3. Il DataCenter Regionale Unitario - DCRU
■ Il primo atto di riferimento è la Legge Regionale n.8 del 16/09/2011 avente ad oggetto
“Semplificazione amministrativa e normativa dell'ordinamento regionale e degli enti locali territoriali”
il cui capo III è dedicato allo “Sviluppo dell’amministrazione digitale” ed ha istituito la Community
Network regionale dell’Umbria (CN-Umbria).
■ A partire dalla L.R.8/2011, la Regione ha definito un progetto denominato “Consolidamento e continuità
operativa dei data center regionali” e, con DGR n.1402 del 12/11/2012, ha dato attuazione ad un primo
rilevante obiettivo realizzando la cosiddetta “Piattaforma Tecnologica Condivisa” (PTC), vale a dire la
infrastruttura regionale ICT di riferimento, basata su soluzioni di virtualizzazione e in architettura cloud-
oriented.
■ La PTC è stata realizzata presso il Data Center regionale di Terni, denominato in prima istanza “Data
Center Community Network Umbria”
■ Da ultimo, in piena coerenza con le azioni da essa intraprese nel corso degli anni, la Regione, con la DGR
n.1194 del 28/10/2013, ha deliberato di individuare lo stesso come Data Center Regionale Unitario (DCRU
ex L.R. 9/2014) ai fini dell’attuazione del Piano Regionale di razionalizzazione dell’infrastruttura digitale
(PRID ex L.R. 9/2014) delle PA dell’Umbria, e quindi attuare su di esso il processo di consolidamento e
migrazione dei Data Center/CED/Rete delle PA umbre.
4. Data Center
Regionale
Unitario
art.5 della legge regionale n.9/2014
Il Data Center Regionale
Unitario (DCRU) è stato
definito dalla LR n.9/2014
come polo regionale unico
presso il quale allocare la
infrastruttura ICT pubblica al
servizio dell’intera PA
dell’Umbria (compresi gli
istituti universitari, scolastici
e di ricerca nonchè degli
operatori privati).
7. Componenti funzionali del DCRU
Cluster System di Front-end
Numero sistemi
Numero
virtual CPU
RAM
Volume dati
netto
Fisici virtuali
24 828 2449 5 Tb 137 Tb
Cluster System di Back-end
Numero sistemi
Numero unità di
elaborazione
RAM
Volume dati
netto
Fisici virtuali
2 5 9 100 Gb 2 Tb
8. Componenti funzionali del DCRU
Storage Array e SAN
Storage
Array
Numero
controller
Cache
Numero
di HD
Link SAN
2 4 >800Gb >250 8Gbit
Ulteriori Componenti
Software Defined
Networking (SDN)
Backup
Centralizzato
Monitoraggio
Platform
Management
Apparati di rete
& sicurezza
VMWare NSX Veeam
Nagios/
Zenoss
VMWare
vCenter
37
11. Componenti strutturali del DCRU
Le risorse umane La server farm
La struttura tecnica di Umbria Digitale è
costituta da:
• Responsabile di settore
• Responsabili di ambito
• Sistemisti/DBA specializzatinelle
varie piattaforme tecnologiche
• sistemisti IT security/networking
Il DCRU di circa 120mq presso una server farm certificata (UNI-EN Qualità e Sicurezza),dotata
dei seguenti impianti H24 :
•Video sorveglianza (telecamere cc + impianto infrarossi)
•Sistema allarme perimetrale e interno
•Servizio di vigilanza con personale dedicato
•Servizio di receptione controllo accessi centralizzato(badge/smartcard)
•Sistema rilevamentoallarmiambientali (fumo, allagamento)
•Sistema di climatizzazione (doppio impianto controllo temperatura e umidità)
•Impianto alimentazione elettrica di emergenza (UPS20m + generatore 48h)
I servizi di conduzione
tecnica
I sistemi gestiti
I servizi erogatida Umbria Digitale sono
mutuati da quelli dall’accordoquadro Consip
“AQ Servizi di system management” le cui
voci principali vengono riepilogate:
1. Gestione sistemi
2. Manutenzione sistemi
3. Gestione reti
4. Gestione della sicurezza logica
5. Sviluppo e integrazione sistemi
6. Service management
Il parcodei sistemi/servizi applicativi in esercizioper i quali Umbria Digitale eroga i servizi di
conduzione tecnica è rappresentatoda:
•Oltre 800 server virtuali
•Oltre 200 applicazioni SW in produzione
•Oltre 80 Enti della PAL Umbra serviti
•Oltre 16.000 utenti accreditati per l’accessoalle applicazioni
•Oltre 3.300 interventi di assistenza svolti nel 2016
14. La Rete Regionale Unitaria - ReRU
■ Oltre 600 Km di fibra ottica stesi
■ Oltre 100 sedi dei vari Enti della PAL Umbra connessi
■ Backbone interamente a 10 Gbit/s
■ 11 PoP Lungo il Backbone e nelle principali aree metropolitane
■ Proprio Autonomous System
■ Interconnessione ad Internet a 2,5Gbit/s
■ Throughput di picco rilevato sulla rete, circa 800 Mbit/sec.
■ Latenza tra due punti qualsiasi della rete inferiore ai 2ms
■ Integrazione con la rete Wireless CUWper:
- Ridondanza delle tratte critiche
- Erogazione di connettività ad Enti in aree disagiate o
a fallimento di mercato
■ Assicura l’accessodella PAL Umbra ai servizi del DCRU ai fini principalmente del
Consolidamento CED
■ Permette la configurazione in cluster geograficodel DCRU ai fini della distribuzione di servizi
di DR con livelli di RPO uguale a zero ed RTO sostanzialmente uguale
17. Evoluzione in atto al DCRU
■ Data Center Regionale Unitario fisicamente distribuito su
due siti
■ Cluster geografico di DataCenter
■ Distanza 97Km di F.O.
■ RPO = 0
■ RTO = 1 o 2 minuti
■ Punto di erogazione dei servizi deciso a livello di Operation,
trasparente per gli utenti
Perugia
Terni
Concezione proattiva della continuità
operativa, l’evento “Disaster” viene prevenuto
dall’architettura geograficamente distribuita facendo
di fatto venir meno l’esigenza stessa del “Recovery” inteso
come contromisura “reattiva” a fronte di una interruzione di servizio.
La System Continuity
18. Evoluzione in atto al DCRU
Potenziamento/ampliamento ICT- Security (PO#2)
■ L’obiettivo di potenziamento/ampliamento della componente “ICT Security” che si
prefigge il progetto non si realizza agendo sulla componente strutturale/tecnologica
(Firewall, IPS/IDS, ecc.) già implementata in esercizio presso il DCRU.
■ L’obiettivo è quello dell'allargamento del tema “ICT Security” che non deve essere
unicamente inteso come barriera nei confronti di attacchi di pirateria informatica o
come garanzia di accessi ai dati pertinenti e non eccedenti le specifiche titolarità, ma
anche come sicurezza che ogni servizio erogato dal DCRU sia effettivamente
disponibile ed efficientemente fruibile dagli utenti.
20. Sviluppo della «Community Cloud dell’Umbria»
Gli utenti:
•sono molto “distanti” dalla tecnologia
•utilizzano i servizi e non l’infrastruttura
•Valutano l’efficienza dei servizi che usano
L’obiettivo è mascherare la complessità dell’infrastruttura
rispetto agli utenti che la utilizzano
anche a fronte dell’insorgere di problemi
Quanto meglio funziona
l’infrastruttura,
tanto più gli Utenti la percepiscono
come una “scatola nera”
21. La società in-house Umbria Digitale Scarl (LR n.9/2014)
La società,con 86 addetti, eroga servizi per lo
sviluppo e la gestione della rete pubblica
regionale per la diffusione della Banda Larga e
dei servizi infrastrutturali della Community
Network (CN) nonché del Data Center
Regionale Unitario (DCRU), svolgendo
attività di interesse generale per la
gestione e lo sviluppo del settore ICT
regionale e attività strumentale nei
confronti dei soggetti pubblici soci
secondo il modello in house providing.
23. ICT Security – Sicurezza fisica DCRU
■ L’edificioche ospita il Data Center è protetto mediante servizio di vigilanza armata
attivo H24 7x7.
■ L’accessoai locali è controllato da un sistema automatizzatosecondo tre crescenti livelli di
riservatezza.
■ Il Data Center dispone dei seguenti dispositivi di sicurezza interni:
- sistema di rilevazione fumi in ambiente,
- di rilevazione acqua e fumi sotto il pavimento galleggiante,
- allarme aumento temperatura,
- allarme antincendio,
- estinzione automatica di incendio
- allarme anti-intrusione
■ La continuità dell’alimentazione elettrica del Data Center viene garantita per mezzo di un
doppio sistema UPS e da un gruppo elettrogeno che assicuranol’autonomia dalla rete
elettrica nazionale.
■ Il condizionamento degli ambienti è assicuratocon continuità da un doppio sistema di
raffreddamentodelle sale calcolatori.
24. ICT Security – Sicurezza logica DCRU
■ Doppio Sistema Firewallconfigurato in Alta Disponibilità.
■ Doppio sistema per il controllo accessi ai sistemi via VPN configurato in Alta Disponibilità.
■ Sistema Antivirus articolato in:
■ Motore Antivirus perimetrale,integrato con il Firewall che impedisce l’accessodi
codice malware proveniente da Internet;
■ Sistema Antivirus locale, attivo su ogni singolo server/posto di lavoro, per il controllo
dei dati provenienti da fonti diverse da Internet (CD, DVD, storage USB ecc.);
■ Intrusion Detection/Prevention System (IDS/IPS),per il riconoscimentoed il blocco di
anomale attività di accessoai sistemi;
■ Sistema di backup centralizzato per l’esecuzione dei salvataggi;
■ Sistema di gestione degli accessidegliAmministratori di Sistema conforme al provvedimento
del Garante Privacy.
25. ICT Security – MMS-PA nel DCRU
Il DCRU e le attività di conduzione tecnica eseguite da Umbria Digitale
sono oggi conformi alle misure minime di sicurezza per la PA (MMS-PA),
rispetto ai tre livelli indicati nella Direttiva emanata dal Consiglio dei Ministri il
1/8/2015, così come di seguito indicato:
Minimo: 98%
Standard: 82%
Alto: 74%
Di fatto per raggiungere il 100% delle misure minime un solo requisito non
risulta soddisfatto, ma sono pianificati interventi mirati perché la conformità al
livello minimo arrivi al 100% entro il termine del 31/12/2017.
26. ICT Security – MMS-PA nella Giunta regionale
La Giunta Regionale, rispetto al livello minimo indicato nella Direttiva
emanata dal Consiglio dei Ministri il 1/8/2015, raggiunge attualmente un
livello di conformità alle misure minime di sicurezza per la PA (MMS-PA), pari
all’ 87%.
Sarà definito un piano di adeguamento alle misure minime, da attuare entro la
scadenza del 31/12/2017 così come previsto dalla circolare n. 2 del 18 aprile
2017 emessa da AGID.
27. ICT Security nella CN-Umbria
Con la D.G.R. n. 725/2011, nell'ambito della Community Network
dell'Umbria, fu istituita la Unità Locale di Sicurezza Regionale (ULS-R), le cui
funzioni sono state affidate a Webred S.p.A. , oggi Umbria Digitale S.c.a r.l.
■ garantisce la realizzazione ed il mantenimento dei livelli di sicurezza previsti per il domino di competenzache è costituito
dalla“Community Network dell’Umbria”
■ definisce le policy dellasicurezza centrale del dominio di competenzaprevia consultazionedellaAmministrazione Regionale
e degli Enti Territoriali per le politiche di interesse generale
■ svolge il ruolo di assistenza/supporto di primo livello per tutte le componentidi servizio dellaCommunity Network
■ svolge il ruolo di assistenza/supporto di secondo livello per quanto attiene allasicurezza localesui “sistemi di confine” posti
fra il dominio di competenzadella ComNet-Umbriaed il dominio del singolo Ente Territoriale
■ assicura il coordinamento delleUnità Localidi Sicurezza degli Enti Territoriali (ULS-T)che devono essere costituite presso gli
Enti che sottoscrivono i servizi della“ComNet-Umbria” evogliono attivare più di una portadi rete
■ supportai Referenti per la Sicurezza degli Enti Territoriali che non hanno costituito la ULS-T,svolgendo funzioni sussidiarie
di sicurezza, limitatamente ai “sistemi di confine” ed esclusivamenteal fine di garantire i livelli di sicurezza previsti e le
relative politichedi sicurezza del dominio di competenzadella“ComNet-Umbria”
■ è parte dellestrutture di gestione dellasicurezza coordinateda quello cheera il CERT-SPC oggi CERT-PA
28. ICT Security – Adesione al CERT-PA
Regione Umbria, attraverso Umbria Digitale, partecipa ai tavoli
nazionali dove si discute di cybersecurity per la PA.
La volontà tecnica è quella di far evolvere la ULS-R verso un
CERT-R a livello regionale o, comunque, rivolto a tutti i
fruitori dei servizi erogati a livello di DCRU e ReRU.
29. DCRU come «Polo Strategico Nazionale» (PSN)
Il Piano Triennale AgID
IL DCRU della Regione Umbria
La società in house Umbria Digitale
La Community network / La Community cloud
Gli investimenti pregressi e in corso