Buongiorno, dopo aver letto alcune delle conversazioni esistenti mi è sembrato di capire che con la definizione Datacenter si intende tutto ciò che in pratica concorre alla formazione della struttura del CED; quindi non solo strutture fisiche dove appoggiare i dati ma anche instrastrutture funzionali come firewall, switch, etc.
Nel nostro caso, per esempio, a fine 2017 il modello di firewall che abbiamo in dotazione sarà in end of maintenance, e non verranno più garantiti gli upgrade di sicurezza.
Inoltre, anche per iniziare ad applicare quanto dettato dal GDPR, e ancora prima dalle “misure minime di sicurezza per le pubbliche amministrazioni”, stavamo preventivando l’implementazioni di software per l’infrastruttura che andassero a completare la sicurezza fino ad ora implementata.
A questo punto come ci dobbiamo comportare? tenere bloccato il tutto? e per quanto riguarda software di webfiltering o DLP, le cui licenze scadono annualmente? come dobbiamo pensare di comportarci?
Ho visto che con SPC Security viene previsto anche un servizio di firewall cloud, ma con la gestione completamente esternalizzata…cioè le eventuali modifiche alle regole devono essere richieste tramite piattaforma di ticketing…allungando notevolmente i tempi di intervento, che adesso sono pressochè istantanei…
Non nascondo di essere un pò confusa…
Facciamo l’esempio di una organizzazione che è strutturata in due sedi.
La sede A è la principale e contiene un certo numero di postazioni di lavoro connesse in una rete locale più un piccolo CED che contiene alcuni servizi accessori (ad esempio per la gestione stampante) e alcuni servizi che sono vere e proprie applicazioni per la gestione dei dati dell’organizzazione (il gestionale, il protocollo, etc).
La sede B è una sede secondaria e contiene solamente postazioni di lavoro e servizi accessori connessi in una rete locale. Le postazioni di lavoro si connettono ai servizi e alle applicazioni che si trovano presso la sede A, forse con una connessione dedicata o forse con una più semplice VPN.
Entrambe le sedi sono ovviamente protette da un firewall perimetrale. La sede B è un cosiddetto “branch-office”
Secondo il Piano Triennale quello che deve succedere è che il CED nella sede A viene dismesso e li servizi non accessori sono portati all’esterno (in cloud o presso un PSN) cosicchè la sede A diventa un branch-office esattamente come la B. Tuttavia entrambe le sedi continuano ad avere una rete locale con degli switch di rete, un firewall perimetrale e delle stampanti.
Un armadio con dentro alcuni switch, un firewall e un modem non si considera un CED.
Spero di aver reso l’idea.
Simone Piunno
Team per la Trasformazione Digitale
Buongiorno. La ringrazio per essere stato il primo ad aver data finalmente una risposta concreta.
Ora sarebbe opportuno che definiate, sempre che non sia stato già fatto, quelli che sono i servizi da voi ritenuti accessori, e quelli che invece debbano andare sul cloud. Ad esempio, la gestione delle postazioni (ad es. aggiornamenti, configurazioni tipo group policy, autenticazione, spooling delle stampe, protezioni da virus, malware, rootkit ecc…),oppure la gestione degli apparati (firewall, switch, router, stampanti, postazioni, ecc…) e così via.
Quello che voglio dire è che abbiamo bisogno di chiare indicazioni tecniche, tipo quelle date nel documento relativo alle misure minime sulla sicurezza informatica. A proposito, sono considerate accessori i servizi che implementano quelle misure? Vi faccio presente che mentre il documento sulle misure minime impone entro Dicembre 2017 il raggiungimento del livello minimo, indipendentemente dal cloud, il piano triennale vieta investimenti, e quindi indirettamente, la realizzazione delle misure minime.
Potrebbe chiarire questa situazione? Cordiali saluti
Nel Piano Triennale è previsto l’emissione di un documento di Linee guida per la razionalizzazione del patrimonio ICT delle Pubbliche amministrazioni pianificato per gennaio 2018. Tale documento entrerà nei dettagli tecnici qui richiesti.
Nel frattempo possiamo certamente dire che
la gestione delle postazioni (ad es. aggiornamenti, configurazioni tipo group policy, autenticazione, spooling delle stampe, protezioni da virus, malware, rootkit ecc…),oppure la gestione degli apparati (firewall, switch, router, stampanti, postazioni, ecc…)
non fanno parte di quanto si considera data center.
Simone Piunno
Team per la Trasformazione Digitale
Ho letto un po le varie informazioni inserite del forum ma non riesco ancora a capire dove rientrato le necessità del nostro gruppo di ricerca. Nel nostro dipartimento all’interno dell’Università ci occupiamo di analisi dati (EEG, fMRI, MEG ecc…) utilizzando sia applicativi a pagamento tipo Matlab che altri free in payton, c++ ecc. La nostra necessità è quella di espandere l’attuale storage con una SAN (Attualmente abbiamo circa 60TB).
Anche questi servizi specifici andranno migrati ? Quali sono le possibilità ?
Buon pomeriggio e grazie per la chiara risposta.
Mi permetta di rivolgerle un’ altra domanda. Se quanto descritto relativamente alla gestione delle postazioni, e cioè ad esempio aggiornamenti in conformità con le misure minime di sicurezza informatica, group policy, autenticazione e quanto altro sopra descritto, non fanno parte di quanto si considera un data center, non dovranno obbligatoriamente passare a un cloud SPC_Cloud o a un datacenter di una PA di interesse nazionale. Questa affermazione è corretta? Perché se lo è, significa che dovrò comunque mantenere un armadio con dei server, fisici e virtuali, dedicati a questi servizi infrastrutturali, che sicuramente non crescerà come dimensioni. Se questo è vero, il cloud sarà per forza di cose ibrido.
Potrebbe fare chiarezza su questo? Cordiali saluti
Nel nostro dipartimento all’interno dell’Università ci occupiamo di analisi dati (EEG, fMRI, MEG ecc…) utilizzando sia applicativi a pagamento tipo Matlab che altri free in payton, c++ ecc. La nostra necessità è quella di espandere l’attuale storage con una SAN (Attualmente abbiamo circa 60TB)
Le informazioni fornite sono un po’ vaghe per una disamina precisa ma certamente direi che il laboratorio del dipartimento universitario non vale come data center.
Simone Piunno
Team per la Trasformazione Digitale
Perché se lo è, significa che dovrò comunque mantenere un armadio con dei server, fisici e virtuali, dedicati a questi servizi infrastrutturali,
Certamente bisognerà mantenere in locale le infrastrutture minime strettamente necessarie per il funzionamento delle postazioni di lavoro (apparati di rete, firewall, server di dominio, etc.) spostando invece in remoto le applicazioni e i dati.
Simone Piunno
Team per la Trasformazione Digitale
Grazie per la chiara risposta.
Buongiorno,
e per queste infrastrutture è possibile, pur essendo in vigore il piano triennale, pianificare l’allestimento di nuovi locali tecnici adeguati (quindi con sistema di condizionamento, antiintrusione, antiallagamento, antincendio, … insomma locali con caratteristiche da datacenter)?
Grazie
Buongiorno a tutti,
appurato il fatto che potrà restare operativa presso l’ente l’infrastruttura per la gestione delle postazioni di lavoro, composta da:
Autenticazione e group policy (servers di dominio)
Assegnazione indirizzo ip (servers dhcp)
Antivirus (server centralizzato)
Distribuzione aggiornamenti (server wsus)
mentre dati ed applicativi dovranno risiedere su cloud (quindi le share e gli applicativi sotto forma di database ed application servers),
avrei alcune domande in merito.
Domanda n.1
La posta elettronica come viene considerata ? Se un ente dispone di una propria infrastruttura, composta da antispam/antivirus e servers (al plurale) di posta, possiamo considerare questa come infrastruttura di base al servizio delle postazioni di lavoro e quindi mantenene presso la sede dell’ente?
Domanda n.2
Se per gravi problemi di obsolescenza hardware l’ente non è in grado di garantire la continuità operativa dell’infrastruttura necessaria per il corretto funzionamento delle postazioni di lavoro (quindi il dominio, antivirus, aggiornamenti, etc…) cosa deve fare per espletare un corretto bando di gara per l’acquisto del nuovo hardware?
Domanda n.3
Presupponiamo questo scenario:
Presso la sede dell’ente ho la mia infrastruttura di base per il funzionamento delle pdl (quindi il dominio, antivirus, aggiornamenti, etc…) e tutte le share degli utenti su uno o può file server in cloud.
Come viene considerato il backup delle share a scopo di STORICIZZAZIONE ?
Mi spiego meglio:
Il backup dei file server inteso come “l’ultima fotografia istantanea totale” è un backup omnicomprensivo molto utile per un eventuale disaster recovery, ma nel caso del cloud il disaster recovery e la continuità operativa la dovrebbero garantire il fornitore del servizio in cloud, o sbaglio?
Il backup del file server a scopo di storicizzazione del dato è inteso come tutte le variazioni dei dati in un certo lasso di tempo e conservate per un tempo predefinito, che può addirittura raggiungere i 5 anni. Se creo un foglio di excel un’anno fa devo garantire all’utente il restore dello stesso documento salvato un mese fa, in un determinato giorno.
Per queste operazioni ho un apposito server di backup che provvede a questo tipo di archiviazione nel tempo.
Sul cloud, CHI LO FA QUESTO LAVORO ? Oppure, posso continuare a considerare il mio server di backup come “infrastruttura di base per il funzionamento delle pdl” (e quindi backuppare dati che fisicamente risiedono sul cloud ?).
Grazie per le vostre risposte, spero chiarificatorie.
seguo, interessa anche a noi. in effetti capita piuttosto spesso di recuperare una cartella o un file ad una certa data (magari non troppo indietro nel tempo); come si potranno gestire questi tipi di ripristini ? Noi pensavamo di portare in cloud anche il software di backup che permette di fare questo…
Si, il ragionamento è giusto, però questo comporterebbe un notevole spazio per la conservazione dei backup FULL ed INCREMENTALI ed è da valutare accuratamente in termini economici perchè lo spazio su disco costa e non è possibile sul cloud appoggiarsi a soluzioni di backup più economiche come ad esempio il vecchio e caro nastro LTO.
Mi verrebbe da dire: dov’è il risparmio economico sul cloud a parità di servizio come questo ?
non lo so:) io penso che il risparmio si potrà calcolare avanti nel tempo, e su un calcolo globale… mentre per il singolo ente dubito che nell’immediato ci possa essere un risparmio. I veri vantaggi da subito saranno già di sicuro l’affidabilità e la sicurezza
@giuliamacchi per quanto riguarda la sicurezza vorrei fare un’altra riflessione.
Immagina di avere presso il tuo ente un server con indirizzo ip pubblico, tramite il quale è possibile accedere a dati sensibili (ad esempio la consultazione dell’anagrafe) e di avere un firewall sempre presso il tuo ente con il quale regoli l’accesso a questo webserver tramite whitelist, ovvero : “solo questa lista di indirizzi ip pubblici è autorizzata ad accedere a questo server”.
Domani metti questo webserver sul cloud con un ip pubblico che il gestore del cloud ti assegnerà. Il gestore del cloud sarà in grado di garantirti la stessa operatività in termini di sicurezza come avevi precedentemente a casa tua ? E se domani qualcuno “buca” il tuo webserver pieno di dati sensibili di chi sarà la colpa a livello di sicurezza ?
problema corretto. ma per quanto mi riguarda probabilmente non si porrà e provo a spiegarti perchè. Noi in Emilia Romagna abbiamo la fortuna di avere la società in house degli enti e della regione LEPIDA che offre un servizio di data center completo, firewall incluso. Questo perchè tutti gli enti ormai da anni (tranne due dei miei ma a breve dovrebbero essere inclusi anche quelli) hanno un collegamento tra loro e verso LEPIDA in fibra PROPRIETARIA . Perciò è possibile realizzare una rete privata verso il cloud con una fibra dedicata che va direttamente al data center. Noi ad esempio, al momento abbiamo un data center unico (circa) in una sede comunale che accentra tutti i server; gli enti vi si collegano sempre in fibra, e per ora abbiamo sul data center di lepida solo il backup che però viaggia su una linea dedicata senza passare da internet, anche se il datacenter è a Ravenna a Ferrara o a Parma. quindi la sicurezza, rispetto a possibili intrusioni dall’esterno, credo che sia garantita. Lepida offre anche il servizio di firewalling in cloud e penso sia affidabile proprio perchè viaggia su questo tipo di rete e se dovessimo (come credo accadrà) migrare tutto lì penso che sarebbero come minimo corresponsabili… . In questo momento il mio dubbio è SE i data center di lepida saranno individuati come di interesse nazionale (io penso proprio di sì, ma non mi stupirei di nulla). Io infatti credo che individuerò un piano di migrazione e poi attenderò febbraio marzo per verificare questa cosa. Nel mio caso semmai, sono i costi che lieviteranno non poco, almeno così a prima occhiata, vedendo i listini proposti da lepida. In ogni caso, almeno il firewall… non so, io credo che se posso me lo terrò in casa. vedremo.
Dovrai rivolgerti ad un gestore che ti fornisce i livelli di sicurezza che tu ritieni adeguati (vedi misure minime) per il servizio.
Nella gara SPC1 ci sono servizi di vNetworking
Per la seconda domanda, dipende dalle modalità.
Salve a tutti,
provo ad articolare una risposta generale cercando di coprire un po’ tutte le questioni aperte in questo thread.
-
Tutti i device SOHO (Small Office, Home Office), così come tutte le infrastrutture IT che non richiedono un data center o un C.E.D. per erogare servizi , non sono oggetto del processo di razionalizzazione ICT. In questa categoria rientrano tutti i Desktop NAS, backup disk personali, print server etc.
In alcuni casi si potrebbero comunque valutare soluzioni di Backup as Service capaci di soddisfare anche le richieste di backup su piccola/media scala. -
La strategia generale del piano triennale prevede di:
- Censire le infrastrutture ICT della PA
- Classificare le infrastrutture censite in 3 gruppi, come descritto nel Piano triennale, gruppo A, gruppo B e PSN
Relativamente alle infrastrutture che rientrano nel Gruppo B:
- Definire le strategie e il piano di migrazione dei servizi IT.
- Effettuare un POC (proof of concept) di migrazione durante il quale testare e affinare il processo di migrazione.
- Procedere con il piano di migrazione su scala nazionale.
Il processo di migrazione del gruppo B non può avvenire senza la partecipazione attiva di tutte le componenti della PA. Per garantire la continuità di servizio, durante la fase di migrazione, si rende necessaria una fase di studio partecipata in cui PAL, PAC e fornitori dovranno collaborare per selezionare le soluzioni più adatte a soddisfare tale requisito.
AgID, insieme al Team per la Trasformazione Digitale, sta lavorando per impostare il piano di migrazione e per individuare gli strumenti necessari al suo svolgimento, in attesa dei risultati del censimento del patrimonio ICT.
I servizi di posta elettronica e backup, se erogati da strutture di tipo B, andranno migrati verso soluzioni Cloud. Ad esempio, la posta elettronica potrà essere migrata su provider SaaS qualificati, su soluzioni che utilizzano i servizi IaaS del Lotto 1 Cloud SPC oppure su Public Cloud Provider qualificati da AgID .
In base al Piano Triennale non è possibile costruire ex novo altre infrastrutture di tipo B né investire ulteriormente in quelle esistenti per migliorarle o estenderle. Allo stesso tempo il Piano Triennale e la circolare “Censimento del Patrimonio ICT delle amministrazioni e qualificazione dei Poli Strategici Nazionali” in corso di emanazione da parte di AgID, prevedono indicazioni specifiche volte a garantire l’ordinaria operatività dei servizi fino all’avvenuta migrazione al Cloud.
Paolo de Rosa
Team per la Trasformazione Digitale
Salve, una richiesta: per riuscire ad essere efficaci, concentratevi prima sulle infrastrutture e sui servizi trasversali che per obbligo di legge devono essere utilizzati da tutte le Pubbliche Amministrazioni italiane e che se non funzionano bloccano tutta la PA. L’esempio odierno è il sito di ANAC: è tutta la mattina che non si riesce a prendere un semplice CIG per una gara per un “eccessivo carico di richieste”.
Salve,
più che una richiesta questo sembra un consiglio, peraltro valido anche se off-topic.
Il piano triennale vale anche per le PAC, sono infatti previste linee d’azione specifiche nel caso delle infrastrutture centrali, nessuna componente può essere esclusa.
Si tratta di un processo di rinnovamento che deve essere attivato a tutti i livelli e che deve partire dal condividere una strategia e una visione comune.
In ogni caso capisco perfettamente la sua frustrazione , quello che le posso consigliare è di aprire un bug e segnalare il problema quanto prima ad ANAC.
Grazie del contributo
Paolo de Rosa
Team per la Trasformazione Digitale