S1_P1_Technická specifikace díla Strana 1

S1_P1_Technická specifikace díla

Strana 1

1.

PREAMBULE .......................................................................................................................... 4 1.1.

2.

3.

4.

5.

6.

Lokality systému ...................................................................................................................... 4

SYSTÉMOVÉ SLUŽBY .............................................................................................................. 6 2.1.

Databázové služby ................................................................................................................... 6

2.2.

Webové služby ...................................................................................................................... 13

2.3.

Terminálové služby ................................................................................................................ 18

2.4.

Služby vzdáleného přístupu................................................................................................... 20

2.5.

Zálohovací služby................................................................................................................... 22

2.6.

Clusterové služby................................................................................................................... 28

2.7.

Antivirové a antispamové služby ........................................................................................... 32

2.8.

Virtualizační služby ................................................................................................................ 34

2.9.

Poštovní služby ...................................................................................................................... 41

SÍŤOVÉ A BEZPEČNOSTNÍ SLUŽBY ......................................................................................... 42 3.1.

Síťové služby .......................................................................................................................... 42

3.2.

Firewall služby - bezpečnost .................................................................................................. 65

DOHLED A MANAGEMENT SLUŽBY ....................................................................................... 73 4.1.

Virtual machine manager (SCVMM) ...................................................................................... 73

4.2.

Operations Manager ............................................................................................................. 74

4.3.

Configuration manager ......................................................................................................... 79

4.4.

Group Policy .......................................................................................................................... 79

4.5.

Specifikace prvků a rozsah implementace ............................................................................ 80

OS A JEHO SLUŽBY ............................................................................................................... 82 5.1.

Platforma OS ......................................................................................................................... 82

5.2.

Adresářové služby ................................................................................................................. 84

5.3.

Souborové služby .................................................................................................................. 87

5.4.

Časové služby ........................................................................................................................ 90

5.5.

DNS služby ............................................................................................................................. 93

HW INFRASTRUKTURA ......................................................................................................... 95 6.1.

Jednotný datový prostor (SAN) ............................................................................................. 95

6.2.

Serverové stanice ................................................................................................................ 100


Strana 2

6.3.

HSM Služby .......................................................................................................................... 107

7.

PROJEKTOVÁ DOKUMENTACE .............................................................................................110

8.

SCHÉMATA A KOMPONENTY...............................................................................................112

9.

8.1.

Systémové prostředí............................................................................................................ 112

8.2.

Přehled závislostí komponent ............................................................................................. 113

8.3.

Fyzická architektura............................................................................................................. 115

8.4.

Fyzická architektura – logicky ohraničená........................................................................... 116

8.5.

Přehled zařízení v majetku Zadavatele................................................................................ 117

DEFINICE POJMŮ A IKON ....................................................................................................119


Strana 3

1. Obsahem tohoto dokumentu je popis systémové infrastruktury nezbytné pro provoz jednotlivých aplikačních komponent aplikace MS2014+. Popis je proveden na globální a detailní úrovni. Cílem globální úrovně je specifikovat robustnost a mohutnost celého řešení. Cílem detailní úrovně je specifikovat konkrétní prvky a vazby dané konkrétní služby systémové infrastruktury. Systémová infrastruktura je tvořena HW prostředky a systémovým SW, které jsou v souladu s bestpractices zakomponovány do 3 technologických vrstev: systémové služby vč. síťových a management služeb, OS a jeho služby a HW zdroje. Dále popsaný rozsah představuje cílové systémové prostředí pro plnohodnotný provoz IS MS2014+ zahrnující produkční prostředí v plném výkonu v primární lokalitě a v záložní lokalitě pouze prostředky pro fail-over zálohování produkčního prostředí a celé testovací, školící prostředí.

1.1. Systém bude provozován celkem ve dvou lokalitách u Zadavatele a jedné u Dodavatele aplikace MS2014+. S možností následného rozšíření na třetí dohledovou lokalitu. Varianta tří lokalit byla stanovena na základě Best practice v oblasti dostupnosti systému a je nejvhodnější pro provoz Aplikace MS2014+. Varianta tří lokalit byla zvolena z následujících důvodů.

PRIMÁRNÍ LOKALITA

ZÁLOHOVACÍ LOKALITA

Provozní instance Provozní data

DODAVATEL Vývojová instance u dodavatele

Výrazně omezená funkčnost


Záložní data

Provozní data - test

DOHLEDOVÁ -TESTOVACÍ LOKALITA Dohled Monitoring

Záložní data - test

Nebude nerealizována

Strana 4

Provozní data budou uložena v primární lokalitě. Do této lokality budou primárně přistupovat uživatelé. Tato lokalita bude mít nejvyšší výkon a bude plně pod správou Dodavatele Prostředí. Do zálohovací lokality budou replikována veškerá provozní data. Tímto bude zajištěna dostupnost dat v různých lokalitách. Veškeré prvky v zálohovací lokalitě, které pracují s produkčními daty, budou plně pod kontrolou Dodavatele. Očekává se, že tato lokalita bude schopna, v případě budoucího rozšíření, plnohodnotně převzít funkce primárního provozního pracoviště. V současné době se předpokládá vybudování pouze zálohovací lokality, která bude schopna pouze zálohovat data z primární lokality a tímto vytvořit Fail-over zálohu systému. V souladu s požadavky na MS2014+ bude testovací prostředí zcela odděleno od produkčního prostředí a toto prostředí bude umístěno v zálohovací lokalitě. Testovací prostředí bude ve správě Dodavatele a bude umístěno v sídle Zadavatele. Vývojová instance u Dodavatele bude vybudována na prostředcích Provozovatele aplikace MS2014+ v rámci jeho interních prostředků a nebude dostupná pro Objednatele. Z výše uvedených důvodů není v následující části detailně popsána.


Strana 5

2. 2.1. 2.1.1. Technická architektura databázových služeb byla navržena tak, aby především byla minimální ztráta dat, vysoká dostupnost, oddělené testovací prostředí a možnost následného vytvoření záložního prostředí.

2.1.1.1. Primární

Serverové služby

Zálohovací a testovací

Serverové Služby - TEST

Replika

2.1.1.2. Serverové služby

Serverové služby

LAN LAN

LAN VLAN - TEST LAN VLAN -Zálohovací HSM

ORACLE DATA GUARD Produkční data Produkční data Reporting

STAND-BY Produkční data Internal Storage1

Záloha Internal Internal Storage 1 Storage 2

Internal Storage1

Datový sklad

Datový sklad

HSM

Testovací data 1

Primární lokalita


Dohledové a řídící pracoviště

MGMT11

Testovací data 2 Zálohovací a testovací lokalita

Strana 6

Celý systém bude provozován ve dvou samostatných lokalitách Zadavatele. Primární lokalita bude sloužit pro zpracovávání produkčních dat. Do zálohovací lokality budou synchronizovány data z produkčního prostředí a bude zde umístěno testovacího/školícího prostředí. Produkční a testovací prostředí bude striktně odděleno jak z pohledu logického tak i HW.

2.1.2. 2.1.2.1. V produkčním databázovém prostředí budou provozovány datové instance s transakčními daty a transakčními daty - reportovací. Základem tohoto systému bude interní datové uložiště datový sklad. Procesy SŘBD budou provozovány na ORACLE Exadata, který je interně vybudován na identických serverech, navzájem redundantně propojených a připojených k diskovému uložišti. Pro cílové řešení bude implementován do primárního pracoviště model Oracle Exadata X3-2 Half Rack, v zálohovací lokalitě zůstane model Eight-Rack. Oracle Exadata je speciální zařízení od společnosti Oracle, které v sobě umožňuje konsolidovat a provozovat různé typy databází jak z pohledu typu provozu OLTP, Datawarehouse, tak i z pohledu požadavku výkonu, kdy je možné jednotlivé DB striktně omezovat ve výkonu. Tímto umožní jednoznačně oddělit testovací a produkční prostředí v zálohovací lokalitě. Systém se skládá v primární lokalitě ze čtyř interních databázových serverů, které jsou propojeny v cluster a mají vlastní interní sdílené uložiště. Interní clusterová komunikace (Interconnect) mezi jednotlivými servery je vybudována prostřednictvím vysokorychlostního připojení (InfiniBand). Procesy SŘBD spolu vzájemně spolupracují a v případě výpadku některého ze serverů nedojde k výpadku SŘBD služeb. Datový sklad bude realizován prostřednictvím Oracle Automatic Storage Management (Oracle ASM) a jednotlivé SŘBD budou realizovány v Oracle 12c Enterprise edice doplněné o Oracle Real Application Cluster (Oracle RAC), Oracle Advanced Security a Database Vault. Rozšiřující moduly pro správu Oracle Diagnostics Pack, Tuning Pack. Pro bezpečné uložiště budou implementovány moduly Oracle Secure Content Database Extension a Oracle Secure archive Database Extension. Tato realizace umožní nejen provoz primárního pracoviště i v případě výpadku dílčí části, ale také dynamickou reorganizaci diskových oblastí dle aktuálních požadavků bez nutnosti odstavení SŘBD služeb. Zároveň bude optimálně využit dostupný HW ve formě rozložení zátěže pomocí striping a rebalancing metod. Každý server, kde bude provozována ORACLE databáze, bude mít přistup k síťovému HSM, které bude obhospodařovat bezpečné uložiště šifrovacích klíčů. Otisk zašifrovaných šifrovacích klíčů HSM budou uloženy na sdíleném disku, který bude provozován v rámci souborových služeb v režimu vysoké dostupnosti. Šifrovací klíče budou využity pro transparentní šifrování „TDE“ a pro plnohodnotnou funkčnost budou využity DB Oracle Advanced Security a Database Vault options. V rámci provozu primárního pracoviště bude vytvořena samostatná datová oblast v databázi, kde budou prostřednictvím nativních nástrojů databázového prostředí, pravidelně ukládány vybrané obrazy aplikačních dat (snapshoty). Tyto obrazy budou generovány a ukládány 1x denně a budou


Strana 7

plně pod kontrolou databázového administrátora. Přesný rozsah dat bude upřesněn v rámci implementace. Způsob a frekvence zálohování je uveden v kapitole Zálohovací služby. V primární datové lokalitě ve virtuálně odděleném prostředí bude provozována databáze určená pro demonstrační účely jednotlivých ŘO. Tato databáze nebude podléhat pravidelnému zálohování, ale zároveň nebudou data zde uložená promazávána. Pouze na vyžádání bude provedena její záloha.

2.1.2.2. Tento systém bude primárně sloužit pro otestování databázových částí jednotlivých aplikací, jejich aktualizací a změn samotného systému před jejich vlastním nasazením na produkční prostředí. Zároveň bude poskytovat prostor pro realizaci školení nových pracovníků nebo školení nových vlastností systému. Architektura SŘBD tohoto systému bude shodná se systémem produkčním. Požadavky na výkon tohoto systému nejsou tak náročné, jako na produkčním pracovišti a proto budou použity méně výkonné prvky o menším počtu, avšak stejné architektuře jako na systému produkčním tak, aby bylo možné řádně otestovat i HW náročnost jednotlivých operací. Procesy SŘBD budou provozovány na Oracle Exadata ve verzi X3-2 Eight-rack, který byl Zadavatelem již pořízen (viz kap. 8.5 tohoto dokumentu) a je provozován v rámci testovací lokality. Interní datové uložiště bude realizováno prostřednictvím Oracle Automatic Storage Management (Oracle ASM) a jednotlivé SŘBD budou realizovány v Oracle 12c Enterprise edice doplněné o Oracle Real Application Cluster (Oracle RAC), Oracle Advanced Security, Database Vault . Rozšiřující moduly pro správu Oracle Diagnostics Pack, Tuning Pack. Pro bezpečné uložiště budou implementovány moduly Oracle Secure Content Database Extension a Oracle Secure archive Database Extension. V testovací lokalitě bude provozováno několik DB instancí. Testovací instance bude respektovat dohodnutý instalační cyklus. Školící instance bude logickou kopií ostrého prostředí. Tuto školící instanci bude možné využívat ke školení. DB bude nakonfigurována v takzvaném Flashback režimu. Tzn. databáze umožňuje zpětný pohled na data a jejich historii (Flashback). To umožňuje rychlou a selektivní obnovu pouze těch dat, která byla vytvořena v rámci školení. Požadavky na zpětný pohled nebo zahození dat budou zadávány formou požadavků do Service Desku.

2.1.2.3. V záložním databázovém prostředí budou provozovány datové instance s produkčními daty. Tato instance bude výhradně sloužit pro zálohování a není určena pro běžnou práci uživatelů. Cílem je minimalizovat výpadky dat a eliminovat zátěž v průběhu zálohování. Záložní DB systém bude provozován v izolovaném prostředí Oracle Exadata v rámci zálohovací a testovací lokality. Záložnímu prostředí budou přiděleny minimální HW zdroje a to pouze v takovém režimu, aby nedošlo ke ztrátě dat a mohlo být bezproblémově ve velmi omezeném výkonu spuštěno testovací prostředí. Synchronizace databáze testovací a záložní testovací bude zajištěna pomocí Oracle Data Guard. SŘBD budou realizovány v Oracle 12c Enterprise edici, doplněné o nezbytné rozšiřující balíčky, které jsou implementovány v testovacím prostředí.


Strana 8

Každý server, kde bude provozována ORACLE DB, bude mít přístup k síťovému HSM.

2.1.2.4. Dohledové pracoviště bude vybaveno serverem pro dohled a řízení jednotlivých lokalit. Správa bude prováděna prostřednictvím Oracle Enterprise Manager (OEM) GridControl. Tento nástroj umožní centrální správu všech instancí a zároveň poskytne celkový přehled o databázových službách v lokalitách.

2.1.2.5. Pro potřeby MS System Center a Integrační sběrnice bude v systému implementován SŘBD MS SQL Standard ve verzi 2012. Databázový SW bude provozován v clusteru v režimu Fail-Over na serveru MSDBA11 a MSDBA12. Pro System Center bude vytvořena samostatná instance. Pro potřeby Integrační sběrnice budou vytvořeny 2 nezávislé instance.

2.1.2.6. Dodavatel v rámci databázového prostředí Oracle Exadata vytvoří samostatné, oddělené DB schéma, ve kterém budou strukturovaně ukládány veškeré auditní záznamy z Prostředí a Aplikace MS2014+. Tato DB instance bude sloužit pro potřeby Bezpečnostního dohledu a musí být koncipována tak, aby k ní Bezpečnostní dohled mohl připojit HW/SW řešení pro vyhodnocování, korelace a sledování bezpečnostně relevantních událostí.

2.1.2.7.

Spolupráce s Provozovatelem Aplikace MS2014+

Provozovatel aplikace MS2014+ bude mít plná práva k jednotlivým databázovým schématům aplikace. Instalační a konfigurační práce databázové části Aplikace MS2014+ bude provádět Provozovatel aplikace MS2014+ do prostředí připraveného Dodavatelem. Za připravené prostředí bude považováno vytvoření příslušných instancí a v nich jednotlivých čistých schémat pro jednotlivé aplikační bloky. V každé instanci bude vytvořeno cca 10 schémat. Dodavatel bude na vyžádání Provozovatele aplikace provádět zálohy obnovy a exporty vybraných databázových oblastí. Provozovatel aplikace bude mít pasivní práva k možnosti náhledu na systémové oblasti jednotlivých databázových instancí a plnohodnotný přístup k monitoringu a diagnostice systému. Dodavatel bude následně plně zodpovídat za korektní běh a zálohování DB prostředí. Zvýšená součinnost s Provozovatelem aplikace bude během instalace jednotlivých verzí aplikace.

2.1.3. V následující části je uveden minimální rozsah nově dodaných prvků a prací, které jsou nezbytné pro úspěšnou realizaci. Jedná se o následující prvky:

2.1.3.1. Pořízení 1ks Oracle Exadata X3-2 Half Rack včetně roční podpory . Disková kapacita je uvedena v kapitole 6.1.2.1.


Strana 9

2.1.3.2. Pořízení 84ks licencí na Disc Exadata Storage Software včetně roční podpory Pořízení 32ks licencí na CPU Oracle DB EE včetně roční podpory Pořízení 32ks licencí na CPU Oracle Real Application Clusters (option pack) včetně roční podpory Pořízení 32ks licencí na CPU Oracle Advanced Compression (option pack) včetně roční podpory Pořízení 32ks licencí na CPU Oracle Partitioning (option pack) včetně roční podpory Pořízení 32ks licencí na CPU Oracle Database Vault (option pack) včetně roční podpory Pořízení 32ks licencí na CPU Oracle Diagnostics Pack (option pack) včetně roční podpory Pořízení 32ks licencí na CPU Oracle Tuning Pack (option pack) včetně roční podpory Pořízení 32ks licencí na CPU Oracle Advanced Security (option pack) včetně roční podpory Pořízení 32ks licencí na CPU Oracle Secure Content Database Extension včetně roční podpory Pořízení 32ks licencí na CPU Oracle Secure Archive Database Extension včetně roční podpory Pořízení 4 ks licencí MS SQL Server Standard LIC/SA 2core

2.1.3.3. 2.1.3.3.1.

Technický projekt instalace a konfigurace Oracle Exadata Návrh integrace do prostředí zákazníka v návaznosti na Oracle ACS instalation and configuration services Navržení Exadata role separation and security Stanovení požadavků na Exadata resource management Návrh strategie šifrování dat s ASO/TDE Návrh práce s Oracle wallet pro uložení šifrovacích klíčů v prostředí Oracle Exadata a DataGuard Návrh oddělení rolí s Oracle Data base Vault a zabezpečení databází z pohledu oddělení odpovědnosti při administraci systému Návrh technologické bezpečnosti a auditní politiky pro Oracle Data base Vault Database hardening - návrh obecné technologické bezpečnosti pro Oracle Exadata Návrh uložení dat s pomocí Oracle Partitioning a Oracle Advanced compresion v návaznosti na stávající testovací prostředí Upřesnění technických a konfiguračních parametrů pro fázi Instalace a konfigurace (viz následující kapitola) ve spolupráci s Provozovatelem Aplikace MS2014+. Očekáváný rozsah prací je cca 20 MD.

2.1.3.3.2.

Instalace a konfigurace HW Instalace a konfigurace Oracle Exadata SW Instalace a konfigurace Oracle Exadata a příslušných produktů Databázových Oracle Instalace a konfigurace produkčního a testovacího databázového prostředí v režimu vysoké dostupnosti - RAC clusteru v prostředí Oracle Exadata Vytvoření a konfigurace dvou databázových instancí pro běh aplikace MS2014+


Strana 10

Vytvoření a konfigurace dvou databázových instancí pro běh demonstrační aplikace MS2014+ Migrace dvou produkčních databází ze stávajícího prostředí do nového prostředí V rámci přípravy konfigurace disaster recovery s Oracle DataGuard bude proveden nezbytný technologický upgrade SW komponent stávajícího systému Exadata Eight Rack, aby byly dodrženy předpoklady pro konfiguraci řešení disaster recovery s produkčním systémem Exadata Half Rack. Práce zahrnují sjednocení verzí storage software Oracle Exadata a Oracle RDBMS v obou lokalitách. Instalace systému EXAData do prostředí zákazníka Instalace a konfigurace transparentního šifrování „TDE“ za využití síťového moulu HSM a DB Oracle Advanced Security + Database Vault Konfigurace Oracle ASO/TDE Otestování a dokumentace práce se šifrovacími klíči Oracle ASO/TDE Instalace a konfigurace Oracle Database Vault dle návrhu technického projektu Nastavení technologické bezpečnosti Oracle DB a EXAData dle návrhu technického projektu Nastavení politik Oracle Database Vault dle návrhu technického projektu Nastavení auditních politik Oracle Database a Oracle Database Vault dle návrhu technického projektu Spolupráce s dodavatelem aplikace při implementaci Oracle Partitioning a Oracle advanced compression Konfigurace Oracle Dataguard mezi EXAData systémy a provedení DR testů Nastavení zálohování databází a otestování jejich obnovy Nastavení monitoringu Oracle EXAData s OEM Cloud control 12c, konfigurace Oracle Automatic Services Request Vytvoření a konfigurace repliky (stand-by) databází prostřednictvím Oracle Data Guard Konfigurace DB prostředí pro možnost využívání Oracle Flashback Database Konfigurace Advanced Compression and Partitioning Konfigurace Database Vault včetně nastavení základních bezpečnostních pravidel. Jedná se o vytvoření databázových účtů s jasně definovanými právy a rolemi. Minimálně v následujícím rozsahu: Účty a práva pro běžné uživatele (běžná administrace, tedy vytváření, zneaktivnění, rušení uživatelských účtů aplikace bude ve správě Provozovatele aplikace MS2014, Dodavatel ve spolupráci s Provozovatelem vytvoří 50 uživatelských účtů) Účty a práva pro systémové aplikační uživatele (20 uživatelů) Účty a práva pro Dodavatele Účty a práva pro bezpečnostní dohled (10 uživatelů) Účty a práva pro první stupeň podpory (L1) (20 uživatelů) Účty a práva pro vyšší stupně podpory (L2, L3) (10 uživatelů) Účty a práva pro Provozovatele aplikace MS2014+ (40 uživatelů) Účty a práva pro Zadavatele Následnou administraci účtů bude provádět Dodavatel Prostředí. Konfigurace a test Real Time zálohování Konfigurace a test Fail-Over zálohování Konfigurace resource managementu pro striktní oddělení jednotlivých prostředí Instalace a konfigurace SŘBD MS SQL Vytvoření DB MS SQL pro jednotlivé systémy S1_P1_Technická specifikace díla

Strana 11

Zpracování dokumentace skutečného provedení Minimální očekávaný rozsah instalačních a konfiguračních prací je 160 MD. 2.1.3.3.3.

Zaškolení 1/2 denní školení/workshop na téma Zabezpečení systému pro bezpečnostní administrátory 1/2 denní školení/workshop na téma Disaster recovery řešení a postupy 1/2 denní školení/workshop na téma Zálohování systému a vhodné postupy Školení a workshop bude probíhat v prostorách Zadavatele. Školení bude provádět certifikovaný pracovník v oblasti ORACLE technologií se znalostmi a zkušenostmi v předmětné oblasti školení. Očekávaný rozsah účastníků bude 6-8.


Strana 12

2.2. 2.2.1. Pod pojmem webové služby rozumíme vytvoření systémového prostředí, které bude schopné prezentovat různé webové stránky, případně zde bude možné provozovat „webové“ aplikace či služby. Webové služby představují základní stavební kámen pro vybudování a provoz třívrstvých aplikací. Web postavený na webových standardech a používaných webových serverech by měl být (v ideálním případě) jednoduchý, bezchybný, bezpečný, přístupný, použitelný a přívětivý k vyhledávačům a uživatelům. Správné navržení implementace webových služeb má zásadní a klíčový vliv na fungování Aplikace MS2014+. Navržené systémové prostředí obsahuje všechny klíčové prvky.

2.2.1.1. Internet

EDMZ

EDMZ

Portál IS Portál SD

Portál IS KP

Portál IS

CSSF+

Portál SD

Portál IS KP

LAN

SD

SF 2014+

CryptoID

CSSF+

LAN

BI

DMS Primární prostředí

SD Testovací prostředí

SF 2014+

CryptoID

BI

DMS

Samotná implementace webových služeb pro produkční prostředí bude realizována pouze v primární lokalitě. Velmi podobnou architekturu webových služeb bude mít i testovací prostředí, které bude mít nižší výkon. S ohledem na požadavek na zajištění redundance webových služeb budou webové služby provozovány ve skupinách, tzv. farmách. Každý server ve farmě bude obsahovat identické programové (souborové) vybavení a bude tedy schopen fungovat samostatně. Webové služby z pohledu architektury lze rozdělit do několika logických celků a to do prezentačního, aplikačního a celku podpůrných částí. Do prezentační části jsou zahrnuty portálové části aplikace MS2014+, které zahrnuje portál SD, Portál KP a portál IS CSSF+. Prezentační vrstva bude dostupná z Internetu pouze prostřednictvím SSL akcelerátoru/aplikačního FW. Do aplikační části jsou zahnuty webové servery, na kterých je vykonáván běh samotných jednotlivých komponent aplikace MS2014+. Jedná se o samotné jádro aplikace SF2014+, které se skládá z aplikačních serverů pro jednotlivé portály a servery s webovými službami na zpracování úloh na


Strana 13

pozadí. Samostatnou oblastí je skupina pro bezpečné uložiště – archiv, které má své rozhraní vystaveno prostřednictvím webových služeb. Mnoho administračních nástrojů je v současné době dostupné prostřednictvím webového rozhraní. Tyto weby se zahrnují pod pojem podpůrné, jedná se například o webové rozhraní pro produkty System Center, webové rozhraní pro vzdálený přistup. Podpůrné weby bude plně spravovat Dodavatel Prostředí. Z důvodu přehlednosti nejsou v následující části uvedeny.

2.2.1.2. Internet

eweb16

eweb15

eweb14

eweb13

eweb12

eweb11

EDMZ

Portál Portál KP

ŘO

Portál SD

SD

CryptoID

FAMA+ ITSM

owcc12

owcc11

EsbWeb12

EsbWeb11

cryproID12

cryptoID11

SD12

SD11

obi12

obi11

web18

BI

DMS

app14

app13

app12

SF2014+

app11

SF2014+

web17

web16

web15

web14

web13

web12

web11

LAN

TIMER

2.2.2. V demilitarizované zóně budou provozovány jednotlivé portály přístupné z Internetu. Z pohledu architektury se jedná externí DMZ, jelikož bude jako první přístupná z externích zdrojů. S1_P1_Technická specifikace díla

Strana 14

O rovnoměrné rozložení zátěže na vstupu mezi prezentačními webovými servery a zajištění kontinuity se bude starat technologie NetScaler. Rozhraní portálu KP bude vybudován na technologii ASP, .NET a bude provozována na serveru EWEB13 a EWEB14. Rozhraní portálu ŘO bude publikováno prostřednictvím reverzní proxy umístěné na serveru EWEB11 a EWEB12 obdobné platí i pro Service Desk, který bude umístěn na serveru EWEB15 a EWEB16. Reverzní proxy bude založena na technologii Apache. Pro zajištění dostatečného výkonu a rychlé odezvy webových aplikací budou aplikační komponenty provozovány na samostatných serverech WEB01-WEB04 pro část CSSF+ (IS ŘO) a na serverech WEB05-WEB08 pro část konečného příjemce. Počet čtyř serverů byl zvolen, tak aby výpadek jednoho serveru neměl výrazný dopad na výkon systému a zároveň celkový výkon infrastruktury nebyl předimenzovaný na výpadek. Na tyto části se očekávají nejvyšší nároky na výkon a stabilitu z pohledu webových služeb. Tyto komponenty mají běhové prostředí ASP, .NET, WCF. Stejná technologie bude použita pro podpůrné farmy FAMA+ ITSM, CryptoID a SD. Jako běhový operační systém bude využit OS Windows server 2012. Samostatnou oblastí je návrh služeb, které budou obhospodařovat procesy zpracovávané na pozadí nebo v naplánovaných úlohách. Tyto servery budou vykonávat operace, které budou náročné na čas zpracování nebo výkon. Tyto úlohy budou obhospodařovat servery APP11 až APP14. Výše uvedené servery s běhovým prostředím ASP, .NET, WCF budou mít webový server IIS 8.0, který je nativní součástí operačního systému MS Windows Server 2012. Na technologii JAVA, Weblogic od společnosti ORACLE budou vybudovány dvě farmy pro webové služby. V první farmě, vybudovávané ze dvou serverů OBI11 a OBI12, bude provozován produkt Oracle Business Inteligence včetně portálové části, které budou vytvářet a generovat složité uživatelské sestavy. Druhá farma, sestavená ze serverů OWCC11 a OWCC12, bude obhospodařovat bezpečné úložiště. Všechny servery s Oracle Weblogic budou provozovány ve virtuálním prostředí. Jelikož jsou licence přiřazovány na CPU (core), nebude pro virtualizaci použita agregace CPU a zároveň bude použit hypervizor od společnosti Oracle. Tímto je možné omezit využití jader CPU a nelicencovat celý osazený procesor. V produkčním prostředí budou virtuální servery osazeny 4 core. Celkem bude potřeba licenčně pokrýt 16 core, vzhledem k navržené serverové platformě bude potřeba 8 procesorových licencí Oracle Weblogic server Enterprise. V testovacím prostředí budou pouze dva servery, každý se dvěma core, celkem tedy dvě procesorové licence. Přenos dat k webovým službám bude šifrován pomocí zabezpečeného protokolu HTTPS. Každá aplikační nebo systémová služba ve webové architektuře bude provozována v samostatné instanci web serveru s vlastním aplikačním poolem, pokud je vyžadován. Autentičnost webových serverů, které jsou dostupné pouze z interní sítě, bude ověřována pomocí certifikátů vydaných interní certifikační autoritou. Webové servery, které budou dostupné koncovým uživatelům, budou zabezpečeny pomocí certifikátu vydaného důvěryhodnou certifikační autoritou. Tyto certifikáty zajistí a poskytne Zadavatel. Zabezpečení webových služeb bude realizováno na několika vrstvách. Mezi nejzákladnější úroveň zabezpečení patří povolení komunikace pouze na vybraných portech, kde jsou provozovány webové služby. Toto zabezpečení bude realizováno prostřednictvím firewallu. Vzhledem k faktu, že veškeré webové služby budou opatřeny bezpečnostním certifikátem, bude k nim tedy primárně umožněn přístup pouze přes SSL komunikaci na portu 443. S1_P1_Technická specifikace díla

Strana 15

Na samotném webovém serveru bude dále uplatněno několik zabezpečovacích prvků. Je to především použití samostatných aplikačních poolů s nakonfigurovanou uživatelskou identitou, pod kterou se budou jednotlivé aplikace spouštět. Tato identita (uživatelský účet) bude mít nakonfigurovány pouze nejnutnější přístupová oprávnění, nutná ke spuštění aplikace. Zabezpečení konfigurace webových serverů bude zajištěno nastavením administrátorských oprávnění pouze členům skupiny doménových administrátorů. Součástí primárního pracoviště budou také isolované prostředí pro běh demonstračního prostředí (sandbox). Toto prostředí bude vytvořeno v rámci virtualizačního prostředí. Na toto prostředí se nebudou vztahovat reakční lhůty.

2.2.2.1. Primární lokalita: Položka

Verze

Počet

OS

Licence

Prvek

Webové služby IIS

8

Oracle Weblogic

12c

8

Oracle Linux

OBI11; OBI12; Serverová licence OWCC11; vázaná na procesor OWCC12

Položka

Verze

Počet

OS

Licence

Webové služby IIS

8

Oracle Weblogic

12c

OS Windows obsažena v rámci Server licence OS

Testovací lokalita: Prvek

obsažena v rámci licence OS 2

Oracle Linux

OBI11-tst Serverová licence vázaná na procesor OWCC11-tst

2.2.2.2. Provozovatel aplikace MS2014+ bude mít plná práva ke konfiguraci jednotlivých webových serverů a aplikačních pool. Instalační a konfigurační práce Aplikace MS2014+ bude provádět Provozovatel aplikace MS2014+ do připraveného prostředí Dodavatelem. Dodavatel bude na vyžádání Provozovatele aplikace provádět zálohy obnovy a exporty vybraných serverů. Provozovatel aplikace bude mít pasivní práva k možnosti náhledu na systémové nastavení jednotlivých prvků, kde je daný webový server provozován, a plnohodnotný přístup k monitoringu a diagnostice systému. Dodavatel bude plně zodpovídat za korektní běh systémového prostředí. Zvýšená součinnost s Provozovatelem aplikace bude během instalace jednotlivých verzí aplikace.

2.2.3. V následující části je uveden minimální rozsah nově dodaných prvků a prací, které jsou nezbytné pro úspěšnou realizaci. Jedná se o následující prvky: S1_P1_Technická specifikace díla

Strana 16

2.2.3.1. Není požadován. Prvky budou provozovány ve virtuálním prostředí.

2.2.3.2. Pořízení 8ks Oracle Weblogic server Enterprise Edition včetně roční podpory

2.2.3.3. 4x Instalace a konfigurace Oracle Weblogic Enterprise v režimu vysoké dostupnosti v návaznosti na Oracle database v režimu RAC 36x Instalace a konfigurace IIS (Internet Information Services) na jednotlivé servery 84x Vytvoření a konfigurace jednotlivých webových serverů a aplikačních pool Vygenerování a instalace interních certifikátů pro jednotlivé webové servery Instalace důvěryhodných certifikátů na rozhraní dostupná z internetu 4x Instalace a konfigurace reverzní proxy


Strana 17

2.3. 2.3.1. Terminálové služby umožňují vzdálený a bezpečný přístup k aplikačnímu vybavení a souvisejícím datům. V současné době se tato problematika velmi často nazývá virtualizace aplikací a virtualizace sdílených ploch (vzdálené plochy). Jedná se o technologii, kdy vlastní proces příslušné aplikace běží na straně serveru a nijak nezatěžuje systémové zdroje klientské stanice. Na klientu běží pouze terminálový agent, který se vyznačuje velmi nízkými nároky na systémové zdroje příslušného klientského pracoviště. Ve webové terminologii se jedná o velmi tenkého klienta. Terminálová služba přenáší klientovi pouze uživatelské rozhraní, všechny akce jsou prováděny na serveru, žádné data neopouští informační systém. Pro zvýšení bezpečnosti v rámci externích sítí jsou terminálové služby kombinovány se službami vzdáleného přístupu. Terminálová služba v podání MS Windows může běžet ve dvou režimech, aplikační režim a režim vzdálená plocha pro správu. V případě Aplikace MS2014+ budou implementovány obě varianty.

2.3.2. V informačním systému MS2014+ budou terminálové služby implementovány z důvodu možnosti provádění zabezpečených servisních zásahů a detailního monitoringu celého informačního systému. Žádná z částí aplikace MS2014+ nebude provozována v terminálovém prostředí. Při správě systému bude primárně přistupováno do testovacího pracoviště na terminálový server. V případě výpadku nebo nedostupnosti testovacího pracoviště bude přistupováno na dva terminálové servery v primární lokalitě. Tyto servery budou instalovány v aplikačním režimu. Na těchto serverech budou nainstalovány veškeré administrační nástroje a zároveň bude odtud povolen přístup do management VLAN. Terminálové servery v aplikačním režimu budou rozšířené o technologie CITRIX XenDesktop v edici App. Jelikož testovací prostředí je umístěné na sdílené infrastruktuře se stávajícím prostředí MS7+, budou licence pro CITRIX XenDesktop využity z těchto zdrojů. Terminálový server bude provozován na OS Windows Server Datacenter Edition. Na ostatních serverech s OS Windows bude povolen servisní režim terminálových služeb. Komunikace bude probíhat pomoci klienta „připojení ke vzdálené ploše“, dále jen RDP klient, ve verzi 8.0. Na kritické prvky (servery TS11 a TS12, zároveň všechny servery DMZ) bude komunikace šifrována dle standardu FIPS 140-1 Level2. Protokol RDP bude na Firewallech povolen pouze z terminálových serverů s aplikačním režimem.

2.3.2.1. Primární lokalita: Režim Terminálové služby

Prvek

Verze RDP klienta

Poznámka

Terminálová služba v aplikačním režimu

2

8.0

TS11, TS12


Strana 18

Testovací lokalita: Režim Terminálové služby

Prvek

Verze RDP klienta

Poznámka

Terminálová služba v aplikačním režimu

1

8.0

ts11-tst


Verze

Počet

OS Microsoft Windows Server Datacenter Edition

Licence

Prvek

Součást serverové licence Microsoft Windows Server 2012

Remote Desktop Services Client Access Licenses

2012

20

USER CAL

TS11,TS12,TS11TST

CITRIX XenDesktop App

7

30

Concurrent User

TS11,TS12,TS11TST


2.3.3.1. Není požadováno.

2.3.3.2. Pořízení 20 ks MS Remote Desktop Services User Lic/SA

2.3.3.3. Instalace a konfigurace terminálové farmy Instalace a konfigurace licenčního serveru souvisejícího s terminálovými službami Instalace a aktivace role RDS na Windows Instalace a konfigurace CITRIX Farmy Konfigurace serverů s OS Windows Instalace a konfigurace terminálových serverů.


Strana 19

2.4. 2.4.1. Mezi vlastnosti každého moderního IS patří schopnost umožnit vybraným uživatelům vzdálený, ale bezpečný a řízený přístup k interním informačním zdrojům (datům i aplikacím) organizace či subjektu. Vzdáleným přístupem se myslí jakýkoliv externí přístup, který je iniciován vně IS. Způsob zajištění tohoto přístupu je předmětem této kapitoly.

2.4.2. Služby vzdáleného přístupu můžeme v rámci Aplikace MS2014+ rozdělit do dvou hlavních oblastí: Aplikační režim (Prostřednictvím běžného prohlížeče přes protokol HTTPS) Servisní režim (VPN tunely – Aplikace MS2014+)

2.4.2.1. Je určen především operátorům, vybraným uživatelům a správcům pro přístup k vybraným službám. Tento režim zajišťuje bezpečné připojení k terminálovým serverům prostřednictvím běžného internetového prohlížeče přes komunikační protokol HTTPS. Tento vzdálený přístup bude realizován na technologiích společnosti CITRIX, které přináší vysokou míru zabezpečení a řízení přístupu uživatelů. Veškerá komunikace v nezabezpečené části probíhá prostřednictvím zabezpečeného protokolu HTTPS/SSL na portu 443. Tato část popisu vzdáleného přístupu se týká především přístupu z veřejných sítí do testovacího pracoviště IS MS2014+. Vzdálený přístup do IS MS2014+ z testovacího/dohledového do primárního pracoviště je dále realizován již standardním, avšak zabezpečeným MS RDP protokolem na terminálové servery provozované v jednotlivých lokalitách. Komunikace mezi jednotlivými lokalitami je navíc zabezpečena VPN s využitím silného šifrování.

2.4.2.2. Pro servisní účely budou zřízeny VPN tunely site-site mezi lokalitami primární lokality a zálohovací lokality. VPN tunel bude realizován prostřednictvím služeb firewallu. V této konfiguraci se jedná o bezpečný způsob přístupu mezi oddělenými lokalitami z důvodu servisních zásahů a dohledu nad informačním systémem. Přístup k serverům na platformě Microsoft Windows bude realizován prostřednictvím protokolu RDP 7.1 a vyšší. Přístup k serverům na platformě Linux bude realizován prostřednictvím protokolu SSH-2. VPN přístup do infrastruktury bude mít také dodavatel aplikace MS2014+. Samotné řešení VPN tunelů a problematiky FW je uvedeno v samostatné kapitole.



Strana 20



2.4.3.3. Instalace a konfigurace Citrix WebInterface Konfigurace NetScaleru v návaznosti na služby vzdáleného přístupu Instalace a konfigurace CITRIX Security gateway Konfigurace komponent pro služby vzdáleného přístupu na serverech s OS Windows Instalace a konfigurace SSH


Strana 21

2.5. 2.5.1. Pojmem zálohování rozumíme „Vytváření bezpečnostní kopie dat nebo celého informačního systému tak, abychom mohli v případě havárie některé části systému obnovit stav, který existoval těsně před vznikem poruchy“. V následující části je navržen způsob implementace zálohování. Pro vysokou kvalitu výsledné implementace bude vhodná především kooperace s nativními nástroji pro zálohování centrálního datového uložiště.

2.5.2. Proces zálohování bude rozvržen do několika oblastí a to dle způsobu zálohování, řízení zálohování a místa zálohování. Zároveň jsou respektovány požadavky zadávací dokumentace. Zálohování je rozděleno do dvou základních oblastí na Real-time zálohování a Fail-Over zálohování. Z hlediska provádění se zálohy dělí následovně: Zálohy prováděné nativními prostředky dané služby Zálohy prováděné pomocí zálohovacího SW Zálohy prováděné centrálně pomocí zálohovacího SW Z hlediska řízení se zálohy dělí následovně: Zálohy řízené centrálně Zálohy řízené požadavky Aplikace MS2014+ a jeho služeb.

2.5.2.1. Centrální zálohovací zařízení bude postaveno na zálohovacím systému IBM Tivoli Storage Manager s příslušnými zálohovacími agenty pro zálohované prvky (databázové prostředí Oracle, souborový systém Windows). V každé lokalitě bude umístěn jeden server. V primární lokalitě bude pro zálohování využíváno diskové pole a v zálohovací lokalitě se budou data zálohovat na pásku. Oba servery budou vzájemně zastupitelné a v případě problému převezmou role. Tento systém nám umožní především provoz v režimu vysoké dostupnosti a značnou flexibilitu ve způsobech provádění záloh dle aktuálních potřeb Aplikace MS2014+. V rámci zajištění maximální bezpečnosti a přístupu k uloženým archivům bude mít do aplikace IBM Tivoli Storage Manager na centrálním záložním clusteru přístup pouze „Backup Administrator“. U databázových služeb je bezpečnost dat, proudících na páskové médium, zajištěna hardwarovým šifrováním, prvkem HSM. Exportní logy a „dump“ soubory databází budou uloženy na centrální souborové oblasti „Backup“ a zabezpečena šifrováním přes HSM. Data souborových, webových, adresářových, DB a Hyper-V služeb budou při exportu na páskové médium šifrována nástroji softwaru IBM Tivoli Storage Manager (používá se algoritmus AES-128 nebo 256). Navíc bude každé zálohovací médium opatřeno silným heslem a i samotný přístup k uloženým páskovým médiím knihovny bude taktéž zabezpečen silným heslem na úrovni zálohovací knihovny. Veškerá komunikace IBM Tivoli Storage Manager se svými agenty je provozována na šifrované lince SSL. Data na centrální souborové oblasti „Backup“ budou zabezpečena NFS managementem.


Strana 22

Bezpečnost uložených dat je dána také možností jejich obnovy. V rámci zálohovacího plánu bude vypracován plán ověření dostupnosti a správnosti provedených záloh. Minimálně jedenkrát měsíčně bude prováděn test obnovy vybraných dat a jednou ročně musí být obnovena celá infrastruktura z provedených záloh, tak aby na ní bylo možné ve spolupráci s dodavatelem aplikace obnovit celou aplikaci MS2014+. Jelikož veškerá aplikační data jsou uložena v centrálním datovém úložišti Aplikace MS2014+, je zálohování databázových služeb klíčové.

2.5.2.2. 2.5.2.2.1.

Architektura Zálohovací služby Primární lokalita

Zálohovací lokalita

Oracle Exadata

Oracle Exadata

FCoE

Zálohovací server

Služby DP Pásková knihovna

Zálohovací server

2.5.2.2.2.

Popis

V následující části je popsán režim real-time zálohování centrálního datového uložiště. Základem primárního systému je datové uložiště Oracle Automatic Storage Management rozprostřené přes dvě diskové oblasti. V tomto datovém uložišti jsou data primární databáze uložena redundantně přes dvě nezávislé diskové oblasti v rámci Exadata a v případě výpadku jedné oblasti nedojde k výpadku uložiště. V rámci primární lokality je také odděleně udržována záloha ostrých dat. Tato kopie dat je udržována formou plné zálohy. Tato kopie dat bude minimálně 1x denně refreshována v době od 0:00 do 4:00. Do záložního místa v primární lokalitě se také průběžně ukládají změny databáze v podobě archivních logů. V případě ztráty dat primární databáze je možné data z tohoto záložního místa velmi rychle obnovit, synchronizovat změny z archivačních logů a dále pokračovat v provozu. Tyto archivní logy jsou ukládány na záložní místo, které je mimo Exadata. Záloha těchto dat bude probíhat minimálně každých 15 minut, čímž bude zajištěna maximální ztráta dat 15 minut v případě totálního selhání Oracle Exadata v primární lokalitě. Tyto archivní logy budou uchovávány minimálně po dobu 30 dnů.


Strana 23

Na záložní místo bude prováděna nejméně každé 4 dny plná záloha. Tato záloha bude prováděna v zálohovacím okně v době od 0:00 do 4:00. Jelikož se bude jednat o zálohu na diskový prostor, bude se jednat o velmi rychlou zálohu. Záložní místo bude tvořeno zálohovacím serverem vybaveným zálohovacím SW a diskovým prostorem na diskovém poli určeném pro zálohování. Vlastní zpracování záloh dat je prováděno paralelním zpracováním, což vede k podstatnému zkrácení zálohy většího objemu dat. Databáze samotná bude nakonfigurována v takzvaném Flashback režimu. I drobná logická chyba v datech tedy nevede automaticky k nutnosti obnovy veškerých dat ve skupině, kde byla data porušena. Zvolená databáze umožňuje zpětný pohled na data a jejich historii (Flashback). To umožňuje rychlou a selektivní obnovu pouze těch dat, která byla porušena a doba obnovy tedy nezáleží na velikosti dat, ve kterých se chyba vyskytla, ale pouze na velikosti dat, ve kterých vznikla chyba. Tento zpětný pohled na data lze využít i v případě smazání dat, ke kterému došlo nedopatřením a to jak na úrovni dat, tak na úrovni objektů (za využití techniky Recycle Bin). V zálohovací lokalitě bude udržována kopie databáze primární. Vlastní synchronizace primární a záložní databáze bude realizována pomocí Oracle Data Guard, která efektivně využije šířky pásma mezi lokalitami. Celý systém v primární lokalitě musí být nakonfigurován tak, aby v případě nedostupnosti zálohovací lokality déle jak 15 minut, musí dojít k plnohodnotné aktivaci zálohování v primární lokalitě do takového stavu, aby celý systém mohl být automaticky korektně zálohován. Pod pojmem korektní zálohovaní se rozumí zálohování prostřednictvím zálohovacího serveru na diskové pole. Zálohování bude zahájeno rozdílovou zálohou databáze k poslední plné záloze v primární lokalitě a následně budou každých 15 minut zálohovány archivní logy, které budou vygenerovány produkčními systémy. Toto zálohování musí být spuštěno a funkční do 120 minut od nedostupnosti zálohovací lokality.

2.5.2.3.

-

V následující části je popsána Fail-Over záloha. V zálohovací lokalitě bude synchronní kopie primární DB. Tato synchronní kopie bude pravidelně zálohována na pásku. Toto zálohování bude nezávislé na primární lokalitě, proto nebude mít negativní vliv na běžný provoz systému a je možné ji provádět mimo vyčleněné okno. Lokalita bude vybavena zálohovacím serverem a zálohovací knihovnou. Dlouhodobá záloha dat pro uchování historie databáze a jednotlivých změn bude uchovávána na páskové zařízení. Pravidelně se na toto páskové zařízení provádí plné zálohy databáze spolu s archivačními logy, aby bylo možné v případě totální destrukce kompletně obnovit data z páskového zařízení k přesně definovanému času dle aktuálního zálohovacího plánu. Ostatní služby a prvky budou zálohovány na určenou datovou oblast, odkud budou v rámci pravidelné zálohy zálohovány na centrální zálohovací zařízení. Na datovou oblast budou prováděny zálohy: virtuálních serverů System state řadičů domény. S1_P1_Technická specifikace díla

Strana 24

V případě virtuálních severů musí být dodávaný zálohovací systém řešen způsobem umožňujícím provádění plnohodnotného zálohování VM (virtual machines) bez nutnosti odstávky dané VM. Pro zajištění maximální výkonosti celého zálohovacího systému bude celý tento systém nasazen v primární lokalitě v režimu zálohování disk to disk to tape, kdy tape bude umístěn v zálohovací lokalitě. Systémem disk to disk lze dosáhnout maximálního výkonu v požadovaném okně (0:00 až 4:00) a eliminovat technologické limity zálohovaných a zálohovacích komponent. Zálohovací okno pro replikace dat do zálohovací lokality není stanoveno jedná se o zálohu disk to tape a je možné provádět replikaci dat bez časového omezení. Zadavatel požaduje nasazení sofistikovaných funkcí zálohovacího systému, jako jsou snapshots, deduplikace dat, version management. Pro zálohování virtuálních serverů bude využito také funkčnosti diskových polí, které umožňují vytvářet snapshots a clony, které budou následně zálohovány bez dopadu na výkon. Zálohovací zařízení bude umístěno v primární, testovací a školící lokalitě. Jednotlivé lokality budou na sobě nezávislé, ale vzájemně spolupracující tak, aby bylo možné dosáhnout maximálního výkonu celé infrastruktury. Vlastní zálohovací proces bude probíhat prostřednictvím upravených „jobů“ automaticky v nočních hodinách tak, aby během dne nedošlo ke zbytečnému zatížení datové sítě či výkonu jednotlivých serverů. Na centrálním zálohovacím zařízení bude vytvořena politika, která bude garantovat udržování záloh minimálně po dobu 30 dnů a zároveň bude obsahovat 5 nezávislých záloh celého systému. Zálohy vybraných datových oblastí budou probíhat paralelně různými metodami tak, aby v případě obnovy bylo možné zvolit nejvhodnější variantu z pohledu času a objemu dat. Jako příklad uvádíme standardní zálohu prostřednictvím agentů určených pro zálohu diskového subsystému a pravidelně prováděné vytváření stínové kopie datových oblastí. Každý uvedený typ má své výhody i nevýhody, které mohou zkrátit čas a komfort obnovy dat. Vícenásobné jištění dat přinese vyšší stabilitu a bezpečnost systému, čímž bude zajištěná požadovaná záloha všech komponent minimálně 1x 24h. Zálohování všech komponent MS2014+ bude probíhat real time bez nutnosti odstávky jakékoliv části systému tzn. bez výpadku.

2.5.2.4. Přesný rozsah a licenční pokrytí stanoví Dodavatel v návaznosti na základě přesné konfigurace dodávaného HW a jím nabízeného řešení. Zadavatel požaduje, aby licenční model byl nezávislý na celkovém množství zálohovaných dat. Zadavatel požaduje, aby z licenčního pohledu byly pokryty následující prvky: Zálohovací server v primární lokalitě Zálohovací server v zálohovací lokalitě Oracle Exadata Half Rack osazeno 4 servery s CPU 2 x Eight-Core Intel® Xeon® E5-2690 Processors (2.9 GHz) Oracle Exadata Eighth Rack osazeno 2 servery s CPU 2 x Eight-Core Intel® Xeon® E5-2690 Processors (2.9 GHz) 2x služební server osazen 2x CPU 8 core. S1_P1_Technická specifikace díla

Strana 25

všechna ostatní zálohovaná zařízení (včetně VM) v případě, že daný předmět zálohy musí být licenčně pokryt. Primární lokalita: Položka

Verze

Počet

OS

Licence

Tivoli Storage manager

PVU (Processor value unit)

Tivoli Storage manager DB


Tivoli Storage manager Extended Edition


Prvek

Dodavatel doplní případný další SW

Zálohovací lokalita: Položka

Verze

Počet

OS

Licence

Tivoli Storage manager


Tivoli Storage manager DB


Tivoli Storage manager Extended Edition


Prvek

Dodavatel doplní případný další SW

2.5.2.5.


Provozovatel aplikace MS2014+ bude mít plná pasivní práva k zálohovacímu systému, tak aby mohl provádět kontrolu prováděných záloh, ověřovat integritu prováděných záloh. Dodavatel bude na vyžádání Provozovatele aplikace provádět zálohy a obnovy vybraných oblastí. Dodavatel bude plně zodpovídat za korektní běh a zálohování. Zvýšená součinnost s Provozovatelem aplikace bude během instalace jednotlivých verzí aplikace.


Strana 26


2.5.3.1. Pořízení páskového zálohovacího zařízení, na které bude umožňovat zápis na 2 pásky najednou každá o nativní kapacitě 2,5 TB, každá mechanika bude vybavena SAS rozhraním. Zařízení musí obsloužit nejméně 48 slotů. Součástí zařízení je požadovaná čtečka čárových kódů, dále USB rozhraní pro upgrady firmware a možnost uložení/obnovy konfigurace. Knihovnu je možno volitelně rozdělit na více partitions.

2.5.3.2. Pořízení všech nezbytných licencí pro zálohovací SW v návaznosti na dodávaný HW a SW

2.5.3.3. Instalace a konfigurace zálohovacího agenta na Oracle Exadata Instalace a konfigurace SW na zálohovacím serveru v primární lokalitě Instalace a konfigurace SW na zálohovacím serveru v zálohovací lokalitě Instalace a konfigurace zálohovacího agenta na serveru ISS01, ISS02 Konfigurace záloh virtuálních serverů Konfigurace snapshot a clone v rámci diskových polí Nastavení reportů o průběhu zálohování Jednorázová kompletní záloha a obnova systémové infrastruktury při ukončení implementačních prací dle této přílohy Smlouvy o dílo za účelem ověření funkcionality systému zálohování a obnovy.


Strana 27

2.6. 2.6.1. Z důvodu zabezpečení vysoké dostupnosti a výkonu klíčových služeb informačního systému, je nutné provozovat clusterové služby. Díky této službě bude informační systém připraven na neočekávané havárie IS i plánované odstávky za účelem údržby systému. Clusterová služba bude provozovaná v několika režimech.

2.6.1.1. Princip funkčnosti je založen na síťové vrstvě protokolu TCP/IP, kdy skupina nodů vystupuje pod jednou virtuální IP adresou. Samotné směrování na určitý nod clusteru zajišťuje NLB služba, dle definovaných parametrů. Tím dochází k rozložení zátěže na všechny nody clusteru. Při havárii nodu nedochází k přerušení služby, protože NLB služba bude zasílat komunikaci na zbylé nody. Toto řešení je ideální pro nasazení služeb, které jsou primárně založeny na principu protokolu TCP/IP, a to webových služeb, firewall služeb, které budou využity v rámci Aplikace MS2014+.

2.6.1.2.

-

Z důvodu zabezpečení vysoké dostupnosti Virtualizačních, Souborových, Zálohovacích, Databázových služeb bude implementován Windows Cluster na technologii Microsoft Windows Server. Zmíněné služby budou v každé lokalitě provozovány v samostatných Clusterech vždy o dvou nodech. V případě havárie hardwaru nodu dojde k automatizovanému přepnutí na druhý nod a tím i okamžitému zprovoznění služby do běžného provozu. V obou nodech musí být stejné hardwarové i softwarové konfigurace. Mezi jednotlivými servery je nutné mít datové úložiště (diskové pole), kde je uloženo nastavení clusteru (tzv. kvórum) a samotná data služby (souborové, databázové, virtualizační). Cluster může být provozován ve dvou modech (Active-Passive, Active-Active). Režim Active-Passive není primárně určen pro zvýšení výkonu, ale jako zabezpečení vysoké dostupnosti služby. Clusterovaná služba běží pouze na jednom nodu. V případě výpadku aktivního nodu dojde k automatizovanému přesunu služby na druhý nod clusteru. Toto řešení je ideální pro provoz služeb, které ke své funkci potřebují datové úložiště např. Souborové služby. Režim Active-Active poskytuje výhody režimu Active-Passive, ale zároveň je schopen při provozu částečně využít výkonu ostatních prvků. Nárůst výkonu není dvojnásobný, ale je dán limity jednotlivých komponent a služeb. Dílčí služba je vždy provozována pouze na jednom prvku, ale dokáže se transparentně přepnout na druhý nod bez výpadku. Toto řešení se v současné době používá především u virtualizačních služeb.

2.6.1.3.

–

Pro zajištění vysoké dostupnosti vybraných virtuálních serverů bude využita technologie Windows Geoclusteru, založená na replikace VM ve Windows serveru 2012. Jedná se o rozšíření Windows Cluster o možnost provozovat jednotlivé nody na geograficky odlišných lokalitách. Výhodou S1_P1_Technická specifikace díla

Strana 28

uvedeného řešení je v nezávislosti na lokalitě a eliminaci rizika (např. výpadky internetové konektivity, energetické krize (výpadek proudu), živelné pohromy), které nelze jednoduše v dané lokalitě eliminovat. Pro funkci Geoclusteru je nutné zajistit neustálou replikaci datových úložišť ve všech lokalitách. V rámci Windows server 2012 je již možné replikovat do záložní lokality jednotlivé virtuální servery nativními nástroji OS. Uvedené řešení se velmi často využívá u prvku, který může být právě jeden v celém systému a nelze zajistit vysokou dostupnost jinými prostředky.

2.6.1.4. Je technologie společnosti Oracle, která umožňuje provozovat v aktivním režimu databázi přes celou skupinu nodů. Tím dochází k výraznému navýšení výkonu, který je pro provoz databázového serveru žádoucí. V případě výpadku nodu bude funkčnost databáze zachována pomoci zbylých nodů v clusteru. Bližší informace jsou uvedeny v kapitole databázové služby.

2.6.1.5. Produkt Netscaler od společnosti Citrix nabízí technologii pro dosažení 100% dostupnosti aplikací. Tato technologie se nazývá Load Balancing, respektive Global Server Load Balancing (Load Balancing v geografickém měřítku). Load Balancing umožňuje na základě mnoha nastavitelných faktorů rozdělovat zátěž webových aplikací tak, aby byly systémové prostředky využity na všech serverech rovnoměrně a aby byly požadavky směřovány na funkční prvky skupiny. Pro správnou funkci této technologie je nutné udržovat tzv. stand-alone webové aplikace v replikovaném režimu (identické kopie) a ke každé z těchto aplikací musí být umožněn přímý přístup z Citrix Nestcaler serveru. NetScaler server je pro fungování LoadBalancingu klíčovou komponentou, která je v síťové topologii umístěna za bezpečnostní infrastrukturou IS MS2014+. Provádí přijímání HTTP požadavků od klientů a dle nastavitelných parametrů pro monitoring webových aplikací určuje, na který konkrétní stand-alone webový server přepošle daný HTTP požadavek. V konfiguraci, kdy je zapojen pouze jediný NetScaler server, nelze dosáhnout režimu vysoké dostupnosti. Proto bude nutné využít geograficky oddělené lokality pro instalaci a konfiguraci záložního NetScaler serveru. Samostatné NetScaler servery budou nakonfigurovány v režimu Global Server Load Balancing, kdy spolu budou prostřednictvím interního zabezpečeného tunelu komunikovat pomocí Metric Exchange protokolu a předávat si vzájemně informace o vytížení a dostupnosti lokality. Každý ze serverů bude nakonfigurován jako DNS server pro klienty z Internetu a na základě monitorování klíčových prvků lokalit bude klientům vracet IP adresu primární nebo záložní lokality.

2.6.2. V režimu Global server Load Balancing budou provozovány následující služby: Webové služby V režimu Windows Cluster budou v režimu Active-Passive, pokud není uvedeno jinak, provozovány následující služby: Souborové služby S1_P1_Technická specifikace díla

Strana 29

Zálohovací služby Databázové služby MSSQL (pro MS System Center, BizTalk) Virtualizační služby (režim Active-Acitve) Aplikační služby V režimu Oracle Real Application Server budou provozovány služby: Databázové služby Oracle

2.6.2.1. Veškerá interní komunikace mezi jednotlivými nody clusteru bude šifrována z důvodu zvýšení bezpečnosti informačního systému. Vzhledem k tomu, že clusterová služba „zprostředkovává“ pouze provoz jiné služby v režimu vysoké dostupnosti, je bezpečnost informačního systému závislá na zabezpečení jednotlivých služeb provozovaných v clusterovém režimu. Proto Zadavatel požaduje, aby Dodavatel v rámci řešení navrhl a implementoval i způsob zabezpečení jednotlivých služeb.


Počet nodů

Režim dostupnosti

GSLB (NetScaler)

2

Load Balancing

Webové služby

Detailní specifikace uvedena v kapitole Webové služby

Databázové služby produkční

Detailní specifikace uvedena v kapitole Databázové služby

Databázové služby podpůrné

2

FailOver

CLS-DBA

Poštovní služby

2

DAG

DAG

Souborové služby

2

FailOver

CLS – FS

Virtualizační služby

Detailní specifikace uvedena v kapitole Virtualizační služby

Název Clusteru

Testovací prostředí: Položka

Počet nodů

Režim dostupnosti

GSLB (NetScaler)

2

Load Balancing

Webové služby

Detailní specifikace uvedena v kapitole Webové služby

Databázové služby produkční

Detailní specifikace uvedena v kapitole Databázové služby

Databázové služby podpůrné

2

FailOver

CLS-DBA-tst

Souborové služby

2

FailOver

CLS – FS-tst


Název Clusteru

Strana 30

Položka

Počet nodů


Detailní specifikace uvedena v kapitole Virtualizační služby

Režim dostupnosti

Název Clusteru




2.6.3.3. Instalace a konfigurace GSLB v produkčním prostředí Instalace a konfigurace GSLB v testovacím prostředí Instalace a konfigurace Windows Fail-over cluster Instalace a konfigurace NLB


Strana 31

2.7. 2.7.1. Pro zajištění bezpečnosti a stability informačního systému budou implementovány antivirové služby (AV) a antispamové služby, které zabezpečí infrastrukturu před nežádoucím či škodlivým SW. Vstupní prvky do vnitřní části informačního systému budou z důvodu aktivní činnosti uživatelů náchylné na možnost virové infiltrace, proto zde budou AV služby implementovány v přísnějším režimu.

2.7.2. Antivirové služby budou v systému implementovány ve dvou úrovních a to pro antivirovou ochranu vkládaných příloh do systému a dále pro antivirovou ochranu jednotlivých serverů. Antivirové servery AV11 a AV12 budou sloužit pro antivirovou kontrolu vkládaných souborů. Antivirová ochrana bude realizována prostřednictvím Protection Engine for Cloud Services od společnosti Symantec. Na tyto servery bude prostřednictvím API rozhraní přistupovat aplikační server. Přesné nastavení AV produktu ve vazbě na aplikaci MS2014+ provede dodavatel aplikace MS2014+. V rámci instalace a konfigurace bude nastavena pravidelná aktualizace virové báze produktu. Antivirové služby v režimu ochrany OS budou instalovány na všechny prvky s operačním systémem MS Windows. Jako antivirový program bude nasazen produkt z rodiny Microsoft System Center 2012 Endpoint Protection. Tento produkt společně s Microsoft System Center 2012 Configuration Manager umožňuje efektivně řídit celkovou bezpečnost informačního systému. Jedná se o vysoce efektivní metodu, kdy lze v rámci jedné centrální konzole získat detailní přehled o celé infrastruktuře. Aby antivirové služby pracovaly korektně, je nutné provádět pravidelnou aktualizaci virové definice. Aktualizaci bude zajišťovat interní Update Services v rámci SCCM. Ochrana serveru bude zajištěna online antivirovým štítem a bude doplněna pravidelnou kontrolou systémového disku, která bude prováděna v nočních hodinách nebo v době, kdy je na daném prvku minimální provoz. Pro antispamové funkce budou vyžity nativní funkce MS Exchange. MS Exchange je dodáván v rámci poštovních služeb.

2.7.2.1. Bezpečnost antivirových služeb bude spočívat v uzamčení nastavení antivirového programu heslem tak, aby nikdo mimo správce nemohl antivirový štít vypnout či změnit nastavení programu. V rámci bezpečnost bude zajištěna také pravidelná aktualizace virové báze.


Strana 32


Verze

Microsoft System Center Endpoint Protection

2012

Symantec Protection Engine for Cloud Services

Počet

OS

Licence

Prvek

-

Licence pro System Center

Všechny servery s OS Windows.

2

Windows server Licence na server 2012

AV11; AV12

Počet

OS

Licence

Prvek

Microsoft System Center 2012 Endpoint Protection

-

Licence pro System Center

Symantec Protection Engine for Cloud Services

Windows server Licence na server 2012

Testovací lokalita: Položka

Verze

1

AV11-TST



2.7.3.2. Pořízení 2x Symantec Protection Engine for Cloud Services per Server

2.7.3.3. Instalace a základní konfigurace Symantec Protection Engine for Cloud Services Instalace a konfigurace SCCM EP na jednotlivé servery s OS Windows.


Strana 33

2.8. 2.8.1. Virtualizační služby či virtuální služby umožňují současně provozovat více různorodých systémů založených na různých platformách OS na jednom HW. Virtualizační služby vytvářejí unifikované HW rozhraní pro jednotlivé systémy. Existují aplikace a systémy, které vyžadují specializované nastavení, které je v rozporu s konfigurací jiné aplikace nebo systému a nelze je provozovat vzájemně na jednom prvku. Bez využití virtualizačních služeb by bylo nutné pořídit a instalovat nové HW vybavení nebo případně hledat alternativní řešení, které by často vedlo k nestabilitě celého systému. Virtualizací lze dosáhnout efektivnějšího využívání HW zdrojů a zároveň zajistit jednotnost prostředí pro provozované systémy. Jelikož virtualizace vytváří unifikované prostředí, lze bez problému přenášet jednotlivé systémy na ostatní virtuální systémy bez nutnosti složité obnovy. Tímto se výrazně snižuje délka případné obnovy systému. Vlastnost univerzálního prostředí lze využít i v případě enormního zatížení primárního HW, kdy lze jednotlivé virtuální servery přesunout na HW, který je dlouhodobě méně zatěžován. Virtualizace je běžně nedílnou součástí všech moderních systémů. Další nedílnou výhodou moderních systému je vysoká podpora „Cloud“ technologií, kdy lze provozovaný prvek přesunout do Cloudu to ať už privátního nebo veřejného.

live migrace

Hyper-V Node1

VM4

VM3

VM2

-

VM1

2.8.1.1.

Hyper-V Node2 Hyper-V cluster

SAN

Disk1 Disk2 Cluster Shared Volume (CSV)

Diskové pole


Strana 34

2.8.2. Ve virtualizačním prostředí poběží téměř veškeré služby pro aplikaci MS2014+. Cílem je maximálně zvýšit dostupnost, eliminovat závislost na fyzických prostředcích a systém zároveň navrhnout a provozovat tak, aby byly v maximální míře využity veškeré výhody virtualizace. Tento cíl vychází z požadavku na zvýšení stability prostředí a odstranění SPOF (Single Point of Failure). Virtualizační služby pro IS MS2014+ budou realizovány pomocí dvou základních technologií. Jedná se o MS HyperV provozované na Windows Serveru 2012 ve verzi Datacentrum Edition a Oracle VM. Virtualizační platforma Oracle VM bude využívána pro virtualizaci serverů s OS Linux. Uvedená virtualizační platforma byla vybrána z důvodu ekonomické výhodnosti licencování běhového prostředí WebLogic. Virtualizační prostředí bude nastaveno tak, aby byla licencována pouze přidělená CPU jádra virtuálního serveru, kde je nainstalován Oracle Weblogic, a nikoliv veškerá jádra daného virtualizačního serveru. Virtualizační služby Hyper-V budou v systému provozovány ve dvou režimech a to v režimu fail-over a nebo stand-alone. Režim stand-alone bude využíván pro virtuální servery, které budou řešit vysokou dostupnost na úrovni své služby a nechtějí k tomu využít vlastnosti vysoké dostupnosti virtualizační služby. Jedná se například o management služby, souborové a poštovní služby. Tento režim bude na serverech ISS01 a ISS02. Vybrané virtuální servery budou provozovány ve fail-over clusteru, datové soubory virtuálních počítačů budou umístěny na sdíleném uložišti. Pro každý virtuální server bude vytvořen samostatný logický disk. Prostředí bude nastaveno následovně, v případě výpadku jednoho z hostujících nodů (serverů), zajistí fail-over cluster automatické přesunutí clusterovaných virtuálních počítačů (VM) na dostupný nebo volný nod clusteru. O vhodnosti volby bude rozhodovat System Center Virtual Machine Manager ve spolupráci System Center Operations Manager. V tomto režimu bude provozována většina virtualizačních serverů. V systému budou následující clustery s rolí Hyper-V: CLS-APL – jedná se o 4 nodový cluster určený především pro samotný výkonný běh aplikační části aplikace MS2014+ CLS-IDMZ – jedná se o 2 nodový cluster určený především pro běh prezentační části aplikace MS2014+ CLS-TEST - jedná se o 2 nodový cluster pro testovací prostředí. Všem serverům bude přiřazena stejná výchozí výkonnostní váha, tzn., že žádný virtuální server nebude mít přednost vůči ostatním virtuálním serverům při využívání základních HW prostředků. Technologie Live Migration zajistí přesun běžících virtuálních serverů mezi jednotlivými nody Hyper-V clusteru bez výpadku služeb či připojení klienta. V produkční primární lokalitě bude implementovaná technologie pro možnost snadného vytváření clonu či snapshotu virtuálního serveru na úrovni diskového pole. Tato funkčnost bude především využívána při instalacích nových verzí do produkčního prostředí. V případě budoucího budování záložní lokality očekáváme využití replikačních funkcí Windows serveru 2012, které umožňují vytvářet repliku virtuálního serveru prostřednictvím nativních nástrojů operačního systému.


Strana 35

Virtualizační prostředí společně s nástroji pro management budou tvořit v jednotlivých lokalitách „privátní cloud“. Virtualizační služby budou také v maximální možné míře využívány pro testovací prostředí. V tomto prostředí budou provozovány všechny prvky, které nevyžaduji specifickou HW konfiguraci např. databázové služby Oracle.

2.8.2.1. Přístup k virtuálním počítačům přes Hyper-V konzoli může být povolen pouze definované skupině uživatelů, nicméně pro aktivní správu VM bude primárně používán System Center Virtual Machine Manager 2012 (dále jen SCVMM), jehož primární služby budou provozovány v informačním systému dohledového pracoviště. Přístup k virtuálním počítačům bude na úrovni SCVMM řízen na základě nastavených přístupových práv a rolí.


Hyper-V

Verze

2012

Oracle VM

Počet OS

Licence

Prvek

8

Windows Server 2012

HV01-HV06; serverová licence EHV01; Windows Server 2012 EHV02;ISS01; DE ISS02

2

Oracle VM

Serverová licence

OVM01 a OVM02

Licence

Prvek

Zálohovací a testovací lokalita: Položka Hyper-V

Verze 2012

Počet OS 2

Windows Server 2012

serverová licence HV01-TST; HV02Windows Server 2012 TST DE

2.8.2.3. Pro výkon a odezvy jednotlivých virtuálních serverů je zásadní rychlost přístupu k diskům. Proto budou umístěny jednotlivé virtuální servery na jednotný diskový prostor, který bude dostupný pro jednotlivé prvky. Zároveň je nutné pro jednotlivé prvky zajistit dostatečný výkon pro jednotlivé virtuální servery. Přesné požadavky na virtuální servery byly stanoveny v rámci sizingu prostředí. V následující tabulce je celkový přehled všech VM v rámci primární lokality.


Strana 36

Počet Paměť Název core RAM v serveru (CPU) GB

LAN

Local Storage OS HDD v GB

EWEB11 8

24

2x 10Gbit/s

100

Windows 2012 Externí web

DMZ

EWEB12 8

24

2x 10Gbit/s

100


DMZ

EWEB13 4

8

2x 10Gbit/s

100


DMZ

EWEB14 4

8

2x 10Gbit/s

100


DMZ

EWEB15 4

8

2x 10Gbit/s

100


DMZ

EWEB16 4

8

2x 10Gbit/s

100


DMZ

ESS11

2

4

1x 10Gbit/s

100

Windows 2012 DNS, AD

DMZ

ESS12

2

4

1x 10Gbit/s

100


DMZ

CSG11

2

4

1x 10Gbit/s

100

Windows 2012

APPGW 4 11

8

2x 10Gbit/s

100

Windows 2012 Management

DMZ

APPGW 4 12

8

2x 10Gbit/s

100


DMZ

CryptoI D11

4

24

2x 10Gbit/s

100

Windows 2012 Aplikační služby Aplikační

CryptoI D12

4

24

2x 10Gbit/s

100


SD11

4

32

2x 10Gbit/s

100

Windows 2012

Interní web + Aplikační Aplikační služby

SD12

4

32

2x 10Gbit/s

100

Windows 2012


WEB11

8

48

2x 10Gbit/s

100

Windows 2012


WEB12

8

48

2x 10Gbit/s

100

Windows 2012


WEB13

8

48

2x 10Gbit/s

100

Windows 2012


WEB14

8

48

2x 10Gbit/s

100

Windows 2012


WEB15

8

48

2x 10Gbit/s

100

Windows 2012



Služby

Vzdáleného přístupu

Prvek cluster

DMZ

Strana 37


LAN


Služby

WEB16

8

48

2x 10Gbit/s

100

Windows 2012


WEB17

8

48

2x 10Gbit/s

100

Windows 2012


WEB18

8

48

2x 10Gbit/s

100

Windows 2012


ESB11

8

32

2x 10Gbit/s

100


ESB12

8

32

2x 10Gbit/s

100


SC11

8

32

2x 10Gbit/s

100


ISS01

SC12

4

32

2x 10Gbit/s

100


ISS02

SC13

4

32

2x 10Gbit/s

100


ISS01

SC14

8

32

2x 10Gbit/s

100


ISS02

SC15

4

32

2x 10Gbit/s

100


ISS01

SC16

4

32

2x 10Gbit/s

100


ISS02

MSDBA 11

8

64

4x 10Gbit/s

100

Windows 2012 Databáze

Aplikační

MSDBA 12

8

64

4x 10Gbit/s

100

Windows 2012 Databáze

Aplikační

ESBWEB 4 11

32

2x 10Gbit/s

100

Windows 2012


ESBWEB 4 12

32

2x 10Gbit/s

100

Windows 2012


APP13

8

32

2x 10Gbit/s

100

Windows 2012


APP14

8

32

2x 10Gbit/s

100

Windows 2012


APP11

8

32

2x 10Gbit/s

100

Windows 2012


APP12

8

32

2x 10Gbit/s

100

Windows 2012


TS11

4

24

2x 10Gbit/s

100

Windows 2012 Terminálové


Prvek cluster

ISS01

Strana 38


LAN


TS12

Služby

Prvek cluster

4

24

2x 10Gbit/s

100

Windows 2012 Terminálové

ISS02

EXCH11 4

24

2x 10Gbit/s

100

Windows 2012 Poštovní

ISS01

EXCH12 4

24

2x 10Gbit/s

100

Windows 2012 Poštovní

ISS02

CA

2

8

2x 10Gbit/s

100

Windows 2012 Certifikační

ISS01

ISS11

4

8

1x 10Gbit/s

100


Aplikační

OWCC1 4 1

24

2x 10Gbit/s

100

Oracle Linux

Web Interní

Linux

OWCC1 4 2

24

2x 10Gbit/s

100

Oracle Linux

Web Interní

Linux

OBI11

4

24

2x 10Gbit/s

100

Oracle Linux

Web Interní

Linux

OBI12

4

24

2x 10Gbit/s

100

Oracle Linux

Web Interní

Linux

AV11

8

32

2x 10Gbit/s

100

Windows 2012 Antivir

Aplikační

AV12

8

32

2x 10Gbit/s

100

Windows 2012 Antivir

Aplikační

FS11

4

8

2x 10Gbit/s

100

Windows 2012 Souborové

ISS01

FS12

4

8

2x 10Gbit/s

100

Windows 2012 Souborové

ISS02




2.8.3.3. 6x Inicializace a konfigurace role Hyper-V v clusterovém prostředí 2x Inicializace a konfigurace role Oracle-VM v clusterovém prostředí 2x Inicializace a konfigurace role Hyper-V v stand-alone prostředí Vytvoření cluster shared volume na diskových polích Konfigurace a ověření clusteru pro možnost Live migrace Konfigurace virtuálních sítí v rámci hypervisoru 40x Vytvoření a konfigurace virtuálních serverů s OS Windows v režimu vysoké dostupnosti S1_P1_Technická specifikace díla

Strana 39

10x Vytvoření a konfigurace virtuálních serverů s OS Windows Vytvoření virtuálních serverů s OS Linux v režimu vysoké dostupnosti


Strana 40

2.9. 2.9.1. V systému budou implementovány poštovní služby pouze pro úzkou skupinu služeb a prvků. Poštovní služby budou především využívány pro zasílání zpráv uživatelů. Pro odesílání zpráv bude využit standardní SMTP server, který nevyžaduje klientskou přístupovou licenci. Pro doručování zpráv bude vyhrazeno pouze několik schránek, které budou automaticky zpracovávány úlohami na pozadí. Tyto úlohy budou výhradně pro potřeby systému. Celý systém bude vybudován na produktu MS Exchange 2013 v edici standard s Windows server 2012. Systém bude provozován na dvou mailbox serverech EXCH11 a EXCH12, které budou propojeny v Database Availability Groups (DAG), a jedním serverem Client Access server CASHUB11.



2.9.2.2. Pořízení 3x MS Exchange Server Std. Lic/SA Pořízení 20x MS Exchange CAL device standard Lic/SA Pořízení 20x MS Exchange CAL device Enterprise Lic/SA

2.9.2.3. Instalace a konfigurace SMTP serveru. Instalace a konfigurace MS Exchange Vytvoření systémových mailových schránek


Strana 41

3. 3.1. 3.1.1. Kapitola síťové služby se věnuje návrhu způsobu komunikace mezi jednotlivými prvky IS na druhé a třetí síťové vrstvě modelu ISO/OSI. S ohledem na HW infrastrukturu IS MS2014+ budou jednotlivé prvky IS komunikovat primárně pomocí TCP/IP protokolu, který je vhodný pro budování počítačových sítí podobného rozsahu a zaměření. Internet protokol je v současné době provozován ve dvou možných verzích a to původní 32 bitová IPv4, kde adresy již byly vyčerpány a jsou nyní vlastněny jednotlivými poskytovateli připojení do internetu. IPv4 je tedy postupně nahrazováno IPv6, která je již 128 bitová a umožňuje v rámci sítě adresovat velké množství zařízení. Výše uvedené platí pouze pro zařízení provozovaných přímo v síti INTERNET a pro veškerá zařízení a služby, které budou dostupné veřejně nebo externě dostupné. V rámci interní sítě MS2014+ není požadovaná implementace IPv6. Nicméně je nutné s technologii IPv6 počítat a veškeré zařízení a služby provozované v IS MS2014+ musí být plně kompatibilní s IPv4 i IPv6 protokolem.

3.1.2. Implementaci síťových služeb lze rozdělit do několika částí či vrstev:

3.1.2.1. Fyzická topologie má charakter hvězdy. Centrální prvek bude reprezentován dvojicí páteřních přepínačů, které budou spojeny ve stohu. Core/Access prvek je zdvojený z důvodu redundance, v případě výpadku jednoho přepínače je možné využít druhý jako zálohu. Do centrálního prvku bude připojený stoh přepínačů, který bude využit pro připojení management rozhraní serverů a jiných management prvků. Stoh bude z důvodu redundance zdvojený. Do Centrálních prvků budou dále připojeny Firewally, které budou sloužit k filtraci komunikace z demilitarizované zóny do interní části sítě, a dále zde bude probíhat inspekce provozu některých virtuálních sítí. Pro propojení Core/Access přepínačů se zbytkem síťových prvků bude využito 10 Gbit/s rozhraní. Je tedy nezbytně nutné, aby Core/Access přepínač měl dostatečné množství 10 Gbit/s portů. Pro potřeby připojení zařízení v demilitarizované zóně bude z Firewallu vytažený stoh dvou switchů, které budou připojeny přes 1Gbit/s rozhraní.

3.1.2.2.


Strana 42

Z důvodu zajištění vysoké dostupnosti a maximální redundance budou využity prvky umožňující virtualizaci síťových prvků. Ta umožní ze dvou samostatných přepínačů vytvořit jeden logický celek vystupující pod jednou IP adresou a konfigurací. K zajištění komunikace a garance kvality síťových služeb je vhodné zvolit přepínač s minimálně 48x 10 Gbit/s porty. Z důvodu zjednodušení designu datové sítě bude Core prvek sloužit i jako access switch pro serverové stanice.

3.1.2.3. Přístupové přepínače budou dvojího typu a to pro Serverové/Core a Management. Serverový/Core přepínač bude tvořen dvěma switchi s 48x 10Gbit/s rozhraním. Přepínače budou provozovány ve stohu. Z důvodu využití FCoE technologie je nutné, aby přepínače plně podporovaly standart Fibre Channel over Ethernet. Přepínače budou obsluhovat síťové adaptéry jednotlivých serverů a jiných síťových zařízení, které budou pro svou činnost využívat datovou síť. Pro potřeby demilitarizované zóny bude vytvořen přístupový switch tvořen dvěma 24x 1 Gbit/s rozhraním v režimu stohu. Pro propojení s Core vrstvou bude využito čtyř uplink portů s 10 Gbit/s rozhraním. Management přepínač budou tvořeny dvěma switchi s 48x 1 Gbit/s rozhraním, které budou také provozovány ve stohu. Pro propojení s core vrstvou bude využito čtyř uplink portů s 10 Gbit/s rozhraním. Management switche budou obsluhovat zařízení typu remote management rozhraní serveru, management diskových polí, atd..

3.1.2.4. Zálohovací lokalita Testovací lokalita

Primární lokalita

Switch DMZ

Switch DMZ

Core/Access Switch + router


Switch Management

Switch Management



Switch Management

Switch Management

Strana 43

3.1.2.5. Z pohledu topologie je spojová vrstva řešena jednoduše. Vychází z fyzické topologie hvězda s centrálními přepínači, které se díky virtualizaci tváří jako jedno zařízení. Logická topologie zobrazuje infrastrukturu mnohem přehledněji. Všechna propojení a zařízení jsou zobrazeny dle spojové vrstvy.


Primární lokalita

Switch DMZ

4 x 1Gbit/s

FW + router

FW + router

4 x 10Gbit/s

Core/ Acces Switch + router

2 x 1Gbit/s

Core/ Acces Switch + router

2 x 10Gbit/s

4 x 10Gbit/s

4 x 10Gbit/s

Switch Management

Switch Management

3.1.2.7. Celý adresní prostor bude rozdělen do několika samostatných podsítí (subnetů). Ke každé podsíti bude přidělena příslušná virtuální síť tzv. VLAN. Jednotlivé VLANy budou zavedeny z důvodu zjednodušení fyzické infrastruktury datové sítě a základnímu bezpečnostnímu oddělení logických celků datové sítě.

3.1.2.8. Adresní prostor IS MS2014+ bude rozdělen na několik logických části, a to na: Adresní prostor primární lokality: Interní Databázové služby 10.1.1.0/24 Aplikační služby 10.1.2.0/24 Terminálové služby 10.1.3.0/24 S1_P1_Technická specifikace díla

Strana 44

Zálohovací služby - Oracle 10.1.4.0/24 Zálohovací služby 10.1.5.0/24 Ostatní komunikace 10.1.6 - 29.0/24 Out-of-band management 10.1.30.0/24 Ostatní management 10.1.31.0/24 DMZ Internet Webové služby 10.1.100.0/24 Aplikační služby 10.1.101.0/24 Ostatní komunikace 10.1.102 - 129.0/24 Out-of-band Management 10.1.130.0/24 Test – Interní Databázové služby 10.1.61.0/24 Aplikační služby 10.1.62.0/24 Terminálové služby 10.1.63.0/24 Ostatní komunikace 10.1.64 - 79.0/24 Test – DMZ Internet Webové služby 10.1.160.0/24 Aplikační služby 10.1.161.0/24 Ostatní komunikace 10.1.162 - 189.0/24 Adresní prostor záložní lokality: Interní Databázové služby 10.2.1.0/24 Aplikační služby 10.2.2.0/24 Terminálové služby 10.2.3.0/24 Zálohovací služby - Oracle 10.2.4.0/24 Zálohovací služby 10.2.5.0/24 Ostatní komunikace 10.2.6 - 29.0/24 Out-of-band management 10.2.30.0/24 Ostatní management 10.2.31.0/24 DMZ Internet Webové služby 10.2.100.0/24 Aplikační služby 10.2.101.0/24 Ostatní komunikace 10.2.102 - 129.0/24 Out-of-band Management 10.2.130.0/24 Test – Interní Databázové služby 10.2.61.0/24 Aplikační služby 10.2.62.0/24 Terminálové služby 10.2.63.0/24 Ostatní komunikace 10.2.64 - 79.0/24 Test – DMZ Internet Webové služby 10.2.160.0/24 Aplikační služby 10.2.161.0/24 Ostatní komunikace 10.2.162 - 189.0/24


Strana 45

V současné době bude druhá lokalita sloužit pouze jako zálohovací. Nicméně adresní prostor je připraven k eventuální možnosti vybudovat druhou lokalitu rovnocennou k primární (produkční). Rozsah využití virtuálních sítí bude plně závislý na použitých technologiích a zařízeních jednotlivých vendorů. Adresní rozsah je vybudován na privátním rozsahu 10.0.0.0/8, který je dostatečně dimenzován a připraven na implementaci v IS MS2014+. Adresní bloky jsou rozděleny dle jednotlivých služeb, provozovaných v IS. Routování jednotlivých sítí bude prováděno na Core/Access přepínačích, kde budou definovány jednotlivé VLANy. Výjimku budou tvořit virtuální sítě, kde je nutné klást enormní důraz na bezpečnost komunikace. Tyto jednotlivé segmenty budou ukončeny na bezpečnostních zařízeních, interních firewallech, kde bude probíhat kontrola komunikace a aplikační inspekce. Jednotlivé VLANy budou distribuovány pouze na konkrétní přepínače, např. management VLAN bude propagována pouze na skupině switchů sloužící k managementu jednotlivých zařízení. Tímto dochází ke zvýšení bezpečnostní a integrity síťových služeb.

3.1.2.9. Bezpečnost síťových služeb je zajištěna pomoci dílčích řešení, které společně zásadně snižují míru rizika napadení IS MS2014+. IS je budován jako „cloudové“ řešení pro jednotlivé konzumenty služby. K interním zdrojům IS budou mít tedy přístup pouze vybraní a prověření pracovníci z důvodu údržby a upgradu systému. Zbytek uživatelů bude pomoci sítě INTERNET či jiné veřejné sítě přistupovat k jednotlivým službám pomoci webových portálů. Velký důraz je tedy kladen na zajištění bezpečnosti z veřejné sítě INTERNET, odtud hrozí největší nebezpečí průniku do IS. Je tedy nutné zajisti filtraci komunikace na vnějším rozhraní, o kterou se stará IDS/IPS sonda, která se tváří zcela transparentně vůči svému okolí. IPS sleduje nekalou komunikaci v síti a případné útoky zcela odblokuje. Útoky typu Denial of Service, které způsobí přetížení infrastruktury a tím i nedostupnost samotné služby jejím konzumentům je IPS sonda schopna zcela zamezit. Po kontrole IPS sondou následuje inspekce komunikace aplikačním Firewallem, který je umístěn v demilitarizované zóně a veškerá komunikace ze strany konzumentů končí přímo zde. Samotný firewall kontaktuje již příslušné služby v interní části informačního systému. Tato komunikace je také podrobena kontrole na firewallu, který je umístěn na rozhraní demilitarizované zóny a interní části sítě. Tyto firewally budou dále použity pro zajištění komunikace mezi lokalitami. Komunikace mezi jednotlivými lokalitami bude zajištěna pomocí Site-to-Site VPN. Komunikace mezi lokalitami bude přenášena privátním šifrovaným kanálem. VPN připojení bude využívat protokolu L2TP/IPsec, aby bylo možno zaručit integritu a původ paketů. Pro utajení dat během jejich přenosu sdílenou nebo veřejnou tranzitní sítí jsou data na straně odesílatele zašifrována a na straně příjemce dešifrována. Šifrování a dešifrování je založeno na tom, že odesílatel i příjemce používají společný šifrovací klíč. Zachycené pakety odeslané přes připojení VPN v tranzitní síti jsou nesrozumitelné každému, kdo nemá k dispozici tento společný šifrovací klíč. Vzhledem k tomu, že do zálohovací lokality bude prováděna replikace dat, je nutné zajistit dostatečnou propustnost Firewallu, která by měla být min. 8 Gbit/s v šifrovaném režimu. S1_P1_Technická specifikace díla

Strana 46

Zabezpečení jednotlivých vybraných segmentů datové sítě bude zajištěno pomoci firewallů, které budou provádět filtraci komunikace a aplikační inspekci tzv. zone-based policy firewall. Minimálně se jedná o VLANy pro databázové služby, aplikační služby, management služby, webové služby. Přístup ke konfiguraci zařízení, která souvisí se síťovými službami, bude omezen pouze pro vybranou dvojici serveru, ze kterých bude prováděna údržba systému.

3.1.2.10. Přehled prvků použitých v primární lokalitě. Pro zajištění vysoké dostupnosti a kvality služby budou veškeré prvky redundantně.

Typ rozhraní

Počet

Rychlost

Uplink Porty Typ rozhraní

Rychlost

Typ přepínače

Počet

Porty

Role přepínače na vazbu s ISO/OSI

Virtualizace stohování

Počet prvků

Podp ora FCoE

Ano

2

Ano

Core/Access

48

10 Gbit/s

SFP+

4

Switching/ QSFP 40 Gbit/s Routing – + L2/L3

Access – IDMZ

24

1 Gbit/s

RJ45

4

10 Gbit/s SFP+

Switching – L2

Ano

2

Ne

Access MGMT

48

1 Gbit/s

RJ45

4

10 Gbit/s SFP+

Switching – L2

Ano

2

Ne

U Core/Access switche bude nutné zajistit podporu transceiveru typu 10GBASE-ER, který je nutný pro připojení zálohovací lokality z důvodu geografického umístění lokality. Tento typ převodníku je vhodný k přenosu informace na vzdálenost 10 – 40 km. V každém Core/Access přepínači budou umístěny minimálně dva 10GBASE-ER transceivery případně 10GBASE-LR u vzdáleností do 10 km mezi lokalitami. Přesný typ bude závislý na vzdálenosti od zálohovací lokality, která bude umístěna v lokalitě Staroměstská. 3.1.2.10.1. Požadované minimální vlastnosti prvků:

Prvek

Požadavek

Core/Access Porty

48x 1000/10000 SFP+ 4x QSFP+ 40 GbE

Napájecí zdroj

2x napájecí zdroj

Paměť

512 MB flash, 2 GB SDRAM


Strana 47

Prvek

Požadavek

10 Gbps latence

Maximálně 1.5 μs

Podpora FCoE

Ano

Propustnost

Minimálně900 milionu paketu za sekundu

Propustnost – Routing/Switching

Minimálně1200 Gbps

Velikost routovací tabulky

16000 záznamů

Management

Podpora Zálohování a obnova konfigurace síťových prvků Dohled funkčnosti jednotlivých fyzických a prvků Správa přístupů k přepínačům včetně možnosti delegovat různé role a přístupy do konfigurace Ukládání informace kdo, kde, co prováděl na přepínačích

Podpora virtualizace

Ano

Podpor transceiveru

1G SFP LC LH40 1310nm Transceiver 1G SFP LC LH40 1550nm Transceiver 1G SFP LC LH70 Transceiver 1G SFP LC BX 10-U Transceiver 1G SFP LC BX 10-D Transceiver 1G SFP LC SX Transceiver 1G SFP LC LX Transceiver 1G SFP RJ45 T Transceiver 10G SFP+ LC SR Transceiver 10G SFP+ LC LRM Transceiver 10G SFP+ LC LR Transceiver 10G SFP+ LC ER 40km Transceiver

Podpora standardů

RFC 2918 Route Refresh Capability IEEE 802.1D MAC Bridges IEEE 802.1p Priority IEEE 802.1Q VLANs IEEE 802.1s Multiple Spanning Trees IEEE 802.1w Rapid Reconfiguration of Spanning Tree IEEE 802.3ad Link Aggregation (LAG) IEEE 802.3ae 10-Gigabit Ethernet RFC 768 UDP RFC 791 IP


Strana 48

Prvek

Požadavek RFC 792 ICMP RFC 793 TCP RFC 826 ARP RFC 854 TELNET RFC 856 TELNET RFC 896 Congestion Control in IP/TCP Internetworks RFC 950 Internet Standard Subnetting Procedure RFC 1027 Proxy ARP RFC 1058 RIPv1 RFC 1091 Telnet Terminal-Type Option RFC 1141 Incremental updating of the Internet checksum RFC 1191 Path MTU discovery RFC 1213 Management Information Management of TCP/IP-based internets

Base

for

Network

RFC 1350 TFTP Protocol (revision 2) RFC 1624 Incremental Internet Checksum RFC 1812 IPv4 Routing RFC 2131 DHCP RFC 2453 RIPv2 RFC 2581 TCP Congestion Control RFC 2644 Directed Broadcast Control RFC 3768 Virtual Router Redundancy Protocol (VRRP) RFC 4250 The Secure Shell (SSH) Protocol Assigned Numbers RFC 4251 The Secure Shell (SSH) Protocol Architecture RFC 4252 The Secure Shell (SSH) Authentication Protocol RFC 4253 The Secure Shell (SSH) Transport Layer Protocol RFC 4254 The Secure Shell (SSH) Connection Protocol RFC 4419 Diffie-Hellman Group Exchange for the Secure Shell (SSH) Transport Layer Protocol RFC 4594 Configuration Guidelines for DiffServ Service Classes RFC 4941 Privacy Extensions Autoconfiguration in IPv6

for

Stateless

Address

RFC 2460 IPv6 Specification RFC 2711 IPv6 Router Alert Option


Strana 49

Prvek

Požadavek RFC 3315 DHCPv6 (client and relay) RFC 4291 IP Version 6 Addressing Architecture RFC 4862 IPv6 Stateless Address Auto-configuration RFC 5095 Deprecation of Type 0 Routing Headers in IPv6 RFC 1213 MIB II RFC 1907 SNMPv2 MIB RFC 2571 SNMP Framework MIB RFC 2572 SNMP-MPD MIB RFC 2573 SNMP-Notification MIB RFC 2573 SNMP-Target MIB RFC 2574 SNMP USM MIB RFC 2737 Entity MIB (Version 2) RFC 3414 SNMP-User based-SM MIB RFC 3415 SNMP-View based-ACM MIB LLDP-EXT-DOT1-MIB RFC 1587 OSPF NSSA RFC 2328 OSPFv2 RFC 3101 OSPF NSSA RFC 3137 OSPF Stub Router Advertisement RFC 3623 Graceful OSPF Restart RFC 4577 OSPF as the Provider/Customer Edge Protocol for BGP/MPLS IP Virtual Private Networks (VPNs) RFC 4811 OSPF Out-of-Band LSDB Resynchronization RFC 4812 OSPF Restart Signaling RFC 4813 OSPF Link-Local Signaling IEEE 802.1P (CoS) RFC 2475 DiffServ Architecture RFC 2597 DiffServ Assured Forwarding (AF) RFC 3247 Supplemental Information for the New Definition of the EF PHB (Expedited Forwarding Per-Hop Behavior) RFC 3260 New Terminology and Clarifications for DiffServ Access Control Lists (ACLs) SSHv2 Secure Shell

Access/DMZ Porty S1_P1_Technická specifikace díla

24x RJ-45 10/100/1000 Strana 50

Prvek

Požadavek 4x Gigabit SFP 2x SFP+ 10 GbE

Napájecí zdroj

2x napájecí zdroj

Paměť


10 Gbps latence

Maximálně 3 μs

1 Gbps latence

Maximálně 5 μs

Propustnost

130,9 milionu paketu za sekundu

Propustnost Routing/Switching

176 Gbps


12000 záznamů

Management



Ano

Podpor transceiveru

1G SFP LC LH40 1310nm Transceiver 1G SFP LC LH40 1550nm Transceiver 1G SFP LC LH70 Transceiver 1G SFP RJ45 T Transceiver 100M SFP LC LH40 Transceiver 100M SFP LC LH80 Transceiver 10G SFP+ LC SR Transceiver 10G SFP+ LC LRM Transceiver 10G SFP+ LC LR Transceiver 1G SFP LC BX 10-U Transceiver 1G SFP LC BX 10-D Transceiver 100M SFP LC FX Transceiver 10G XFP LC LR Transceiver 10G XFP LC SR Transceiver 1G SFP LC SX Transceiver 100M SFP LC LX Transceiver 10G XFP LC ER Transceiver 100M SFP LC FX Dual Mode Transceiver


Strana 51

Prvek

Požadavek 100M SFP LC LX10 Transceiver 1G SFP LC LX Transceiver

Podporované standarty

RFC 1157 SNMPv1/v2c RFC 1305 NTPv3 RFC 1901 (Community based SNMPv2) RFC 2452 MIB for TCP6 RFC 2454 MIB for UDP6 RFC 2573 (SNMPv3 Applications) RFC 2576 (Coexistence between SNMP V1, V2, V3) RFC 2819 (RMON groups Alarm, Event, History and Statistics only) RFC 3410 (Management Framework) RFC 3416 (SNMP Protocol Operations v2) RFC 3417 (SNMP Transport Mappings) HTML and telnet management Multiple Configuration Files SNMP v3 and RMON RFC support SSHv1/SSHv2 Secure Shell IEEE 802.1ad Q-in-Q IEEE 802.1D MAC Bridges IEEE 802.1p Priority IEEE 802.1Q (GVRP) IEEE 802.1w Rapid Reconfiguration of Spanning Tree IEEE 802.3ab 1000BASE-T IEEE 802.3ad Link Aggregation (LAG) IEEE 802.3ae 10-Gigabit Ethernet IEEE 802.3af Power over Ethernet IEEE 802.3i 10BASE-T IEEE 802.3u 100BASE-X IEEE 802.3x Flow Control IEEE 802.3z 1000BASE-X RFC 768 UDP RFC 791 IP RFC 792 ICMP RFC 793 TCP


Strana 52

Prvek

Požadavek RFC 854 TELNET RFC 925 Multi-LAN Address Resolution RFC 950 Internet Standard Subnetting Procedure RFC 951 BOOTP RFC 1058 RIPv1 RFC 1122 Host Requirements RFC 1141 Incremental updating of the Internet checksum RFC 1213 Management Information Management of TCP/IP-based internets

Base

for

Network

RFC 1305 NTPv3 RFC 1350 TFTP Protocol (revision 2) RFC 1519 CIDR RFC 1723 RIP v2 RFC 1812 IPv4 Routing RFC 1887 An Architecture for IPv6 Unicast Address Allocation RFC 2131 DHCP RFC 2236 IGMP Snooping RFC 2338 VRRP RFC 2375 IPv6 Multicast Address Assignments RFC 2616 Hypertext Transfer Protocol -- HTTP/1.1 RFC 2644 Directed Broadcast Control RFC 2865 Remote Authentication Dial In User Service (RADIUS) RFC 2866 RADIUS Accounting RFC 3246 Expedited Forwarding PHB RFC 3410 Applicability Statements for SNMP RFC 3414 User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3) RFC 3415 View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP) RFC 3417 Transport Mappings for the Management Protocol (SNMP)

Simple Network

RFC 3484 Default Address Selection for Internet Protocol version 6 (IPv6) RFC 3493 Basic Socket Interface Extensions for IPv6 RFC 3542 Advanced Sockets Application Program Interface (API) for IPv6 S1_P1_Technická specifikace díla

Strana 53

Prvek

Požadavek RFC 3587 IPv6 Global Unicast Address Format RFC 3596 DNS Extensions to Support IP Version 6 RFC 3623 Graceful OSPF Restart RFC 3704 Unicast Reverse Path Forwarding (URPF) RFC 3768 Virtual Router Redundancy Protocol (VRRP) RFC 3810 Multicast Listener Discovery Version 2 (MLDv2) for IPv6 RFC 4113 Management Information Base for the User Datagram Protocol (UDP) RFC 4213 Basic IPv6 Transition Mechanisms RFC 4443 Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification 802.1r - GARP Proprietary Attribute Registration Protocol (GPRP) RFC 2236 IGMPv2 RFC 2710 Multicast Listener Discovery (MLD) for IPv6 RFC 3376 IGMPv3 RFC 3569 An Overview of Source-Specific Multicast (SSM) RFC 3618 Multicast Source Discovery Protocol (MSDP) RFC 3973 PIM Dense Mode RFC 4601 PIM Sparse Mode RFC 1881 IPv6 Address Allocation Management RFC 1887 IPv6 Unicast Address Allocation Architecture RFC 1981 IPv6 Path MTU Discovery RFC 2080 RIPng for IPv6 RFC 2373 IPv6 Addressing Architecture RFC 2375 IPv6 Multicast Address Assignments RFC 2460 IPv6 Specification RFC 2461 IPv6 Neighbor Discovery RFC 2462 IPv6 Stateless Address Auto-configuration RFC 2463 ICMPv6 RFC 2464 Transmission of IPv6 over Ethernet Networks RFC 2475 IPv6 DiffServ Architecture RFC 2710 Multicast Listener Discovery (MLD) for IPv6 RFC 2740 OSPFv3 for IPv6 RFC 2893 Transition Mechanisms for IPv6 Hosts and Routers


Strana 54

Prvek

Požadavek RFC 2925 Definitions of Managed Objects for Remote Ping, Traceroute, and Lookup Operations (Ping only) RFC 3162 RADIUS and IPv6 RFC 3306 Unicast-Prefix-based IPv6 Multicast Addresses RFC 3307 IPv6 Multicast Address Allocation RFC 3315 DHCPv6 (client and relay) RFC 3484 Default Address Selection for IPv6 RFC 3493 Basic Socket Interface Extensions for IPv6 RFC 3513 IPv6 Addressing Architecture RFC 3542 Advanced Sockets API for IPv6 RFC 3587 IPv6 Global Unicast Address Format RFC 3596 DNS Extension for IPv6 RFC 3810 MLDv2 for IPv6 RFC 4113 MIB for UDP RFC 4443 ICMPv6 RFC 1212 Concise MIB Definitions RFC 1213 MIB II RFC 1657 BGP-4 MIB RFC 1724 RIPv2 MIB RFC 1757 Remote Network Monitoring MIB RFC 1850 OSPFv2 MIB RFC 2012 SNMPv2 MIB for TCP RFC 2013 SNMPv2 MIB for UDP RFC 2233 Interface MIB RFC 2452 IPV6-TCP-MIB RFC 2454 IPV6-UDP-MIB RFC 2465 IPv6 MIB RFC 2466 ICMPv6 MIB RFC 2571 SNMP Framework MIB RFC 2572 SNMP-MPD MIB RFC 2573 SNMP-Target MIB RFC 2574 SNMP USM MIB RFC 2618 RADIUS Authentication Client MIB RFC 2620 RADIUS Accounting Client MIB


Strana 55

Prvek

Požadavek RFC 2787 VRRP MIB RFC 2819 RMON MIB RFC 2925 Ping MIB RFC 3414 SNMP-User based-SM MIB RFC 3415 SNMP-View based-ACM MIB RFC 4113 UDP MIB IEEE 802.1AB Link Layer Discovery Protocol (LLDP) IEEE 802.1D (STP) RFC 1157 SNMPv1 RFC 1212 Concise MIB definitions RFC 1215 Convention for defining traps for use with the SNMP RFC 1757 RMON 4 groups: Stats, History, Alarms and Events RFC 1901 SNMPv2 Introduction RFC 1918 Private Internet Address Allocation RFC 2373 Remote Network Monitoring Management Information Base for High Capacity Networks RFC 2571 An Architecture for Describing SNMP Management Frameworks RFC 2572 Message Processing and Dispatching for the Simple Network Management Protocol (SNMP) RFC 2573 SNMP Applications RFC 2574 SNMPv3 User-based Security Model (USM) RFC 2575 SNMPv3 View-based Access Control Model (VACM) RFC 2576 Coexistence between SNMP versions RFC 2578 SMIv2 RFC 2581 TCP6 RFC 2819 Remote Network Monitoring Management Information Base RFC 2925 Definitions of Managed Objects for Remote Ping, Traceroute, and Lookup Operations RFC 3176 sFlow RFC 3410 Introduction to Version 3 of the Internet-standard Network Management Framework RFC 3414 SNMPv3 User-based Security Model (USM) RFC 3415 SNMPv3 View-based Access Control Model VACM) ANSI/TIA-1057 LLDP Media Endpoint Discovery (LLDP-MED)


Strana 56

Prvek

Požadavek SNMPv1/v2c/v3 RFC 1587 OSPF NSSA RFC 1850 OSPFv2 Management Information Base (MIB), traps IEEE 802.1P (CoS) RFC 2474 DSCP DiffServ RFC 2475 DiffServ Architecture RFC 2597 DiffServ Assured Forwarding (AF) RFC 2598 DiffServ Expedited Forwarding (EF) IEEE 802.1X Port Based Network Access Control RFC 1492 TACACS+ RFC 1918 Address Allocation for Private Internets RFC 2865 RADIUS Authentication

Access/Management Porty

48x RJ-45 10/100/1000 4x Gigabit SFP 2x SFP+ 10 GbE

Napájecí zdroj

2x napájecí zdroj

Paměť


10 Gbps latence

3 μs

1 Gbps latence

5 μs

Propustnost

166,6 milionu paketu za sekundu

Propustnost Routing/Switching

– 224 Gbps


12000 záznamů

Management



Ano

Podpor transceiveru

1G SFP LC LH40 1310nm Transceiver 1G SFP LC LH40 1550nm Transceiver 1G SFP LC LH70 Transceiver 1G SFP RJ45 T Transceiver


Strana 57

Prvek

Požadavek 100M SFP LC LH40 Transceiver 100M SFP LC LH80 Transceiver 10G SFP+ LC SR Transceiver 10G SFP+ LC LRM Transceiver 10G SFP+ LC LR Transceiver 1G SFP LC BX 10-U Transceiver 1G SFP LC BX 10-D Transceiver 100M SFP LC FX Transceiver 10G XFP LC LR Transceiver 10G XFP LC SR Transceiver 1G SFP LC SX Transceiver 100M SFP LC LX Transceiver 10G XFP LC ER Transceiver 100M SFP LC FX Dual Mode Transceiver 100M SFP LC LX10 Transceiver 1G SFP LC LX Transceiver

Podporované standarty

RFC 1657 Definitions of Managed Objects for BGPv4 RFC 1157 SNMPv1/v2c RFC 1305 NTPv3 RFC 1901 (Community based SNMPv2) RFC 2452 MIB for TCP6 RFC 2454 MIB for UDP6 RFC 2573 (SNMPv3 Applications) RFC 2576 (Coexistence between SNMP V1, V2, V3) RFC 2819 (RMON groups Alarm, Event, History and Statistics only) RFC 3410 (Management Framework) RFC 3416 (SNMP Protocol Operations v2) RFC 3417 (SNMP Transport Mappings) HTML and telnet management Multiple Configuration Files SNMP v3 and RMON RFC support SSHv1/SSHv2 Secure Shell IEEE 802.1ad Q-in-Q IEEE 802.1D MAC Bridges


Strana 58

Prvek

Požadavek IEEE 802.1p Priority IEEE 802.1Q (GVRP) IEEE 802.1w Rapid Reconfiguration of Spanning Tree IEEE 802.3ab 1000BASE-T IEEE 802.3ad Link Aggregation (LAG) IEEE 802.3ae 10-Gigabit Ethernet IEEE 802.3af Power over Ethernet IEEE 802.3i 10BASE-T IEEE 802.3u 100BASE-X IEEE 802.3x Flow Control IEEE 802.3z 1000BASE-X RFC 768 UDP RFC 791 IP RFC 792 ICMP RFC 793 TCP RFC 854 TELNET RFC 925 Multi-LAN Address Resolution RFC 950 Internet Standard Subnetting Procedure RFC 951 BOOTP RFC 1058 RIPv1 RFC 1122 Host Requirements RFC 1141 Incremental updating of the Internet checksum RFC 1213 Management Information Management of TCP/IP-based internets

Base

for

Network

RFC 1305 NTPv3 RFC 1350 TFTP Protocol (revision 2) RFC 1519 CIDR RFC 1542 BOOTP Extensions RFC 1723 RIP v2 RFC 1812 IPv4 Routing RFC 1887 An Architecture for IPv6 Unicast Address Allocation RFC 2131 DHCP RFC 2236 IGMP Snooping RFC 2338 VRRP S1_P1_Technická specifikace díla

Strana 59

Prvek

Požadavek RFC 2375 IPv6 Multicast Address Assignments RFC 2616 Hypertext Transfer Protocol -- HTTP/1.1 RFC 2644 Directed Broadcast Control RFC 2865 Remote Authentication Dial In User Service (RADIUS) RFC 2866 RADIUS Accounting RFC 3246 Expedited Forwarding PHB RFC 3410 Applicability Statements for SNMP RFC 3414 User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3) RFC 3415 View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP) RFC 3417 Transport Mappings for the Management Protocol (SNMP)

Simple Network

RFC 3484 Default Address Selection for Internet Protocol version 6 (IPv6) RFC 3493 Basic Socket Interface Extensions for IPv6 RFC 3542 Advanced Sockets Application Program Interface (API) for IPv6 RFC 3587 IPv6 Global Unicast Address Format RFC 3596 DNS Extensions to Support IP Version 6 RFC 3623 Graceful OSPF Restart RFC 3704 Unicast Reverse Path Forwarding (URPF) RFC 3768 Virtual Router Redundancy Protocol (VRRP) RFC 3810 Multicast Listener Discovery Version 2 (MLDv2) for IPv6 RFC 4113 Management Information Base for the User Datagram Protocol (UDP) RFC 4213 Basic IPv6 Transition Mechanisms RFC 4443 Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification 802.1r - GARP Proprietary Attribute Registration Protocol (GPRP) RFC 2236 IGMPv2 RFC 2710 Multicast Listener Discovery (MLD) for IPv6 RFC 2858 Multiprotocol Extensions for BGP-4 RFC 3376 IGMPv3 RFC 3569 An Overview of Source-Specific Multicast (SSM) RFC 3618 Multicast Source Discovery Protocol (MSDP) S1_P1_Technická specifikace díla

Strana 60

Prvek

Požadavek RFC 3973 PIM Dense Mode RFC 4601 PIM Sparse Mode RFC 1881 IPv6 Address Allocation Management RFC 1887 IPv6 Unicast Address Allocation Architecture RFC 1981 IPv6 Path MTU Discovery RFC 2080 RIPng for IPv6 RFC 2373 IPv6 Addressing Architecture RFC 2375 IPv6 Multicast Address Assignments RFC 2460 IPv6 Specification RFC 2461 IPv6 Neighbor Discovery RFC 2462 IPv6 Stateless Address Auto-configuration RFC 2463 ICMPv6 RFC 2464 Transmission of IPv6 over Ethernet Networks RFC 2475 IPv6 DiffServ Architecture RFC 2710 Multicast Listener Discovery (MLD) for IPv6 RFC 2740 OSPFv3 for IPv6 RFC 2893 Transition Mechanisms for IPv6 Hosts and Routers RFC 2925 Definitions of Managed Objects for Remote Ping, Traceroute, and Lookup Operations (Ping only) RFC 3162 RADIUS and IPv6 RFC 3306 Unicast-Prefix-based IPv6 Multicast Addresses RFC 3307 IPv6 Multicast Address Allocation RFC 3315 DHCPv6 (client and relay) RFC 3484 Default Address Selection for IPv6 RFC 3493 Basic Socket Interface Extensions for IPv6 RFC 3513 IPv6 Addressing Architecture RFC 3542 Advanced Sockets API for IPv6 RFC 3587 IPv6 Global Unicast Address Format RFC 3596 DNS Extension for IPv6 RFC 3810 MLDv2 for IPv6 RFC 4113 MIB for UDP RFC 4443 ICMPv6 RFC 1212 Concise MIB Definitions RFC 1213 MIB II


Strana 61

Prvek

Požadavek RFC 1657 BGP-4 MIB RFC 1724 RIPv2 MIB RFC 1757 Remote Network Monitoring MIB RFC 1850 OSPFv2 MIB RFC 2012 SNMPv2 MIB for TCP RFC 2013 SNMPv2 MIB for UDP RFC 2233 Interface MIB RFC 2452 IPV6-TCP-MIB RFC 2454 IPV6-UDP-MIB RFC 2465 IPv6 MIB RFC 2466 ICMPv6 MIB RFC 2571 SNMP Framework MIB RFC 2572 SNMP-MPD MIB RFC 2573 SNMP-Target MIB RFC 2574 SNMP USM MIB RFC 2618 RADIUS Authentication Client MIB RFC 2620 RADIUS Accounting Client MIB RFC 2787 VRRP MIB RFC 2819 RMON MIB RFC 2925 Ping MIB RFC 3414 SNMP-User based-SM MIB RFC 3415 SNMP-View based-ACM MIB RFC 4113 UDP MIB IEEE 802.1AB Link Layer Discovery Protocol (LLDP) IEEE 802.1D (STP) RFC 1157 SNMPv1 RFC 1212 Concise MIB definitions RFC 1215 Convention for defining traps for use with the SNMP RFC 1757 RMON 4 groups: Stats, History, Alarms and Events RFC 1901 SNMPv2 Introduction RFC 1918 Private Internet Address Allocation RFC 2373 Remote Network Monitoring Management Information Base for High Capacity Networks RFC 2571 An Architecture for Describing SNMP Management


Strana 62

Prvek

Požadavek Frameworks RFC 2572 Message Processing and Dispatching for the Simple Network Management Protocol (SNMP) RFC 2573 SNMP Applications RFC 2574 SNMPv3 User-based Security Model (USM) RFC 2575 SNMPv3 View-based Access Control Model (VACM) RFC 2576 Coexistence between SNMP versions RFC 2578 SMIv2 RFC 2581 TCP6 RFC 2819 Remote Network Monitoring Management Information Base RFC 2925 Definitions of Managed Objects for Remote Ping, Traceroute, and Lookup Operations RFC 3176 sFlow RFC 3410 Introduction to Version 3 of the Internet-standard Network Management Framework RFC 3414 SNMPv3 User-based Security Model (USM) RFC 3415 SNMPv3 View-based Access Control Model (VACM) ANSI/TIA-1057 LLDP Media Endpoint Discovery (LLDP-MED) SNMPv1/v2c/v3 RFC 1587 OSPF NSSA RFC 1850 OSPFv2 Management Information Base (MIB), traps IEEE 802.1P (CoS) RFC 2474 DSCP DiffServ RFC 2475 DiffServ Architecture RFC 2597 DiffServ Assured Forwarding (AF) RFC 2598 DiffServ Expedited Forwarding (EF) IEEE 802.1X Port Based Network Access Control RFC 1492 TACACS+ RFC 1918 Address Allocation for Private Internets RFC 2865 RADIUS Authentication

Veškeré síťové přepínače budou spravovány přes jednotné rozhraní. U požadovaných funkcionalit, které vyžadují dodatečnou softwarovou licenci, bude tato licence součástí dodání.


Strana 63


3.1.3.1. 3.1.3.1.1.

Hardware Pořízení 2x switch Core/Access dle uvedené specifikace Pořízení 2x switch Access/Management dle uvedené specifikace Pořízení 2x switch Access/IDMZ dle uvedené specifikace Pořízení příslušenství nezbytné pro zprovoznění systému (kabeláž, SFP moduly) včetně modulů pro propojení se zálohovací lokalitou

3.1.3.1.2.

Software Případné licence na požadované funkcionality, jsou-li vyžadovány

3.1.3.1.3.

Implementační služby Instalace do Racku – zapojení dodávaných zařízení Základní nastavení – oživení dodávaných zařízení Konfigurace – dodávaných prvků do režimu vysoké dostupnosti Konfigurace – VLAN dle specifikace uvedených v kapitole 3.1.2.7 a 3.1.2.8 Konfigurace – Routing mezi všemi lokalitami a VLAN Instalace softwarového monitoringu - včetně modulů Konfigurace softwarového monitoringu - včetně modulů

3.1.3.2. 3.1.3.2.1.

Hardware Pořízení 1x switch Core/Access dle uvedené specifikace Pořízení příslušenství nezbytné pro zprovoznění systému (kabeláž, SFP moduly), včetně modulů pro propojení se primární lokalitou

3.1.3.2.2.


3.1.3.2.3.

Implementační služby Instalace do Racku – zapojení Základní nastavení – oživení Konfigurace - VLAN Konfigurace - Routing Instalace softwarového monitoringu - včetně modulů Konfigurace softwarového monitoringu - včetně modulů


Strana 64

3.2.

-

3.2.1. Každá organizace a systém se musí chránit proti útokům vedeným prostřednictvím různých sítí a současně musí umožnit všem uživatelům bezpečný a spolehlivý přístup ke všem službám, které tento přístup vyžadují. O tuto oblast se starají Firewall služby. Moderní Firewallové služby prochází změnou ze statického blokování portů nevyžádané komunikace k aplikační inspekci, která povoluje pouze komunikaci business aplikací, které jsou v IS provozované. Firewallové služby jsou velmi často doplňovány o implementaci inspekčních detekčních a protekčních mechanismů (IDS/IPS), které zvyšují komplexní bezpečnost celého řešení.

3.2.1.1.

Zálohovací lokalita Testovací lokalita

Primární lokalita Internet

Internet

1 x 1Gbit/s

4 x 1Gbit/s

Aplikační FW

Aplikační FW

4 x 1Gbit/s

1 x 1Gbit/s Switch 1GBit/s

4 x 1Gbit/s

Interní FW + IPS

Interní FW +IPS

4 x 10Gbit/s


2 x 10Gbit/s


2 x 10Gbit/s

4 x 10Gbit/s

Switch Management


2 x 10Gbit/s

Switch Management

Strana 65


Primární lokalita Internet

Internet

1 x 1Gbit/s

4 x 1Gbit/s

Aplikační FW

Aplikační FW

4 x 1Gbit/s

1 x 1Gbit/s Switch 1GBit/s

4 x 1Gbit/s

Interní FW + IPS

Interní FW +IPS

4 x 10Gbit/s


2 x 10Gbit/s


2 x 10Gbit/s

4 x 10Gbit/s

Switch Management

2 x 10Gbit/s

Switch Management

3.2.2. Řízený externí přístup veškerých uživatelů do IS MS2014+ bude k dispozici pouze v primární lokalitě. Přístup do zálohovací lokality bude k dispozici pouze pomoci privátního kanálu z primární lokality, který bude šifrován prostřednictvím IPSEC VPN. Firewallové služby budou implementovány ve dvou režimech a to Externí a Interní.

3.2.2.1. Bude tvořen skupinou síťových zařízení typu balancer, konkrétně produktem Citrix Netscaller, který je vybaven aplikačním FW. Aplikační FW chrání webové služby, které budou publikovány do veřejné sítě INTERNET. Jako ochrana perimetru sítě bude mezi ISP a Netscallerem vložena IPS sonda, která chrání Netscaller před útoky z veřejné sítě. Veškerá nežádoucí komunikace bude díky sondě odstraněna z datového toku a tím na samotný Netscaller dojde pouze legitimní komunikace. Tímto bude zajištěna vysoká kvalita a dostupnost publikované služby svým konzumentům. S1_P1_Technická specifikace díla

Strana 66

3.2.2.2. Bude plnit roli hlavního bezpečnostního řešení interní části sítě. Komunikace mezi demilitarizovanou zónou a vnitřní části bude kompletně blokována. Jednotlivé typy komunikace budou povolovány na konkrétní servery a na konkrétní porty. U protokolů, které je možné zneužít, např. port 80, bude nasazen aplikační firewall, který bude blokovat zbytek nežádoucí komunikace, která prošla externím FW a IPS sondou. Firewall bude dále využíván jako zone based FW pro některé VLANy. Jedná se především o řízené povolení komunikace pouze mezi vybranými skupinami služeb či serverů. Navíc je komunikace v zóně omezena pouze na konkrétní TCP port či aplikaci. Útočník, který by pronikl do části sítě vyhrazené pro vzdálený management systému, nemá žádnou možnost proniknout do jiného segmentu sítě než do části managementu. Není tedy možné zneužít informace uložené např. v databázovém enginu či aplikační logice z management sítě. Toto dílčí řešení zvyšuje celkovou míru zabezpečení celého IS MS2014+.

Povolený typ komunikace

VLAN Zone

1 2

Databázové

Aplikační Webové

x

x x

3

Management

Terminálové Aplikace služby servisní

Port

ASP.NET

443

SSH, WEB

22, 443

X x

x

4 Příklad komunikační matice

Další role, která bude na interní FW kladena, je zabezpečení komunikace mezi primární a zálohovací lokalitou. Mezi FW v jedné a druhé lokalitě bude vytvořen site to site VPN tunel zabezpečený IPSECem. Nutnost vytvoření zabezpečeného SSL tunelu klade vysoké nároky na HW konfiguraci firewallu. Pro zajištění replikace dat do záložní lokality v minimálním čase je požadována propustnost SSL linky min. 8 Gbit/s.

Vzhledem k tomu, že firewall služby jsou velmi důležité pro funkčnost systému, budou provozovány v režimu vysoké dostupnosti. Tím je myšleno, že firewally budou tvořit cluster typu active – passive s možností přepnutí do active – active režimu. Oba firewally budou mít stejnou konfiguraci a budou vystupovat jako jeden logický celek. Pro zajištěné konektivity do všech části sítě je nutné, aby každý FW měl k dispozici min. 8x 10Gbit/s rozhraní typu SFP+.


Strana 67

Dodávané FW musí provozovat i virtuální firewally, které jsou zcela izolovány od konfigurace a pravidel fyzického boxu. Jednotlivým virtuálním FW je možné přiřadit externí porty fyzického boxu a tak bude možné provést kompletní izolaci FW řešení testovacího a produkčního prostředí. Navíc každý server je vybaven v základní instalaci vlastním firewallem, který bude nakonfigurován tak, aby zvyšoval bezpečnost operačního systému na úrovni portů a přístupu k nim. K zajištění maximální možné bezpečnosti bude firewall doplněn o IPS modul, který bude nezávislý na použité IPS/IDS sondě. K dispozici tedy budou dvě nezávislá sofistikovaná řešení IPS.

3.2.2.3. Firewallové služby jsou ve své podstatě nedílnou součástí zabezpečovací infrastruktury všech informačních systémů. Pro jejich správné fungování je potřeba instalace nových aktualizací operačního systému firewallu a databázi zranitelností využívajících IPS modulem. Pro zajištění správné funkčnosti IPS sond, je nutná pravidelná aktualizace operačního systému sondy včetně databáze známých zranitelností. Většina výrobců IPS/IDS analyzuje provoz ve veřejných sítích a pružně vydává balíčky s popisem nekalé komunikace. Tyto balíčky jsou automatizovaně nahrávány do sondy, která je připravena na případný útok. Zachycená infiltrace je logována IDS částí sondy a uložena pro další případné zpracování. IPS bude provádět kompletní inspekci paketů až po 7. (aplikační) vrstvu a bude čistit internetový nebo intranetový provoz od virů, červů, trojských koní, chránit vnitřní síť a zdroje demilitarizované zóny před útoky typu DoS (Denial of Service), DDoS (Distributed Denial of Service), před útoky využívajícími otevřených zadních vrátek, škodlivými aplikacemi kradoucími pásmo i před různými smíšenými útoky. Bude nasazena jako univerzální síťová brána, schopná rozpoznat útok na vybraný port s charakteristickou signaturou (v rozsahu databáze IPS sondy) a přijmout stanovené protiopatření jako ochranu při nalezení takového útoku. IPS bude chránit síťovou infrastrukturu blokováním útoků proti routerům, přepínačům, DNS serverům a dalším. Technologie bude využívat paralelní zpracování filtrů, a bude proto disponovat výkonovými parametry s minimálním zpožděním, které umožňuje in-line nasazení.. Rychlé zpracování a nízké zpoždění umožňuje nasazení i v prostředích, kde se provozují real time aplikace, které jsou velmi náchylné na zpoždění dat. Nezávislé testy potvrzují průměrné zpoždění menší než 80 mikrosekund. Odstranění škodlivých toků tak má minimální vliv na tok dat aplikací.

3.2.2.4. Přesná specifikace bude upřesněna v návaznosti na dodávaná řešení.

Typ prvku

IPS

Porty Typ Počet Rychlost rozhraní 6

1 Gbit/s


RJ-45

Počet prvků

Role prvku

HA režim

Security datové komunikace

Ano – bypass 1

Strana 68

Typ prvku

Porty Typ Počet Rychlost rozhraní

Balancer 6

1 Gbit/s

-

2

1 Gbit/s

RJ-45

10

1 Gbit/s

SFP

8

10 Gbit/s SFP+

Firewall

Role prvku

HA režim

Počet prvků

Balancer SSL akcelerátor Aplikační Firewall

Ano

4

Firewall Zone Based Firewall IPSEC VPN IPS

Ano

3

Požadované minimální vlastnosti prvků:

Prvek

Požadavek

IPS Porty

Podpora: RJ-45 10/100/1000Base-T Gigabit SFP (1000Base-T; 1000Base-SX; 1000Base-LX) 10 GbE SFP+ (10GBase-SR; 10GBase-LR; 10GBase-DAC (Direct Attach)) 40 GbE QSFP+

Velikost

Max 2U v 19" rozvaděči

Provedení

Modulární, s Hot swap výměnou modulů

Napájecí zdroj

2x AC 230V napájecí zdroj s volitelnou možností použití DC 48V zdroje

Latence

Méně než 40 μs

Propustnost – Inspekce

3 Gb/s

Propustnost pro obcházející inspekci Počet současně sessions

provoz 40 Gb/s

navázaných 30 milionů

Počet nových sessions za sekundu

300000

Počet kontextu zabezpečení

2600000

Vysoká dostupnost páru zařízení

Schopnost páru IPS zařízení pracovat v Active-Active módu

Podpora L2 Fallback

v případě interní chyby software, nebo zahlcení systému, systém musí v případě problému být transparentní a neblokovat provoz

Integrovaná podpora Zero Power Systém musí v případě problému být transparentní a S1_P1_Technická specifikace díla

Strana 69

Prvek Požadavek High Availability (ZPHA) pro optické neblokovat provoz i metalické porty Management

Management Server Command line interface Syslog, Syslog NG, podpora CEF protokolu pro Syslog/Syslog NG Webový prohlížeč Management information base (MIB)

Komunikační protokoly

Identicka podpora IPv4 i IPv6 s výhradním použitím zabezpečených protokolů pro management

Požadovaná inspekce transportních VLAN 802.1Q, VLAN QinQ 802.1ad, GRE, MPLS, VPLS, IPv4, systémů IPv6 Bezpečnost

Hloubková aplikační inspekce s aplikační a obsahovou kontrolou Automatická ochrana vulnerabilities“

k omezení

tzv.

„zero

day

Automatická aktualizace filtrů minimálně jednou týdně Geolokace, integrace Reputační databáze

a

Active

Directory,

Metadata,

Možnost vytváření vlastních filtrů Možnost importu signatur komunity SNORT Zázemí vlastního bezpečnostního výzkumného týmu Podpora asymetrických linek

Schopnost provádět inspekci na distribuovaných linkách, které nepracují v symetrickém módu ( EtherChannel, LACP, ECMP a podobně)

Podporované transceivery

1G SFP LC LX Transceiver 1G SFP LC SX Transceiver 1G SFP RJ45 T Copper 10G SFP+ LC SR 10G SFP+ LC LR 40G QSFP+ SR4 850nm

Management IPS Počet spravovavaných IPS

Min. 20

Velikost

Max. 1U v 19“ rozvaděči

Firewall Porty

2x RJ-45 10/100/1000 10x Gigabit SFP


Strana 70

Prvek

Požadavek 8x SFP+ 10 GbE

Napájecí zdroj

2x napájecí redundantní zdroj

Paměť

64 GB

Latence

5 μs

Propustnost (1518/512/64 UDP pakety) Počet současně sessions

byte 40 Gbps

navázaných 9 milionů

Počet nových sessions za sekundu

190000


Ano

Počet Firewall politik

90000

IPSEC VPN propustnost

16 Gbps

Gateway – Gateway IPSEC VPN 9000 tunelů Client – Gateway IPSEC VPN tunelů

50000

SSL VPN propustnost

500 Mbps

IPS propustnost

6 Gbps

Podpora virtuálních FW

Ano – min. 10

Vysoká dostupnost

Aktiv – Aktiv

Velikost

Max. 2U v 19“ razvaděči

U požadovaných funkcionalit, které vyžadují dodatečnou softwarovou licenci, bude tato licence součástí dodání.


3.2.3.1. 3.2.3.1.1.

Hardware Pořízení 1x IPS dle uvedené specifikace Pořízení 2x FW dle uvedené specifikace Pořízení 2x NetScaler MPX 5550 Platinum Edition včetně roční Silver Maintenance NetScaler MPX 5550

3.2.3.1.2.



Strana 71

3.2.3.1.3.

Implementační služby Instalace a konfigurace NetScaler MPX 5550 Instalace do Racku - zapojení Základní nastavení - oživení Konfigurace IPS - vytvoření pravidel Konfigurace IPS - monitoring Konfigurace balancer, SSL akcelerátor, aplikační FW Konfigurace balancer, SSL akcelerátor, aplikační FW - HA Konfigurace balancer, SSL akcelerátor, aplikační FW – L7 Konfigurace balancer, SSL akcelerátor, aplikační FW - monitoring Konfigurace interní FW Konfigurace interní FW - HA Konfigurace interní FW - routing Konfigurace interní FW - zone based access Konfigurace interní FW - vytvoření pravidel DMZ Konfigurace interní FW - IPSEC VPN Konfigurace interní FW – monitoring

3.2.3.2. 3.2.3.2.1.

Hardware Pořízení 1x FW dle uvedené specifikace

3.2.3.2.2.


3.2.3.2.3.

Implementační služby Instalace do Racku - zapojení Základní nastavení - oživení Rekonfigurace stávajících 2x CITRIX NetScaler Konfigurace balancer, SSL akcelerátor, aplikační FW Konfigurace balancer, SSL akcelerátor, aplikační FW - monitoring Konfigurace interní FW Konfigurace interní FW - Routing Konfigurace interní FW - zone based access Konfigurace interní FW - vytvoření pravidel DMZ Konfigurace interní FW - IPSEC VPN Konfigurace interní FW – monitoring

Pro obě lokality bude Dodavatel vycházet z následujících skutečností: Konfigurace interního FW bude obsahovat cca 300 pravidel. Přesný rozsah bude dán na základě implementačního projektu ve spolupráci s bezpečnostním dohledem a Provozovatelem Aplikace MS2014. Předpokládaná náročnost konfigurace balancer, SSL akcelerátor, aplikační FW bude cca 20 MD.


Strana 72

4. Management služby budou primárně vybudovány na produktech System Center od společnosti Microsoft. V následující části je popsána implementace jednotlivých komponent System Center.

4.1. 4.1.1. Jednou z nejrychleji se rozvíjejících oblastí je serverová virtualizace. Dostupnost, rychlost a snadné nasazení virtuálních počítačů vytváří prostředí, které má obrovskou dynamiku a bez dobrého managementu je jeho správa obtížná či téměř nemožná. Nasazením SCVMM dojde k výrazné zjednodušení vytvoření, nasazení a migrace nových virtuálních strojů.

4.1.2. System Center Virtual Machine Manager 2012 (SCVMM) bude sloužit ke komplexní správě virtuálních prostředí založených na MS technologiích Hyper-V. Díky tomu, že se na každý Hyper-V host nainstaluje SCVMM agent, pak veškerá správa a administrace virtuálních počítačů bude prováděna z jednoho místa pomocí SCVMM management konzole. Samotný produkt se skládá z těchto částí: SCVMM Server je samostatný program, skrze který všechny SCVMM komponenty komunikují. Samotný SCVMM Server poběží na aplikačním serveru SC13. Pro ukládání dat a nastavení používá Virtual Machine Manager SQL databázi. Pro tyto účely bude vytvořen databázový server v primárním pracovišti IS MS2014+. Předpřipravené virtuální stroje, virtuální harddisky, ISO image a další soubory budou uloženy v Library. Library je defaultně umístěna na serveru s SCVMM. Vzhledem k požadavkům na prostor však bude jako Library využita sdílená složka na souborovém serveru v dohledovém pracovišti IS MS2014+. Samotné virtuální počítače poběží na Hyper-V Hostech. Konzole SCVMM bude nainstalována na terminálovém serveru v dohledovém pracovišti, případně na stanicích pracovníků obsluhy.

4.1.2.1. Bezpečnost bude založena na uživatelských rolích. Každému uživateli nebo skupině uživatelů budou delegována práva pro vytváření a práci s virtuálními stroji. Přístup k virtuálním počítačům přes konzoli bude umožněn pomocí SCVMM konzole i konzole webové. Komunikace prohlížeče s webovým serverem bude probíhat pomocí zabezpečeného protokolu SSL. Komunikace mezi SCVMM serverem a Hosty bude probíhat šifrovaně.


Strana 73

4.2. 4.2.1. Proaktivní správa a monitoring informačního systému je důležitá součást každého informačního systému. Dnešní moderní aplikace využívají ke svému chodu několik komponent jako např.: databáze, webové služby, síťové prvky, atd. Tudíž pro zajištění funkčnosti, je třeba aktivně monitorovat i ty komponenty, které tato aplikace využívá.

4.2.2. System Center Operations Manager 2012 (SCOM) poskytuje end-to-end dohled aplikací a IT služeb v rámci celého IT prostředí (sítě, hardware, OS, software…). Nasazením SCOM bude správa a monitoring celého prostředí zjednodušeny na jednu konzoli. Základním funkčním prvkem SCOM bude agent instalovaný na spravovaná zařízení (servery). Tento agent zajišťuje sběr dat z monitorovaných počítačů a jejich následné přeposlání na SCOM management servery. Pomocí agentů lze provádět i předpřipravené zásahy (reakce) na vzniklé události. Celý SCOM bude rozdělen na několik funkčních komponent: Management Servery (MS) – Všechny management servery, zasílá a přijímá data od agentů, viz dále. Tato role bude implementována na servery SC11 a SC14. Operations Database Server – Operační data SCOM jsou uložena v centrálním uložišti v Operační Databázi. Agent – komponenta slouží k monitorování serverů a klientů. Jedná se o Windows službu, která běží na spravovaných serverech a klientech. Agenti komunikují s RMS i MS servery. Console – SCOM konzole je jediná aplikace potřebná k interakci SCOM a administrátorů či operátorů. Všechny konzole se připojují přímo k RMS i v případě, že jsme do prostředí doinstalovali další MS. Pro některé úkony je možno použít i Web Console – určena pouze pro monitoring. Web Console Server – Jakýkoliv SCOM management server, na kterém běží i IIS web service může hostovat Web Console Server. Pro funkci Web-Console je tento server nepostradatelný. Gateway Server – Komunikační uzel pro agenty, kteří jsou umístěni na počítačích v DMZ. Tito agenti komunikují pouze s GW serverem a tento potom skrze zabezpečenou komunikaci s management servery v interní síti. Tato role bude implementována na servery APPGW11 Reporting Data Warehouse Server – Data Warehouse ukládá úhrnná historická data, která jsou starší než několik hodin či dní. Bez Data Warehouse by SCOM prezentoval pouze realtime nebo nedávná data dostupná v Operation Database. Reporting Server – Tato komponenta bude generovat reporty. Musí běžet na serveru, kde jsou nainstalovány SQL Reporting Services. Reporty, generuje samotný Reporting server, a proto SCOM Console při požadavku na generování reportů kontaktuje přímo tento server. Tato role bude implementována na stejný server, na kterém bude implementována operační DB Audit Database Server – Auditní databáze pro uchování bezpečnostních událostí. Security events ze spravovaných počítačů jsou uloženy v této databázi a mohou být použity pro reporty. S1_P1_Technická specifikace díla

Strana 74

Audit Collector – Tento server sbírá data od „audit collection-enabled“ agentů. Audit Collector musí běžet na management serveru. Funkce celého SCOM závisí na dostupnosti management serverů a Operační Databáze. Z tohoto důvodu obě komponenty poběží v clusterovaném prostředí, databáze v režimu fail-over a management servery v režimu aplikačního load balancingu. Vybrané události generované SCOM budou přenášeny do ServiceDesku, kde budou na základě definovaných pravidel generovány incidenty.

4.2.2.1. Veškeré služba a prvky budou monitorovány. Jedná především o následující služby: Databázové služby – MS SQL, Oracle Webové služby Terminálové služby Služby vzdáleného přístupu Clusterové služby Antivirové a antispamové služby Virtualizační služby Poštovní služby Platforma OS Adresářové služby Souborové služby Časové služby DNS služby Jednotný datový prostor (SAN) Serverové stanice HSM Služby Pro každou službu bude dohrán příslušný management pack včetně příslušných navazujících management pack. V rámci nasazení každého managementu packu bude provedena základní analýza nasazení, kde budou nadefinovány jednotlivé události, které mají být vyhodnocovány a následně eskalovány do service desku nebo jiným způsobem. Zároveň bude nastaveno, jaké výkonnostní parametry budou pravidelně sledovány a vyhodnocovány. Součástí implementace každého managementu packu bude i specifikace jaké hodnoty jsou změněny oproti defaultní hodnotě. Tyto odchylky budou následně zaznamenány do konfigurační databáze v rámci Service desku. V rámci nasazení management packů pro jednotlivé prvky bude stanovena tzv. base line, kterou budou stanoveny hranice, kdy je prvek provozován v standardním prostředí. V případě, že dodané HW prvky nemají vlastní management pack, budou monitorovány prostřednictvím SNMP rozhraní. Do prostředí SCOM bude nahrán universální management pack pro SNMP. Požadovaný rozsah je implementace přibližně 80 management packů a předpokládaným rozsahem implementace na jeden management pack přibližně 1 MD. Po dokončení implementace jednotlivých management packů budou v rámci SCOM vytvořeny distribuované systémy (aplikace), které budou zajišťovat komplexní vyhodnocování dostupnosti S1_P1_Technická specifikace díla

Strana 75

vybraných aplikačních a systémových služeb. Požadovaný rozsah implementace je 40 distribuovaných systému s časovou náročností 1-2 MD.

Upřesnění požadavků Objednatele na některé výše uvedené monitorované služby uvádí následující kapitoly: 4.2.2.1.1.

Monitoring zálohovacích služeb

Monitoring zálohovacích služeb bude řešen centrálně prostřednictvím primární lokality, kde bude nainstalována centrální zálohovací konzole, která bude mít přehled o provedených zálohách v rámci centrálního zálohovacího SW ve všech lokalitách. Samotnou úspěšnou zálohu dat či archivu na páskovém médiu, provedenou zálohovacím softwarem IBM Tivoli Storage Manager, bude ověřována ze „zálohovacího logu“, který je odesílán e-mailem „Backup Administrátorovi“ a zároveň je log ukládán v textové podobě, na předem definovaném místě k archivaci, pro potřeby dodržení např. norem ISO 27001. Navíc bude nastaven tzv. „Advanced Reporting IBM Tivoli Storage Manager“, pro generování statistických údajů. Například o úspěšnosti zálohování informačního systému či zjištění hodnoty nárůstu zálohovaných dat, v určitém časovém intervalu. Všechny ostatní logy (informativní, varování a chyby) aplikace IBM Tivoli Storage Manager bude zpracovávat a vyhodnocovat software System Center Operations Manager a jejich výsledky bude zasílat prostřednictvím e-mailu. Monitoring zálohování virtuálních počítačů provozovaných ve virtualizačním prostředí Microsoft Windows Server musí být schopen zasílat e-mail „Backup Administrátorovi“ s výsledky zálohy VM. Zálohy budou kontrolovány denně „Backup Administrátorem“ a záznam o provedení kontroly zálohy bude uložen v rámci Servisdesku, kde bude jasně viditelné, kdy a kdo prověřil provedení záloh. V případě nestandardní situace nebo chybně provedené zálohy bude uveden záznam s výsledkem a následným nápravným opatřením. Vše bude zaznamenáno v rámci incident managementu. Samozřejmě k nedílné součásti monitoringu zálohovacích služeb patří namátkové ověření funkčnosti archivu na páskovém médiu, prováděné formou zkušební obnovy dat. 4.2.2.1.2.

Monitoring síťové a bezpečnostní infrastruktury

Monitoring a konfigurace jednotlivých systémů budou primárně prováděny nativními nástroji jednotlivých výrobců implementovaného řešení síťové infrastruktury. Bezpečnostní služby přímo souvisí se síťovými službami, proto bude z důvodu centrálního monitoringu sledován stav jednotlivých zařízení v centrální konzoli, která bude využívána i pro síťové služby. Jednotlivé systémy budou umožňovat zasílání kritických chyb prostřednictvím emailových či SMS zpráv správcům infrastruktury. Celá infrastruktura MS2014+ bude monitorována operátory pomoci aplikace System Center Operation Manager, součástí implementace monitoringu bude zajištění zasílání stavů i do této aplikace. Přesný rozsah implementovaných monitorovaných událostí bude upřesněn na základě vstupní analýzy. Předpokládaný rozsah implementace bude v rozsahu standardní implementace s možností konfigurace minimálně 50 specifických monitorovaných událostí. 4.2.2.1.3.

Monitoring služeb vzdáleného přístupu


Strana 76

Přídavným modulem do Microsoft System Center Operations Manageru lze provádět monitorování dostupnosti webové služby Citrixu – WebInterface. Dalšími monitorovacími algoritmy Operations manageru bude prováděno monitorování jednotlivých zásadních komponent, jako je např. dostupnost terminálového, databázového, licenčního a ověřovacího serveru pomocí vzdáleného přístupu. 4.2.2.1.4.

Monitoring clusterových služeb

Monitoring služeb provozovaných v clusterovém režimu bude proaktivně provádět i NetScaler, který na základě dostupnosti klíčových služeb provede přesměrování požadavků do primární nebo záložní lokality. U clusterových služeb je důležité, v jakém stavu se clusterová služba nachází. Bude monitorován stav služby, síťovou komunikaci nodu a další parametry související s clusterovou službou. 4.2.2.1.5.

Monitoring antivirového řešení

Antivirové služby budou vybaveny také systémem centrální správy a reportingu. U antivirových služeb je nutné monitorovat, zda dochází k pravidelnému upgradu virové definice. Dále je nutné, v případě nalezení virové infiltrace, zajistit informování systémového správce. Všechny tyto kroky bude zajišťovat produkt Microsoft SCOM 2012. 4.2.2.1.6.

Monitoring SCVMM

Monitorování systému SCVMM bude realizováno propojením s monitorovacím systémem System Center Operations Manager. Veškeré události a stavy systému SCVMM budou zaznamenávány a v případě potřeby vyhodnocovány s následným provedením opravné nebo informativní akce. 4.2.2.1.7.

Monitoring SCOM

Monitorování systému SCOM bude realizováno v podstatě samo sebou, tedy monitorovacím systémem System Center Operations Manager. Pro případ selhání monitorovacího systému SCOM bude však toto monitorování doplněno samostatnými procesy pro sledování dostupnosti počítačů a služeb. Veškeré události a stavy systému SCVMM budou zaznamenávány a v případě potřeby vyhodnocovány s následným provedením opravné nebo informativní akce. 4.2.2.1.8.

Monitoring souborových služeb

Monitorováním stavu souborových služeb rozumíme sledování klíčových parametrů těchto služeb. Jedním z klíčových parametrů je například dostatečná kapacita pro ukládání nových souborů. V tomto případě lze definovat hranici, při které systém s docházející kapacitou na konkrétním diskovém prostoru dokáže o tomto stavu informovat HW administrátora. Dále bude monitorován stav konzistence souborů, na kterých je aplikována služba DFRS – Distributed File Replication Service. Konzistence těchto souborů je důležitá pro zachování pořádku v souborových službách a tím pádem větší přehlednosti a funkčnosti jako celku. 1x denně bude generován report s aktuálním stavem replikovaných složek a případných problémů. 4.2.2.1.9.

Monitoring jednotného datového prostoru

Každé diskové pole bude vybaveno inteligentními testovacími proaktivními algoritmy, které dokáží odhalit chybu v diskovém subsystému ještě před tím, než prakticky nastane a patřičně na tento fakt S1_P1_Technická specifikace díla

Strana 77

upozorní správce infrastruktury. Disková pole budou vybavena monitorovacím rozhraním, z něhož je možné získávat veškeré informace týkající se stavu diskového subsystému včetně historických výkonnostních údajů. Výstupy monitorovacího rozhraní budou integrovány do SCOM. 4.2.2.1.10. Monitoring serverových stanic Serverové stanice jsou vybaveny systémem umožňujícím vzdálené monitorování stavu hardwaru a schopností včasně upozornit na případné selhání jednotlivých komponent systému. Výstupy monitoringu budou integrovány do SCOM. 4.2.2.1.11. Monitoring HSM Pro monitoring síťových HSM zařízení bude využito standardní rozhraní SNMP. Monitorovány budou základní provozní parametry: např. stav napájení zdrojů, teplota, otáčky ventilátorů, apod. Fungování HSM klienta bude průběžně logován na klientských stanicích do textových souborů, které budou následně integrovány a konsolidovány do centrálního monitoringu SCOM.

4.2.2.2. Bezpečnost bude managementu služeb založena na uživatelských rolích a přístupových oprávněních. Každému uživateli nebo skupině uživatelů budou delegována práva pro management a monitoring zařízení, počítačů a služeb v prostředí IS MS2014+ a dohledového pracoviště. Přístup k těmto informacím je zprostředkován pomocí System Center konzolí a nativních nástrojů na správu skupinových politik.

4.2.2.3.


Provozovatel aplikace MS2014+ bude mít práva k monitorovacímu systému, tak aby mohl provádět vlastní monitorování jednotlivých částí aplikací. Dodavatel bude na vyžádání Provozovatele aplikace rekonfiguraci vybraných monitorovaných aplikačních částí především ve vazbě na generování incidentů do ServiceDesku.


Strana 78

4.3. 4.3.1. Centrální konfigurace informačního systému a jednotné nasazování aktualizací je nezbytné pro zachování konzistence a spolehlivosti IS.

4.3.2. Centrální konfigurace a aktualizace serverů s OS Windows bude prováděna prostřednictvím MS System Center Configuration Manager. Na všechny prvky bude naistalován agent pro SCCM. Centrální management sever bude nainstalován na server SC12 a APPGW12.

4.4. Skupinové politiky budou nedílnou součástí řízené správy infrastruktury informačního systému. Za pomocí skupinových politik bude nasazována celá řada pravidel a zásad. Group Policy (Zásady skupiny) jsou rozšířením prostředí Microsoft Windows a jeho adresářových služeb. Group Policy budou nastavovat uživatelského prostředí Windows až po různá nastavení vztahující se na samotné počítače, servery. Každá zásada (balíček nastavení) bude správně zaměřena na požadovaný cíl. Cíl může být skupina uživatelů u uživatelských nastavení nebo skupina počítačů u nastavení určených pro počítače. Cílení bude filtrováno pomoci WMI filtrů, kdy můžeme například vynutit cílení pouze na serverových operačních systémech, případně jen na konkrétní verzi operačního systému např. Windows Server 2012.


Strana 79

4.5. V této části je uvedena specifikace prvků pro dohled a management služby.

4.5.1. Položka Agent SCOM Agent SCCM

Agent SCOM, SCCM, SCVMM

Verze

Licence

Prvek Všechny servery s OS Windows, které jsou provozovány na POSE a nemají roli Hyper-V Všechny servery s OS Windows a rolí Hyper-V

2012

Windows Server

Microsoft Systém Center 2012 Standard

2012

Windows Server

Microsoft Systém Center 2012 Datacenter

Windows Server

Součást licence SC

Windows Server

Součást licence OS Všechny řadiče domény

Management server pro SCOM, 2012 SCVM GPO

Počet OS

2

2012

4.5.2. Položka Agent SCOM Agent SCCM

Agent SCOM, SCCM, SCVMM

Verze

Licence

Prvek

2012

Windows Server

Microsoft Systém Center 2012 Standard

Všechny servery s OS Windows, které jsou provozovány na POSE a nemají roli Hyper-V

2012

Windows Server

Microsoft Systém Center 2012 Datacenter

Všechny servery s OS Windows a rolí Hyper-V

Windows Server

Součást licence SC

Windows Server

Součást licence OS Všechny řadiče domény

Management server pro SCOM, 2012 SCVM GPO

2012


Počet OS

1

Strana 80



4.5.3.2. Pořízení 16ks licencí na MS System Center v edici Datacenter včetně SA

4.5.3.3. Implementace a konsolidace jednotlivých produktů System Center. Nastavení centrálních politik Vytvoření a nastavení šablon na generování dostupnosti systému SCVMM 1x instalace a konfigurace centrálního management serveru Instalace a konfigurace SCVMM na všechny dodávané fyzické servery s OS Windows server 1x Instalace a konfigurace DB pro SCVMM 1x Vytvoření a konfigurace SC Virtual Library Instalace a konfigurace agentů na jednotlivé servery SCOM 2x Instalace a konfigurace SCOM serveru 1x Instalace a konfigurace DB pro SCOM Instalace a konfigurace agentů na všechny dodávané a instalované servery Práce s implementací managementu packů viz. kap. 4.2.2 SCCM 2x Instalace a konfigurace SCCM 2x Instalace a konfigurace DB pro SCCM Instalace a konfigurace agentů na jednotlivé servery na všechny servery s OS Windows Nastavení politik na jednotlivé skupiny prvků


Strana 81

5. 5.1. 5.1.1. Vzhledem k současnému stavu a s ohledem na možnosti integrace nativních služeb OS (autorizační, adresářové apod.) do aplikace MS2014+ byly jako serverový OS stanoveny platformy Windows server a Oracle Linux, uvedené v části specifikace prvků.

5.1.2. S ohledem na doporučení výrobců aplikačních SW bude na vybraných webových serverech operačním systému Oracle Linux. Pro zálohovací servery bude použit OS RedHat Linux. Pro virtualizaci Linuxového prostředí bude požit OS Oracle VM. Ostatní servery pak na platformě Microsoft Windows Server Datacenter Edition, ve verzi 2012. Edice Datacenter Windows serveru bude použita na fyzických serverech, na kterých jsou provozovány virtualizační služby. Externí uživatelé, kteří nejsou v žádné afilaci (dle definice Microsoft) s MMR, budou licenčně pokryti External Connector. Pro pracovníky MMR bude využita CAL, kterou již mají přiřazenou v rámci Enterprise Agreement se společností Microsoft.

5.1.2.1. Pro zabezpečení platformy OS Windows Server 2012, která bude v infrastruktuře zastoupena v největším počtu, bude použita doménová politika pro vynucení silných hesel pro účty v doméně i pro lokální účty. Samozřejmostí pro zvýšení zabezpečení systému jako celku je implementace centrálního systému instalace aktualizací a systémových záplat, které oficiálně vydává společnost Microsoft viz kapitola věnovaná Configuration manager.

5.1.2.2. Primární lokalita: Platforma

Verze

Počet

Red Hat Enterprise Open source - Linux Linux Server

1

Open source - Linux Linux Basic Limited

4

Oracle VM Premier Open source - Linux Limited Support

2

Výrobce

Poznámka

RedHat

Zálohování

ORACLE

Weblogic

ORACLE

Virtualizace Linux

Windows server

2012 Datacenter Edition

14

Microsoft

External connector

2012

8

Microsoft


Strana 82

Testovací a zálohovací lokalita: Platforma

Verze

Počet

Výrobce

Poznámka

RedHat

Zálohování Weblogic

Red Hat Enterprise Open source - Linux Linux Server

1

Open source - Linux Linux Basic Limited

2

ORACLE

Windows server

2012 Datacenter Edition

2

Microsoft

External connector

2012

2

Microsoft



5.1.3.2. Pořízení 14 ks licencí na MS Windows server v edici Datacenter včetně SA Pořízení 8 ks licencí na MS External connector včetně SA Pořízení 4 ks licencí Oracle Linux Basic Limited Pořízení 2 ks licencí Oracle VM Premier Limited Support Pořízení 2 ks licencí Red Hat Enterprise Linux Server

5.1.3.3. 14x Instalace a konfigurace OS na fyzické servery 60x Instalace a konfigurace OS na virtuální servery Nastavení centrálních politik Vytvoření a nastavení šablon na generování dostupnosti systému


Strana 83

5.2. 5.2.1. Mezi nejdůležitější služby informačního systému patří adresářové služby. Tyto služby musí splňovat základní standardy. Obecně přijímané standardy jsou RFC dokumenty vydávané IETF. Jedná se o následující RFC dokumenty [RFC2252]; [RFC 3377] “Lightweight Directory Access Protocol (v3): Technical Specification”. Základním kamenem bezpečnosti každého IS je vynucená autorizace a autentizace při přístupu ke zdrojům IS. Cílem je, aby uživatel při přístupu k danému zdroji (službě, aplikaci, datům apod.) byl nucen se odpovídajícím způsobem autorizovat. Jedním z nejčastějších způsobů autorizace je zadání uživatelského jména a hesla. Tato uživatelská jména a hesla jsou v šifrované podobě ukládána do speciálních databází – adresářů.

5.2.1.1. ms2014.cz FAMA+ ITSM

Primární

Zálohvací

ISS01 ISS02

ISS11

testovaci / skolici

ISS

ISS

Interní doména

mssf.cz

vyvoj

Doména EDMZ

edmz.mssf.cz

testovaci / skolici

edmz.ms2014.cz ESS

ESS

primarni

ESS11 ESS12


Strana 84

5.2.2. Informační systém bude rozdělen do čtyř domén z důvodu zvýšení zabezpečení. Doména edmz.ms2014.cz bude sloužit primárně pro potřeby správy prvků v externí demilitarizované zóně. Hlavní doménou bude ms2014.cz, ve které budou zařazeny všechny prvky informačního systému IS MS2014+. Především zde budou uloženy veškeré uživatelské účty. Samostatně bude doména pro testovací prostředí mssf.cz a edmz.mssf.cz, které budou mít obdobné funkční vlastnosti jako produkční prostředí. Funkčnost adresářových služeb má kritický vliv na funkčnost celého informačního systému. S ohledem na požadavek na zajištění redundance budou adresářové služby implementovány v primární lokalitě na dvou prvcích a zálohovací lokalitě na jednom prvku. Veškeré prvky budou úzce spolupracovat. V produkčním prostředí se předpokládá provoz tří řadičů domény, přičemž jeden bude provozován jako doplňkový řadič domény, který bude provozován ve virtuálním prostředí pomoci technologie Hyper-V s vysokou dostupností služby zajištěnou pomoci Windows Server FailOverCluster v zálohovací lokalitě. Adresářové služby budou provozovány v prostředí Microsoft Windows server, kde jsou označovány jako Microsoft Active Directory Domain Services. Adresářové služby jsou založeny na kombinaci modelu Single-Master a Multi-Master (např. zřízení uživatelského účtu, skupiny, počítače, přejmenování, smazání apod.) jsou replikovány na zbývající instance adresářových služeb prostřednictvím replikačních služeb Microsoft Active Directory Domain Services.

5.2.2.1. Vzhledem k tomu, že adresářové služby obsahují informace o všech uživatelských účtech a heslech používaných v informačním systému, je nutné tyto záznamy chránit před zneužitím. Samotná data jsou v adresářích uložena v šifrované podobě. Každý typ uživatelských účtů bude mít vlastní politiku na hesla, aby pravidla pro délku, platnost a složitost hesel mohla být rozdílná pro jednotlivé typy. Tento požadavek je v souladu se Zadávací dokumentací. U služeb, které běží pod systémovými účty, bude využita technologie Managed Service Account, která bude v pravidelných intervalech měnit heslo systémového účtu bez výpadku dané služby. Pro zajištění co nejvyšší bezpečnosti bude replikace dat mezi jednotlivými řadiči domény v doménách probíhat v šifrované podobě pomoci technologie IPSEC.

5.2.2.2. Primární lokalita: Adresářová služba Microsoft Windows Server 2012 - Active Directory Domain Services


Prvek

Úroveň funkčnosti domény

Poznámka

ISS01

Windows Server 2012

-

ISS02

Windows Server 2012

-

ESS11

Windows Server 2012

DMZ

Strana 85

Adresářová služba

Prvek


Poznámka

ESS12

Windows Server 2012

DMZ

Prvek


Poznámka

Windows Server 2012

-

Prvek


Poznámka

SF-ISS01-MMR

Windows Server 2012

-

SF-ISS02-MMR

Windows Server 2012

-

SF-ISS11-MMR

Windows Server 2012

-

SF-ESS01-MMR

Windows Server 2012

DMZ

SF-ESS02-MMR

Windows Server 2012

DMZ

SF-ESS11-MMR

Windows Server 2012

DMZ

Zálohovací lokalita: Adresářová služba Microsoft Windows Server 2012 - Active Directory Domain Services

ISS11

Testovací pracoviště: Adresářová služba

Microsoft Windows Server 2012 - Active Directory Domain Services



5.2.3.2. Není požadováno

5.2.3.3. Vytvoření dvou domén (ms2014.cz ; edmz.ms2014.cz) 5x Instalace a konfigurace řadičů domény Vytvoření a příslušných organizační jednotek a nastavení delegování oprávnění Nastavení AD site Nastavení centrálních politik


Strana 86

5.3. 5.3.1. Jednou ze základních potřeb informačního systému je bezpečné uložení dat a jejich sdílení mezi uživateli a servery navzájem. Návrh řešení, jak a jakým způsobem realizovat sdílení dat, která jsou ve formě souborů, přináší tento oddíl „Souborové služby“.

5.3.2. Pro umístění a opětovný přístup k souborům bude IS MS2014+ využívat standardní souborové služby OS Windows Server 2012. Souborové služby budou primárně uloženy na serverech FS11 a FS12 v dané síti a přistupovat se bude přes jmenný prostor (namespace) Distributed File System (DFS), které budou uloženy na všech řadičích domény. Přístup k souborovým službám požadujeme realizovat prostřednictvím centrálního bodu \\ms2014.cz\shares, který bude řešen jako doménový jmenný DFS kořen (namespace root). Tento kořen zajistí přístup k jednotlivým datovým oblastem. Ty budou následně prostřednictvím DFS cesty mapovány jednotlivým administrátorům IS jako logické disky pod příslušné písmeno z abecedy. Mapování bude prováděno pomocí zásad systémové politiky. DFS jmenný prostor bude obsahovat jednak běžné DFS složky tak i DFS složky s odkazem. Přesné rozdělení složek bude upřesněno v rámci implementace. Většina dat bude replikována mezi jednotlivými servery. Pro replikace souborů bude využita služba DFS replikace souborů (Distributed File System Replication, DFSR) tak, aby byla zajištěna vysoká dostupnost dat. Využití se předpokládá především pro webové služby. Zdali složka bude fungovat způsobem PUSH nebo PUSH/PULL bude dáno konkrétním požadavkem aplikace či služby. Tím bude zajištěna konzistence dat mezi jednotlivými lokalitami. Bližší specifikace jednotného datového úložiště je popsána v samostatné kapitole „Jednotné datové úložiště“. DFS replikace tedy bude zajišťovat vzájemnou replikaci souborových dat mezi primární a záložní lokalitou. Datový prostor určený pro souborové služby navrhujeme s ohledem na potřeby IS rozdělit na následující datové oblasti: APPLICATIONS – jedná se o oblast určenou pro uložení souborových dat aplikačních služeb IS a to jak instalačních, tak i datových souborů, v případě, že se nachází v souborové formě INSTALL – oblast určená pro uložení všech základních instalací tak, aby byly ve velmi krátké době k dispozici administrátorům. TEMP – jedná se o oblast určenou pro dočasné uložení souborů a složek. Tato oblast bude podléhat pravidelnému čištění. Data starší jednoho týdne od jejich uložení budou odstraněna. BACKUP – oblast určená pro uložení všech záloh prováděných na souborový systém.

5.3.2.1.


Strana 87

K zabezpečení souborových služeb bude použita metoda ověřující nastavení oprávnění na systému souborů NTFS. Filozofie nastavení těchto oprávnění bude založena na potřebě zamezit neoprávněným přístupům k jakékoliv složce nebo souboru uložených na souborových oblastech. Oprávnění pro čtení a zápis tak bude definováno takovým způsobem, aby umožňovala přístup pouze autorizovaným a autentizovaným uživatelům a službám IS MS2014+. Pro zajištění možnosti obnovitelnosti dat v případě neplánované ztráty požadujeme na systému nasadit technologie stínových kopií. Tato technologie bude provádět automatické zálohování souborů na souborových oblastech tak, aby bylo možné se vrátit ke starším verzím souborů bez nutnosti složitějších operací, jako je například obnova souborů ze záloh uložených na jiných médiích, např. magnetické pásky.

5.3.2.2. Primární lokalita: Prvek

Režim

Poznámka

FS11

Virtual server

-

FS12

Virtual server

-

Prvek

Režim

Poznámka

FS11-T

Virtual server

-

FS12-T

Virtual server

-

Testovací prostředí:

5.3.2.3. Monitorováním stavu souborových služeb rozumíme sledování klíčových parametrů těchto služeb. Jedním z klíčových parametrů je například dostatečná kapacita pro ukládání nových souborů. V tomto případě lze definovat hranici, při které systém s docházející kapacitou na konkrétním diskovém prostoru dokáže o tomto stavu informovat HW administrátora. Dále bude monitorován stav konzistence souborů, na kterých je aplikována služba DFRS – Distributed File Replication Service. Konzistence těchto souborů je důležitá pro zachování pořádku v souborových službách a tím pádem větší přehlednosti a funkčnosti jako celku. Všechny tyto parametry budou monitorovány pomocí nástrojů systémového managementu popsaného v kapitole Management služby. 1x denně bude generován report s aktuálním stavem replikovaných složek a případných problémů.


5.3.3.1. S1_P1_Technická specifikace díla

Strana 88

Není požadováno.


5.3.3.3. Instalace a konfigurace souborových služeb v režimu fail–over clusteru Instalace a konfigurace DFSN Instalace a konfigurace DFSR Nastavení reportů vztahujících se k souborovým službám


Strana 89

5.4. 5.4.1. Časové služby patří k podpůrným a klíčovým službám operačního systému. Jejich funkcí je udržovat správný aktuální čas na všech prvcích informačního systému. Pokud nebude systémový čas shodný na všech prvcích, budou nastávat problémy s ověřováním klientů a služeb vůči adresářové službě, zároveň budou nerelevantní časová razítka od interní certifikační autority. Interní časová razítka bude vydávat interní certifikační autorita, která bude ve správě dodavatele aplikace MS2014+. Nesprávné fungování časových služeb může mít za příčinu nefunkčnost části informačního systému nebo znehodnocení informací v něm uložených. Pro bezpečnost a správnost časových údajů je nutné časové služby synchronizovat proti spolehlivému zdroji časových údajů.

5.4.1.1.

záložní PDC

PDC

primární

Interní

záložní

Interní-test

NTP

TESTOVACÍ LOKALITA

Bezpečnostní infrastruktura zadavatele

PRODUKČNÍ LOKALITA

dohledové

Testovací

NTP

EDMZ PDC

PDC

EDMZ-TEST

Zdroj času Internet NTP primární


NTP záložní

Strana 90

5.4.2. Synchronizaci lze rozlišit na externí, zdroj v internetu nebo hardwarové hodiny, a interní. V našem případě bude interní synchronizace integrovaná v Active Directory. Jako zdroj pro externí synchronizaci bude zvolen zdroj času poskytnutý z CMS. Pro zajištění správných časových údajů v doméně ms2014.cz bude použit zdroj času z bezpečnostní infrastruktury. Tato bude synchronizována proti NTP serveru stanoveným Zadavatelem nebo přímo důvěryhodný zdroj v internetu. Z důvodu vyššího zabezpečení bude synchronizace probíhat ve dvou úrovních. V první fázi dojde k synchronizaci časové služby v bezpečnostní infrastruktuře. Ve druhé fázi bude probíhat synchronizace domén a ostatních zařízení z bezpečnostní infrastruktury. Časová služba bude provozována na řadičích domény. Vzhledem k tomu, že záložní řadiče domény v lokalitě budou provozovány ve virtuálním prostředí, bude nutné vypnout na těchto virtuálních serverech časovou synchronizaci se zdrojem integration services. Poté co obdrží „primární“ řadič domény platné časové údaje, dojde k automatické synchronizaci s ostatními řadiči domény v dané doméně. Všechny servery, které jsou členy domén, budou automaticky dostávat platné časové údaje pomoci integrované synchronizace s AD. Ostatní servery a prvky, které nebudou členy ActiveDirectory domény, budou mít jako časový zdroj nakonfigurován primární řadič dané domény.

5.4.2.1. Produkční prostředí: Časová služba

Microsoft Windows Server 2012 – Windows Time

Prvek

Typ Synchronizace

Poznámka

ISS01

NTP

PDC

ISS02

NT5DS

-

ISS11

NT5DS

-

ESS11

NTP

PDC

ESS12

NT5DS

-

Prvek

Typ Synchronizace

Poznámka

ISS01-T

NTP

PDC

ISS02-T

NT5DS

-

ISS11-T

NT5DS

-

ESS01-TZ

NTP

PDC

ESS02-TZ

NT5DS

-

ESS11-TZ

NT5DS

-

Testovací prostředí: Časová služba

Microsoft Windows Server Windows Time


Strana 91




5.4.3.3. Instalace a konfigurace NTP serveru na FW Instalace a konfigurace NTP serverů v jednotlivých doménách Konfigurace PDC Vytvoření doménových politik na synchronizaci času Nastavení synchronizace času na všech prvcích mimo doménu


Strana 92

5.5. 5.5.1. Další systémovou službou, která je nezbytná pro správné fungování aplikačních služeb, je služba DNS. Tato služba obhospodařuje jmenný prostor sítě a zajišťuje hierarchizovaný překlad logických názvů na tzv. IP adresy. V IPv4 adresa je 32 bitové číslo a v IPv6 128 bitové číslo, které zajišťuje jednoznačnou identifikaci každého počítače komunikujícího prostřednictvím TCP/IP protokolu v síti. S ohledem na síťové služby (adresaci sítě a struktura jmenného prostoru) budeme rozlišovat DNS služby na: Interní - zajišťují překlad privátních adres v doménách (ms2014.cz, test.ms2014.cz a DMZ) Externí – zajišťuji překlad veřejně dostupných adres pro koncové uživatele systému. Aby nedošlo k podstrčení záznamů, musí být chráněny DNS SEC (Domain Name System Security Extensions). DNS SEC poskytuje uživatelům jistotu, že informace, které z DNS získal, byly poskytnuty správným zdrojem, jsou úplné a jejich integrita nebyla při přenosu narušena.

5.5.2. 5.5.2.1. Pro potřeby vnitřní sítě bude v souladu s architekturou adresářových služeb implementována domény ms2014.cz; edmz.ms2014.cz; mssf.cz; edmz.mssf.cz. Interní DNS služby budou vždy integrované v Active Directory. DNS služby budou provozovány jak ve virtuálním prostředí, tak i na fyzických nodech clusteru. Jako hlavní DNS server bude nastaven jeden DNS server v dané lokalitě provozovaný na fyzickém serveru. Jako záložní DNS server bude nastaven server z dané lokality provozovaný ve virtuálním prostředí. Jednotlivé interní DNS servery budou sloužit pouze pro potřeby interních systémů a vzájemného překladu. Aby interní jmenné servery mohly překládat názvy z internetu, budou mít vybrané servery přístup k externím jmenným serverům. Těmto externím NS budou předávány jednotlivé dotazy pro rekurzivní překlad. Tyto externí jmenné servery musí být dostatečně důvěryhodné a bezpečné. Přesný seznam serverů dodá Zadavatel v rámci implementační fáze.

5.5.2.2. Externí jmenný prostor je velmi malý, neboť obsahuje pouze ty systémy, které mají být přístupné z veřejné sítě Internet. Vzhledem k charakteristice systému bude externí adresní prostor uložen na názvových serverech pro veřejnou síť u poskytovatele Internetu a na názvových serverech pro mezirezortní sítě. Uvedené jmenné servery budou ve správě Zadavatele a budou zabezpečeny DNSSEC. V případě implementace záložní lokality budou uvedené DNS služby řízeny CITRIX NetScaler.

5.5.2.3. Správný překlad názvů na IP adresy má podstatný vliv na bezpečnost a funkčnost informačního systému. Pro zaručení bezpečnosti interních DNS serverů bude provedeno následující nastavení DNS Nastavení naslouchání DNS na specifických IP adresách S1_P1_Technická specifikace díla

Strana 93

Povolené pouze zabezpečené dynamické aktualizace pro zóny DNS Pro všechny servery DNS budou zónové přenosy omezeny na specifické IP adresy Všechny servery DNS budou spuštěny v řadičích domény.




5.5.3.3. Instalace a konfigurace interních DNS serverů Nastavení name services na všech prvcích Zavedení všech zařízení a služeb do interních jmenných služeb


Strana 94

6. 6.1. 6.1.1. Jednotný datový prostor realizovaný architekturou SAN řeší tři hlavní problematiky informačních systémů, potažmo jejich infrastruktur. Tou první je efektivní využití diskového prostoru, druhou je řešení problému s narůstajícím objemem ukládaných dat formou vysokorychlostního média a třetí je možnost sdílení stejného diskového prostoru více prvky infrastruktury příslušné služby. Tyto výhody potom jako celek umožňují budování spolehlivých a škálovatelných informačních systémů.

6.1.2. Pro potřeby vysokého výkonu, stability a dostupnosti požadujeme založit jednotný datový prostor na diskových polích. V každé lokalitě budou implementována dvě samostatná disková pole a to pro produkční data infrastruktury a zálohování. Třetí diskové pole bude součástí „All in one“ řešení ORACLE Exadata. Zde budou ukládány veškerá data zpracovávána databázovým enginem Oracle. Všechna disková pole budou vybavena různě výkonnými oblastmi pro ukládání dat.

6.1.2.1.

-

Bude zde oblast, na kterou budou požadovány vysoké nároky na výkon z pohledu zápisu a čtení, která bude využívána pro data, které jsou nejčastěji používána. Technologicky bude tato oblast tvořena z disků typu SSD. Z pohledu monitorovacího systému zde budou data, která budou nejčastěji využívána a mají dopad na rychlost Aplikace MS2014+. Jedná se např. o data pro vyhodnocování přístupových práv, indexy, číselníky, vybrané systémové oblasti ORACLE RAC. Druhá oblast bude sloužit pro data, kde je požadována garance krátké doby odezvy, ale nikoliv tak vysoká, jako u první oblasti. Zde budou uložena data vztahující se k projektu, aktuální auditní stopy, veškerá živá data. Technologicky bude tato oblast tvořena z disků typu SAS s 15 tis. RPM. Poslední oblast bude tvořena daty s velkými objemy. Jedná se o přílohy k projektům, archivní záznamy auditních stop, přenosové dávky, záložní kopie dat. Technologicky bude tato oblast tvořena z nízkonákladových vysokokapacitních disků s 7,2 tis. RPM.

6.1.2.2.

–

SAN bude řešen dvojicí diskových polí, jedno z polí bude vybaveno vyšší kapacitou datového prostoru z důvodu ukládání záloh produkčního prostředí. Bude zde oblast, na kterou budou požadovány vysoké nároky na výkon z pohledu zápisů a čtení. Tato oblast bude využívána pro potřeby virtualizace serverové infrastruktury. Oblast bude tvořena disky typu SAS s 10 tis. RPM. Pro zajištění maximálního výkonu diskového subsystému budou disková pole vybaveny funkci Automated Tiering, která ukládá nejvíce používané bloky dat na ultra rychlou mini


Strana 95

oblast tvořenou SSD disky. Pro ukládání dat, kde není vyžadován rychlý přístup k informacím bude vytvořena oblast z nízkonákladových vysokokapacitních disků s 7,2 tis. RPM. Disková pole budou vybaveny funkcionalitou pro vytváření snapshotů diskových oblastí. Ve spolupráci s virtualizační infrastrukturou bude tato funkčnost využívána pro „online“ otisk produkčního prostředí pro potřeby testování aplikací a nových funkcionalit v testovacím prostředí. Disková pole budou vybaveny funkcionalitou automatické replikace, která poskytne vlastnost transparentního failover a Point-in-Time kopie. Nezbytnou součástí SAN sítě je technická realizace přístupu serverů či služeb k datovým oblastem. V současné době jsou nejvíce využívány způsoby pomoci FC, FCoE, iSCSI, Network share. Pro realizaci SAN v projektu MS2014+ požadujeme použít technologii FCoE a to z důvodu úspory finančních prostředků na pořízení FC infrastruktury. FCoE architektura je technologicky stejná jako starší FC s rozdílem, že fyzické přenosové médium je tvořeno Ethernetovou sítí a u FC je to síť optická včetně vyhrazeného FC Switche. FCoE protokol bude šířen nově vybudovanou 10-Gigabit Ethernetovou sítí běžnou TCP/IP komunikací. Požadujeme, aby všechny síťové access přepínače a disková pole byly FCoE kompatibilní. Při pořizování network přepínačů bude brán zřetel na dostatečné množství portů pro přístup k jednotnému datovému prostoru. Tyto access switche budou propojeny redundantními cestami k diskovým polím. K diskovému poli budou připojeny serverové stanice, na nichž budou provozovány služby vyžadující sdílený diskový prostor.

6.1.2.3. V rámci zabezpečení přístupu ke zdrojům diskových polí bude používáno několik bezpečnostních prvků a postupů. Prvním z těchto prvků je tzv. LUN MASKING – tato technologie umožňuje „vidět“ příslušná LUN (Logical Unit Number – číslo logické jednotky) pouze určeným serverům, a pro ostatní bude tento LUN nedostupný. Tato technologie je implementována na úrovni Host Bus Adapteru. Další zabezpečovací metoda se nazývá SAN zoning – seskupování zařízení umístěných v SAN síti. Je možné ho aplikovat na HW úrovni – Hard zoning a Soft zoning (pomocí softwaru). Při aplikaci tohoto zabezpečení dochází k fyzickému zablokování přístupu ze zařízení, které není příslušníkem potřebné zóny.

6.1.2.4.


-

18

NS 7,2tis. RPM

Celková hrubá kapacita

-

Typ disku

-

Typ disku

2,4 TB

Počet disků

SSD

Pomalá oblast


12

Počet disků

Testovací – Oracle Exadata

Rychlá oblast


Počet disků

Funkce storage

Typ disku

Ultra rychlá oblast

54 TB

Strana 96

Produkce – systémová 10 infrastruktura

SSD (200 GB)

Produkce/Backup systémová infrastruktura

SSD (200 GB)

10

2 TB

12

SAS 15tis. RPM

-

-

-

12

NS 7,2tis. RPM

24 TB

SAS 10 tis. RPM 10,8 TB

12

SAS 10 tis. RPM 10,8 TB


50,4 TB

(900 GB)

2 TB

Typ disku

84

Typ disku

11,2 TB

Počet disků

SSD

Pomalá oblast


28

Počet disků

Produkční – Oracle Exadata

Rychlá oblast


Počet disků

Funkce storage

Typ disku

Ultra rychlá oblast

(2 TB)

14

(900 GB)

NS 7,2tis. RPM

42 TB

(3 TB)

Požadované minimální vlastnosti prvků pro systémovou infrastrukturu - nevztahuje se k Oracle Exadata

Prvek

Požadavek

Diskové pole Typ zařízení

Diskové pole typu SAN, plně odolné proti výpadku klíčových komponent (no single point of failure) včetně řadičů, cache paměti, ventilátorů, napájecích zdrojů. Modulární architektura

Počet řadičů

2

Diskový subsystém

Dle výše uvedené tabulky jednotlivý fyzický disk musí být schopen obsluhovat více logických disků s různým stupněm zabezpečení dat (RAID)

Paměť cache

Min. 24 GB DRAM/SRAM s možností dalšího rozšíření

Připojení hostů – porty na jeden řadič

10Gb/s iSCSI/FCoe – min. 2

Možných instalovaných SSD pevných disků

Alespoň ½ z celkové osaditelného počtu disků

Podpora RAID

0, 1, 5, 6

Možnosti rozšíření kapacity

Možnost rozšíření kapacity dodané konfigurace min. o 200% – poměr typů a kapacit disků musí být identický s výše uvedenou tabulkou


Strana 97

Prvek

Požadavek přehled prvků storage Možnost rozšíření min. na 140 disků bez nutnosti výměny řadičů

Podporované osazení

Možnost osazení HDD 2,5“ a 3,5“ současně Možnost osazení HDD SSD, SAS, NL-SAS současně

RAID řadiče

Dva redundantní hot-plug řadiče typu active/active se symetrickým přístupem (ne asymmetric logical unit access) Každý logický disk je obsluhován oběma řadiči současně Dodávka musí obsahovat příslušné kabely a řadiče pro připojení k serveru do SAN Podpora on-line změny RAID zabezpečení logického disku a jeho online přesunutí na jinou vrstvu (tier)

Redundance, Hotplug komponenty

Hot-plug redundantní zdroje, hot-plug redundantní větráky, hot-plug disky

Firmware

Online firmware upgrade na řadičích i discích

Storage software

Konfigurace musí obsahovat: Licence pro tvorbu shapshotů a klonů (min. 100 snapshotů na LUN) Licence pro připojení min. 64 serverů Software pro monitoring pole s možností sledování výkonu Software pro „thin provisioning“ na dodanou kapacitu s podporou okamžité reklamace diskového prostoru Software pro automatický „subLUN tiering“ mezi SSD, SAS a NL-SAS vrstvou na celou dodanou kapacitu Multipathing software pro dodávané servery Diskové pole musí umožnit vzdálenou replikaci dat na úrovni řadičů bez omezení velikosti a počtu replikovaných LUN

Další vlastnosti

Možnost bez výpadku zvětšit velikost LUN Možnost bez výpadku rozšířit velikost RAID skupiny Integrace ovládání diskového pole přímo do rozhraní Hyper-V Vytváření LUN a formátování VMFS datastore Vytváření snapshotů a snapklonů nad Hyper-V

Podporované operační systémy

Microsoft Windows Server včetně Microsoft Hyper-V Oracle Linux Red Hat EnterpriseLinux Red Hat Enterprise Virtualization Suse Linux Enterprise VMware vSphere včetně VAAI a VASA


Strana 98

U požadovaných funkcionalit, které vyžadují dodatečnou softwarovou licenci, bude tato licence součástí dodání.


6.1.3.1. Pořízení diskového pole „Produkce – systémová infrastruktura“ dle výše uvedené specifikace Pořízení diskového pole „Produkce/Backup systémová infrastruktura“ dle výše uvedené specifikace

6.1.3.2. Pořízení případných licencí pro zajištění požadované funkcionality

6.1.3.3. Produkční diskové pole - instalace do racku Produkční diskové pole - oživení Produkční diskové pole - vytvoření LUNů Produkční diskové pole - připojení klientů (zoning) Produkční diskové pole - monitoring Produkční diskové pole - instalace softwaru pro snapshots Hyper-V Produkční diskové pole - konfigurace softwaru pro snapshots Hyper-V Konfigurace snapshot a clone v rámci diskových polí Konkrétní rozsah prací bude upřesněn na základě implementačního projektu, který bude vypracován ve spolupráci s Provozovatelem Aplikace MS2014+. Očekávaná časová náročnost na vypracování projektu a následné provedení veškerých požadovaných prací bude 40 MD.


Strana 99

6.2. 6.2.1. Jedním ze základních stavebních kamenů informačního systému jsou serverové stanice. Na serverové stanice probíhá instalace operačního systému včetně služeb operačního systémů a v poslední řadě instalace aplikačního softwaru, který vykonává požadovanou funkcionalitu. Na serverové stanice jsou kladeny nemalé nároky na požadovaný výkon a stabilitu. Je tedy nutné zvolit jednotlivé hardwarové komponenty s ohledem na jejich výkon. Jedná se především o operační paměť RAM, procesor, pevné disky atd. Stabilita serverových stanic zásadně ovlivňuje dostupnost či nedostupnost provozované služby koncovému uživateli. Ve výběru Je velmi důležité zohlednit oba tyto aspekty a zvolit správný produkt. V oblasti serverových stanic proběhla v nedávné době změna v designu provozování serverových stanic. Ty se nyní využívají zejména k provozu virtualizovaného rozhraní tzv. Hypervizoru. Rozhraní je využíváno k běhu virtuálních instancí serverových stanic. Tento vývoj byl podpořen výrobou výkonných procesorových čipů, které jsou pro potřeby jednoho serveru ve většině případů výkonově naddimenzovány.

6.2.2. S ohledem na výše zmiňované skutečnosti a požadavky navrhujeme zvolit servery v rackovém provedení. Pro potřeby virtualizace doporučujeme zvolit 2 až 4 soketové servery s procesory typu x86-64 a s operační pamětí 128 – 512 GB. Jako úložiště dat operačního systému a jeho zavaděč doporučujeme zvolit dva pevné disky typu SAS s 15 tis. RPM provozovaných v redundantní konfiguraci RAID 1. Pro zajištění dostatečné rychlosti zpracování vstupně výstupních informací doporučujeme servery osadit min. 4 - 6x 10 Gbit/s rozhraním, které bude sloužit k připojení k datové síti a k externím diskovým svazkům, které budou publikovány jednotlivými diskovými poli. Při konkrétní volbě HW vybavení musí Dodavatel zohlednit certifikaci na požadovaný OS.

6.2.2.1. Požadované minimální vlastnosti prvků:

Prvek

Požadavek

Aplikační servery – 4 Ks Min. osmijádrový procesor architektury x86 se spotřebou max. 95W a v osazení (počet procesorů) umožňujícím výkonové skóre ve sloupci Baseline minimálně: Procesor

-

1000 bodů v benchmarku s názvem SPECint_rate2006 pro 4 enabled chips

(http://www.spec.org/cpu2006/results/rint2006.html) Provedení


K montáži do „racku“, výška serveru 2U

Strana 100

Prvek

Požadavek

Max. počet procesorů na server

4

Počet osazených procesorů

4

Min velikost cache na procesor

Min. 20MB

Velikost operační paměti RAM (GB)

Min. 512GB Registered DDR3-1600, podpora Advanced ECC (nebo obdobná technologie opravy více bitové chyby paměti)

Max. velikost instalovatelné RAM

Alespoň 192GB na jedno osazené CPU při zachování rychlosti paměti min. 1333MHz, tj. celkem až 768GB (při 1333MHz)

HDD (interní disk)

Min. 300GB - 15000 RPM, s přenosovou rychlostí 6Gb/s

Typ HDD

SAS, za provozu vyměnitelné

Počet HDD na server

2 s možností rozšíření min. na 4

Řadič disků

Min. 8 portový SAS, cache min. 2GB, zálohovaná kapacitorem a flash pamětí, HW podpora RAID 0, 1, 5, volitelně 6, podpora pro SAS, SATA i SSD disky; řadič musí umožnit využití SSD disků jako cache pro logické oddíly uložené na klasických mechanických discích.

Počet Ethernet připojení

Min. 6 portů 10 Gigabit, min. na třech samostatných LAN kartách včetně veškeré kabeláže potřebné k připojení všech LAN portů do aktivního prvku

Rozšiřující porty

Min. 6 portů PCI-Express, z toho alespoň 2ks x16 Gen3 a současně alespoň 2ks x8 Gen3

Backup servery - 2 ks Provedení



2


2

Počet Core procesoru

6

Velikost CACHE procesoru

15 MB

Max tepelný výkon procesoru

130W

Výkon obodován dle www.spec.org SPECfp_rate2006

420


128 Registered DDR3-1600, podpora Advanced ECC (nebo obdobná technologie opravy více bitové chyby paměti)

Řadič disků

SAS, cache min. 1GB, 2x externí port (Mini SAS) x8 wide port connectors

Typ pevných disků

SAS 15 tis. RPM

Velikost pevných disků

300 GB RAID 1


Strana 101

Prvek

Požadavek

Konektivita LAN


Linux servery -2 ks Provedení


Počet osazených soketů

2


8


20 MB


115W


484



Typ pevných disků

SAS 15 tis. RPM


300 GB RAID 1

Konektivita LAN


DMZ servery – 2 ks Min. osmijádrový procesor architektury x86 se spotřebou max. 95W a v osazení (počet procesorů) umožňujícím výkonové skóre ve sloupci Baseline minimálně: Procesor

-

1000 bodů v benchmarku s názvem SPECint_rate2006 pro 4 enabled chips

( http://www.spec.org/cpu2006/results/rint2006.html/ ) Provedení



4


4

Min velikost cache na procesor

Min. 20MB

RAM

Min. 512GB Registered DDR3-1600, podpora Advanced ECC (nebo obdobná technologie opravy více bitové chyby paměti)

Max. velikost instalovatelné RAM

Alespoň 192GB na jedno osazené CPU při zachování rychlosti paměti min. 1333MHz, tj. celkem až 768GB (při 1333MHz)

HDD (interní disk)

Min. 300GB - 15000 RPM, s přenosovou rychlostí 6Gb/s

Typ HDD

SAS, za provozu vyměnitelné


Strana 102

Prvek

Požadavek

Počet HDD na server

2 s možností rozšíření min. na 4

Řadič disků

Min. 8 portový SAS, cache min. 2GB, zálohovaná kapacitorem a flash pamětí, HW podpora RAID 0, 1, 5, volitelně 6, podpora pro SAS, SATA i SSD disky; řadič musí umožnit využití SSD disků jako cache pro logické oddíly uložené na klasických mechanických discích. Min. 4 portů 10 Gigabit, min. na dvou samostatných LAN kartách

Počet Ethernet připojení

Min. 2 porty 1Gbit/s RJ-45 včetně veškeré kabeláže potřebné k připojení všech LAN portů do aktivního prvku

Rozšiřující porty

Min. 6 portů PCI-Express, z toho alespoň 2ks x16 Gen3 a současně alespoň 2ks x8 Gen3

Služební servery – 2 ks Provedení



2

Počet osazených soketů

2


8


20 MB


115W


484



Typ pevných disků

SAS 15 tis. RPM


300 GB RAID 1

Konektivita LAN


Všechny servery musí splňovat následující vlastnosti: Vlastnost

Požadavek

Napájení

Min. 2x s účinností 92% a vyšší Nabízený server musí být kompatibilní s OS:

Kompatibilita

MS Windows Server Linux (min. RHES, SLES, OEL)


Strana 103

Citrix XenServer Redundantní prvky

Ventilátory a zdroje, oboje vyměnitelné za provozu

Prediktivní analýza poruch

Pevné disky, procesory, paměť vzdálený přístup přes dedikované ethernet rozhraní ochrana heslem zabezpečení komunikace SSL, AES/3DES, RC4 vzdálený přístup umožňuje provést tyto operace se serverem: power on/off, reset, remote control, update BIOS, výběr bootovacího zařízení remote control umožňuje sledovat start serveru (bios), start OS a běh OS (grafické i textové rozhraní)

Dálková správa serveru

možnost vyvolat NMI přerušení nedostupného OS virtuální KVM konsole u grafické konsole pro MS Windows rozlišení min až 1600x1200 integrace MS Terminal Services (tj. možnost přesměrování terminálových služeb Windows na dedikovaný management port) podpora virtuálních médií (CD, DVD, ISO image, USB disk, vzdálený adresář) možnost využití běžných www prohlížečů integrovaných v desktopovém OS pro správu serverů (IE, Firefox) centralizovanou vzdálenou správu HW a shromažďování informací o konfiguraci a stavu jednotlivých HW komponent serverů (včetně ukládání těchto informací do databáze k dalšímu využití) detekci a zasílání zpráv (minimálně pomocí protokolu SNMP) o chybových stavech řízení přístupových práv k centrální části SW a k management nástrojům na serverech pomocí účtů Active Directory domény

SW pro vzdálenou správu WWW rozhraní SW pro umožnění přístupu k poskytovaným informacím i pro správce jednotlivých pracovišť nástroj pro automatizovaný skriptovaný a image based PXE deployment nástroj pro neomezenou migraci ze starých na nové servery (fyzického na fyzický, fyzického na virtuální, virtálního na fyzický a virtuálního na virtuální) S1_P1_Technická specifikace díla

Strana 104

výkonnostní monitoring komponent (CPU, RAM, HDD, LAN) pro Windows a Linux OS, který umožní online i offline analýzu serverů měření a řízení spotřeby serverů s možností uzamknutí příkonu serveru monitorování okamžité teploty a záznam hodnot do lokální db Záruční doba

Minimálně 5 let NBD oprava na místě

Možnost vzdáleného zjištění sériového čísla komponentů

Ano

Prohlášení o shodě

Ano

Veškerý dodávaný hardware je nový a nepoužitý

Ano

Dokumentace k produktu

Ano

6.2.2.2. Bezpečnost serverových stanic bude zajištěna na úrovni fyzického přístupu k serverům. Servery budou umístěny v uzamykatelných skříních (RACK), které budou umístěny v uzamčené místnosti s jediným přístupovým bodem. Místnost bude chráněna mechanickým zámkem, který bude případně řízen elektronickým systémem dle potřeby. Detailní popis fyzického zabezpečení serverových stanic je popsán v kapitole Datové centrum.

6.2.2.3. Serverové stanice jsou vybaveny systémem umožňujícím vzdálené monitorování stavu hardwaru a schopností včasně upozornit na případné selhání jednotlivých komponent systému. V případě potřeby je například u harddisku možno provést výměnu za chodu systému – tzv. hot-swap.

6.2.2.4. Součástí dodávky je i dodávka 2 rackový skříní pro umístění všech prvků mimo Oracle Exadata, které budou ve vlastním racku. V jedné rackové skříni bude umístěna KVM přepínač, který bude schopen ovládat veškeré serverové stanice. Každá racková skříň bude vybavena minimálně dvěma PDU, pro možnost redundantního napájení. Bližší požadavky na PDU jsou uvedeny v kapitole Datové centrum – serverovna.


6.2.3.1. Pořízení serverových stanic dle výše uvedené konfigurace Pořízení 2 rackových skříní S1_P1_Technická specifikace díla

Strana 105


6.2.3.3. Instalace dodávaných zařízení do racku - zapojení Kompletní oživení dodaných zařízení „zahoření“ Konfigurace - remote management Konfigurace - oživení, instalace nově uvolněných firmwarů


Strana 106

6.3. 6.3.1. HSM služby poskytují HW a SW infrastrukturu pro bezpečné zpracování kryptovacích algoritmů včetně jejich akcelerace. Kromě zpracovávání kryptografických algoritmů poskytují HSM služby bezpečné úložiště pro klíče a bezpečný prostor pro běh aplikací v zabezpečeném režimu.

6.3.1.1.

FS12

FS11

Zálohovací Testovací

FS12

FS11

Primární

Serverové služby CLS FS

CLS FS

Replika

HSM

HSM

AS

CryptoID12

CryptoID11

AS

CA

AS

CryptoID12

Exadata - Test

CryptoID11

Exadata

AS

6.3.2. Síťové HSM zařízení typu nShield Connect, které budou poskytovat kryptovací služby pro jednotlivé HSM klienty, budou spolupracovat s více systémy a komponentami. Primárním účelem je uložení hlavního klíče pro šifrování dat Oracle DB. Z tohoto důvodu musí být v systému redundantně. Jako druhým důvodem je spolupráce s komponentou CryptoID pro generování náhodných jedinečných identifikátorů. Zároveň bude spolupracovat s interní certifikační autoritou a řídit šifrovací klíče. DB servery na platformě Oracle budou prostřednictvím funkcí Advanced Security využívat HSM pro uložení klíčů zajišťující šifrování obsahu DB. Pro testovací účely bude implementován nejnižší model HSM. Pro produkční prostředí bude zvolena varianta, která bude schopna generovat více jak 1 000 klíčů o délce 1024-bit za sekundu. Pro možnost vzdálené administrace musí být ke každému zařízení pořízena licence pro remote operátora. Každý server potřebuje pro připojení klientskou licenci. V primární lokalitě bude nutné správně licenčně pokrýt 4x DB server, 2x server CryptoID, 1x CA. Pro uložení aplikačních klíčů budou HSM klienti využívat 2 souborové úložiště, které budou prostřednictvím replikačních procesů navzájem synchronizovány. Obě úložiště budou provozována S1_P1_Technická specifikace díla

Strana 107

jako clusterové s vysokou dostupností na interním služebním clusteru. Jedno úložiště bude provozováno v primární lokalitě a bude využíváno klienty v této lokalitě. Druhé úložiště bude provozováno v lokalitě záložní a opět bude využíváno klienty v této lokalitě. Obsah síťových úložišť bude v pravidelných intervalech zálohováno na „backup“ úložiště, odkud bude dále zálohováno na magnetické pásky.

6.3.2.1. Bezpečnost HSM služeb je dána již jejich primárním určením a to je provádění vysoce zabezpečených operací v kryptomodulu a šifrování výstupů z tohoto kryptomodulu. Dále je bezpečnost HSM služeb posílena o systém uzavřeného řešení, kdy samotný HW není možné nijak modifikovat a pro síťové HSM je zabezpečení řešeno implementací vysoce zabezpečeného operačního systému, ve kterém není umožněno provádět administrátorské zásahy. Všechna HSM zařízení splňují certifikaci FIPS 1402 Level 3 a Common Criteria EAL4+. Dále pro autentizaci přístupu k síťovému HSM budou využity tokeny, tyto tokeny splňují certifikaci FIPS 140-2 Level 2.

6.3.2.2. Produkční a zálohovací prostředí: Položka

Počet

Licence

nShield Connect 2 1500

Serverová licence

soft client licence - [does not include nToken]

14

Přístupová licence

Remote Operator Activation

2

nShield Edge F3 - 1 unit

pro server Licence pro vzdálený přístup

OS

Prvek hsm01 hsm02

Windows Server 2012

CryptoID, CA

Oracle Linux

ORACLE Exadata Hsm01

Hsm02 Vzdálená administrátorská stanice

1

Testovací prostředí: Položka

Počet

Licence

nShield Connect 1 500

Serverová licence včetně

soft client 4 licence - [does

Přístupová licence


OS

Prvek Hsm01-tst

Windows Server 2012

CryptoID

Strana 108

Položka Počet not include nToken] Remote Operator Activation

Licence pro server

OS

Prvek

Oracle Linux

ORACLE Exadata

Licence pro vzdálený přístup

Hsm01-tst

nShield Edge F3 1 - 1 unit

Licence pro HSM klienta

Vzdálená administrátorská stanice

Remote Operator Activation

Licence pro vzdálený přístup

1

1


6.3.3.1. Pořízení 2ks nShield Connect 1500 Pořízení 1ks nShield Connect 500 Pořízení 1ks nShield Edge F3 - 1 unit

6.3.3.2. Pořízení 8ks soft client licence - [does not include nToken] Pořízení 3ks Remote Operator Activation

6.3.3.3. Instalace a konfigurace HSM zařízení Aktivace a nastavení HSM pro možnost vzdálené správy Implementace HSM v režimu HA Implementace HSM zařízení pro databázové prostředí Minimální očekávaný rozsah instalačních a konfiguračních prací je 30 MD.


Strana 109

7. Objednatel požaduje vytvoření projektové dokumentace Prostředí a to minimálně v následujícím rozsahu: a. Infrastruktura DC – popis a konfigurace služeb datového centra, plány umístění infrastruktury MS2014+ do DC (floor-space plány, kabelová kniha, osazení racků) b. Síťová infrastruktura – popis síťové konfigurace v úrovni LAN, WAN, SAN v úrovni fyzické a logické (VLAN, DMZ, atd.), schémata zapojení, adresní plány, HW a SW konfigurace síťové infrastruktury, schválené a povolené síťové služby a v návaznosti na ně bude vytvořena komunikační matice včetně popisu ACL na jednotlivých prvcích a FW pravidel. c. HW infrastruktura – popis konfigurace a zapojení HW infrastruktury, fyzická a logická schémata (včetně popisu virtualizačních platforem a vytvářených virtuálních zařízení). Dokument bude obsahovat následující základní bloky: i. Síťová zařízení ii. Servery iii. HW pro datové úložiště, storage a zálohování iv. Ostatní HW d. SW infrastruktura – vymezení použitých SW produktů a platforem, místa instalace (vazba na HW infrastrukturu), popis konfigurace v úrovni popisující rozsah instalace jednotlivých SW (základní instalace, přídavné balíčky, produkty třetích stran) a to včetně verzí jednotlivých produktů. Součástí bude popis a postup pro provádění aktualizací (schválené, zakázané servicepacky, patche a hotfixy, schválené aktualizační zdroje). Dokument SW infrastruktury musí být ve struktuře rozlišující následující základní skupiny SW: i. Operační systémy ii. Virtualizační platformy iii. Databázové platformy iv. SW pro infrastrukturní a systémové služby v. SW pro dohled a management vi. SW pro bezpečnost vii. Ostatní SW e. Zálohovací systém – detailní popis systémů pro zálohování a obnovu prostředí MS2014+. Součástí bude popis detailní konfigurace celého řešení, popis všech agentů, zdrojů dat, umístění záloh, zálohovacích strategií, atd. f. Zálohovací plán a plán obnovy - v rozsahu úvodního návrhu dokumentů pro potřeby Poskytovatele dle Servisní smlouvy s důrazem na vymezení technických parametrů a procesů na základě údajů z dokumentu "Zálohovací systém". Finální verzi vypracuje Poskytovatel dle Služby "PS02_Záloha a obnova" (viz Příloha č. 1 Servisní smlouvy). g. Systém dohledu a monitoringu – detailní popis prostředí pro dohled a monitoring s důrazem s uvedením detailní konfigurace, umístění a instalace agentů, sbíraných údajů, požadovaných úrovní logování na jednotlivých prvcích prostředí a mechanismů pro korelace a vyhodnocování získaných záznamů a popis způsobů reakce ve vazbě na zapojení dohledu a monitoringu do Service Desk prostředí dodavatele aplikace MS2014+. h. Dokumentace pro inventarizaci a technickou podporu – detailní výčet všech HW a SW položek, které jsou předmětem dodávky. Součástí budou detailní konfigurace (včetně S1_P1_Technická specifikace díla

Strana 110

i.

j.

výrobních a sériových čísel) a přehled SW licencí (včetně přesného názvu licence dle výrobce a verze SW). Ke každé položce (SW a HW) budou uvedeny detailní údaje o záruce a podpoře, která je součástí dodávky v rozsahu údajů o začátku a konci doby záruky, začátku a konci doby podpory, přesný název licence pro podporu (maintenance) výrobce, která byla zakoupena, SLA parametry z licence vyplývající (např. next-business-day on-site, apod.) a pořizovací cena licence podpory. Implementační projekt – Dokument bude vycházet z implementačního projektu, který byl předmětem nabídky. Bude obsahovat detailní postup provedení implementace předmětu dodávky s uvedením detailního harmonogramu, milníků, rozsahu prací ke každé položce harmonogramu. Součástí bude návrh akceptačních testů ke každému milníku, který je předmětem dodávky. Implementační projekt bude po celou dobu trvání implementace aktualizován tak, aby ke dni ukončení implementace poskytoval jednoznačný přehled o průběhu projektu. Konfigurační databáze – vytvoření detailních konfiguračních záznamů všech položek v rozsahu stanoveném CMDB modulem ServiceDesku.

Projektová dokumentace je předmětem akceptace. Dodavatel je povinen projektovou dokumentaci předkládat Objednateli k akceptaci způsobem, který bude garantovat předání daného dokumentu nejpozději 14 kalendářních dní před termínem provedení akceptace tak, aby měl Objednatel dostatek času na detailní prostudování a posouzení materiálu. Dodavatel bude předkládat projektovou dokumentaci v elektronické podobě Objednateli a současně Provozovateli Aplikace MS2014+, který zajistí její uložení v rámci on-line projektové knihovny.




7.1.1.3. Vytvoření projektové dokumentace v požadovaném rozsahu


Strana 111

8. 8.1. Portály Portál SD

Portál ŘO

Online centrální knihovna

Portál BI

Základní komponenty

Průřezové komponenty

ServiceDesk

DMS

Bepečnost

Integrační sběrnice

Aplikace MS2014+

Service Desk

Portál KP

Online centrální knihovna

APS

SF 2014+ ETL

iCA BI

iTSA

Data Centrální datové úložiště

Systémové služby HW zdroje

Služby operačního systému

Systémové prostředí

HSM

Poštovní služby

Databázové služby

Terminálové služby

Vzdálený přístup

Prezentační služby

Antivirové služby

Antispamové služby

Zálohovací služby

Management služby

Firewall služby

Performance služby

Integrační služby

Clusterové služby

Certifikační služby

Update služby

Adresářové služby

Souborové služby

Tiskové služby

Jmenné služby

Virtuální služby

Síťové služby

DHCP služby

Časové služby

Platforma OS

WINS služby

Jednotný datový prostor

Serverové stanice

Záložní zdroje

Komunikační infrastruktura

Datová síť

HSM služby

Datové centrum

Specializovaný hardware


Strana 112

8.2.

Servicedesk

Portál KP

Portál ŘO

Portál SD

Portál BI

Centrální datové uložiště Oracle DB

DMS

BI

Integrační sběrnice

HSM

Bezpečnost (APS)

iCA iTSA

Poštovní služby Databázové služby Vzdálený přístup Prezentační služby Antivirové služby Antispamové služby Zálohovací služby Management služby Firewall služby Clusterové služby Certifikační služby Adresářové služby Souborové služby Tiskové služby Jmenné služby Virtuální služby Síťové služby Časové služby Platforma OS Jednotný datový prostor Serverové stanice Komunikační infrastruktura HSM služby Serverovna Specializovaný hardware

SF 2014+

V následující tabulce je uveden přehled technologických komponent a jejich závislost na jednotlivých oblastech ze systémového prostředí. Následující tabulka přináší závislost produktů a oblastí, kdy přímá závislost je znázorněna plným kruhem a nepřímá závislost je znázorněna půlkruhem. V tabulce jsou uvedeny základní komponenty, které jsou použity v celkovém řešení Aplikace MS2014.

    

    

    

    

    

    

    

    

    

    

    

    

    















































































          

          

          

          

          

          

          

          

          

          

          

          

          















































































 

 

 

 

 

 

 

 

 

 

 

 

 




























Strana 113

Jednotlivé služby musí být provozovány v takovém režimu, aby byla zajištěna požadovaná dostupnost v souladu se Zadávací dokumentací. Mezi jeden z požadavků na Aplikace MS2014+ je možnost vytvoření záložního pracoviště mimo lokalitu primárního pracoviště. Dále eliminovat Single point of failure (SPOF) a využít moderní technologie (virtualizace, clusterové technologie).


Strana 114

Exadata HSM

ISS01 FS12

SC16

SC14

SC12

DP

EXCH12

TS12

DP SC15

ISS11

HV04

CA

HV03

SC13

APL

EXCH11

SC11

HV02 SD12

AV11

ESBWEB12

APP11

AV12

OVM01 OVM02

Linux

TSM01 owcc11-tst

web11-tst

web12-tst

cryptoid11-tst

obi11-tst

fs11-tst

sc11-tst

sc12-tst

app11-tst

av11-tst AV

esbweb11-tst

TS11

sd11-tst

esb11-tst

msdba11-tst cryptoid12-tst

OWCC12

OBI12

OWCC11

ESB12

APP14

OBI11

ESB11

APP13

AV

TS11

HV01 AV

FS11

SD11

ESBWEB11

csg11-tst

eweb12-tst

eweb11-tst

WEB18

WEB17

WEB16

WEB15

WEB14

WEB13

EHV01

APP12

WEB11

CryptoID12

MSDBA12

WEB12

ISS11

CryptoID11

MSDBA11

EWEB14

EWEB21

APPGW11

APPGW12

EWEB22

EWEB13

EWEB12

EWEB11

CSG11

ESS12

ESS11

8.3. Internet

Zálohovací/ Primární lokalita testovací lokalita

DMZ

EHV02

HV01-TST HV02-TST HV-TST

HSM

TSM02

Pásková knihovna Exadata

ISS02

Strana 115

Exadata HSM

ISS01 ISS02 FS12

SC16

SC14

DP

EXCH12

DP SC12

ISS11

Aplikační

TS12

Datová

SC15

HV04

CA

HV03

SC13

APL

EXCH11

SC11

HV02 SD12

AV11

ESBWEB12

APP11

AV12

OVM01 OVM02

Linux

TSM01 owcc11-tst

web11-tst

web12-tst

cryptoid11-tst

obi11-tst

fs11-tst

sc11-tst

sc12-tst

app11-tst

av11-tst AV

esbweb11-tst

TS11

sd11-tst

esb11-tst

msdba11-tst cryptoid12-tst

OWCC12

OBI12

OWCC11

ESB12

APP14

OBI11

ESB11

APP13

AV

TS11

HV01 AV

FS11

SD11

ESBWEB11

csg11-tst

eweb12-tst

eweb11-tst

WEB18

WEB17

WEB16

WEB15

WEB14

WEB13

EHV01

APP12

WEB11

CryptoID12

MSDBA12

WEB12

ISS11

CryptoID11

MSDBA11

EWEB14

EWEB21

APPGW11

APPGW12

EWEB22

EWEB13

EWEB12

EWEB11

CSG11

ESS12

ESS11

8.4. – Internet

Zálohovací/ Primární lokalita testovací lokalita

DMZ

EHV02 Prezentační

HV01-TST HV02-TST HV-TST

Systémová Bezpečnostní HSM

TSM02

Pásková knihovna Exadata

Testovací prostředí

Strana 116

8.5. V této části dokumentu jsou specifikovány zařízení a prvky, které jsou již v majetku Zadavatele a které převezme Dodavatel pod správu v rámci tohoto zadávacího řízení. Dodavatel tato zařízení připraví pro funkcionalitu a služby zálohovací lokality a dále bude zajišťovat služby jejich správy a provozu v rozsahu stanoveném Servisní smlouvou. Dodavatel při práci na těchto zařízeních zohlední podmínky zálohovací lokality a skutečnost, že na uvedených zařízeních v době převzetí Dodavatelem již poběží ostré prostředí s prototypy Aplikace MS2014+. Dodavatel bude veškeré své kroky a zásahy na těchto zařízení provádět po dohodě s Provozovatelem Aplikace MS2014+.

Jedná se o následující prvky umístěné v zálohovací lokalitě: HW: 1x Oracle Exadata X3-2 Eight rack – HighCapacity disk 2x CITRIX NetScaler 5550 platinum edice Servery: Prvek

Operační systém

Implementované služby

Typ serveru

EWEB11-TST

Windows 2012

Webové služby

Virtuální server

EWEB12-TST

Windows 2012

Webové služby

Virtuální server

OWCC11-TST

Oracle Linux

Webové a aplikační služby

Virtuální server

OWCC12-TST

Oracle Linux


Virtuální server

WEB11-TST

Windows 2012


Virtuální server

WEB12-TST

Windows 2012


Virtuální server

CryptoID11-TST

Windows 2012


Virtuální server

CryptoID12-TST

Windows 2012


Virtuální server

SD11-TST

Windows 2012


Virtuální server

SD12-TST

Windows 2012


Virtuální server

AV11-TST

Windows 2012

Antivirové služby

Virtuální server

APP11-TST

Windows 2012


Virtuální server

APP12-TST

Windows 2012


Virtuální server

ISS11-TST

Windows 2012

Adresářové, jmenné služby

Virtuální server

ISS12-TST

Windows 2012

Adresářové, jmenné služby

Virtuální server

SC11-TST

Windows 2012

Management služby

Virtuální server

Strana 117

Prvek

Operační systém

Implementované služby

Typ serveru

SC12-TST

Windows 2012

Management služby

Virtuální server

FS11-TST

Windows 2012

Souborové služby

Virtuální server

MSDBA11-TST

Windows 2012

Databázové služby

Virtuální server

ESB11-TST

Windows 2012


Virtuální server

ESBWEB11-TST

Windows 2012


Virtuální server

TS11-TST

Windows 2012


Virtuální server

CSG11-TST

Windows 2012

Služby vzdáleného přístupu

Virtuální server

HV01-TST

Windows 2012


Fyzický server

HV02-TST

Windows 2012


Fyzický server

SW: 8ks licencí na CPU Oracle DB EE s podporou na jeden rok 8ks licencí na CPU Oracle Real Application Clusters (option pack) 8ks licencí na CPU Oracle Advanced Compression (option pack) 8ks licencí na CPU Oracle Partitioning (option pack) 8ks licencí na CPU Oracle Database Vault (option pack) 8ks licencí na CPU Oracle Diagnostics Pack (option pack) 8ks licencí na CPU Oracle Tuning Pack (option pack) 8ks licencí na CPU Oracle Advanced Security (option pack) 8ks licencí na CPU Oracle Secure Content Database Extension 8ks licencí na CPU Oracle Secure Archive Database Extension 18ks licencí na Disc Exadata Storage Software 1x Symantec Protection Engine for Cloud Services per Server 2ks licencí na 2 CPU na MS System Center v edici Datacenter včetně SA 2ks licencí na 2 CPU Windows server v edici Datacenter včetně SA 2ks licencí External connector včetně SA 1ks Oracle Linux - Basic 2ks licencí na CPU Oracle WebLogic EE

Strana 118

9. Pojem, zkratka, ikona

AV

Definice

Pojem, zkratka, ikona

Definice

Primární databázové služby

Interní WWW služby

Záložní databázové služby

Externí WWW služby

Testovací databázové služby

Služby vzdáleného přístupu

Centrální adresářové služby AD

Služby monitoringu

Certifikační služby



Interní DNS služby

Aplikační služby

Primární DNS služby – veřejné (pro Internet)

Poštovní služby

Záložní DNS služby – veřejné (pro Interet)

Časové služby

Archivační služby

Antivirové služby

Souborové a adresářové služby

Zálohovací služby

Zálohovací služby - Databázové

Sonda

HSM – Hardware Security Module

Oracle Exadata

Klient - Notebook

Virtuální server

Klient PC

Fyzický server

Cluster LOAD BALANCING

Diskové pole

Firewall

Síťový prvek

Lokalita / Internet

Strana 119


Definice

Pásková knihovna SŘBD


Definice

Network Balancer

Systém řízení báze dat

Strana 120

S1_P1_Technická specifikace díla Strana 1

Recommend Documents