1 Slezská univerzita v Opavě, FPF Podklady k přednáškám Studijní obor: IVT Ročník: IV. Předmět: Projektování IS I Téma: Architektury pro bezpečnost a spolehlivost IS/IT Vyučující: dr. Dušan Kajzar Školní rok: 2020/2021 Obsah: 1. Úvodem k architekturám BIS a HA.................................................................................... 1 2. Architektury pro bezpečnost a spolehlivost IS.................................................................... 2 3. Clusterová řešení................................................................................................................. 4 4. Architektury síťové vrstvy .................................................................................................. 6 5. Dokumentace k architekturám podnikových IS................................................................ 10 1. Úvodem k architekturám BIS a HA Zaměření této přednášky:  zaměříme se na architektonická schémata podporující bezpečnost, spolehlivost a vysokou dostupnost IS,  tzv. architektonické návrhové vzory. Architektury podporující BIS a HA:  BIS – bezpečnost inf. systémů,  HA – High Availability (vysoká dostupnost). Architektonické návrhové vzory IS/IT:  schémata často se vyskytující při návrhu podnikových IS,  dané schéma (návrhový vzor) o zaměřené na splnění požadovaných vlastností navrhovaného IS, o např. spolehlivost, dostupnost, bezpečnost, ... 2 2. Architektury pro bezpečnost a spolehlivost IS Bezpečnost systému:  schopnost systému zajistit požadovanou - integritu, důvěrnost, dostupnost IS,  integrita dat – neporušitelnost dat,  důvěrnost dat – přístup k datům pouze oprávněným uživatelům,  dostupnost IS – viz dále. Dostupnost (availability) systému:  vysoká dostupnost – HA, High Availability,  schopnost být uživateli (podnikovému procesu) k dispozici,  v souladu se stanovenými parametry dostupnosti služeb o např. dostupnost služby ve dnech ..., v době od-do, ... o např. 5*12, 7*24, po-pá 6-18, ... o nebo (resp. navíc) procentuálně ... 98.5, 99.8, ...  v souladu se stanovenými parametry výkonnosti o s dobou doba odezvy= ... , o max. čas pro zpracování požadavku = ...  v mezích akceptovatelnosti případných výpadků o max. provozně akceptovatelná doba výpadku, o v provozní špičce = ..., mimo špičku = ... ,  s garancí časů pro obnovu dat / služeb IS po výpadku o recoverytime – max. čas, za který je bezpodmínečně nutno obnovit služby systému, o recovery point – max. provozně tolerovatelná ztráta práce po havárii. Spolehlivost (reliability) systému:  schopnost systému poskytovat služby o podle stanovených parametrů dostupnosti, o podle stanovených parametrů bezpečnosti,  spolehlivý systém nesmí selhat v oblasti dostupnosti ani bezpečnosti,  v praxi – stupeň spolehlivosti se sleduje, měří a vyhodnocuje o počty a doba výpadků, procentuální dostupnost, ... 3 o bezpečnotní incidenty a jejich příčiny, ...  => návrhy na organizační a technická opatření, vylepšení,  srovnej – spolehlivost auta, pračky, mobilu, ... Spolehlivost IS závisí:  na spolehlivosti jeho jednotlivých komponent (HW, SW) o je ovlivněna „nejslabším článkem“ IS (!), o závisí na kvalitě IS jako celku,  na kvalifikaci uživatelů IS (proškolení, znalosti práce s IS),  na kvalitní správě podnikových IS (administrátoři IS, support). Mnohá selhání IS:  mají lidské nebo organizační příčiny (IS je sociotechnický systém),  lepší metody a IT - nemusí automaticky zajistit lepší spolehlivost a bezpečnost (např. moderní automobil, ale špatný řidič). Základní technické principy pro zajištění spolehlivosti IS:  redundance (nadbytečnost) komponent,  diverzifikace (rozmanitost) komponent. Princip redundance:  systém má rezervní (sekundární) součásti, které lze použít v případě selhání některé primární součásti,  redundance „součástek“ - např. síťových karet, řadičů diskového pole, ...  redundance subsystémů (komponent) - např. aplikačních serverů, firewallů, diskových polí, ... Princip diverzifikace (rozmanitosti):  redundantní součástí jsou různého typu (snížení pravděpodobnosti, že neselžou stejným způsobem),  rozmanitost v lokalizaci výpočetní techniky (různé serverovny, různé lokality). 4 3. Clusterová řešení Schéma a princip clusterového řešení:  systémy (služby) pracující nad společným datovým prostorem,  datový prostor je zviditelněný z „jedné či druhé“ strany,  Active / Passive (Standby),  Active / Active. Ve vývojové praxi to pro architekta znamená:  zvolit režim běhu SW komponent o Active/Active, Active/Passive,  pro režim A/P o navrhnout pravidla běhu a migrací SW komponent (služeb), o tj. na kterém nódu daná SW komponenta poběží primárně, o který nód bude pro SW komponentu záložní (je-li nódů v clusteru více), o zvážit zdroje (CPU, paměť) pro provoz na záložním nódu, o způsob migrace na záložní nód – automaticky, ručně, o atd. node 1 node 2 Databázový server A1 Databázový server C2 Databázový server D2 Databázový server C1 Databázový server D1 Databázový server A2 Databázový server B1 Databázový server B2 Diskové pole Connections Virtual IP Connections data S1 S2 S3 5 Standby systémy:  relativně samostatné systémy s vlastními datovými prostory,  režimy Hot standby, Warm standby , Cold standby. K režimům Standby - Hot, Warm, Cold:  Hot Standby o synchronní HW replikace (na úrovni diskových polí), o DB - dvoufázový commit (synchronní přenos dat),  Warm Standby o SW replikační mechanismus (asynchronní přenos dat), o asynchronní HW replikace (na úrovni diskových polí),  Cold Standby o předinstalovaný (částečně, úplně) server, vypnutý. Příklady DB technologií Warm Standby:  MS SQL Server Mirroring (db hlavní, zrcadlená, witness),  Sybase Standby DB,  Oracle Data Guard. HW replikace dat Stroj S1 Stroj S2 Diskové pole Databázový server A Databázový server B Diskové pole Stroj S1 Stroj S2 Diskové pole LAN director Databázový server A Databázový server B Diskové pole SW replikace dat 6 Geocluster:  architektura pro více výpočetních center,  v clusteru nejsou jen jednotlivé systémy (AS, DB, ...), nýbrž celá výpočetní centra,  režim Active / Passive, režim Active / Active. 4. Architektury síťové vrstvy Balancing nad APL/DB servery:  se zvýšenou odolností proti výpadku komponenty o tzv. režim failover,  s vyrovnáváním zátěže mezi servery o tzv. režim load-balancing. global site selector, director, balancer Datové toky WAN, LAN Architektura IS/IT v lokalitě A Architektura IS/IT v lokalitě B Klient LAN Aplikační server Aplikační server Aplikační server DB serverDirector AS DB server A DB server B Klientské aplikace Director 7 Význam a využití directorů (balancerů):  HW a SW komponenty sloužící k řízení spojení o tzv. sessions, connections, o tj. spojení, která směřují k AS nebo DB serverům,  směrování dotazů podle daných směrovacích pravidel o na základě cíle (URL), o podle typů (skupin) uživatelů (interní, externí, public, registrovaní, ...), o podle vlastností SQL dotazu, kategorie složitosti dotazu, ...  režimy práce balanceru o load balancing, o fail-over,  mohou zahrnovat i pravidla pro ochranu před zahlcením systému dotazy o základní rozhodovací algoritmus (kam směrovat dotaz) - roud robin, o rozhodování podle zatížení jednotlivých komponent, o podle počtu connections vedoucích na jednotlivé komponenty, ... o zajištění tzv. „držení sešny“ na daném aplikačním serveru. Příklady directorů a balancerů:  Cisco ACE modul,  Big-IP F5,  Teradata Unity Director. Směrování a balancing v architekturách síťové vrstvy: uživatelský dotaz http://eshop.drevoplech.cz AS, DB AS, DBAS, DB AS, DB DNS servery, DNS + aliasy balancer – DNS, VIP balancer – DNS, VIP balancer – DNS, VIP DNS, log. IP DNS, log. IP DNS, log. IP DNS, log. IP nad výpočetními centry Který balancer žije? nad servery v clusteru sx1-as Který server žije? nad jednotlivými službami, např. AS, DB sx1-as1, sx1-as2 8 Dotazy:  Nad jakými komponentami balancují znázorněné balancery?  Na kterou VIP odkazuje DNS služby, kterou volá uživatelova aplikace? Virtuální IP: Hierarchie IP adres: Návrh vzájemné komunikace komponent IS: Zadání komunikace mezi komponentami IS:  co není výslovně povoleno, to je zakázáno (!),  definice komunikace (filtrace spojení) do tzv. Access listu o správce sítě -> nastavení na síťových prvcích,  zdroj (odkud): IP + cíl (kam): IP, port,  komunikace jednosměrná, obousměrná. AS, DB, ...virtualizace fixní IP síťové karty fixní IP IP stroje IP zóny IP služby IP zóny ... IP služby ... VIP služby .... VIP služby public DNSserver DNS VIP http://eshop.firma.cz 10.128.251.35 https://products.firma.cz K1 K2 K3 K4 K5 K6 K7 protokol, IP (DNS), port http, ceny.frx.cz, 8080 certifikát DNS server Cisco router ACE modul 9 Důležité téma - síťová bezpečnost:  šifrování přenosů dat,  demilitarizovaná zóna, detektory útoků, ... Schéma demilitarizované zóny počítačové sítě:  DMZ – počítačová podsíť tvořící bezpečnostní vrstvu mezi interní podnikovou sítí a Internetem,  DMZ s jedním firewallem (trojnohý FW) o 3 síťová rozhraní, o komunikace – Internet, DMZ, vnitřní síť.  DMZ se dvěma firewally (dvojnohý FW) o frond-end firewall – kontrola komunikace Internet x DMZ, o back-end firewall – kontrola komunikace DMZ x vnitřní síť. Externí klientská aplikace Firewall Proxy server Aplikační server vnitřní sítě vnější síť demilitarizovaná zóna vnitřní síť Externí klientská aplikace Firewall Firewall Proxy server Aplikační server vnitřní sítě vnější síť demilitarizovaná zóna vnitřní síť IS-1 IS-2 ochrana, monitoring 10 V praxi nutno řešit např.:  povolená / nepovolená komunikace mezi DMZ a vnitřní síti (IP, porty, protokoly),  které komponenty IS budou umístěné do DMZ,  způsob zálohování serverů umístěných v DMZ, ... „V-architektura“ webové aplikace: 5. Dokumentace k architekturám podnikových IS Dokumentace k architektuře aplikace (IS) obvykle popisuje:  účel daného IS v podniku,  stanovené parametry (kategorie) dostupnosti a bezpečnosti,  kdo je gestorem daného IS, dodavatelem, support, ...  hlavní subsystémy daného IS a jejích vazby na okolí,  přístupy k IS ze strany klientů (URL),  integraci IT služeb - poskytování služeb jiným IS a opačně,  HW a SW architekturu o prezentační vrstvy, o aplikační vrstvy, Director 2x Proxy server P1 Proxy server P2 Externí přístup Aplikační server A2 Databázový server D1 Databázový server D2 Databázový server D0 DMZ Replikační server R0 Replikační server R2replikace Replikační server R1 Pořizování a modifikace dat Aplikační server A1 11 o databázové vrstvy,  architekturu vazeb IS na společné síťové úložiště NAS,  architekturu datových toků (replikace dat) o v rámci komponent IS + vazby s okolím,  architekturu sítových prvků vztahujících se k danému IS o DNS, VIP, IP adresy, balancery, ...  architekturu síťových komunikačních toků o v rámci komponent IS + vazby s okolím, o komunikační protokoly, o IP, porty, komunikace odkud-kam,  architekturu licenčního pokrytí komponent.