- Reportec
Transcript
- Reportec
5 Direction Reportec - Volume II n.5 febbraio-marzo 2004 bimestrale • Spedizione in A.P. - 45% - art. 2 comma 20/B legge 662/96 - Milano DOSSIER DI SOLUZIONI SERVIZI E TECNOLOGIE ICT Security • Nessuno si muova, arriva la Computer Forensic • Identity management e mobilità • Prevenire le intrusioni osservando le applicazioni NetworkiNg • Cresce l’esigenza ingegneristica nelle reti di nuova generazione • L’azienda si estende nell’aria • Due infrastrutture a braccetto per una rete wireless comune Server e Storage • Lo storage NAS per le PMI • Il clustering si fa in quattro per il disaster recovery • Un “accesso diretto” alla virtualizzazione dei server • Lo storage su disco in equilibrio tra prestazioni e capacità • Le nuove basi dell’IT commuNicatioN • Un mercato 3G in cerca di direzioni • Alla ricerca di un “posto caldo” • IP-PABX: le funzionalità degli apparati di nuova generazione Indice 2 컄 La business continuity verso piattaforme standard . . . . . . . .3 왘 IL REPORT: IT Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4 왘 Avaya rende sicura l’IP Telephony . . . . . . . . . . . . . . . . . . . . . . .6 왘 Nessuno si muova, arriva la Computer Forensic . . . . . . . . . .8 왘 Enterasys Networks rende le reti intrinsecamente sicure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10 왘 Identity management e mobilità . . . . . . . . . . . . . . . . . . . . . . .12 왘 Servizi e tecnologia la ricetta di Internet Security Systems . . . . . . . . . . . . . . . . . . . . . . . . . . .14 왘 Prevenire le intrusioni osservando le applicazioni . . . . . . . .16 왘 Cresce l’esigenza ingegneristica nelle reti di nuova generazione . . . . . . . . . . . . . . . . . . . . . . . .18 왘 I router 3Com si presentano con una base comune . . . . . . .20 왘 Allied Telesyn punta su ricerca e sviluppo . . . . . . . . . . . . . . .22 왘 D-Link riduce i costi senza penalizzare le prestazioni . . . .24 왘 L’azienda si estende nell’aria . . . . . . . . . . . . . . . . . . . . . . . . . .26 왘 Le soluzioni HP ProCurve verso la sicurezza 802.1X . . . . . .28 왘 Italtel nell’arena della sicurezza gestita . . . . . . . . . . . . . . . . . .30 왘 Due infrastrutture a braccetto per una rete wireless comune . . . . . . . . . . . . . . . . . . . . . . . . . .32 왘 Tecnologie Nortel e ingegneria Gfi Ois per le reti enterprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .34 왘 Si uniscono le reti di Avaya ed Extreme Il software di gestione Hp va alle aziende “agili” . . . . . . . . .36 컄 L’arena pericolosa del 64 bit . . . . . . . . . . . . . . . . . . . . . . . . . . .37 왘 Lo storage NAS per le PMI . . . . . . . . . . . . . . . . . . . . . . . . . . . .38 왘 Dell annuncia una nuova famiglia CX per lo storage . . . . . .40 왘 Il clustering si fa in quattro per il disaster recovery . . . . . . .42 왘 Fujitsu Siemens Computers virtualizza lo storage su tape . . . . . . . . . . . . . . . . . . . . . . . . . .44 왘 Un “accesso diretto” alla virtualizzazione dei server . . . . . .46 왘 HP lancia nuove soluzioni NAS per le piccole e medie imprese . . . . . . . . . . . . . . . . . . . . . . . . .48 왘 Lo storage su disco in equilibrio tra prestazioni e capacità .50 왘 HP prosegue sulla strada della convergenza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52 왘 IBM si rafforza nei blade e nei server a 4 vie . . . . . . . . . . . . .54 왘 Le nuove basi dell’IT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56 왘 Microsoft certifica l’iSCSI di Adaptec Il FICON Brocade certificato per mainframe Ibm . . . . . . . . .57 왘 Un mercato 3G in cerca di direzioni . . . . . . . . . . . . . . . . . . . .58 왘 Alla ricerca di un “posto caldo” . . . . . . . . . . . . . . . . . . . . . . .60 왘 IP-PABX: le funzionalità degli apparati di nuova generazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .62 왘 Roadshow Alcatel sull’IP Telephony Cisco compra Latitude per la media conferencing . . . . . . . .64 컄 Il fascino del passato nei terminali del futuro . . . . . . . . . . . .65 Direction Reportec - Volume II numero 5; bimestrale febbraio-marzo 2004; Editore: Reportec srl, via Gian Galeazzo 2 20136 Milano; Amministratore Unico Gabriella Gabet; Direttore Responsabile: Gaetano Di Blasio; Redazione: via A. Lazzati, 6 - 20154 Milano; [email protected]; fax 0234532428; Stampa: GRIFFE srl, via Frapolli 21 - 20133 Milano (sede legale); via G.B. Brocchi 11 - 20131 Milano (sede operativa); Iscrizione al tribunale di Milano n° 212 del 31 marzo 2003; Tiratura 10.000 copie; Tutti i diritti sono riservati; Tutti i marchi sono registrati e di proprietà delle relative società. La business continuity verso piattaforme standard T ermini come consolidamento,convergenza, openess, eccetera sono oramai entrati nel lessico comune di un responsabile ICT. Quello che certe volte manca per la loro traduzione in pratica è la reale disponibilità di infrastrutture. O meglio, le infrastrutture che rispecchiano questi assunti ci sono ma sono spesso realizzate “in house” e affermate come tali da società che sviluppano la piattaforma stessa e che quindi lasciano lo spazio a legittimi dubbi da parte dell’utilizzatore sulla reale e completa apertura, anche quando si tratta di produttori di livello internazionale. Per superare questa criticità, che frena l’adozione di nuove piattaforme IT (in base all’assunto che chi non è convinto o non conosce non decide), non stupisce che tra i produttori si stiano realizzando delle collaborazioni intersettoriali, volte allo sviluppo e al test di soluzioni ICT di nuova generazione. Un esempio è rappresentato da Dell, EMC, Esat BT e Nortel Networks, che stanno sviluppando congiuntamente una infrastruttura per il “business continuity proof-of-concept testing”, che ha l’obiettivo di permettere alle società loro clienti di verificare il livello di performance effettivo delle proprie reti e, solo dopo, procedere alla scelta della soluzione IT adatta per le applicazioni aziendali maggiormente critiche. Quello che appare interessante è che l’obiettivo non è solo quello di realizzare strumenti che valutino interazione tra applicazioni, capacità della rete di sostenere il traffico, livello di occupazione delle risorse, eccetera, che strumenti come ad esempio l’Open View di HP fanno già sia per la parte di communication che per l’IT. Infatti, la struttura in via di realizzazione sarà in grado, nell’intento delle società citate, di simulare situazioni di disaster recovery per verificare le effettive capacità di back-up e di ripristino dei dati stessi. Ad esempio, il centro operativo potrà essere utilizzato per verificare nel concreto come i dati di un sistema possano essere sottoposti a back-up e trasferiti su un sistema gemello in pochi minuti dal momento di un eventuale disastro. L’attività congiunta di società che hanno un ruolo di primo piano nel settore del networking e dell’IT è indicativa di come ci sia resi oramai conto che problemi connessi al disaster recovery debbano avere un approccio globale e che investire al fine di garantire la sopravvivenza della rete se poi i server non funzionano è un inutile spreco di risorse. Altrettanto significativo dell’evoluzione che le aziende, soprattutto IT, stanno avendo nell’approccio alle piattaforme, è il fatto che le soluzioni adottate nell’infrastruttura siano basate su componenti standard. Al limite, quello che può lasciare perplessi gli utilizzatori è come mai solo adesso approdi nell’IT un approccio basato su standard che nel mondo del networking è la norma da decenni. A livello applicativo i server, le soluzioni SAN e la rete di connessione ottica hanno l’obiettivo di supportare una varietà di applicazioni tra cui Microsoft Exchange, Microsoft SQL Server e Oracle 9iDatabase. L’insieme dei nomi e dei relativi settori di competenza è quindi significativo e non fanno che confermare come le informazioni e l’avere accesso ai dati in qualsiasi circostanza siano sempre più ritenute fondamentali così come sempre più fondamentali risultano essere le soluzione di disaster recovery ed i relativi piani di business continuity. Non a caso però solo ora si parla di soluzioni di disaster recovery su larga scala geografica. In meno di tre anni, la larghezza di banda, che è tradizionalmente la spesa più elevata in questi sistemi, è scesa in molti paesi europei di oltre l’80%. Quello che sino a poco fa non era quindi utilizzabile a causa degli alti costi divenv ta quindi possibile. Giuseppe Saccardi dida da scrivere 3 IL REPORT: IT Security Sul CD allegato il report dedicato alle soluzioni e ai servizi per la sicurezza aziendale, completo di un’analisi delle proposte dei vendor S i rinnova l’appuntamento con i report tecnologici in formato elettronico. In allegato a questo numero di febbraiomarzo 2004 di Direction Reportec, si trova, infatti, la nuova edizione del report dedicato alla sicurezza informatica e delle reti. A solo un anno di distanza dalla prima pubblicazione sono molti i cambiamenti relativi a questo settore, verso cui si registra un interesse crescente. Nonostante il contesto economico abbia rallentato se non bloccato gli investimenti in ICT delle imprese nel mondo e in Italia, proprio nell’ambito della security si è registrata una netta crescita. L’aspetto più importante, peraltro, non riguarda i numeri del mercato, sui quali si esprimono le varie società di ricerca, quanto il complesso di elementi che riguardano la sicurezza a partire dalla cultura della stessa in azienda. Ormai è chiaro che i sistemi più diffusi, quali firewall e antivirus non sono più sufficienti a garantire una protezione adeguata alle infrastrutture aziendali. Lo hanno dimostrato, in particolare, due attacchi che sono occorsi proprio lo scorso anno: SQL Slammer e Blaster. Il primo a febbraio e il secondo in agosto hanno avuto un impatto devastante su reti e sistemi sparsi per il mondo. Quantunque l’approccio alla sicurezza debba essere positivo e rivolto a enfatizzare il ruolo abilitante che la sicurezza può svolgere per il business, la paura che le minacce generano hanno indubitabilmente dei meriti in termini di sensibilizzazione alle problematiche della materia. D’altro canto, è possibile trovare sempre più riscontri circa la crescita dell’utilizzo di Internet: non ultimo, i dati ISTAT, che dimostrano l’aumento, in Italia, del numero di pc e di fami- 4 Security glie collegate alla rete delle reti rispetto l’anno scorso. L’incremento, poi, è percentualmente più elevato se si guarda alla larga banda. Da questo punto di vista, inoltre, si aprono interessanti prospettive relativamente al lancio di nuovi servizi a valore aggiunto e, in generale, a una crescita del tasso di utilizzo o del valore attribuito a esso da parte dell’utente finale. Internet e sicurezza sono un binomio talmente stretto che un incremento nella prima determina un aumento della seconda, come pure una maggior protezione favorisce l’utilizzo della rete delle reti e dei suoi servizi. D’altro canto, anche se molte delle minacce arrivano da Internet perché gli “attacker” sfruttano questo mezzo per diffondere i loro attacchi, esistono anche molti altri contesti aziendali nei quali la sicurezza è fondamentale a prescindere dalle connessioni a Internet. Uno degli ambiti che pure è cresciuto molto nell’ultimo anno è quello dello storage. La crescita esponenziale delle informazioni, soprattutto di quelle in formato digitale, è inarrestabile e ha portato a un aumento notevole dei sistemi di memorizzazione installati in azienda. Accanto a problematiche di gestione degli stessi, si pongono importanti questioni circa la loro disponibilità, che, in altre parole, implica quella delle informazioni stesse. Disaster recovery e backup sono diventati parte integrante dei sistemi di sicurezza, anche perché sottintendono comunque gli elementi chiave di questi ultimi, cioè la salvaguardia di confidenzialità, integrità, autenticità delle informazioni. Del resto, l’informazione o, meglio la conoscenza rappresenta il bene aziendale più prezioso, addirittura è questa conoscenza, che l’impresa è in grado di tradurre in business, il valore dell’impresa stessa. Il trattamento delle informazioni è, nell’era moderna, quasi totalmente affidato alle tecnologie informatiche, che, pertanto devono essere sicure e garantire la protezione di queste informazioni. Questo è un imperativo per l’affermazione dell’eBusiness, laddove con questo termine si intende l’impresa che affida le proprie attività e tutti gli strumenti mission critical alle infrastrutture informatiche. Addirittura, oggi si parla dell’era dell’informazione, per mettere in risalto l’importanza crescente del patrimonio della conoscenza come reale valore di un’impresa. Un concetto sul quale si può facilmente essere tutti d’accordo, anche perché non è una novità. Lo spionaggio industriale non è stato inventato con l’avvento dei computer, eppure cos’è se non furto di informazioni e know how? Sono cambiati però gli strumenti, mentre il paradigma dell’e-business, che vuole un’impresa affidare all’IT tutte le attività e tutti i processi di business, esalta il ruolo del sistema informativo, facendone il deposito di quelle informazioni e di quel know how che, in precedenza, si poteva raggiungere solo violando archivi e casseforti. Il concetto di eBusiness, per certi versi, è superato, in quanto non si tratta più di una scelta ma di un vero e proprio adeguamento agli standard di mercato e della competizione. In altre parole, non è più concepile, per un impresa, operare senza utilizzare massicciamente l’ICT per le attività cosiddette core business. Peraltro, è già una realtà, soprattutto negli Stati Uniti, l’evoluzione dell’eBusiness, cioè l’extended enterprise, o azienda estesa. Si tratta semplicemente dell’esaltazione della catena del valore in cui opera ciascuna impresa. Tutte le aziende, infatti, sono inserite in un contesto in cui operano anche i loro fornitori, clienti e partner. Da sempre, i collegamenti all’interno di tale ambito hanno favorito lo sviluppo degli affari, con la soddisfazione di tutti. Le nuove architetture hardware e software e le infrastrutture di business communication hanno permesso una sempre più rapida integrazione tra questi attori del mercato. Oggi i concetti di intranet ed extranet si sono affermati in tutti i settori industriali e non, ma l’estensione dell’azienda si attua anche con l’integrazione applicativa, attraverso lo sfruttamento di nuove tecnologie middleware e software, tramite interfacce di tipo portale, il massiccio utilizzo di Internet e del Web e, non ultima, la possibilità di accedere a tutto questo attraverso interfacce mobili. Il collante di questo complesso di elementi è la sicurezza, che permette di garantire la business continuity e la vericidità delle transazioni di commercio elettronico, delle relazioni tra partner, dell’integrità delle informazioni e così via. In una espressione: della fiducia nell’ICT da parte dell’utilizzatore. Queste le problematiche che il responsabile dei sistemi informativi, spesso entrato di diritto nel board direzionale della società, si trova a dover affrontare. La scelta non è semplice, soprattutto perché la complessità dei sistemi ha dimostrato l’importanza di un approccio integrato, che contempla varie soluzioni e tecnologie. Convegni, seminari e studi (questi ultimi soventemente realizzati in ambito internazionale) non sempre costituiscono un reale strumento decisionale, in grado di tenere conto singole specificità locali, come la disponibilità di soluzioni, di fornitori e personale di supporto sul territorio, nonché la legislazione corrente. Queti elementi costituiscono le parti fondamentali del Report che si rivolge ai responsabili dei sistemi informativi e ai responsabili della sicurezza ICT in azienda, fornendo loro uno strumento di supporto alle decisioni in materia di sicurezza. G.D.B. Security 5 Avaya rende sicura l’IP Telephony Media Server, Media Gateway e IP phone hanno un’architettura che contrasta le minacce al sistema telefonico L e intercettazioni telefoniche sono da sempre un classico dei film di spionaggio. L’evoluzione tecnologica che ha portato allo sviluppo dell’IP Telephony non rende le conversazioni immuni da questo rischio. Anzi, proprio l’utilizzo di una rete convergente e basata su standard apre il mondo della voce a nuove minacce. Avaya ritiene che i vantaggi di una rete convergente giustifichino l’incremento dei rischi. Anche perché, tradizionalmente impegnata nella telefonia, la società è certa di aver concepito una soluzione di IP Telephony dotata di strumenti di sicurezza integrati, che proteggono le telecomunicazioni aziendali da tali minacce. Attualmente, secondo la visione della multinazionale di origine statunitense, la maggior parte delle imprese è in una fase di transizione, nel bel mezzo di una migrazione dalle reti tradizionali a quelle convergenti, con alcuni pionieri che si stanno già spingendo verso le comunicazioni convergenti, al cui centro si trovano le funzionalità e i servizi che devono essere messi a disposizione delle capacità e potenzialità dell’utilizzatore finale. Secondo Avaya, dunque, telefonia IP e sicurezza devono essere strutturate e garantite per le reti convergenti attuali ed essere pronte per le converged communication. • Le peculiarità delle reti convergenti L’approccio della società parte dal presupposto che a convergere devono essere anche le soluzioni di sicurezza. Per le reti tradizionali, sia dati sia voce, sono stati sviluppati sistemi di sicurezza che devono, quindi, essere uniti in 6 Security un’architettura unica e completa, la cui responsabilità, peraltro, deve essere delegata alle figure competenti per ciascuna area, in modo da garantire una suddivisione dei compiti e, soprattutto, una definizione delle policy coerente con gli obiettivi aziendali/dipartimentali. Da un punto di vista architetturale, inoltre, le reti convergenti permettono di configurare soluzioni, come failover automatico su risorse remote e funzioni di quality of service per assegnare priorità al traffico voce, in modo da definire piani di business continuity e disaster recovery. Avaya, oltre a fornire dispositivi di networking dotati di tali capacità, mette a disposizione degli utilizzatori una serie di best practice, per una corretta ed efficiente implementazione di tali soluzioni. • Un sistema per la sicurezza Un’infrastruttura di trasporto IP, secondo la visione Avaya, deve quindi essere ampia e robusta e protetta da un sistema completo di sicurezza, al cui interno non possono mancare: firewall, VPN compatibili IPSec, intrusion detection system e tool per la verifica della consistenza dei file. Questi sono necessari specificatamente per proteggere le componenti aggiuntive per l’IP Telephony, rispetto un’infrastruttura dati, che per Avaya sono i Media Server, i Media Gateway e i terminali telefonici. Il firewall, a detta dei responsabili dell’azienda, deve consentire, oltre alla definizione di una DMZ, anche quella di una zona segmentata per i dispositivi di accesso remoto, che opportunamente non vanno mantenuti all’interno della rete, e comunque idealmente deve separare gli elementi critici della telefonia dalla LAN. Inoltre, la protezione fornita dalle reti VPN, nelle comunicazioni tra sedi aziendali o provenienti da pc di utenti mobili o remoti, sempre secondo i dettami della società, non è sufficiente se non complementata dalla crittografia, in quanto la trasmissione può sempre essere intercettata, a meno di non fidarsi ciecamente del proprio carrier. Avaya, in particolare in termini di standard protettivi, dichiara elevate prestazioni per i propri gateway VPN, forniti di encryption 3DES e AES. Più precisamente, il costruttore garantisce la gestione di un massimo di 300mila sessioni firewall contemporanee, con throughtput di firewalling pari a 600 Mbps, supporto AES fino a 500 Mbps, capacità massima di 8000 utenti remoti e supporto di fino a 1000 tunnel site to site. A questo si aggiunge supporto PPPoE DSL e proxy H.323, gestione delle code basata su classi, funzioni relay e server DHCP. A detta dei responsabili di Avaya, inoltre, la loro soluzione VPN si avvale delle caratteristiche di semplicità d’installazione e utilizzo sia del client IPSec, giunto alla release 4.0 disponibile anche per palmari, sia del software di gestione. Infine, un sistema di intrusion detection è utile per la protezione interna alla rete, in particolare con riferimento al rischio di frodi telefoniche, mentre il controllo della consistenza è necessario per verificare l’autenticità della comunicazione. • L’architettura Avaya per l’IP Telephony sicura I pacchetti VOIP sono ovviamente pacchetti IP e, come tali, soggetti al rischio di sniffing, che permette di intercettare e registrare una comunicazione. A questo proposito, Avaya ha implementato la funzionalità Media Encryption sui propri dispositivi di IP Telephony, compresi i terminali. Perciò, senza dover impiegare gateway aggiuntivi, le comunicazioni tra due IP Phone, tra due media gateway o tra un IP phone e un media gateway sono automaticamente criptate e protette dalle intercettazioni. Questa codifica, inoltre, si aggiunge a quella delle VPN. Un altro rischio riguarda la possibilità che il server che gestisce le chiamate e la telefonia sia oggetto di un attacco, per esempio di Denial of Service (Nimda a suo tempo ne bloccò alcuni). In generale, una buona pratica di sicurezza prevede l’hardening del sistema operativo e il continuo aggiornamento delle patch, in modo che non possano essere sfruttate eventuali vulnerabilità. Per questo Avaya ha progettato i propri Media Server in modo che siano isolati, cioè non connessi alla LAN sullo stesso segmento degli utilizzatori finali né collegati a reti esterne (PSTN o Internet). Secondo l’architettura Avaya, infatti, i media server vengono collegati da un lato a un media gateway (sarà poi questo a connettersi alla PSTN) e dall’altro alla rete aziendale attraverso un firewall. In questo modo, a detta dei responsabili della società, è virtualmente impossibile raggiungere il server con codice maligno e il rischio è basso anche se non è stata installata l’ultima patch. L’accesso al dispositivo è possibile solo dalla console di amministrazione (anch’essa tipicamente posta prima del firewall) attraverso una connessione IPSec VPN con challenge response password. Inoltre, tutti i media server sono basati su una versione “hardened” di Linux. Infine, Avaya ha integrato sui propri Media Server S8300, S8500 e S8700 la tecnologia di file consistency check di Tripwire, proteggendo contro il rischio di sostituzione dei file. A queste soluzioni, si aggiungono l’affidabilità dell’infrastruttura dichiarata dal costruttore pari al 99,999% e varie caratteristiche di ridondanza e fault tolerance. G.D.B. Un Media Gateway e due IP Phone di Avaya Security 7 Nessuno si muova, arriva la Computer Forensic L’utilizzo di nuove metodologie di indagine consente di raccogliere prove di attività illegali condotte attraverso i sistemi informatici L’ evoluzione tecnologica e dei sistemi di comunicazione ci ha abituati a confrontarci continuamente con nuove parole, linguaggi e professioni. Uno dei termini che più recentemente si è affacciato sul panorama IT è Computer Forensic, che definisce la disciplina dedicata all’identificazione e conservazione delle informazioni presenti su sistemi di elaborazione e computer, allo scopo di mettere in evidenza prove associate a indagini di tipo giudiziario. Questo processo di acquisizione e di analisi metodica dei dati digitali richiede una serie di strumenti opportuni in grado di estrarre i dati, autenticarli e preservarli, poiché queste informazioni sono destinate a diventare elementi probatori. Sebbene si tenda a parlarne come di un nuovo settore all’interno dell’IT Security, in realtà la Computer Forensic non rappresenta nulla di nuovo. Tuttavia, l’uso sempre più pervasivo di sistemi informatici per svolgere attività ascrivibili a reati e la continua crescita di questo tipo di crimini, ha portato alla ribalta questa disciplina, mettendo in evidenza l’esigenza di organizzare una serie di strumenti e tecniche in grado di sostenere denunce in sede legale. Inoltre rappresenta una professione che potrebbe interessare un numero non trascurabile di addetti, anche in considerazione della carenza di figure qualificate di questo tipo presso enti quali le forze dell'ordine, con una crescente richiesta di consulenti esterni. Gli scenari in cui la Computer Forensic può assumere un ruolo importante sono svariati. Comprendono il caso in cui un impiegato non aderisca alle policy aziendali sull’uso di Internet o la riservatezza delle informazioni, l’indi- 8 Security viduazione di infiltrazioni nella rete da parte di un hacker, l’uso di un computer aziendale per attività illegali, la perdita di dati business critical presenti su una workstation andata in crash o anche l’investigazione da parte di società assicurative su possibili frodi. Anche chi comprende il valore di un’analisi di questo tipo, spesso non ha la consapevolezza delle azioni da compiere, in casi quali quelli descritti, per proteggere l’integrità del processo di indagine. Una delle operazioni essenziali al fine di evitare che l'indagine sia vanificata da cavilli legali riguarda una corretta preservazione dei dati e delle prove acquisite poiché alcuni degli elementi di prova quali, per esempio, i file di log o i dati presenti in RAM possono essere facilmente persi con azioni poco accorte. In particolare, la prima raccomandazione è di non riavviare mai il sistema incriminato perché, ogni volta che viene effettuato il boot della macchina, questa scrive diverse centinaia di file e potrebbe sovrascrivere proprio i dati cruciali per l’investigazione. La situazione più tipica, invece, è ancora quella in cui l’esperto viene chiamato quando si è già provato di tutto interferendo, pertanto, in modo pesante sul sistema e rischiando di minare l'indagine in partenza. • Gli ambiti di azione Sono tre i principali ambiti in cui viene adottata un’indagine basata sull’utilizzo di tecniche di Computer Forensic: il recupero di prove in formato digitale, il recovery di dati e l’individuazione di intrusioni nella rete. Nel primo caso è possibile effettuare un’indagine per verificare l’ottemperanza alle policy aziendali nell’utilizzo di pc e sistemi. Analisi di questo tipo possono essere condotte facilmente al di fuori delle ore di ufficio, in modo da non disturbare la normale attività lavorativa ed evitare di rendere nota l’indagine in corso. È possibile, per esempio, effettuare copie “bit a bit” dei dati, creando repliche perfette del sistema sospetto. Altri casi possibili possono coinvolgere compagnie assicurative impegnate a individuare frodi ai loro danni oppure la raccolta di prove in investigazioni criminali, in cui l’analisi dei dati presenti sui computer può spesso rappresentare un sistema particolarmente efficiente per ricollegare, nella giusta successione temporale, il verificarsi di una serie di eventi od operazioni. Queste tecniche vengono usate anche per recuperare dati persi. Sebbene siano ampiamente disponibili semplici tool in grado di compiere queste operazioni, va ricordato che, nel caso in cui questi software vengano installati successivamente alla perdita dei dati, questa azione è potenzialmente in grado di sovrascrivere proprio le informazioni che si sta cercando di recuperare, ed è quindi necessaria una particolare accortezza. Come già detto, in questi casi va rispettata la regola principale della Computer Forensic che è di non utilizzare il sistema oggetto dell’indagine. Gli stessi strumenti utilizzati per recuperare i dati possono essere adottati anche per assicurarsi che le informazioni presenti siano state definitivamente distrutte, al di là di ogni possibile recupero. Ciò diventa particolarmente importante in relazione al mantenimento di dati personali che rientrano negli obblighi di mantenimento della privacy oppure di informazioni coperte da segreto industriale. Infine, nei casi in cui si verifica un’intrusione all’interno della rete aziendale, le tecniche di Computer Forensic permettono di raccogliere una serie di informazioni “post mortem” in grado di contribuire a una corretta analisi dell’accaduto, di individuare la sorgente dell’attacco o gli elementi che hanno concorso al suo verificarsi e di fornire informazioni utili a prevenire nuove minacce alla sicurezza. • Le competenze e i tool dell’esperto Questa tipo di attività richiede profonde conoscenze informatiche, esperienza e, inoltre, un’attenzione quasi maniacale nella raccolta e gestione delle prove. L’esperto in Computer Forensic deve disporre di un’approfondita conoscenza dei sistemi operativi, dei principali file system (FAT, FAT32, NTFS, VFAT, Veritas, Reiserfs e così via) e delle proprietà che caratterizzano i principali formati file. A ciò si vanno aggiunte competenze nell’ambito del networking e dei vari protocolli di comunicazione e applicativi (FTP, HTTP, SMTP). I tool specifici di un esperto in Computer Forensic sono strumenti di monitoraggio e di analisi, necessariamente analoghi a quelli utilizzati dagli hacker. Comprendono editor esadecimali, debugger Asm, tool di ricerca, sniffer, sistemi per l’analisi delle intrusioni, tool per l'analisi dei file system, file viewer, gestori di archivi compressi e tool per la copia bit a bit del file system sia per Unix sia per Windows. È, infatti, sempre preferibile operare su copie off-line dei dati anziché sui file originali. Per quanto riguarda la dotazione hardware, una caratteristica fondamentale del sistema da utilizzare per lo svolgimento di un’indagine è la massima capacità di collegamento con i diversi tipi di media esterni (porte di collegamento, supporti rimovibili, connessioni di rete). Inoltre è utile la presenza di ampia memoria e spazio disco oltre che di un sistema di backup di ampia capacità. R.F. Security 9 Enterasys Networks rende le reti intrinsecamente sicure La società statunitense estende le soluzioni Secure Networks, uno dei pilastri della strategia Business Driven Networks S olo se la rete è al centro della strategia di sicurezza, è possibile fare in modo che ogni punto d’accesso alle risorse della stessa possa essere protetto. È con questo approccio che Enterasys Networks ha sviluppato il concetto e le tecnologie di Secure Networks. Una “rete sicura” che, come viene definita dalla società statunitense, significa: una soluzione olistica che integra la sicurezza in tutta Networks della società statunitense. Anche la sicurezza, dunque, deve essere messa al servizio delle esigenze di business. Anzi, nella visione di Enterasys, oltre a esserci ancora bisogno di soluzioni tradizionali, come firewall e intrusion detection system, per esempio per la protezione perimetrale, è altresì necessario fornire tutti i nodi cruciali della rete di capacità di identificazione, automazione e risposta. Solo in questo modo, infatti, tutte le componenti di Secure Networks insieme possono creare un’infrastruttura che, oltre a proteggere, abilita l’azienda a sviluppare nuove attività e a far crescere le operazioni mission critical. Secondo i responsabili della società, inoltre, in questo modo tali componenti condividono l’interfaccia di gestione e le policy di sicurezza, aumentando, da un lato, il livello di protezione e riducendo, dall’altro, i costi operativi di installazione e monitoraggio. • Gli ingredienti per le reti sicure l’infrastruttura aziendale, garantendo protezione dalla periferia al core. La soluzione Secure Networks rappresenta, sempre secondo le definizioni Enterasys e insieme all’Open Convergence (cioè una rete multiservice aperta ad applicazioni e servizi di terze parti) e all’On Demand Networking (caratterizzato da una rete flessibile e personalizzabile, in grado di fornire alta disponibilità e semplicità di management), uno dei tre pilastri su cui si fonda la strategia Business Driven 10 Security Tutti i dispositivi di rete introdotti recentemente da Enterasys e quelli futuri integrano le soluzioni di sicurezza e sono progettati e costruiti sull’architettura Secure Networks. Questa si basa sui seguenti “ingredienti”: un’infrastruttura resistente e dotata di Quality of Service; capacità di identificazione di utenti, applicazioni ed eventi; automatismi di controllo e di risposta a eventi e minacce. L’affidabilità della rete e dei servizi che essa deve erogare agli utilizzatori riduce l’esposizione agli attacchi di Denial of Service, anche grazie al controllo degli accessi che impone l’autenticazione in tutti i punti dell’infrastrut- tura. A servizi e applicazioni mission critical, inoltre, viene poi assegnato un livello di priorità adeguato, in modo da massimizzare la disponibilità. Avvalendosi dell’intelligenza dell’architettura User Personalized Networking (UPN) di Enterasys, Secure Networks si basa sulla gestione dell’identità, consentendo l’applicazione dinamica di politiche di rete e di sicurezza per ogni utente della rete, indipendentemente dalla sua ubicazione. L’identity management consente di allineare utenti e servizi richiesti in funzione del ruolo aziendale. In questo modo è possibile rendere più efficiente l’utilizzo delle risorse e sfruttare il modello di autenticazione della rete. A detta dei responsabili Enterasys, dunque, è possibile garantire agli utenti il servizio richiesto imponendo contemporaneamente loro di rispettare le policy aziendali. Tramite queste ultime ai servizi vengono assegnate priorità, mentre degli stessi non sarà più possibile abusare. Un esempio d’integrazione dell’architettura UPN con le soluzioni di sicurezza è rappresentato dalla soluzione di SSO (Single Sign On), che consente a un utente di autenticarsi con username e password una sola volta per utilizzare tutte le risorse cui ha diritto di accesso. Quando necessario, sarà il server SSO a occuparsi di garantire a queste ultime l’identità dell’utente, semplificando parallelamente l’accesso per l’utilizzatore e l’identity management all’amministratore. Enterasys ha applicato questa soluzione a diverse forme di autenticazione, comprese smart card, token o sistemi biometrici. Per esempio, la soluzione UPN SSO può essere utilizzata per accedere contemporaneamente alle risorse di rete e al sistema SAP, per il quale ha ottenuto la certificazione Integration and Certification Center (ICC) da parte della società tedesca. Queste caratteristiche, inoltre, sono garantite anche dall’automazione di alcune funzioni di controllo. L’amministrazione centralizzata è anche vantaggiosa in quanto implica un singolo punto di configurazione di policy, sicurezza e inventario. I tool di management messi a disposizione da Enterasys comprendono anche capacità di QoS, limitazione della banda, gestione delle minacce e servizi di localizzazione e inventario. Servizi che vengono erogati a prescindere da quale sia il punto da cui un utente accede alla rete. La capacità di risposta e di adattamento ai cambiamenti del business è l’ultimo elemento chiave di Secure Networks. Questo è reso possibile non solo dall’amministrazione centralizzata già ricordata, ma anche dalla flessibilità con cui possono essere introdotte nuove applicazioni e servizi e dalla velocità di risposta agli eventi e alle minacce. • Una sicurezza pervasiva La società statunitense ha già rilasciato svariati componenti della soluzione Secure Networks, tra cui, recentemente, gli switch Matrix E1, la nuova serie di security router XSR-3000/4000, Access Point e schede radio RoamAbout R2 wireless LAN (802.11a,b,g) e i nuovi switch Matrix N7 e Matrix N3. Nei prossimi mesi, saranno annunciati nuovi potenziamenti ai prodotti di gestione di rete Dragon IDS e NetSight Atlas di Enterasys, che andranno a completare la gamma Secure Networks. Questi ultimi, comunque, sono già in grado di supportare la soluzione Secure Networks e recentemente hanno già dimostrato, a detta dei responsabili Enterasys, la propria potenza, quando hanno protetto gli utilizzatori dai worm Blaster e Welchia. In particolare, i sistemi IDS Dragon hanno segnalato gli exploit di tali attacchi agli amministratori, che hanno potuto utilizzare NetSight Atlas Policy Manager, un sistema dell’architettura UPN, per implementare policy dettagliate al fine di prevenire la diffusione dei worm e di altre minacce all’interno delle loro organizzazioni. I tecnici di Enterasys stanno lavorando attivamente con i clienti, nell’ambito dei Global Technical Assistance Center, per fornire informazioni accurate e tempestive sulle ultime minacce, al fine di favorire le strategie di prevenzione e contenimento. G.D.B. Security 11 Identity management e mobilità L’architettura per la gestione dell’identità, abilita sui dispositivi mobili un sistema di autenticazione che facilita l’accesso a servizi evoluti L’ autenticazione e l’autorizzazione costituiscono due presupposti fondamentali alla base dell’erogazione di ogni servizio digitale. Parlando di servizi mobili appare ancora più essenziale la loro importanza e, dunque, la necessità di definire e gestire in modo opportuno e sicuro l’identità associata a ogni utente. Per mettere a punto un sistema unificato di gestione dell’identità, nel Settembre 2001 una serie di vendor ha dato via al progetto Liberty Alliance, il cui obiettivo è sviluppare standard aperti per servizi basati sull’identità e per servizi di network identity management organizzati con un modello federato. Questa alleanza raggruppa attualmente oltre 150 membri e si propone di promuovere l’interoperabilità e l’adozione delle specifiche da essa messe a punto. In un sistema di gestione dell’identità di tipo federato l’utente dispone di un account presso un identity provider che provvede a fornire il servizio di autenticazione a uno o più service provider. In altre parole, se il fornitore di servizio e quello dell’identità hanno un accor- do, l’utente può collegare il suo account presso il service provider con quello dell’identity provider. In questo modo, una volta che l’utente è stato autenticato dall’identity provider, è in grado di accedere ai tutti i servizi forniti dai service provider federati, restando all’interno del medesimo dominio di autenticazione. Con questo sistema, a ogni sessione di autenticazione, l’unico dato che viene trasmesso è il codice identificativo dell’utente, che viene scambiato tra Identity e service provider, mentre non vengono trasmessi dati personali dell’utente. Nell’ambito dei servizi mobili il ruolo di identity provider può ricadere in modo naturale sugli operatori mobili, sui grandi portali o su istituzioni finanziarie o governative. In particolare gli operatori mobili hanno la possibilità di autenticare gli utenti in modo trasparente attraverso l’uso del loro numero telefonico. • Prospettive e soluzioni in ambito mobile La diffusione della tecnologia wireless, la disponibilità di nuovi dispositivi trasportabili e miniaturizzati, caratterizzati da schermi a colori e prestazioni elevate, lascia prevedere un prossimo sviluppo di servizi basati sul “mobile browsing” e, di conseguenza, di sistemi di profilazione dell’utente agevoli e sicuri. Un sistema di identity management può essere 1) L’utente richiede il servizio attraverso un client abilitato Liberty 2) Il sistema Proxy inoltra la richiesta al Service Provider 3) Il Service Provider richiede all’utente di autenticarsi 4) Il sistema Proxy reindirizza la richiesta di autenticazione all’Identity Provider 5) L’Identity Provider fornisce le informazioni di autenticazione in base a username e password o al numero di telefono 6) Il sistema Proxy reindirizza l’informazione di autenticazione verso il Service Provider 7) Il Service Provider fornisce il servizio personalizzato richiesto 8) Il sistema Proxy inoltra il servizio all’utente 12 Security utilizzato su dispositivi mobili utilizzando un tradizionale client “browser based”. In questo caso il service provider che eroga il servizio non riesce però ad avere la visibilità del fornitore di identità utilizzato dal client e deve richiedere il suo inserimento in modo manuale oppure la sua scelta all’interno di una lista. Nel caso, per esempio, in 1) L’utente richiede un servizio che prevede un suo attributo specifico (per cui l’accesso ai servizi esempio l’informazione sulla sua localizzazione) da un client abilitato avvenga all’interno Liberty dell’intranet aziendale 2) Il sistema Proxy inoltra la richiesta al Service Provider 3) Il Service Provider richiede al Discovery Service l’indirizzo dello e sia l’azienda stessa specifico attributo dell’utente (localizzazione) l’identity provider, 4) Il Discovery Service risponde con l’indirizzo del Web Service Provider questa soluzione rap- 5) Il Service Provider richiede l’attributo al Web Service Provider 6) Il Web Service Provider fornisce l’attributo in funzione delle preferenze presenta una scelta dell’utente efficiente. 7) Il Service Provider fornisce il servizio personalizzato richiesto 8) Il sistema Proxy inoltra il servizio all’utente Se si considera la possibilità di erogazione di servizi verso un mercato consumer que, parzialmente nel dispositivo e parzialallargato, è possibile utilizzare altre soluzioni. mente nella rete e quindi questi due profili Per esempio, nel caso in cui venga utilizzata devono essere sincronizzati. È solo nel netun’architettura compatibile con le specifiche work, infatti, che possono essere inclusi dati messe a punto dalla Liberty Alliance, l’utente relativi alla presenza o alla localizzazione. può utilizzare un Liberty Enabled Client. In Nei due schemi riportati vengono presentati queste condizioni il sistema riconosce che la due esempi architetturali relativi all’implemenrichiesta di accesso al servizio proviene da un tazione di un sistema di identity management client abilitato e il service provider è in grado basato sulle specifiche Liberty, all’interno di un di richiedere l’identità direttamente al client dominio mobile. che, a sua volta, reindirizza la richiesta all’op- Nel primo caso viene considerato un operaportuno identity provider. tore che svolga il compito di identity provider Il software client compatibile può essere e abbia implementato un HTTP Proxy abilitaimplementato direttamente all’interno del dis- to Liberty e un service provider che supporti positivo mobile oppure all’interno di un ele- le specifiche Liberty nei suoi servizi. L’utente mento della rete quale un HTTP Proxy o un che accede all’URL apre una sessione con il gateway WAP. Chiaramente quest’ultima gateway che richiede il servizio. Il service promodalità permette di implementare il servizio vider riconosce che il gateway è abilitato di identity management in modo più agevole e Liberty e richiede l’autenticazione all’identity veloce, ma in tal caso non è possibile utilizza- provider che può autenticare l’utente per re le connessioni sicure TLS (TLS è la più mezzo del suo numero di telefono. recente versione di SSL) o mantenere lo stes- Il secondo esempio illustra il modo con cui so profilo nei servizi di prossimità a cui si un’architettura di identity management articoaccede, per esempio, attraverso una connes- lata attorno a quattro elementi fondamentali sione bluetooth. È anche possibile che l’uso di (un fornitore di servizio, di identità, di Web un browser tradizionale non sia in grado di service e un servizio di discovery) possa essetrattare URL che diventano troppo lunghi a re implementata per realizzare un framework causa dei molteplici reindirizzamenti. per i Web service in grado di riconoscere le Il profilo dell’utente deve risiedere, comun- informazioni legate all’identità. R.F. Security 13 Servizi e tecnologia la ricetta di Internet Security Systems Sfruttando i suoi punti di forza, la società indirizza i bisogni delle imprese, la cui percezione della sicurezza è in aumento I Stefano Volpi, country manager di Internet Security Systems in Italia 14 Security l mercato è sempre più recettivo, anche perché ormai le aziende percepiscono la sicurezza come un processo fondamentale e sono consapevoli della necessità di un progetto complessivo che la indirizzi. Ad affermarlo è Stefano Volpi, country manager di ISS in Italia, forte dei risultati ottenuti da Internet Security Systems nell’anno appena chiuso, sia a livello locale sia mondiale. “Ci sono molti segnali di vitalità – ha dichiarato il dirigente -, che indicano un risveglio, in particolare a livello europeo, dove in paesi come Germania e Inghilterra sono ripresi gli investimenti. In Italia, abbiamo raggiunto un fatturato di 6 milioni di euro, con un incremento del 25% circa rispetto l’anno precedente, mentre a livello globale abbiamo preannunciato i risultati dell’ultimo trimestre, allineati con le più rosee previsioni di 66 milioni di dollari”. Ambiziosi gli obiettivi per il prossimo anno: “Quest’anno puntiamo a raddoppiare il fatturato sui servizi, soprattutto quelli gestiti (pari a 400mila euro l’anno scorso – ndr), e ad aumentare le vendite di prodotti del 30%”, ha rivelato Volpi, che ha annunciato il lancio del servizio di gestione remota delle appliance Proventia. Del resto, il manager si è sempre dichiarato ottimista, riscontrando una continua crescita dell’utilizzo di Internet e ben sapendo che questo deve essere abbinato all’adozione di soluzioni di sicurezza. “Le minacce sono reali e il nostro team di esperti X-Force ha rilevato come stia aumentando la capacità e la rapidità degli attacker di sfruttare le vulnerabilità dei sistemi”, ha spiegato Volpi, che ha aggiunto: “Soprattutto sono reali i danni causati dall’impatto degli ultimi attacchi di natura ibrida. Per esempio, secondo un’indagine del Computer Security Institute sono andati in fumo oltre 70 milioni di dollari per il furto di informazioni proprietarie e oltre 65 milioni per Denial of Service, solo per citare due tipologie di eventi, su un campione di oltre 250 aziende”. • Architetture per tutte le esigenze Ovviamente il danno e, quindi, il rischio, dipendono dai valori in gioco. Non a caso, infatti, come ha affermato lo stesso responsabile di ISS, le grandi banche e i carrier di telecomunicazione per prime hanno costruito un sistema di sicurezza articolato, selezionando le tecnologie e le soluzioni migliori in ogni segmento del mercato, seguendo un approccio di tipo best of breed. “Del resto, hanno i mezzi, la struttura e i consulenti per permettersi un’architettura del genere – ha dichiarato Volpi -. Ma anche le medie e grandi imprese del mondo dell’industria stanno implementando sistemi integrati e importanti segnali giungono anche dalla Pubblica Amministrazione centrale e locale”. A perseguire la logica del best of breed sono i clienti che ISS chiama “elite”, tra cui annovera 90 delle prime 100 aziende italiane. Le molte altre aziende che costituiscono il tessuto economico del nostro Paese, hanno bisogno di prodotti soprattutto più semplici da gestire, fino al punto di poterli dare in gestione remota a un service provider. “La nostra famiglia di appliance Proventia soddisfa le esigenze di entrambe le tipologie di aziende. Alle prime, infatti, permette di semplificare l’architettura e alle seconde fornisce una soluzione one box preconfigurata che può appunto essere gestita da remoto”, ha commentato il manager. I nuovi dispositivi, in effetti, hanno ottenuto un successo superiore alle aspettative della stessa ISS presso i grandi clienti, che li sfruttano per ottimizzare l’infrastruttura delle sedi remote, proprio grazie alle caratteristiche ricordate. • Spalle robuste dietro il prodotto “Non basta avere prodotti validi – ha affermato però Volpi -. In una relazione con il cliente, questi contano al massimo per il 40%, il resto è capacità di supporto. ISS dispone di un’esperienza consolidata in oltre dieci anni di attività che l’hanno portata a essere il leader nei Managed Security Service. Da altrettanto tempo, importanti aziende confermano la fiducia nelle nostre soluzioni e servizi, così come le principali società di ricerche di mercato esprimono opinioni favorevoli sulle nostre strategie”. L’esperienza di ISS è maturata a partire dai servizi di gestione, che più di altri consentono di acquisire quella visione complessiva della sicurezza, necessaria per supportare l’utilizzatore sin dalla fase di progettazione e di Vulnerability Assessment. Non a caso, questi sono i due servizi su cui ISS punta maggiormente, Con Cobion verso la Security Convergence Il successo di Proventia sta guidando le strategie della società statunitense sulla strada della “Security Convergence”, cioè dell’integrazione di soluzioni diverse in un unico sistema di protezione unificata. Un nuovo tassello, in questa direzione, è stato acquisito da ISS con Cobion, una società tedesca specializzata nei sistemi di content filtering e anti spamming. Le tecnologie di Cobion, costata 26 milioni di euro, saranno vendute sia in soluzioni stand alone sia integrate all’interno appunto di Proventia a partire dalla seconda metà dell’anno, stando alle previsioni della società statunitense. L’interesse di ISS, in particolare, è rivolto alla tecnologia di analisi intelligente dei contenuti, fondata su un database di contenuti Web, che contiene un catalogo di circa 20 milioni di siti Web, e su un robusto motore di ricerca, che comprende oltre mille CPU e dodici punti di distribuzione del database nel mondo. Una mossa dettata anche dalle previsioni di mercato, che vogliono quello della content security come un segmento in rapida espansione che dovrebbe, per esempio secondo IDC, superare un valore di 1,5 miliardi di dollari nel 2006. insieme a quello di project certification, con quest’ultimo ISS fornisce “un servizio di validazione – come ha chiarito il manager – per garantire la soluzione e il ritorno della stessa”. La garanzia sul livello di protezione, invece, la fornisce X-Force, il team di ricerca e sviluppo che, oltre a fungere anche da security advisor per tutti i clienti di ISS e non solo, attua una strategia di approccio preventivo, studiando i possibili attacchi partendo dalle vulnerabilità e, quindi, anticipando i tempi di sviluppo degli exploit da parte delle comunità di hacker. È grazie a X-Force che ISS ha potuto realizzare la tecnologia di virtual patching, per esempio, grazie alla quale l’utilizzatore vede ridurre il rischio connesso con una vulnerabilità anche se non ha ancora installato la relativa patch. Per supportare i clienti, inoltre, è necessario disporre di un’adeguata struttura di supporto. “ISS conta in Italia circa 30 addetti, nelle sedi di Milano, Roma e Padova, per la fornitura di servizi – ha precisato Volpi -. Poi abbiamo oltre 25 partner che ci seguono da quattro anni e che qualifichiamo con un programma diverso dal solito. Vengono tenute sessioni di training ogni trimestre. Sono gratuite, ma i nostri partner sono obbligati a seguirle per conservare la certificazione”. G.D.B. Security 15 Prevenire le intrusioni osservando le applicazioni L’anomaly detection basata sul comportamento a livello di server e desktop è un’alternativa per la protezione da attacchi anche sconosciuti G oog guys in, bad guys out. È in sintesi l’obiettivo di un buon sistema di sicurezza perimetrale, secondo l’usuale dizione inglese. Di fatto si tratta di controllare gli accessi in modo da essere certi di concedere l’uso delle risorse aziendali a chi è autorizzato a farlo e di impedirlo a tutti gli altri. Di fatto, tale obiettivo si può raggiungere solo con un approccio integrato, in quanto l’evoluzione delle minacce non consente di fidarsi esclusivamente della tradizionale sicurezza perimetrale. L’architettura per la sicurezza, quindi, si complica al crescere del rischio informatico cui l’azienda è esposta. Anche per semplificare la gestione di una tale architettura ma, soprattutto, con l’obiettivo di aumentare il grado di protezione fornita dalla stessa, stanno fiorendo sul mercato le soluzioni di intrusion prevention (IPS). Appartenti alla categoria delle soluzioni per “mantenere fuori i cattivi ragazzi”, i sistemi IPS nascono anche come evoluzione degli IDS (Intrusion Detection System). Sul numero 4 di Direction, sono state descritte le caratteristiche degli IPS di tipo inline, che fanno parte proprio di questo insieme. Esiste, però, un’altra classe di sistemi di prevenzione delle intrusioni, che devono il proprio sviluppo ai limiti, più che ai pregi, degli IDS. • Una questione di signature Secondo alcuni studi, il ritmo con cui si registrano nuove vulnerabilità ogni anno rende impossibile la scrittura di signature accurate per gli IDS. Per esempio, il CERT segnalava circa 171 nuove vulnerabilità a metà degli anni 16 Security ’90, mentre il numero di buchi nei sistemi segnalati dalla stessa organizzazione nel 2000 superava il migliaio e l’anno successivo raddoppiava. A questo timore si aggiunge la constazione che sempre più pressante si fa il ritmo con cui gli hacker riescono a scrivere, dal canto loro, gli exploit per tali vulnerabilità. Indubbiamente, sono poche le aziende che, anche in termini di risorse umane, detengono l’esperienza per gestire questo livello di difficoltà crescente o per scrivere signature efficace in tempi rapidi. A prescindere da queste considerazioni, il rilevamento delle intrusioni è comunque di tipo reattivo, in quanto la signature è comunque la reazione alla pubblicazione di vulnerabilità, quando non, come in molti casi, la risposta a un attacco. Secondo i puristi della prevenzione, invece, è necessario che l’IPS sia in grado di rilevare un tentativo di intrusione senza aver bisogno di verificare una signature. Per questo sono nate soluzioni di rilevamento delle anomalie, basate sull’analisi del comportamento delle applicazioni. Tale approccio parte dall’osservazione che tutti gli attacchi, indipendentemente dal tipo e natura, presentano una sequenza di azioni riconoscibile. Rilevando questi comportamenti anomali è possibile identificare un tentativo di intrusione anche di tipo non noto. Peraltro, se è vero che si sposta il controllo su un altro piano, è importante osservare che anche in questo caso i vendor sono chiamati a notevoli sforzi di sviluppo. Non saranno previsti continui aggiornamenti delle signature, infatti, ma l’introduzione di una nuova applicazione o l’upgrade di applicazioni in uso modi- ficano il comportamento delle stesse. Il sistema IPS deve essere aggiornato di conseguenza o essere in grado di capire i nuovi comportamenti. Anche in questo caso, quindi, è necessario che il produttore della soluzione disponga delle risorse necessarie per seguire la complessità implicita dietro il gran numero di applicazioni mission critical presenti sul mercato. • Anomaly detection per la prevenzione Secondo la teoria più diffusa, gli attacchi seguono tutti una progressione logica che può essere schematizzata nelle seguenti fasi (le 5 P): la perlustrazione, durante la quale vengono scandagliati i sistemi, in generale tramite l’utilizzo di sonde, alla ricerca di vulnerabilità; la penetrazione, in cui un exploit viene trasferito al target vulnerabile precedentemente individuato, in modo che venga eseguito il codice necessario all’attacco; la persistenza, quando l’exploit tenta di rendersi persistente sul sistema, in modo da essere disponibile per successivi attacchi, anche se il sistema stesso venisse riavviato; la propagazione, che l’attacker attua tipicamente cercando altre vulnerabilità sui sistemi connessi a quello già attaccato con successo; la paralisi, quando viene lanciato l’attacco vero e proprio, cancellando file, causando errori di sistema, bloccando i sistemi con denial of service e così via. Le prime due fasi possono cambiare anche sostanzialmente da un attacco con un altro. In particolare, la tecnica di penetrazione è proprio quella che cambia più in fretta e, non a caso, quella in cui entrano in gioco i sistemi IDS e IPS basati su signature. Le ultime tre fasi, invece, sono decisamente più ripetitive e stabilizzate. In effetti, mentre cambia il modo con cui provocare danni, questi sono comunque sempre gli stessi e numericamente limitati a poche “attività maligne”, quali modificare il sistema operativo, aggiungere un nuovo account utente, aprire una connessione in uscita dalla rete, cancellare file e poco altro. • Una prevenzione ancora poco matura Le soluzioni di anomaly detection, spesso ancora oggetto di studio a livello universitario, vengono principalmente criticate per un elevato tasso di falsi positivi. Anche se alcune soluzioni sono state arricchite con motori di correlazione potenti, che riducono il numero di errori, non ci sono ancora prodotti per i quali è consigliabile applicare, se non per casi limite, meccanismi automatici di blocking. Il loro funzionamento appare complementare a quello di un IPS signature based, quando questo viene posizionato sulla rete. L’anomaly detection, infatti, non è attuabile sulla rete, dove invece è più adeguata una stateful inspection o un’analisi proxy server dei pacchetti. Tali sistemi, pertanto, trovano la loro collocazione ideale su host e desktop, per quanto a quest’ultimo livello esistono poche soluzioni, perlopiù abbinate a personal firewall. Come, per esempio, Cisco Security Agent. Altre soluzioni di host intrusion prevention basate sull’analisi del comportamento delle applicazioni sono Entercept di Network Associates, che, però, supporta ancora un limitato insieme di applicativi, eTrust Access Control di Computer Associates, il cui punto di forsza è, peraltro, l’integrazione nella suite eTrust del produttore statunitense, o NetScreen, che ha ultimato l’integrazione dei prodotti acquisiti con OneSecure. G.D.B. I sistemi di intrusion prevention basati sull’anomaly detection sono idealmente posizionati su host e desktop, ma per una massima protezione è opportuno utilizzare anche IPS basati su signature e posti sulla rete. Security 17 Cresce l’esigenza ingegneristica nelle reti di nuova generazione Si consolidano le architetture di networking che integrano funzionalità per ambienti locali e geografici G li switch di ultima generazione, sia in modo nativo che mediante moduli add-on, stanno facendo svanire la classica separazione che per quasi un ventennio ha caratterizzato il mondo locale e quello geografico, il cui elemento di congiunzione è stato costituito da dispositivi router che agivano da vero e proprio punto di confine tra le due realtà, diverse in termini di apparati e di modalità di progetto della rete. Gli apparati delle architetture recentemente rese disponibili sul mercato, che ora si configurano come veri e propri nodi di rete a largo spettro, consegnano alla storia un tale approccio, che nel tempo ha finito con l'essere caratterizzato da una scarsa flessibilità applicativa, moltiplicazione delle scorte di apparati da acquisire, difficoltà nella gestione a livello di successive release, eccetera. I vantaggi sono molti, soprattutto perché la disponibilità di dispositivi che sia per il livello di core di una rete che per quella di accesso inglobano funzioni di livello 3 e 4 permette di definire la rete nel suo insieme, con una visone end-to end delle applicazioni erogate e degli utenti connessi, con la possibilità di gestire in modo razionale classi di utenti, privilegi di accesso, banda disponibile, e così via. Questa evoluzione, che peraltro si inquadra nel processo evolutivo verso reti convergenti, non è però l'unica. Una netta differenziazione sta però emergendo, come conseguenza (almeno) di due fattori. Il primo connesso ad una visione più globale delle reti aziendali, in uno scenario in cui entra in gioco l'intero mondo ICT. L'altro connesso alla crescente presenza della mobilità e di internet nel ciclo produttivo di 18 NetworkiNg una azienda, che porta a dare un crescente importanza al problema sicurezza e a come garantire una rete da estranei o, in senso lato, da un suo utilizzo improprio. • Tecnologia integrata ma funzioni complesse Le architetture di rete di nuova generazione si avviano quindi a costituire l'elemento base su cui realizzare una serie di nuove applicazioni volte a facilitare la fruizione di servizi, a migliorare l'interazione tra il fruitore e l'ente privato o pubblico erogante, ma questo è opportuno avvenga necessariamente all'interno di un framework che garantisca la sicurezza e riservatezza dei servizi stessi, oltre che una assoluta (o quasi) continuità di servizio ottenuta mediante apparati che permettano di realizzare soluzioni ridondate e di un progetto che le sfrutti adeguatamente. L'insieme di queste esigenze, che vengono considerate elemento portante di un progetto volto a realizzare una nuova infrastruttura di rete, presenta caratteristiche specifiche che sino ad ora non erano di competenza del "Networking". Tra questi, quelli che costituiscono un esempio della pluralità di aspetti che vanno considerati sono: • la sicurezza; • la continuità operativa; • la gestione dell'archiviazione in modo protetto dei dati in ambito locale e geografico (sia con SAN o NAS) ; • la realizzazione e gestione di flussi multimediali e in primis video per erogare servizi di formazione remota o di videoconferenza tra sedi distaccate; Ovviamente l'ideale in fase progettuale è di disporre di una piattaforma che, all'interno dei dispositivi che la costituiscano, dispongano di tutte le funzioni atte a fra fronte a queste esigenze. Non sempre questo è però possibile o, se lo è, un utilizzo estensivo ai diversi livelli di rete (backbone, accesso, eccetera) potrebbe presentare un limite di investimento difficilmente sopportabile. Vista comunque la complessità di soluzioni che abbracciano l'intero panorama delle esigenze di rete e di applicazioni interne ed esterne ad una azienda, anche nel caso si utilizzino dispositivi ottenuti da fornitori diversi o tecnologicamente disomogenei (ad esempio appartenenti a linee di prodotto diverse) quello che appare essenziale è una visione progettuale integrata sin dalle prime fasi di un progetto. Tradotto in pratica, un assiemaggio di soluzioni realizzato in fasi successive senza una iniziale pianificazione e test delle soluzioni (e dell'interoperabilità) è molto probabile che si traduca in successive disottimizzazioni e disservizi una volta che la rete entra in esercizio o viene integrata con le nove funzionalità. Va osservato infatti che i vantaggi che è possibile ottenere dalle nuove tecnologie, dalle reti di interconnessioni a livello metropolitano o urbano operanti a 10 Megabit o a velocità superiori, si estrinsecano appieno solo se il contesto generale, che comunque è funzionalmente molto ricco ma altrettanto complesso, può essere gestito e fruito in modo flessibile a tutti i sui livelli di rete. Avere una infrastruttura potenzialmente ricca ma difficile da gestire o da far evolvere fa perdere di significato ad un investimento tecnologico e porta di sovente a un risultato diverso da quello ipotizzato o propagandato dai fornitori. • Valutare le problematiche progettuali e ingegneristiche Le considerazioni sin qui fatte portano direttamente all'aspetto ingegneristico. Che con una modalità di presenza dei fornitori sempre più basato sull'indiretta e sul coinvolgimento di terzi per ciò che riguarda fornitura e progetto, sta diventando un aspetto non secondario nel processo che porta alla scelta di una tecnologia tra quelle disponibili. La complessità funzionale si abbina infatti ad una pari complessità progettuale perché video, voce e dati, con il relativo corollario di caratteristiche funzionali, di qualità, di sicurezza e di esigenze progettuali specifiche, richiedono una conoscenza e, ancor più, una esperienza progettuale specifica che generalmente in azienda non è disponibile e che lo è solo in aziende di ingegneria che abbiano una esperienza multisettoriale. Che non si improvvisa, ma che si matura in anni di lavoro in field con realizzazioni concrete e una solida base di conoscenze tecnologiche multisettoriale, dai dati alla fonia, dalla sicurezza ai sistemi informatici, sino alle procedure per gestire le scorte o le problematiche di disaster recovery in ambienti IT o nella gestione di Data Center. Solo in un quadro progettuale corretto la disponibilità di tecnologie adeguate e di funzioni quali l'alta velocità, la virtualizzazione della rete in VPN e VLAN nonché l'integrazione con i sistemi informativi permette di realizzare una infrastruttura tarata per le diverse componenti afferenti ad un sistema di trasporto, la fonia, i dati e la crescente (come servizio e utilizzazione di banda trasmissiva) componente video. G.S. Una rosa dei venti sempre più complessa nell’ingegneria delle reti 19 NetworkiNg I router 3Com si presentano con una base comune Frutto della joint venture con Huawei, i nuovi dispositivi dispongono di una vasta gamma di funzionalità e un design razionale L a società nordamericana 3Com prosegue nello sviluppo di soluzioni ottimizzate per i mercati verticali, seguendo una strategia che la porta sempre più a contatto con gli utenti finali, pur mantenendo un modello di vendita che opera tramite canale indiretto. Anche pensando ai partner di quest’ultimo, peraltro, la società statunitense ha portato sul mercato una gamma completa di nuovi router dal design molto razionale. Infatti, la caratteristica più innovativa dei nuovi prodotti è rappresentata dal fatto che il software è lo stesso per tutti i prodotti mentre la dotazione hardware è tale da poter fare a meno di upgrade successivi all’acquisto per potenziare le performance. Soprattutto per il canale di vendita è una semplificazione notevole, oltre che un risparmio, in quanto significa molti meno sforzi per le certificazioni e la formazione. Ma anche per l’inserimento dei dispositivi all’interno di progetti più ampi. Infatti, i nuovi router WAN si integrano nelle soluzioni per l’education, la sanità, la Pubblica Amministrazione e il retail banking, consentendo a 3Com, stando alle dichiarazioni dei responsabili della società, di fornire una soluzione completa e competitiva. Per soddisfare tutte le esigenze, le funzionalità del software unico sono state calibrate ai massimi livelli. Lo ha affermato Giulio Galetti, technical director di 3Com Italia, che ha più precisamente specificato: “Anche il prodotto entry level viene fornito con funzioni avanzate integrate, come il firewall e il supporto del BGP4”. 20 NetworkiNg In particolare, le caratteristiche software comprendono, tra le altre, supporto alle funzionalità di routing di protocolli come IP/IPX, RIPv1/v2, OSPF, BGP-4, PPP, Frame Relay, linee affittate e supporto X.25. La gestione dei pacchetti è attuabile tramite VLAN 802.1Q, multicast, QoS, crittografia, NAT, firewall e filtraggio dei pacchetti stessi. Come accennato, questa ingegnerizzazione si spinge anche a livello hardware, permettendo di ottenere semplificazioni anche per quanto riguarda la produzione. Sempre Galetti ha spiegato: “Tutte le caratteristiche di base, come flash memory, RAM e così via sono pure comuni a tutti i modelli e portate a livelli che raddoppiano gli attuali standard di mercato. Non resta che scegliere le interfacce e, in questo modo, con pochi codici prodotto si possono soddisfare le esigenze di tutte le imprese”. L’unica componente opzionale è una scheda di accelerazione della crittografia per le operazioni di firewalling e di VPN. “In pratica – ha dichiarato il manager italiano -, è un po’ come il coprocessore matematico che si applicava alle CPU nei primi pc: è utile se si devono gestire oltre 100 tunnel VPN, ma il supporto degli stessi è garantito comunque su tutti i router”. • La serie 3000 per PMI e uffici remoti Attualmente la gamma prevede due serie di dispositivi, 3Com Router 3000, 5000. nel corso del 2004 verranno introdotte sul mercato le famiglie 6000 e 8000. Di queste ultime, peraltro, sono già stati mostrati alcuni proto- tipi che testimoniano le ambizioni di 3Com. Il top della gamma, in particolare, sarà dotato di 17 slot e prestazioni elevate di classe enterprise, stando alle anticipazioni forniteci dalla casa nordamericana. La serie 3Com Router 3000, costituita da apparati destinati al mercato CPE (Customer Premises Equipment), intanto, è composta da tre modelli. 3Com Router 3012 è dotato di una porta Ethernet 10/100Base-T, due porte seriali sincrono/asincrono, una porta di console e una porta seriale ausiliaria. Il modello 3013 ha le stesse caratteristiche del precedente, ma invece delle due porte seriali ne presenta una seriale sincrono/asincrono e una ISDN BRI S/T. Infine, il modello siglato 3016 è dotato di una porta 10/100Base-T, una porta ISDN PRI, una porta di console e una porta seriale ausiliaria. Per quest’ultimo, successivamente, dovrebbe essere messa a disposizione una porta ADSL. Il modello 3Com Router 3013 è particolarmente adatto, stando alle dichiarazioni dei responsabili della società, al mercato italiano. Il dispositivo, infatti, è nato per soddisfare le esigenze di connettività WAN e accesso a Internet di piccole e medie imprese e uffici remoti. Grazie a una porta Ethernet 10/100 integrata, 64 MB di memoria, una porta ISDN BRI S/T e una porta seriale sincrona/asincrona ad alta velocità (fino a 2Mbps), 3Com Router 3013 permette di realizzare due connessioni Internet WAN o crittografate VPN indipendenti e di utilizzare una di queste come connessione di backup al link primario. Una porta ausiliaria integrata assicura il collegamento asincrono per il backup tramite modem. • Una famiglia di prodotti per il mid-range Salendo verso la parte alta della gamma di prodotti, si trova la serie 3Com Router 5000, che è stata progettata per soddisfare i bisogni di uffici di medie dimensioni e sedi distaccate di grandi aziende. La serie parte da un dispositivo entry level, denominato 3Com Router 5009, che dispone di una porta Ethernet 10/100BaseTX, due porte seriali e 3 slot, di cui uno di tipo MIM (Multi-function Interface Module) e due di tipo SIC (Smart Interface Card). A questo fanno seguito tre modelli con un fattore di forma che li rende adatti per essere montati su rack standard. Il 5231 è fornito di 2 porte di rete 10/100BaseTX, una porta seriale asincrona e 3 slot MIM. 3Com Router 5640, invece, è semplicemente dotato di 4 slot MIM, mentre al top della serie si posiziona il modello 5680, dotato di 8 slot MIM per garantire, come spiegano i tecnici della società, ampia flessibilità di progettazione. Per gli slot sono disponibili diversi moduli di interfaccia, tra questi quelli più recenti sono: un nuovo modulo SIC per 3Com Router 5009, con 2 porte ISDN BRI U fisse in grado di supportare 2 canali portanti B-Channel da 64 Kbps; un modulo MIM seriale a 4 porte, che fornisce supporto per le interfacce V.35 e V. 24 e l'interfaccia fisica internazionale X.21; un modulo MIM E1/CE1/PRI a 4 porte, che ha la funzione principale di trasmettere e ricevere stream di dati E1 e garantire, inoltre, l'accesso a E1 canalizzato, implementando la funzione ISDN PRI in modo che sia possibile utilizzare una sola scheda per molteplici scopi; un MIM E3 a una porta, capace di supportare il modo E3 canalizzato o il modo T3 a 34.368 Mbps. Secondo dati di targa del costruttore, anche le prestazioni sono di tutto rispetto. Questo grazie all’impiego di processori Motorola di ultima generazione. G.D.B. La serie 3Com Router 3000 21 NetworkiNg Allied Telesyn punta su ricerca e sviluppo I più recenti successi, in particolare nel settore della banda larga, sono frutto del centro R&D europeo che ha sede a Milano C Francesco Salamida, R&D Director Allied Telesyn Emea 22 NetworkiNg hissà fino a che punto il processo evolutivo, che avrebbe portato Allied Telesyn da società technology driven specializzata nei media transceiver a sviluppatrice di tecnologia innovativa nel networking convergente e nel broadband, era già disegnato nella mente di Francesco Stramezzi, allora country manager italiano e oggi responsabile Emea del gruppo e president di Allied Telesyn International. Era il febbraio del 1997 quando il manager prospettava la migrazione del portafoglio prodotti aziendale verso sistemi e tecnologie a più alto valore aggiunto. Solo tre anni dopo, nel febbraio del 2000, Stramezzi affidava a Francesco Salamida la direzione del centro di ricerca e sviluppo di Milano, che oggi è competence center Ati a livello mondiale per lo sviluppo e l’integrazione delle tecnologie broadband xDSL e Fibre to the Home (FTTH) e VOIP. “Il centro di ricerca – ci ha spiegato Salamida – è nato per fornire un supporto di engineering alla struttura europea che, fino allora, era essenzialmente concentrata sulla vendita di prodotti concepiti e ingegnerizzati in Giappone o negli Stati Uniti”. L’obiettivo, in altre parole, era cominciare a sviluppare prodotti innovativi e soluzioni complesse che “pur basate interamente su standard, devono essere calate nelle realtà locali”, come ha precisato il direttore del centro. Una strategia che ha pagato, visti i risultati della società in Europa, e che è stato pienamente sposato da Takayoshi Oshima, il fondatore e presidente di Allied, dal quale dipendono direttamente tutte le strutture di ricerca e sviluppo del gruppo. Oltre alla struttura di Milano e a quella storica in Giappone, queste comprendono il centro di Raleigh, nella Carolina del Nord, e quello di Christchurch in Nuova Zelanda e assorbono circa un quarto delle risorse di Allied Telesyn, a dimostrazione dell’impegno della società nella ricerca e sviluppo. Ogni centro ha competenze precise, per cui non solo non ci sono sovrapposizioni, ma si sfruttano sinergie. Per esempio, “il laboratorio di Milano fornisce le direttive per l’adeguamento delle specifiche di progettazione agli altri gruppi, in modo che nello sviluppo si possano considerare le peculiari esigenze delle varie realtà locali”. • Un impegno crescente verso l’innovazione Attualmente, il laboratorio milanese comprende tre gruppi di lavoro principali: sviluppo software, testing di prodotto e soluzioni e sviluppo hardware e occupa trenta persone circa, ma è ancora in espansione. In particolare, Ati sta cercando un’altra decina di persone per investire nelle aree più nuove: quelle delle soluzioni e dell’hardware. La prima è stata creata per fornire uno strumento di supporto che, da un lato, favorisse la vendita, per esempio collaudando sistemi in contesti reali che simulano quelli presenti presso un cliente, e, dall’altro, permettesse di acquisire esperienza e informazioni per lo sviluppo di nuovi prodotti. Nello svolgere l’attività di engineering, del resto, il gruppo di Salamida ha osservato “la mancanza di alcuni elementi di base, fondamentali per l’offerta di Allied Telesyn”, come ha spiegato lo stesso manager. Da qui si è cominciato a lavorare in ambiti come la VOIP e altre tecnologie per le reti convergenti e multiservizio e per la larga banda, continuando a crescere fino ad acquisire la capacità di poter realizzare una soluzione “dall’idea al prodotto finito e diventare centro di competenza a livello globale su queste tecnologie”, ha affermato il direttore del centro di Milano, che ha aggiunto: “Il broadband sta condizionando pesantemente lo sviluppo del networking. Ati è una delle poche società oggi in grado di fornire una soluzione a banda larga end to end, dalla MAN al terminale d’accesso presso l’utente finale”. • Reti MAN al servizio del cittadino Proprio le tecnologie FTTH e il residential gateway ideato dal centro di Salamida hanno ottenuto importanti successi sui mercati internazionali: dalla rete metropolitana di Naganuma nell’isola di Hokkaido in Giappone agli apparati di accesso alla rete di SureWest in California, fino al progetto Utopia, per il quale Ati è uno dei due fornitori selezionati. Utopia prevede la realizzazione di una delle più grandi reti FTTH, che dovrebbe coprire in fibra ottica ben 18 città degli Stati Uniti, solo per cominciare (www.dynamiccity.com). Anche in Italia, peraltro, la società sta ottenendo importanti risultati nell’ambito delle MAN e della banda larga. In particolare, ha completato una rete nel Nord Est del Paese realizzata interamente con prodotti Ati dal backbone all’edge, in collaborazione con un importante system integrator. Salamida ci ha rivelato che molte delle idee sviluppate nel centro arrivano dai clienti. In particolare, dai provider, con cui Allied è a stretto contatto e che sono quelli che devono poi gestire il residential gateway e anche sfruttarlo per erogare nuovi servizi a valore aggiunto. Un ambito in cui il laboratorio diretto dal manager italiano è attivo è quello dell’home automation. “Pensiamo – ha dichiarato Salamida - per esempio, all’utility che potrebbe collegare il contatore al gateway per la let- tura telematica dei consumi. Oppure alla telesorveglianza, alla gestione remota degli allarmi e così via”. Lo sviluppo dei nuovi prodotti rimane però fedele alla strategia di adozione degli standard, che Allied Telesyn ha sempre perseguito, fino a entrare nell’FTTH Forum. La promozione degli standard, peraltro, viene attuata anche nella sperimentazione dei servizi con i carrier nel mondo. I tecnici del centro di Milano, in particolare, hanno partecipato ai test condotti insieme a NTT per sviluppare il SIP Server, un sistema che impiega le specifiche SIP per la segnalazione in ambito VOIP. G.D.B. Un Residential Gateway tuttofare I Residential Gateway sono dispositivi di accesso per reti a banda larga interamente ideati e sviluppati nel centro di ricerca e sviluppo europeo, che ha sede a Milano. Francesco Salamida, direttore del centro, ci ha spiegato che, dopo la prima fortunata serie RG200, è stato compiuto un ulteriore salto di qualità: “La serie RG600 è anche frutto di una serie di accordi con potenziali clienti, che ci hanno permesso di lavorare a stretto contatto con il mercato e con le esigenze degli operatori che devono installare tali apparati a casa dell’utente finale”. Proprio perché si adattasse a essere inserito in un contesto domestico, per esempio montato a muro, il gateway RG600 è stato progettato con un design elegante, ergonomico e funzionale, che, a detta del manager italiano, salvaguardasse la terminazione della fibra ottica e, al contempo, permettesse un comodo accesso per la manutenzione. Tali dispositivi sono parte della soluzione end to end triple play di Allied Telesyn e permettono ai service provider di portare presso l’utente finale accesso a Internet a larga banda, distribuzione di video streaming, video on demand e VOIP a costi, a detta di Ati, contenuti. Per fruire contemporaneamente di ogni servizio e di ogni possibile combinazione di servizi, sono state integrate nei residential gateway specifiche funzionalità, che consentano di separare il traffico Internet dagli streaming video. In questo modo, si può ricevere, su porte diverse, più trasmissioni multicast (più film o canali televisivi in contemporanea) senza limitare la capacità di utilizzare i canali VOIP, piuttosto che l’accesso a Internet. Per facilitare il management, Allied ha previsto la funzionalità Zero Touch Configurator (ZTC), che permette la configurazione o riconfigurazione dell’apparato senza l’intervento di un operatore in loco e garantisce anche un interessante livello di sicurezza, in quanto prevede che ogni apparato collegato alla rete sia sottoposto a una procedura di autenticazione. Il residential gateway AT-RG600 23 NetworkiNg D-Link riduce i costi senza penalizzare le prestazioni La società propone una gamma articolata di switch unmanaged per la connessione Fast e Gigabit Ethernet mediante cavi in rame L a diffusione di applicazioni multimediali, di videoconferenza e telefonia IP ha contribuito ad alimentare l’esigenza di soluzioni di rete in grado di supportare una grande ampiezza di banda. Queste necessità si fanno sentire sempre più anche nelle realtà di dimensioni medio-piccole, che si devono confrontare con budget limitati e che si indirizzano naturalmente verso la tecnologica Ethernet, la cui evoluzione ha permesso di combinare prestazioni adeguate e costi contenuti. Nell’ambito di una gamma più ampia di soluzioni di connessione per le diverse esigenze di rete, D-Link propone una serie di switch unmanaged disponibili con diverse configurazioni, prestazioni e numero di porte. • Switch Gigabit unmanged DGS-1016T e DGS-1024T Lo Smart Switch Gigabit Ethernet DGS-1224T 24 NetworkiNg Per la connessione a server dipartimentali e workstation D-Link propone switch che rendono disponibile la connettività Gigabit Ethernet mediante cavi in rame, senza dover necessariamente ricorrere a costosi collegamenti in fibra ottica. Lo switch DGS-1016T è fornito di 16 porte Gigabit Ethernet autosensing 10/100/1000 Mbps e si indirizza a gruppi di lavoro e ambienti Small and Medium Business (SMB) con esigenze sofisticate. Lo switch DGS-1024T è adatto, invece, ad ambienti dipartimentali e dispone di 22 porte dedicate per la connessione in rame Gigabit Ethernet; è dotato, inoltre, di altri 2 slot mini GBIC su cui è possibile installare transceiver 1000 Base-SX o transceiver 1000 Base-LX per collegamenti in fibra ottica, a media/lunga distanza, al backbone. L’uso delle 2 porte mini GBIC disabilita l’uso delle corrispondenti 2 porte 10/100/1000 Mbps con connettore RJ45. Entrambi gli switch supportano lo standard Nway di auto-negoziazione della velocità su tutte le porte, la modalità di trasmissione full/half duplex e l’auto-adattamento di cavi MDI/MDIX che elimina totalmente l’utilizzo di cavi incrociati o di porte di uplink. Questi apparati prevedono, inoltre, il controllo di flusso IEEE 802.3x in modalità full-duplex a 2000 Mbps, per ridurre al minimo la perdita di pacchetti durante la trasmissione sulla rete. Se connesso a una scheda di rete, che a sua volta supporta questa funzionalità, lo switch invia dei segnali al computer per notificare il sovraccarico del buffer nei momenti di picco; a fronte di questi segnali, il computer interrompe la trasmissione fino a quando lo switch non è nuovamente in grado di accettare i dati. • I nuovi Smart Switch DGS-1216T e DGS-1224T D-Link ha, inoltre, annunciato il rilascio di una gamma di switch “intelligenti” adatta per l’implementazione di switching Gigabit Ethernet all’interno di realtà SMB. I primi modelli dalla gamma sono gli Smart Switch “rack-mountable” siglati DGS-1216T e DGS-1224T, rispettivamente a 16 e 24 porte Gigabit 10/100/1000 Base-T per connessione con cavo in rame e con due porte combo Mini GBIC che consentono di alloggiare moduli transceiver per connessioni in fibra ottica, a corta, media o lunga distanza, al backbone. Gli Smart Switch D-Link consentono una semplice gestione centralizzata attraverso il Web e incorporano funzioni quali VLAN, port-trunking, QoS, port-mirroring e settaggio delle porte per velocità, modalità duplex o stato del controllo di flusso. La funzione di port trunking permette di raggruppare le porte per fornire connessioni switch-server o switch-switch caratterizzate da una maggiore ampiezza di banda. Grazie al supporto delle VLAN è, invece, possibile estendere il dominio di trasmissione, segmentare il traffico di rete e migliorare le prestazioni, la sicurezza e la gestibilità. La funzione QoS di controllo della priorità di coda secondo le specifiche 802.1p consente di assegnare un ordine di priorità ai pacchetti di rete e permette di far girare applicazioni che richiedono grande ampiezza di banda e sensibili al ritardo e di collegare allo switch video server per funzioni di video conferenza. Gli Smart Switch sono più semplici da gestire rispetto agli switch gestibili e con un costo solo leggermente superiore rispetto ai cosiddetti “dumb” switch. Dispongono di funzioni di controllo remoto e di un’utilità di auto discovery che permette di trovare automaticamente tutti i Web Smart Switch D-Link presenti in rete e di impostare i settaggi nello stesso tempo, anziché trovare e configurare gli switch uno a uno. Tra le altre caratteristiche vi sono il supporto per l’auto adattamento dei cavi MDI/MDIX, il controllo di flusso 802.3x • Le soluzioni per i piccoli uffici Per migliorare le prestazioni all’interno di piccole aziende, uffici periferici e gruppi di lavoro di piccole dimensioni, D-Link propone gli switch Layer 2 Fast Ethernet a 10/100 Mbps siglati DGS-1005D e DGS-100≠8D e dotati rispettivamente di 5 e 8 porte. Si tratta di dispositivi di dimensioni palmari e costo contenuto che consentono di connettere una qualsiasi porta a un nodo a 10 Mbps o 100 Mbps per moltiplicare l’ampiezza di banda, migliorare i tempi di risposta e soddisfare i carichi di lavoro. Supportano funzionalità MDI/MDIX e la modalità full/half duplex per ogni porta. Il DGS-1005D e DGS-1008D dispongono, rispettivamente, di un buffer di memoria di 1 Mb e 256 Kb e di una tabella indirizzi MAC da 2 e 8 Kb per dispositivo. Dispongono di una porta di uplink che permette di mettere in cascata 2 switch per incrementare la densità di porte. Lo switch DGS-1008D • Le schede per il Gigabit su rame D-Link mette a disposizione anche gli adattatori DGE-530T e DGE-550T che si indirizzano verso le esigenze di infrastrutture di rete che richiedono elevata ampiezza di banda. Si tratta di due schede Gigabit Ethernet PCI progettate per consentire la connessione diretta tra un server (o un pc server) e uno switch Gigabit, mediante un cavo in rame twistedpair, rappresentando un’alternativa economica alle soluzioni Gigabit in fibra ottica. Le due versioni si differenziano per il bus: la DGE-530T dispone di un bus a 32 bit, mentre la DGE-550T prevede un bus a 64 bit e 66 MHz di clock che riduce al minimo il carico di lavoro sulla CPU del server. Entrambi le schede supportano l’individuazione e la negoziazione automatica della velocità di rete nella triplice modalità di trasmissione 10/100/1000 Mbps raggiungendo la velocità massima di 2000 Mbps in modalità full-duplex. Si prestano, pertanto, e essere utilizzate per una migrazione progressiva delle reti Fast Ethernet verso connessioni Gigabit, senza richiedere la sostituzione degli adattatori. Per le velocità di trasmissione di 10 e 100 Mbps sono supportate connessioni full-duplex e half-duplex, mentre per la velocità Gigabit solo quelle full-duplex. Elevate prestazioni e funzioni di sicurezza sono garantite da funzionalità avanzate quali il supporto di VLAN multiple, il controllo di flusso e le code con assegnazione di priorità. R.F. La scheda DGE-550T 25 NetworkiNg L’azienda si estende nell’aria Cresce il mercato delle WLAN, mentre si affacciano sul mercato soluzioni innovative per gestire l’infrastruttura wireless e wired centralmente L a continua apertura dei sistemi informatici aziendali verso l’esterno, tesa a garantire una maggiore cooperazione con la propria catena del valore, porta le imprese a investire in nuove tecnologie. In funzione di questo, crescono le installazioni di reti locali senza fili e le dotazioni di infrastrutture wireless e mobile in azienda. Anche le imprese italiane non sembrano sottrarsi a questa tendenza, almeno a giudicare dai dati rilasciati da IDC, secondo la quale si avrà un incremento medio annuo (CAGR) del 62,6% in termini di unità installate (access point e schede) e del 17,9% in termini di revenue (a conferma del calo dei prezzi) tra il 2002 e il 2007. In termini di fatturato, sempre secondo le previsioni IDC, dovrebbe passare dai 31,6 milioni di dollari del 2002 ai 71,9 milioni del 2007, quando quello europeo dovrebbe arrivare a 1,4 miliardi di dollari. • Si fa presto a dire WLAN Lo switch Summit300-48 e l’access point Altitude 300 di Extreme Networks 26 NetworkiNg L’interesse delle imprese per le wireless LAN è giustificato dalle promesse di semplificazione della struttura di accesso alla rete e di riduzione dei costi. Promesse che, come abbiamo evidenziato nell’articolo “Si fa presto a dire WLAN” pubblicato sullo scorso numero di Direction, rischiano di andare disattese se non si affronta l’introduzione delle wireless LAN in azienda con un’adeguata strategia. Erroneamente, infatti, si ritiene che possa bastare il marchio Wi-Fi per ottenere un prodotto all’avanguardia e all’altezza delle esigenze di classe enterprise. Di fatto, il Wi-Fi assicura l’interoperabilità tra i dispositi- vi che dispongono di questa certificazione, ma nulla è garantito in termini di funzionalità. Lo standard 802.11, nelle sue varie declinazioni, fornisce, in effetti, tutto l’occorrente per una moderna impresa, ma non tutte le implementazioni dei diversi vendor presenti sul mercato raggiungono gli stessi livelli prestazionali e funzionali. Di fatto, la maggior parte delle problematiche che sono state messe in evidenza negli anni e che hanno rallentato la diffusione delle WLAN possono essere superate con gli adeguati strumenti e il relativo opportuno utilizzo degli stessi. Per esempio, per quanto riguarda la sicurezza si possono citare vari standard, quali 802.1X, WPA, TKIP, AES e l’802.11i di prossima introduzione che li mette insieme praticamente tutti. Anche per il supporto del roaming sono state messe a punto le necessarie tecnologie tanto al livello 2 quanto a quello 3. Infine, per le prestazioni si stanno affacciando sul mercato soluzioni ibride che consentono di utilizzare contemporaneamente sistemi 802.11b, 802.11g e 802.11a, permettendo velocità da 11 Mbps a 54 Mbps e oltre. • Architetture wireless LAN innovative Tra le diverse soluzioni wireless LAN ce sono alcune che spiccano per l’originalità architetturale con la quale vengono inserite nell’infrastruttura di rete aziendale, soprattutto per quanto riguarda gli aspetti correlati alla gestione. Proprio quest’ultima rappresenta una delle “incognite” attorno alla quale, insieme alla sicurezza, i diversi vendor, praticamente tutti quelli impegnati nel networking più qualche outsider, stanno costruendo le differenze con cui aggredire il mercato. Tra le soluzioni più innovative introdotte di recente, si trovano quelle molte simili di Extreme Networks e Foundry Networks, due aziende in diretta competizione su tutti i fronti. Entrambe hanno annunciato uno switch di rete dotato di funzionalità di accesso wireless, grazie all’integrazione diretta di un access point sugli switch di edge. Più in dettaglio, Extreme ha presentato l’architettura Unified Access per reti wireless e cablate, il cui primo elemento è lo switch Ethernet Summit 300-48. Quest’ultimo è un dispositivo capace di commutazione Layer 2/3 su 48 porte (cui si aggiungono 4 porte in rame e mini-GBIC) e dotato di porte wireless Altitude 300, che supportano contemporaneamente accesso WLAN secondo gli standard IEEE 802.11 a, b e g. Le novità introdotte nei software di gestione ExtremeWare ed EpiCenter consentono,a detta dei responsabili della società, la gestione end-to-end centralizzata di tutti gli utenti, unificando il management delle reti wireless e wired. La soluzione, secondo i dati dichiarati dal costruttore, fornisce alle porte wireless servizi di sicurezza e cifratura quali AES, WES e WPA. Oltre che con le porte wireless Extreme Altitude 300, questo switch è compatibile a livello base anche con altri access point wireless standard. Foundry ha annunciato un’architettura integrata che si basa su tre elementi: l’access point IronPoint 200 (anche questo di tipo multimode compatibile con tutti gli standard di velocità WLAN), una suite di gestione per IronPoint basata su SNMP e un’opzione di aggiornamento WLAN per gli switch di edge FastIron basati sul chipset FastIron JetCore. A detta di Foundry, l’access point è stato progettato in due versioni: una meglio indirizzata alle piccole e medie imprese, che Foundry chiama “full featured”, e una “intelligent”, destinata alle grandi organizzazioni. L’architettura è però programmabile, per cui il passaggio dall’una all’altra può essere effettuato via software in un secondo momento. Il software di gestione IronView Network Manager - IronPoint Edition fornisce capacità di management centralizzato degli accessi wireless integrato con l’amministrazione della rete cablata. Questo anche grazie all’aggiornamento software dei FastIron Edge Switch, che possono essere dotati di capacità WLAN, cui estendono il supporto delle caratteristiche 802.1x, monitoraggio del traffico con sFlow, QoS, rate limiting. Gli switch FES, inoltre, secondo dati Foundry, dispongono di alimentazione ridondante, supporto IEEE 802.3af per Power over Ethernet e possono potenziati per operare a Layer 3. Già nel 2002, peraltro, Symbol Technologies aveva presentato una soluzione d’integrazione wireless e wired, con un’architettura innovativa che divide la parte di accesso radio da quella di trasporto. La società statunitense è, al momento in cui scriviamo, in procinto di rilanciare con nuovi prodotti la linea di Wireless Switch. Una menzione a parte merita, invece, l’architettura presentata da Nortel Networks, meglio indirizzata al settore delle WLAN pubbliche, ma adatta anche alle esigenze di grandi organizzazioni. Il concetto alla base della soluzione, secondo quanto dichiarato dai responsabili della multinazionale canadese, è stato elaborato insieme al MIT di Boston. In sintesi, viene creata una rete magliata, in cui ogni access point si può collegare ad altri quattro. Le funzionalità di autodiscovery e auto-configuration permettono di accelerare l’installazione e completano l’opera di ottimizzazione dell’archittura. In base ai risultati dei testi condotti da Nortel, in questo modo è possibile ridurre i costi di installazione del 75% e quelli operativi del 70%, rispetto a una soluzione tradizionale, quando si debbano coprire vaste aree. Lo switch WLAN Security Switch 2250, infine, permette di unificare e centralizzare la gestione della rete e della sicurezza degli access point, integrandoli nell’infrastruttura di rete aziendale. G.D.B. La famiglia di switch FastIron Edge Switch di Foundry Networks 27 NetworkiNg Le soluzioni HP ProCurve verso la sicurezza 802.1X L’implementazione di Guest VLAN, mediante gli switch HP, consente di proteggere la rete lasciando disponibili specifiche aree di accesso L’ utilizzo sempre più pervasivo della LAN Ethernet per ogni tipo di comunicazione, amplifica la necessità di proteggere efficacemente la rete da possibili attacchi. Nell’ambito della propria strategia Adaptive EDGE, indirizzata a spostare verso la periferia della rete le funzioni di protezione, HP Procurve propone una gamma di switch caratterizzati da una serie di caratteristiche che contribuiscono a rafforzare la sicurezza dell'accesso alla rete. Tra queste vi sono il blocco del MAC address, l’isolamento delle porte, l’Access Control List e, soprattutto, il supporto dello standard 802.1X. Sebbene si tenda a pensare a queste caratteristiche come funzionalità indipendenti, in realtà richiedono risorse supplementari all'interno della rete per implementare una soluzione completa di sicurezza. Coordinare questi requisiti supplementari può rappresentare una barriera o un impedimento del deployment, che diventa ancor più complesso se si vogliono impostare criteri personalizzati in base alla tipologia di utente che si sta collegando alla rete. • I problemi per il deploying dell’802.1X L’utilizzo di una soluzione di sicurezza basata su 802.1X rappresenta un metodo efficace per implementare accesso sicuro alla periferia. Tuttavia, il deployment di una soluzione 802.1X richiede alcuni accorgimenti. Innanzitutto è necessario la disponibilità del software richiedente 802.1X sui client (Microsoft, per esempio, ha incluso il software 802.1X in Windows XP e in Windows 2000, ma non è pre- 28 NetworkiNg sente sulle versioni precedenti). Una volta che il software client 802.1X è stato installato, la barriera seguente è rappresentata dal server RADIUS. Non tutti utilizzano un server RADIUS per gestire il database dei loro end user: molti usano i domini NT Microsoft, gli schemi password UNIX, Kerberos o LDAP. Inoltre, chi intende sfruttare un database preesistente può avere la necessità di un bridge o un gateway tra il server RADIUS e il proprio sistema e, in alcuni casi, questo ha un impatto sul metodo di autenticazione sottostante utilizzato per autenticare il client tramite l’802.1X. In un ambiente 802.1X il server RADIUS deve poi supportare le transazioni di autenticazione usando il protocollo EAP (Extensible Authentication Protocol) che supporta diversi metodi (EAP-MD5, EAP-TLS, EAP-TTLS, PEAP e così via), non tutti pienamente standardizzati. Inoltre questi metodi richiedono l’installazione di un certificato sul server RADIUS e, di conseguenza, l’installazione e il mantenimento di una Certification Authority. Riassumendo è richiesta l’installazione dei software richiedente sui client, l’impostazione del server RADIUS per supportare tutti i metodi EAP necessari, bridge verso i database esistenti, la realizzazione di una CA e l’installazione dei certificati e la loro gestione. Oltre alla complessità e al carico amministrativo, una barriera fondamentale per l’implementazione resta la disponibilità del software client 802.1X che supporti tutti i metodi EAP necessari. • La soluzione HP ProCurve La strategia HP ProCurve punta all’installazio- ne di 802.1X su ogni client come soluzione ottimale e a lungo termine per la sicurezza dell’accesso, proponendo, nel frattempo, un percorso di migrazione che sfrutta le funzioni già disponibili attualmente sugli switch HP ProCurve Networking. Quando un client non-802.1X si connette a uno switch HP ProCurve è possibile collegarlo di default a una Guest VLAN all’interno della quale abbia piena disponibilità di accesso. L’implementazione di una Guest VLAN consente di fornire differenti possibilità di configurazione per le diverse classi di utenti, sia ospiti sia autorizzati. Per consentire questo tipo di accesso non è richiesto alcun software aggiuntivo sul client e chiunque si connette alla rete può accedere a un gruppo di servizi specifici installati appositamente. Gli switch ProCurve supportano il protocollo 802.1X e possono essere usati per implementare una soluzione di questo tipo in base alla seguente modalità: • il client su cui gira il software richiedente 802.1X si autentica con lo switch ProCurve quando si connette a una porta dello switch abilitata all’802.1X; • lo switch verifica le credenziali del client comunicando con un server di autenticazione RADIUS; • se le credenziali sono verificate, il server RADIUS dice alo switch di sbloccare la porta e consente l’accesso ala rete senza restrizioni; • in caso contrario, il server RADIUS può comunicare allo switch di bloccare completamente l’accesso oppure di configurare la porta affinché il client venga ammesso come membro di un VLAN particolare, così da limitare o confinare il suo accesso all'interno della rete. Se, invece, l’802.1X non fosse abilitato sulla porta, i client avrebbero completo accesso all’interno della rete. All’interno di un ambiente wireless, il server RADIUS restituisce gli attributi al wireless access point, che gli permette di generare chiavi cifrate e di inviarle al client senza alcuna configurazione manuale. Questo rappresenta un vantaggio significativo dell’uso di 802.1X in un ambiente wireless. Una volta autenticato, lo switch ProCurve restituisce al server RADIUS le registrazioni di accounting, che possono essere utilizzate per scopi di fatturazione o tracciabilità. R.F. Una soluzione 802.1X realizzata utilizzando i prodotti HP ProCurve Wireless Access Point 420 Power over Ethernet con 802.1X Il wireless access point 420 è un dispositivo WLAN single-radio studiato per le esigenze delle piccole, medie e grandi aziende che supporta gli standard 802.11b e 802.11g, oppure entrambe le tecnologie all'interno di ambienti wireless misti, grazie alla selezione automatica del canale. Questo access point prevede il supporto del Power over Ethernet 802.3af ed è certificato Wi-Fi (Wireless Fidelity) per assicurare l'interoperabilità con dispositivi di altri produttori; il dispositivo verrà aggiornato con le specifiche IEEE 802.11i in concomitanza con la ratifica del nuovo standard. Progettato per rispondere alle esigenze di sicurezza e interoperabilità, l’access point HP ProCurve 420 integra il controllo dell'accesso 802.1X port-based per l’autenticazione sicura degli utenti e la protezione dell’accesso alla rete wireless. Il supporto EAP di 802.1X comprende i metodi MD5, TLS, TTLS e PEAP. Per garantire un accesso sicuro alla rete prevede l’accesso protetto al Wi-Fi, combinando l'autenticazione dell'utente 802.1X con il metodo crittografico Temporal Key Integrity Protocol (TKIP). Tra le altre caratteristiche si segnala una migliore gestione della crittografia con l'assegnazione e la riprogrammazione dinamica della chiave WEP per utente e per sessione e il tagging di fino a 64 VLAN conformi allo standard 802.1Q. 29 NetworkiNg Italtel nell’arena della sicurezza gestita La società di telecomunicazione si propone come leader nei servizi di sicurezza gestita per le reti carrier e enterprise I taltel ha annunciato la sua discesa nell’arena dei servizi professionali e gestiti, decisione strategica per la società italiana di telecomunicazione rafforzata anche dalla acquisizione del ramo di azienda “security operation center” di Securmatics. Per chiarire obiettivi e strategie della società abbiamo incontrato Maurizio Tondi, Responsabile Service Marketing & Engineering della Business Unit Professional Services di Italtel. S: Quali sono state le motivazioni che hanno portato Italtel ad investire in un settore di notevole interesse per le aziende ma che non è tipico di un produttore di Tlc? T: Abbiamo un prodotto proprietario forte, la linea di centrali multiservizi iMSS, e sino ad ora abbiamo considerato la parte di assessment, di design, di progettazione, di conduzione di un progetto e i servizi post vendita come parte integrante del prodotto. Ad un certo punto abbiamo osservato che c’era lo spazio per una proposizione più articolata che valorizzasse un nuovo portafoglio di offerta di servizi. S: Quindi vi siete adeguati? T: Diciamo che il management aziendale ha valutato che una ulteriore caratterizzazione di Italtel si potesse ottenere tramite un portafoglio allargato di Servizi Professionali, che da una parte accompagnassero il ciclo di fornitura della soluzione Italtel e delle reti multiservizio, dall’altra parte contribuissero a realizzare questa famosa convergenza estendendosi anche a componenti un poco più ICT. Da questo sono derivati i servizi di audit e di verifica delle infrastrutture preesistenti, ovvia- 30 NetworkiNg mente assumendo che i grandi clienti siano già in possesso dell’infrastruttura e che su questa desiderano realizzare una evoluzione ed innovazione tecnologica. S: Questo sempre con l’”intermediazione” del vostro cliente, cioè il Carrier. T: Noi lavoriamo per il Carrier, per il Service Provider, quindi anche lo stesso Service Provider che si dota di una soluzione innovativa per farlo ha bisogno di effettuare una verifica della propria infrastruttura, un servizio che noi possiamo fornire. Se, ad esempio, il cliente deve realizzare l’introduzione della sua rete non direttamente in produzione ma in un’area circoscritta è possibile utilizzare i nostri testplant e fare le opportune verifiche di impatto preventivo. I servizi disponibili sono stati sviluppati a partire da quelli che precedono il deployment sino a quelli di installazione, test e collaudo sia per il nostro prodotto, sia, visto che realizziamo reti multiservizio, per componenti di internetworking IP, leggasi Cisco, con cui abbiamo una consolidata partnership. Tutte queste sono attività che non è che prima non esistessero o Italtel non le fornisse, ma che ora sono state razionalizzate ed arricchite e che hanno quindi una maggiore enfasi perché è il mercato che lo richiede. S: E per quanto concerne servizi innovativi ? T: A partire da quelli tradizionali siamo passati a servizi che non sono più inerenti alla sola fase progettuale ma che aggiungono valore nella fase della post-vendita, che ovviamente è sempre più critica. Nel concreto, abbiamo sviluppato una serie di servizi che vanno dall’help desk all’assistenza on site, all’assistenza remota, alla gestione delle parti di ricambio, alla gestione operativa presso il NOC (Network Operation Center) del cliente nonché dell’intero processo di intervento e di manutenzione. S: Con quale modello applicate queste esperienze “native” o “acquisite”? T: Il nostro modello di mercato prevede di operare al supporto del business degli operatori nostri clienti, fornendo loro servizi che indirizzano il “cuore” del sistema di gestione della rete, ciò che sia chiama OSS/BSS (Operation Support System e Business Support System) e che garantisce loro l’ “assurance” dei servizi erogati. In tempi più recenti abbiamo incominciato a lavorare anche per i clienti degli operatori, pur mantenendo l’operatore come intermediario. In questo modo, oltre ai servizi di connettività e di trasporto, riusciamo ad aggiungere alla linea di ricavi i servizi di sicurezza gestita che costituiscono un elemento di differenziazione sul mercato e di fidelizzazione del cliente, in quanto la sicurezza è un aspetto molto pervasivo che interessa realtà mission critical. S: Per quanto concerne la sicurezza, quali sono stati gli elementi che vi hanno spinti in questa direzione? T: Su questo tema i driver che hanno portato l’azienda a investire sono stati due, uno esterno ed uno interno. Quello esterno è il mercato, dove il settore della sicurezza è il settore di massima attenzione e crescita. Se si analizzano le fonti, gli analisti prevedono che nel 2004 ci saranno circa 400 milioni di Euro investiti nel settore della sicurezza, compreso prodotti e software, di cui almeno 300 per i servizi. Di questi 300, che comprendono servizi IT legati anche alla progettazione, la componente sicurezza gestita è rilevante. In un quadro in cui questo mercato cresce complessivamente del 14% la sicurezza gestita, come filone, cresce del 18%. E’ questa osservazione esterna che ci ha confortati nelle nostra decisione di essere presenti nel settore, anche se in maniera selettiva. S: E il secondo driver? T: Consiste nel fatto che i clienti tendono sempre più a percepire la sicurezza come un loro bisogno primario. Ci siamo però posti il problema di quale fosse il tipo di “sicurezza” sostenibile come proposizione presso i nostri clienti per una società come Italtel, leader nell’ambito della commutazione, della integrazione e delle reti multiservizio e abbiamo considerato che non poteva che essere la sicurezza connessa alla rete. In pratica, non siamo e non vogliamo essere una azienda che si occupa di “tutta” la sicurezza ma vogliamo posizionarci come leader per ciò che concerne la sicurezza connessa alla rete adottando quello che Gartner Group chiama la “Security in the cloud”. S:Come avete organizzato il vostro “presidio” nella sicurezza di rete? T: Abbiamo diviso questo approccio alla sicurezza in due filoni. Il primo è di tipo progettuale. Abbiamo sviluppato servizi di assessment della sicurezza e di progettazione di reti sicure, con componenti anche tradizionali, ad esempio la sicurezza di tipo perimetrale, il vulnerability e il risk assessment, il deployment, le isole proxy, tutte cose molto legato alla rete. Il secondo filone è quello dei servizi di sicurezza gestita. Gli elementi su cui ci concentriamo maggiormente sono i managed firewall, i managed intrusion detection system e i managed antivirus, che lato cliente corrispondono agli elementi ritenuti più importanti e su cui c’è maggiore attenzione dal punto di vista del monitoraggio e della gestione. A questi si aggiungono managed VPN, managed authentication e security intelligence. Va detto che sui primi tre abbiamo già una suite di prodotti e un SOC attivo in grado di gestirli e di permettere l’erogazione di servizi SLA. S: Che obiettivi avete per ciò che concerne l’erogazione di questi Servizi? T: Abbiamo già previsto di erogare questi servizi nel corso del 2004 . Prevediamo il picco come accettazione da parte del cliente di questo modello nel corso del 2005. Secondo noi il 2005 sarà l’anno dei “Managed Service Provider” ma già il 2004 potrà registrare importanti realizzazioni in questo settore. G.S. Maurizio Tondi, Responsabile Service Marketing & Engineering della Business Unit Professional Services di Italtel 31 NetworkiNg Due infrastrutture a braccetto per una rete wireless comune Con l’evoluzione del 3G si prospetta un periodo di coesistenza tra WCDMA ed EDGE per l’erogazione di servizi multimediali L a migrazione verso la terza generazione di sistemi di comunicazione mobile promette di rendere disponibili agli utenti maggiori funzionalità e nuovi servizi e apre, agli operatori, nuove opportunità per far crescere la base di abbonati. Questa evoluzione si sta sviluppando in due modalità. Da una parte l’affermazione del WCDMA come sistema di accesso wireless su uno spettro a banda larga e, dall’altra, l’evoluzione attraverso EDGE, basata sullo stesso spettro di frequenze che caratterizza l’attuale tecnologia GSM. Le differenze tra i due sistemi sono molteplici, ma vi sono diversi aspetti comuni che lasciano intravedere una possibile coesistenza di queste due modalità. I fornitori di servizi di comunicazione mobile stanno valutando diversi possibili modi e tempi per compiere questa transizione evolutiva. Ovviamente gli aspetti di maggiore interesse per gli operatori sono di mantenere la fidelizzazione della propria base di clienti, cercando di sfruttare al massimo gli investimenti fatti in passato e riutilizzando, per quanto possibile, le risorse di rete e gli asset già disponibili (tra cui le bande di frequenza). • Il WCDMA Il sistema WCDMA (Wideband Code Division Multiple Access) rappresenta un’estensione a larga banda della tecnologia CDMA ed è stato sviluppato allo scopo di definire uno standard a livello globale per l’erogazione in tempo reale di servizi multimediali. Attraverso il supporto dell’ITU (International Telcommunication Union) è stato inizialmente assegnato a questo sistema di telefonia di terza generazio- 32 NetworkiNg ne lo spettro di frequenza a 2 GHZ. Il compito di definire le specifiche WCDMA è stato quindi affidato al 3GPP (Third Generation Partnership Project). A differenza del sistema GSM, che utilizza la tecnologia TDMA (Time Division Multiple Access) sfruttando frequenze e “time slot” per distinguere gli utenti all’interno di una stessa cella, la rete di accesso WCDMA consente di servire simultaneamente gli utenti di una cella negli stessi 5 MHz di banda nominale, utilizzando un sistema di distinzione basato su codici univoci. La tecnologia WCDMA viene utilizzata nello standard UMTS (Universal Mobile Telecommunications System), che rende disponibile per un utente mobile una velocità di trasmissione fino a 384 Kbps e fino a 2 Mbps per connessione tra dispositivi fermi l’uno rispetto all’altro. • GPRS ed EDGE GPRS rappresenta un sottosistema dello standard GSM che consente di incrementare la velocità di trasferimento introducendo il concetto di trasmissione a commutazione di pacchetto. GPRS è perciò in grado di fornire un data rate di 115 Kbps e, teoricamente, di arrivare a 160 Kbps sul livello fisico. EDGE rappresenta un “add-on” di GPRS, che introduce nuove tecniche di modulazione e un nuovo sistema di codifica del canale. Grazie a queste tecniche è possibile trasmettere servizi e voce sia di tipo a commutazione di circuito, sia a commutazione di pacchetto. GPRS ed EDGE hanno comportamento e protocolli differenti sul lato della stazione base del sistema, ma sulla parte “core” della rete condividono il medesimo protocollo per il trattamento dei pacchetti e si comportano nello sesso modo. Grazie all’impiego di questi nuovi metodi di trasmissione a prova di errore e di un migliorato adattamento alla connessione, EDGE è in grado di fornire un throughput fino a 384 Kbps e, in teoria, fino a 473 Kbps, utilizzando lo spettro di frequenza esistente (800, 900, 1800, 1900 MHz). Inoltre, poiché lo stesso “time slot” è in grado di supportare più utenti, sono richieste inferiori risorse radio per supportare lo stesso livello di traffico, liberando capacità per altri servizi voce o dati. Per queste ragioni EDGE fornisce una capacità tre volte superiore rispetto a GPRS. Il passo tecnologico successivo prevede una serie di miglioramenti indirizzati alla fornitura di servizi per il dominio a commutazione di pacchetto e un migliore supporto per le classi QoS definite per l’UMTS. Tutto ciò si realizzerà nello standard GERAN (GSM / EDGE Radio Access Network) che rientra nell’attività svolta dal 3GPP e si basa sulle tecniche di trasmissione ad alta velocità di EDGE, combinate con l’interfaccia di collegamento radio di GPRS. In funzione di quanto detto EDGE può, quindi, essere considerato come un elemento fondamentale verso la realizzazione di una rete unificata GSM/WCDMA con un core network comune e differenti metodi di accesso che risultino trasparenti per l’utente finale. • Verso una rete unificata La realizzazione di una soluzione di comunicazione mobile unificata richiede un network in grado di combinare le risorse GSM e WCDM e l’utilizzo di terminali multimodali che possano gestire voce e dati su entrambi gli spettri di frequenza. Da un punto di vista generale, un’architettura di rete per l’accesso a radiofrequenza comprende un nodo che gestisce la trasmissione e la ricezione radio da e verso i terminali e un nodo che controlla tutte le funzioni della rete di accesso e connette la rete radio alla parte “core” del network. I nodi di controllo GSM e WCDMA sono connessi con la parte centrale della rete rispettivamente tramite le interfacce standardizzate A e Iu, mentre verso i nodi di trasmissione mediante le interfacce Iub e Abis. Un elemento fondamentale per combinare le due reti di accesso GSM e WCDM è quello di definire un sistema per il controllo del traffico che sia in grado di gestire tutto lo spettro di frequenze allocato dai due sistemi come una singola unità. Questa funzionalità di controllo del traffico va realizzata attraverso interfacce standard per la comunicazione intersistema. I servizi in una rete comune potranno dunque essere forniti in una o nell’altra modalità di accesso, in funzione della disponibilità di risorse o della richiesta di servizio. D'altronde c’è da aspettarsi che l’utente sia poco interessato alla tipologia di rete utilizzata, fintanto che il servizio non subisce un degrado evidente. Oltre a poter condividere la stessa parte di “core network” e i terminali mobili (multimodali), le due infrastrutture potranno condividere anche elementi quali i siti delle stazioni radio base per la copertura del servizio in aree urbane, la rete di servizio, il sistema di amministrazione dei clienti, il sistema di supporto operativo e quello di gestione del network. R.F. Lo schema di un’architettura comune GSM/WCDMA 33 NetworkiNg Tecnologie Nortel e ingegneria Gfi Ois per le reti enterprise Il gruppo Electrolux ha realizzato una rete aziendale di nuova generazione per collegare 4 stabilimenti e 3500 postazioni di lavoro. L Rete logica della sede di Porcia 34 NetworkiNg e disponibilità di piattaforme tecnologiche di nuova generazione, dotate di funzionalità di ridondanza e di continuità operativa, pongono le basi per la migrazione verso reti aziendali di nuova generazione e costituiscono una solida piattaforma su cui pianificare sia l'IT aziendale che il consolidamento di server e storage. Non meno importanti le possibilità che si aprono per la convergenza di applicazioni dati, voce e video. La condizione sine qua non per ottenere il massimo dei benefici richiede però che alla tecnologia di rete si accompagni una profonda capacità progettuale, la conoscenza dei protocolli di rete e IT, delle problematiche di sicurezza, di esigenze applicative, di migrazione e di supporto ingegneristico. Un esempio di realizzazione che coniuga tecnologie e aspetti progettuali in un ambiente che spazia dalla realtà locale a quella geografica, lo si trova nella realizzazione fatta da Gfi OiS presso il gruppo Electrolux (società tra i leader mondiali del settore dell'elettrodomestico), che ha avviato una riorganizzazione dell’infrastruttura IT del- l'ambiente di office che coinvolgerà progressivamente l'ambiente di fabbrica, sino ad analizzare la possibilità di realizzare una vera e propria rete di interconnessione "metropolitana like" dei suoi impianti industriali. • Il perché del progetto La base di partenza è stata costituita da circa 3500 postazioni di lavoro, distribuite in 4 stabilimenti, connesse in token ring e da sistemi di cablaggio con anelli in fibra o in rame CAT5 già esistenti. La soluzione di rete, pur con l'utilizzo di Switch TR ha finito con il mostrare limiti nella capacità trasmissiva e nel livello di affidabilità complessiva. Due le scelte fatte dalla società per eliminare questi problemi. In termini di piattaforme ha adottato la tecnologia di commutazione Passport 8000 di Nortel Networks, ritenuta la più adatta per far fronte ad una serie di esigenze applicative specifiche. In particolare la continuità operativa, che doveva avere le caratteristiche tipiche del 99,999% di una rete pubblica, soprattutto per basarvi le attività di consolidamento di server e storage e piani di disaster recovery. Va osservato che negli 8000 sono confluite le esperienze che Nortel ha maturato nelle reti pubbliche come la ridondanza di tutte le parti critiche della macchina (alimentatori, ventole, processori, schede di linea) e la disponibilità del protocollo di giunzione SMLT, che permette di suddividere in modo dinamico il traffico su più connessioni di rete e reinstradare automaticamente il traffico in caso di failure. In particolare, presso lo stabilimento di Porcia (il maggiore in termini di estensione e numero di postazioni) il progetto ha portato alla realizzazione di due aree CED separate funzionanti in modalità disaster recovery, interconnesse con l'utilizzo delle fibre e dei cablaggi esistenti e "cluster" di switch 8000. Il risultato è che anche se uno o due apparati del cluster vengono posti off-line per malfunzionamento o manutenzione, i servizi IT continuano ad essere erogati in modo trasparente per le applicazioni e gli utilizzatori. Un approccio simile lo si ha anche nella periferia della rete, dove la connessione tra switch 8000 di core e switch stackable prevede l'utilizzo di fibre che, a partire da uno stack, connettono due diversi switch 8000, con velocità Fast o Gigabit Ethernet. In caso di malfunzionamento di uno switch dello stack o del core si ha la commutazione automatica delle sessioni sugli altri apparati di rete. Il progetto ha previsto anche la possibilità di caduta di un link facendo sì che il link rimasto attivo sia in grado di supportare l'intero traffico afferente. In pratica, si ha normalmente una capacità di banda doppia e un sistema che non presenta singoli punti di guasto che possano inficiare l'operatività del sistema IT. Nel complesso quindi, si è in presenza di una architettura di rete fortemente ridondata sia in periferia che nel core e in grado, con l'organizzazione basata su due CED interconnessi da fibre ottiche a velocità Gigabit, di disporre di percorsi ridondati a partire dai server sino a livello di desk top, con il protocollo di multitrunking che gestisce automaticamente il reinstradamento delle sessioni. Sempre a livello di rete è poi gestita la realizzazione di Lan virtuali e i diversi tipi di traffico in base a livelli di priorità prestabiliti. • Una prospettiva metropolitana Uno degli aspetti che ha portato all'adozione della linea di switch Passport 8000 deriva dalla possibilità di utilizzarli per realizzare delle reti MAN, con l'interconnessione delle sedi regionali tramite portanti ottiche ad altissima capacità. In una prima fase di questa evoluzione viene infatti ipotizzata la connessione di 4 delle sedi esistenti nell'area. Quello realizzato Passport 8000: Switch per il backbone enterprise La linea 8000 è uno egli elementi di punta della strategia di Nortel Networks nel settore delle reti della fascia enterprise. E' costituita da apparati che dispongono di funzionalità adatte sia per il backbone di una rete enterprise che di reti MAN. Presentano un grado elevato di resilienza, derivante sia dalla tecnica costruttiva sia dal disporre della funzione SMLT, che mette a disposizione un trunk di fail-over per applicazioni business critical dati o voce su IP. Gli Switch possono anche gestire la priorità e classificare il traffico su 8 diversi livelli di servizio. Negli switch è possibile inserire dei moduli specializzati per applicazioni di livello 4-7. Può equipaggiare schede Ethernet 10/100/1000/10000 e ATM. Integra soluzioni di sicurezza basate su ASIC e la funzione SSL. è comunque un primo passo di una evoluzione che prevede diverse fasi. Se una MAN è per il futuro, quello che è già stato fatto è la realizzazione di una infrastruttura di rete locale altamente resiliente che permette di aumentare la disponibilità e le performance del servizio suddividendo i server di rete sulle due aree CED. Non mancano poi esperienze di telefonia su IP, anche se una vera e propria convergenza fonia dati richiederà ulteriori analisi. G.S. Attività di progettazione e ingegneria di Gfi OiS Progettazione e installazione della rete è stato compito di Gfi OiS in stretta collaborazione con il network team di Electrolux IT Solutions. Gfi OiS è una società attiva in Italia da oltre 40 anni nel campo della progettazione e realizzazione di soluzioni informatiche e servizi ad alto valore aggiunto per PA Centrale e Locale, Finanza, Industria e Servizi, Telecomunicazioni. Dall'Agosto 2000 fa parte di Gfi Informatique, gruppo francese che conta oltre 7000 dipendenti distribuiti in 11 paesi Europei, in Nord-Africa ed in Canada. Un punto di svolta nel campo della progettazione di reti trasmissive lo ha però fatto nel Gennaio 2003, con l'acquisizione di Gfi Technology, che poi non è altro che la Atel Internetworking, società con una consolidata esperienza nella progettazione e nella realizzazione di reti dati e in soluzioni per la sicurezza. E' proprio la Business Unit Networking, diretta da Alberto Bugini, che ha progettato e realizzato, assieme al network team di Electrolux IT Solutions, coordinato da Marco Moscardi, la soluzione di rete adottata. La BU Networking, in sintonia con il team Electrolux, non solo ha disegnato la soluzione, ma ha realizzato anche le fasi di migrazione dalla rete token a quella Gigabit Ethernet, migrazione effettuata implementando una vera e propria rete parallela e realizzando il passaggio degli utenti da una all'altra senza causare interruzioni del servizio. Un progetto che sta completando le ultime fasi e che complessivamente ha coperto un arco temporale di sei mesi. 35 NetworkiNg Si uniscono le reti di Avaya ed Extreme A vaya ed Extreme Networks hanno annunciato un accordo per lo sviluppo e la commercializzazione di soluzioni convergenti, che integrano la tecnologia di IP Telephony della prima con i dispositivi di rete della seconda. Dietro le quinte dell’intesa, una strategia di sviluppo congiunto che prosegue da oltre un anno e che ha portato a disegnare un portafoglio di prodotti di rete complementare. Grazie a ciò, risulta semplificato l’approccio sancito dall’accordo tale per cui Extreme potrà vendere anche le soluzioni di fascia bassa targate Avaya, mentre quest’ultima, attraverso la propria struttura Avaya Global Services, potrà fornire ai propri clienti gli switch high end di Extreme. Le due aziende hanno annunciato l’intenzione di mantenere una ricerca e sviluppo congiunta, soprattutto per la realizzazione di nuove tecnologie di management, provisioning, QoS e sicurezza. Poiché l’accordo comprende anche un’opzione concessa ad Avaya per l’acquisto di 2,6 milioni di azioni di Extreme, non manca chi si é chiesto se l’intesa non sia, per caso, il preludio a un matrimonio tra le due società. Avaya Global Services fornirà per i prodotti Extreme lo stesso supporto che mette a disposizione dei propri. Del resto, la divisione servizi della società statunitense da tempo agisce secondo una strategia di indipendenza dal mercato, riscuotendo un discreto successo e aumentando il proprio peso all’interno del bilancio societario. La recente acquisizione di Expanets da parte di Avaya conferma l’investimento che la casa statunitense nel settore dei servizi. Expanets, infatti, è un system integrator nordamericano specializzato nella fornitura di rete e servizi di comunicazione convergente a piccole e medie imprese. Il software di gestione Hp va alle aziende “agili” A ttraverso una gamma di soluzioni che ruota attorno alla piattaforma modulare OpenView, Hp propone da anni un approccio gestionale come elemento strategico di business. Rispetto a un mercato italiano di fascia più bassa, che appare ancora indolente nell’adozione di soluzioni di questo tipo, Maria Letizia Mariani, responsabile italiana del software Hp, ribadisce una visione ottimista, sorretta da buoni risultati. «I nostri risultati a livello italiano sono molto significativi e la nostra percezione è che i temi di azienda agile e adattabile siano davvero al centro dell’attenzione, perché il mercato obbliga le società a ripensare il business e l’inerzia viene battuta dalla necessità di evolvere per sopravvivere». La proposta Hp non è dunque indirizzata a una tipologia aziendale, ma verso realtà che dimostrano un’attitudine a sposare la sua vision. «Lavoriamo bene con aziende che percepisco- 36 NetworkiNg no il valore della nostra visione di “adaptive enterprise” che non richiede la presenza di centinaia di server, ma flessibilità». La dimensione dell’aziende si fa sentire di più nella modalità di implementazione. «Con le aziende di fascia media, la cosa più importante per noi è un approccio basato su progetti pilota, con un lavoro di analisi e costruendo il progetto in un contesto globale». Il futuro si prospetta improntato verso un’infrastruttura sempre più intelligente. «I prossimi temi nell’evoluzione del software di gestione ruoteranno attorno all’inserimento di maggiore intelligenza e integrazione, predisponendo un’infrastruttura in grado di raccogliere in modo automatizzato più elementi e di correlarli tra loro. Tutto ciò si basa sul presupposto che l’IT sia erogato in termini di servizi e che la tecnologia abilitante sia quella dei Web Service». L’arena pericolosa del 64 bit L’ investimento per sviluppare un nuovo processore può esser stimato in una cifra non inferiore a tre miliardi di dollari. Appare dunque evidente che le aziende che si possono permettere di sostenere investimenti di questa proporzione sono pochissime e meno ancora sono quelle che dispongono delle competenze per farlo. Se consideriamo il mercato delle CPU, l’elenco dei vendor si riduce essenzialmente a quattro: Intel, Ibm, Amd e Sun. Il business delle CPU è certamente di proporzioni enormi, ma altrettanto grandi sono i rischi che porta con sé. La necessità di rientrare da investimenti così ingenti si confronta, infatti, con una continua riduzione del ciclo di vita dei microprocessori, indotta da evoluzioni tecnologiche, congiunture economiche e politiche di mercato. “Sbagliare” un nuovo processore può significare un tracollo finanziario quasi irreparabile e, attualmente, l’arena in cui si stanno giocando partite pericolose ha un solo nome: 64 bit. Fatta eccezione per AMD, che ha deciso di indirizzarsi verso il 64 bit adottando uno sviluppo dell’architettura x86, tutti gli altri produttori hanno scelto la strada di sviluppare nuove soluzioni architetturali per la tecnologia a 64 bit. Intel, con lo sviluppo contemporaneo di Itanium e Itanium2, ha introdotto il sistema EPIC che delega al compilatore il compito di trovare le condizioni per ottimizzare l’esecuzione del codice. Le due versioni, tuttavia, seppur con la stessa ideologia, sono finite per avere un’architettura differente e Itanium2 si è dimostrata come la vera soluzioni a carattere commerciale. La decisione di AMD, d’altra parte, è solo parzialmente filosofica, poiché la società non disponeva di risorse confrontabili con quelle di Intel e ha quindi optato per sportare la competizione su un altro percorso. Va considerato, a questo punto, quali sono gli effettivi vantaggi di una CPU a 64 bit. Uno degli aspetti più interessanti è quello di potersi avvantaggiare di database server a 64 bit in grado di indirizzare più di 4 GB di memoria, che aprono l’allettante prospettiva di riuscire a mettere interamente nella RAM i database “seri” con dimensioni superiori a 4 GB. I vantaggi di Itanium si spendono meglio sulle applicazioni a 64 bit, mentre nell’ambito dei server low end e delle workstation su cui girano applicazioni a 32 bit, la soluzione AMD potrebbe avvantaggiarsi. Resta, quindi, da vedere come evolverà lo sviluppo applicativo e se Microsft deciderà (cosa invero poco probabile) di rendere disponibile in tempi relativamente brevi un sistema operativo a 64 bit. Val la pena anche citare la fantomatica tecnologia Yamhill, che Intel starebbe mettendo a punto come risposta diretta all’architettura AMD x86-64, ma cha non ha mai trovato conferme ufficiali. Nella competizione rientrano, ovviamente, anche i tradizionali player del mercato RISC, ovvero Ibm e Sun Microsystems, che devono preoccuparsi meno di questioni legate all’evoluzione del sistema operativo. La famiglia di processori Ibm PowerPC rappresenta probabilmente il principale competitor di Itanium 2 e non va sottovalutata la penetrazione della versione “ridotta” PPC 970 disponibile sui sistemi Apple e ora adottata anche sui blade server Ibm. Nel frattempo Sun prosegue nello sviluppo della CPU UltraSPARC con una roadmap già definita per la versione 5 e che punta al prossimo rilascio della versione IV con la nuova tecnologia multithread. L’accordo con AMD per il rilascio nel 2004 di una famiglia di server SunFire basati su Opteron apre la strada a una collaborazione che vivacizza una competizione ancora tutta aperta. Sembra adatto concludere con l’architettura Alpha, ormai defunta per omissione di supv porto. Riccardo Florio dida da scrivere 37 Lo storage NAS per le PMI L’interesse per soluzioni di storage della famiglia NAS cresce sia presso i fornitori che presso gli utilizzatori L’ adozione di soluzioni storage da parte delle PMI può essere indotta da due fattori. Il primo è il fattore costo, che è andato rapidamente decrescendo nell’ultimo biennio sino a richiedere ora, per le NAS di entry level (ma comunque con caratteristiche sofisticate e capacità di storage elevata), un investimento di poche migliaia di euro. Il secondo è l’entrata in campo di Microsoft, che ha di recente rilasciato una versione aggiornata del suo Windows Powered NAS con il nuovo nome di Windows Storage Server 2003. Il suo entrare in gioco permette di rafforzare la strategia dei produttori per ciò che concerne l’adozione di piattaforme hardware e software standard, che è poi la strada per garantire le PMI sul piano della compatibilità delle soluzioni dei diversi produttori nonchè sul piano della omogeneità gestionale del panorama IT e delle relative applicazioni presenti in azienda. Sino ad ora, a livello di PMI, l’alternativa spaziava dall’adozione di una SAN (soluzione non proprio economica) a quella DAS (soluzione molto vincolante). Un nuovo approccio è rappresentato invece proprio da una NAS, che fornisce un modo più flessibile e semplice per gestire le risorse di storage, non solo perché si adatta maggiormente alle esigenze odierne della realtà aziendale distribuita su scala territoriale ma anche perché ingloba tutta una serie di vantaggi quali, ad esempio: • Tempi ridotti per allocare e gestire lo spazio su disco. • Possibilità di condividere lo storage tra workstation con sistemi operativi diversi. • Installazione in tempi ridotti, anche di pochi minuti. 38 Server e Storage • Gestione flessibile realizzabile anche a livello di rete IP tramite browser Internet standard. Distribuibilità delle unità NAS a livello di rete IP locale e geografica tramite interfacce standard. In pratica quindi, una soluzione NAS è un dispositivo di storage a cui si possono collegare quasi tutti i tipi di sistemi client, client che possono accedere allo spazio condiviso (costituito dall’insieme dei dispositivi NAS, locali o remoti) tramite una connessione LAN o WAN. Una caratteristica, che proprio per le PMI assume un ruolo importante, è che le soluzioni NAS sono usualmente preinstallate, e vengono definite spesso come "Plug & Play" proprio perchè non occorre installare né uno specifico sistema operativo né aggiungere driver supplementari per i componenti hardware necessari ad accedere allo storage. Una volta connesso e configurato per la LAN il dispositivo NAS, la cosa che rimane da fare è quella di autorizzare l'accesso agli utenti mediante l'interfaccia di gestione, generalmente disponibile anche in versione Web. • I mattoni di una soluzione NAS Le soluzioni NAS possono essere ricondotte ad una architettura comune costituita da un insieme di elementi base. Uno di quelli fondamentali è il sistema operativo, perché le sue caratteristiche hanno un impatto diretto sulla semplicità di installazione e di integrazione di una soluzione NAS nell'ambiente IT. In effetti , è evidente che Microsoft, nella sua entrata nell’arena con il suo sistema operativo Windows Storage Server 2003, intende proprio far leva sulla amplissima diffusione a livello di PMI dei suoi sistemi operativi per l’ambiente Office. Un secondo elemento è la gestione. In gene- rale , e con l’adozione di sistemi operativi standard, una NAS, dopo essere stata installata, può essere gestita da qualsiasi browser Web e richiede la stessa manutenzione, ad esempio, di un server Windows. Un ulteriore elemento è costituito dalla connettività e dal suo grado di apertura, e cioè della flessibilità che presenta per una sua inserzione in rete in funzione delle diverse tipologie di protocollo di trasporto presenti in azienda. Proprio per facilitare una installazione il più possibile automatica, sempre più frequenti sono soluzioni NAS caratterizzate dalla disponibilità di serie di numerosi protocolli di rete, che possono andare da quelli che consentono l'accesso da client Windows (CIFS), a NetWare (NCP) o a Linux/Unix (NFS). • Come una NAS protegge i dati aziendali in una PMI Le NAS permettono di proteggere i dati in molti modi. Vediamone alcuni tra i più importanti e innovativi. SnapShot: è una tecnologia che consente di effettuare una copia dei dati in qualsiasi momento e, per questo, viene definita anche copia "point-in-time". A sua volta e successivamente questa copia può essere duplicata e memorizzata su un altro dispositivo NAS o su una unità nastro mediante altre applicazione di backup, e questo lasciando inalterati i dati iniziali. L’interesse per questa tecnologia deriva dai risparmi che si ottengono per quanto riguarda la memoria necessaria. Ad esempio, un volume da 200 GByte che subisce un 5% di modifiche al giorno richiede un volume di snapshot di soli 10 GByte. Replica dei dati: è una tecnologia che crea un'immagine duplicata completa dei dati presenti su un dispositivo NAS. Una volta eseguita la replica, nelle fasi di allineamento successive sono sincronizzate solo le modifiche ai dati tra i dispositivi NAS. In pratica, è una soluzione che trova spazio dove si devono proteggere dei dati che però devono essere immediatamente accessibili in caso di malfunzionamento di uno dei diversi siti interessati alla replica. Backup su nastro: è una applicazione che consiste nel trasferire i dati su una unità nastro collegata direttamente al dispositivo NAS. Antivirus: è un insieme di modalità di protezione basate su software antivirus che impediscono l’alterazione dolosa dei dati contenuti In sostanza, una NAS dispone al suo interno di tutta una serie di strumenti che sino ad ora erano tipici di sistemi molto più costosi, mentre si adatta particolarmente bene alle PMI proiettate in ambito geografico e con sedi distribuite tra cui si vogliono mettere in comune i dati, sia ai fini applicativi che per quanto concerne la funzione di backup. Non sorprende quindi il crescere dell’interesse da parte delle aziende. G.S. Caratteristiche principali di soluzioni SAN e NAS Un glossario per lo storage DAS (Direct Attached Storage): Implementazione di dispositivi storage dedicati a ciascun server. SCSI (Small Computer System Interface): Protocollo utilizzato per comunicare con dispositivi di interfaccia SCSI. Utilizzato anche dalla tecnologia Fibre Channel per comunicare con i dischi rigidi. SnapShot: La capacità di duplicazione dei dati all'interno di un server, di un dispositivo NAS o RAID Array con occupazione minima di spazio su disco. Replica dei dati: La capacità di replicare i dati su un altro sistema o sito tramite LAN o WAN. CIFS, NFS, NCP, MAC, HTTP e HP: protocolli che consentono di inviare informazioni tramite una rete. Fibre Channel: è una topologia di rete e un protocollo di trasporto utilizzato per inviare informazioni a livello di blocco di dati tra server e storage utilizzando fibre ottiche. RAID/ADG: RAID (Redundant Array of Inexpensive Disks) consiste nel raggruppare più dischi come se fossero un'unità fisica e nel fornire ridondanza all'interno di quel gruppo di dischi(ad esempio con il mirroring di dati. ADG (Advanced Data Guarding) è la capacità di riunire (riferito in letteratura come stripping) due bit di parità tra più dischi con il risultato di poter far fronte al guasto di due dischi all'interno di un insieme RAID. 39 Server e Storage Dell annuncia una nuova famiglia CX per lo storage Dell rafforza la sua presenza nello storage con una nuova famiglia di prodotti adatti per soluzioni eterogenee e per applicazioni mission critical L’ Il modello CX300 40 Server e Storage ultima evoluzione della piattaforma Dell per lo storage vede espandere verso l’alto, e in pratica più che raddoppiare, le caratteristiche dei nuovi prodotti della famiglia CX, che è ora costituita dai modelli CX300, 500 e 700. Il modello entry level, adatto sia per ambienti storage direct attach che per architetture SAN, è ora costituito dal CX300, che risponde alle esigenze di aziende che solo recentemente hanno visto l’opportunità di dotarsi di soluzioni storage, ma contemporaneamente sposta verso l’alto le caratteristiche di entry point in termine di flessibilità, capacità di storage e ambienti operativi del precedente modello CX200, integrando caratteristiche sino ad ora tipiche di prodotti di fascia medio-alta. Il CX300 condivide con i modelli superiori della famiglia lo stesso progetto e la stessa architettura di base nonché le modalità e le funzionalità di gestione. Ad esempio, oltre a profonde migliorie a livello hardware che ne aumentano non solo le prestazioni ma anche il livello di continuità operativa, la nuova versione dispone del supporto per SnapView (point-in-time copy e clone) e per il sistema operativo Sun Solaris. Come accennato, praticamente raddoppiate tutte le caratteristiche di targa principali. Supporta connessioni dirette sino a 4 server con connessione FC a 2 Gbit e ha la possibilità di supportare sino a 64 ser- ver in configurazione SAN, da un minimo di 5 sino a un massimo di 60 disk drive (15 per enclosure) per un ammontare complessivo di 8.5TB di capacità di storage all’interno di un singolo array. La funzione di write-caching viene supportata a partire da un equipaggiamento minimo di 5 drive. A questo aggiunge il supporto dinamico di unità di espansione tramite l’enclosure addizionale DAE2-ATA, sempre di Dell/EMC. L’interfaccia verso i disk drive è realizzata tramite due canali FC a 2 Gigabit, che permettono di ottenere un throughput massimo di 200MB/s, che diventano 400MB/s se si opera in modalità full duplex. • Sistemi ridondati ad alta affidabilità Quella che però è la vera innovazione apportata da Dell (e che si riscontra in tutti i nuovi modelli) è la duplicazione di tutte le parti critiche. L’apparato prevede infatti due separate unità di Storage Processor, che operano in parallelo e permettono di ottenere un alto livello di affidabilità. Ognuno dei due Storage Processor è a sua volta equipaggiato con porte ottiche FC a 2Gb di Front-end, ognuna con un throughput di canale di 200 MB. Le porte possono essere utilizzate contemporaneamente e con distribuzione automatica del carico tramite il software PowerPath di gestione del fail over e di load balancing. L’architettura ridondata e l’espansione in termine di canali ha portato ad un consistente incremento del volume di carico complessivo sostenibile, che dati di targa indicano, per il CX300, in oltre 680 MB/s di throughput e in circa 60,000 operazioni di I/O di cache al secondo. Anche se è l’entry level della gamma CX, le caratteristiche costruttive ne fanno in pratica un apparato adatto per ambienti business critical o attività produttive che richiedano consistenti caratteristiche di performance e scalability. Può essere installato in ambienti eterogenei Windows, NetWare, Linux e Solaris. Il prezzo è paragonabile a quello della precedente piattaforma. • Il modello intermedio CX500 Il modello intermedio della gamma è il CX500 che sposta verso l’alto le caratteristiche del CX400 ed è adatto sia per applicazioni storage direct attach che per SAN di ampie dimensioni. L’apparato dispone, come il modello inferiore, di 4 porte ottiche FC a 2 Gbit verso gli host e di un massimo di 120 disk drive (15 per enclosure) accessibili tramite porte ottiche FC a 2 Gbit, per un ammontare massimo complessivo della memoria di storage pari a 17,5 TB per singolo array. L’accesso ai dischi prevede però due porte FC per ogni storage processor, per un totale di 4 porte, una soluzione che permette di disporre di un ulteriore livello di ridondanza e che duplica il throughput complessivo verso le unità disco. Come nel modello precedente, le 4 porte FC possono essere utilizzate in modalità fail-over e in load-balancing tramite il software PowerPath. L’architettura ridondata e l’equipaggiamento di porte FC permettono all’apparato, secondo i dati di targa, di gestire un throughput massimo di oltre 720 MB/s e circa 70.000 operazioni di cache/s. A livello di applicazioni dispone delle funzionalità di upgrade on-line e, come opzione, di mirroring sincrono dei dati, di copie point-intime e del software per la gestione (Visual SRM, VisualSAN, SANCopy). La scalabilità e le funzionalità supportate ne fanno un apparato che Dell ritiene ideale per applicazioni cluster che debbano avere caratteristiche di alta disponibilità su cui girino applicazioni come Microsoft Exchange o applicazioni di messaggistica con migliaia di utenti, dove la funzione di mirroring remoto Mirror- View permette di garantire una protezione elevata delle e-mail. Altri ambiti applicativi tipici sono quelli con database di medie/grandi dimensioni, che richiedono la funzione SnapView per realizzare cloni in modalità zero-window. Un ulteriore campo applicativo è poi quello del manufacturing, soprattutto dove è necessaria una elevata capacità elaborativa, ad esempio per applicazioni CAD/CAM. L’architettura duplicata del modello CX300 • Il modello top CX700 Il CX700 è il top della gamma e trova applicazione in un contesto direct channel o in ambienti SAN di fascia elevata. Se lo schema architetturale ricalca quello dei modelli inferiori, quella che appare spinta molto in avanti è la ridondanza e la duplicazione delle componenti, il grado di espandibilità della soluzione, il livello complessivo delle prestazioni e le capacità di storage. Ognuno dei suoi due Storage Processor è dotato di 4 porte FC a 2 Gbit per la connessione diretta verso gli host, con la possibilità, a livello di array, di poter supportare in ambito SAN sino a 256 server. Il numero di disk drive supportati in connessione FC a 2 Gbit è di 240, per un ammontare complessivo di 35 TB di storage. A tutto questo corrisponde la capacità di gestire un throughput di 1500 MB/s e di 200.000 operazioni cache al secondo. Può essere inserito in ambienti eterogenei Windows, Netware, Linux e Unix. A livello funzionale dispone di software di gestione, di business continuity, di disaster recovery e di data movement, che nel complesso ne fanno un apparato adatto per ambienti e applicazioni business critical di classe enterprise che richiedano sia una affidabilità elevata che un altrettanto spinto livello di espandibilità. G.S. 41 Server e Storage Il clustering si fa in quattro per il disaster recovery La continuità delle operazioni e il ripristino dei dati possono essere garantiti con architetture clustering a livello locale, metropolitano o geografico I n un numero sempre maggiore di aziende anche un piccolo downtime dei sistemi, sia imprevisto che pianificato, rappresenta un evento in grado di avere impatto sul business in termini di fatturato o di immagine. Una soluzione di disaster recovery che voglia affrontare in modo efficiente situazioni di possibili failover deve essere valutata in funzione di quali sono gli obiettivi prioritari dell’azienda in termini di tempo massimo che può intercorrere prima che il servizio sia ristabilito e della quantità di dati che è ammissibile perdere, oltre che di come risulteranno i dati successivamente alla fase di recovery. Per queste ragioni, alta disponibilità e disaster recovery rappresentano ormai due concetti che si fondono l’uno nell’altro. La scelta dell’architettura più adatta per implementare una soluzione di disaster recovery va valutata, pertanto, in base alla tipologia di business e di servizio erogato e cercando di conciliare le esigenze di protezione dei dati con quelle dei costi di implementazione. L’implementazione di cluster a livello locale, metropolitano o su area geografica rappresenta una possibile soluzione alle esigenze di disaster recovery. Il concetto di cluster si riferisce all’utilizzo di più sistemi interconnessi tra loro e in grado di condividere risorse di memorizzazione in modo tale che, nel caso in cui si verifichi un guasto in uno dei nodi, l’applicazione o i dati relativi possano continuare a essere disponibili su un altro sistema del cluster. I differenti approcci architetturali di clustering per il disaster recovery, restano caratterizzati da specifici vantaggi e svantaggi, in relazione alla capacità infrastrutturale preesistente, ai fondi 42 Server e Storage disponibili, alla quantità di dati che è ammissibile perdere e alle pianificazioni future. • Le diverse architetture per il ripristino Il primo e più semplice modo di utilizzare un cluster è a livello locale, per garantire l’alta disponibilità e il recovery dei dati in caso di failover di server, applicazioni o database. In questa configurazione tutte le componenti del cluster risiedono all’interno di un singolo data center e tutti i nodi condividono tra loro le risorse di storage disponibili in rete. Questa architettura permette di ripristinare le applicazioni e il database in tempi estremamente rapidi senza alcuna perdita dei dati, utilizzando le informazioni presenti sulle risorse di storage condivise. Si tratta di un sistema adatto a fronteggiare situazioni di failover locale, legato a singoli server, ma che non è in grado di fornire protezione nel caso di incidenti che coinvolgano l’intero edificio in cui si trova il data center. In altre parole, il data center rappresenta un “single point of failure”. Per garantire una maggiore protezione delle applicazioni e ripristinare un servizio che è venuto a mancare a seguito di un disastro che ha coinvolto l’intero data center è necessario prevedere la presenza di un secondo sito, che possa entrare in funzione e sostituire le funzioni del primo quando si verificano circostanze di questo tipo. Quando si considera un sito preposto alla funzione di disaster recovery, si tende di solito a pensarlo situato a una grandissima distanza dal primo (anche migliaia di Km). Tuttavia la maggior parte di cause in grado di mettere fuori uso un data center sono spesso confinate su distanze molto più contenute. Possiamo pensare, per esempio, a blackout prolungati, incendi, allagamenti o crolli. Per garantire funzioni di disaster recovery su distanze che rientrano, per esempio, nei confini di una stessa città, è possibile utilizzare un’architettura clustering a livello metropolitano. Si tratta di una soluzione che prevede, in un certo senso, di estendere al di fuori dell’edificio il concetto di cluster locale, realizzando una connessione in fibra ottica che collega due o più cluster. Poiché, topologicamente, si tratta ancora di una stessa sottorete, esiste un limite sulla massima distanza che separa i due siti (non superiore a 100 Km) determinato dalla tecnologia Fibre Channel (FC). Questo tipo di architettura si adatta a casi in cui esiste già una infrastruttura SAN FC e permette di scalare facilmente verso una soluzione più completa di disaster recovery. Prevede il mirroring remoto dei dati in modalità sincrona tra i due siti, evitando la possibile perdita di dati: se sussistono problemi sul sito principale, viene attivato quello secondario su cui sono già presenti i dati aggiornati. Un’alternativa possibile, nei casi in cui un’azienda non preveda di installare un’infrastruttura SAN su FC, è quella di prevedere un clustering metropolitano in cui i dati vengono replicati sui nodi presenti sul secondo sito, utilizzando il protocollo IP su una connessione Ethernet. A fronte di un risparmio nei costi (si evita l’infrastruttura FC), questa architettura resta limi- tata a due siti e fornisce prestazioni di ripristino inferiori (la replicazione è meno efficiente del mirroring). Inoltre, la replica dei dati per un recovery automatico deve essere necessariamente effettuata in modo sincrono e questo può penalizzare le prestazioni delle applicazioni. Il caso di massima protezione è rappresentata da un clustering a livello geografico (Wide Area). In tal caso i due siti sono due data center distintiti, appartenenti a due sottoreti separate. I dati vengono replicati in modo sincrono o asincrono da un sito all’altro mediante una connessione IP. Nei casi in cui la replica venga fatta in modalità asincrona esiste la possibilità di perdita di parte dei dati. Questa architettura ha il vantaggio di offrire massima protezione anche da disastri che avvengono su scala metropolitana (per esempio terremoti di grandi proporzioni, zone di guerra); la scelta del sito secondario dovrebbe, pertanto, esser scelta in modo accorto, evitando per esempio, di collocarsi sulla stessa dorsale di alimentazione elettrica, piuttosto che vicino ad aeroporti o zone critiche. Questo tipo di architettura è molto costosa e viene di solito implementate da società che sono obbligate a farlo per soddisfare requisiti legali o governativi. L’esigenza di fornire soluzioni di protezioni di questo livello e, nel contempo, di contenere i costi, può indurre a considerare la possibilità di utilizzare sedi distaccate all’estero per realizzare un’architettura di clustering di tipo geografico. R.F. Diverse architetture di clustering implementate su scala locale, metropolitana e geografica 43 Server e Storage Fujitsu Siemens Computers virtualizza lo storage su tape CentricStor 100/400 integra tecnologia tape e virtualizzazione delle risorse e permette di ottimizzare lo storage in ambienti aperti eterogenei L’ Il modello CentricStor 44 Server e Storage esigenza di distribuire i dati aziendali su più sedi e di ottimizzare le infrastrutture di supporto continuano a trovare nelle soluzioni a nastro una risposta attraente per quanto concerne l’ottimizzazione degli investimenti e il contenimento dei costi di struttura. La rapidità dell’evoluzione tecnologica e una immissione continua sul mercato di soluzioni tape o di diversi tipi di librerie nastro con caratteristiche fisiche e di prezzo diverse è però uno dei problemi principali che interessa il responsabile dei sistemi informativi. Da una parte le soluzioni nastro sono un modo adatto per conservare i dati ma dall’altra ci si è sino ad ora trovati a dover gestire sistemi generalmente proprietari dotati di drive o librerie fisici non sempre adatte alla specifica applicazione o non facilmente espandibili. Una risposta a questo problema è dato da Fujitsu Siemens Computers che ha sviluppato la linea CentricStor, basata su un’architettura che integra quanto di consolidato è possibile osservare nella tecnologia nastro con il concetto di virtualizzazione delle risorse, sempre più al centro degli interessi ma generalmente riservato allo storage su disco. Quello che ne è derivato è una soluzione che permette di separare logicamente l’infrastruttura server dai dispositivi fisici a nastro, realizzando un sistema aperto in cui diventa possibile aggiungere librerie o tape in funzione delle esigenze e con la linearità necessaria alle applicazioni. Alla base dello sviluppo di CentricStor vi è stata la decisione di Fujitsu Siemens Computers di fornire all’ambiente IT una soluzione per l’archiviazione dei dati di tipo intelligente e aperta, che permettesse di gestire in modo trasparente diverse tipologie di risorse fisiche, di generazione e di produttori diversi, adatta ad una gestione di tipo “nearline”, utilizzabile per il consolidamento di una infrastruttura storage e in grado di permettere la migrazione da supporti tape ad altri senza dover procedere alla sostituzione completa di quanto installato. Ad esempio, posizionata tra server e librerie tape, permette di consolidare ambienti diversi quali Unix,Windows NT/2000 o ambienti mainframe abbinandoli in modo virtuale, trasparente e con una gestione virtuale dei volumi alle diverse tipologie di unità tape esistenti in azienda, il tutto tramite standard industriali quali Fibre Channel, SCSI o ESCON. In pratica, CentricStor agisce come un punto centrale di controllo per la condivisione dello storage e dello smistamento dei flussi dati in modo trasparente e virtuale tra i server e le unità tape fisiche. Il core di CentricStor è costituito da una applicazione brevettata che integra i diversi elementi base della soluzione: una cache online su disco ad alta velocità, una gestione virtuale delle unità tape fisiche, una espandibilità teoricamente illimitata delle dimensioni dello storage fisico. • Un sistema ridondato e ad alte prestazioni La gestione interna dei flussi dati utilizza una tecnologia a switch fibre channel, con la possibilità opzionale di una configurazione ridonda- ta dello switch. La ridondanza delle parti critiche si estende anche agli altri elementi di CentricStor e permette all’apparato di continuare ad operare anche nel caso di un malfunzionamento interno. L’adozione interna di una tecnologia switch fibre channel permette all’apparato di gestire i flussi dati eliminando i colli di bottiglia che possono verificarsi in soluzioni convenzionali quando flussi dati lenti finiscono con il rallentare le prestazioni anche delle altre unità più veloci. L’apparato ingloba inoltre una funzione “dual save” che permette di realizzare il mirroring dei dati sia in locale che su una libreria remota. Oltre a questa funzione, CentricStor permette anche di gestire i volumi corrispondenti a server differenti allocandoli su tape fisici differenti. Sempre su tape fisici diversi è possibile creare la copia di un volume logico realizzata per funzioni di back up. Una funzionalità di base è la possibilità di connettere CentricStor a un ambiente host eterogeneo. Ad esempio, è possibile un accesso contemporaneo ai tape fisici da parte di sistemi BS2000, OS/390, UNIX e NT. Uno delle possibilità che derivano dall’architettura e dalle funzioni disponibili della famiglia CentricStor è che, diversamente da soluzioni più rigide di tipo convenzionale, permette di espandere in teoria indefinitamente il numero delle unità tape e facilita l’adozione di nuove tecnologie senza costringere a cambiare anche quelle disponibili. Un secondo aspetto è costituito, come accennato, dalla possibilità di gestire con uno switch fibre channel i diversi flussi in transito senza creare colli di bottiglia. A questo va aggiunto anche la disponibilità di una cache virtuale interna di tipo RAID, che permette di gestire lo scambio dei flussi tra applicazioni e volumi logici senza rallentare il flusso dati e garantendo un livello di performance adeguato alle specifiche applicazioni. Il trasferimento dei dati che riceve dai server viene realizzato da CentricStor in modalità asincrona tra la memoria RAID e le unità fisiche della libreria tape. • Le versioni e le caratteristiche dei modelli CentricStor La famiglia CentricStor comprende il modello 100 ed il modello 400. Il 100 è proposto da FSC per ambienti open system di medie dimensioni o con mainframe della fascia medio bassa, per il consolidamento di piattaforme omogenee. È fornito in configurazione standard e come soluzione “ready-to-go” con librerie e drive. Supporta un equipaggiamento fisico in termini di drive reali variabile da 2 a 4, a cui corrispondono sino a 32 drive virtuali. La cache equipaggiata va da 0,6 a 2,7 Terabyte. Ha delle performance di targa che vanno dai 50 ai 150 MB/s. Caratteristiche nettamente superiori in termini di capacità quelle del modello superiore della famiglia, il CentricStor 400. L’apparato è proposto da Fujitsu Siemens Computers per ambienti caratterizzati da open system di grandi dimensioni, Mainframe e Data Center, e da una tipologia eterogenea di sistemi di elaborazione. È una soluzione caratterizzata da una scalabilità molto spinta che prevede da 4 a 32 drive reali a cui corrispondono da 64 a 512 drive virtuali. Fortemente espandibile anche la cache interna, che può andare da 0,6 a 38,4 Terabyte, e il livello di performance, che va da 50 a 1200 MB/s. In entrambi i modelli, estremamente ampia anche la tipologia di drive per tape (LTO, Magstar, T9840 e T9940) e di librerie utilizzabili. In particolare, le librerie supportate sono i modelli Scalar 100/1000/10000 e AML di ADIC e i modelli L180, L700, L5550, Powerhorn 9310 e TimberWolf 9740 di Storagetek. G.S. Esempio di utilizzo di CentricStore in un sistema aperto 45 Server e Storage Un “accesso diretto” alla virtualizzazione dei server Le prime specifiche del protocollo RDMA aprono interessanti prospettive per l’accesso alle applicazioni e allo storage. Attesa per iSCSI 2 S i può chiamare ottimizzazione o “guerra agli sprechi”, a seconda che si prediliga il linguaggio ingegneristico o quello quotidiano, ma l’obiettivo resta sempre quello: sfruttare al massimo le risorse disponibili in azienda. I vendor si sono affrettati a sviluppare tecnologie innovative per il consolidamento di tali infrastrutture. Prima fra tutte, la virtualizzazione è stata il leit motif dell’ultimo anno/anno e mezzo. I principali vantaggi si sono ottenuti nell’ambito dello storage, dove virtualizzare sembra essere diventato un obbligo. Infatti, la possibilità di poter considerare tutte o quasi le risorse di memorizzazione come un unico grande file system porta indubbi e immediati benefici, riducendo il numero di dispositivi necessari. Analoghi benefici si possono ottenere nell’ambito dei server, dove le tecnologie di virtualizzazione consentono di utilizzare le risorse di elaborazione normalmente non impiegate. Dietro il software che consente di gestire tutto questo, peraltro, esistono caratteristiche hardware ben precise che devono essere soddisfatte. Nello specifico, è necessario che le risorse “virtuali” possano comunicare tra di loro in maniera sicura e veloce. Non a caso, queste tecnologie, concettualmente concepite nelle università già molti anni fa, sono emerse recentemente in seguito all’evoluzione delle topologie di rete e delle prestazioni delle stesse. All’aumentare di tali prestazioni, cresce il desiderio di superare i colli di bottiglia che tempi di risposta di alcuni sistemi ancora creano nell’infrastruttura. Nel tempo, sono state sviluppate soluzioni proprietarie, alcune delle quali sono assurte a 46 Server e Storage standard industriali spinte da consorzi più o meno indipendenti, soprattutto con l’intento di aumentare le prestazioni di I/O. InfiniBand e VIA (Virtual Interface Architecture), due tra i più noti, altro non sono che diverse tecniche di RDMA (Remote Direct Memory Access), un protocollo di comunicazione che definisce le modalità di trasmissione di dati direttamente dalla memoria di un computer a quello di un altro senza coinvolgere la CPU. Tale protocollo viene implementato direttamente nell’hardware della scheda di rete ed è stato sviluppato con lo scopo di rispondere all’incremento di prestazioni del networking. A quest’ultimo, si aggiunge anche il vantaggio di liberare la CPU da incombenze di I/O permettendo che si concentri sulle applicazioni. • iSCSI e RDMA uniti in nome delle prestazioni Un altro protocollo che, in buona sostanza, si propone lo stesso obiettivo, è iSCSI (Internet SCSI), la cui adozione è stata finora relativamente rallentata dalla scarsa interoperabilità con altri standard diversi dallo SCSI, ma maggiori prospettive sono previste con la seconda release di iSCSI che sarà basata su RDMA. Ma bisognerà aspettare probabilmente il 2005 per iSCSI 2. Del resto, l’RDMA Consortium ha completato la definizione delle specifiche iSER (iSCSI Extensions for RDMA) solo lo scorso 31 ottobre. Mentre già quest’anno si dovrebbero vedere le prime schede di rete che supportano la release 1.0 delle specifiche di base per l’implementazione di RDMA over TCP/IP, il cui primo draft è disponibile dall’ottobre 2002 ed è stato completato nella primavera del 2003. Il consorzio ha lavorato alacremente ed è probabile che i risultati sul mercato arriveranno presto, visto i nomi delle società che lo hanno fondato: Adaptec, Broadcom, Cisco, Dell, EMC, HP, IBM, Intel, Microsoft e Network Appliance, cui si sono aggiunte altre primarie aziende del settore. Con i rilasci del 31 ottobre 2003, RDMA Consortium ha ultimato le specifiche pianificate, ponendo le basi per lo sviluppo delle soluzioni basate su RDMA e che potranno trarre vantaggio anche dalla definizione del protocollo Sockets Direct Protocol (SDP). Quest’ultimo mette in comunicazione diretta hardware compatibile RDMA con il “socket layer” delle applicazioni Internet, le quali potranno sfruttare i vantaggi dell’accesso diretto alla memoria, senza bisogno di essere modificate. La disponibilità di tutte le specifiche consentirà ai costruttori di realizzare i primi prodotti RDMA per il networking, l’Inter-Process Communication (IPC) e lo storage, mentre il consorzio si dedicherà a supportare il processo di standardizzazione del protocollo presso l’IETF che si occuperà dei successivi sviluppi. iSCSI, in ogni caso, dovrà combattere anche su altri fronti la battaglia con Fibre Channel, anche se RDMA risolverà, a detta di molti analisti, la maggior parte dei problemi di latenza con lo stack IP. all’applicazione, in quanto l’applicazione stessa non deve eseguire una chiamata al kernel per accettare i comandi dalla NIC. Questo meccanismo riduce anche il traffico di segnalazione per la gestione del traffico sulla rete, in quanto la comunicazione avviene direttamente tra le NIC dei computer in cui un’applicazione ha effettuato una richiesta di lettura o scrittura RDMA. L’indirizzo di memoria virtuale remota necessaria per l’operazione è contenuto direttamente nel messaggio RDMA e l’unica cosa che l’applicazione deve fare è registrare i dati sul buffer di memoria della propria NIC. Ovviamente, si è pensato anche alla sicurezza: un’applicazione può proteggere la propria memoria da accessi remoti arbitrari impiegando una chiave, il cui valore deve essere specificato dal richiedente. Uno degli ambiti in cui si aspettano i primi risultati dall’impiego di RDMA è il clustering, le cui prestazioni possono essere notevol- Accesso diretto alla memoria per le schede di rete compatibili RDMA • Basso overhead con il kernel bypass Le prestazioni dell’RDMA sono ottenute principalmente mediante due tecniche, che consentono di ridurre la latenza minimizzando la richiesta di banda e l’overhead di elaborazione. Il primo accorgimento prevede la realizzazione di un protocollo di trasporto affidabile direttamente sull’hardware della NIC (Network Card Interface) e il secondo consiste nel bypass del kernel, che permette di evitare copie dei dati in buffer intermedi. Le schede di rete, infatti, possono trasferire i dati direttamente dalla memoria dedicata mente aumentate, anche grazie alla compatibilità di RDMA con librerie quali Direct Access Provider Library, Message Passing Interface e Virtual Interface Provider Library e anche con file system DAFS (Direct Access File System). La combinazione con SCSI, prevista anche dal protocollo SRP (SCSI RDMA Protocol), inoltre, dovrebbe favorire l’accesso storage dei blade server. G.D.B. 47 Server e Storage HP lancia nuove soluzioni NAS per le piccole e medie imprese Annunciati nuovi prodotti NAS StorageWorks e consolidata la partnership con Microsoft con l’adozione di WSS2003 e il programma “Easy as NAS” H Roberto Patano, NAS Business Manager di HP 48 Server e Storage P ha reso disponibile una famiglia di soluzioni NAS adatte alle esigenze delle PMI, con l’obiettivo dichiarato di fornire una soluzione in grado di far fronte ad una ampia gamma di esigenze funzionali e di necessità elaborative. Nonostante una informatizzazione non trascurabile, solo una piccola parte di queste aziende si sta però rivolgendo a configurazioni di storage NAS preconfigurate e l’alternativa adottata finisce con l’essere spesso basata su soluzioni generiche, costituite da server, che non dispongono di quel livello di prestazioni, di semplicità di utilizzo, di gestione e di ottimizzazione che invece possono garantire soluzioni NAS specializzate. Va poi considerato, osserva Roberto Patano, NAS Business Manager di HP, che in questo mercato l’88% dei sistemi operativi utilizzati è Microsoft ed è questa la realtà tipica dove una soluzione NAS correttamente dimensionata e posizionata permette di fornire un effettivo valore aggiunto. Uno dei punti centrali dell’approccio aperto HP alle tecnologie NAS e SAN è la complementarietà tra le due soluzioni, con la disponibilità di modelli della famiglia NAS StorageWorks che permettono di realizzare quella che HP riferisce come “NAS-SAN fusion”, e cioè la possibilità di disporre dei vantaggi di entrambe le tecnologie di storage all’interno di un’unica piattaforma. • Servizi NAS di base e a valore aggiunto La risposta alle esigenze delle aziende, ritiene HP, è una soluzione NAS che abbini a caratteristiche di base un insieme di servizi a valore aggiunto, che sono poi quelli che fanno la differenza tra le varie soluzioni presenti sul mercato. Tra le caratteristiche di base vi è il sistema operativo, che è ovviamente fondamentale ma che HP ritiene debba essere di tipo aperto, e cioè coprire la maggior parte possibile delle realtà applicative aziendali. Non è quindi un caso che la sua nuova linea di NAS sia basata sul sistema operativo Microsoft Windows Storage Server 2003 (WSS 2003). Un secondo elemento di base è la gestione, che nelle soluzioni HP può essere realizzata da remoto tramite browser Web. Un terzo elemento è la connettività, che deve permettere di inserire la NAS all’interno della rete aziendale indipendentemente dalla tipologia dei Client installati, Windows, Unix, Linux, eccetera, e, soprattutto, senza la necessità di acquisire licenze aggiuntive. A queste caratteristiche di base HP ha però aggiunto delle funzionalità che ne costituiscono un consistente valore aggiunto. Ad esempio, per aumentare il livello di disponibilità della NAS aziendale i sistemi NAS StorageWorks 4000s e 9000s (che si posizionano nella parte alta della sua gamma di soluzioni NAS) possono essere configurati in cluster e con il nuovo sistema operativo WSS 2003 possono supportare sino a 8 nodi. Un secondo aspetto è la replica locale o remota dei dati. Questa funzione è fornita da un prodotto chiamato OpenView Storage mirroring, che permette di effettuare la replica remota tra NAS e Server, gestisce il fail-over e la banda trasmissiva disponibile in rete. Un ulteriore aspetto è connesso alla funzione di snap-shot, una modalità di cui si parla da tempo ma generalmente nell’ambito di sistemi di fascia alta. L’adozione di WSS 2003 ha permesso a HP di inglobare questa funzione nelle sue soluzioni NAS per la gamma PMI, con la possibilità di realizzare copie point-in-time che possono essere utilizzate per effettuare il back-up dei dati senza fermare l’operatività dei sistemi. Un ultimo aspetto è la possibilità di operare in un contesto aperto, continuando ad utilizzare soluzioni già esistenti, sia per ciò che concerne le funzioni illustrate che per quanto concerne servizi antivirus. • Le soluzioni della famiglia NAS StorageWorks La visione aperta di HP per il segmento NAS dedicato alle PMI si è concretizzato in nuove soluzioni basate su WSS 2003 che sono già in commercio, installate e operative. La famiglia comprende i modelli NAS StorageWorks serie 1200s, 2000s, 4000s e 9000s. L’entry level è costituito dal prodotto NAS 1200s. Di questo sono disponibili tre modelli, con capacità di storage rispettivamente di 320 Gbyte, di 640 Gbyte e di un Terabyte. Sono equipaggiati con un processore Pentium 4 a 2.4 GHz e, aspetto fondamentale, sono dei “box” chiusi preconfigurati che una volta installati sulla rete Ethernet sono immediatamente utilizzabili. I modelli sono dotati di funzione RAID, del supporto per il back-up e di antivirus. A questo aggiungono le funzioni intrinseche al sistema operativo WSS 2003. Il prezzo di ingresso di listino è di 2760 euro. Il gradino superiore è costituito dal modello 2000s, che espande la capacità di storage sino a 27 Terabyte, anche in questo caso con sistema operativo WSS 2003. I dischi sono di tipo SCSI e protetti, oltre che tramite RAID, anche con l’esclusivo RAID ADG (Advanced Data Guarding), una soluzione già presente all’interno dei Server Proliant che permette di far fronte anche alla rottura contemporanea di due dischi L’hardware di base è costituita dal Proliant DL 380, customizzato per NAS e dotato di doppio alimentatore e 8 ventole. Il gradino superiore è costituito dal modello 4000s, che apre la strada a soluzioni miste SAN-NAS e che è possibile inserire in una SAN già esistente oppure integrare con soluzioni storage di HP, ad esempio con soluzioni MSA 1000. Dispone di un processore più veloce del modello inferiore, può essere equipaggiato con uno o due processori ed ha una memoria di storage scalabile sino a 48 Terabyte. La soluzione più potente della gamma è il modello 9000s, che è caratterizzato da una maggiore espandibilità rispetto al 4000s in termine di slot PCI, dispone di un maggior livello di affidabilità ed è particolarmente adatto per essere connesso a soluzioni storage della fascia enterprise, ad esempio una soluzione HP Enterprise Virtual Array (EVA). Il modello NAS 1200s • Il programma “Easy as NAS” Oltre ad averne adottato il sistema operativo WSS2003, HP, con Microsoft, ha avviato una iniziativa integrata rivolta ai suoi clienti ed al canale riferita come “Easy as NAS". L’iniziativa ha l’obiettivo di rafforzare il suo impegno nella diffusione del know-how e delle tecnologie storage anche per ciò che concerne la fascia di mercato di entry-Ievel. L’iniziativa, secondo Enrico Ivaldi, Network Storage Solutions Country Manager HP per l’Italia, copre le esigenze delle PMI e ingloba una gamma di servizi di supporto volte a facilitare l’aggiornamento e il consolidamento di ambienti storage NAS anche da parte di chi non dispone della esperienza necessaria. “Easy as NAS" fa parte della strategia Adaptive Enterprise di HP e comprende servizi di formazione, training tecnico e assistenza. G.S. 49 Server e Storage Lo storage su disco in equilibrio tra prestazioni e capacità La disparità tra quantità di dati memorizzati e velocità di accesso può penalizzare le prestazioni e determinare un sottoutilizzo dello storage L a capacità di memorizzazione dei dischi magnetici è stata caratterizzata, nell’ultimo decennio, da una crescita sorprendente, grazie soprattutto a un aumento della densità di registrazione a un ritmo di oltre il 60% annuo. A questa crescita in termini di capacità non ha fatto però seguito un incremento di pari livello per quanto riguarda le prestazioni, che sono aumentate di circa il 10% all’anno. L’evoluzione tecnologica degli hard disk, per quanto riguarda le prestazioni, si è sviluppata essenzialmente su tre aspetti: migliorare la parte meccanica, migliorare i controller e ottimizzare il firmware per specifici task. Sul versante della meccanica va ricordato che, per quanto sia grande la sua capacità di storage, un hard disk comprende un solo meccanismo attuatore per lo spostamento delle testine di lettura/scrittura presenti per ogni piatto e che queste possono essere posizionate solo su un cilindro del disco per volta. Gli sforzi per ridurre il tempo medio di accesso ai dati si sono dunque concentrati verso un posizionamento più preciso delle testine e sull’incremento di velocità di rotazione dei dischi (arrivata attualmente a 15.000 giri al minuto, su dischi SCSI o FC). Il tempo medio di accesso ai dati può essere, infatti, considerato come la somma del tempo medio di latenza e di quello medio di ricerca. Il tempo di ricerca è quello impiegato dalla testina per posizionarsi sulla traccia desiderata, dopo che ha ricevuto l’opportuno comando. Il tempo di latenza è invece quello richiesto affinché i dati raggiungano la testina. Dopo che la testina si è posizionata sulla traccia del 50 Server e Storage disco è, infatti, possibile che il settore desiderato si trovi al di sotto di essa (tempo di latenza nullo) oppure che sia stato sorpassato dalla testina. In questo ultimo caso il disco deve compiere ancora un’intera rotazione e, per un disco con velocità di rotazione di 15.000 rpm, il tempo necessario per una rivoluzione è di 4 ms. Ne consegue che il tempo di latenza medio nominale per un disco di questo tipo è di 2 ms. Andrebbe poi aggiunto il tempo necessario per il trasferimento dei dati dalla testina al bus, che può però essere trascurato rispetto agli altri due. Nell’ambito dei controller l’evoluzione si è sviluppata essenzialmente nella velocità dei processori degli hard disk, aumentando la dimensione della memoria cache (fino a 16 MB negli HDD più performanti) e incrementando l’ampiezza di banda dell’interfaccia. L’ultima innovazione, in tal senso, riguarda l’interfaccia SATA (Serial ATA), che consente di superare in termini di velocità di trasferimento dati e di affidabilità l’interfaccia di tipo PATA (Parallel ATA). • Crescono le esigenze di IOPS Un parametro utile per dare una misura del bilanciamento tra prestazioni e capacità è la densità di accesso, definito come il rapporto tra le prestazioni misurate in IOPS (Input/output Operations Per Second) e la capacità misurata in Gigabyte. In configurazioni storage dell’ordine di 2-3 TB, la densità di accesso è di solito mantenuta ben superiore a 1 ma, al crescere della capacità, il valore di questo parametro può scendere al di sotto dell’unità. Per esempio, un sistema di dischi in grado di supportare 4.000 IOPS complessivi a cui sia associata una capacità complessiva di 2 TB fornirà una densità di accesso di 2 mentre, nel caso in cui la capacità sia di 10 TB, essa si abbasserà a 0,4. Un basso valore della densità di accesso non significa, però, necessariamente, un basso livello di prestazioni. Molto dipende dalle caratteristiche dei dati a cui si deve accedere; nel caso in cui, per esempio, una gran parte dei dati viene consultata solo saltuariamente, una densità di accesso di 0,4 può essere in grado di rispondere in modo efficace ai requisiti aziendali. Se consideriamo lo storage necessario per le applicazioni OLTP che accedono alle informazioni presenti in un database (spesso quelle di tipo più critico per le grandi aziende), esso raramente richiede una scalabilità verso l’alto in termini di capacità ma, più spesso, risulta fondamentale garantire l’accesso contemporaneo a un maggior numero di utenti. Inoltre le applicazioni OLTP, servendo molti utenti simultaneamente, tendono a non utilizzare un accesso sequenziale, ma uno di tipo random. Questo rende inefficace l’assunzione della maggior parte degli algoritmi di cache, che il dato successivo a cui riferirsi sia quello nella posizione immediatamente adiacente. Nelle applicazioni di supporto decisionale il principio di prossimità utilizzato negli algoritmi di cache può risultare utile, ma le prestazioni risultano migliori se si i dati vengono distribuiti su più dischi a cui si possa accedere in parallelo, anche se non tutti i database gestiscono in modo ottimizzato questo tipo di memorizzazione. Un sito Web, invece, tende a generare flussi transazionali misti, che includono aggiornamenti, letture casuali e richieste di dati multimediali di dimensione molto variabile e quindi il rapporto tra capacità e prestazioni va valutato in modo opportuno. Per ottenere un throughput maggiore all’interno di un’architetture SAN, risulta più efficace utilizzare un numero superiore di dischi a più bassa capacità rispetto a fornire la stes- sa capacità attraverso meno dischi di grandi dimensioni. Spesso si ricorre a un notevole numero di dischi che viene sottoutilizzato per capacità, attraverso l’utilizzo della tecnica di “short stroking”, che permette di scrivere i dati solo sulla parte più esterna, condensandoli su una superficie minore e riducendo così il tempo di ricerca. Queste configurazioni cercano di evitare che le prestazioni del disco diventino il collo di bottiglia prestazionale del sistema.Tuttavia, l’infrastruttura necessaria per supportare un grande numero di dischi determina un incremento di costi del sistema. ALCUNI ESEMPI DI PRESTAZIONI DI HARD DISK IN COMMERCIO Tecnologia Capacità Velocità Tempo medio Tempo medio di rotazione di latenza di ricerca PATA 250 GB 7.200 rpm 4,20 ms 8,9 ms SATA 73 GB 10.000 rpm 2,99 ms 4,5 ms SATA 250 GB 7.200 rpm 4,16 ms 8,5 ms SCSI 146 GB 10.000 rpm 2,99 ms 4,75 ms FC 73 GB 15.000 rpm 2,0 ms 3,6 ms L’uso di un numero maggiore di dischi determina minore affidabilità, maggiore costo di componenti, la richiesta di uno spazio maggiore e un superiore consumo elettrico per l’alimentazione e la dissipazione del calore. Richiede anche maggiore memoria principale per mantenere un rapporto adeguato con i dischi e, inoltre, determina un costo gestionale aggiuntivo legato al personale amministrativo e alla manutenzione. Insomma, in altre parole, porta a un superiore TCO. La continua crescita delle prestazioni delle diverse componenti IT (memoria, CPU, banda trasmissiva) è destinata a portare richieste sempre maggiori in termini di IOPS. La battaglia di prestazioni coinvolge tutti i produttori di HDD. Le performance dei singoli dischi rappresentano, però, solo il punto di partenza, poiché la sfida coinvolge soprattutto i principali fornitori di storage, che dovranno essere in grado di proporre sottosistemi in grado di distinguersi sulla base dell’utilizzo dell’intera capacità e di un’architettura prestazionale scalata in modo proporzionale alla capacità fornita. R.F. 51 Server e Storage HP prosegue sulla strada della convergenza Annunciato il nuovo PA-RISC 8800 che presenta importanti caratteristiche di compatibilità con Itanium. Rilasciato un nuovo Integrity entry level H P BCS (Business Critical Systems) prosegue nell’aggiornamento della propria gamma di server, fedele all’annunciata strategia di sviluppo delle piattaforme Integrity e di quelle tuttora basate su architetture RISC e Alpha. La casa di Palo Alto ha più precisamente rilasciato il nuovo processore PA-8800 e il nuovo server Integrity rx1600 basato su Itanium2 Deerfield. L’arrivo del nuovo processore PA-RISC era molto atteso da quel gruppetto di scettici che non prestava fede alla roadmap annunciata da HP all’indomani della decisione di puntare sull’archittura IA64. Si tratta, dunque, di un’importante conferma delle intenzioni della società statunitense di mantenere l’impegno che la vedrà sviluppare l’architettura PA e venderne i relativi prodotti almeno fino al 2006, continuandone il supporto fino al 2011. Vale la pena riprendere brevemente i passi fondamentali di tale roadmap. Di fatto, HP ha avviato un processo di razionalizzazione della gamma server in tre famiglie: HP NonStop HP Integrity e HP Proliant. Questi ultimi sono basati sull’architetture IA32 di Intel, mentre le altre famiglie saranno interamente basate sull’architettura Itanium, il cui progetto ha visto la collaborazione di Intel e HP. Mentre i NonStop dal prossimo anno saranno costruiti con processori IA64, gli attuali sistemi PA-RISC e Alpha convergeranno su questa piattaforma, entrando a far parte della linea Integrity, più avanti. “Il processo – ci ha spiegato Simone Bruni, marketing manager dell’area server di HP BCS – è stato disegnato per consentire agli utenti di proseguire con tranquillità il loro progetto evolutivo”. 52 Server e Storage • Un passo verso la convergenza su Itanium La scelta di HP è tecnologicamente strategica. La convergenza verso una piattaforma, come quella Itanium, standard di mercato e allo stesso tempo dotata della flessibilità necessaria a rendere possibili implementazioni avanzate e personalizzate, permette alla casa di Palo Alto di portare sul mercato server dalle elevate prestazioni ottimizzando i costi. Conteporaneamente, però, HP può continuare a sfruttare l’esperienza maturata sulle altre piattaforme. La roadmap disegnata, dunque, non è solo uno strumento per mantenere la fiducia dei clienti, ma anche un logico percorso di prosecuzione del cammino tecnologico intrapreso. Una conferma indiretta di ciò, nonché la dimostrazione della strada fatta verso la convergenza, si trova nell’architettura del nuovo PARISC. Il nuovo PA-8800 giunge a poco meno di tre anni di distanza dal PA-8700 (poi aggiornato con la versione + del 2002) e sarà seguito dal PA-8900 già l’anno prossimo, anche se è lecito supporre che non giungerà prima della fine del 2005. Primo dual-core di HP, PA-8800 può essere montato nelle celle SX1000, che sono già adesso utilizzate con i chip Itanium 2. Poiché è la cella che abilita il processore è in realtà quest’ultima a garantire la compatibilità tra le due architetture. Il passaggio da una all’altra, in altre parole, può avvenire in maniera pressoché indolore. Del resto, l’interesse da parte degli utilizzatori è alto. Lo stesso Bruni ammette che sono molti i clienti che sono passati alla nuova architettura e tanti altri quelli che chiedono informazioni e che sono interessati a pianificarne l’introduzione nei loro sistemi. L’unico limite, rispetto a sistemi che peraltro sono sul mercato da una quindicina d’anni, è sul fronte delle applicazioni, dove, peraltro, la casa statunitense si sta impegnando in molte attività, coinvolgendo direttamente gli ISV (Independent Software Vendor) per favorire il porting verso Itanium. A questo proposito, PA8800 è pronto per supportare HP-UX 11 v3, che unificherà le versioni del sistema operativo per le due famiglie di processori, permettendo di passare da una all’altra con una semplice ricompilazione. nuova macchina, infatti, è stata progettata con l’obiettivo, dichiarato dai responsabili stessi della multinazionale statunitense, di ridurre il rapporto prezzo prestazioni rispetto ai prodotti entry level della fascia al di sotto della quale bisogna cercare tra i sistemi IA32. In tale fascia, finora HP si era posizionata ai limiti superiori, fornendo poche alternative a sistemi dal prezzo più contenuto della concorrenza. Integrity rx1600 è un dual processor che, anche per mantenere un adeguato livello di prestazioni, adotta il chip LV Itanium 2, noto come Deerfield, caratterizzato da frequenze di clock da 1 GHz e da un basso consumo di potenza elettrica. Il nuovo Integrity rx1600 • I vantaggi del nuovo PA-8800 Il PA-8800 è disponibile con due gradi di prestazioni, a 800 MHz e 1 GHz, e presenta due CPU su un singolo chip che ospita due 8700, rispetto al quale risulta compatibile a livello binario. Ciascuna di queste è dotata di una cache L1, cui si aggiunge una cache unificata da 32 MB, con un cache controller avanzato, che, a detta dei responsabili della società, permette di aumentare notevolmente le prestazioni. Le stime parlano di un incremento dal 30% al 50% a seconda dei benchmark che si vanno a considerare. A questo si aggiunge l’utilizzo del bus di sistema ad alte prestazioni di Itanium 2, a ulteriore conferma della convergenza. HP garantisce la salvaguardia degli investimenti, in quanto il passaggio dal PA-8700 al nuovo processore consente di aumentare le prestazioni, senza necessità di cambiare il sistema (a meno di voler sfruttare le dimensioni ridotte dei nuovi chassis). In particolare, risulta accresciuta la scalabilità, grazie al fatto che é possibile raddoppiare la capacità di elaborazione di ogni macchina, che arrivano così a supportare da 2 a 128 processori. • Un nuovo Integrity di fascia bassa Con il nuovo rx1600, HP manifesta intenzioni aggressive sulla fascia bassa del mercato. La Tra le altre caratteristiche dell’apparato si segnala: capacità da 6,4 GB/s system; memoria da 8,5 GB/s; DDR SDRAM da 16 GB; 3,5 GB/s di I/O; due slot 64-bit PCI-X a 133 MHz; memoria di massa fino a 292 GB; supporto di sistemi operativi HP-UX e Linux (Windows e OpenVMS arriveranno in un secondo momento). Caratterizzato da un fattore di forma che ne consente il montaggio in rack, dove occupa un’unità di altezza, il nuovo dual processor scala decisamente verso il basso le caratteristiche del modello Integrity rx2600, consentendo ad HP, stando alle dichiarazioni dei responsabili della società, di fornire un prodotto in linea con le aspettative di questa fascia di mercato. In ogni caso, si tratta di una macchina che presenta prestazioni anche di elevata disponibilità: più precisamente, secondo i dati forniti dal costruttore, rx1600 è dotato di dischi rimovibili a caldo, tecnologia chip spare, capacità di de-allocation della CPU in caso di guasto e supporto clustering. Del resto il prodotto è stato pensato anche per applicazioni di High Performance Technical Computing. G.D.B. 53 Server e Storage IBM si rafforza nei blade e nei server a 4 vie La società annuncia i sistemi quadriprocessore Blade Center HS40 e xSeries 365 e si appresta a rendere disponibile il blade JS20 con PowerPC L Il Blade Center HS40 a 4 vie 54 Server e Storage e esigenze aziendali di consolidamento dei carichi di lavoro e di semplificazione dell’infrastruttura stanno incrementando il consenso verso i piccoli sistemi quadriprocessore (che riescono a coniugare compattezza ed elevata capacità elaborativa) e dei blade server, che rispondono a strategie di crescita di tipo on-demand. Ad alimentare la diffusione dell’architettura blade concorrono una serie di aspetti che aiutano a ridurre i costi IT quali le funzioni di autoconfigurazione “al volo”, la capacità di upgrade o downgrade basata sui cambiamenti nelle richieste di carico di lavoro, la semplicità gestionale, la riduzione dello spazio occupato e la possibilità di amministrazione centralizzata dell’infrastruttura server. Sebbene i blade server rappresentino ancora una piccola frazione rispetto al totale di server consegnati, l’importanza strategica di questa architettura continua a crescere e questo segmento è quello in più rapida crescita all’interno del mercato globale dei server, tanto che Idc prevede che il 20% di tutti i server che saranno consegnati nel 2007 sarà di questo tipo. A partire dallo scorso anno Ibm è presente sul mercato con una serie di blade server biprocessore a 32 bit ad alte prestazioni che comprende anche moduli con funzioni di switch o firewall integrate, allo scopo di facilitare ulteriormente il processo di consolidamento. Secondo dati Idc, nel terzo trimestre fiscale 2003, la gamma di apparati blade ha portato a Ibm un revenue di 57 milioni di dollari con 18000 consegne. • La potenza di 4 vie e la flessibilità di scegliere Xeon o PowerPC Ibm ha realizzato ora il BladeCenter HS40, che rappresenta il primo blade server a quattro vie e il più potente e flessibile modello della gamma. Il nuovo blade server è basato sul processore "Gallatin" Xeon MP supportato nelle versioni a 2, 2.5 e 2.8 GHz; dispone di una memoria cache di 1 MB e supporta fino a 16 GB di memoria principale su otto slot DIMM (Dual In-line Memory Module). La motherboard ospita quattro NIC, con l’opzione per inserire altre quattro schede, offrendo la possibilità di avvantaggiarsi dell’integrazione di switch Fibre Channel o Ethernet Layer 2-7 all’interno dello chassis blade server. Il BladeCenter HS40 amplia l’offerta Ibm nell’ambito dei blade server e si aggiunge al modello HS20 biprocessore Intel Xeon a 32 bit (rilasciato lo scorso anno) e al JS20, annunciato a Novembre e disponibile da Marzo, che rappresenta il primo blade server ad adottare il processore Ibm PowerPC 970 a 64 bit, che deriva dalla tecnologia POWER4 attualmente impiegata nei sistemi IBM eServer pSeries. L’eServer BladeCenter JS20 sarà inizialmente disponibile in versione per Linux (sia SuSE sia Turbolinux) e presto supporterà anche Red Hat, mentre quella per AIX è prevista per il terzo trimestre 2004. Grazie alla presenza di questi nuovi modelli, la gamma blade di Ibm si adatta ora alle più diverse esigenze aziendali, mettendo a disposizione una scelta di sistemi a due o quattro vie, a 32 o 64 bit e basati su CPU Intel o PowerPC. Inoltre Tim Dougherty, direttore per gli eServer BladeCenter, ha dichiarato che, sulla base di eventuali richieste dei clienti, Ibm potrebbe decidere di offrire anche un blade server a quattro vie basato su PowerPC. L’HS40 si addice a carichi di lavoro superiori rispetto all’HS20, inclusi quelli associati a soluzioni ERP (Enterprise Resource Planning), database e alle applicazioni di front-end come quelle PeopleSoft, SAP, Siebel e J. D. Edwards (che tendono a girare su server a quattro vie). L'HS40 ricopre un ruolo importante nello sforzo di Ibm indirizzato verso la semplificazione dell’infrastruttura. I nuovi blade server HS40 si inseriscono, infatti, direttamente all’interno dell’attuale chassis BladeCenter di dimensione 7U e possono essere collocati insieme ai server blade HS20 e JS20. È possibile alloggiare fino a sette sistemi IBM HS40 a quattro vie in un unico chassis o quattordici server HS20. Il blade HS40 sarà disponibile con sistema operativo Windows 2000 Server o Linux. • Ibm eServer xSeries 365 Se l’HS40 rappresenta una scelta particolarmente adatta per enterprise collaboration e progetti di server consolidation, attraverso l’xSeries 365 Ibm realizza un apparato che, grazie alle sue prestazioni e alla sua grande capacità di memorizzazione interna, si dimostra ottimale per l’implementazione come server applicativo e database cluster. L’eServer xSeries 365 è un sistema standalone da rack che alloggia quattro processori Intel Xeon MP, caratterizzato da un fattore di forma 3U e indirizzato a esigenze di alte prestazioni. La grande capacità di memorizzazione interna di questo server permette di slegarsi dalla necessità di utilizzare sistemi storage esterni. Dispone, infatti, di sei hard disk interni Ultra320 SCSI che forniscono una capacità di memorizzazione fino a 876 GB; in alternativa è anche possibile optare per una configurazione con quattro dischi interni e un sistema DDS di backup su nastro. L’xSeries 365 utilizza la seconda generazione del chipset Ibm EXA (noto con il nome in codice Summit-II) che la società ha realizzato per i propri server a 8 e 16 vie con Xeon MP e Itanium 2. Anche l’eServer xSeries 365 (come l’HS40) supporta i processori Xeon MP Gallatin a 2, 2.5 e 2.8 GHz. È disponibile con una dotazione RAM da 1 GB oppure con 2 GB di memoria PC2100 DDR chipkill, con la possibilità di espansione fino a 32 GB. Questo server Ibm ha cinque slot PCI e può ospitare altri 12 slot PCI e PCI-X tramite il modulo opzionale RXE-100 (Remote eXpansion Enclosure) all’insegna di una scalabilità delle prestazioni I/O progettata in un’ottica di “pay-as-you-grow”. Include, inoltre, funzioni di gestione remota attraverso il Remote Supervisor Adapter (RSA) integrato, che provvede al monitoraggio costante del sistema. Il server xSeries 365 si posiziona dopo il modello 345 e prima dell’xSeries 445 (si veda Direction n. 2): dispone, infatti, di alcune caratteristiche prestazionali e di opzioni di espandibilità superiori rispetto al 345, ma non di tutte le caratteristiche high end e delle opzioni di scalabilità del 445. R.F. Ibm eServer xSeries 365 La soluzione eServer BladeCenter for Bioinformatics eServer BladeCenter for Bioinformatics è una soluzione completa progettata da IBM per fornire performance applicative e di calcolo a elevato throughput, per il mondo della ricerca farmaceutica. Le più diffuse applicazioni per l'analisi di sequenze come BLAST, FASTA e HMMER sono state portate e precollaudate per girare in maniera ottimizzata sul sistema IBM eServer BladeCenter JS20. Questa nuova proposta dedicata al settore farmaceutico può, inoltre, includere i più noti middleware e tool di sviluppo open source, mentre appositi servizi di implementazione permettono di personalizzare la soluzione per il particolare ambiente. 55 Server e Storage Le nuove basi dell’IT L’anno trascorso ha accelerato la diffusione di tendenze già in atto per l’ottimizzazione, il consolidamento e la virtualizzazione N on è una novità che sono i momenti di grandi criticità che accelerano i cambiamenti, siano essi politici od economici. L’IT in questo non è una eccezione e l’anno trascorso ne è stata una dimostrazione concreta. La forte pressione sui budget disponibili per nuovi investimenti in tecnologie ha costretto i responsabili IT a dosare con molta attenzione le spese e a valutare i ritorni con una attenzione che raramente si è osservata negli ultimi due decenni della storia dell’informatica. Quello che si è verificato non è però da considerare una cesura netta con il passato. Processi evolutivi volti alla ridefinizione dei sistemi IT in chiave innovativa erano già avviati. Virtualizzazione, consolidamento, gestione integrata di storage, server e rete erano già da tempo all’attenzione e nell’interesse dei manager aziendali. Quello che mancava era uno stimolo, verrebbe da dire una necessità, che è poi quello che si è verificato nel corso dello scorso anno. Peraltro, va osservato che la realizzazione di soluzioni virtuali, di tecnologie hardware multiprocessore ad alta concentrazione, tecnologie blade, software per la virtualizzazione e di gestione, applicazioni di back up automatico, eccetera, non si improvvisano ma richiedono anni di studio e centinaia di anni uomo di sviluppi. Sarebbe semplicistico quindi pensare che i fenomeni in corso siano il risultato di sviluppi fatti a tambur battente dai produttori. Verrebbe da pensare quasi che i produttori stessi si aspettassero un periodo di mercato “magro” dopo anni di euforia e si stessero preparando in sordina al momento di stazionarietà che ancora interessa il settore. 56 Server e Storage L’accelerazione tecnologica (e cioè più capacità e prestazioni a costi più bassi o perlomeno pari) non è però il solo aspetto positivo della crisi avutasi. L’altro elemento che solo ora sta emergendo in tutte le sue implicazioni è che le nuove tecnologie sono sempre più disponibili alla categoria di aziende della fascia medio/piccola. Il fatto che anche una piccola azienda possa ora dotarsi di server e di sistemi storage, multiprocessore, in cluster, eccetera, con investimenti di base di poche migliaia di euro è un effetto che non potrà non avere ricadute positive, sia sui fornitori che su una fascia di aziende che sino ad ora viveva in un certo qual modo alla giornata le problematiche dell’IT. Un esempio di questa migrazione verso il basso, volta a mettere a disposizione delle PMI tecnologie evolute lo si ha da una parte, come accennato, dalla disponibilità di nuove piattaforme di calcolo e di storage, e dall’altra dalla diffusione di nuove modalità di interconnessione in rete delle soluzioni di IT. Un esempio immediato lo si ha se si pensa alla diffusione dell’iSCSI. Senza entrare nel dettaglio, va evidenziato che questa tecnologia in adozione da parte di molti produttori apre la strada alla realizzazione su reti locali Ethernet (praticamente presenti in quasi tutta la fascia delle PMI), alla realizzazione di infrastrutture di base omogenee tra ambiente IT e ambiente Office, all’utilizzo dei nuovi switch Ethernet a 10 Gigabit in alternativa alle reti SAN e allo sviluppo di soluzioni di back up remoto dei dati utilizzando reti metropolitane IP oramai accessibili a costi attraenti. Possibilità e capacità sino a pochi mesi fa esclusiva di aziende di primo piano. Verrebbe da dire, non tutti i problemi vengono per nuocere. G.S. Microsoft certifica l’iSCSI di Adaptec A daptec ha annunciato di aver ottenuto, per i suoi adattatori iSCSI per host bus, la certificazione "Designed for Windows logo" da Microsoft, che ne garantisce l'interoperabilità con i sistemi operativi Windows e consente l'installazione plug-and-play di SAN IP caratterizzate da un prezzo di entry point che Adaptec ritiene particolarmente interessante per la fascia delle PMI. "La certificazione di compatibilità tra le soluzioni iSCSI e i sistemi operativi Windows, spingerà all'adozione di SAN IP economiche da parte di molte delle piccole e medie imprese che utilizzano le piattaforme Windows", ha dichiarato Zane Adam, director of product management e marketing di Enterprise Storage Division di Microsoft. Secondo Stephen Owen, Product Manager di Adaptec per l’area EMEA, la certificazione ottenuta da Microsoft per i dispositivi hardware iSCSI è una conferma del suo impegno nel mettere a disposizione ai propri clienti soluzioni storage su base Windows e rappresenta una pietra miliare nell' offerta di soluzioni storage networking IP avanzate, che rendano semplice ed economico per le aziende l'utilizzo di SAN ad elevate prestazioni e affidabilità. La collaborazione di Adaptec con Microsoft ha l’obiettivo di dar forma a un’architettura per i suoi dispositivi hardware iSCSI e ha portato a una soluzione strettamente integrata con il servizio iSCSI di Microsoft e con l'architettura iSCSI Microsoft per Windows. La soluzione di Adaptec sostituisce a una rete SAN Fibre Channel un’infrastruttura SAN basata su IP Ethernet e si propone di rispondere alle esigenze specifiche delle piccole e medie imprese, che hanno esigenze di storage in continua crescita, ma necessitano di un'alternativa più economica rispetto alle tradizionali SAN. Il FICON Brocade certificato per mainframe Ibm B rocade ha qualificato il supporto FICON sul Brocade SilkWorm 12000 Director per gli ambienti mainframe Ibm. Il supporto FICON sullo switch Brocade consente il collegamento dei mainframe Ibm agli ambienti SAN basati su Brocade, portando sulle Storage Area Network basate su mainframe, funzionalità di terza generazione quali ISL trunking, zoning rinforzato a livello hardware e Secure Fabric OS. "La disponibilità di FICON su SilkWorm 12000 Director offre l’opportunità di continuare a operare su mainframe, ma con un’apertura verso il mondo open - ha spiegato Tino Prato, executive country manager di Brocade Italia -. La certificazione giunge a seguito di un’attività di testing svolta presso i centri Ibm, di cui siamo molto soddisfatti e che ha richiesto meno tempo del previsto". Questo risultato si inserisce all’interno di una collaborazione di lunga data tra Ibm e la socie- tà americana specializzata in prodotti per infrastrutture SAN, che opera in Italia attraverso una propria filiale. "La partnership con Ibm va avanti da molto tempo –ha continuato Prato-. La logica di Brocade è sempre stata quella di lavorare con OEM e i nostri switch sono presenti sul listino Ibm. La filiale italiana di Brocade si propone di interagire con realtà locali OEM e di fare opera di evangelizzazione presso gli utenti per illustrare i vantaggi delle nostre soluzioni". "Quando vendiamo soluzioni storage ci confrontiamo con due fasce di utenti –a aggiunto a riguardo Luigi De Vizzi, storage systems manager di Ibm south region-. Quelli medio piccoli comprano una soluzione e non si preoccupano delle componenti. Esiste poi una fascia di clienti che compra un progetto e che entra nel merito di ogni aspetto tecnologico. E presso questi utenti è ben chiaro il valor aggiunto offerto dalle soluzioni Brocade". Tino Prato (a destra) executive country manager di Brocade Italia e Luigi De Vizzi, storage systems manager south region di Ibm 57 Server e Storage Un mercato 3G in cerca di direzioni Mentre si affacciano i primi servizi mobili a banda larga, l’attenzione si focalizza sugli aspetti mediatici trascurando il valore aggiunto per l’utente D opo un lungo periodo di preparazione, sia tecnologica sia di marketing, la terza generazione di servizi di comunicazione mobile è ormai entrata nel merito della distribuzione presso gli utenti finali. La disponibilità congiunta di operatori, infrastrutture tecnologiche e handset abilitati ha aperto la strada a una serie di servizi di comunicazione che, grazie all’elevata velocità di trasferimento dati (fino a 384 Kbps con la tecnologia UMTS), promettono di trasformare in realtà una serie di applicazioni che appartengono, da anni, all’immaginario collettivo. Tra questi vi è certamente la videotelefonia, che ha caratterizzato l’ambientazione di ogni film di fantascienza dagli anni ’60 in poi o il desiderio, più recente, di disporre di contenuti multimediali in modalità on-demand sui propri dispositivi mobili. In questo ambito ricadono, pertanto, i primi servizi che stanno per essere offerti (o lo sono già) con l’obiettivo di alimentare il desiderio di tecnologia e accelerare la diffusione del sistema 3G. Nonostante ciò, non va considerato scontato prevedere quali saranno le applicazioni mobili che alimenteranno nel futuro la nuova generazione di servizi così come, del resto, non appare ancora definito lo scenario evolutivo delle tecnologie a banda larga. In realtà, per alcune tipologie di servizio quali l’accesso a Internet o la messaggistica, le pre- 58 CommuniCation stazioni, seppur inferiori a quelle dello standard UMTS, offerte dalla tecnologie GPRS o EDGE (in grado di superare i 110 Kbps), appaiono più che adeguate, con il vantaggio di poter operare appoggiandosi alla rete GSM esistente, anziché richiedere la costosa revisione dell’infrastruttura necessaria per l’UMTS. Si tratta di considerazioni di non poco conto considerando che la risposta del mercato ai nuovi servizi potrebbe determinare migrazioni di consistenti investimenti o penalizzare taluni operatori rispetto ad altri. • Servizi che portano valore all’utente È ragionevole pensare che il telefono cellulare diventerà, a tutti gli effetti, uno strumento di supporto allo stile di vita nell’ambito sociale, del divertimento, dei viaggi e degli affari, completando un percorso che, già ora, lo ha visto protagonista nella ridefinizione della comunicazione telefonica. Si tratta però di un processo che richiede ancora tempo. Nel frattempo la tecnologia attualmente disponibile è già in grado di generare revenue. Il telefonino viene così spesso caricato di tecnologia e commercializzato facendo leva su servizi ancora “acerbi” che non creano un reale valore aggiunto per l’utente, ma che vengono comunque recepiti da un mercato che, sempre più spesso, è più interessato a ostentare la loro adozione che non a utilizzarli veramente. L’eccessiva attenzione agli aspetti tecnologici rispetto al valore per l’utente potrebbe rappresentare, sulla distanza, un ostacolo per il vero decollo di servizi. Non si può evitare di constatare come, attualmente, vi sia una focalizzazione eccessiva sul contenuto mediatico dei nuovi servizi proposti. Se è vero che settori di mercato improbabili hanno incontrato successi oltre ogni aspettativa (basti pensare a quello dei messaggi, o delle suonerie), va compreso se è sensato considerare il telefonino come uno strumento di intrattenimento o non è invece il momento di dare risposta agli utenti che chiedono servizi di maggiore utilità, anche a pagamento. Indagini di mercato hanno evidenziato, per esempio, che la grande maggioranza degli utenti di telefonia mobile gradisce ricevere informazioni attraverso il telefonino ma che, nel contempo, non è disponibile a pagare un servizio di questo tipo poiché ha la possibilità di accedere alle medesime informazioni attraverso altre fonti consultabili gratuitamente. Anche per quanto riguarda i giochi si assiste a un’analoga scarsa disponibilità da parte dell’utente a pagare per il servizio. Nell’ambito dell’ascolto di musica analisti quali Gartner individuano interessanti potenzialità, ma anche in questo caso resta una scarsa predisposizione per il pagamento di un sevizio di questo tipo, perché gli utenti preferiscono scaricare la musica da Internet e quindi riversarla sul telefonino; permane, inoltre, il problema dell’autonomia delle batterie. Insomma, il telefono cellulare non è ancora considerato alla stessa stregua di una console di videogame, di un riproduttore di musica o di un televisore, ma resta ancora uno strumento indirizzato prettamente per la comunicazione vocale, che offre una serie di funzioni accessorie utili nei momenti di pausa o a tempo perso. In quest’ottica la tecnologia 3G potrebbe consentire di portare l’affidabilità della telefonia mobile allo stesso livello di quella fissa. Non è un caso che nell’Europa occidentale il revenue del mercato delle applicazioni mobili resti ancora saldamente concentrato nei servizi legati alla voce rispetto a quelli legati ai dati, anche se questi ultimi sono in netta crescita. In Italia, su un valore complessivo del mercato di telefonia mobile nel 2003 di circa 15,7 miliardi di Euro, la componente voce rappresenta ancora l’86,6% (dati IDC). L’aspetto mediatico rappresenta, dunque, solo un aspetto dei servizi di comunicazione mobile e non è detto che sia quello caratterizzato dal migliore ROI. Il valore dell’informazione mobile va considerato nella sua capacità di fornire supporto decisionale in condizioni in cui altre fonti non sono disponibili o non riescono a fornire una risposta adeguata, sia che si tratti di opzioni legate all’ambito sociale, del divertimento, all’organizzazione di incontri di affari, alla pianificazione e gestione di viaggi o a decisioni di acquisto. Si tratta, tuttavia, di servizi a cui è particolarmente difficile associare un valore e per cui vanno individuate esigenze di tipo predefinito, considerati adattamenti in funzione della posizione geografica e del tempo e garantita accessibilità on-demand anche in condizioni di imprevisto. In questi contesti il binomio mobilità-dati potrebbe davvero risultare vincente e le caratteristiche di banda offerte dalla tecnologia 3G potrebbero offrire le doti di affidabilità e prestazioni in grado di fare la differenza. Identificare quali siano i servizi di maggiore utilità e ricettività non è però banale. In base a una ricerca, condotta da Gartner alla fine del 2002 tra gli utilizzatori adulti italiani, la richiesta di servizi mobili orientati ai dati nel nostro Paese si concentra verso servizi informativi legati ai programmi televisivi, alle informazioni sul traffico e legate ai viaggi, ad attività di intrattenimento e indirizzate alla prenotazioni di cinema o eventi. Vengono poi i servizi legati a specifiche esigenze locali, l’invio e la ricezione di e-mail, i giochi, i servizi di banking, il download di musica e l’accesso a siti Web. Va infine ricordato che, in un ambito prettamente business, si profilano interessanti prospettive per il “mobile office”. Sono già disponibili alcune proposte indirizzate a questo tipo di esigenza in cui, tuttavia, il telefonino va visto come complementare all’utilizzo di altri dispositivi quali il palmare e il notebook. R.F. 59 CommuniCation Alla ricerca di un “posto caldo” Il 2004 si preannuncia come l’anno degli hot spot. Le tendenze del mercato e degli operatori in cerca di utilizzatori G ià nel 2003 sono state aperte circa 500 WLAN pubbliche in pochi mesi e si prefigura arriveranno a 2500 entro la prossima primavera. All’ultimo WLAN Forum, tenutosi a Milano alla fine di ottobre, è stata ascoltata la testimonianza di un albergo di Taormina, dotato di WLAN pubblica, che ha registrato una media di 6 connessioni al giorno in un mese. Molte o poche? Il dato si presta ovviamente a diverse interpretazioni e se il caso è stato presentato come esempio di successo, di fatto i risultati hanno lasciato nello sconforto alcuni esponenti di noti operatori pubblici di telecomunicazioni. Meno realistici appaiono, del resto, scenari tipici delle realtà statunitensi, dove semplici bar offrono il servizio anche gratuitamente per il piacere dei “surfisti” della Rete. • Lo scenario internazionale Intanto, soprattutto negli Stati Uniti nel 2003 sono stati varati numerosi progetti di WLAN pubbliche. Alcuni di questi hanno coinvolto importanti catene, quali Starbucks e McDonalds. Quest’ultima è partita con un’offerta promozionale in alcuni ristoranti di San Francisco e New York che legavano l’accesso Wi-Fi al consumo di uno specifico menu: tutto all’insegna del fast. La prima, invece, ha dato il via a un imponente progetto in collaborazione conT-Mobile, braccio wireless di Deutsche Telekom. La combinazione di brand e di economie di scala giocano un ruolo decisivo nel successo di queste iniziative che possono fungere da traino per l’intero mercato. Una spinta altrettanto, se non più, importante viene data da società come Intel, che nel 2003 ha registrato crescite importanti grazie a Centrino, la tecnologia WLAN on board che ha 60 CommuniCation riscontrato un notevole successo presso i produttori di computer portatili, palmari e soluzioni wireless LAN. La casa di Santa Clara, inoltre, è molto attiva anche sul fronte della diffusione dei servizi. Per esempio, ha costituito insieme a Ibm e At&T la società Cometa, che ha annunciato di puntare all’installazione di 20mila hot spot nel mondo entro il 2005. Inoltre, Intel si è alleata con Bell Canada e VIA Rail Canada per dotare i treni canadesi di accesso Wi-Fi. • Le strategie degli operatori Che il Wi-Fi pubblico possa avere un futuro di successo, comunque, sembrano pensarlo anche gli operatori di Tlc, compresi quelli mobili che stanno delineando scenari di complementarietà tra i servizi UMTS e WLAN. Le strategie si differenziano a seconda dell’estrazione del service provider e i modelli di business che ne derivano sembrano destinati a evolvere rapidamente con il mercato. Telecom Italia si presenta da leader anche in questo ambito, con circa 300 hot spot installati alla fine del 2003 (di cui 200 grandi e circa un centinaio piccoli) e un’offerta che prevede tariffe flat per le imprese, a consumo per il SOHO e le PMI e carte prepagate per il consumer. L’ex monopolista della telefonia nazionale ha anche siglato un accordo di roaming con Boingo, dando accesso ai propri utenti a circa 1400 hot spot sparsi nel mondo. L’operatore ha anche un’offerta per la realizzazione di WLAN private. Quest’ultima è l’attività principale per Albacom, per la quale il Wi-Fi è essenzialmente l’estensione delle VPN. Ma il service provider ha vinto alcune gare pubbliche e dovrebbe lanciare nuovi servizi, soprattutto nella realizzazio- ne di hot spot per conto terzi. Più diretta, invece, la strategia di Colt Telecom, che ha realizzato una decina di hot spot, puntando soprattutto su Milano, Roma e Torino, prevedendo di arrivare a qualche centinaio in target specifici quali hotel, centri congressi, aeroporti e università. Il modello adottato sembrerebbe quello delle carte prepagate. Il principale concorrente di Telecom Italia su questo fronte, peraltro, sembra essere Tiscali, che, in partnership con Freestation, ha pianificato l’installazione di circa 500 hot spot per la fine del 2003 (a ottobre erano 200). Ben 300, ma tutti piccoli, quelli da realizzati da Tecom in 32 città. Segue poi Tin.it con poco più di 100 hot spot. Il pioniere del settore, peraltro, è Megabeam, che fornisce anche il servizio wholesale e gestisce 14 hot spot in 4 aeroporti e negli hotel della catena Starhotel. Geograficamente, la diffusione degli hot spot interessa tutte le regioni italiane, chiaramente con qualche differenza. La maggior parte dei “punti caldi” si trova in Lombardia, almeno stando alla mappa realizzata a settembre dalla rivista Wireless. Seguono Lazio, Campania ed Emilia Romagna. Intanto, gli operatori di telefonia mobile non stanno a guardare. Sarà il mercato a stabilire se i servizi Wi-Fi e UMTS siano in contrapposizione o meno, ma, nel frattempo, si delineano due approcci diversi: da un lato TIM e Vodafone-Omnitel, che si dimostrano interessate alle WLAN, dall’altro Wind e 3. TIM, che ha pianificato il lancio della rete EDGE prima e UMTS dopo tra la fine del 2003 e l’inizio di quest’anno, sta gestendo un progetto pilota per l’offerta di accesso WLAN. Vodafone, dal canto proprio, ha siglato un accordo di roaming con Megabeam. Wind, invece, non ha ancora annunciato il rilascio di servizi UMTS, ma sta puntanto tutto sul lancio di i-mode, in accordo con la giapponese NTT-Docomo. Infine, 3 ha pubblicamente dichiarato di non essere strategicamente interessata al Wi-Fi, che, per la verità, ha cercato di ostacolare, ritenendola una tecnologia liberalizzata in concorren- Fonte: Nokia za, anche se parziale, con l’UMTS, per il quale, peraltro, sono state pagate licenze di concessione molto care. • Un mercato in piena fermentazione Secondo Yankee Group, sarebbero 21 milioni gli americani pronti a utilizzare le WLAN pubbliche, per i quali sarebbero già stati realizzati circa 12mila hot spot e altri arriveranno quest’anno. Gartner ha contato, nel mondo, circa 71mila punti di accesso Wi-Fi a fine 2003, prevedendo il raggiungimento dei 150mila hot spot per il 2005. La maggior parte di questi sarebbero installati in centri commerciali e alberghi. Due tipologie di luogo differenti che identificano altrettanti tipi di utenti: il consumatore e l’uomo d’affari. Quale modello di business prevarrà, come accennato, è presto per dirlo. Dipenderà, oltre che dalle reali dimensioni del mercato, anche dai costi. Con la diffusione della tecnologia questi si andranno abbassando ulteriormente. Peraltro, se per un piccolo negozio possono bastare un access point e una connessione a Internet a larga banda, per realizzare un hot spot in un centro commerciale, un albergo, un aeroporto o in un qualsiasi altro luogo esteso (fino, perché no, a dimensioni metropolitane – c’è un progetto in tal senso a Toronto) è necessario un’infrastruttura decisamente più costosa, anche e soprattutto in termini di manutenzione. G.D.B. 61 CommuniCation IP-PABX: le funzionalità degli apparati di nuova generazione La fine del 2003 permette di fare il punto sullo stato dell’arte delle recenti soluzioni di telefonia IP M entre l’IT sembra ancora dibattersi nelle strette dei bilanci risicati delle aziende, per le Tlc si intravede una ripresa dell’interesse da parte delle società, complice in questo anche la necessità di sostituire un parco installato che, fermo negli ultimi due anni, è ora invecchiato oltre il livello di sostenibilità sia per la manutenzione che per le esigenze di espansione funzionale. La caratterizzazione degli apparati di recente annunciati da parte di società di primo livello (perlomeno in Italia) come Alcatel, Avaya, Promelit o CDC,solo per citarne alcune di caratura diversa, permette di delineare meglio le funzionalità tipiche di una gamma di prodotti che iniziano a rientrare meglio nei limiti di budget di una fascia molto appetibile del mercato, quella delle PMI. Punto fermo di questa nuova generazione di centrali è IP e l’adozione di piattaforme standard utilizzabili in un contesto geografico. Questa evoluzione si basa sulla constatazione che nella new economy le reti aziendali hanno un ruolo molto più critico che nel passato, soprattutto per le PMI. In sostanza, quella che è la sfida principale che le aziende si trovano ad affrontare consiste nel gestire il crescente flusso di informazioni provenienti da diverse reti ottimizzando i costi delle apparecchiature di telecomunicazione mediante servizi integrati di voce, Internet, email e servizi LAN. • L’integrazione di funzioni LAN L’integrazione di funzioni Lan, quali quelle di switch, di router o di firewall, è uno degli aspetti maggiormente qualificanti delle nuove 62 CommuniCation piattaforme e permette di semplificare notevolmente la realizzazione di infrastrutture aziendali, soprattutto a livello di sedi periferiche o di PMI. L’integrazione nativa di switch e di router assume una importanza particolare, soprattutto quando ci si trova ad operare in un contesto di rete basato sul protocollo IP. In questo scenario diventa possibile espandere e distribuire l’utenza in un modo molto flessibile, se comparato alle tipiche modalità utilizzate per centrali TDM, che utilizzano connessioni con unità remote basate su protocolli dedicati. Generalmente poi, le funzionalità Lan si abbinano ad altri servizi, tra i quali sono compresi quelli che hanno la specifica funzione di facilitare la gestione della LAN e il supporto dei servizi LAN verso Internet. Importanti sono ad esempio quelli di Domain Name System (DNS), che permettono la gestione della LAN e il caching dell’indirizzo internet e quello di Server DHCP, che rende possibile l’allocazione dinamica dell’indirizzo IP. • Le funzionalità IP e Internet Le funzionalità IP e quelle relative ad Internet rappresentano una classe di funzioni particolarmente importante e tra le più innovative. Per le funzionalità IP un esame delle soluzioni presenti sul mercato permette di evidenziare i seguenti punti salienti: • Accesso Internet condiviso • Servizi di Sicurezza e di ottimizzazione • Server e-mail • Servizi di rete VPN La connettività a Internet, allo stato attuale delle soluzioni di rete presenti a livello nazionale, può avvenire tramite diverse modalità, che si differenziano per prestazioni e per costo. Nel caso di rete Isdn, il Pabx può utilizzare, per gli accessi ad Internet, le risorse condivise dei canali B disponibili sulle giunzioni ISDN PBX. Le modalità possibili sono diverse e dipendenti anche dal livello di traffico da supportare e vanno dall’utilizzo di canali a 64 Kbps su un canale Isdn B con protocollo punto a punto a connessione a 128 Kbps con due canali B aggregati (Multi-link Point-toPoint-Protocol) sino all’utilizzo di banda variabile da 64 a 128Kbps con allocazione dinamica della banda. A queste si aggiungono modalità di connessione a velocità superiore, ad esempio a 2 Mbit per esigenze di traffico particolarmente sostenute o, nel caso una tale velocità fosse eccessiva, un accesso E1 frazionale o, ultimo sviluppo, l’utilizzo di connessioni xDSL. • La mail come elemento base Il fatto che siano basati su piattaforme server e su sistemi operativi standard di mercato, permette di disporre di servizi di mail integrati che possono essere supportati in svariate configurazioni. Tra queste, quella di e-mail server integrato, di e-mail server esterno (posizionato sulla Lan) o di e-mail server allocato in remoto presso il Service Provider. I servizi di mail richiedono però la presenza di una serie di standard tra i quali: • IMAP4 (Interactive Mail access Protocol 4): è un protocollo che permette ai messaggi di posta elettronica di essere visti sul server come se fossero sul Desk-top personale. Le e-mail rimangono però sul server e non vengono scaricate sul proprio Desktop. • POP3 (Post Office Protocol 3): è un protocollo che permette di scaricare le e-mail dal server al Computer. • SMTP/ESMTP (Simple Mail Transfer Protocol): è il protocollo più diffuso per l’invio di posta elettronica e per lo scambio tra server e-mail Internet. • MIME (Multipurpose Internet Mail Extension): è il formato standard definito dalla associazione IETF per la gestione di informa- zioni in formato non testo di una mail. Quella che rappresenta una vera e propria differenziazione rispetto alle generazioni precedenti, è però la disponibilità sulle nuove piattaforme di centralini, del servizio di messaggistica unificata, tramite il quale un utente viene a disporre di un account di e-mail e di una casella vocale sullo stesso sistema. Le due modalità vengono ad essere integrate a livello di desk top e permettono di fornire un accesso e-mail e voice-mail a partire dalla medesima interfaccia di utente, ad esempio i pacchetti di posta elettronica Outlook, Notes o Eudora. Il PABX è l’elemento centrale delle comunicazioni aziendali • Una rete basata su VPN La diffusione di soluzioni di connettività IP tramite l’utilizzo di reti VPN è un’ulteriore caratterizzazione dei servizi di rete dei Pabx IP e questo perché Internet e VPN rappresentano una soluzione molto interessante come alternativa alle linee private affittate. Lo sviluppo di protocolli specifici per VPN e IP, ad esempio l’IPSec, permette di collegare in modo sicuro utenti remoti o siti diversi di una rete a basso costo attraverso Internet, rendendo possibile la condivisione delle risorse dati e/o l’impiego di IP telephony. I protocolli più diffusi per l’ambito VPN sono il PPTP e l’IPSec. L’utilizzo delle nuove piattaforme, a parte valutazioni economiche, offre quindi ampi spazi di razionalizzazione delle comunicazioni e delle reti aziendali e di semplificazione della infrastruttura complessiva. G.S. 63 CommuniCation Roadshow Alcatel sull’IP Telephony A lcatel ESD ha organizzato una serie di incontri con i clienti di distretti industriali particolarmente significativi, dove l'interesse per la telefonia su IP e della business communication è elevato. L’iniziativa rientra, ha affermato Andrea Marrubini, direttore marketing della divisione, nella strategia della divisione Enterprise di Alcatel Italia. L’approccio seguito per diffondere la cultura dell'innovazione tecnologica si è basato su una formula innovativa di "e-convegni", che la divisione aveva già sperimentata in tempi recenti in collaborazione con Gartner. In questa nuova serie di incontri presso i clienti la formula ha previsto il coordinamento di un moderatore e l’approfondimento di tre moduli tematici, ognuno dei quali costituito da un intervento a video di un analista di Reportec, una presentazione live di un esperto di Alcatel e una sessione di domande da parte del pubblico. Uno degli elementi centrali degli incon- tri è stato quello del come sia possibile ottenere la riduzione dei costi telefonici (quelli in "bolletta", tanto per intenderci) tramite l’instradamento della fonia su una rete IP. Tuttavia la vera opportunità, ha fatto notare Marrubini, è costituita dall'aumento della produttività grazie all’utilizzo di un unico ambiente per le comunicazioni, raggiungibile da tutti gli utenti e riferito come Unified Communication. In questo contesto si possono realizzare progetti fino a ieri impensabili o improponibili. La rete “esce” dall’azienda, che si rende disponibile al di là di ogni vincolo fisico o temporale. Il programma dei Roadshows proseguirà per tutto il 2004 ma il messaggio che viene trasmesso è semplice: passare ai servizi di comunicazione di nuova generazione, cominciando dall'IP Telephony, permette di tagliare i costi diretti e un ritorno in tempi stretti dell’investimento effettuato. Cisco compra Latitude per la media conferencing C I prodotti per la videocomunicazione su IP di Cisco 64 CommuniCation isco Systems ha annunciato di aver concluso un accordo per l’acquisizione di Latitude Communications, una società californiana specializzata nella fornitura di prodotti per conferenza di classe enterprise. L’operazione consente a Cisco, secondo quanto dichiarato dalla stessa società, di ampliare il proprio portafoglio di soluzioni per la comunicazione IP. In particolare, un certo successo Oltreoceano ha ottenuto la serie MeetingPlace per audio e Web conferencing. Con un investimento di scambio azionario stimato pari a circa 80 milioni di dollari, la società con sede a San Josè, in Californiana, potrà aggiungere le fuzionalità di conferenza multimediale Latitude alla propria architettura AVVID per l’integrazione di voce, video e dati. I responsabili della tecnologia voice di Cisco hanno affermato che questa acquisizione permetterà a Cisco di accelerare la fornitura di soluzioni multimedia intelligenti per la conferenza a livello enterprise che sfruttano l’informazione dinamica di rete (per esempio i dati relativi alla presenza e localizzazione degli utenti del network) per migliorare la produttività sul posto di lavoro. In altre parole, la società statunitense si aspetta di accorciare i tempi di ricerca e sviluppo per l’introduzione sul mercato di soluzioni cosiddette di rich media conferencing basate sui protocolli SIP (Session Initiation Protocol), H.323 e XML, ormai affermatisi quali standard industriali per il settore. Non a caso, Cisco intende mettere a bilancio l’acquizione di Latitude proprio come costo occasionale nelle spese di ricerca e sviluppo. Il fascino del passato nei terminali del futuro E sistono due tipi di terminale che vengono forniti dalle aziende moderne ai dipendenti. Più tipicamente a quelli che una volta venivano chiamati colletti bianchi, anche se allora questi venivano dotati solo di uno dei due: il telefono. Perché l’altro, il pc, ha cominciato a diffondersi piuttosto di recente, più o meno da quindici anni. L’evoluzione che ha interessato questi apparecchi negli anni ne ha visto modificare le forme e l’utilizzo, anche se le funzioni di base di entrambi non sono cambiate. Laddove, per un pc, queste possono essere sintetizzate nell’elaborazione delle applicazioni atte allo svolgimento delle mansioni aziendali. I dati diffusi annualmente da Assinform dimostrano la tendenza a rimpiazzare il “classico” desktop con pratici notebook, le cui prestazioni non hanno più nulla da invidiare ai “fratelli da scrivania”. Il progresso tecnologico nella miniaturizzazione unitamente a quello nel wireless ha infatti permesso di realizzare apparati ad alte prestazioni, in grado di collegarsi a larga banda alle infrastrutture aziendali. Lo stesso avviene nella telefonia, dove la diffusione di apparecchi mobili è a livelli inimmaginabili quindici anni fa. L’utilizzo degli stessi in azienda, inoltre, è spesso spinto oltre il limite: si è talmente abituati a cercare la persona ovunque essa sia che difficilmente si prova a comporre prima il numero d’interno, provando direttamente a chiamarla sul cellulare. Questo anche quando si è in azienda. A onor del vero, tali sviluppi devono molto al progresso nel settore delle batterie elettriche. Oggi è possibile pianificare un’intera giornata di lavoro senza aver bisogno di collegare i propri “strumenti” alla rete elettrica. Per esempio, Fujitsu Siemens Computers ha recentemente annunciato un tablet pc che può essere dotato di una batteria garantita dal costruttore per otto ore di autonomia. Ma di esempi se ne potrebbero fare tanti altri, perché il settore è piuttosto affollato di nomi importanti, quali Acer, Dell, HP, IBM, Palm, Toshiba e tanti altri. Tutti questi stanno preparando una nuova generazione di terminali che si spingono fino all’integrazione tra pocket pc e telefonino e oltre, promettendo l’accesso a un mondo di servizi a valore aggiunto, il cui sviluppo sarà reso possibile dalla diffusione della larga banda anche wireless. Un’evoluzione cui la tecnologia non pone virtualmente limiti se non la fantasia. Questa non sembra mancare, per esempio, alla statunitense Nextel, che ha sviluppato una versione personalizzata di BlackBerry (il terminale della RIM, che TIM commercializza in Italia, rimarchiandoli, soprattutto per i servizi di messaggistica mobile avanzata), aggiungendovi la funzionalità di walkie-talkie. In attesa di conoscere qualche dettaglio in più sul suo funzionamento, si può già immaginarne l’utilità per limitare l’abuso dei cellulari in azienda, cui si accennava precedentemente. A questo, d’altro canto, si può porre rimedio passando alla telefonia su IP: con gli IP Phone wireless di Avaya e Cisco, anche se adottando tecnologie diverse, pare sia possibile commutare automaticamente una chiamata GSM sul centralino aziendale, quando l’utente è fisicamente in azienda. Per consentire all’utente mobile di sfruttare appieno le risorse aziendali anche da remoto e via wireless, l’uovo di Colombo l’ha forse trovato bmind, una società Red Hat guidata dall’italiano Federico Musto. Grazie a un accordo con una società cinese, bmind è partita con la sperimentazione di terminali wireless su cui server remoti fanno girare applicazioni aziendali, unendo alla centralità delle architetture dei primi elaboratori le tecnologie di ultima generazione, con vantaggi anche in termini di sicurezza e controllo dell’accesso v alle risorse da parte delle imprese. Gaetano Di Blasio dida da scrivere 65 I report tecnologici I Report Tecnologici costituiscono un’opera di analisi e approfondimento dello stato dell’arte di architetture, soluzioni e servizi nell’ambito dell’Information e Communication Technology. Ogni report è un utile strumento di consultazione e un sussidiario che fornisce ai responsabili dei sistemi informativi aziendali e ai professional del settore un chiaro quadro dello scenario evolutivo delle tecnologie e delle soluzioni presenti sul mercato italiano. Ciascun Report è composto da una prima parte, che costituisce una cospicua trattazione degli aspetti tecnologici, e da una seconda parte, in cui vengono accuratamente descritte l'offerta e la strategia dei principali player del mercato. I Report Tecnologici sono disponibili in volumi stampati in formato A4 con copertina rigida, al costo di 215 euro a copia (più IVA). Per ordinarli o per ulteriori informazioni: 0234592314. 66 Motore e sede dei dati aziendali, server e storage sono gli elementi centrali di un sistema informativo che si articola in infrastrutture sempre più complesse che rispondono alle crescenti esigenze di elaborazione e all’esplosione dei dati, ma che devono risultare semplici per l’utente finale. Le nuove architetture evolvono in questa direzione, favorendo il consolidamento dei sistemi. Un report di circa 500 pagine analizza tutti gli aspetti del settore, esaminando, oltre alle tecnologie, le soluzioni e l’offerta di servizi in Italia. Capitolo 1 - DALL'E-BUSINESS ALL'AZIENDA VIRTUALE Capitolo 2 - L'EVOLUZIONE DELLE PIATTAFORME SERVER Capitolo 3 - LE ARCHITETTURE DI ELABORAZIONE DI NUOVA GENERAZIONE Capitolo 4 - APPLIANCE SERVER: ARCHITETTURE E METODOLOGIE PER LA SPECIALIZZAZIONE Capitolo 5 - I MEDIA PER LA MEMORIZZAZIONE Capitolo 6 - SAN, NAS E LO STORAGE NETWORKING Capitolo 7 - LA BUSINESS CONTINUITY E IL DISASTER RECOVERY Capitolo 8 - VIRTUALIZZAZIONE E GESTIONE DELLO STORAGE PARTE SECONDA - Tecnologie e strategie dei fornitori di soluzioni e servizi Acer - Computer Associates - Dell - D-Link Emc2 - Fujitsu-Siemens Computers - Hp/soluzioni server - Hp/soluzioni storage - Ibm/soluzioni server Ibm/soluzioni storage - Storagetek - Sun/soluzioni server - Sun/soluzioni storage I sistemi e le tecnologie di rete per realizzare le architetture che rappresentano il cuore del sistema informativo aziendale hanno subito una profonda evoluzione negli ultimi anni. La convergenza tra reti dati e reti voce e tra fisso e mobile ha al tempo stesso semplificato e complicato la gestione di un’infrastruttura vitale, accrescenfo il ricorso all’outsourcing. Un report di circa 500 pagine analizza tutti gli aspetti La comunicazione è da sempre una delle tematiche più sentite del contesto aziendale. L’esplosione del fenomeno Internet e, in particolare, della posta elettronica ha accentuato i problemi che il responsabile del sistema informativo e il responsabile delle telecomunicazioni si trovano a dover affrontare. A questo si aggiungono le innovazioni portate dalla mobilità. Un report di circa 500 pagine analizza tutti gli aspetti della comunicazione aziendale, soffermandosi, oltre che sulle soluzioni, sull’offerta di servizi in Italia. del networking, soffermandosi sulle architetture, le piattaforme e, non ultima, l’offerta di servizi in Italia. Capitolo 1 - LO SCENARIO DEL BUSINESS NETWORKING Capitolo 2 - LE NUOVE TECNOLOGIE DI RETE Capitolo 3 - LE RETI DI COMUNICAZIONE: ARCHITETTURE E SERVIZI Capitolo 4 - LE RETI LOCALI WIRELESS Capitolo 5 - LE RETI METROPOLITANE Capitolo 6 - LE RETI PER LA FONIA MOBILE Capitolo 7 - VIRTUAL PRIVATE NETWORK Capitolo 8 - IL NETWORK MANAGEMENT Capitolo 9 - UN NETWORK PROTETTO Capitolo 10 - SERVIZI E OUTSOURCING PARTE SECONDA – Tecnologie e strategie dei fornitori di soluzioni e servizi 3Com - Alcatel - Allied Telesyn - Cisco Systems Computer Associates - D-Link - Enterasys Networks - Hewlett-Packard - Italtel - Microsoft - Nortel Networks Capitolo 1- LO SCENARIO EVOLUTIVO DELLA BUSINESS COMMUNICATION Capitolo 2 - ARCHITETTURE E STANDARD PER I NUOVI PABX Capitolo 3 - I NUOVI SISTEMI DI COMUNICAZIONE PER LE PMI E L’AMBITO ENTERPRISE Capitolo 4 - L’INTEGRAZIONE TRA COMPUTER E TELEFONO Capitolo 5 - GLI IP-PABX: CARATTERISTICHE E FUNZIONALITÀ DEI PABX DI NUOVA GENERAZIONE Capitolo 6 - I VOICE PORTAL Capitolo 7 - CALL CENTER E GLI SCENARI PER L’AZIENDA Capitolo 8 - MESSAGING INTEGRATO E UNIFIED COMMUNICATION Capitolo 9 - LA SICUREZZA NEI SISTEMI DI COMUNICAZIONE AZIENDALE Capitolo 10 - LE ARCHITETTURE DELLE RETI CARRIER PER LA BUSINESS COMMUNICATION PARTE SECONDA – Tecnologie e strategie dei fornitori di soluzioni e servizi 3Com - Alcatel: le soluzioni per i contact center Alcatel: le soluzioni Ip-Pbx - Allied Telesyn - Avaya Cisco Systems - Italtel - Microsoft - Nortel Networks - Reitek - Selta Telematica - Tecnonet dida da scrivere 3 L’abbonamento a Direction fornisce accesso ad alcuni servizi relativi alla pubblicazione dei report e degli studi di Reportec. Gli abbonati riceveranno sei numeri del dossier completi dei relativi allegati su CD ROM e inoltre potranno scegliere tra: SOLUZIONE A un Report Tecnologico rilegato in hard cover formato A4 e sovra copertinato (dal costo di listino di Euro 215) a scelta tra i titoli finora pubblicati: Business Networking 2003 IT Security 2003 Server e Storage 2003 Business Communication 2003 Servizi per gli abbonati SOLUZIONE B tutti e 4 i Report Tecnologici finora pubblicati rilegati in hard cover formato A4 e sovra copertinati (ciascuno del costo di listino di Euro 215). Agli abbonati è riservato anche uno sconto del 25% sul prezzo di acquisto degli altri report pubblicati e la possibilità di accedere a condizioni di favore alle iniziative che si susseguiranno nel corso dell’anno. L’abbonamento a 6 numeri del dossier (di periodicità bimestrale) è pari a Euro 90 per la soluzione A e Euro 390 per la soluzione B e comprende le spese di spedizione del report o dei report richiesti. Per sottoscrivere l’abbonamento inviare un’e-mail a [email protected] oppure un fax al numero 0234532848