3. Bevezetés, előzmények, a NISZ
általános bemutatása
Alkalmazottak
száma
Leányvállalatokkal
együtt ~1000 fő
Vállalati
forma
Zártkörűen
működő
részvénytársaság
(Zrt.)
Főbb
tevékenységek
Kormányzati informatika,
uniós projektek,
e-kormányzati
szolgáltatások
Árbevétel
2014-es terv ~23 mrd Ft
Főbb ügyfelek
Minisztériumok,
Költségvetési
intézmények
Leányvállalatok
PRO-M Zrt.
KDIV Kft.
IdomSoft Zrt.
Elérhetőségek
www.nisz.hu
Tel.: +36 1 459 4200
Fax: +36 1 303 1000
Alapítás éve
1964
(Konjunktúra- és
Piackutató Intézet
(KOPINT))
4. A projekt előzményei
A kormányzati felhőt a kapacitáshiány és a
konszolidáció költségmegtakarításai hívták életre
A kormányzati felhő projektet az alábbi tényezők
indokolták elsősorban:
• A meglévő infrastruktúra elöregedése
• Az uniós fejlesztések során előálló új rendszerek
kapacitásigénye
• A konszolidációval elérhető költségmegtakarítási
lehetőségek
5. Ügyfelek és igényeik
• kormányzati
szervek
• egészségügy
• oktatás
közigazgatás és
kormányzati szervek
testreszabott
megoldások
megbízhatóság,
sértetlenség,
rendelkezésre állás
kormányzati felhő
• megfelelő szakmai támogatás
egyéb IT tevékenységhez
• önkiszolgáló portál a
felhasználók IT szakértőinek
• védett és biztonságos
infrastruktúra
• megfelelő képzettségű
üzemeltetői szervezet
• folyamatos működés
(7/24)
Az ügyfelek számára nem a felhő felépítése fontos,
hanem az igényeknek való megfelelés.
költséghatékonyság
• uniós forrásból megvalósult
projekt
• egységes üzemeltetés
6. A kormányzati felhő szolgáltatásai 1.
Virtuális szerverek (VG, IaaS)
– Fix: előredefiniált, nem változtatható paraméterű virtuális szerverek:
• egyszerűen kezelhető, méretezhető,
• pénzügyileg tervezhető.
– Flex: rugalmasan skálázható virtuális szerverek
• költséghatékonya megoldás a VG teljes élettartam alatt, változó erőforrás
igényekkel rugalmas kiszolgálása
• igény növekedés esetén növekedési lehetőség
Virtuális adatközpont / dedikált erőforrások
– felhasználó igényekre testre szabott fizikai konfiguráció, az alábbi célok teljesüléséért:
• szoftver licencelések betartása,
• pályázati előírások betartása,
• biztonsági vagy üzemviteli szempontok.
Szakmai támogatások
– konzultáció, tervezés
– migráció, konszolidációs tervek
– üzemeltetés, mentés, archiválás, ügyfélszolgálat.
7. A kormányzati felhő szolgáltatásai 2.
Virtuális
gépek
Kicsi Közepes Nagy
Nagyon
nagy
Flex
Processzor
(vCPU)
1 2 2 4 1-16
Memória
[GB]
2 4 8 16 1-128
Tároló [GB]
50 50 100 200 50-2000
Árak [Ft/hó]
5 650 10 260 15 860 24 020 Egyedi
Mentés 6,5 Ft/GB/hó
Archiválás 3,5 Ft/GB/hó
8. Tervezési bemenetek
• 2400 darab virtális gép futtatási képessége
– VG egység: 2 vCPU, 12 GB RAM, 150 GB tárterület (NISZ átlagból)
• konvergens (Blokk 1-2) és
– szállítás előtt összeállított, önállóan működő (belső LAN, SAN)
• nem konvergens (Blokk 3 szerver, tároló) kialakítása
– önálló eszközök, helyszínen összeállított
• két adatközpont, aktív-aktív működés
– produktív erőforrásokból teljesen szimmetrikus
– mindkét oldalon VG futtatási lehetősé
– L2 és SAN kapcsolat (DWDM-en át) a két telephely között
– adatközpontonként önálló hálózati kijárat
9. Fizikai architektúra (terv)
Szerver
Pengeszerverek
Szerver
Szerver
Szerver
Szerver
Szerver
Szerver
Tároló A
SAN switch
LAN switch
Tűzfal 1 (internet)
Tűzfal 2 (NTG)
Mentési szerver
Mentési puffer
tároló
Archiváló
céleszköz
Szalagtárak +
magnók
Pengeszerverek
Tároló
blokk LAN switch
blokk SAN switch
blokk menedzsment
szerver
VTL
szerverenként önálló szerverenként önálló
pass throu
szerverenként önálló
szerverenként önálló
pass throu
trönk
trönk
NAS
NAS,
NDMP NAS,
NDMP
SAN
NTG
Internet
TFW witch 2
Infra menedzsment
szerverek
Naplózó
Virtual connector
Felhő menedzsment
szerver
Hipervizor 1
menedzsment
szerver
Hipervizor 2
menedzsment
szerver
Hipervizor 3
menedzsment
szerver
szerverenként önálló
szerverenként önálló
Naplózó
Pengeszerverek
Tároló
blokk LAN switch
blokk SAN switch
blokk menedzsment
szerver
trönk
trönk
Blokk 3 Blokk 2 Blokk 1
Tároló B
10. Felhő rendszerelemek
Microsoft Hyper-V 2012
(server only)
VMware vSphere ESXi Enterprise+
VMware vCenter Standard
Oracle VM for x86
HP Matrix
HP Cloud System Automation
11. Felhő rendszerelemek
HP tárolók
kettős lemezhiba elleni védelem
8Gbps SAN
10 Gbps LAN kapcsolat
SSD, SAS és SATA lemezek
automatikus tiering
redundáns belső felépítés
HP és IBM x86 alapú szerverek
2 CPU, 8 mag&2GHz
256 GB memória
2x8Gbps SAN kapcsolat
2x10 Gbps LAN kapcsolat
redundáns belső felépítés
IBM x86 alapú szerverek
4 CPU, 8 mag&2GHz
512 GB memória
2x8Gbps SAN kapcsolat
2x10 Gbps LAN kapcsolat
redundáns belső felépítés
12. Felhő rendszerelemek
Fujitsu CS8800 (korábban CS2000)
80 TB puffer
NAS és VTL kapcsolatok
HA és DR működés
EMC Networker
600TB kapacitás alapú
Quantum Scalar i500
1000 db LTO6 szalag
~5 PB tömörített kapacitás
13. Felhő rendszerelemek
Cisco Nexus 7010 LAN switch
240x1/10 Gbps port
HP SN8000B SAN director
240x8 Gbps port
Juniper EX
menedzsment hálózat
14. Felhő rendszerelemek
szabványos felületek mentén bővíthető
átlátható, ügyfélauditra felkészített rendszer
külső audit, rendszerminősítés
szabályozásnak, törvénynek megfelel
16. Fizikai architektúra (megvalósult)
IBM x3650 rack
Pengeszerverek
IBM PureFlex
IBM x3650 rack
IBM x3750 rack
IBM x3750 rack
IBM x3750 rack
IBM x3750 rack
IBM x3750 rack
négyvezérlős
Tároló
HP 3par 7400
HP SN8000B
SAN switch
Cisco Nexus 7010
LAN switch
Tűzfal
EMC Networker +
IBM x 3750
Mentési rendszer
Imidzs mentési
tároló
HP 3par 7200
Fujitsu CS8800
Mentésvezérlő,
archiváló céleszköz
Quantum
iScalar 500
Szalagtárak +
magnók
HP c7000
Pengeszerverek
HP 7400
Tároló
HP 5900 LAN sw
VTL
szerverenként önálló szerverenként önálló
pass throu
szerverenként önálló
trönk
trönk
NAS
NAS,
NDMP NAS,
NDMP
SAN
NTG Internet
Infra menedzsment
szerverek
Felhő menedzsment
szerver (HP CSA)
VMware
menedzsment
szerver
Hyper-V
menedzsment
szerver
Oracle VM
menedzsment
szerver
szerverenként önálló
HP Arcsight Naplózó
HP c7000
Pengeszerverek
HP 7400
Tároló
HP 5900 LAN sw
trönk
trönk
Menedzsment tűzfal
Juniper EX4200
Virt. EMC
Avamar
Blokk 3 Blokk 2 Blokk 1 Blokk 0
19. Kormányzati felhő tulajdonságok
• Egységes infrastruktúra platform
• x86 (x64) alapú
• VMware vSphere ESXi, Microsoft Hyper-V, Oracle VM for x86
• Microsoft Windows, SUSE Linux Enterprise, Red Hat Enterprise Linux
• Adaközpontok száma: 2 db (Róna, Wigner)
• Produktív szerverek száma: 2x58 db
• Összes CPU mag: 2x1080 db, teljesítménye: 2x2,5 THz
• Teljes memória kapacitás: 2x18 TB
• Elsődleges tárolók: 2x290 TB (HP 3par: SSD, SAS, NLSAS)
• Másodlagos tárolók: 5,6 PB (Fujitsu CS8800, Quantum: SAS, SATA, LTO6)
20. Adatvédelem és a felhő kapcsolata
• jogszabály: 2011. évi CXII. törvény
• - felhő alapú megoldások valamekkora része biztosan személyes adatokat kezel
(személyes adat – bármely meghatározott, a személyes adat alapján
azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes
személlyel kapcsolatba hozható adat, valamint az adatból levonható, az
érintettre vonatkozó következtetés)
• - ebből következően a felhő alapú szolgáltatást nyújtó szolgáltatók minimum,
adatfeldolgozónak, de néha adatkezelőnek minősülnek
(adatkezelő – aki önállóan vagy másokkal együtt az adatok kezelésének
célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt)
vonatkozó döntéseket meghozza és végrehajtja, vagy az
adatfeldolgozóval végrehajtatja;
adatfeldolgozó -aki szerződés alapján - beleértve a jogszabály
rendelkezése alapján kötött szerződést is - az adatkezelési műveletekhez
kapcsolódó technikai feladatokat végzi, függetlenül a műveletek
végrehajtásához alkalmazott módszertől és eszköztől, valamint az
alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon
végzik)
21. Felhő alapú számítástechnika adatvédelmi
kockázatai
• Nincs egységes nemzetközi szabályozás
– a magyar állam áll mögötte, egyértelmű a szolgáltatást nyújtó
• Globális szolgáltatás
– meghatározott földrajzi helyekről nyújtják, auditálható, a magyar jog
alkalmazandó, egyértelmű a felelősség
• Bonyolult általános szerződési feltételek
– hazai jogrendszeren belül, megoldható feladatok, részletekre figyelni
kell
• Érintetti jogok nem érvényesülnek megfelelően
– szereplőkre pontos szabályok vonatkoznak
• Adatbiztonsági kihívások
– könnyebben ellenőrizhető a felhő szolgáltató
– könnyebb intézményesített jelentési kötelezettséget előírni
22. Adatvédelmi kockázatok kezelése a
Kormányzati Felhővel
• Nincs egységes nemzetközi szabályozás
– a magyar állam áll mögötte, egyértelmű a szolgáltatást nyújtó
• Globális szolgáltatás
– meghatározott földrajzi helyekről nyújtják, auditálható, a
magyar jog alkalmazandó, egyértelmű a felelősség
• Bonyolult általános szerződési feltételek
– hazai jogrendszeren belül, megoldható feladatok, részletekre
figyelni kell
• Érintetti jogok nem érvényesülnek megfelelően
– szereplőkre pontos szabályok vonatkoznak
• Adatbiztonsági kihívások
– könnyebben ellenőrizhető a felhő szolgáltató
– könnyebb intézményesített jelentési kötelezettséget előírni
23. Információ biztonság jogszabályi
követelmények
• 2013. évi L. törvény:
2§ (2) E törvény rendelkezéseit kell alkalmazni:
a) az (1) bekezdésben meghatározott szervek és ezen szervek számára
adatkezelést végzők,
b) a jogszabályban meghatározott, a nemzeti adatvagyon körébe tartozó
állami nyilvántartások adatfeldolgozói,
c) az európai létfontosságú rendszerelemmé és a nemzeti létfontosságú
rendszerelemmé törvény alapján kijelölt rendszerelemek
• elektronikus információs rendszereinek védelmére.
• 309/2011 (XII. 23.) Korm. Rendelet a központosított informatikai és
elektronikus hírközlési szolgáltatásokról
• 38/2011. (III. 22.) Korm. Rendelet a nemzeti adatvagyon körébe tartozó
állami nyilvántartások adatfeldolgozásának biztosításáról
• 346/2010. (XII. 28.) Korm. Rendelet a kormányzati célú hálózatokról
24. Információ biztonsági besorolás
• NISZ Szervezeti kötelezettség: 5 (legmagasabb) biztonsági szint
– bármely biztonsági osztályba (1-5) sorolt rendszer üzemeltetethető
általa
• Tetszőleges informatikai rendszer
– biztonsági osztály: 1-5, az adatgazda felelőssége besorolni
• Kormányzati Felhő biztonsági szintje
– nem önálló informatikai rendszer, nem besorolható (IaaS)
– alkalmazói rendszerrel és adatokkal együtt történhet meg a besorolás
– nem tartalmaz olyan szűkítést, ami megakadályozná a legmagasabb
szint elérését
25. Bővítési lehetőségek
• kapacitás: bármely, műszakilag megfelelő, gyártó integrálható
– szerverek: Dell, Fujitsu, Cisco UCS, ...
– tárolók: NetApp, EMC, Hitachi, IBM, Fujitsu, ...
– hypervizor: KVM, XEN, Citrix
• biztonság
– secure multitenancy (Cisco UCS + Cisco SW + NetApp + VMware)
– beépített biztonsági elemek (Intel TXT, AES-NI) használata
– SecaaS: Security as a Service, 2013. évi L. törvénynek való megfelelés támogatása
• nyílt forráskódú, platformfüggetlen menedzsment
– Openstack, eredeti és gyártói disztribúciók használata
• szolgáltatási szint emelés
– platform
• operációs rendszer, adatbázis (DBaaS), köztes réteg, SOA
– szolgáltatás
• ERP, levelezés, tartalomkezelés, CRM, CallCenter, ...