L’evento è utile ai Partner per ricevere anticipazioni sulle imminenti strategie di VMware; direi che le anticipazioni sono arrivate. Come ho anche scritto nel mio resoconto su IT rumors, VMware ha chiaramente intenzione di accelerare sui temi del cloud computing e a breve presenterà una soluzione specifica per i servizi Hybrid Cloud.

Ora che la virtualizzazione è entrata a far parte di moltissime infrastrutture IT, diventa facile pensare di sfruttare questa tecnologia per estendere il proprio Virtual Datacenter appoggiandosi su servizi esterni. L’imminente futuro ci darà la possibilità di migrare una VM dal nostro vSphere Cluster verso un altro vSphere Cluster remoto, come illustra questo breve video di VMware: http://www.youtube.com/watch?v=a7krdSsuA4g (pochi minuti di saggezza non presenti sugli undici di YouTube).

Se prima l’IT manager preferiva fare investimenti interni sul Private Cloud invece che gestire dei canoni con i servizi Public Cloud, ora vi è la possibilità di far cooperare questi due paradigmi a favore della scalabilità e della ridondanza. Prospettive sicuramente interessanti.

VMware (Italia) ha organizzato un buon evento, con contenuti interessanti e ben esposti dagli oratori che si sono susseguiti, quanto meno per quanto riguarda la parte di conferenze tecniche che ho seguito. Come dicevo, per i dettagli vi rimando al posto su IT rumors.

L’idea che abbiamo concretizzato con questo blog è inerente alla volontà degli autori di divulgare opinioni e punti di vista professionali e scevri da coinvolgimenti commerciali e/o markettari. Il post “tipo” è quindi la review tecnica dove ci divertiremo a raccontare pregi e difetti dei software e delle soluzioni che abbiamo avuto modo di sperimentare ed utilizzare grazie al nostro lavoro.

Il sito è online dall’8 maggio e verrà popolato, con cadenza regolare, di nuovi articoli. E’ stato inoltre creato un gruppo di discussione su Linkedin per dare la possibilità ai lettori di contribuire con commenti, suggerimenti o nuovi spunti.

Ovviamente, essendo a me il progetto molto caro, non mancherò di segnalare eventuali update o articoli.

Il primo, forse banale, passo è conoscere il committente ed i membri che hanno ruoli decisionali in modo da poterli interpellare durante le diverse fasi di analisi. E’ opportuno programmare un meeting di inizio progetto a cui invitare tutti gli interessati e comprendere i diversi ruoli all’interno dell’azienda committente.

A questo primo incontro è bene invitare il management tecnico, i C-level ed una rappresentanza degli utilizzatori finali dell’infrastruttura che si sta progettando. Questi saranno coloro che verranno contattati per discutere i dettagli di progettazione durante le successive fasi di analisi.

Il meeting è indubbiamente un’occasione in cui discutere, più ad ampio spettro, degli obbiettivi di progetto, è quindi necessario preparare una serie di domande da sottoporre ai presenti al fine di iniziare a registrare le informazioni di base. La seconda fase di analisi è infatti l’analisi dello stato attuale ove si dovranno raccogliere tutti i dati relativi all’infrastruttura attualmente esistente.

L’analisi dell’infrastruttura esistente è fondamentale per comprendere come dimensionare il nuovo ambiente vSphere, è infatti possibile utilizzare appositi tools per registrare i dati operativi dei server attivi come i picchi di carico ed il workload medio del sistema. E’ inoltre necessario aver contezza delle applicazioni che risiedono su ogni singolo sistema in quanto esistono software che hanno requisiti ben precisi.

Il risultato di questa analisi è un quadro completo dell’infrastruttura ICT del committente (inventory) che ci stiamo accingendo a revisionare profondamente e dei relativi workload in termini di media di carico e picco di carico. I dati raccolti permetteranno, in fase di progettazione, di dimensionare il Virtual Datacenter nel modo corretto, di scegliere il giusto livello di funzionalità da attivare sul cluster vSphere e di comprendere quali sistemi sono candidabili per la virtualizzazione e quali no.

Il terzo step di progettazione è interamente dedicato al training del committente: è opportuno aiutare il nostro interlocutore a conoscere il prodotto al fine di fargli saggiare le potenzialità in corso di analisi e dar così la possibilità di rivedere alcune scelte prima che l’infrastruttura sia implementata.

Si arriva finalmente alla sessione di analisi vera e propria, il momento in cui il VMware Guru riflette e decide come strutturare il nuovo Virtual Datacenter. Le decisioni da prendere dipendono ovviamente dai dati sino ad ora raccolti, ma non è tutto. E’ necessario interpellare nuovamente i key users del committente affinché si possano definire i reali obbiettivi dell’azienda, sia economici che funzionali, i requisiti che dovrà presentare la nuova infrastruttura ed i vincoli per realizzarla. Inoltre, sulla base di quanto definito, è necessario dichiarare i rischi delle scelte maturate (es: se un vincolo di budget porta ad un s.p.o.f. è necessario declinare al cliente la possibilità di un disservizio generale o parziale a seconda del problema).

La mole di dati, di solito, è importante e tutto va infine rapportato alle best practice di VMware. La prima best practice da attuare è che non tutte le best practice sono necessarie, è sicuramente importante fare tutto al meglio e quindi cercare di rispettarle il più possibile, ma dovendo fare i conti con obbiettivi e vincoli datici dal committente sarà necessario fare dei compromessi e può capitare che una best practice sia inapplicabile perché andrebbe contro gli obbiettivi di progetto. E’ necessario bilanciare i benefici delle best practice e le esigenze del committente per arrivare ad una situazione di equilibrio e soddisfazione reciproca.

L’ultimo step di progettazione si concretizza nella realizzazione di uno o più documenti a seconda del tipo di progetto. E’ ovviamente necessario esporre, tra le varie informazioni, il costo del progetto e la durata dello stesso. Esistono differenti tipologie di documenti da rilasciare a termine analisi, i principali sono i seguenti:

• Capacity-analysis report: un report relativo al TCO ed al ROI di progetto
• Design blueprint: un documento tecnico che racchiude il conceptual, logical e phisical design e relative informazioni di implementazione
• Design verification: un documento che illustra come provare le funzionalità della nuove infrastruttura e sottolinea in che modo si sono raggiunti gli obbiettivi e rispettati i vincoli.

Prossimo tema: Logical Design from an Existing Conceptual Design.

La cosa simpatica è che agisce su diversi livelli di servizio differenziati non solo dalla quantità di spazio (che è un po’ la discriminante di questi servizi) ma anche dai servizi correlati allo spazio storage. E se andiamo a guardare la pagine delle funzionalità per il pacchetto server scopriamo cose davvero interessanti: supporto per Exchange e SQL Server, possibilità di installare un agente per il backup dei dati, encryption dei dati salvati…

Il tutto è salvato e protetto in Datacenter che rispettano norme di sicurezza estremamente rigide a tutela dei dati sensibili di utenti, aziende e grandi compagnie.

Una grave pecca di quello che sembra essere un bel servizio è la mancanza di supporto per Unix/Linux ad indicare, probabilmente, una predilezione per il mercato consumer o per la parte client. In effetti un servizio di questo tipo è sicuramente adatto ad infrastrutture informatiche “dipartimentali” ove il sistema informativo è per lo più composto dal parco client e dai server che ospitano i servizi di rete, spesso basati su Active Directory ed Exchange. In questi contesti il servizio offerto da Mozy sembra essere ideale.

Del resto da EMC mi aspetto cose fatte bene ;-)

Tra le tante novità quella che più farà gola agli amministratori di infrastrutture VMware è il supporto per la vCenter su Microsoft Windows 2012 e, come è giusta conseguenza, per per l’utilizzo di Microsoft SQL Server 2012 come Database server della vCenter.

Sulle release notes sono riportati i diversi update e risoluzioni di problemi, uno di quelli che mi aveva fatto dubitare della mia memoria è quello relativo alla possibilità di rinominare i files delle VMs tramite storage vMotion, funzionalità che con il passaggio alla 5.1 si era misteriosamente persa ed persino il supporto tecnico di VMware, in una prima chiamata di assistenza tecnica, non era giunto ad una conclusione.

Una cosa che salta all’occhio nella pagina delle release notes è la quantità di bug noti, soprattutto nella fase di upgrade. Da fare con un po’ di cautela.

VMware vSphere 5 (and 5.1) Clustering technical deepdive: an exellent book written by Duncan Epping and Frank Denneman about vSphere HA, DRS and Storage DRS. I read this book (version 5) last year and I think it’s an great and complete resource for our job.

VMware vSphere Design: written by Forbes Guthrie and Scott Lowe. I bought this book yesterday :-) and it will arrive next week. In many post was refered this book like study resource.

Administering VMware Site Recovery Manager 5.0: a very complete guide to implement and manage a SRM infrastructure with different storage vendors. Very usefull in the real world ;-) The author is Mike Laverick.

Spesso chi parla di sicurezza dei dati si riferisce al solo tema dell’accessibilità, ovvero che i dati non siano messi a disposizione di chi non è titolato alla consultazione. Ma sicurezza è qualcosa di più: i dati devono anche essere protetti e in modi/gradi diversi a seconda della sensibilità, inoltre devono anche essere disponibili in breve tempo in caso di danneggiamento o perdita, devono essere accessibili da più luoghi in modo sicuro e tracciabile. E’ evidente che il concetto di sicurezza tocca più aspetti della gestione del dato.

In questo primo post parliamo della questione più ovvia: l’accessibilità. Come rendere un dato accessibile in modo sicuro? Stiamo parlando di un’accessibilità data da un servizio cloud quindi il dato è, per definizione, non locato presso la sede dell’utente che vi vuole accedere. Ovviamente vi sono molteplici modi per mettere a disposizione un dato in modo sicuro attraverso internet (o comunque remotamente) e di seguito ne analizziamo alcuni cercando di andare in ordine di sicurezza (ovviamente secondo la mia opinione tecnica personale).

Web access: la consultazione tramite applicazione web è senza dubbio la più comoda. Esistono molti sistemi e servizi con ottimi metodi di autenticazione per lo più basata matching di username e password, si pensi ai blasonati “Alfresco” e “Sharepoint” (quest’ultimo fa un po’ di più che la mera gestione documentale). Ma la sicurezza spesso si riduce a questo, alle credenziali di accesso, probabilmente sufficienti nella maggioranza dei casi, ma se qualcuno è intenzionato a rubare un dato non si farà intimorire da una richiesta di credenziali. E’ il livello minimo della sicurezza e come tale va considerato, e conoscendo la pigrizia mentale media degli utenti non oso immaginare che razza di password sceglieranno…

VPN: le Virtual Private Networks sono un’ottimo compromesso. Canali privati e criptati, ottimi per far transitare sessioni sensibili e aggiungono uno strato di sicurezza in più per accedere ai dati esposti, inoltre il controllo di questa tecnologia è affidato all’amministratore di sistema o comunque ad un tecnici, una persona che dovrebbe avere a cuore il tema della sicurezza e fare scelte oculate. La tecnologia VPN porta con se delle scomodità intrinseche, soprattutto in contesti multi-sede dove i dati sono messi a disposizione su differenti tunnel (uno per ogni direttrice di comunicazione). Approcciare il tema dell’interconnessione di più sedi aziendali tra loro e con il cloud “comune” può rivelarsi assai oneroso, soprattutto se siamo in un contesto di “private cloud” dove una delle sedi ha anche l’onere di erogare i servizi cloud aziendali. In definitiva possiamo dire che le VPN “classiche” sono sicure ma onerose in termini di gestione/complessità e poco flessibili.

MPLS VPN: un metodo di interconnessione multi sede forse poco noto ma in realtà molto utilizzato in contesti di medie e grandi dimensioni. Il protocollo MPLS permette di costruire delle reti private geograficamente distribuite le cui interconnessioni sono attive utilizzando dei circuiti logici dedicati e sicuri. Di fatto è come “non passare per internet” ma si utilizza l’infrastruttura del provider che eroga la connettività per raggiungere le altre sedi dell’azienda, tra cui la sede ove sono locati i servizi cloud.
In questo caso si ha qualche certezza in più. E’ una rete privata disponibile solo alle sedi a cui viene portata una connettività MPLS, non c’è un transito via internet cosa che rende quasi impossibile l’intercettazione delle sessioni, è una tecnologia estremamente comoda in quanto permette all’azienda di demandare la “complessità” tecnica di realizzare una rete privata geografica. In linea di principio i dati non sono esposti alla rete internet nonostante il concetto di cloud permanga.

Punto-punto: alla fine della via ci sono le reti punto punto dedicate. Sicuramente le meno usate in quanto sono le più costose (quanti possono usufruire di un link radio dedicato o di una dorsale fibra metropolitana di proprietà dell’azienda?). La sicurezza è data, di fatto, dalla non accessibilità del dato: solo le sedi servite dalla rete punto-punto che trasporta i servizi cloud hanno accesso a quei dati e l’azienda ha anche il pieno controllo di quelle rete, a differenza di MPLS dove chi controlla è il provider.

Il tema delle modalità di accesso ai servizi cloud, siano essi dei repository di dati o della applicazioni, è alla base del concetto di riservatezza del dato. Chi eroga servizi cloud deve tenere in considerazione il tema e valutare bene la propria infrastruttura ed i servizi di connettività. Nello stesso modo chi usufruisce di servizi cloud deve farsi doverosi scrupoli sul trattamento dei dati che ha deciso di portare all’esterno dell’azienda e deve trovare il giusto compromesso tra accessibilità e sicurezza.

Sono riuscito a scrivere cloud solo dodici volte, compresa questa
Nel prossimo appuntamento parleremo di storage.

Original post: http://hanc.altervista.org/2012/12/il-cloud-e-la-sicurezza-dei-dati-prima-parte/

Di cosa si tratta? Il titolo vExpert viene assegnato da VMware ogni anno a coloro che hanno dimostrato un particolare impegno nel campo della divulgazione e applicazione delle tecnologie di virtualizzazione proposte da VMware stessa. Si tratta quindi di una onorificenza al merito.

Vi sono tre diversi percorsi per ottenere il titolo che di seguito cito:

Evangelist Path
The Evangelist Path includes book authors, bloggers, tool builders, public speakers, VMTN contributors, and other IT professionals who share their knowledge and passion with others with the leverage of a personal public platform to reach many people. Employees of VMware can also apply via the Evangelist path. A VMware employee reference is recommended if your activities weren’t all in public or were in a language other than English.

Customer Path
The Customer Path is for leaders from VMware customer organizations. They have been internal champions in their organizations, or worked with VMware to build success stories, act as customer references, given public interviews, spoken at conferences, or were VMUG leaders. A VMware employee reference is recommended if your activities weren’t all in public.

VPN (VMware Partner Network) Path
The VPN Path is for employees of our partner companies who lead with passion and by example, who are committed to continuous learning through accreditations and certifications and to making their technical knowledge and expertise available to many. This can take shape of event participation, video, IP generation, as well as public speaking engagements. A VMware employee reference is required for VPN Path candidates.

Il percorso degli “evangelisti” è quello per lo più intrapreso da personalità tecniche che si adoperano per divulgare e promuove la virtualizzazione secondo VMware. E’ sicuramente il path più gettonato dai candidati in quanto non richiede legami clientelari o di partnership con VMware.

Da domani potrebbero cominciare a sbucare le prime nomine… stay tuned ;-)

In parole semplici è un network aperto ove i professionisti dell’IT vicini alle tecnologie cloud posso confrontarsi a colpi di task atti a dimostrare la propria pertinenza con il mondo del cloud computing. Il completamento di un task permettere di conseguire dei punti sui quali si basa una classifica di credibilità: quindi, stando al regolamento, più punti si hanno più sono è credibili. L’idea è evidentemente atta a far chiarezza ed aiutare utenti ed imprese ad individuare professionisti ed aziende che hanno provata esperienza nel settore.

Oggi usiamo la parola “cloud” come cinque anni fa usavamo l’espressione “web 2.0″ ed obbiettivamente c’è un po’ di baraonda: molte opinioni, monti “esperti”, molti servizi proposti da diverse aziende. Nasce quindi spontanea l’esigenza di comprendere a chi affidarsi. Mi metto nei panni dell’IT Manager che, forse avendo approcciato poco il tema, deve scegliere a quale provider affidarsi o quale consulente nominare per migrarei servizi interni su infrastrutture cloud. altri hanno l’esigenza di capire che servizi fanno più al caso loro e hanno bisogno di essere orientati da qualcuno in grado di interpretare un’esigenza.

Ci sono molte nozioni, molti acronimi, molte somiglianza che solo chi ha a che fare con questo mondo comprende appieno: la differenza tra IaaS e il vecchio VPS, cosa sia il SaaS o il DaaS, cosa intendiamo per Public Cloud piuttosto che Private o Hybrid… (ho volutamente scritto dei post di spiegazione) e anche se tutto ciò fosse chiaro, resta il problema del trovare un provider o un partner a chi affidarsi e che ci aiuti a migrare i servizi “nel cloud”.

Ovviamente non mi riferisco ai Big del settore… Amazon piuttosto di ArubaCloud sono due provider sicuramente di rilievo, ma non direi che “aiutano” a migrare, bensì si limitano ad offrire un servizio… e dobbiamo prendere atto che non tutte le aziende che hanno un reparto IT hanno anche il tempo o la possibilità di formarsi puntualmente per diventare autonome anche in questo campo. La questione resta aperta: “a chi affidarsi?”

Lavoro nel campo dell’ICT dal 2001 e, come molti della mia generazione, negli anni ’90 facevo i primi esperimenti con internet quando ancora internet nessuno aveva capito cosa fosse. Oggi come allora, se sono a caccia di un “esperto” in un certo settore, mi affido alla rete ed alla credibilità che essa è in grado di conferire ad un individuo che si è preso la briga di esporsi. Nel mio (sempre più crescente) piccolo vengo spesso contattato direttamente da persone chi mi chiedono consigli o sporadiche consulenze nonostante io mi presenti su queste pagine senza specificare per chi lavoro o che ruolo ho… e così accade, ne sono certo, per altri professionisti che, come il sottoscritto, curano uno o più blog, seguono dei progetti di sviluppo software, partecipano ad una community. Oltre al sottoscritto potremmo citare sicuramente Andrea Mauro, Giuseppe Giglielmetti, Luca Dell’Oca, Fabio Rapposelli e altri.

Cosa ci da questa credibilità? Evidentemente la rete. Abbiamo fatto qualcosa di pubblicamente accessibile e che porta altri a fidarsi della nostra esperienza. CloudCred opera in modo affine dando modo ai partecipanti di dimostrare la propria esperienza.

Per chiunque voglia saperne di più il sottoscritto è a disposizione come lo è la community di VMware.

PS: faccio parte del team VMUG.IT ;-)

• http://hanc.altervista.org/2012/12/il-cloud-e-la-sicurezza-dei-dati-prima-parte/
  
• http://hanc.altervista.org/2012/12/il-cloud-e-la-sicurezza-dei-dati-seconda-parte/

I dati sono al sicuro nel Cloud?

Questa domanda deve, a mio avviso, essere posta assieme ad un’altra domanda fondamentale: i dati sono al sicuro a “casa mia” o “tra le mura della mia azienda”?

Sicuramente spostare i dati da una risorsa locale ad una risorsa remota in qualche misura rende il dato più accessibile, se non altro perché il Cloud Provider dovrà darci un accesso remoto ai dati, cosa che non deve necessariamente avvenire all’interno delle mura dell’azienda ma che in realtà avviene costantemente.

Come? Ormai qualsiasi azienda ha una copertura wireless per l’accesso alla propria LAN, copertura che va ben oltre i confini fisici dell’immobile… e per quanto ci si sforzi di rendere questa rete sicura essa sarà sempre un punto di accesso particolarmente semplice da sfruttare (mi riprometto di fare un post anche sulle vulnerabilità intrinseche delle reti locali wireless). Il risultato è che un accesso abusivo alla wireless LAN (WLAN) potrebbe mettere a repentaglio i dati dell’azienda.

Ma anche nel privato il rischio è estremamente elevato… molti di noi hanno Hard Disk di rete o piccole Media Station interconnesse alla wireless domestica. Accedere a questi dispositivi non è difficile per chi sa condurre un attacco ad una rete wireless. E la privacy ce la possiamo scordare.

Sicuramente un Cloud Provider, anche non eccelso, non avrà un accesso wireless che espone i dati del proprio Datacenter, cosa che a livello di “area uffici” è praticamente una costante, banche e aree militati comprese.

Dal punto di vista dell’accessibilità del dato possiamo dunque dire che tenerlo lontano da una rete wireless non è una cattiva idea. Questo requisito è ovviamente fattibile anche all’interno della propria infrastruttura di rete ma richiedere un minimo di conoscenze ed investimenti, altro tema su cui i servizi offerti dal Cloud Provider ci aiutano trasformando l’investimento in un canone di servizio, spesso decisamente più semplice da affrontare da chi si occupa delle finanze dell’azienda.

E per quanto riguarda la protezione dei dati sensibili da occhi indiscreti? Su questo tema sposto quanto emerge dalla discussione che citavo ad inizio post su CSA: i dati vanno in qualche misura “criptati” o “tokenizzati”, ovvero resi sicuri dalla necessità di dover effettuare una operazione di decodifica per accedervi, operazione possibile sono a chi è in grado di eseguire l’encryption o a chi possiede il token. A tal proposito sono disponibili diversi servizi e software.

Il tema è ampio e spesso si perde di vista il contesto generale. La questione non è se il cloud è sicuro o no, la questione è se i dati sono trattati in modo sicuro o no, a prescindere da chi li ha in gestione. Nella mia esperienza professionale di solito constato che i Cloud Provider hanno infrastrutture e conoscenze idonee alla protezione dei dati, non posso dire lo stesso delle aziende che ne usufruiscono dove anche il più skillato degli Amministratori di Sistema deve scontrarsi con problematiche di budget e facility che lo vincolano ad adottare tecnologie non sempre sicure.