19 מאי 2014 | הראל יפהר
מדריך להקמת דאטה סנטר בענן ב-5 דקות

כך תקימו דאטה-סנטר בענן עם גמישות רבה בכמה צעדים פשוטים

היתרונות המרכזיים של מחשוב ענן מוכרים כיום לכולם: מודל גמיש המאפשר למשתמשים להקים, להפעיל ולנהל שרתים וירטואליים במספר לחיצות עכבר. לקלות הזאת מתלווה יתרונות של מודל תשלום לפי שימוש החוסך את הצורך בהשקעה ראשונית ומאפשר הרחבה לפי הצורך, אבטחת מידע חזקה והפעלת שירותים בפריסה בינלאומית במספר דקות.

 

במקביל לכך, יתרון  נוסף של הענן זוכה לעיתים להתייחסות פחותה: הטכנולוגיה כממשק חלק ושקוף עם תשתיות מערכות המידע הקיימות בארגון.

 

פתרון מסוג זה מסייע באפשרויות שונות, כמו יצירת אתר גיבוי, הרחבת תשתיות, הטמעה של סביבות פיתוח ובדיקה (גם עבור בסיסי נתונים גדולים - ביג דאטה) ועד הקמת הדאטה סנטר כולו בענן.

 

הקמת ענן וירטואלי פרטי (VPC) מאפשרת ליהנות מהיתרונות השונים של הטכנולוגיה, כאלו שאינם זמינים במרכזי מידע מסורתיים.

 

אז איך מתחילים? איך מקימים ענן למערכות המידע של הארגון? למעשה אפשר לעשות זאת ב-5 צעדים שייקחו פחות מחמש דקות.

 

 

צעד ראשון: הגדרת מיקום הנתונים

 

השאלה הראשונה אותה יש לשאול כאשר מתחילים להשתמש בענן היא: "היכן בעולם אני הולך לבנות את התשתית החדשה שלי?". שירותי הענן של אמזון (AWS) ניתנים כיום באמצעות דאטה סנטרס הזמינים ב-10 אזורים בעולם.

 

ה"אזור האירופאי" (הממוקם באירלנד), שהוא בעל זמן עיכוב (Latency) נמוך של הרשת, יפשט את הדגמת הדברים.

 

ל"אזור האירי" ישנם שלושה "אזורי זמינות". כל אזור כולל מרכז נתונים אחד או יותר, המקושרים ביחד על ידי רשתות בעלות זמן עיכוב נמוך וביצועים גבוהים. מרכזי הנתונים מבודדים פיזית כדי למנוע פגיעה במקרה של אירוע אסון רחב היקף באחד מהאזורים.

 

השימוש המשותף במספר אזורי זמינות עבור השימושים של הארגון, מאפשר לכל ארגון  לתכנן ולבנות בקלות ובפשטות ארכיטקטורה הכוללת תוכנית התאוששות מאסון (DRP).

 

בקישור הבא ניתן לצפות במספר דוגמאות לארכיטקטורות זמינות. כדי להקל, מומלץ לפתוח חשבון AWS וללהזין את נתוני כרטיס האשראי של הארגון, או ליצור קשר עם AWS כדי לקבל חיוב אלקטרוני.

 

צעד שני: בניית התשתית שלך ב-5 דקות בלבד, החל מ-עכ-שיו!

 

1. (25 שניות): היכנס ללוח השליטה של AWS, בחר "אזור אירלנד" ושירות VPC

 

2. (15 שניות):  צור ענן פרטי וירטואלי (Amazon VPC) עם כתובת ה-IP הבאה 10.42.0.0/16

 

3. (30 שניות) צור שתי רשתות משנה 10.42.1.0/24 ו- 10.42.2.0/24 בשני "אזורי זמינות" שונים.

 

4. (50 שניות): הגדר חיבור redundant VPN IP-SEC עבור ה-VPN Concentrator של התשתית הקיימת

 

5. (25 שניות): הגדר את טבלאות הניתוב עבור ה-VPN

 

6. (40 שניות): הגדר את חוקי הפיירוול עבור צד המשתמש ברשת (Port 80 and 443)

 

7. (70 שניות): הוסף שתי רשתות משנה ציבוריות 10.42.11.0/24 ו-10.42.12.0/24, ובצע הגדרה של חוקי הניתוב עבור האינטרנט

 

8. (10 שניות): הגדר 2 כתובות IPv4 ציבוריות (EIP-Elastic IP)

 

9. (15 שניות): הורד את ההגדרות המוכנות לשימוש VPN IP-SEC עבור המאפיינים של הספקים העיקריים של השוק (סיסקו/ ג'וניפר)

 

סה"כ : 4 דקות ו- 40 שניות

 

 

הענן של אמזון מספק לך רשת IP פרטית העונה לצרכים הספציפיים של החברה שלך. עם כתובות IP פרטיות, נגישות לאינטרנט, אינן ניתנות לניתוב, ומאפשרות התאמה עבור המשתמש, הענן הפרטי מציע ממשקיות חלקה עם הרשת הארגונית הקיימת. הוא מחולק למספר רשתות משנה אשר יכולות להיות ציבוריות (זמינות לאינטרנט) או פרטיות. הזמינות של שרתים מקוונים תגבר עם EIP זמני או קבוע, שהם כתובות IPv4.

 

שלב 3: התקנה מתקדמת

 

צעדי ההתקנה למעלה, מספקים את המידע להתחלה מהירה בענן עם קישוריות IPsec מאובטחת באינטרנט. כאשר קיים שימוש גדול יותר בענן, מספר לקוחות, כגון שניידר אלקטריק, מעדיפים ליהנות מהפעלת קישוריות מבוססת סיב אופטי ישירה בין הענן והתשתיות שלהם. AWS מציעה במצב כזה, חיבור ישיר בקישוריות סיב אופטי  ייעודית של 1 או 10 ג'יגה לשנייה.

 

ניתן לייבא בקלות שרתים קיימים אל הענן באמצעות פונקציות ייבוא/ייצוא של VM, בתאימות ל-Windows Server, Red Hat RHEL, CentOS, Ubuntu  ו-Debian. את השרתים האלו ניתן מאוחר יותר לייצא מחדש לכל תשתית.

 

שלב 4: הבטחת אבטחת מידע

 

אבטחה חייבת להיות בעדיפות הראשונה עבור ספק הענן שלך. לכן, זו ההשקעה המשמעותית הראשונה במעלה ב-AWS (גם מבחינת המשאב האנושי וגם הטכנולוגי). המערכת מסתמכת על מודל  אחריות משותפת: AWS מבטיחה את ההגנה על השכבות הנמוכות (חומרה, רשתות ווירטואליזציה) בעוד אתה מנהל את האבטחה עבור האפליקציות שלך, מערכות ההפעלה ומידע מנוהל (כגון הרשאות ניהול VM).

 

כל הנדרש הוא להפעיל את אותם חוקי אבטחה עבור האפליקציות ועבור התשתית המקומית. אתה יכול להשתמש בפתרונות ה-AWS Access וניהול זהויות (IAM) של אמזון, שיאפשרו לך ליצור ולנהל משתמשים וקבוצות, וכן לנהל גישה למשאבי AWS.

 

תשתית AWS מבוקרת בכל האזורים ומחזיקה באישורים רבים, כולל ISO 27001, SCO-1/2/3, PCIDSS Level 1 (אחסון נתוני אשראי) ועוד. כל מאות אלפי לקוחות AWSביותר מ- 190 מדינות נהנים מרמת אבטחת מידע מירבית זהה. המשמעות היא שמרכז הנתונים הוירטואלי הראשון של הארגון שלך, יזכה לאותה רמת אבטחת מידע שמיושמת עבור בנקים ושוקי מניות (כגון נאסד"ק) המשתמשים בשירותי הענן של אמזון.

 

מנהלי טכנולוגיה בארגונים גדולים מביעים עניין גובר במודל האבטחה בענן. ראשית, הענן הוא מאיץ אבטחה חשוב: עם AWS, הפעלת תשתיות מאושרות עם תקן PCI DSS או SOC-2 מתבצעות תוך דקות. יתרה מכך, הענן הופך את התשתית לשקופה יותר מאשר תשתית פיסית. ה-API מפשט את ניהול המצאי בזמן אמת של VM, את הגדרת הרשתות והפיירוול. חלק מהלקוחות אפילו יצרו רשימת מצאי אוטומטית של הענן, המתעדכנת בכל 5 דקות, כדי לעקוב אחר כל שינוי המבוצע בהגדרות הראשוניות. 

 

 

לבסוף, שירות ה-CloudTrain Service של אמזון, מספק לצוותי אבטחה רשימה מפורטת של שינויים שבוצעו בתשתית הענן (audit trail). כך, טכנולוגיות ענן מאפשרות לצוותי אבטחת מידע להגביר את השליטה על התשתית. 

 

חשוב לציין כי ענן פרטי וירטואלי מכיל אפשרות ייעודית הנקראת "dedicated instances". תהליכים המופעלים על חומרה ייעודית ללקוח יחיד, מספקים לו בידוד נוסף. אפשרות זו מאפשרת לך להפעיל אפליקציות על שרתים פיסיים פרטיים.

 

יתרה מכך, ניתן להגן על אפליקציות רגישות או נתונים באמצעות מדיניות הצפנה וניהול של מפתחות קריפטוגרפיים, כך שניתן לשלוט בגישה למידע שלך. הגירה של האפליקציות שלך לענן היא הזדמנות טובה לבחון את מדיניות ההצפנה.

 

ההצפנה של נתונים ומכונות וירטואליות מבוצעת בקלות באמצעות שירות CloudHSM בענן של אמזון, המאפשר לעמוד בדרישות רגולציה ותקנות לאבטחת מידע, באמצעות שימוש במודול אבטחת חומרה (HSM).

 

שותפים של AWS, כגון Safenet ו-TrendMicro מציעים פתרונות חלופיים, התואמים לענן של אמזון ומספקים ללקוחות הצפנה אוטומטית של תהליכים וירטואליים ומידע, לצד האפשרות לאחסון של מפתחות הצפנה חיצוניים. בצורה זו ניתן לאחסן את כל מפתחות ההצפנה במרכז הנתונים המקומי.

 

שלב 5: הערכת עלויות

 

אז כמה זה עולה? AWS מציעה את ההגדרה של ענן פרטי וירטואלי, רשתות משנה, טבלאות ניתוב וחוקי פיירוול בחינם. העלות של קישוריות VPN IPSEC היא כ- 125 שקל לחודש (נכון למארס 2014). בנוסף, יתבצע חיוב לפי שימוש עבור יתר התשתית (אחסון, שרתים וירטואליים), ללא עלויות נוספות עבור שימוש בענן הפרטי הווירטואלי.

 

ניתן ליצור את מרכז הנתונים החדש בענן בפחות מ-5 דקות, וליהנות מהיתרונות הרבים של הטכנולוגיה, כולל כלים להתאוששות מאסון (DRP), מודל תשלום הנהוג עבור שירותים, חוויית IP חלקה עם ממשק לתשתית הקיימת דרך האינטרנט או בקישוריות ייעודית, שליטה מלאה על אבטחת מידע, תעודות ותקנים ברמה גבוהה ופתרונות הצפנה מתקדמים. הארגון שלך יכול ליהנות מהמודל הגמיש הזה, בכל מגזר עסקי או פרויקט.

תגובות
הוסף תגובה

* אין לשלוח תגובות הכוללות מידע המפר את תנאי השימוש של StartIsrael לרבות דברי הסתה, דיבה וסגנון החורג מהטעם הטוב.