplikační rozhraní umožní zapojovat další řešení, technologie a služby. Bob s překvapením zjistil, že prakticky všechny součásti jsou již dostupné. Rozhodl vše otestovat nejprve na sobě, pak na vybraném vzorku uživatelů, hlavně na těch, které považoval za nejobtížnější. Vybavil se notebooky s několika operačními systémy, koupil si pár atraktivních telefonů a se spacákem vyrazil pro novou verzi tabletu. Na vše nainstaloval lehkého AnyConnect klienta a pustil se do testování. Výsledky si pečlivě zaznamenával.

Princip fungování Po připojení notebooku do LAN sítě ve firemním prostředí rozpozná AnyConnect známou síť a chová se jako 802.1x supplicant. Spolu s přístupovým přepínačem a ověřovacím serverem (ISE, Identity Servi-

ce Engine) ověří uživatele i přezkoumá zařízení, ze kterého je připojen. AnyConnect předá informace přes přístupový přepínač ověřovacímu serveru, ten odpoví a podle totožnosti uživatele a stavu jeho zařízení předá pokyn přístupovému přepínači, jaká oprávnění uživateli přiřadit. Tato oprávnění se mohou odrazit v zařazení uživatele do virtuální sítě VLAN nebo nastavením filtrů na portu přepínače. Technologie TrustSec nezaměnitelně označkuje data uživatele. Zařízení na hranici sítě, například na vstupu do datového centra, se pak podívá na značku a povolí přístup k serverům a aplikacím podle oprávnění uživatele. TrustSec navíc zajistí šifrování dat v celé LAN síti na linkové vrstvě. Pokud se Bob připojí přes firemní Wi-Fi, AnyConnet sdělí síti, kdo a z jakého zařízení je do sítě připojen, a podle toho přidělí oprávnění. Z notebooku se tak například Bob dostane ke všem svým aplikacím, ze svého tabletu nebo telefonu jen k některým aplikacím a z neznámého zařízení (třeba z telefonu, který náhodou našel na ulici) jen do internetu. Bob si AnyConnect klienta docela oblíbil. Kromě toho, že šlape jak hodinky na všem, co má po kapsách i na stole, se o něj nemusí vůbec starat. Klient sám rozpozná, kde je a jak se má připojit. A hlavně Bob nemusí zadávat otravná jednorázová hesla pokaždé, když se někde odpojí a kousek jinde zase připojí, nebo když některého

nové hrozby. Brány IronPort se zaměřují speciálně na web a mail provoz. Většinu nebezpečné komunikace odfiltrují posouzením pověsti cílových web serverů nebo odesílatelů pošty. Tu získají dotazem do globální reputační databáze SenderBase. Zbytek nežádoucí komunikace zastaví antivirovými systémy a další technologie. Brány vědí, že Bob je Bob (údaje o něm si přeberou po prvním přihlášení do sítě) a podle toho mu nastaví pravidla. Bob je na sebe přísný, z firmy se nedostane například na sociální sítě, na rozdíl od Alice, která je prý nutně potřebuje k práci. Jak brány, tak IPS systémy se nejen dotazují, ale také do databází aktivně vkládají aktuální informace o zjištěných útocích a hrozbách (Bob je filantrop, proto tuto funkci povolil). I infrastruktura přispívá k bezpečnosti dat šifrováním přenosu, dynamickou aktivací filtrů a předáváním informací. Bob odchází každý večer z práce rovnou do nedalekého baru, aby zde pokračoval v testování. Otevře notebook, AnyConnect ihned zjistí nedůvěryhodnou Wi-Fi síť, automaticky přesměruje data šifrovaným tunelem do bezpečnostní cloud služby ScanSafe. Ta chrání web a mail komunikaci podobně účinně jako brány ve firemní síti. Mírnější pravidla ale Boba pustí do prostředí, kde se cítí tak dobře. Před půlnocí se Bob jediným kliknutím připojí přes VPN spojení do firemní sítě.

Diagram principu fungování architektury SecureX

broučka pošle spát a pak ho znovu probudí. Spojení se naváže hned a samo. Naopak Bobův kolega Cyril AnyConnect moc nemusí. Bob mu nastavil klienta tak, že ho z neznámé sítě vždycky nažene VPN tunelem do firemní sítě. A tam mu vše nachystal tak, že si kromě práce moc neužije. Dokud je Bob ve firemní síti, jeho komunikaci chrání firemní firewall a intrusion prevention system. IPS používá globální databázi SensorBase v reálném čase tak, aby reagoval co nejpřesněji i na zcela

Data, která si zrovna stahuje z internetu, jdou stále přes ScanSafe, spojení do firmy prochází nově sestaveným tunelem. Bob se připojí k dohledovému systému a zkoumá nové bezpečnostní výstrahy. Nic vážného, jen osm zelených a šest žlutých. Porovnává tyto údaje s čárkami na účtence a překvapeně zdvihá obočí. Na chvíli přerušuje práci, dopíjí osmý kalíšek a zavírá oči. Takový pocit harmonie už dlouho nezažil. Více informací naleznete na cisco.com/ go/security.


63

téma

Ê /6, Trendy a vize v podnikové bezpečnosti Podniková bezpečnost se za poslední desetiletí velmi změnila. Snad všem administrátorům velkých, středních, ale i menších podniků již došlo, že ochrana podnikových sítí nespočívá jen v antivirovém řešení na koncových stanicích a firewallu na vstupu.

V

dnešní době se zabezpečení antivirem a firewallem zdá spíše jako jeden z několika základních kamínků bezpečnosti, na kterém se dále staví pokročilejší prvky ochrany. Navíc dle nejnovějších průzkumů je čím dál tím větší část útoků a krádeží dat podnikána vnitřními útočníky, ať už vědomě, či nevědomou neznalostí, a proto je potřeba ochránit společnost i proti takovýmto hrozbám.

Vývoj a prosazování IT politik V první řadě je třeba si uvědomit, že soulad je víc než jen dodržování vládních nebo oborových předpisů. Je to také podporování obchodních cílů a řízení rizik IT. Pro dosažení souladu je nutné důsledné sladění činností v oblasti zajišťování souladu a činností v oblasti zmírňování rizik IT. Jen tak mohou provozní týmy dostatečně zabezpečit infrastrukturu podle firemních zásad a současně plnit interní a externí požadavky na zajištění souladu. Moderní systémy pro zajištění souladu vám pomohou snížit finanční rizika vyplývající ze ztráty nebo krádeže údajů o zákaznících prostoje organizace kvůli selhání IT a přerušení služeb průměrné roční výdaje na soulad s předpisy tím, že automatizují hlavní činnosti v rámci zajištění souladu IT, včetně vyhodnocení rizik, správy zásad, hodnocení a sledování kontrolních mechanismů IT, nápravy nedostatků a vytváření zpráv.

Ochrana IT infrastruktury

AUTOR

Ochrana podnikové sítě nespočívá jen v aktualizaci antiviru na koncových stanicích. Dnešní moderní zabezpečení koncových bodů se dokonce brání označení antivir, jenž pro něj představuje jistou degradaci toho, čím skutečně je, a svádí poté ke srovnávání s jednoduchými produkty

64

Petr Vojáček Territory Account Manager, Symantec


některých obvykle menších a lokálně působících antivirových firem. V první řadě jsou stále potřebné tradiční moduly Antivirus a Antispyware, které by ovšem měly být navrženy tak, aby díky stále rostoucí databázi signatur a hrozeb, která roste exponenciální řadou, nezpomalovaly chod již tak vytížené pracovní stanice. Stejně tak byste měli vyžadovat, aby antivirový systém byl schopen v případě potřeby zamezit přístupu k USB portům či mechanikám, ale i k jednotlivým aplikacím. Budování paralelního zabezpečení nad tím, které poskytuje operační systém, není zbytečné. Výsledkem je výrazně ztížená možnost napadení systému útočníky. Další důležitou součástí je ochrana pošty, a to minimálně na dvou úrovních: jak na úrovni samotného vstupu do sítě pomocí e-mailové brány, tak přímo na e-mailovém serveru. Pomocí podobné brány, nyní ovšem webové, by měl být chráněn i přístup na webové stránky. Spolu s elektronickou poštou představuje totiž nákaza škodlivým kódem z internetových stránek dva nejčastější způsoby napadení počítačů. Součást Network Access Control řídí právo přístupu jednotlivých koncových bodů k síti na základě předem definovaných pravidel. Nedovolí tak například počítači s vypnutým antivirem či s neaktualizovaným kritickým patchem se vůbec připojit do sítě. S rostoucím počtem mobilních zařízení a jejich integrací do podnikové sítě čím dál více roste potřeba ochrany i před útoky zneužívajícími tyto technologie, proto by měl být součástí bezpečnosti i systém mobilního zabezpečení. V neposlední řadě je důležité ochránit se před ztrátou důležitých dat a aplikací pomocí automatického zálohování a systému obnovy všech koncových stanic. Zde jsme si tedy vyjmenovali součásti bezpečnostního podnikového systému, které by ovšem nemohly správně a komfortně spolupracovat bez dokonalé konzole pro správu. Ta umožňuje sladění a spravování jednotlivých prvků této ochrany

a pro administrátory rozsáhlých podniků je jednou z nejdůležitějších vlastností právě dokonalost dálkové správy pomocí této konzole.

Ochrana informací V současné době může téměř kdokoli sdílet informace, přistupovat k nim a šířit je v neomezeném rozsahu. Organizace si zvykly toho využívat, protože je to nesmírně přínosné. Současně stále stoupá mobilita pracovních sil. Všudypřítomnost vysokorychlostního přístupu k internetu, inteligentních mobilních zařízení a přenosných úložišť znamená, že kancelář může být prakticky kdekoli. V důsledku toho je pro organizace složitější než kdykoli dříve zabránit ztrátě citlivých dat. Metody zabezpečení se ještě v nedávné minulosti zaměřovaly na zabezpečení sítě. Je čas začít se zabývat zabezpečením samotných dat. Jedním z nejlepších způsobů, jak to udělat, je použít software Data Loss Prevention. Například software Symantec Data Loss Prevention poskytuje jednotné řešení pro zjišťování, sledování a ochranu důvěrných dat bez ohledu na to, kde jsou uložena a kde se používají. Můžete tak mít ucelený pohled na to: kam jsou odesílána vaše důvěrná data jaká důvěrná data jsou přenášena z přenosného počítače jak používají zaměstnanci důvěrná data, když jsou připojeni k podnikové síti, ale i když k ní připojeni nejsou jak zabránit ztrátě důvěrných dat

Management IT systémů Oddělení IT stojí před obtížným úkolem spravovat početně neustále se měnící klienty, včetně stolních a přenosných počítačů, tenkých klientů a kapesních zařízení. S rostoucím počtem zařízení v síti a regionální složitostí struktury společností roste i potřeba vzdálené správy všech zařízení v síti nezávisle na tom, kde se nacházejí. Nejlepší systémy pro takovouto dálkovou správu vám umožní: zabezpečit tuto správu na základě rolí a působností bezobslužné zavedení a přenesení operačního systému integrovanou inventarizaci hardwaru a softwaru s vytvářením webových zpráv správu softwaru na základě zásad automatizovanou správu patchů a oprav dodržování podmínek softwarových licencí nativní integraci do Microsoft Active Directory správu prostředí napříč smíšeným hardwarem a různými operačními systémy

téma

*,"/Ê" 1,< Co by měl umět firewall pro SMB Také malé firemní sítě, které čítají do 100 zapojených počítačů, musí být dobře zabezpečeny hardwarovým firewallem. Co by měl takový SMB firewall umět?

A

dministrátor takovéto sítě musí předem dobře promyslet strukturu sítě a případné řešení bezpečnosti hlavně z hlediska komplexnosti a propracovanosti řešení. V dnešní době se často začínají přebudovávat již starší firemní řešení bezpečnosti, postavené na starých, vyřazených počítačích, běžící na platformě Linux, ke kterým většinou již nikdo nezná heslo a možná ani jejich umístění. Nová a moderní struktura sítě musí nabízet ucelené řešení, které je pro takovouto firmu také cenově dostupné. Většina firem se snaží na řešení co nejvíce ušetřit, proto je nutné volit nějakou střední cestu. Nemůžete volit cenově vysoce postavené řešení řádově za desítky tisíc euro, nebo zase řešení, třeba zadarmo, které se musí složitě implementovat a složitě spojovat do jednoho celku z více různorodých dílů. Zde dojde právě k cenovému navýšení při implementaci řešení. Ideální řešení je takové, která zahrnuje nákup hardware, pokud možno v jednom boxu, který bude schopen obsluhovat firemní bezpečnost komplexně a nebude nutné za něj platit jakékoli roční poplatky, které někteří výrobci ukrývají pod upgrade firmware takovéhoto zařízení, nebo dokonce možnost využít technickou podporu.

Funkce a doplňky

AUTOR

Pokud jsou nějaké služby zpoplatněny nad rámec hardware, třeba roční licencí, jsou to většinou nějaké doplňkové funkce, které umožní správci zařízení větší možnosti zamezení a blokací na firemní síti. Ideální je vyzkoušet si takovéto služby zdarma na nějaké období, kdy správce sítě může jednoduše posoudit a následně managementu firmy vyhodnotit přínos těchto placených, doplňkových funkcí. Placené funkce a doplňky jsou třeba online vyhodnocení obsahu webových stránek, kdy zaměstnanci nemohou naPetr Koudelka Security Product Manager, ZyXEL Communications Czech

vštěvovat stránky s pornografickým obsahem, vyhledávače nebo e-mailové klienty pracující přes webové rozhraní. Stále častěji se tato blokace ve firmách zavádí, protože vede velmi rychle ke zvýšení efektivity práce zaměstnanců, kteří musí v pracovní době opravdu pracovat, a ne na počítači provádět jakékoli nekalosti, které vedou k pracovní neefektivitě, nebo dokonce poškození počítače virem nebo spywarem a následné nutnosti platit za servis tohoto stroje. Zaměstnanci tráví hodně času nejen prohlížením internetových stránek, ale také jsou velmi oblíbené různé druhy komunikačního software, jako je Skype, ICQ, MSN a další. Toto nejsou standardní firewallová řešení schopna nijak efektivně blokovat, doplňky však ano. Firma často schvaluje a úmyslně provozuje nějakou takovouto službu, z důvodu snížení nákladů na komunikaci mezi pobočkami firmy. K firemním účelům stačí jen napsat vzkaz a volat, nejsou tedy potřebné jiné možnosti komunikačního software, a proto je zablokujte. Vyhnete se tak možnosti nakazit stanici třeba přijetím souboru, který někdo zaměstnanci pošle. Tyto skenovací mechanismy jsou schopny blokovat i potenciální útoky po návštěvě nekorektních webových stránek atd. Další online kontrolou může být možnost použití antivirové kontroly na komunikační protokoly, které do sítě vstupují. Mohou to být otevírané stránky a skripty, odesílající na pozadí infekční soubor, nebo příloha v poště, která je třeba i komprimovaná archivačním softwarem. Přílohu e-mailu je bezpečnostní brána schopna jednoduše zničit. Ničte tedy nejen archivy, ale můžete ničit obrázky a videa, takže zaměstnanci nebudou trávit mnoho pracovní doby jejich prohlížením.

Datový tok a šifrování Všechny tyto restrikce je krásné používat, ale musí zde být možnost je aplikovat vždy jen na nějaké skupiny a segmenty sítě, nebo dokonce jen někdy. Ideální zařízení

musí být schopno pracovat s časovými pravidly, aby bylo možné přesně definovat, kdy a pro koho dané restrikce platit budou nebo nebudou. Zde se pohybujeme v segmentu firemní sítě o větším počtu zaměstnanců, kdy můžete jednoduše spojovat jednotlivé uživatele na úrovni jejich uživatelského jména a hesla s bezpečnostními pravidly, které jsou ušity přesně na jednotlivého uživatele. Z důvodu sjednocení bezpečnostní brány s dalšími prvky sítě můžete ověřovat jména a hesla na již existujícím firemním doménovém serveru LDAP, Active Directory. Administrátor tedy používá jednu ucelenou databázi jmen a hesel pro všechny uživatele. Admin nemusí duplikovat všechny jména a hesla několikrát na mnoha místech, kdy se naskýtá možnost udělat jednoduše chybu. Zařízení musí být schopno automatizovaně řídit datový tok a navíc prioritu toku jednotlivých aplikací, které jsou velmi náchylné na zpoždění přenosu některých paketů třeba pro VoIP aplikace. Pokud je ve firmě používáno více přípojek od ISP, z důvodu zálohy konektivity nebo z důvodu reálného vytěžování více linek zároveň, musí být bezpečnostní branou tato funkce také podporována. Nezapomínejte na bezpečné a šifrované propojení všech poboček firmy s centrálou, kde jsou většinou umístěny všechny důležité e-mailové, webové a databázové servery, které budou schopny využívat předem definovaní uživatelé z poboček. A co obchodní zástupce, který cestuje stále někde mimo firmu a potřebuje také bezpečný přístup k firemním datům přes VPN tunel odkudkoli, kde má přístup na internet. Důležité je mít přehled o chování sítě nebo schopnost jednoduše reportovat vedení firmy dění na síti a chování zaměstnanců. Proto si vždy ověřte, zda vybrané řešení umí automatizovaně zajistit vyhodnocení provozu a chování na firemní síti.


65

téma

/,","<ù, Ê <* ÷ "-/ Podle nedávného průzkumu společnosti Check Point a Ponemon Institut mezi 2400 bezpečnostními IT profesionály je největším problémem současnosti správa složitých bezpečnostních prostředí. Časté ztráty dat, rozmach Web 2.0 aplikací, mobilní výpočetní techniky i nárůst kombinovaných útoků je pro mnoho organizací – bez ohledu na jejich velikost – výzva, jak si udržet krok s rostoucími hrozbami.

S

AUTOR

tále více firem si uvědomuje, že na bezpečnost musí být v rámci jejich celkové infrastruktury IT kladen daleko větší důraz. Aby byl dosažený potřebný stupeň ochrany, která je pro obchodní prostředí v 21. století nezbytná, měly by společnosti zvážit zavedení plánu pro implementaci počítačové bezpečnosti. Plán, který jde nad rámec technologií a vnímá bezpečnost jako proces, umožňuje zapojit do bezpečnostní politiky zaměstnance a pomáhá organizacím sladit jejich IT politiky s obchodními potřebami. Pokud firmy chtějí přeměnit bezpečnost na podnikový proces, měly by zvážit zavedení kombinace jejich tří zásadních rozměrů: bezpečnostní politiky, uživatele, respektive jeho lidský faktor a metodologii a nástroje na celkové prosazování IT bezpečnosti. Bezpečnostní politika: Základním krokem je definice bezpečnostní politiky, která bude platná napříč celou organizací. Bezpečnostní politiky by měly být formulovány jednoduchým byznys jazykem, ne jen jako technologické poučky. V současné době nemá většina organizací bezpečnostní politiky definovány jasně a především

66

Juliette Sultan Head of global marketing, Check Point Software Technologies


srozumitelně a často o nich zaměstnanci nejsou ani informováni. Pokud si firmy chtějí zajistit vyšší úroveň bezpečnosti ve všech vrstvách síťového zabezpečení, musí začít holisticky – pochopit, jak do sebe všechny používané technologie zapadají a kde se mohou vyskytovat určitá rizika. Lidský faktor: Druhý a v podstatě nejdůležitější rozměr vize 3D Security jsou lidé, firemní zaměstnanci. Používání internetu v kanceláři se dramaticky změnilo s nástupem sociálních médií a aplikací Web 2.0. Bezpečnost bývala zajišťována blokováním určitých aplikací, portů, protokolů, popřípadě úplným zablokováním webových stránek. Jak se webové aplikace vyvíjely, firmy zjistily, že řada z nich může být zajímavým způsobem komunikace a spolupráce. Pro IT správce tento vývoj ovšem představoval výzvu, jak ochránit firmu před celou škálou nových i vznikajících hrozeb, aniž by byl narušený plynulý chod firmy. Uživatelé jsou beze vší pochybnosti důležitou součástí bezpečnostního procesu. Je to právě uživatel, kdo dělá chyby, které vedou k infekci malwaru i neúmyslné ztrátě dat. Většina firem nevěnuje příliš velkou pozornost zapojení uživatelů do bezpečnostního procesu, i když by to měla být jedna ze zásadních podmínek. Je potřeba informovat a vzdělávat uživatele o firemních bezpečnostních politikách, stejně jako je poučit o zodpovědném chování při připojování k firemní síti a datům. Uživatelé představují velké riziko v narušení firemní bezpečnosti, ale zároveň to jsou oni, kteří – pokud získají řádné školení a informace – mohou sehrát důležitou roli při snižování těchto rizik. Bezpečnostní procesy by měly být maximálně jasné a přehledné, neměly by uživatelům bránit v práci anebo měnit způsob jejich práce. Metodologie a nástroje na celkové prosazování IT bezpečnosti: Třetím

zásadním prvkem 3D Security je vynutitelnost bezpečnosti IT. Zajištění bezpečnosti spočívá v získání lepší kontroly nad mnoha vrstvami ochrany. Firmy bohužel často ztrácejí kontrolu nad nesourodými bezpečnostními politikami, navázanými na různé typy používaných řešení, které mohou paradoxně vytvořit příliš složitou infrastrukturu a vznik bezpečnostních děr mezi jednotlivými produkty. Kombinací tří základních prvků – bezpečnostních politik, lidí a metodologie pro vynucení bezpečnosti – mohou firmy prosadit bezpečnost do svých podnikových procesů. Zásadní je právě toto propojení a zajištění spolupráce mezi všemi vrstvami zabezpečení od uživatelů přes obsah, aplikace, data i síť. Všechny vrstvy zabezpečení by měly fungovat společně. Opět platí, že prosazování bezpečnosti musí být provedené s holistickým přístupem tak, aby byly zajištěny všechny politiky. Nevynechávejte řešení nedostatků a věnujte se prevenci hrozeb. Pokud dnes firmy chtějí zlepšit zabezpečení, potřebují lépe pochopit svá současná prostředí a stanovit si hlavní priority, a to jak v krátkodobém, tak i dlouhodobém horizontu. Jako bezpečnostní prioritu pro rok 2011 řada respondentů udává správu firmy, rizik a zajištění shody (GRC). Poté následovalo zabezpečení koncových bodů, ochrana proti novým hrozbám, zabezpečení dat a zajištění virtuálních prostředí (Průzkum společností Check Point a Ponemon, 2011). Vize 3D Security není o nasazování produktů ani kupení technologií, je o zvyšování povědomí o dnešních bezpečnostních problémech, poskytování osvědčených postupů a kompletní propojenosti s firemními potřebami a strategiemi na nejvyšší možné úrovni. Vzděláváním koncových uživatelů a dodržováním jasně vymezených bezpečnostních politik mohou společnosti snížit složitost při současném zvýšení efektivity současného firemního zabezpečení.

INZERCE A111003771

Recept na 3DSecurity

Garantujeme

úsporu diskové kapacity! HP Thin Guarantee Program 3UiYĹQ\QtQDVWDOWHQVSUiYQŢĴDVSURQiNXSGLVNRYpKRSROH+33$58WLOLW\6WRUDJHDPLJUDFLYDŖLFKGDWQDW\WRV\VWpP\ 6SROHĴQRVW+HZOHWW3DFNDUG+3 QDEt]tMDNRMHGLQŢYŢUREFHJDUDQFL~VSRUDVNXWHĴQRXRSWLPDOL]DFLGDW9\XŦLMWHQRYŢ +37KLQ*XDUDQWHH3URJUDPLQWHJUXMWHQRYpGLVNRYpSROH+33$58WLOLW\6WRUDJHGRYDŖtVWiYDMtFtLQIUDVWUXNWXU\DVQLŦWH NDSDFLWXGLVNRYpKRSROHR 9SŒtSDGĹŦHYDŖHVWiYDMtFtGDWDQHEXGHPRŦQpXORŦLWQDGLVNRYpSROH+33$58WLOLW\6WRUDJHV~VSRURXSDPĹŘRYp NDSDFLW\]tVNiWHMHGLQHĴQpRGŖNRGQĹQtGDOŖtGLVNRYRXNDSDFLWXYĴHWQĹSŒtVOXŖQpKRVRIWZDUXDVOXŦHEWDNDE\E\OSRŦDGDYHN NDSDFLW\Y\URYQiQ²A TO ZCELA ZDARMA! 9tFHLQIRUPDFtR+37KLQ*XDUDQWHHSURJUDPXVHGR]YtWHQDZHEX

www.hpstorage.cz| www.hp.cz/3par| www.hp.com/storage/getthin &KFHWHOL]tVNDWYtFHLQIRUPDFtRQHMQRYĹMŖtFKWUHQGHFKYREODVWLGDWRYŢFK FHQWHUŒHŖHQtSURXNOiGiQtGDWDMHMLFKLQWHJUDFLSŒHGHYŖtPYSURVWŒHGt FORXGXSŒtPRRGSŒHGQtFKRGERUQtNŝDWHFKQLFNŢFKNRQ]XOWDQWŝ+3 SŒLMĶWHQDDNFLwww.hpstorage.cz/demodny

téma

Ê " ,Ê , - Bezpečné adresy na lokální síti – IPv6 SEND Protokol SEND (Secure Neighbor Discovery Protocol) nabízí bezpečnou formu objevování sousedů a routerů v IPv6. Je to dodatečné rozšíření protokolu IPv6, které si svoji oblibu zatím ještě nevybojovalo. Pokud se zajímáte o sítě a IPv6, rozhodně stojí za to se s ním seznámit.

N

AUTOR

a sítích s IPv6 se používá protokol NDP (Neighbor Discovery Protocol), který se používá při začleňování nových zařízení do lokální sítě a při navazování komunikace mezi zařízeními. Mezi jinými umí objevování sousedů a routerů. Protokol NDP trpí víceméně stejnými problémy jako jeho předchůdci ze světa IPv4 (například ARP a DHCP). Na lokální síti bez speciálně konfigurovaných prvků je velmi jednoduché falšovat odpovědi protokolů ARP či DHCP, a tím na sebe strhnout komunikaci, která byla určena někomu jinému. Tento problém (nebo vlastnost, chcete-li) provází lokální sítě TCP/IP od začátku. Předchozí metody se zaměřují na použití chytrých síťových prvků nebo zašifrování

68

Pavel Šimerda Nezávislý lektor, konzultant a publicista v oblasti počítačových sítí, komunikace a bezpečnosti


celé komunikace za použití předem připravených šifrovacích klíčů. Oba uvedené způsoby fungují s IPv4 i IPv6, ale vyžadují velmi pečlivou předchozí konfiguraci. SEND oproti tomu využívá velikosti adresního prostoru IPv6 a nabízí flexibilnější metodu.

Kryptografické adresy Jedním ze základních konceptů protokolu SEND jsou kryptografické adresy. Právě ty vyžadují dostatečný adresní prostor, který IPv6 nabízí. Koncové sítě IPv6 nechávají 64bitový prostor pro identifikátory počítačů v síti. Kryptografická adresa tedy obsahuje síťový prefix a kryptografický hash. Ten se počítá z několika parametrů včetně veřejného klíče a síťového prefixu. Právě veřejný klíč je tím nejdůležitějším prvkem, protože vznikl společně se soukromým klíčem, a tvoří s ním dvojici klíčů algoritmu RSA. Celý smysl kryptografické adresy je v tom, že její vlastník se prokazuje tím, že má k dispozici soukromý klíč. Vlastník

adresy tedy může digitálně podepisovat zprávy a zveřejnit parametry kryptografické adresy, podle kterých pak příjemce ověří digitální podpis.

Objevování sousedů Objevování sousedů je takový vzletný název pro zaplňování tabulky ARP v IPv4 či NDP v IPv6. Princip je jednoduchý. Zařízení, které chce komunikovat s některým sousedem po ethernetu, potřebuje zjistit jeho MAC adresu. Pošle tedy multicast/ broadcast zprávu, která obsahuje dotaz typu: „Jakou MAC adresu má zařízení s IP adresou i:j:k:l:m:n:o:p?“. Dotyčné zařízení na tento dotaz odpovídá stylem: „Já jsem zařízení s IP adresou i:j:k:l:m:n:o:p a moje MAC adresa je qq:rr:ss:tt:uu:vv.“ Problém je v tom, že takto může odpovědět kdokoli a podvrhnout svou vlastní MAC adresu. Tomuto útoku se říká ARP spoofing nebo NDP spoofing podle verze protokolu IP. SEND tomuto problému předchází tím, že zavádí kryptografické adresy a podpisy odpovědí NDP. Podepsané odpovědi tak zajišťují správnost vazby mezi IP adresami a MAC adresami. Podepisují se i dotazy, ale o tom později. Do objevování sousedů v IPv6 spadá i správná detekce nedostupnosti. Když

téma

je soused nedostupný, měli bychom to být schopni zjistit. Používá se stejný typ NDP zprávy jako pro zjištění MAC adresy. Nedostupnost se pozná podle toho, že (opakovaně) nepřijde odpověď. Použitím SENDu se můžete bránit útoku, kdy jiný stroj předstírá dostupnost již nedostupného zařízení. Velmi speciálním použitím NDP je detekce duplicitních adres, která je součástí procesu automatické konfigurace. Zařízení, které se chystá začít používat novou IP adresu, nejdřív posílá dotaz na tuto adresu, aby zjistilo, jestli ta adresa už není použita v síti. Při použití kryptografické adresy může zařízení zareagovat na kolizi s obyčejnou adresou, ale při dalším pokusu už kolize ignoruje kvůli možnému DOS útoku. Pozor ale na falešný pocit bezpečí. SEND v tomto případě pouze zajišťuje správnou vazbu mezi IP a MAC. To znamená, že nijak nechrání proti útokům typu MAC spoofing, ani nechrání následnou komunikaci. Je tedy jen jedním článkem v řetězu opatře-

ní, která je třeba udělat pro zabezpečení lokální komunikace.

Objevování routerů

(SEND) se dají používat dohromady. Ve skutečnosti SEND není samostatný nový protokol, ale sada rozšiřujících voleb pro protokol NDP. Zařízení bez podpory SEND tyto rozšiřující informace ignorují a fungují, jako by žádný SEND neexistoval. Oproti tomu zařízení s podporou SEND musí pečlivě vážit přijaté zprávy s ohledem na zabezpečení. Striktní nastavení, kdy se nezabezpečená oznámení ignorují, asi jen tak nepotkáte. Většinou to bude fungovat tak, že stroj bude dávat přednost podepsaným informacím a v případě jejich absence využívat nepodepsané. IPv6 díky svému většímu adresnímu rozsahu přináší nové možnosti adresace. Díky na zelené louce navržené architektuře automatického přidělování adres přináší autonomii koncových zařízení při volbě adres. Na obou těchto novinkách staví SEND, který umožňuje podepisovat informace týkající se objevování sousedů a routerů. SEND tak zavádí do protokolu IP úplně nové koncepty, které se jistě uplatní i v dalších situacích.

Podobně, jako funguje objevování sousedů, funguje i objevování routerů. Podstatný rozdíl je ale v tom, že ne každé zařízení má právo stát se routerem. Taková autorizace vyžaduje určitou spolupráci mezi routery a připojenými zařízeními. SEND zajišťuje tuto autorizaci pomocí certifikátů routerů, které jsou v nejjednodušším případě podepsané něčím, čemu se říká kotva důvěry. Každé zařízení má v sobě seznam těchto kotev, které přímo či nepřímo certifikují jednotlivé routery. CertifiINZERCE A111006186 kace může routerům vymezovat i konkrétní prefixy, které smějí nabízet.

Soužití SEND a NDP Klasické objevování sousedů (NDP) a bezpečné objevování sousedů


69

téma

*ÿ -Ê ùÊ

*," . Zabezpečení komunikace přes IPsec IP security, zkráceně IPsec, je protokol pro zabezpečení komunikace mezi počítači na sítích TCP/IP. Vznikl jako povinná součást IPv6 a později se začal uplatňovat i ve starším protokolu IPv4.

I

AUTOR

Psec nahrazuje či doplňuje různé starší protokoly pro navázání šifrované komunikace a tvorbu šifrovaných tunelů. Jeho asi největší konkurenční výhodou je standardizace pod křídly IETF a povinná implementace v IPv6. Jak název napovídá, zabezpečení probíhá na síťové úrovni, IPsec tedy slouží jako doplněk protokolu IP, který podobné bezpečnostní vlastnosti jinak nemá. Zabezpečení zajišťuje operační systém, aplikace se nemusejí o nic starat (na rozdíl třeba od TLS/SSL). IPsec nabízí zajištění autenticity, integrity a utajení IP paketů. Autenticitou se myslí, že víte, od koho jste paket dostali (není podvržený). Integrita znamená, že nebyl po cestě změněn. A utajení v tomto případě znamená, že kdo ho odchytí, nedozví se z něj nesenou informaci.

70

Pavel Šimerda Nezávislý lektor, konzultant a publicista v oblasti počítačových sítí, komunikace a bezpečnosti


Ochrana dat Povinnou součástí IPsec je protokol ESP, který nabízí všechny tři uvedené bezpečnostní vlastnosti, přičemž utajení se někdy vynechává, pokud není potřeba. Bez utajení funguje také autentizační hlavička (AH), kterou už teď ani není povinnost implementovat a celkově je spíše na ústupu. Budeme se tedy zabývat spíše protokolem ESP, a to ještě ve variantě se šifrováním. AH se použije v případě, že je potřeba chránit integritu včetně informací v IP hlavičce. Ať už se použije jakýkoli protokol, je potřeba zajistit, aby prošel firewallem.

Transportní varianta IPsec se používá dvěma způsoby. Prvním z nich je transportní varianta, kdy ESP část paketu obsahuje zašifrovanou transportní hlavičku a aplikační data a to vše je chráněno kontrolní hodnotou proti změně. IP hlavička je nechráněná. Podobně funguje protokol AH, jen nedochází k šifrování a kontrolní hodnota chrání i část IP hlavičky.

Transportní varianta se používá mezi jednotlivými koncovými zařízeními a nevyžaduje žádnou speciální podporu na routerech po cestě. Hlavní výhodou je, že jsou data chráněna po celé cestě od zdroje k cíli.

Tunelová varianta Tunelová varianta se používá, když je potřeba propojit celé sítě. Data pak probíhají šifrovaná jen mezi bránami daných sítí. Technicky to vypadá tak, že se celý IP paket zašifruje, zabalí do ESP a přidá se nová IP hlavička. V této veřejné hlavičce uvidíte jen adresy bran propojených sítí. Tunelová varianta IPsec se tedy chová jako klasická VPN. Tento způsob se používá i na speciální případ, kdy se k síti připojuje samostatný počítač. IPsec potom chrání spojení mezi tím jedním počítačem a sítí. Obvyklé použití je zaměstnanecká VPN pro mobilní přístup do sítě. Mezi výhody tunelového přístupu patří skrytí IP hlavičky a také to, že konfigurace probíhá pouze na koncových bodech tunelu. Ostatní zařízení nemusí být pro toto použití nijak nakonfigurovaná.

Bezpečnostní vztahy Aby toto vše fungovalo, musí být komunikující strany nějak domluvené. Navazují

téma

spolu dvojici jednosměrných vztahů (Security Associations), které popisují parametry zabezpečené komunikace. Bez nich by zabezpečená komunikace nemohla probíhat, obsahují totiž šifrovací klíče. Bezpečnostní vztahy se neustále udržují a klíče se z důvodu bezpečnosti obnovují.

Politika a autentizace IPsec musí být na obou stranách nakonfigurovaný tak, aby spolu strany navázaly spojení, autentizovaly se navzájem a vytvořily výše zmíněné bezpečnostní vztahy. Konfigurace obsahuje detailní informace o tom, jak má bezpečné spojení vypadat. Součástí jsou i autentizační údaje. Jako identifikátor lze použít DNS názvy, IP adresy, e-mailové adresy a další. K autentizaci se používá buď jednoduché heslo (PSK, pre-shared key), nebo certifikát. Certifikát se ověřuje podle podpisu důvěryhodné entity, například firemní certifikační autority. Proces autentizace se řídí protokolem IKE, který slouží k výměně klíčů a udržování vztahů mezi koncovými body. Protokol IKE používá UDP port 500, který je potřeba mít povolený na firewallu společně s ESP/AH. Součástí politiky jsou pravidla, která určují, jaká komunikace bude zabezpečena a jaká zůstane nezabezpečena. Používají se zdrojové a cílové prefixy, případně i porty transportních protokolů.

Integrace s DNS Kvůli protokolu IPsec byl zaveden nový typ záznamu v DNS jménem IPSECKEY, který

se přiřazuje IP adrese podobně jako třeba reverzní záznamy. Klíče v DNS se mají kombinovat s kryptografickou ochranou samotné DNS zóny pomocí DNSSEC. Klíče slouží k tomu, aby mohly navazovat zabezpečenou komunikaci dva stroje, aniž by se mezi nimi přenášela nějaká informace. Ta informace už se nachází v DNS, stačí si ji jen vyzvednout.

IPsec a NAT Traversal IPsec je protokol přidružený k protokolu IP na síťové vrstvě. Dnes se běžně setkáte se sítěmi za IP maškarádou (či zjednodušeně NATem), IPsec byl navržen pro IPv6 bez NATu. A protože NAT funguje správně jen s velmi omezenou sadou protokolů (konkrétně TCP a UDP), celkem spolehlivě rozbije i IPsec. Proto se už nějakou dobu používá trik, kdy se použije ESP zabalené do UDP datagramu, aby se o něj postaral klasický UDP NAT. V případě použití NAT traversal se přechází z IKE na UDP port 4500, který se použije i pro ESP. Vyhnete se tak problémům s routery, které se snaží pomoct IPsec provozu a dělají to špatně. Pak už nic nebrání tomu používat IPsec jako VPN pro práci doma i na cestách. Se zapnutým NAT-T funguje přinejmenším stejně dobře jako jiné VPN.

L2TP over IPsec Na systémech Microsoft Windows je jednou z nejoblíbenějších vestavěných VPN L2TP over IPsec. Funguje přesně tak, jak naznačuje její název. IPsec slouží jako spodní,

zabezpečující vrstva. L2TP pak tvoří samotnou VPN. Oproti klasické VPN na protokolu PPTP má řešení s IPsec významné bezpečnostní výhody. Už jenom to, že se posílá každý paket zabezpečený, by vás mohlo zaujmout. Tato technologie funguje bez problémů i na výrobcích Applu a lze zprovoznit na Linuxu. Nové verze linuxových distribucí budou mít L2TP/IPsec už připravenou v uživatelsky přívětivé podobě, jako teď mají PPTP, OpenVPN a další.

Implementace IPsec je implementován ve všech trochu lepších routerech. Hledat můžete mezi značkami, jako je Juniper a Cisco, ale třeba i Mikrotik, který zaujme nižší cenou. Takové ty routery „do domácností a malých firem“ jím obvykle nedisponují. Všechny dnes běžné operační systémy jako Windows, Mac OS X, Linux a BSD IPsec umí. Microsoft Windows ho mají integrovaný do firewallu. Pro Linux a BSD existuje dokonce několik konkurenčních nástrojů, které se starají o autentizaci a výměnu klíčů. Na Linuxu i dalších se o vlastní IPsec provoz stará jádro. IPsec je užitečná a uznávaná technologie pro tvorbu různých druhů VPN. Její konfigurace není s dobrými nástroji o nic těžší než konfigurace kterékoli jiné VPN. Pokud jste se s ním ještě nespřátelili, doporučuji začít propojením dvou sítí s různými prefixy pomocí tunelové varianty. Sítě můžou být na privátních adresách, pokud mají routery veřejnou adresu. Přestože je IPsec zavedený a používaný, věřím, že má šanci se dostat ještě dál. Konkrétně, ale to už se dopouštím spekulace, by mohl začít nahrazovat šifrování na vyšší vrstvě, pokud k němu operační systémy dodají nějaké šikovné rozhraní, ze kterého si aplikace ověří zabezpečení svých paketů.

Diagram ukazuje možnosti zabezpečené komunikace s centrálou a koncovými stanicemi


71

connect

/ Ê Ê 6Ê "1 1 Cloud pre živnostníkov Ak ste živnostník, alebo malá firmička, nemusíte nutne nakupovať drahý desktopový softvér a serverové riešenia. Môžu vám postačovať aj zadarmo dostupné cloudové služby.

V

posledných rokoch zo všetkých strán skloňovaný pojem cloud computing by sa mohol zdať na prvý pohľad skôr nehmotný, nejaké virtuálne éterické IT prostredie, ktoré poskytuje služby a o ktoré sa netreba starať. O výhodnosti cloudu pre firmy dnes už snáď nikto nepochybuje, ale čo môže cloud poskytnúť vám osobne? Cloud computing v rôznych podobách preniká čoraz viac aj do IT agendy bežných domácich používateľov, študentov, malých živnostníkov... „Cloud“, alebo po našom oblak, je určitou metaforou pre komplexné sieťové prostredie sietí, tento termín sa vžil pre informačné technológie na pozadí, teda internet. Cloud computing v inom, trochu humornejšom ponímaní znamená použitie výpočtových technológií za hranicami domácej či podnikovej siete, teda tam, kde je to pre používateľov „v oblakoch“. Podľa jednej z definícií je Cloud computing metóda poskytovania IT vo forme služby, pričom predpokladaná spoľahlivosť, dostupnosť, spôsob poskytovania a fakturácia sa dá porovnať napríklad s dodávkami elektrickej energie, pričom... vo firemnej sfére by definícia pokračovala štandardne, teda: ... zákazník platí len za to, čo práve využíva. Platí to aj pre niektoré spoplatnené cloudové služby pre osobné použitie, no zatiaľ je väčšina týchto služieb bezplatná, respektíve platí sa len za rozšírené verzie a špeciálne služby.

PC znamená osobný počítač

AUTOR

Zamyslite sa nad spôsobom, ako pracujete so svojim počítačom. Určite ste si vytvorili viac alebo menej premyslený systém priečinkov, do ktorých ukladáte svoje dokumenty a multimediálne súbory. Tí zodpovednejší si prácu zálohujú na externých diskoch. Mnohí z vás neustále synchronizujú dokumenty medzi počítačom v práci a doma. K tomu pristupujú rôzne hrozby.

72

Ľuboslav Lacko Nezávislý IT publicista a softwarový vývojář


Musíte ochrániť počítače a externé disky pred hrozbou, že škodlivý softvér poškodí dokumenty a súbory na infikovanom zariadení. V prípade straty alebo krádeže notebooku či externého disku hrozí strata, či dokonca zneužitie vašich dokumentov a údajov. Naznačené problémy elegantne a komplexne rieši cloud computing, ktorý prináša okamžitú dostupnosť dokumentov a výpočtovej kapacity kedykoľvek odkiaľkoľvek a z akéhokoľvek, bezpečnosť a ochranu dát pred vírusmi a inými hrozbami. V prípade straty alebo krádeže klientskeho zariadenia, teda notebooku či tabletu, sa škoda

Túto službu si môžete predstaviť ako veľký online USB kľúč. Servery pre beh vašich aplikácií a priestor pre ukladanie vašich údajov sú v skutočnosti niekde v globálnom dátovom centre poskytovateľa, čiže v cloude. Na cloudové disky si môžete ukladať nielen dokumenty, ale aj multimédiá, štúdijné materiály či elektronické knihy. Ako príklad uvedieme Windows Live SkyDrive. Pomocou tieto služby môžete odkiaľkoľvek, kde ste online, ukladať, otvárať a zdieľať fotografie a súbory, ktoré vytvoríte, s priateľmi, spolupracovníkmi alebo rodinou. Bezplatný 25GB ukladací priestor vám umožňuje jednoducho pristupovať k svojim súborom kedykoľvek, odkiaľkoľvek a z akéhokoľvek zariadenia. Podobne ako vo svojom počítači, aj v úložnom priestore služby SkyDrive môžete svoje dokumenty prehľadne organizovať pomocou priečinkov, do ktorých môžete ukladať ľubovoľné typy súborov. Môžete vytvoriť priečinky, do ktorých budete mať prístup len vy, verejné priečinky, do ktorých bude mať prístup každý, alebo priečinky, ktorých obsah budete zdieľať len z s určitý-

Na web je možné přesunout e-maily, kancelář, ale i vyspělé aplikace dá vyčísliť len hodnotou daného zariadenia, no jeho majiteľ nepríde o žiadne svoje údaje. Obnovenie IT agendy používateľa po takejto udalosti, rovnako ako po kúpe novšieho modernejšieho zariadenia, je prakticky okamžite, úplne odpadá potreba migrácie dát zo starého zariadenia.

Elektronická pošta a plánovanie času Priekopníkom trendu služieb poskytovaných cez web bol mailhosting. Prakticky každý používateľ počítača už má dávnejšie vytvorené na webe nejaké e-mailové konto (Gmail, Hotmail, atp.). V dobe, keď ste si tieto kontá vytvárali, ste určite ani netušili, že to raz bude ponímané ako jedna z cloudových služieb. Tieto služby poskytujú nielen niekoľko gigabajtov priestoru pre archiváciu vašej elektronickej pošty (Windows Live Hotmail 5 GB, Gmail 7 GB), ale aj sofistikovanú ochranu pred nevyžiadanou poštou.

Úložný priestor Podobne je to s rôznymi úložnými priestormi na webe (SkyDrive, Google Storage, Amazon Cloud Drive) či servermi pre ukladanie a zdieľanie multimediálneho obsahu (YouTube, Google video, Picasa, Flickr…).

mi osobami zo svojho zoznamu kontaktov služby Windows Live. Každý priečinok aj dokument v službe SkyDrive má jedinečnú webovú adresu, preto môžete prepojenie napríklad skopírovať a prilepiť do e-mailu, a tak umožniť adresátovi priamy prístup. Niektoré webové úložiská sú spoplatnené, napríklad iDisk ako súčasť služby Apple MobileMe je prvých 60 dní zdarma, potom je služba spoplatnená čiastkou 99 USD za rok. U služby Google Storage si môžete priplatiť od 20 GB za 5 USD ročne až po 1 TB za 246 USD ročne. V štádiu bezplatnej beta verzie je momentálne cloudový úložný priestor Apple iWork.com. Umožňuje zdieľanie uložených dokumentov na akomkoľvek Macu, PC, iPade či iPhone cez Safari.

Kancelársky balík Pre prácu s dokumentmi v domácnostiach, u študentov či živnostníkov sa počas približne dvadsaťročného pontifikátu PC vžil klasický scenár: nainštalujete si aplikácie kancelárskeho balíka, či už komerčný, alebo voľne šíriteľný. Následne sa v príslušnej aplikácii dokument vytvorí alebo otvorí a môže sa s ním pracovať. Po ukončení práce sa uloží na lokálny disk alebo USB kľúč. Tento scenár zmenil až cloud. Čoraz viac sa začína používať práca s dokumentmi

connect

mu náhrady aplikácie Access. Slúžia hlavne na získavanie informácií od používateľov či klientov. Výsledný súhrn odpovedí je možné zobraziť aj vo forme grafu.

Mobilný prístup k dokumentom

Vzhľadom k možnostiam webového rozhrania môžu byť niektoré funkcie určitým spôsobom obmedzené, napríklad niektoré grafické prvky pôvodných dokumentov sa zobrazia v zjednodušenej podobe

priamo na webe, pričom vám úplne stačí len prehliadač webového obsahu. Všetky významné kancelárske balíky sú v súčasnosti dostupné cez web, a čo je veľmi potešiteľné, sú dostupné zdarma.

editor, tabuľkový procesor, nástroj na kreslenie, aplikáciu na prácu s prezentáciami a aplikáciu na tvorbu formulárov. Služba je bezplatná, stačí si vytvoriť Google konto, k dispozícii je aj komerčné riešenie Google Apps for Business. Služba sa aktivuje Office Web Apps z menu Google prostredníctvom položky menu Viac. V rámci bezplatnej služby V súčasnosti je už k dispozícii plne funkčmáte pre svoje dokumenty k dispozícii ný „webový Office“ pre osobné použitie na lokalite Windows Live a beta verzia Office úložisko s kapacitou minimálne 1 GB. Mi365, pre prácu s dokumentmi v podnikonimálne preto, lebo dokumenty vo formáte vej sfére. Na Windows Live sú k dispozícii Google Docs sa do tohto limitu nepočítajú. Odporúčame vám teda prekonwebové verzie vybraných aplikácií balíka vertovať dokumenty, ktoré hodláte sem Office, konkrétne Word, Excel, PowerPoint importovať. Konverzia funguje prakticky a OneNote. Pre prácu s dokumentmi Office na webe je potrebné vytvoriť si konto Winpre všetky rozšírené formáty dokumentov dows Live ID (www.live.sk). Dokumenty (*.doc, *.docx, *.xls, *.xlsx, *.ppt, *.pptx, *.rtf, môžete mať uložené na virtuálnom disku *.odt, *.ods…). Dokonca existuje aj variant služby typu „vyskúšaj a zahoď“, kde si môSkyDrive, prípadne môžu byť súčasťou mailových správ služby Hotmail. Obidve služby žete vyskúšať prácu s dokumentmi bez sú súčasťou webu Windows Live. nutnosti vytvárať konto na službe Gmail. Veľkou výhodou je možnosť upravoDokumenty sú síce dostupné len 24 hodín, ale prostredníctvom URL linku ich môžete vať rovnaký dokument naraz s viacerými spoluautormi, bez ohľadu na to, či sú zdieľať s ostatnými v reálnom čase, stiahnuť v susednej izbe internátu, alebo na rôznych na svoj PC alebo poslať e-mailom. Tento kontinentoch. variant môžete použiť napríklad vtedy, ak potrebujete vytvoriť dokument na Google Docs mieste, ktoré nepovažujete za bezpečné, Služba Google Docs je plnohodnotný kannapríklad v internetovej kaviarni, kde sa celársky balík, primárne určený pre osobné nechcete prihlasovať ku svojmu „vlajkovénekomerčné použitie. Obsahuje textový mu kontu“. Na nedôveryhodných miestach občas zvyknú byť nainštalované programy, ktoré zosnímajú vaše prihlasovacie meno a heslo. Zatiaľ čo práca s textom, tabuľkami a tvorba prezentácií patrí do akejsi povinnej zostavy kancelárskych balíkov, Google dokumenty ponúkajú ako pridanú hodnotu ďalšie dve aplikácie pre kresby a formuláre. Kreslenie voľným štýlom príliš nenadchne, ale určite oceníte možnosť vytvárania schém a diagramov, ktoré môžete vkladať do dokumentov, tabuliek a prezentácií. Formuláre spolu s tabuľkami môžu predstavovať akúsi forEditovanie textového dokumentu v službe Google Docs

K dokumentom cloudových kancelárskych balíkov je možné pristupovať aj prostredníctvom mobilných platforiem, napríklad iPhone, Android či Windows Phone 7. Koncepcia rozhrania je spravidla natoľko intuitívna, že používateľ si ani neuvedomí obmedzenia vyplývajúce z malého displeja, ktorý začne vnímať ako flexibilne posúvateľné okno do sveta svojich dokumentov a komunikácie. Na rozdiel od klasických aplikácií, ktorých verzie sa distribuujú vždy ako celok po určitom čase, webové aplikácie sa aktualizujú postupne, podľa toho, ako vývojári a testeri pokročili vo svojej práci. Preto odporúčame občas skontrolovať vaše cloudové aplikácie, či im nepribudla nejaká nová funkcionalita. Navyše Cloud computing sa netýka len počítačov, tabletov a mobilných zariadení, ale aj herných konzol a televízorov či multimediálnych boxov, takže pre prístup, a dokonca aj vytváranie dokumentov už počítač či tablet nebude nutný.

Grafické editory Dôležitým nástrojom pre tvorbu graficky bohatých dokumentov je grafický editor. Ako príklad uvádzame kvalit-

Cloudový grafický editor Sumo Paint

ný webový grafický editor Sumo Paint (www.sumopaint.com ). Vlastné webové úložisko Sumo Account oprávňuje túto aplikáciu ku prívlastku „cloudová“. Okrem rôznych tvarov a štandardných funkcií aplikácia ponúka aj prácu s vrstvami a množstvom rôznych filtrov. Obrázky vo formátoch SUMO, PNG a JPG je možné uložiť do cloudu alebo na lokálny disk. Na rovnakom princípe funguje aj Pixlr Editor (pixlr.com), ktorý podporuje ukladanie obrázkov do viacerých webových a cloudových služieb a sociálnych sietí, na-


73

connect

príklad Picasa, Flickr či Facebook. Fotografie môžete editovať napríklad pomocou aplikácie Adobe Photoshop Express Editor (photoshop.com/tools?wf=editor).

Práca s PDF dokumentami V ankete o najpoužívanejšie aplikácie na osobných počítačoch by sa na popredných miestach umiestnila aplikácia Adobe Reader pre prehliadanie dokumentov vo formáte PDF. Spoločnosť Adobe sa taktiež pripojila ku cloudovej vlne a poskytla online službu Acrobat.com (acrobat.com), súčasťou ktorej je aj Adobe Buzzword na tvorbu PDF dokumentov. Do dokumentov môžete vkladať komentáre, tabuľky, zoznamy a obrázky, pričom obrázky môžete vkladať z lokálneho počítača aj zo služieb typu Flickr či Picasa.

Cloudová simulácia desktopov Skúsme sa presunúť na trochu vyššiu úroveň. Niektoré weby ponúkajú aplikácie, ktoré sa navonok tvária ako operačný systém. Zdôrazňujeme slovo „tvária sa“, nakoľko len simulujú používateľské prostredie, na ktoré sú ľudia zvyknutý z klasických operačných systémov. Simulácia sa týka obmedzenej množiny funkcií, napríklad prehliadania dokumentov PDF a obrázkov, jednoduchého súborového manažera či prehrávania multimédií. Do tejto skupiny patria napríklad www.andrewmin.com/webx, www.eyeos.org, www.edeskonline.com, www.glideos.com.

Virtuálne desktopy Idete na cesty a potrebujete maximálnu mobilitu? Nová generácia tabletov a moderných telefónov vás k tejto méte značne priblížila, no možno sa trochu bojíte kompatibility. Jednou z odpovedí na túto otázku je virtualizácia desktopov, ktorá umožňuje aj také zdanlivo nereálne veci ako fungovanie Windows 7 na úplne iných platformách, napríklad na prístrojoch Apple iPad či iPhone. Virtuálny stroj beží na serveri a na mobilné klientske

zariadenie sa prenesie len používateľské rozhranie, teda obrazovka a interakcia s používateľom. Verzie nástrojov pre prístup k virtualizovaným desktopom sú k dispozícii pre notebooky, tablety aj smartfóny, takže k virtualizovaným desktopom a aplikáciám je možné pristupovať naozaj všade, pričom funguje takzvané „odovzdávanie štafety“, čo umožňuje veľmi sofistikované scenáre použitia. Môžete pripraviť prezentáciu na PC, následne ju zákazníkovi prezentovať cez tablet a večer na spoločenskej párty sa pripojiť cez smartfón a ukázať kľúčové informácie z prezentácie nádejnému obchodnému partnerovi. Virtuálny stroj beží na serveri a na aktuálne pripojenom zariadení ho nájdete v takom stave, v akom ste ho na predtým pripojenom prístroji zanechali. Takže virtualizácia je ďalším pádnym argumentom do debaty, či tablety nahradia, alebo nenahradia notebooky.

Zero client Dosiaľ sme ukázali, ako pomocou cloudových služieb nahradiť pevný disk na ukladanie dokumentov, ako nahradiť základné softvérové komponenty, dokonca aj operačný systém. Takže čo nám zostalo na desktope? Procesor, operačná pamäť, grafická karta… Zariadenie typu Zero client nič z toho nepotrebuje. Všetko beží na serveri, konkrétne na virtualizovanom desktope, a to vrátane operačného systému aj aplikácií. Jedinou úlohou jednoduchého a lacného klientského zariadenia je sprostredkovať prezentačné rozhranie, teda prenášať od servera ku klientovi obsah obrazovky a od klienta povely zadávané používateľom prostredníctvom klávesnice a myši. Zložitosť a cenu takéhoto zariadenia by sme mohli prirovnať k set top boxu pre DVBT. Konštrukčne sa jedná o malé skrinky, ktoré sa buď pripevnia na zadnú stranu monitora, prípadne priamo do montážnej škatuľky na stenu alebo do pracovného stola, do akej sa bežne montujú elektrické zásuvky alebo vypínače. Prostredníctvom desktopovej virtualizácie dokáže zariadenie typu „Zero client“ sprostredkovať používateľovi v prípade potreby prakticky neobmedzený výkon, ktorý sú servery schopné poskytnúť vrátane graficky náročných hier či HD videa.

Kde sú vaše údaje a aplikácie, ktoré používate? Prístup k virtuálnemu počítača z iPadu cez VMware View

74


U recenzií klasických produktov ste boli zvyknu-

tí aj na popis hardvéru, na ktorom daná aplikácia môže bežať. Samozrejmosťou boli fotky PC zvonku aj pohľad do vnútra. Stačí letmý pohľad na naše fotografie, aby ste si uvedomili, že v prípade cloudových riešení je to trochu inak. Sú prevádzkované v obrovských globálnych dátových centrách. A ak by sme mali byť puntičkári, pri výbere počítačov ste určite uprednostňovali tie s nálepkou „Green“. Vaše ekologické povedomie môže byť pokojné aj pri využívaní cloudových riešení. Na dátové centrá sa samozrejme žiadne nálepky nelepia, no napriek tomu je ekologické hľadisko výrazne preferované. V drvivej väčšine prípadov sú umiestňované v tesnej blízkosti obnoviteľných zdrojov energie, teda vodných alebo veterných elektrární. Napríklad Google stavia obrovské dátové centrum v tesnej blízkosti Dallesovej priehrady na rieke Columbia.

A čo vy, už ste migrovali svoju agendu do cloudu? Odpoveď na túto otázku vám poskytne „spytovanie svedomia“ nad pre niekoho doslova katastrofickým scenárom. Predstavte si, že vám v zahraničí práve ukradli notebook, ktorý ste však mali prezieravo poistený, takže nákup nového nebude problém. Dokážete s novým notebookom okamžite pokračovať v rozpracovanej práci? Dokážete známym, ktorých hodláte navštíviť, ukázať fotky a videá? V budúcnosti budete môcť pristupovať k svojej IT agende kedykoľvek, odkiaľkoľvek a z akéhokoľvek zariadenia, či už to bude tablet, alebo smartfón. Ku svojim dokumentom, prípadne aj aplikačnému prostrediu sa pripojíte v práci, doma, na dovolenke… V budúcnosti do hry vstúpi nová generácia zariadení typu zero client s ultratenkým displejom schopných sprostredkovať z webu, pardon – z cloudu – všetko, čo potrebujete. Nebudete platiť za úložnú kapacitu na externých USB médiách, na ktorých máte pre istotu uložené množstvo kópií tých istých dokumentov, nemusíte sa obávať straty takéhoto zariadenia či toho, že omylom pri manuálnej synchronizácii prepíšete novšiu verziu staršou. Odpadnú problémy s licenciami na množstvo produktov, zaplatíte si za jeden komplexný balík cloudových služieb. Samozrejme žiadne starosti s upgrade softvéru na nové verzie ani s opravnými balíčkami na plátanie bezpečnostných dier. Ak budete potrebovať na pár hodín väčší výpočtový výkon, trebárs na editovanie HD videa, prenajmete si ho z cloudu a nemusíte so sebou všade vláčiť drahý a ťažký notebook s výkonným procesorom. Vďaka cloudu bude IT svet jednoduchší a prívetivejší.

connect

výkonu a služeb se přesouvá do datových center a cloudů a tahle firma tam bude se vším všudy.

Vlastní App Store pro koncové i firemní uživatele

"ÊÊ* HP představilo strategii pro budoucnost HP Summit v San Franciscu přinesl jasně nalajnovanou strategii firmy do následujících měsíců. Jde o cloudy, SaaS, chytré akvizice a také webOS.

V

ývojová strategie HP už je sice průhledná delší dobu, nedávno ji ale oficiálně potvrdil i nový šéf společnosti Leo Apotheker. Jedna z největších technologických firem světa se hodlá zaměřit na služby spojené s cloud computingem, SaaS, analýzou a zprostředkováním dat, a významnou roli má hrát také operační systém webOS. HP chápe význam cloudu pro firmy a jednotlivce a nechce zůstat pozadu. Buduje proto vlastní cloudovou platformu, která by měla konkurovat populárním Amazon Web Services nebo Windows Azure od Microsoftu. Bude se tedy jednat o nástroj, který umožní vytvářet aplikace pro cloud a následně je v oblacích také provozovat. Zástupci HP prozatím nespecifikovali, jak bude produkt přesně vypadat, podle dostupných informací by ale část měla být vytvořena přímo v HP a některé technologie firma získá díky strategickým akvizicím.

Datové centrum bez partnerů

AUTOR

HP by v této oblasti mohlo získat velice zajímavou pozici, protože posledních několik měsíců zbrojilo tak, aby bylo schopné nabí-

Jan Sedlák redaktor Computeru a Živě.cz

zet kompletní vybavení pro provoz serverů a datových center. Pokud tedy vyrukuje také s vlastní cloudovou platformou, bude moci svým zákazníkům nabídnout jedno integrované řešení a nebude se muset spoléhat na své partnery. Z mnoha výzkumů jasně vyplývá, že zákazníci velice rádi nakupují řešení od jednoho výrobce. Usnadní to nejen implementaci, ale také případný servis a rozšiřování. Technologický obr už dříve koupil například 3Com, díky čemuž získal síťové komponenty, či 3PAR a jeho velice silné úložné systémy, mimo jiné připravené pro běh v cloudu. Leo Apotheker zdůraznil, že HP bude i nadále uskutečňovat chytré akvizice, které dopomohou k formování vize. Jednou z takových akvizicí má být i odkup společnosti Vertica, která má mimo jiné dobře posloužit k tomu, aby HP bylo silné v dalším segmentu – analýze a zprostředkování dat. To dává dohromady další dílek skládanky, firmy totiž chtějí mít všechna firemní data pěkně analyzována a po ruce. Strategie v korporátní sféře je tedy pro firmu jasná: Chcete datacentrum, cokoliv kolem cloudu a všechno si to kontrolovat, monitorovat, analyzovat, a to pokud možno od jednoho dodavatele? Máme všechno, nic víc nehledejte. HP na to jde chytře, většina výpočetního

V souvislosti s cloudy HP chystá také další chytrý krok – vlastní obchod s aplikacemi. Firma vybuduje vlastní App Store, přes který bude možné nakupovat aplikace pro webOS, ale také do firemního cloudu. Chcete si nainstalovat CRM systém do vašeho cloudu? Není problém, stačí si ho naklikat na webu a vše se vám do cloudu nainstaluje. Podobně na to jde například VMware, který rovněž nabízí podobnou implementaci aplikací do oblak. App Store bude dostupný samozřejmě také pro koncová zařízení s webOS – aplikace si budete moci koupit pro mobilní telefon, tablet a klasický počítač. Právě webOS má pomoci HP v růstu v oblasti koncových uživatelů. Ještě do konce roku se na trh dostanou nové chytré telefony Palm s novou verzí tohoto systému a netrpělivě očekávaný je především tablet HP TouchPad. Apotheker ale mnohé nedávno překvapil prohlášením, že se webOS dostane také na klasické osobní počítače. Od roku 2012 budou mít všechny prodávané počítače HP nainstalovaný právě tento systém. Žádný podrobnější koncept prozatím nebyl představen, avšak obrázek si bude možné udělat ještě do konce tohoto roku. HP totiž chce vydat webOS v beta verzi pro webové prohlížeče. Softwarový pozůstatek po Palmu bude také součástí tiskáren. HP s odkupem Palmu udělalo velice chytrý krok. Jak ukazují prodejní grafy, prodeje tiskáren každoročně klesají, zatímco prodeje chytrých telefonů a tabletů rostou. HP tak získalo mocnou platformu a zázemí, což jim v budoucnu pomůže zalepit případné poklesy prodejů z tradičního tiskařského byznysu. Apothekerova firma se, zdá se, stále více vzdaluje od Microsoftu, svého velikého partnera. Zní to logicky, jeho produkty nahrazuje vlastními. Může je lépe kontrolovat a synchronizovat. Apotheker však dodává, že Microsoft i nadále zůstává významným partnerem. V souvislosti s tablety se například zmínil v tom smyslu, že stále čekají na „tu správnou verzi Windows“. HP má do budoucna dobře našlápnuto a prozatím to nevypadá, že by se naplňovaly obavy z příchodu nového šéfa. Apothekerův předchůdce Mark Hurd byl sice velice úspěšný, před několika měsíci ale musel z firmy odejít kvůli údajné sexuální aféře s podřízenou. Apotheker dříve krátce působil na pozici nejvyššího šéfa SAPu. Hurd nyní působí v Oraclu, jednom z největších konkurentů HP.


75

connect

ù-/"Êÿ 1Ê Ê

9/ÿ .Ê* /ù Novinky z konference IBM Impact 2011 Las Vegas také letos hostilo konferenci IBM Impact, kde se sešlo přes 8 tisíc lidí z celého světa. IBM, které slaví 100 let od svého vzniku, zde představilo nejen svoji vizi informačních technologií a byznysu do dalších let, ale také projekt spojený s budováním chytřejší planety, superpočítač Watson a novou generaci nástrojů WebSphere.

K

AUTOR

dykoliv jsem si za posledních pár měsíců sedl s manažery IT gigantů, utvrdili mě v tom, že se IT ve firmách zásadně proměňuje. Nemluvím teď o technologické části, to je jasné, v tomto směru se informační technologie vždycky vyvíjely a záleželo pouze na firmě, jaký si stanovila cyklus pro obměnu a inovace svého technologického parku. Mnohem důležitějším poznatkem je ale to, že se proměňuje především chápání managementu, které už IT nebere jako nutné zlo, jemuž je nutné se přizpůsobovat. Management už nechce poslouchat techniky z IT oddělení s tisícem výmluv, proč to nejde, ale naopak tyto chlapíky úkoluje a říká jim, jak musí technické zázemí fungovat, aby bylo užitečným parťákem byznysu.

76

Jan Sedlák Redaktor Computeru a Živě.cz


Stejné věty zazněly také na hlavních přednáškách v rámci konference IBM Impact 2011. Podle slov zástupců jedné z nejstarších technologických firem světa jsou motorem veškerých technických inovací lidé a firmy s jejich potřebami a požadavky, nikoliv samotné technologie a inženýři. IT a byznys nutně musí jít ruku v ruce, a k tomu je potřeba dodávat takové nástroje, které to všechno umožní. Podle IBM je k úspěšné symbióze dříve těžko slučitelných firemních součástí nutné zabývat se několika základními body, které definuje jedno zásadní heslo: „Kdo řídí vás byznys? Vy, nebo balík nějakých aplikací?“ Při procesu přechodu

od brzdícího IT k prospěšnému IT je proto nutné vyřešit například co nejjednodušší infrastrukturu, získat kontrolu nad všemi firemními aplikacemi, dostat aplikace do mobilních zařízení, zajistit jejich dostupnost kdekoliv na světě a díky tomu všemu pak okamžitě reagovat na potřeby zákazníků a obchodu.

WebSphere 8 umožňuje nasazovat aplikace a zprostředkovat mezi nimi komunikaci

connect

IBM Watson Inženýři z IBM už sestrojili několik superpočítačů, které udivují svými schopnostmi. Tím posledním je IBM Watson, který dokáže soutěžit ve hře Jeopardy! (v Česku známá jako Riskuj) a prozatím nemá konkurenci. Dokázal totiž porazit i dva největší světové přeborníky v této hře. Návštěvníci IBM Impact si Watsona mohli sami vyzkoušet v praxi. Watson využívá podkladová data z mnoha encyklopedií a znalostních bází, například

WebSphere 8 a Business Process Manager Všechna tato kouzla u IBM umožňuje middleware WebSphere Application Server, který už je dostupný v osmé verzi. WAS 8 je možné provozovat na všech zásadních serverových platformách, od Windows Serveru přes RHEL a Solaris až po IBM Power System a AIX. Možné také je vybrat si z virtualizačního prostředí, podporováno je například PowerVM Hypervisor od IBM nebo VMware ESX. WAS 8 nově nabízí podporu Java EE 6, JSP 2.2, EJP 3.1 a Servlet 3.0. Podporováno je také široké spektrum procesorů, kromě těch běžných také třeba Sun UltraSPARC T2 a T3 nebo IBM POWER7. Kromě klasických edicí je WAS 8 dostupný také v balíčku Express, který však kromě některých omezení podporuje maximálně 480 PVU. WAS 8 je klasický nástroj pro SOA a umožňuje vývoj a nasazení aplikací a jejich vzájemné propojení. Více novinek o osmé verzi se dozvíte na adrese bit.ly/j32MCQ. Užitečným nástrojem, který dokáže propojit IT s byznysem, je také IBM Business Process Manager, který slouží k navrhování obchodních procesů s napojením na veškeré další procesy ve firmě. Naprosto jednoduše si pomocí drag-and-drop a předpřipravených nebo vlastně nastavených objektů můžete vytvářet dynamické mapy s jednotlivými kroky v rámci

z Wikipedie, DBPedie, WordNet, Yago a dalších, které pak zvládne díky vlastnímu systému poskládat do správných výsledků na základě položené otázky. Watson není pouze mašina, která strojově odpovídá, ale do jisté míry dokáže chápat význam položené otázky, což pokládá základy primitivní umělé inteligenci. Watson samozřejmě není bezchybný, občas odpoví scestně, přesto ho ale prozatím nikdo neporazil. I když se navenek tváří jako jedna malá obrazovka, ve skutečnosti je to velký rackový server, který pohání 90 serverů IBM Power 750 s celkem 2 880 procesorovými jádry POWER7 a 16 TB operační paměti. Operační systém je napsán v Javě a C++ a využívá framework Apache Hadoop a SUSE Linux Enterprise Server 11. Na ukázkové video přímo z Las Vegas se můžete podívat na Živě.cz na adrese bit.ly/hoVD2V.

obchodního procesu. Napojení na ostatní služby je pak automatické a vy nemusíte nic dalšího řešit. Vize IBM v cloudové oblasti je jasná – umožňovat firmám nasazovat jejich aplikace přes webové rozhraní a umožňovat jejich propojení s jinými aplikacemi.

Sociální sítě ve firmách IBM také vidí veliký trend ve firemních sociálních sítích, které se postupem času zdají jako velice užitečný a schopný partner pro CRM systémy a zavedené komunikační služby. Sociální sítě ve firmě mohou být užitečné nejen v komunikaci mezi zaměstnanci, ale dokážou přidávat věci do kontextu, což je pak velice užitečné v byznysu. Nová verze IBM Connections 3 stále pokračuje v nastaveném trendu „Facebooku pro firmy“ a přidává některé nové funkce. Widget Media Gallery umožňuje všem uživatelům sdílet tzv. rich content, který je navíc možné integrovat kdekoliv na stránce. Media Gallery podporuje všechny standardy multimédií, není tedy problém v rámci firmy sdílet rich media z většiny dostupných zařízení. Zajímavou novinkou je také Ideation Blog, díky kterému mohou zaměstnanci formou blogů navrhovat různé nové postupy a nápady, k nimž pak automaticky mají přístup všichni povolaní. Ti pak mohou jednotlivé příspěvky komentovat, hodnotit a doporučovat dále. Kompletní připomínkovaný nápad je nakonec

možné zkompletovat jako projekt a poslat ho dále v systému ke zpracování. Pokud chcete mít ve firemní sociální síti pořádek, může být užitečná funkce pro moderování obsahu, podobně jako to bývá třeba na diskusních fórech. Vše, od blogů přes fóra až po rich media a soubory, je možné podrobit schvalovacímu procesu, který může mít pod kontrolou libovolný počet uživatelů s nastavenými právy. Se soubory je navíc možné pracovat také s napojením na IBM Content Manager, což zajistí jednoduché napojení na jednotnou infrastrukturu. IBM Connections 3 vylepšuje také řadu další funkcí, zejména se hodně pracovalo s hlavní stránkou a doporučováním dalších lidských spojení. Využívat můžete také Wiki katalog pro rychlé řešení úkolů a problémů. IBM nabízí klienty pro mobilní platformy, takže je možné na vnitrofiremní sociální síti komunikovat mimo počítač.

IBM Smarter Planet IBM svůj projekt Chytřejší planeta prezentuje už delší dobu, teprve nyní je ale možné vidět skutečně zajímavé výsledky z praxe. Vize je jasná – propojení každodenních služeb s inteligentním systémem, který bude chápat potřeby a důsledky. Podél silnice například budou čidla, která okamžitě nahlásí případnou havárii záchranné jednotce. Dopravní systém záchrance zjistí nejvýhodnější cestu (podle aktuální monitorované dopravní situace) a informuje řidiče na informačních tabulích. Při zásahu jsou okamžitě posílány informace do nemocnice a pojišťovně a takto celý systém žije vlastním inteligentním životem. IBM na Impact pozvalo několik partnerů, kteří podobný funkční systém prezentovali na základě vlastních zkušeností. Byli to například záchranáři z Madridu při teroristických útocích nebo doktor z bostonské nemocnice, který se snaží léčit nemoci v rozvojových zemích. Do programu Smarter Planet tak patří například levné počítače pro lidi v Africe, které dokážou pomocí primitivního spojení s internetem informovat o dodávkách a zásobách léků či zdravotním stavu pacienta. IBM ale rozhodně není jediná firma, která by chtěla vytvořit jakousi centrální síť země. Například HP nedávno informovalo o plánu celou zemi pokrýt miniaturními čidly, které by informovaly o zemětřeseních a dalších měřitelných hodnotách.


77

connect

-1* ,*"÷/÷"6Ê = <" Testovací superpočítač HP Hewlett-Packard v Grenoblu provozuje výkonný superpočítač, pomocí něhož si můžete otestovat své aplikace. Vydali jsme se proto do Francie celé zařízení prozkoumat.

C

loud-computing a virtualizace jsou slova, která v mnohém popisují dnešní dobu informačních technologií. Kdo nevirtualizuje, jako by ani nebyl, a kdo nemá v cloudu aspoň jednu fotografii, zaspal dobu přinejmenším o dvacet let. O to osvěžující jsou ti, kteří hlásají něco jiného. Jdou proti proudu a ostatně i proti nám – médiím, protože i my si docela často zjednodušujeme práci tím, že zopakujeme tolikrát omílanou „pravdu“, až se z ní stane pravda bez uvozovek.

HPC EMEA Competency Centre

AUTOR

Vyrazil jsem do Grenoblu, kde sídlí jedna z poboček HP – HPC EMEA Competency Centre. Není to však ledajaká pobočka, uvnitř totiž najdete větší než malé množství rackových skříní, ventilačních šachet a optických kabelů. Ve francouzském Grenoblu, na úpatí savojských Alp, sídlí hezky česky řečeno benchmarkovací podpůrné regionální centrum HP, kterému šéfuje Patrick Demichel. Jeho součástí je i malý testovací superpočítač. Místní inženýři jej stále budují, jednou by měl ale nabídnout asi šest tisíc výpočetních jader. Americký Jaguar nebo čínský Tianhe-1 to není, tito veleobři čítají více než sto tisíc jader, ale naši českou Amálku testovací mašinka z Grenoblu položí na lopatky levou zadní. Pro své účely je dostačující a z hlediska efektivity výkonu na jeden server clusteru je na tom dokonce mnohem lépe než výše zmíněný Jaguar Cray XT5. Do Grenoblu jsem vyrazil s tím, že se tu tedy asi „benchmarkují“ superpočítače. Naivně jsem si představoval, že zákazník prostě naloží svůj server nebo celý cluster do kamionu, přiveze ho do Grenoblu a místní inženýři na něm spustí standardizovaný test Linpack. Název pobočky trošku klame, ve skutečnosti se zde totiž měří aplikace. Superpočítač je jednoduše řečeno příliš

78

drahá hračka na to, než abyste si ji prostě jen tak nahodile koupili. Přesně v této chvíli se do hry zapojí centrum podobné tomu z jihovýchodní Francie. Dnes zde pracuje na 35 lidí od konzultantů a ISV inženýrů až po „solution“ architekty, kteří vám navrhnou superpočítač podle vašich představ. Jelikož jsme v HP, použijí k tomu přirozeně servery ProLiant a další jednotky z portfolia společnosti. HP na to zkušenosti má, podle prodejních statistik a ostatně i populárního žebříčku TOP500 se totiž jedná o největšího superpočítačového dodavatele. Z hlediska výkonu se sice na prvním místě nachází IBM se svými legendárními (byť stárnoucími) clustery Blue Gene a novějším systémem BladeCenter, nicméně HP má prsty aspoň ve čtvrtém nejrychlejším superpočítačovém clusteru planety – TSUBAME 2.0. Sídlí v Japonsku, je složený ze serverů ProLiant SL390s a o jeho výkon se starají jak tradiční šestijádrové Xeony, tak GPGPU čipy od Nvidie. Japonský cluster má výkon až 1,2 PFLOPS, spočítá tedy biliardu matematických operací za sekundu.

Co dělat, když chcete superpočítač Vžijte se na chvíli do role velmi bohatého zákazníka. Můžete být třeba firma, která se živí filmovou postprodukcí. Do této škatulky dnes spadají všechny ty počítačové triky a dokonalé klíčování před zeleným

Ovládací konzole clusteru běží na Linuxu a v tomto případě zobrazí aktuální vytížení procesorových jader superpočítače

plátnem. Finalizujete film, ve kterém je hromada digitálních retuší a transformací, které běžná grafická mašina bude počítat dlouhé dny. Zrovna jste ale pro Luca Bessona dotočili nový kousek a máte peníze na investice. Zavoláte do HP a zajedete se podívat do Grenoblu. Zde, velmi jednoduše řečeno, vyzkoušíte svůj software na testovacím clusteru, a podle toho se teprve spočítá, jak velký superpočítač budete skutečně potřebovat. Přesně to se zde měří a takových testů v Grenoblu proběhne několik set každý rok. Příběh s postprodukční firmou je pravdivý. Společnost se jmenuje Quinta Industries, a i když ji pravděpodobně neznáte, stojí třeba za všemi postprodukčními efekty Amélie z Montmartru a právě filmy Luca Bessona. V Grenoblu se vedle Quinty radili i inženýři z ženevského vědeckého megapole CERN nebo třeba jistý Dr. Chris Jones z tak trochu tajemné společnosti CRS4, která se zabývá mimo jiné genetickým výzkumem a Jones se všem přítomným novinářům pochlubil, že mohl díky novým clusterům „vypočítat“ detailní genetický profil prakticky pro celé obyvatelstvo Sardinie. Testovací centrum v Grenoblu musí přirozeně procházet permanentní moderniza-

Jakub Čížek Redaktor Computeru a Živě.cz

Výpočetní a skladovací jednotky clusteru mají promyšlené chlazení a řazení v rackových stanicích


connect

cí, každý rok se totiž na trhu objeví něco nového. Hlavní testovací superpočítač se tedy těší modernizaci až dvakrát do roka a už brzy se zde budou testovat i nové technologie úložišť – memristorové paměti. Jak mi potvrdil Xavier Poisson, šéf prodeje divize HPC & cloud-computing v regionu EMEA, memristorové průmyslové počítače by se měly v nabídce HP objevit už do dvou let. Poissona jsem se pochopitelně zeptal i na „malé“ Česko. Může zde mít HP vůbec nějaké vážnější clusterové zákazníky? Prý může, „východ“ je totiž stále půda neoraná, kde se mnohdy angažují místní výrobci se svými v podstatě rukodělnými „state of the art“ počítači. Do této kategorie ostatně spadá i medializovaná Amálka. Zajímavější ale byla druhá odpověď. Odpověď na otázku, jestli se HP nebojí, že si brzy obrovský kus z tržního koláče ukousnou internetová datová centra, která mohou drobnějším zákazníkům nabízet výkon „v cloudu“. Na tomto principu je postavený Windows Azure, Google AppEngine, služby Amazonu a další. Ostatně i zmíněný Google nedávno představil vědecký grant, v rámci kterého poskytne akademickým zájemcům skutečný superpočítačový výkon na svých centrech a zprostředkovaný na dálku – skrze internet. Poisson nejprve mávl rukou a konstatoval, že HP je jednička na trhu a tudíž ovládá i trh s počítači, které najdete v datových internetových centrech. Když jsem namítl,

„Tady to vytáhnu a v laboratořích CERN se zastaví urychlovač LHC.“

že si Google přeci svoje internetové „bunkry“ staví vlastnoručně, Poisson zbrunátněl a odpověděl, že jen blázen by svá kritická data hostoval kdesi na pomalém internetu. A pak už to šlo ráz naráz. I když se HP pochopitelně angažuje i ve světě cloud-computingu (a ten má Poisson ostatně i v názvu své funkce), Xavier Poisson se nechal slyšet, že cloud-computing dnešních dnů se hodí skutečně maximálně tak pro ty webové služby a je nesmyslné na něj spoléhat u skutečného výpočetního výkonu. Hlavní překážkou totiž bude vždy naprosto otřesná latence, a to i u těch nejrychlejších internetových sítí.

Rozhovor Minirozhovor s Xavierem Poissonem, šéfem prodeje divize HP HPC & cloud-computing v regionu EMEA Jak z hlediska HPC trhu vnímáte Českou republiku? Jsme teď v našem superpočítačovém centru EMEA, máme tedy pochopitelně zájem o všechny evropské trhy. Nebavil bych se možná přímo o České republice, ale o celém středoevropském a východoevropském regionu. Je pravda, že zde se HPC teprve rozjíždí a my máme zájem zvláště o akademickou sféru a třeba i meteorologické instituce. V podstatě každá z těchto organizací si dnes může pořídit nějaké HPC řešení a my chceme, aby to bylo to naše. Ve všech zemích regionu hodláme v dohledné době investovat do lidských zdrojů a mít zde své zástupce, kteří už nebudou prodávat pouze klasický hardware, ale i náročné clustery. (Pozn. redakce: Český hydrometeorologický úřad si relativně nedávno skutečně pořídil nový superpočítač, který jeho zaměstnanci familiárně pojmenovali Saxana. Nicméně se protentokrát nejedná o výrobek HP. Saxana je model NEC SX-9 a jde o monolitický vektorový server, který používají i meteorologové v sousedním Německu.) Potřebuje ale většina firem skutečně drahé a možná až příliš výkonné počítače? Hostované aplikace a výkon v cloudu pro ně bude ekonomicky mnohem výhodnější. Vnímáte cloudcomputing jako konkurenci? Vzhledem k tomu, že naše systémy pohání většinu těchto internetových „cloudů“, to pro nás konkurence není – právě naopak. Zároveň ale platí, že na internet můžete přenést pouze některé aplikace, zdaleka ne všechno, největším nepřítelem pro vás totiž bude latence. Samozřejmě můžete oželet svůj vlastní poštovní server a využít třeba Exchange hostingu, nicméně asi budete těžko předvídat počasí nebo vylepšovat film. (Pozn. redakce: Některé služby se dnes ale snaží na internet přenést i náročnější úkony, aplikační hosting od Microsoft Windows

Stejným způsobem smetl ze stolu další téma posledních let – virtualizace: „Ne, nebudeme přece virtualizovat, když je to tak pomalé. Možná jednou, za pár let.“ Od člověka, jehož zájmem je především to, abyste si namísto toho virtuálního koupili server železný – s logem HP, to vše lze pochopitelně čekat. Na druhou stranu, a to je třeba opět zopakovat, HP drží trh s HPC (průmyslové superpočítače), a byl by tedy logicky dodavatel i těch serverů a clusterů, na kterých budou ostatní

Azure už například jistá kalifornská společnost využívá i pro asynchronní konverzi videa, a zákazníci tak namísto desktopové aplikace a vlastního hardwaru pracují s tenkým klientem uvnitř webového prohlížeče.) No dobrá, ale co ty skutečně velké cloudcomputingové společnosti, které si své počítačové řešení zpravidla staví svépomocí. Typickým příkladem je třeba Google a jeho datacentra. Přitom i Google už v rámci grantového systému nabízí výkon svých center pro vědecké projekty – nikoliv pouze pro populární B2C služby. Aby bylo jasno, pokud budete chtít provádět nejrůznější simulace, nepůjdete za Googlem. Ale z jiného důvodu – z důvodu bezpečnosti. Jednoduše nemůžete spoléhat na data, která nemáte pod kontrolou, nemůžete spravovat jejich politiku a pouze si kupujete nějaký virtuální výkon. HPC je mnohem komplexnější systém. A co tolik skloňovaná virtualizace? Proniká i do světa HPC? Pracujeme na mnoha projektech, ve kterých si pohráváme s virtualizací, nicméně v případě HPC, tedy superpočítačů, to zatím není na pořadu dne. Možná jednou za pár let až na ni budou procesory a další komponenty skutečně připraveny, ale v tuto chvíli chtějí zákazníci ze svých serverů získat teoretické maximum s co nejmenší výpočetní režií. Ne, v případě HPC není virtualizace na pořadu dne. Aspoň prozatím. Pracujeme ale na technologii mnohem efektivnějších pamětí – memristorů. S nimi bychom chtěli pracovat ve svých komerčních serverech co nejdříve a ty první s memristory by se mohly na trhu objevit už do dvou let. Z hlediska dalšího vývoje pak bude zajímavé také pronikání optické komunikace až na tu nejnižší úroveň. Zatímco dnes se optická vlákna používají pro komunikaci mezi servery v clusteru, v horizontu několika let bychom mohli světlo používat i na úrovni výpočetních jednotek a samotných procesorů.

spouštět desetinásobek virtuálních serverů. Poissonova odpověď proto byla v dnešních reáliích skoro až kacířská, šla proti proudu a o to byla zajímavější a k zamyšlení. Tím v podstatě cesta do Grenoblu skončila. V tuto chvíli už pod zasněženými vrcholky opět hučí testovací superpočítač na plné obrátky a kdosi z okolí na něm testuje, jestli bude jeho C++ kód efektivnější s 5 000 jádry CPU a 760 jádry GPU, nebo pouze s Xeony.


79

connect

Co přináší sjednocená komunikace Společnosti hledají cestu pro další rozvoj a úspory v každé době. Dnes je ta potřeba možná ještě o trochu větší. A firmy často v honbě za převratnými změnami zavádí nové technologie, aniž by je dostatečně chápaly a rozuměly jejich využití.

V

AUTOR

takovém případě se i dobrá novinka může stát špatným pánem. Naopak v dobrých rukách může správná technologie způsobit ve firmě doslova revoluci a výrazně zvýšit spokojenost zaměstnanců i expanzi společnosti. Pokud firmy o změně opravdu uvažují a chtějí rozšířit své možnosti a zefektivnit procesy, a o tom by uvažovat rozhodně měla každá firma, měly by zbystřit u pojmu sjednocená komunikace (Unified Communication – UC). Pro mnoho firem je sjednocená komunikace často jen jakýmsi abstraktním zaklínadlem, kterému málokdo rozumí. Pokud byste použili trochu nadnesené přirovnání, můžete růst firmy přirovnat ke stavbě věže. Důležité jsou pevné základy a dobrá spolupráce všech, kdo se na stavbě, budování firmy, podílí. Všichni zaměstnanci by měli mezi sebou snadno a rychle komunikovat, což zvýší nejenom jejich výkonost, ale také jejich spokojenost, což je faktor, který nelze přehlížet. Ale firma není jen o lidech. Je také o technologiích, které lidem práci usnadňují nebo znepříjemňují. A pokud nechcete, aby stavba vaší „věže“ skončila podobně jako v Babylonu, měla by jednotlivá zařízení „mluvit“ stejným technickým jazykem. Čím je komunikace mezi přístroji i lidmi složitější, tím se zvyšují nejenom náklady, ale i riziko, že stavba skončí v troskách. Sjednocená komunikace může firmám pomoci v současné náročné ekonomické situaci nejenom zvýšit

80

Zbyszek Lugsch Sales & Solutions Director společnosti Dimension Data Czech Republic a.s.


efektivitu zaměstnanců a snížit náklady, ale zároveň umožňuje změnit zažité procesy a firmám dává do rukou nástroj pro další rozvoj a změnu způsobu podnikání. Organizace po celém světě čelí ekonomickému tlaku a tlaku konkurence, což je nutí snižovat náklady, zjednodušovat procesy a zvyšovat flexibilitu. Společnosti by neměly čekat s plánováním strategie a architektury, protože potenciální úspory v oblasti nákladů na telekomunikace mohou být 20–30 %. Technologie tak usnadňují transformaci podniků a vytváří prostor pro další rozvoj. Začít plánovat strategii je potřeba již nyní. Přechod z decentralizovaného hlasového TDM řešení k centralizovanému IP řešení pro jednotnou komunikaci a spolupráci (UC & C – Unified Communication and Collaboration) je nevyhnutelná realita.

Výhody sjednocené komunikace Telefonie se stále častěji posouvá do IP, což smazává hranice mezi hlasem a videem. Sjednocování komunikace je nevyhnutelné a logické řešení, protože vynakládat úsilí a náklady zvlášť na správu hlasu a videa je velmi neefektivní. Navíc se ve firemní komunikaci stávají stále oblíbenější i nové druhy komunikace. Zaměstnanci pravidelně využívají aplikace pro Instant Messaging, internetové volání, videokonference a mnoho dalších nástrojů. Ovšem správa heterogenních aplikací je velmi komplikovaná a nákladná. A právě UC & C integruje hlasovou, obrazovou, datovou a webovou komunikaci s jinými podnikovými systémy. Takové propojení adresářů, sjednoceného zasílání zpráv, rychlých zpráv a integrace například do systémů řízení vztahů se zákazníky nebo aplikací pro fixně-mobilní konvergenci vytváří potenciál pro další růst. Zaměstnanci se navíc přihlašují do všech komunikačních aplikací pomocí jednoho uživatelského jména a hesla. Navíc získají i větší mobilitu. Podle studií mohou zaměstnanci strávit až 58 % pracovního dne (přibližně čtyři hodiny) mimo svůj pracovní stůl. Taková absence kontaktu může vést k ohrožení vztahů s kolegy i zákazníky. Pokud společnosti přejdou na sjednocenou komunikaci, mohou nejenom lépe využívat zdroje a jednoduše spravovat a řídit upgrady, ale mobilní zaměstnanci mohou mít integrované různé komunikační kanály do jedné centrální schránky došlé pošty. Další výhodou je i lepší ochrana investic a poskytování nových funkcí specifickým skupinám uživatelů. Zároveň dochází i k významným úsporám nákladů na cestování a prostory a zlepšení podnikových procesů. Přizpůsobit svou nabídku budou muset i firmy, které tato řešení nabízí. Společnosti totiž stále častěji při nákupu očekávají větší volnost a flexibilitu, a proto lze očekávat, že současný model doplní různé cenové nabídky pro veřejný cloud a hybridní scénáře. Výhody sjednocené komunikace jsou zřejmé. Přechod firem na sjednocenou komunikaci již není otázkou, jestli firmy přejdou, ale kdy přejdou. Sjednoťte svou komunikaci. A možná se potom vaše firma dotkne hvězd.

INZERCE A111008732

"1 ÷ Ê "/

Centralizovaná architektura přináší úspory nákladů a umožňuje podnikům zlepšit spolupráci se zákazníky a získat na trhu potřebnou konkurenční výhodu.

'(5"+*!"!&4&',' )&,

/1*#"+ *#-3$',/)0+'-',%.2'!+ ɒ.RPSOHWQ¯RFKUDQDSURYģHFRGÝO£WH '&$!&!'$!& ɒ=DKUQXMHDQWLYLUXVDQWLVS\ZDUH DOHLILUHZDOODDQWLVSDP ɒ1HSěHNRQDWHOQ£U\FKORVWDLQWHOLJHQFH #'&+)'$&1 '*#&'-0&1 ɒ3OQÝFKU£Q¯LQDHVKRSHFK *'!0$&1 *1+1 ɒ9¿ERUQ«Y¿VOHGN\YQH]£YLVO¿FKWHVWHFK

/)0+'-0%.2'!+ ɒ3RNURÏLO£EH]GU£WRY£WHFKQRORJLH ɒ(UJRQRPLFN£VPÝNN¿PSRJXPRY£Q¯P ɒ%DWHULHY\GUŀ¯FHO«PÝV¯FH ɒ7«PÝěQHYLGLWHOQ¿86%QDQRSěLM¯PDÏ ɒ723YKRGQRFHQ¯+HXUHNDF]

! !

1DE¯GNDMHSODWQ£GRY\SURG£Q¯]£VRE

Deník E15 nyní také v prodeji

15 MINUT PRO EKONOMIKU & BYZNYS www.E15.cz

KDYŽ POTŘEBUJETE MNOHEM VÍC, NEŽ JEN ANTIVIR NA DESKTOPU

Recommend Documents