Visualizza

9
Direction Reportec - Volume II n.9 ottobre-novembre 2004 bimestrale • Spedizione in A.P. - 45% - art. 2 comma 20/B legge 662/96 - Milano
DOSSIER DI SOLUZIONI SERVIZI E TECNOLOGIE ICT
CommuniCation
• IL REPORT: Lo scenario della
comunicazione aziendale su
“Business Communication 2004”
• Come si adatta l’azienda alle
nuove forme di comunicazione
SeCurity
• Le specifiche problematiche
della sicurezza nelle WLAN
• Luci e ombre per la sicurezza
del voto elettronico
• Cresce la voglia di servizi di
sicurezza gestiti
networking
• Evolvono le alternative
per la realizzazione di WPAN
• Nuovi standard per abbassare
i costi del 10 Gigabit
• Un protocollo aiuta nella gestione
della rete aumentando
la sicurezza
Server e Storage
• Le banche richiedono soluzioni
specifiche
• Le pesanti esigenze di storage per
la posta elettronica
• Verso il consolidamento delle SAN
Indice
컄 Convergere sì ma non ad ogni costo . . . . . . . . . . . . . . . . . . . . .3
왘 IL REPORT: Business Communication 2004 . . . . . . . . . . . . . . .4
왘 La mobilità senza confini di Avaya . . . . . . . . . . . . . . . . . . . . . .8
왘 Come adattare l’azienda ai nuovi business . . . . . . . . . . . . . .10
왘 Un futuro prossimo convergente
con le reti Nortel Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
왘 3Com Secure IX per una protezione di classe enterprise . . .14
왘 Una soluzione CA per proteggere tutti i contenuti . . . . . . . .16
왘 La lunga strada wireless dal WEP al WPA2 . . . . . . . . . . . . . .18
왘 Un client sicuro con l’accesso remoto Check Point . . . . . . . .20
왘 Voto elettronico una sicurezza fatta non solo di tecnologia .22
왘 Sicurezza a tutto tondo per la «0 day» protection di ISS . . .24
왘 Nuove motivazioni spingono verso l’alto
il mercato degli MSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26
컄 Salgono le minacce con l’hacker che diventa
un «professionista» . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27
왘 Si vivacizza il mercato delle WPAN . . . . . . . . . . . . . . . . . . . .28
왘 Da Alcatel una piattaforma per il wireless Enterprise . . . . .30
왘 Il 10 GigaEthernet alla ricerca di mezzi a basso costo . . . . .32
왘 10 Gigabit per lo switching stackable di D-Link . . . . . . . . . .34
왘 Matrix C2 estende i confini
delle Secure Networks di Enterasys . . . . . . . . . . . . . . . . . . . .36
왘 Il traffico sotto controllo con IPFix . . . . . . . . . . . . . . . . . . . . . .38
왘 HP ProCurve uniforma la gestione di LAN e WLAN . . . . .40
왘 Prestazioni e affidabilità per la famiglia Altos di Acer . . . . .42
왘 Apple rilascia il fyle system per le SAN . . . . . . . . . . . . . . . . .44
왘 Una nuova linea di server a 64 bit in casa Dell . . . . . . . . . . .46
왘 Nuove soluzioni NAS low cost da EMC . . . . . . . . . . . . . . . . .48
왘 L’IT per un ruolo nuovo della banca . . . . . . . . . . . . . . . . . . . .50
왘 Il recovery dei dati diventa intercontinentale . . . . . . . . . . . .52
왘 Due vie complementari per la razionalizzazione dei dati . .54
왘 Il RISS di HP per il grid storage . . . . . . . . . . . . . . . . . . . . . . . .56
왘 IBM espande le ambizioni degli xSeries . . . . . . . . . . . . . . . . .58
왘 La virtualizzazione Microsoft con Virtual Server 2005 . . . . .60
왘 VERITAS raccoglie la sfida della «compliance» aziendale . .62
왘 Si sviluppano le architetture per rintracciare le mail . . . . . .64
컄 La protezione sottovalutata delle applicazioni Web . . . . . . .65
Sul prossimo numero il supplemento Solutions con un approfondimento sulle architetture aperte e il mondo open source
2
Direction Reportec - Volume II numero 9; bimestrale ottobre-novembre 2004; Editore: Reportec srl, via Gian Galeazzo 2
- 20136 Milano; Amministratore Unico Gabriella Gabet; Direttore Responsabile: Gaetano Di Blasio; Redazione: via A. Lazzati,
6 - 20154 Milano; [email protected]; fax 0234532848; Stampa: GRIFFE srl, via Frapolli 21 - 20133 Milano (sede
legale); via G.B. Brocchi 11 - 20131 Milano (sede operativa); Iscrizione al tribunale di Milano n° 212 del 31 marzo
2003; Tiratura 10.000 copie; Tutti i diritti sono riservati; Tutti i marchi sono registrati e di proprietà delle relative società.
Convergere si,
ma non ad ogni costo
I
sondaggi che periodicamente vengono pubblicati danno oramai per vincente le tecnologie di rete convergenti basate su IP. Anche,
prudentemente, considerando il fatto che non
pochi di questi sondaggi sono commissionati
dalle società produttrici, che comprensibilmente vogliono sapere se le piattaforme sviluppate hanno un reale mercato, i risultati
esprimono un netto favore per soluzioni convergenti rispetto a soluzioni più tradizionali.
Le percentuali che emergono indicano in circa
i due terzi le società che prevedono di passare ad una rete completamente convergente
entro i prossimi 4-5 anni. Orbene, la cifra in se
è sicuramente significativa e indica oramai una
strada segnata, ma significativi sono anche 5
anni se commisurati al gradiente evolutivo che
caratterizza le tecnologie e che, per quanto
concerne le reti aziendali, corrispondono a più
di una generazione tecnologica.
Va considerato che difficilmente poi tra 3-4
anni le società produttrici avranno disponibili,
se non a caro prezzo, parti di scorta o upgrade funzionali di tecnologie non convergenti, se
non altro per effetto della pressione concorrenziale che si esercita nel settore.
Anche un terzo che comunque non vede con
particolare favore, anche se poi, obtorto collo
e in mancanza di alternative finirà probabilmente con l’allinearsi con le scelte predominanti, è pur tuttavia una quota significativa del
panorama aziendale.
Più che da chiedersi perché la maggior parte
prevede, in un orizzonte temporale mediolungo, di adottare soluzioni convergenti vale, la
pena di chiedersi perché un terzo pensa, in
presenza di alternative, di non farlo o di posticipare ulteriormente la scelta.
La risposta ovviamente non è univoca ma può
essere ricondotta ad alcuni aspetti chiave,
connessi alla qualità complessiva dei servizi,
soprattutto voce, e alla sicurezza di una rete
convergente. Ovviamente il vantaggio e la logica che sta portando a scegliere infrastrutture
convergenti è così evidente che diventa
impossibile negarne la validità. Quello che
trattiene non poche aziende dall’intraprendere decisamente la strada sono però perplessità sulla qualità della fonia su IP. In effetti, vero
o falso che sia, la percezione è che la qualità
della voce (e di una conversazione nel suo
complesso per ciò che riguarda i parametri
che la caratterizzano) non sia ancora simile a
quella delle soluzioni convenzionali. Per non
parlare poi del video, soprattutto se a larga
banda.
Un altro aspetto percepito come critico è
quello della sicurezza, cosa che ha indotto i
produttori di networking a rafforzare il loro
impegno nella definizione di soluzioni sicure.
Da una parte, infatti, realizzare una rete in cui
IP trasporta sia le applicazioni voce e dati corrisponde a mettere tutte le uova nello stesso
paniere e, a patto che il paniere sia tenuto
d’occhio molto bene, la sicurezza complessiva
teoricamente è maggiore.
D’altra parte se un attacco alla rete dovesse
avere successo si avrebbe il fermo di tutte le
attività produttive dell’azienda. Senza più alternative di back up che permettano di mantenere in piedi una parte delle applicazioni come
avviene nel caso di reti separate funzionalmente.
Un ultimo aspetto emerge ancora come criticità, anche se in questo caso si tratta solo di
un fattore probabilmente temporaneo, quello
del prezzo dei dispositivi IP. Il prezzo dei telefoni IP, ad esempio, è percepito, e sovente non
si tratta solo di percezione, come sensibilmente più alto dei tradizionali: Un motivo di
più, per alcuni utilizzatori, di posticipare la
migrazione di una rete che se si limita alla
componente di trasporto e non di utente
v
perde parte del suo significato.
Giuseppe Saccardi
dida da scrivere
3
IL REPORT:
Business Communication 2004
L’ evoluzione delle soluzioni di comunicazione aziendale e delle
piattaforme di primari produttori del settore
I
l rapporto sulla Business Communication,
di oltre 450 pagine, allegato a questo
numero di Direction, riporta lo stato dell’arte delle tecnologie di comunicazione e analizza esempi significativi di architetture, piattaforme e servizi sviluppati da un numero significativo di produttori per il mercato nazionale.
Alla base del rapporto vi è uno scenario tecnologico oramai fortemente caratterizzato da
soluzioni di tipo aperto, convergenti e di
nuova concezione.Va osservato però che se si
è concretizzata una migrazione verso architetture fortemente innovative rispetto alla generazione precedente, diversa è la situazione in
termini di installato, che è ancora in buona
parte basata su soluzioni proprietarie. Ciononostante il fatto che la prossima generazione
di soluzioni che verrà installata in azienda sarà
basata su IP e su una convergenza spinta di
voce, dati e servizi appare un dato acquisito. In
pratica, i produttori sono concentrati sul
mero mantenimento dell’installato, se non
basato su IP, mentre sviluppi e rilasci sono oramai concentrati sulle nuove generazioni IP
based e convergenti.
Il progressivo phase-out delle tecnologie di
vecchia generazione o la difficoltà di trovare
parti di up-grade dell’installato, porterà obbligatoriamente ad accelerare la sostituzione
delle tecnologie convenzionali anche presso le
aziende che già non l’hanno fatto o pianificato.
Nel corso dell’anno, come è evidenziato nel
rapporto, si sono quindi ulteriormente concretizzati gli sviluppi centrati sulle nuove architetture e soluzioni per la gestione della business communication aziendale nonché per
l’integrazione di servizi che vanno dalla fonia
4
CommuniCation
sino alle più complesse applicazioni CRM
basate su contact center e a sistemi di interazione vocale o di messaggistica unificata di
nuova concezione e fortemente caratterizzate
in chiave IP. Punto centrale, assolutamente
innovativo per il settore e di estremo interesse per l’utilizzatore, è il concetto di “openess”,
consistente nell’adozione nativa di piattaforme hardware standardizzate e di sistemi operativi standard di mercato quali Unix, NT e, in
modo crescente, di Linux, presente in un
ampio numero di soluzioni di business communication.
• 3Com
Impegnata nella telefonia su IP sin dalla prima
ora, 3Com ha affinato la propria gamma su
due piattaforme: la famiglia NBX e l’architettura modulare softswitch VCX (Voice Core
eXchange).
Agli chassis NBX 100 (che ha ottenuto anche
la certificazione TiLab da parte di Telecome Italia) e SuperStack 3 NBX, destinati rispettivamente alle organizzazioni fino a 200 derivate e
fino a 1500 derivate, la società statunitense ha
aggiunto NBX V3000, riducendo il costo di
ingresso per questo tipo di soluzioni, mantenendo e anzi accrescendo, secondo i dati forniti, le funzionalità. Obiettivo dichiarato quello
di penetrare il mercato delle piccole imprese,
andando a sostituire i “vecchi” key system.
I softswitch VCX (Voice Core eXchange),
invece, sono di tipo carrier class e in grado di
scalare fino a 50mila utenti.
Infine, la multinazionale di origine statunitense
ha ampliato la gamma di apparecchi telefonici,
anche di tipo cordlesss, progettati, secondo le
dichiarazioni del costruttore, per soddisfare le
diverse esigenze di comunicazione.
• Alcatel
Le soluzioni Alcatel , comprese nella sua “casa
della comunicazione”, si rivolgono all’intero
segmento delle aziende, da quelle più grandi
con caratura internazionale a quelle con
copertura nazionale sino alla piccola e media
impresa. Fondamentale, ed elemento caratteristico nelle soluzioni PBX di Alcatel è la possibilità di realizzare vere e proprie reti di sistemi distribuiti che comprendono funzioni di
fonia, di contact center e di messaggistica integrata basata su IP,
ma compatibile ed
integrabile con le
piattaforme TDM
convenzionali.
Le soluzioni della
sua linea OXE
(dedicata alla fascia medio-alta delle aziende)
non pongono virtualmente limiti nella realizzazione di piani di migrazione mirati, né nel
livello di distribuzione territoriale, funzionale
e applicativa degli apparati che la costituiscono. I benefici delle soluzioni Alcatel non sono
però esclusiva delle maggiori aziende. Il concetto di sistema aperto alla base della sua
strategia permette infatti di portare sulle piattaforme OXO, adatte specificatamente alla
gamma delle medie e piccole aziende, le stesse funzioni e i medesimi benefici forniti dalle
soluzioni OXE.
• Avaya
Avaya, che della business communication ha
fatto la propria attività core, vanta una forte
presenza nel campo della fonia e dei contact
center. Ambiti nei quali ha sviluppato un’architettura costituita da piattaforme focalizzate su
tre aree principali, reti convergenti per voce e
dati, CRM/Contact Center e comunicazione
unificata. Per le reti convergenti l’architettura
comprende una vasta gamma di sistemi e servizi per reti voce e dati, dedicata ad aziende di
ogni dimensione: dai centralini telefonici per la
gestione del traffico voce in ambito aziendale,
ai router e switch ad alta velocità, fino ad
apparecchiature e software studiati per
rispondere alle esigenze delle reti dati di classe enterprise.
Della gamma di soluzioni fanno parte anche
tecnologie VPN, cablaggi fisici, soluzioni wireless, che aiutano le aziende a estendere i servizi dati e di telefonia anche ai dispositivi desktop e mobili, e una gamma di apparecchi telefonici sia fissi sia wireless.
Le soluzioni IP, che fanno parte dell’architettura ECLlPS (Enterprise Class IP Solutions),
hanno l’obiettivo di consentire alle aziende di
unificare i loro sistemi voce e dati all'interno
di un'unica rete ad alta affidabilità, tramite la
quale diventi possibile sfruttare nuove applicazioni e accedere a file, posta elettronica, browser, fax e messaggi vocali indipendentemente
dal luogo o dalla postazione di lavoro.
• Cisco Systems
Elemento di base delle soluzioni di comunicazione IP di Cisco è l’architettura AVVID
(Architecture for Voice, Video and Integrated
Data), che fornisce un’infrastruttura aperta,
basata su standard, per la realizzazione di reti
convergenti.
La soluzione IP Telephony Cisco ha un’architettura scalabile per gestire fino a 30.000
utenti per sistema, la cui elevata affidabilità è
garantita da una logica di ridondanze. La caratteristica fondamentale è rappresentata dalla
semplicità di gestione, di amministrazione e di
sviluppo di nuove applicazioni, anche grazie al
supporto, da parte dei terminali telefonici IP, di
protocolli e funzioni standard quali XML. In
questo modo, la società statunitense ha reso
possibile a terze parti la realizzazione di soluzioni aperte per i propri apparecchi.
Ai tradizionali servizi di telefonia, Cisco
aggiunge, secondo le dichiarazioni dei responsabili della stessa società, altri vantaggi propri
dell’architettura AVVID, come, per esempio,
quelli che derivano dalle soluzioni di messaggistica unificata. In particolare, i servizi sono
forniti principalmente attraverso il software di
5
CommuniCation
gestione Cisco CallManager, compreso, nella
versione Express anche nel sistema operativo
Cisco Ios, che contraddistingue tutti gli apparati della multinazionale statunitense.
L’architettura si esplica anche nella realizzazione di soluzioni di IP Contact Center.
xity sono allocati diverse linee di prodotto,
che coprono esigenze che vanno dalla semplice fonia a quelle di contatto sino a quelle connesse alla realizzazione di reti di fonia fisse e
mobili.
• Easynet
• D-Link
La società di Taiwan già da tempo ha avviato
un processo di ampliamento della propria
offerta aggiungendo, ai più tradizionali prodotti in ambito networking che la contraddistinguono da sempre, una gamma di soluzioni
dedicate alla comunicazione e alla mobilità.
In questo contesto si collocano le soluzioni
broadband comprendenti modem e router
ADSL, questi ultimi disponibili anche con
switch integrato, e un’ampia gamma di apparati per la realizzazione di soluzioni di comunicazione wireless. Ad essi si affiancano prodotti di video telefonia basata sul protocollo IP e
una gamma di videocamere Internet, adatte sia
per connessioni cablate che di tipo wireless e
utilizzabili in applicazioni di comunicazione o
videosorveglianza.
• EADS Telecom
EADS Telecom ha sviluppato una gamma di
soluzioni per la comunicazione aziendale che è
inserita all’interno della sua vision strategica e
architetturale “Connexity”, che contrassegna in
modo distintivo i suoi prodotti e servizi. Connexity riflette la filosofia di EADS Telecom, che
ha sviluppato un portafoglio di prodotti che è
dichiaratamente volto a soddisfare mercati tradizionalmente distinti quali quelli enterprise,
difesa, sicurezza pubblica, pubblica amministrazione, prodotti che però si basano su metodologie e approcci progettuali comuni che ne permettono l’abbinamento in soluzioni complesse
sia a livello di singola sede che in ambito di rete
aziendale distribuita geograficamente.
Nella vision Connexity emerge l’intendimento
di EADS nell’identificare un contenuto tecnologico che permetta di costruire soluzioni
“turnkey”, basate su IP e aperte agli standard
di mercato. All’interno della strategia Conne-
6
CommuniCation
Easynet è un operatore con una rete paneuropea e link intercontinentali. Ha sviluppato
una soluzione per la comunicazione aziendale
aperta, che copre con canali ad altissima capacità ed accessi basati sulle tecniche di networking più moderne e diffuse i maggiori stati
europei. La rete si basa sugli elementi chiave
dell’evoluzione tecnologica degli ultimi anni, il
broadband e l’IP, accostati in una soluzione
risponde alle esigenze in termine di capacità di
banda, architetture di rete ridondanti, utilizzo
di modalità di connessione, come il DSL, a
basso costo e elevata capacità, il tutto integrato da una capacità progettuale e di supporto
sperimentata in numerose realizzazioni in Italia e nell’ambito internazionale.
Alla base della sua strategia architetturale e di
servizi vi è l’MPLS, il metodo di realizzazione
di reti virtuali oramai affermatosi per la realizzazione di soluzioni VPN caratterizzate da un
grado elevato di flessibilità, di supporto di servizi evoluti di fonia e dati e in grado di inserirsi in modo trasparente nel contesto aziendale,
sia IP che SNA.
• Italtel
Italtel è una società che ha una presenza pluridecennale nel settore delle telecomunicazioni,
nella progettazione e nella fornitura di soluzioni per reti pubbliche sia geografiche che
metropolitane voce e dati. Il suo approccio
“carrier class” ha portato alla definizione di
un’architettura e alla realizzazione di un insieme di soluzioni e prodotti di nuova generazione che ha tra gli obiettivi principali quello di
permettere agli operatori di rete una migrazione progressiva verso architetture evolute,
basate su IP ma in grado di supportare anche
le esistenti piattaforme ed applicazioni TDM. A
questo abbinano la possibilità di creare nuovi
servizi a valore aggiunto in linea con le recenti
esigenze di mercato. Peraltro, l’adozione nelle
sue soluzioni di un approccio architetturale di
nuova generazione ha l’obiettivo anche di permettere una progressiva riduzione dei costi e
un ampliamento rapido e cost-effective del
portafoglio dei servizi forniti da un operatore.
• Microsoft
La casa di Redmond propone una serie di
soluzioni software di comunicazione integrata
indirizzate a favorire l’accesso alle informazioni, l’azione su di esse al fine di migliorare il
business e la collaborazione efficace con clienti, partner e colleghi. Le soluzioni Microsoft
sono indirizzate a migliorare la comunicazione
e la collaborazione in tempo reale fornendo,
all’interno di un’unica piattaforma standard,
funzioni di e-mail, voice mail, calendaring,
instant messaging, audio/video conferencing,
unified messaging e funzionalità per dispositivi
mobili. L’offerta Microsoft ruota attorno alla
piattaforma Windows Server 2003, ai prodotti della famiglia Office 2003 e alle soluzioni
server specializzate quali Microsoft Exchange
Server 2003 (assistito da Outlook) o Live
Communications Server 2003. Ad esse si
affianca la soluzione software Windows Mobile adatta per dispositivi mobili quali i Pocket
pc o gli Smartphone.
• Nortel Networks
Uno degli aspetti tra i più critici è rappresentato dal come riorganizzare il modo in cui si
gestisce e, soprattutto, viene utilizzata l’infrastruttura di rete al fine di migliorare i processi di business. Nortel Networks ritiene che sia
possibile rispondere positivamente a queste
esigenze ed ha a tal fine sviluppato una nuova
architettura per reti d’impresa che rende possibile la convergenza tra voce, dati video e servizi multimediali su un’unica infrastruttura unificata. Nella sua strategia ciò ha l’obiettivo di
eliminare i confini esistenti tra i diversi servizi
di comunicazione, gli utenti o le sedi da cui
l’interazione ha luogo. L’architettura, riferita
come “Architecture for the Converged Enter-
prise” (ACE), è la
concretizzazione
della sua vision OneNetwork per l’azienda del futuro.
ACE è un insieme di
piattaforme, servizi
ed applicazioni che
definisce un ambiente
di rete convergente il
cui obiettivo primario è di eliminare i confini
fisici tra le reti ed i confini logici tra i servizi
erogati o trasportati a livello di rete, il tutto in
un quadro convergente.
• Tenovis
Tenovis è stata fondata nel 2000 ma può vantare un’esperienza che, a partire dall’eredità
raccolta da Bosch Telecom, risale a oltre cent’anni di storia della comunicazione.
Elemento centrale delle soluzioni di Business
Communication di Tenovis è la piattaforma
Integral Communication Center (ICC). Questa è stata progettata, stando alle dichiarazioni
dei responsabili della società d’origine tedesca, con lo scopo di realizzare una piattaforma
aperta che permettesse l’evoluzione del sistema verso future applicazioni multimediali e l’utilizzo di tecnologie di Voice over IP e IP telephony. L’architettura prevede l’utilizzo di una
struttura software di tipo modulare su cui si
integrano moduli specifici, molti dei quali votati anche alla sicurezza.
Più precisamente, i singoli moduli dell’Integral
Communication Center (ICC) includono tecnologie per la realizzazione di infrastrutture di
networking e internetworking, applicazioni
CTI/CRM, Call/Contact Center, sistemi di
posta elettronica e messaggistica unificata, servizi di mobilità, soluzioni di sicurezza basate su
firewall, intrusion detection, antivirus , URL filtering. Il tutto integrato in un’unica soluzione
controllabile e gestibile da remoto in modalità
managed /provisioned service o outsourcing.
Per salvaguardare investimenti pregressi, ICC
è stata sviluppata in modo da essere eventualmente integrabile in strutture rack esistenti.v
7
CommuniCation
La mobilità senza confini
di Avaya
La soluzione integrata della casa americana si arricchisce di un sistema
Voice over WLAN, sviluppato insieme a Motorola e Proxim, che può fare
roaming su GSM
I
Il cellulare GSM
Motorola CN620
funziona come telefono IP
wireless sulle WLAN
Avaya di nuova
generazione
8
CommuniCation
l sogno di molte aziende è quello di avere
dipendenti sempre più produttivi, efficienti, flessibili, mobili e al sicuro dalle minacce
informatiche del nuovo millennio. Il gran “battage” per la mobility sulle pagine delle riviste
e nei convegni specializzati alimenta questo
sogno, ma la realtà rischia di spegnere rapidamente gli entusiasmi. Alla teoria, infatti, si contrappone spesso la difficoltà implementativa di
una soluzione integrata, perché mobilità non è
solo avere un apparecchio in grado di collegarsi a una rete in modalità wireless.
Avaya è, se non l’unica, come sostengono i
suoi responsabili, certamente una delle poche
aziende a poter vantare una piattaforma che
comprende: telefoni IP (anche di tipo softphone), gateway di sicurezza, client VPN,
soluzioni di unified communication,
sistemi Wi-Fi con supporto della telefonia, integrazione di interfacce per la
fonia su WLAN e GSM e soluzioni di
accesso remoto a tutte le applicazioni
come se si fosse ufficio, compreso un
contact center multimediale, con capacità di instradamento, basato sulle competenze, delle chiamate attraverso tutti
i canali.
Grazie a tali elementi, le soluzioni di
mobility Avaya, a detta della stessa
società, sono in grado di coniugare le
esigenze dei lavoratori, che richiedono
una maggiore flessibilità dell’ambiente
di lavoro, una riduzione di tempi e costi
di spostamento per raggiungere il
luogo di lavoro o i clienti e la possibilità di fare contatti in qualsiasi momento
e ovunque. Secondo uno studio della UK
Social Market Foundation, il lavoro remoto
può aumentare la produttività degli impiegati
fino al 30%. Inoltre, un lavoro più flessibile
aumenta il morale e la soddisfazione, riducendo nel contempo il livello di stress dei dipendenti.
• Una visione “user centric”
Per ottenere questi obiettivi, peraltro, Avaya
ritiene si debba accantonare il concetto del
“anyone, anywhere, anytime, anyway” per
abbracciare una filosofia centrata sull’utilizzatore, cui deve essere fornita la capacità di
gestire la raggiungibilità e la disponibilità di una
vasta gamma di opzioni di accesso. In altre
parole, deve essergli dato il controllo della
mobilità, che significa raggiungere “la persona
giusta, nel posto giusto, al momento giusto, nel
giusto modo”.
Si tratta di un obiettivo cui si arriverà con il
progressivo passaggio dalle reti convergenti,
che solo oggi si stanno finalmente affermando
in azienda, alle comunicazioni convergenti, che
si basano, da un lato, su software e sistemi
sempre più distribuiti e, dall’altro, su infrastrutture sensibili alle applicazioni (il riferimento è al Layer 7, l’ultimo, della pila OSI). Di
fatto è il mondo verso cui si sta andando con
i protocolli IP e SIP.
Avaya ha rilasciato recentemente una gamma
di apparati telefonici basati su SIP, cui si combina una soluzione di unified communication,
impostata sulla “presenza”, con applicazioni di
instant messaging (si veda Direction numero
7). Il tutto sotto l’egida di una strategia che,
sfruttando le potenzialità della piattaforma
MultiVantage, integra il tutto nel nuovo Converged Communications Server.
Come accennato in precedenza, però, le soluzioni della società statunitense si spingono agli
estremi della convergenza e dell’integrazione,
con l’obiettivo di aumentare le possibili modalità di accesso da parte dell’utente finale.
• Un telefonino per WLAN e GSM
In collaborazione con Motorola e Proxim,
Avaya ha messo a punto un sistema Voice over
WLAN, in grado di integrarsi con una rete
GSM. Più precisamente, la società statunitense
ha presentato Avaya W310 WLAN Gateway e
Avaya W110 WLAN Access Point, due prodotti che incorporano le tecnologie sviluppate
con gli altri partner e che, grazie alla piattaforma di IP Telephony Communication Manager di
Avaya, supportano la fonia sulla rete wireless
locale. Il sistema è compatibile con il telefonino Motorola CN620, annunciato contestualmente, dotato di una doppia interfaccia radio:
WLAN e GSM.
La soluzione messa a punto dai tre protagonisti americani del settore permette anche il
roaming trasparente tra le due infrastrutture
wireless. In altre parole, l’utilizzatore può continuare la sua conversazione, senza avvertire
differenze, secondo le dichiarazioni dei
costruttori, anche passando dalla rete VOIP in
azienda alla rete pubblica mobile esterna.
Aldilà dei vantaggi che si possono avere anche
semplicemente negli spostamenti all’interno di
campus aziendali o location molto estese, la
soluzione lancia le basi per la completa integrazione tra il telefono dell’ufficio e quello
mobile. Non sono più necessari due apparecchi, ma è possibile mantenerne uno, con estrema semplificazione della gestione delle telecomunicazioni aziendali.
C’è poi un risvolto che potrebbe portare a
ROI rapidissimi: infatti, è sempre più frequente
l’utilizzo del cellulare anche per chiamare il
collega che si è o potrebbe essersi allontanato
dalla sua scrivania. Con il sistema Avaya, la telefonata effettuata con il telefonino per chiama-
re i colleghi diventa a tutti gli effetti una chiamata IP interna a costo zero. A questo si
aggiunge il fatto che la segreteria telefonica
viene accentrata comunque sul sistema aziendale, con conseguente abbattimento dei costi
telefonici per chiamare la stessa.
La soluzione supporta le piene funzionalità IP della
piattaforma Avaya, compreso l’interrogazione
vocale della posta elettronica, l’accesso alle
directory aziendali e la realizzazione di audioconferenze multiple.
Tutto questo anche quando ci si sposta dalla
WLAN sulla rete pubblica.
Come spiegato da Avaya, l’IT manager può
inoltre gestire e monitorare centralmente le
funzionalità di una rete locale wireless costruita sui dispositivi Avaya W310 Wireless LAN
Gateway e W110 Access Point da un’unica
console, con un ulteriore risparmio di lavoro e
costi relativi.
Avaya, infine, si fa garante della sicurezza della
soluzione. Non solo i dispositivi WLAN sono
dotati delle tecnologie previste dagli standard,
tra cui il WPA (Wi-Fi Protected Access) che
anticipa la ratifica dell’802.11i, permettendo la
crittografia delle comunicazioni vocali, ma,
come hanno spiegato i responsabili della società, la loro architettura è stata tutta progettata
per fornire sicurezza, affidabilità ed elevata
qualità della conversazione.
Gateway e access point di Avaya, infatti, concentrano l’intelligenza per il controllo degli
accessi e le security policy in un singolo gateway. Questo permette di identificare molto più
rapidamente eventuali vulnerabilità della rete
wireless e di impedire accessi indesiderati su
access point periferici.
Inoltre, il costruttore americano si fa garante
della robustezza della soluzione, che è stata a
lungo collaudata presso diversi clienti. La qualità della comunicazione è poi assicurata dalle
caratteristiche di QoS (Quality of Service)
basate sulle specifiche dello standard Wireless
Multimedia Extensions (WME).
G.D.B.
Avaya W310 WLAN
Gateway
9
CommuniCation
Come adattare l’azienda
ai nuovi business
Rapidità dei cambiamenti e nuove sfide di mercato richiedono un’azienda
tecnologicamente rinnovata e competitiva
M
ettiamoci nei panni del responsabile ICT di un’azienda di medie
dimensioni che è alle prese quotidiane con il problema di mantenere in esercizio soluzioni installate e messe a punto alla
fine degli anni 90. Oltre a mantenere in esercizio l’infrastruttura di elaborazione e comunicazione aziendale, cosa già di per se non facile, si vede chiedere di aumentare il ROI, ridurre il TCO, aggiornarsi sulle nuove tecnologie,
pianificare l’integrazione di applicazioni aperte, adottare nuovi linguaggi che permettano di
far fronte alla proiezione verso l’esterno del
business aziendale, prevedere l’utilizzo di tecnologie di rete e di comunicazione convergenti, valutare le piattaforme mobili di nuova
generazione, procedere al consolidamento
dell’IT, eccetera. In pratica, si chiede di fare nel
volgere di mesi quello che nel passato si è
fatto su una scala temporale di anni.
Non potendo fare tutto ovviamente alla fine si
deve scegliere su cosa concentrarsi e, in non
pochi casi, questo porta a porre l’accento su
come adattare, più che rivoluzionare, l’approccio ICT dell’azienda in modo da rispondere
alle nuove sfide di mercato, competitive, eccetera, che si prospettano.
• Catalogare le attività
Un primo passo può consistere nell’esaminare
la tipologia e le metodologie delle attività svolte in azienda, condizione sine qua non per passare poi ad una fase di identificazione delle
soluzioni volte a migliorare le modalità di svolgimento delle specifiche applicazioni e compiti aziendali.Va osservato che in un’azienda che
deve essere obbligatoriamente più dinamica è
10
CommuniCation
facile prevedere che la mobilità sarà uno degli
elementi chiave delle attività aziendali.
Gartner Group suffraga questa (peraltro non
difficile) ipotesi affermando che entro il 2005
più del 30% dei dipendenti su scala mondiale
utilizzeranno qualche forma di tecnologia di
accesso remoto al fine di espletare i propri
compiti aziendali e IDC stima da parte sua che
l’insieme dei lavoratori mobili negli Stati Uniti
arriverà già entro la fine dell’anno in corso a
oltre 55 milioni. Non tutte le attività mobili
sono però uguali e ad ogni attività si adatta
uno specifico strumento. Va considerato che
poi in alcuni casi si intende per mobile quello
che mobile non è, come nel caso di un utente
che accede da remoto, ad esempio dalla propria abitazione, ad una applicazione residente
presso la sede centrale dell’azienda.
Un’analisi del comportamento medio del personale aziendale porta a suddividere i dipendenti in tre categorie: i dipendenti che passano la maggior parte del loro tempo al desktop; i dipendenti sempre in movimento; i
dipendenti con un comportamento lavorativo
misto. In tal senso la tabella indica le percentuali di attività aziendali svolte presso la propria scrivania o in movimento.Come si osserva, personale quali i venditori o i consulenti
dei clienti svolgono mediamente un 70-80%
dei loro compiti in movimento e necessariamente in questo necessitano di piattaforme
mobili sia per ciò che riguarda la fonia che per
i dati.
Corporate executive e personale di marketing
hanno una percentuale di mobilità che è intorno al 50% mentre un quarto del loro tempo è
trascorso presso la propria scrivania e un
quarto (riunioni, corsi, seminari, eccetera)
presso altre sedi aziendali o uffici della sede in
cui lavorano. L’importanza della mobilità è
quindi una caratteristica che tende a crescere
(come profilo personale di un dipendente) in
funzione del grado di responsabilità ricoperto
o dell’impatto che il risultato delle sue attività
ha sul fatturato aziendale.
• Le soluzioni tecnologiche
Ognuna delle tre categorie analizzate presenta caratteristiche specifiche in termini di esigenza di strumenti di lavoro.
Per il personale che svolge il proprio compito
ad una scrivania (della propria sede o di altre
sedi dell’azienda o dalla propria abitazione nel
caso dei telelavoratori) l’aspetto importante è
che risultino in grado di accedere alle facilities
di comunicazione aziendale, alle informazioni
e ai servizi. Le applicazioni di comunicazione
richieste sono in genere comprese nell’insieme delle funzioni di comunicazione e di messaggistica in real time.
Il personale che trascorre la maggior parte del
suo lavoro in movimento ha un’esigenza che si
differenzia sensibilmente . Tra le applicazioni in
questo caso necessarie vi sono quelle di messaging, di gestione delle informazioni personali, di applicazioni per filtrare le informazioni,
messaggi e chiamate sino ad applicazioni di
notifica. La caratteristica di base è che queste
applicazioni, visto la natura itinerante dell’utilizzatore, devono essere rese accessibili con
diversi strumenti, dal telefonino sino al portatile o al PDA.
In posizione intermedia si trova il personale
della terza categoria. Essendo però costituito
da dipendenti di posizione aziendale elevata,
alle funzioni illustrate si viene ad aggiungere
l’esigenza di una personalizzazione specifica
del proprio contesto di utilizzo delle applicazioni.
Un aiuto per risolvere il problema posto dal
dover far fronte alle diversità profonde in termini di esigenze del personale senza doversi
immergere nell’identificazione di applicazioni
specifiche, terminali, standard e così via viene
per fortuna dall’evoluzione che caratterizza il
segmento della comunicazione, che sta rendendo disponibili soluzioni che inglobano
applicazioni PBX, Contact Center, messaggistica unificata, VPN e sicurezza.. Disponibili da
parte di principali, ma non solo, fornitori
nazionali e internazionali, queste tecnologie
permettono di definire profili specifici per il
singolo utilizzatore o per gruppi di utilizzatori, un poco sulla falsariga dei profili per gli utilizzatori nelle reti dati degli anni ottanta e
novanta. Questi profili abilitano ad accedere ai
servizi, e solo a quelli, per cui si è abilitati, con
la possibilità di appartenere a classi diverse, ad
esempio nel caso una persona ricopra più funzioni aziendali.
Profilo tipico di
dipendenti
• La borderless enterprise è una
realtà
Perlomeno è una realtà possibile, nel senso
che esistono ora gli strumenti per passare
dalla teoria alla pratica, sia per la grande che
per la media/piccola impresa. Questa disponibilità tecnologica è poi resa approcciabile dalla
convergenza verso un numero abbastanza
ridotto di standard, che vanno dall’IP, al protocollo di comunicazione (su IP) SIP, al linguaggio
VMXL (che rende accessibile via voce il contenuto Internet e all’XML, oramai avviato ad
essere il linguaggio standard per lo scambio di
informazioni tra applicazioni tramite WEB.
Standard di mercato in numero ragionevolmente ridotto e tecnologie di comunicazione
aperte e multifunzionali permettono quindi di
razionalizzare (e semplificare) l’infrastruttura
di comunicazione aziendale. Non è tutto ma
può essere un primo passo.
G.S.
11
CommuniCation
3Com Secure IX per una
protezione di classe enterprise
La nuova gamma di sistemi di sicurezza, dal design compatto, completa
l’offerta della società statunitense
C
on Secure IX 3Com completa la
gamma di soluzioni per la sicurezza
rivolte al mondo enterprise. I nuovi
prodotti, progettati da 3Com e non frutto di
partnership, si posizionano tra i dispositivi
OfficeConnect, rivolti alle Pmi, e il Security
Switch. La nuova famiglia presenta caratteristiche, se non uniche, come vorrebbe il costruttore, certamente comuni a poche soluzioni
specializzate. Un esempio è il supporto combinato di multicast IP e SIP, senza il quale un
firewall potrebbe bloccare le comunicazioni di
IP Telephony e non consentire audioconferenze. Inoltre, ribadiscono i responsabili 3Com, è
l’insieme di tutte queste singole funzionalità
avanzate che non troverebbe sul mercato altri
riscontri presso un fornitore unico.
• Sicurezza per l’azienda estesa
Le nuove soluzioni rispondono all’esigenza
delle imprese sempre più distribuite sul territorio, con sedi distaccate, agenzie e piccoli
uffici e finanche telelavoratori, di portare la
sicurezza in ogni punto del sistema informativo. A detta del costruttore, quindi, Secure IX
fornisce controllo degli utenti e dei dispositivi
di accesso e protezione contro le intrusioni,
garantendo l’integrità delle informazioni, eliminando il traffico indesiderato e consentendo
la definizione di zone di sicurezza delimitate.
Nello stesso tempo, consente di salvaguardare servizi di rete quali policy based traffic shaping, qualità del servizio a livello applicativo,
alte prestazioni e bassa latenza nelle VPN e
multicast routing sotto IPSec. Progettati con
questo scopo, secondo le dichiarazioni della
società statunitense, i nuovi prodotti fornisco-
14
Security
no capacità di gestione e configurazione da
remoto molto avanzate. L’installazione e l’eventuale ripristino dopo un malfunzionamento
sono immediati grazie all’uso innovativo di una
memory stick USB, che “funziona come la
chiave di avviamento dell’auto”, come ha spiegato Giulio Galetti, direttore tecnico di
3Com, che ha dichiarato: “Finora, per risolvere i problemi di sicurezza delle filiali remote,
garantendo le piene funzionalità e i requisti di
rete, era necessario assemblare internamente
una serie di prodotti da integrare con notevoli difficoltà di ingegnerizzazione e successivi
costi di gestione, moltiplicati dalla necessità di
operare sul posto”.
Le caratteristiche di Secure IX sono quelle di
un router avanzato combinate con le funzionalità di una security appliance evoluta. Dietro
l’apparente banalità si nasconde la capacità di
integrazione del tunneling VPN, per esempio,
con il controllo della larghezza di banda basato su policy e il supporto della QoS, che assegna la banda a specifici tipi di traffico (come la
voce) e ne limita il consumo per altri.
Per quanto riguarda il controllo degli accessi,
Secure IX fornisce ogni forma di autenticazione, compresa la certificazione X.509. Il firewalling attua l’analisi dei pacchetti di tipo stateful inspection, cui viene aggiunta una protezione specifica per gli attacchi DoS (Denial of
Service). Una delle caratteristiche che vale la
pena di sottolineare, in quanto non presente
analogamente su ogni appliance di questo
genere è il supporto di crittografia con accelerazione delle VPN IPSec, DES, 3DES e AES a
256 bit, per mantenere, secondo criteri
3Com, elevate prestazioni.
Funzionalità di Web content filtering e la defi- illimitato di utenti). Dotato di 6 porte Ethernizione di policy per l’accesso alle applicazioni net 10/100, questo apparato supporta, tra l’ale ai servizi di rete permettono di eliminare tro, fino a 128mila sessioni concorrenti, 30
traffico indesiderabile e di preservarlo per Mbps di throughput nel firewalling, 10 Mbps
servizi fondamentali. Ha affermato Galetti: “Le per le VPN 3DES e 50 tunnel VPN, secondo
policy rule consentono, tra l’altro, di bypassa- dati di targa 3Com.
re la codifica NAT (Network Address Transla- Secure IX 4100, invece, dispone di 4 porte
tion), che, di fatto, impedisce di terminare una 10/100 e gestisce fino a 1000 tunnel VPN,
chiamata telefonica su IP”.
garantendo prestazioni di 200 e 100 Mbps
Infine, Secure IX consente di definire regole rispettivamente per le operazioni di firewalper la comunicazione e lo scambio di informa- ling e VPN. Al top della gamma si posiziona
zioni e risorse tra diverse “aree” della rete. Secure IX 5100, che aumenta tutte le prestaSono le cosiddette security zone, che 3Com zioni arrivando a gestire 256mila sessioni condefinisce come “segmenti di rete o VLAN, il correnti e 5000 tunnel VPN, con throughput di
cui accesso viene regolamentato e così il traf- 600 Mbps per il firewalling e 300 Mbps per il
fico che entra o esce dalla zona stessa”.
virtual private networking.
Comunemente, i sistemi di protezione defini- Altre differenze riguardano il numero di policy
scono tre security zone: LAN, WAN e DMZ definibili (rispettivamente 100, 500 e 1000 per
(o più di una di queste ultime). Con Secure IX Secure IX 3100, 4100 e 5100), di URL elencasi possono definire zone anche più delimitate, bili per le azioni di allow/deny (200, 1000 e
appunto sulla falsa riga delle virtual LAN, ed è 2000) e così via. Secure IX 5100, inoltre, dispossibile regolare i servizi tra loro (e quindi pone di alimentazione e ventole ridondanti
all’interno della rete), come avviene nei con- per aumentare l’affidabilità.
fronti delle reti esterne, come ci ha spiegato Tutto questo a prezzi che 3Com definisce
Galetti: “Non si tratta di semplicemente con- aggressivi: secondo Galetti “anche fino a 4
sentire o negare (allow o deny) accessi, ma volte meno del prezzo di mercato”, riferendoanche di assegnare priorità e fornire autenti- si al 5100. Più precisamente i prezzi di listino
cazione (prioritize e authenticate)”.
sono: da 495 a 995 dollari per Secure IX 3100,
La definizione delle regole è piuttosto granu- 2995 dollari per Secure IX 4100 e 9995 dollalare, in quanto possibile in base a diversi attri- ri per Secure IX 5100.
G.D.B.
buti: per sorgente o destinazione del traffico (rete, security zone, indirizzi IP, grup- Caratteristiche famiglia secure IX
3100-10
3100-50
3100
pi e così via); per servizio di rete (Web, connettività/prestazioni
FTP, SIP, email e altro); per ora/data; per utenti concorrenti
10
50
illimitati
connessioni concorrenti
128000
128000
128000
azione (come spiegato sopra da Galetti).
• La famiglia Secure IX
Tutte le funzionalità software sono comuni all’intera gamma di dispositivi Secure
IX, secondo una politica già adottata da
3Com per le proprie serie di router.
I tre apparati, contraddistinti da un design
compatto, si differenziano essenzialmente
per le prestazioni che sono in grado di
supportare.
L’entry level è Secure IX 3100 (disponibile in tre edizioni per 10, 50 o un numero
Un unico controllo
unificato end to end
per la sicurezza con 3Com
Secure IX
4100
5100
illimitati
illimitati
128000
256000
interfacce Ethernet
6 da 10/100 6 da 10/100 6 da 10/100 4 da 10/100 2 da 1 Gbps e
4 da 10/100
prestazioni Firewall
30 Mbps
30 Mbps
30 Mbps
200 Mbps
600 Mbps
prestazioni VPN (3DES)
10 Mbps
10 Mbps
10 Mbps
100 Mbps
300 Mbps
robustezza alimentazione e ventole n.d.
n.d.
n.d.
RPS esterno ridondanza
configurazione via memory stick USB si
si
si
si
no
Sicurezza
numero di tunnel VPN
50
50
50
1000
5000
Security Zone massime
5
5
5
10
50
policy group
50
50
50
100
200
policy rule
100
100
100
500
1000
schedule
25
25
25
50
100
elenchi URL per Allow/Deny
200/200
200/200
200/200
1000/1000 2000/2000
local database entry
50
50
50
200
500
Prezzo di listino (dollari)
495
795
995
2995
9995
Security
15
3Com Secure IX per una
protezione di classe enterprise
La nuova gamma di sistemi di sicurezza, dal design compatto, completa
l’offerta della società statunitense
C
on Secure IX 3Com completa la
gamma di soluzioni per la sicurezza
rivolte al mondo enterprise. I nuovi
prodotti, progettati da 3Com e non frutto di
partnership, si posizionano tra i dispositivi
OfficeConnect, rivolti alle Pmi, e il Security
Switch. La nuova famiglia presenta caratteristiche, se non uniche, come vorrebbe il costruttore, certamente comuni a poche soluzioni
specializzate. Un esempio è il supporto combinato di multicast IP e SIP, senza il quale un
firewall potrebbe bloccare le comunicazioni di
IP Telephony e non consentire audioconferenze. Inoltre, ribadiscono i responsabili 3Com, è
l’insieme di tutte queste singole funzionalità
avanzate che non troverebbe sul mercato altri
riscontri presso un fornitore unico.
• Sicurezza per l’azienda estesa
Le nuove soluzioni rispondono all’esigenza
delle imprese sempre più distribuite sul territorio, con sedi distaccate, agenzie e piccoli
uffici e finanche telelavoratori, di portare la
sicurezza in ogni punto del sistema informativo. A detta del costruttore, quindi, Secure IX
fornisce controllo degli utenti e dei dispositivi
di accesso e protezione contro le intrusioni,
garantendo l’integrità delle informazioni, eliminando il traffico indesiderato e consentendo
la definizione di zone di sicurezza delimitate.
Nello stesso tempo, consente di salvaguardare servizi di rete quali policy based traffic shaping, qualità del servizio a livello applicativo,
alte prestazioni e bassa latenza nelle VPN e
multicast routing sotto IPSec. Progettati con
questo scopo, secondo le dichiarazioni della
società statunitense, i nuovi prodotti fornisco-
14
Security
no capacità di gestione e configurazione da
remoto molto avanzate. L’installazione e l’eventuale ripristino dopo un malfunzionamento
sono immediati grazie all’uso innovativo di una
memory stick USB, che “funziona come la
chiave di avviamento dell’auto”, come ha spiegato Giulio Galetti, direttore tecnico di
3Com, che ha dichiarato: “Finora, per risolvere i problemi di sicurezza delle filiali remote,
garantendo le piene funzionalità e i requisti di
rete, era necessario assemblare internamente
una serie di prodotti da integrare con notevoli difficoltà di ingegnerizzazione e successivi
costi di gestione, moltiplicati dalla necessità di
operare sul posto”.
Le caratteristiche di Secure IX sono quelle di
un router avanzato combinate con le funzionalità di una security appliance evoluta. Dietro
l’apparente banalità si nasconde la capacità di
integrazione del tunneling VPN, per esempio,
con il controllo della larghezza di banda basato su policy e il supporto della QoS, che assegna la banda a specifici tipi di traffico (come la
voce) e ne limita il consumo per altri.
Per quanto riguarda il controllo degli accessi,
Secure IX fornisce ogni forma di autenticazione, compresa la certificazione X.509. Il firewalling attua l’analisi dei pacchetti di tipo stateful inspection, cui viene aggiunta una protezione specifica per gli attacchi DoS (Denial of
Service). Una delle caratteristiche che vale la
pena di sottolineare, in quanto non presente
analogamente su ogni appliance di questo
genere è il supporto di crittografia con accelerazione delle VPN IPSec, DES, 3DES e AES a
256 bit, per mantenere, secondo criteri
3Com, elevate prestazioni.
Funzionalità di Web content filtering e la defi- illimitato di utenti). Dotato di 6 porte Ethernizione di policy per l’accesso alle applicazioni net 10/100, questo apparato supporta, tra l’ale ai servizi di rete permettono di eliminare tro, fino a 128mila sessioni concorrenti, 30
traffico indesiderabile e di preservarlo per Mbps di throughput nel firewalling, 10 Mbps
servizi fondamentali. Ha affermato Galetti: “Le per le VPN 3DES e 50 tunnel VPN, secondo
policy rule consentono, tra l’altro, di bypassa- dati di targa 3Com.
re la codifica NAT (Network Address Transla- Secure IX 4100, invece, dispone di 4 porte
tion), che, di fatto, impedisce di terminare una 10/100 e gestisce fino a 1000 tunnel VPN,
chiamata telefonica su IP”.
garantendo prestazioni di 200 e 100 Mbps
Infine, Secure IX consente di definire regole rispettivamente per le operazioni di firewalper la comunicazione e lo scambio di informa- ling e VPN. Al top della gamma si posiziona
zioni e risorse tra diverse “aree” della rete. Secure IX 5100, che aumenta tutte le prestaSono le cosiddette security zone, che 3Com zioni arrivando a gestire 256mila sessioni condefinisce come “segmenti di rete o VLAN, il correnti e 5000 tunnel VPN, con throughput di
cui accesso viene regolamentato e così il traf- 600 Mbps per il firewalling e 300 Mbps per il
fico che entra o esce dalla zona stessa”.
virtual private networking.
Comunemente, i sistemi di protezione defini- Altre differenze riguardano il numero di policy
scono tre security zone: LAN, WAN e DMZ definibili (rispettivamente 100, 500 e 1000 per
(o più di una di queste ultime). Con Secure IX Secure IX 3100, 4100 e 5100), di URL elencasi possono definire zone anche più delimitate, bili per le azioni di allow/deny (200, 1000 e
appunto sulla falsa riga delle virtual LAN, ed è 2000) e così via. Secure IX 5100, inoltre, dispossibile regolare i servizi tra loro (e quindi pone di alimentazione e ventole ridondanti
all’interno della rete), come avviene nei con- per aumentare l’affidabilità.
fronti delle reti esterne, come ci ha spiegato Tutto questo a prezzi che 3Com definisce
Galetti: “Non si tratta di semplicemente con- aggressivi: secondo Galetti “anche fino a 4
sentire o negare (allow o deny) accessi, ma volte meno del prezzo di mercato”, riferendoanche di assegnare priorità e fornire autenti- si al 5100. Più precisamente i prezzi di listino
cazione (prioritize e authenticate)”.
sono: da 495 a 995 dollari per Secure IX 3100,
La definizione delle regole è piuttosto granu- 2995 dollari per Secure IX 4100 e 9995 dollalare, in quanto possibile in base a diversi attri- ri per Secure IX 5100.
G.D.B.
buti: per sorgente o destinazione del traffico (rete, security zone, indirizzi IP, grup- Caratteristiche famiglia secure IX
3100-10
3100-50
3100
pi e così via); per servizio di rete (Web, connettività/prestazioni
FTP, SIP, email e altro); per ora/data; per utenti concorrenti
10
50
illimitati
connessioni concorrenti
128000
128000
128000
azione (come spiegato sopra da Galetti).
• La famiglia Secure IX
Tutte le funzionalità software sono comuni all’intera gamma di dispositivi Secure
IX, secondo una politica già adottata da
3Com per le proprie serie di router.
I tre apparati, contraddistinti da un design
compatto, si differenziano essenzialmente
per le prestazioni che sono in grado di
supportare.
L’entry level è Secure IX 3100 (disponibile in tre edizioni per 10, 50 o un numero
Un unico controllo
unificato end to end
per la sicurezza con 3Com
Secure IX
4100
5100
illimitati
illimitati
128000
256000
interfacce Ethernet
6 da 10/100 6 da 10/100 6 da 10/100 4 da 10/100 2 da 1 Gbps e
4 da 10/100
prestazioni Firewall
30 Mbps
30 Mbps
30 Mbps
200 Mbps
600 Mbps
prestazioni VPN (3DES)
10 Mbps
10 Mbps
10 Mbps
100 Mbps
300 Mbps
robustezza alimentazione e ventole n.d.
n.d.
n.d.
RPS esterno ridondanza
configurazione via memory stick USB si
si
si
si
no
Sicurezza
numero di tunnel VPN
50
50
50
1000
5000
Security Zone massime
5
5
5
10
50
policy group
50
50
50
100
200
policy rule
100
100
100
500
1000
schedule
25
25
25
50
100
elenchi URL per Allow/Deny
200/200
200/200
200/200
1000/1000 2000/2000
local database entry
50
50
50
200
500
Prezzo di listino (dollari)
495
795
995
2995
9995
Security
15
Una soluzione CA
per proteggere tutti i contenuti
eTrust SCM: dall’antivirus al content filtering, la sicurezza
delle informazioni vista dall’esterno e dall’interno dell’azienda
L
16
Security
e aziende hanno sviluppato una crescente sensibilità nei confronti della
sicurezza IT. Al proliferare delle minacce, che si fanno vieppiù complesse e articolate,
si abbina, oggi, la moltiplicazione e la pluralità di
contenuti che si trovano sul posto di lavoro e
che stanno modificando i requisiti di sicurezza
delle imprese. Da un lato, infatti, bisogna tutelare la riservatezza e l’integrità delle informazioni aziendali, dall’altro è necessario proteggere le risorse, anche nel senso di evitarne l’abuso da parte sia di persone esterne all’azienda
sia degli impiegati.
Per rispondere a queste problematiche Computer Associates, che dispone di una suite integrata di soluzioni per la sicurezza, ha sviluppato eTrust Secure Content Manager (SCM). Si
tratta di un sistema che riunisce le funzioni di
protezione e gestione dei contenuti, fornendo,
a detta dei responsabili della società, tutti gli
strumenti necessari per la gestione della crescente complessità delle problematiche legate
alla sicurezza dei contenuti nonché la comparsa di minacce miste. In particolare, eTrust SCM
si basa sui punti di forza della tecnologia antivirus di CA, cui abbina altre tecnologie di content filtering che, stando alle dichiarazioni di
Computer Associates, portano la sicurezza dei
contenuti a un livello innovativo grazie a un’elevata granularità delle operazioni.
no molto competitivo e ben sotto gli standard
di mercato.
Due sono le opzioni previste da Computer
Associates: eTrust Secure Content Manager
Gateway 1.1 ed eTrust Secure Content Manager Suite 1.1. Il primo è un prodotto perimetrale che, grazie alle funzioni di sicurezza dei
contenuti e-mail e Web, controllo anti-spamming e filtri URL, consente alle imprese di
difendersi in modo proattivo dalle minacce
all’integrità del business e delle reti. Come
hanno spiegato i manager della casa madre, si
tratta di una soluzione vantaggiosa per le
aziende che, pur utilizzando già un prodotto
antivirus, richiedono una protezione supplementare finalizzata a limitare la diffusione di
contenuti potenzialmente pericolosi, innalzando la sicurezza a un livello superiore.
eTrust Secure Content Manager Suite 1.1
comprende eTrust Secure Content Manager
Gateway ed eTrust Antivirus 7.1, presentandosi come soluzione completa e articolata di
content management. Il vantaggio principale
risiede nell’integrazione in un’unica soluzione
di tutte le tecnologie di sicurezza in grado di
salvaguardare i contenuti della posta elettronica e la navigazione su Internet da parte degli
utenti aziendali, proteggendo nel contempo
stazioni di lavoro, server e terminali mobili
(notebook o PDA) da virus e worm.
• Due le scelte disponibili
• Protezione completa e avanzata
eTrust SCM, disponibile in italiano (oltre che
in inglese, francese, tedesco e spagnolo), può
essere acquistato esclusivamente attraverso i
rivenditori autorizzati CA a un prezzo che i
responsabili della società statunitense ritengo-
La disponibilità di funzionalità proattive avanzate, a detta dei dirigenti CA, è uno dei punti
di forza del prodotto che prevengono dall’infezione dei codici maligni.
Altrettanto importanti sono le regole per la
gestione dell’antispamming. Il disturbo provocato dagli spammer e lo spreco di risorse conseguente è spesso sottovalutato in azienda.
Non si tratta solo del tempo perso dagli utenti, ma anche della capacità di elaborazione dei
server e dello spazio disco usati malamente.
Peraltro, molti sistemi antispamming adottano
regole troppo severe, bloccando mail che
potrebbero essere “legittime”. L’utente è
spesso costretto a controllare le mail scartate, alla ricerca di messaggi che attendeva o
comunque utili per il proprio lavoro. Con
eTrust SCM, l’utilizzatore può gestirsi autonomamente una personal white list, in cui inserire gli indirizzi dei mittenti leciti. La lista è personale, per cui lo stesso mittente può rimanere bloccato per il resto dell’azienda. Inoltre, le
chiavi con cui viene filtrato lo spamming possono essere personalizzate, alla stessa stregua
degli altri dizionari della soluzione.
Nel filtraggio della posta elettronica come
degli indirizzi Internet, il sistema è in grado di
utilizzare regole personalizzabili e granulari,
nella definizione delle azioni da intraprendere.
Ne sono previste 27, che possono essere definite su sei livelli diversi sul piano generale e
personale. Il potente motore di filtering effettua una ricerca del contenuto tanto nel corpo
di un messaggio quanto negli allegati, garantendo, secondo le dichiarazioni CA, un tasso
di falsi positivi trascurabile.
Il controllo sui protocolli SMTP (quello della
posta elettronica) e HTTP (quello del Web),
inoltre, avviene sia in entrata sia in uscita. In
altre parole, si prevengono le intrusioni e, contemporaneamente, si controlla sia il dipendente che naviga su Internet, impedendogli, per
esempio, di accedere a siti pornografici, sia
quello che spedisce materiale riservato dell’azienda via mail.
eTrust SCM presenta anche un’altra caratteristica molto avanzata: la possibilità di consultazione della directory LDAP eventualmente
presente in azienda. Questo permette di bloccare le mail inviate a mittenti sconosciuti
prima che arrivino sui server, con un notevole
sgravio del carico di lavoro su questi ultimi e
un ulteriore livello di protezione da minacce
di tipo DoS (Denial of Service).
Un’ampia disponibilità di viste di sintesi e un
reporting completo rendono semplice la
gestione della soluzione. Per una maggiore
sicurezza, l’aggiornamento dei database per il
filtering di codici e contenuti è automatizzato.
• Una soluzione per le PMI
e l’enterprise
eTrust Secure Content Manager risolve la
mancanza di competenze spesso riscontrabile
nelle piccole e medie imprese. Un unico prodotto integrato, infatti, evita di dover acquistare un paniere di software di sicurezza differenti, che vanno separatamente installati e
soprattutto gestiti. Senza contare, che la loro
integrazione potrebbe non essere efficiente o,
addirittura, nemmeno efficace, venendo magari a mancare la possibilità di effettuare controlli incrociati.
La soluzione, peraltro, risponde anche alle esigenze di scalabilità di una grande organizzazione. Si può ampliare, infatti, la capacità di protezione di eTrust SCM, acquistando più SCM
Gateway. Ognuno di questi potrà essere dedicato a uno specifico impiego (per esempio, un
Gateway per il filtraggio della posta; un altro
per quello del Web e così via) oppure utilizzare più Gateway in parallelo per potenziare
uno o più servizi.
G.D.B.
Una videata della console
di eTrust Secure Content
Manager
Security
17
La lunga strada wireless
dal WEP al WPA2
Il recente rilascio della versione finale dello standard 802.11i introduce
nuove estensioni di sicurezza per le reti wireless
I
n un Paese come l’Italia, in cui la comunicazione mediante telefono cellulare registra una diffusione e un consenso straordinario, l’adozione di tecnologie per la trasmissione dei dati di tipo wireless appare
un’evoluzione naturale e facilmente prevedibile. In effetti si tratta di un mercato che in Italia è in rapida crescita, ma che è stato rallentato da alcune perplessità.
Una di queste è stata
l’iniziale limite della
velocità di trasmissione, superato con l’arrivo dello standard
802.11g in grado di
supportare 55 Mbps e
l’attuale disponibilità
di apparati in grado di
superare 100 Mbps
(pur con soluzioni
tecnologiche
non
standard).
Il tema della sicurezza, che risulta fondamentale per abilitare
la trasmissione di dati
critici, rappresenta
ancora il principale
dubbio che le aziende
si trovano a dover
sciogliere per l’adozione di tecnologie
wireless. Si tratta di
un’incertezza da una
parte causata da alcune
vulnerabilità
oggettivamente
18
Security
riscontrate in alcune tecnologie adottate quali
il WEP e, dall’altra, dal fatto che un attacco
massiccio e organizzato alle reti wireless da
parte della “comunità” degli hacker non è
ancora partito e non si ha una corretta consapevolezza di quale potrebbe essere la sua
portata.
L’evoluzione tecnologica e la ratifica del nuovo
standard 802.11i rappresentano, almeno
rispetto al primo punto, un elemento di tranquillità, che può essere meglio compreso
ripercorrendo brevemente l’evoluzione tecnologica che ne ha determinato il rilascio.
• Le vulnerabilità del WEP aprono
la strada al WPA
Il WEP, acronimo per Wired Equivalent Privacy, è un algoritmo di cifratura cha fa parte
dello standard 802.11, nato per difendere le
comunicazioni wireless da possibili intercettazioni nella fase di trasmissione (il cosiddetto
eavesdropping). Secondariamente il WEP
provvede a prevenire accessi non autorizzati
alle reti wireless e, sebbene questa funzione
non rappresenti un obiettivo esplicito dello
standard 802.11, è stata spesso considerata
una sua funzionalità.
Per garantire la confidenzialità dei dati il WEP
utilizza un sistema di cifratura chiamato RC 4
che si basa sull’adozione di una chiave segreta
scambiata tra una stazione mobile e un access
point, usata per cifrare i pacchetti prima che
vengano trasmessi e affiancata da un controllo
di integrità per assicurare che i pacchetti non
vengano modificati in transito.
Il processo di cifratura prevede che il WEP
prepari un “keystream “concatenando la chia-
ve segreta condivisa fornita dall’utente della
stazione mittente, con un vettore di inizializzazione (IV) a 24 bit generato casualmente,
che rafforza la protezione della chiave stessa.
Lo standard non affronta, però, le modalità
con cui la chiave condivisa viene definita e, in
pratica, nella maggior parte delle installazioni
viene utilizzata una singola chiave condivisa tra
tutte le stazioni mobili e gli access point.
Quando vengono trasmessi messaggi con un
inizio comune (per esempio “from” seguito da
un indirizzo, per gli e-mail) la parte iniziale del
“payload” cifrato sarà uguale se viene usata la
stessa chiave. La vulnerabilità del WEP è dunque legata alla dimensione limitata del vettore
di inizializzazione e al fatto che la chiave resta
statica. Con soli 24 bit a disposizione, infatti, il
WEP alla fine si trova a dover utilizzare lo
stesso IV per differenti pacchetti dati e, nel
caso di grosse reti, questa ricorrenza può
avvenire entro tempi di solo un’ora circa. Ne
consegue la trasmissione, in intervalli di
tempo breve, di frame con keystream troppo
simili, che possono consentire di individuare la
chiave segreta comune, conducendo alla decifrazione di qualsiasi frame 802.11 trasmesso.
Lo sforzo di creare uno standard in grado di
fornire migliori caratteristiche di sicurezza per
le reti wireless ha originato l’avvio del progetto IEEE 802.11i, uno standard indirizzato a
definire funzioni di sicurezza più stringenti per
le WLAN. Tuttavia l’evoluzione di questo standard è proceduta con estrema lentezza e,
anche per questa ragione, la Wi-Fi Alliance nel
2002 creò il Wi-Fi Protected Access (WPA)
come alternativa al WEP.
Il WPA utilizza lo stesso algoritmo di cifratura
del WEP (RC 4) ma adotta uno schema di
gestione più forte delle chiavi implementando
il Temporal Key Integrity Protocol (TKIP). Il
TKIP usa un vettore di inizializzazione a 48 bit
anziché a 24 bit e provvede a modificare automaticamente e in modo trasparente per l’utente, le chiavi di cifratura e il valore dell’IV,
impedendo il riutilizzo dello stesso keystream.
Il WPA ha costituito un subset del 802.11i,
rappresentando una sorta di standard di sicu-
rezza ad interim in attesa del suo rilascio definitivo avvenuto il luglio scorso.
• Il Wi-Fi si indirizza al WPA2
ma mantiene il WEP
Con la ratifica dell’802.11i è arrivato anche il
rilascio da parte della Wi-Fi Alliance della
seconda versione del WPA, siglata semplicemente WPA2..
La principale differenza tra WPA e WPA2 è
che quest’ultimo utilizza una tecnica di cifratura più sofisticata denominata AES (Advanced Encryption Standard), che risulta anche
compatibile con i requisiti governativi di sicurezza FIPS140-2. Questo algoritmo fornisce
non solo una cifratura più resistente, con
capacità di negoziazione crittografica, ma
anche l’uso di chiavi dinamiche, che vengono
generate per ogni sessione.
Il primo settembre scorso la Wi-Fi Alliance ha
annunciato la disponibilità del primo insieme
di prodotti che sono stati certificati Wi-Fi per
WPA2, rilasciati dalle società Cisco Systems,
Intel, Atheros Communications, Broadcom,
Instant802 Networks e Realtek.
Tutti i prodotti certificati Wi-Fi per WPA2
sono basati sullo standard IEEE 802.11i e mantengono l’interoperabilità con quelli certificati
WPA. In particolare, alcuni prodotti WPA
potrebbero essere aggiornati a WPA2 mediante software, mentre altri potrebbero richiedere un cambiamento dell’hardware, a causa dell’elevata richiesta elaborativa associata al
sistema di cifratura AES.
La seconda versione del WPA, come la precedente, utilizza per l’autenticazione i protocolli
802.1X ed EAP (Extensible Authentication
Protocol). Analogamente a quando accadeva
per il WPA, inoltre, i prodotti che utilizzano la
modalità WPA2 non sono in grado di supportare contemporaneamente i dispositivi WEP.
Per ora, in ogni caso, il WEP resta un elemento base per i test di interoperabilità per tutti i
prodotti certificati Wi-Fi. Con il tempo, la WiFi Alliance ha fatto sapere che potrebbe
abbandonare il WEP come requisito per la
certificazione Wi-Fi.
R.F.
Security
19
Un client sicuro con l’accesso
remoto Check Point
La soluzione della casa israeliana per le VPN SSL controlla il livello
di sicurezza dei terminali prima di consentire l’accesso alla rete.
È
possibile registrare un crescente utilizzo del Web come strumento di accesso remoto. La diffusione della larga
banda e non solo sta favorendo lo sviluppo del
commercio elettronico e l’interesse da parte
delle aziende di aumentare le possibilità di
contatto con potenziali clienti o il mondo
consumer.
Come riportato da Check Point, a fronte di
una diversificazione del terminale di accesso si
riscontra la varietà delle modalità di connessione. L’utente aziendale, per esempio, si collega da remoto tipicamente attraverso una VPN,
con applicazioni client/server basata su IPSec.
Spesso, peraltro, si riscontrano situazioni ibride. Man mano che ci si “allontana” dall’azienda, inoltre, cresce l’impiego di connessioni
SSL, che non richiedono l’installazione di un
client sul terminale. Se si considera l’accesso
attraverso un Internet kiosk in un bar, è facile
comprendere come sarebbe impossibile per
un’impresa configurarvi un programma personalizzato per vendere i propri prodotti online.
Check Point, forse la prima società a sviluppare VPN IPSec, ha allargato la propria offerta
con soluzioni SSL per rispondere alla richiesta
crescente di connettività sicura basata su questo standard. Nell’ambito della propria strategia per la Web Security, infatti, la casa israeliana ha introdotto il gateway SSL VPN Connectra e SSL Network Extender per VPN-1.
• Sicurezza per tutti gli elementi
dell’ambiente Web
Le soluzioni per la Web Security hanno recentemente completato la strategia Check Point,
orientata a una protezione totale. Secondo i
20
Security
responsabili della casa israeliana, infatti, la sicurezza perimetrale, di cui Check Point è stata
antesignana, non è più sufficiente a proteggere
compiutamente un azienda, considerando l’evoluzione continua delle minacce. È quindi
necessario aggiungere una protezione interna,
“vicina” alle applicazioni e ai sistemi che sono
i veri obiettivi degli attacchi, e una protezione
dedicata al Web, che sta assumendo un’importanza crescente nelle attività delle aziende.
Check Point definisce l’ambiente Web: l’insieme di server Web, elementi di rete e protocolli che usano l’infrastruttura Web per scambiare informazioni. “Poiché esistono minacce
che riguardano ogni componente – ha affermato Lorenzo Centurelli, technical manager di
Check Point Software Technologies Italia -, una
soluzione di sicurezza Web completa deve per
forza affrontare e gestire la sicurezza a ogni
livello considerato”. Il terminale di accesso è
proprio uno dei punti deboli della catena e un
veicolo privilegiato per le intrusioni. Spyware,
worm, Trojan Horse sono tipici esempi di
come possano essere “infettati” i terminali. Se
non adeguatamente protetti, questi possono
facilmente “consegnare” a un hacker esperto
dati sensibili, password o altre informazioni
che diventano utili per accedere a un intero
sistema aziendale. Peraltro, anche quando l’accesso deve essere consentito a uno sconosciuto, non è possibile fidarsi del livello di sicurezza mantenuto da quest’ultimo.
• La “collaborative security”
delle VPN SSL di Check Point
Proprio per superare questo problema Check
Point ha sviluppato una soluzione che integra
in Connectra e in SSL Network Estender for
VPN-1 la tecnologia Integrity, già di Zone Labs
(acquisita solo lo scorso gennaio). L’obiettivo
della società israeliana è stato quello di fornire le connessioni VPN dello stesso livello di
sicurezza garantito dalle VPN IPSec.
Di fatto, come rimarcano i responsabili stessi
della società, le reti private virtuali non sono
di per se stesse sicure, ma forniscono protezione grazie alle caratteristiche di sicurezza
dei due estremi della connessione. Questo
vale anche per le VPN IPSec, mentre quelle
SSL introducono ulteriori rischi. Si consideri,
per esempio, che il firewall non può analizzare
il traffico SSL che è cifrato. All’insicurezza dei
client, inoltre, si aggiunge quella del gateway,
esposto agli attacchi, e quella dei server e degli
altri sistemi di backend. Inoltre, sussiste la
necessità di incapsulare le applicazioni, con un
conseguente accesso alla rete senza controlli
granulari.
Check Point, come ha spiegato Centurelli, ha
protetto il gateway con un firewall integrato e
con soluzioni di intrusion prevention, grazie
ad Application Intelligence, Web Intelligence e
SmartDefense.
Anche il lato client, viene protetto come per
l’IPSec, grazie appunto a Integrity, che consente a Connectra di estendere una serie di
caratteristiche di sicurezza sul client, corrispondenti a diverse modalità di accesso. Per
esempio, consente l’autenticazione del client
via password, che tipicamente limita i diritti di
accesso, oppure la strong authentication con
token, che fornisce pieni diritti. Infine, attua
una serie di controlli sul client, in modo da
impedire l’accesso se, per esempio, viene individuato uno spyware. In particolare, secondo i
dati forniti da Check Point, i controlli effettuati riguardano spyware, malware, keystroke logger e trojan horse.
Connectra può quindi adattare i privilegi di
accesso, a detta della casa israeliana, in funzione del livello di sicurezza del client.
Si può ottenere, così, un’articolazione granulare degli accessi alle diverse informazioni, in
funzione della loro criticità. Per esempio, un
insieme di risorse
considerato altamente “sensibile”
e, come tale, meritevole della massima
protezione,
potrebbe essere
reso disponibile
solo ai client in
grado di effettuare
una strong authentication.
Poter bloccare l’accesso preventivamente, consente
alla soluzione di
Check Point di
ridurre il rischio di
furto di dati o di
password e di
minimizzare i rischi
provenienti
da
punti di accesso
insicuri.
Altra caratteristica importante di Connectra,
relativamente alla sicurezza dei client, è rappresentata da One-click Remote SSL Access.
Si tratta di una funzione che consente di creare extranet in maniera semplice, permettendovi l’accesso via SSL con “un click”. Allo
scopo, Check Point ha dotato la propria
appliance di un Web portal integrato. Tramite
questo è possibile definire un gruppo extranet
associandogli applicazioni, server o altre risorse e, secondo quanto dichiarato dai responsabili della casa israeliana, Connectra costruisce
automaticamente un portale, fornendo a ciascun utilizzatore privilegi di accesso personalizzati.
Come rimarcato dalla società, si tratta di una
soluzione che permette di risparmiare, in
termini di tempo e costi di gestione, rispetto alla configurazione manuale di diversi
Web server per la creazione di zone extranet differenziate. Inoltre, si può semplificare,
in questo modo, tutta l’architettura dell’infrastruttura di rete.
G.D.B.
Una sicurezza versatile
per il client
Security
21
Voto elettronico: una sicurezza
fatta non solo di tecnologia
Molte le problematiche di sicurezza, che variano dalla mancanza
di riscontri auditabili a una carente percezione di fiducia
I
l voto elettronico appare un’applicazione
ideale per essere affrontata in modo tecnologico e automatizzato. L’utilizzo di un
sistema computerizzato e Internet based promette efficienza, precisione, rapidità e facilità
di analisi oltre che risparmi di costo e tempo
sia per gli elettori che per le organizzazioni
governative. Quando si comincia, però, a pensare alle conseguenze che un’elezione governativa è in grado di determinare ecco che le
certezze vacillano e che le problematiche in
termini di sicurezza cominciano ad affiorare,
inducendo non poche complicazioni. Da un
punto di vista tecnologico, una soluzione di
voto elettronico deve possedere doti di velocità, precisione, scalabilità a cui va aggiunto il
requisito indispensabile dell’anonimità del
consenso espresso, a fronte di un altrettanto
necessario sistema per la registrazione della
votazione eseguita.
Negli Usa il voto elettronico è attivo ma più
volte è stato oggetto di critiche o coinvolto in
situazioni di scarsa affidabilità: per esempio è
capitato che centinaia di voti venissero semplicemente “persi” dal sistema. Recentemente,
poi, è emerso un ulteriore “pasticcio”, con il
rilascio su Internet del codice sorgente presente sui sistemi utilizzati per il voto elettronico. Anche in Italia il voto elettronico è già
stato più volte utilizzato, anche se sempre in
forma sperimentale. Avellino è stata la prima
città europea ad avviare una sperimentazione
in tal senso in occasione del referendum costituzionale del 7 ottobre 2001, mentre l’esempio più recente si è avuto in sei città italiane
durante le consultazioni europee del 13 e 14
22
Security
giugno scorso. Finora si è trattato di una sperimentazione condotta su elettori volontari,
muniti di una smart card e in cui i risultati non
avevano valore legale: i volontari votavano
anche in modo tradizionale, che era quello
considerato valido. Queste iniziative sono
state condotte nell’ambito del progetto sperimentale e-poll avviato nel 2000 e finanziato
dalla Comunità Europea sotto l’egida del Ministero dell’Interno, con la finalità di realizzare
un prototipo funzionante di un sistema di
votazione elettronica esteso all’intero territorio della Comunità Europea, previsto per il
2009. Questo progetto prevede di dotare i cittadini di un apposito badge con microchip, sul
quale vengono memorizzate le notizie necessarie per la votazione e alcuni dati biometrici
(l’impronta digitale) che consentirà loro di
esprimere il proprio voto presso appositi
chioschi elettronici.
• Elezione a prova di alterazione
Tutte le raccomandazioni che, in genere, possono essere fatte riguardo alla necessità di
proteggere informazioni aziendali di valore,
assumono un significato amplificato passando
a un ambito delicato come le elezioni.
Il dibattito è già molto acceso negli Stati Uniti
e comincia a fare sentire anche da noi.
Da una prospettiva di sicurezza informatica, il
voto elettronico è la situazione peggiore possibile: il valore degli asset esposti al rischio è
elevatissimo, gli incentivi per chi ha interesse a
interferire sono molto forti e il livello di sofisticazione dell’attacco che potrebbe essere
portato è molto alto. Inoltre il sistema deve
“dimenticarsi” della relazione tra votante e
voto e questo impedisce eventuali audit successivi. Le tipologie di attacco possibile sono
molteplici e spaziano dall’intrusione sul sistema di autenticazione, alla manipolazione del
risultato, alla violazione dell’anonimato fino al
boicottaggio tramite “denial of service”. Come
accade anche per altri settori dell’IT, la sola
tecnologia non rappresenta una garanzia di
protezione e si dimostra più efficace in alcuni
ambiti specifici.
Per esempio, la garanzia di autenticazione è
più semplice da affrontare con una risposta
tecnologia rispetto all’accuratezza del sistema.
La precisione, infatti, non è solo legata alle
metodologie impostate per il conteggio, ma
piuttosto è condizionata dalla complessità o
semplicità del processo e dal numero di step
intermedi che lo compongono, ognuno dei
quali rappresenta una potenziale fonte di
rischio. Il sistema basato sulle schede elettorali cartacee, di fatto, non manca in accuratezza,
perché il processo è semplice e prevede pochi
step, ma è carente in termini di velocità e scalabilità. Non è un caso che le soluzioni per il
voto elettronico si siano sviluppate partendo
dagli Stati Uniti, in cui la pratica dell’election
day porta i cittadini a doversi esprimere contemporaneamente su dozzine di differenti elezioni, a fronte di richieste dei risultati finali in
tempi molto brevi.
• Fiducia più che autenticazione
Va, inoltre, risolta la dicotomia tra la sicurezza
effettiva e quella percepita. Come dimostrano
anche recenti dibattiti nel nostro Paese rispetto a presunti brogli, l’assetto democratico si
regge sul riconoscimento della validità del
risultato elettorale, che è determinata dalla
fiducia dell’elettore nei meccanismi e nelle
procedure utilizzate per raccoglierle i voti e
conteggiarli.
Nel caso di utilizzo di un sistema elettronico
per la registrazione diretta del voto, la percezione di sicurezza non è sostenuta dalla registrazione fisica dell’esistenza del voto stesso.
La fiducia inoltre, deve essere estesa ai fabbri-
canti che producono le macchine, alle persone e ai processi impiegati per esaminarle e
farle funzionare. A tale riguardo, è noto che
molte frodi (generalmente quelle di portata
più ampia) vengono promosse da personale
interno all’azienda che subisce il danno. L’attività criminosa per questi “insider” appare più
semplice e, in genere, più profittevole per i privilegi di accesso di cui dispongono. C’è da
chiedersi, a fronte di frodi scoperte magari
dopo anni, quante siano in corso e restino non
individuate. Analogamente è possibile che una
serie di attacchi nell’ambito della macchine
per il voto restino non identificati poiché, a
oggi, anche negli Stati Uniti, non esiste un
metodo indipendente per verificare se i voti
sono stati registrati in modo accurato.
Le macchine possono essere certificate, ma si
deve sempre affrontare il problema delle procedure da utilizzare per garantire la perfetta
identità tra la macchina certificata e quella utilizzata, che non ammettono nemmeno la correzione di “bug” dell’ultima ora, anche se identificati. Il tentativo di rispondere tecnologicamente ha determinato lo sviluppo di soluzioni
di voto elettronico sorrette da tecniche di
identificazione biometrica e di riconoscimento della voce (già sperimentate a Ginevra),
mentre fioriscono iniziative e consorzi come
l’Open Voting Consortium, che sta sviluppando un software gratuito di riferimento per le
operazioni di voto, predisposto per l’uso con
hardware di basso costo.
Alcuni esperti propongono l’introduzione di
sistemi software che consentano all’elettore
di verificare che la sua preferenza sia stata
regolarmente registrata o di soluzioni che
producano contemporaneamente e in modo
automatizzato un riscontro cartaceo dell’operazione di voto. Si tratta di un tema che apre
interrogativi e prometti futuri dibattiti appassionati. Ma qualcuno è già andato oltre e sta
preparando il sistema di voto con il telecomando. In Italia resta solo da sperare che, in
tale eventualità, si eviti una sovrapposizione
temporale con l’elezione di Miss Italia, per evitare confusioni dall’esito imbarazzante. R.F.
Security
23
Sicurezza a tutto tondo
per la «0 day» protection di ISS
La società statunitense attua una politica di pre-emption, anticipando
proattivamente e dinamicamente le mosse degli attacker
N
ell’ultimo anno, Internet Security
Systems è cambiata molto: da fornitore di soluzioni software a produttore di hardware (le vendite della gamma di
appliance Proventia rappresentano oltre il
50% del fatturato); da azienda specializzata
nell’intrusion detection a specialista di sicurezza ad ampio spettro (solo il dispositivo
Proventia M, per esempio, comprende soluzioni di antivirus, firewalling, intrusion prevention,
content filtering, anti spamming).
Il cambiamento più importante, in anticipo, a
detta dei responsabili della società, rispetto a un
mercato che oggi non parla d’altro, è lo sviluppo di una strategia orientata all’intrusion prevention o, meglio, alla “pre-emption”. Un concetto, questo, che va oltre la semplice prevenzione, indicando l’atteggiamento fortemente
proattivo del team di ricerca e sviluppo, che
anticipa il comportamento stesso degli attacker.
• Oltre la prevention
con la pre-emption
Chris Rouland,
CTO di ISS
24
Security
Come già in passato è stato spiegato su queste pagine, ISS parte dallo studio delle vulnerabilità annunciate o scoperte direttamente da
X-Force, il proprio team di
ricerca e sviluppo. Gli esperti
della multinazionale statunitense, presente in 27 paesi del
mondo, identificano i metodi
che potrebbero essere impiegati per sfruttare la vulnerabilità e
sviluppa il codice di analisi in
grado di individuare gli exploit
basati su questi metodi. Come
Chris Rouland, Chief Technology Officer di
ISS, ha tenuto a precisare, non si tratta di una
signature, la quale, tipicamente, è stabilita sugli
exploit conosciuti e pertanto “reattiva”. Il
codice sviluppato da X-Forse, infatti, è basato
sull’analisi dei protocolli e, pertanto, indipendente dallo scripting del malicious code. In
parole povere, «è in grado di identificare qualsiasi attacco formulato per sfruttare quella
specifica vulnerabilità», ha spiegato Rouland,
che ha aggiunto: «Dall’annuncio di una vulnerabilità, che fissa il “giorno 0” al momento in
cui viene sferrato il primo attacco che la sfrutta, c’è un lasso di tempo che chiamiamo
“proactive time”. Questo intervallo si sta riducendo velocemente e già si paventa la “0 day
threat”, cioè l’attacco che parte lo stesso giorno in cui viene annunciata la vulnerabilità. A
ciò, ISS è in grado di opporre la “0 day protection”, grazie alla tecnologia Virtual Patching».
Il Virtual Patching è al tempo stesso una tecnologia e un servizio. Di fatto, quando viene
annunciata una vulnerabilità è anche pubblicata la patch relativa. Sennonché i
tempi di installazione di quest’ultima devono fare i conti con le
esigenze di operatività quotidiana
e diventano spesso troppo lunghi
rispetto a quelli di reazione delle
comunità di hacking.
La soluzione ISS protegge i server come se fossero stati “accomodati” con la patch, mentre a
essere aggiornato è solo il database del sistema di rilevamento
delle intrusioni, grazie al servizio
Xpu (X-Press Update) dell’X-Force. In questo
modo i responsabili dei sistemi informativi
possono valutare con calma quali patch converrà realmente installare (spesso comportano altri vantaggi, per esempio di tipo prestazionale) e, soprattutto, prendersi il tempo
necessario.
Addirittura, secondo le dichiarazioni di Rouland, ci sono casi in cui la protezione di ISS
parte in anticipo rispetto al giorno zero, poiché è la stessa X-Force che trova la vulnerabilità e definisce la patch virtuale prima che
venga annunciato il problema e sia pubblicata
la patch ufficiale. È stato il caso, per esempio,
della vulnerabilità alla libreria SSL di Microsoft,
notificata a quest’ultima da X-Force il 4 settembre 2003 e rivelata e “patchata” dalla casa
di Bill Gates il 13 aprile scorso.
• Sicurezza vs prestazioni
niversal Agent, che rendono
Proventia non solo un’appliance capace di essere
multifunzione, ma anche una
famiglia di protezione multilivello, cioè in grado di portare la sicurezza sia in rete
sia su server e desktop.
Sul fronte delle prestazioni,
comunque, ISS sta lavorando
per aumentare quelle dell’appliance di IPS Proventia
G.
Il modello Proventia G1200
è ora disponibile con una
capacità di analisi da 1,2
Gbps, ma entro fine anno
sarà rilasciato il Proventia
G2000, che raggiunge i 2
Gbps, pur aggiungendo una definizione più
granulare delle policy e supporti per l’high
availability.
Peraltro, Stefano Volpi, country manager di ISS
in Italia, rinnega la logica stessa di questo trade
off: «È come se all’aeroporto, per ridurre la
coda all’ingresso dell’area imbarchi, si accettasse di diminuire la sensibilità del metal
detector».
G.D.B.
Tom Noonan, co-fondatore
e CEO di ISS
Storicamente le soluzioni di sicurezza, in particolare quelle concernenti l’analisi dei protocolli, penalizzano le prestazioni dei sistemi e
delle reti.
In generale, molte aziende cercano un bilanciamento tra il livello di sicurezza e quello di
performance fornito e gli utilizzatori sono
chiamati a valutare il trade off tra queste due
variabili.
Dieci anni di successi
La strategia ISS al riguardo è quelISS
ha
compiuto
dieci
anni
di
attività
il
24
settembre
scorso,
segnato da una continua
la di non fare “sconti” sulla sicuinnovazione
e
conseguenti
successi
ricorrenti.
Tom
Noonan,
Ceo
della casa di Atlanta, ha
rezza.
rimarcato i risultati consolidati più recentemente: 250 milioni di dollari di fatturato, una
Contemporaneamente, l’architetliquidità di 238 milioni di dollari, nessun debito e profittabilità.
tura delle appliance Proventia è
L’azienda ha negli ultimi tempi espanso la sua attività al di fuori degli Stati Uniti, dove,
stata disegnata per garantire le
però, ancora viene raccolta la maggior parte delle revenue: nel 2003 la ripartizione geomassime prestazioni possibili, per
grafica delle stesse, infatti, era 69% nelle Americhe, contro il 19% dell’area Emea e il
esempio, nel caso di Proventia M,
12% di Asia e Pacifico. Nel 2004 la percentuale statunitense scenderà al 58% ed entro
due anni Noonan prevede di arrivare al 50%.
con l’analisi dei pacchetti effettuaUn aiuto in questa direzione arriva dall’Italia, dove ISS ha ottenuto ottimi risultati nel
ta una volta per tutte. In questo
2003,
con un fatturato di 5,3 milioni di euro, che rappresentava un incremento di circa
modo, a detta dei responsabili
il 30% sul 2002. Ancora meglio è previsto per il 2004, secondo il country manager Stetecnici della società, i tempi sono
fano Volpi, infatti, le vendite si dovrebbero attestare tra gli 8 e i 9 milioni di euro, per una
molto inferiori a quelli raggiungicrescita intorno al 40%.
bili con un sistema integrato di
Merito del successo, secondo il dirigente italiano, è soprattutto il consolidamento della
soluzioni diverse, soprattutto se
presenza presso i clienti storici e la focalizzazione sul mercato enterprise. Peraltro, le
provenienti da fornitori differenti.
opportunità che si aprono con i recenti modelli di Proventia “tagliati” sulle esigenze delle
Merito della Synchronous Deep
medie imprese forniscono ulteriori elementi di ottimismo per il management italiano.
Packet Inspection Engine e dell’U-
Security
25
Nuove motivazioni spingono
verso l’alto il mercato degli MSS
I managed security service convengono sempre più tanto alle piccole
quanto alle grandi imprese
S
Un Security Operation
Center (fonte: Internet
Security Systems)
ta crescendo l’interesse nei confronti
dei servizi di sicurezza gestiti o MSS
(Managed Security Service). Non solo
nel mondo, ma anche specificatamente in Italia. Tra le diverse ragioni che guidano questo
trend, due sono predominanti, una delle quali
di carattere tecnologico.
L’evoluzione delle minacce sta procedendo
con tassi di crescita preoccupanti, elevando il
livello di complessità delle soluzioni che è
opportuno adattare per ridurre il rischio. D’altro canto la carenza di competenze sul mercato e gli alti costi di
gestione correlati a
tale complessità rappresentano un problema per molte
aziende. Nessuna può
sentirsi immune da
qualsiasi minaccia.
Anche le grandi
imprese possono trovare convenienza nell’affidarsi a un partner esterno, sia per “scaricare” parte dei costi sia per accrescere la propria sicurezza. A questo proposito è bene sottolineare che, in molti casi, i managed security
service non possono essere considerati alla
stessa stregua dei tradizionali servizi di outsourcing. È facile immaginare perché, data la
sensibilità delle aziende nei confronti della
problematica sicurezza.
• Una partnership con il provider
di MSS
Un managed security service provider, in altre
parole, diventa un partner che, a tutti gli effet-
26
Security
ti, può essere assimilato a una divisione stessa
dell’impresa. Questa, di fatto, non demanderebbe mai tutta la gestione della sicurezza,
mantenendone quantomeno il controllo a
livello centrale. Tipicamente, inoltre, a questo
si aggiunge la definizione delle policy e, in
generale, delle procedure di sicurezza e delle
strategia a essa correlate. Mentre tutto quanto attiene alla gestione ordinaria e operativa
(in pratica, gli aspetti più ordinariamente riferiti alla manutenzione) può essere esternalizzato e affidato a un provider esterno.
Oltre a facilitare il reperimento di competenze, questo approccio permette anche di
appoggiarsi a SOC (Security Operations Center) esterni, con conseguenti miglioramenti
per la sicurezza.
Da un lato, infatti, soprattutto le medie imprese, potranno utilizzare strumenti avanzati che,
in passato, erano appannaggio esclusivo delle
grandi imprese, dotate di grandi budget. In
secondo luogo, come per tutti i casi di remotizzazione, si accresce l’affidabilità del sistema,
potendo anche attuare politiche di disaster
recovery.
Il successo degli MSS è anche favorito dalla
disponibilità di appliance all in one, installabili
presso l’utente finale e gestibili da remoto.
Talune appliance, inoltre, possono operare
direttamente da remoto per fornire protezione perimetrale e interna.
Un impulso al ricorso a servizi MSS arriva
anche dalle leggi recentemente entrate in
vigore, che obbligano l’impresa ad attuare
misure di sicurezza. Con scelte di questo tipo
si cerca di delegare almeno in parte la responsabilità.
G.S.
Salgono le minacce con l’hacker
che diventa un «professionista»
L’
hacking sta cambiando e con esso la
tipologia di minacce e il rischio a loro
associate.
Si è osservato più volte come da uno sviluppo
di virus e attacchi statici, spesso sviluppati per
spirito goliardico, si è passati al proliferare di
minacce ibride più complesse e articolate. Il
progresso in questa direzione sta andando
avanti, con attacchi che diventano dinamici e,
in prospettiva, pronti a reagire a loro volta alle
mosse difensive.
Quello cui si sta assistendo, secondo diversi
esperti del settore molti dei quali in contatto
con le comunità di hacker, è un salto di qualità nelle risorse di ricerca e sviluppo a disposizione di queste ultime.
Di fatto, in passato, i progressi erano possibili
e venivano favoriti grazie a un massiccio scambio di informazioni, molto attivo in un mondo
underground unito da una sorta di ideale
comune. Oggi, invece, agli hacker arrivano veri
e propri capitali che consentono di potenziare le risorse e organizzare una vera attività di
ricerca e sviluppo.
Il cambiamento è favorito dalla crescita delle
attività on line. In altre parole, mentre in passato il danno che si poteva causare a un’azienda, con un’azione, per esempio, di defacement
del sito Web, era relativo all’immagine, oggi si
può arrivare a bloccare l’attività dell’azienda
stessa per ore o giorni. Attacchi come Slammer o Blaster ne sono recenti esempi.
Ma a questo si è aggiunto un crescente impiego delle tecniche di hacking per la realizzazione di vere e proprie frodi telematiche. È qui
che entrerebbero in gioco ingenti capitali,
messi a disposizione, secondo alcune anche
autorevoli fonti, addirittura da elementi della
malavita e, in particolare, della fantomatica
mafia russa.
Al momento bisogna accontentarsi dei
“rumors”, che non risparmiano dai sospetti
neanche le stesse aziende impegnate nella
sicurezza: le prime a beneficiare di un clima
arroventato e del proliferare delle minacce.
Anche se questa ricorrente ipotesi (è stata
formulata sin dai tempi dei primi virus) è
alquanto azzardata, considerato il rischio che
correrebbero tali aziende se non fossero più
in grado di controllare l’escalation e di proteggere i propri clienti.
Gaetano Di Blasio
• Un problema che trascende
il piano etico
Qualunque sia il committente, peraltro, si
accresce un problema già più volte dibattuto:
è accettabile assumere un hacker? Si può, in
altre parole, parlare di ethical hacking?
I danni creati dai malicious code sviluppati da
questi abili programmatori sono comunque
reali e sono in molti a ritenere che tale comportamento, anche se spinto da motivazioni a
volte futili e attuato da giovani se non giovanissimi, non vada premiato in alcun modo.
La prospettiva cambia se lo scopo principale
non è più mettere in mostra la propria capacità, ma realizzare una frode o, appunto, danneggiare una specifica azienda.
D’altro canto, è l’opinione di molti altri finora,
l’abilità è a ogni modo innegabile e anche comminando una pena, una volta che questa sia
stata scontata è auspicabile che non vada
persa ma, anzi, resa produttiva. Anche un hacker criminale “professionista” ha diritto alla
redenzione e il problema potrebbe essere, in
fin dei conti, solo la taratura della pena.
A complicare ulteriormente lo scenario è l’apertura di fratture sempre più marcate tra le
diverse comunità di hacker. Almeno secondo
quanto riportato da esponenti di spicco della
lotta alle stesse, sembra che ci sia una sorta di
guerra tra gruppi contrapposti. In particolare,
si parla di un’ostilità molto accesa tra hacker
v
statunitensi e cinesi.
dida da scrivere
27
Si vivacizza il mercato
delle WPAN
Mentre Bluetooth prosegue nel suo processo di diffusione, cominciano ad
affacciarsi soluzioni alternative di connettività wireless a corta distanza
L
a progressiva affermazione di soluzioni
mobili per l’accesso ai dati e la loro elaborazione ha introdotto, all’interno del
mondo del networking, un nuovo concetto di
rete wireless dedicata in modo specifico alle
connessioni a breve distanza.
Questo tipo di architettura, indicato con la
sigla WPAN (Wireless Personal Area Network), è pensata per connettere direttamente
tra loro una serie di apparati situati entro
distanze limitate (range di qualche decina di
metri), senza doverli connettere fisicamente
con un cavo.
In questo modo è possibile collegare tra loro
dispositivi di calcolo portatili e mobili quali i
pc, i PDA (Personal Digital Assistant), le unità
periferiche, i telefoni cellulari, i pager, gli apparati dell’elettronica di consumo (come le fotocamere digitali o i lettori MP3), permettendo
a questi dispositivi di comunicare e interoperare tra loro.
La prima tecnologia abilitante per le WPAN é
stata quella a infrarosso basata sugli standard
promossi dalla Infrared Data Association
(IrDA) che, a causa del vincolo della visibilità
diretta richiesta tra apparati, è stata sopravanzata dai sistemi a radiofrequenza, con la progressiva affermazione di Bluetooth come standard di riferimento.
• La diffusione di Bluetooth
e l’arrivo di ZigBee
La tecnologia Bluetooth è attualmente supportata e utilizzata nei prodotti di oltre tremila aziende e il suo mercato è in costante crescita. Secondo dati riportati a settembre 2004
da IMS Research, è stato superato il traguardo
28
NetworkiNg
dei 3 milioni di unità Bluetooth distribuite per
settimana, a livello mondiale. La notizia è tanto
più interessante poiché giunge a soli tre mesi
dal raggiungimento della quota 2 milioni.
Alle WPAN è dedicato uno specifico Working
Group della IEEE, contraddistinto dalla sigla
802.15 e indirizzato a sviluppare standard tecnologici, raccomandare pratiche di utilizzo e
pubblicare guide che possano essere recepite
da un ampio mercato e affrontino le questioni
di coesistenza e interoperabilità con altre
soluzioni di rete wireless e cablate.
All’interno di questo gruppo di lavoro sono
presenti quattro Task Group. Il Task Group
numero 1 ha pubblicato nel 2002 uno standard (802.15.1) per le WPAN basato sulle specifiche Bluetooth v1.1 mentre il Task Group 2
si occupa di promuovere pratiche e modi per
facilitare la coesistenza tra WPAN e WLAN
(basate su standard 802.11). Al Task Group
802.15.3 è, invece, demandato il compito di
mettere a punto un nuovo standard per
WPAN a elevato data transfer rate (20 Mbps
o superiore), basso assorbimento e costo
ridotto, indirizzato alle applicazioni portatili
multimediali per il mercato consumer.
Di particolare interesse è l’attività del Task
Group 4, che venne creato per individuare una
soluzione con basso “data rate” in grado di
disporre di una batteria che potesse durare
molti anni e caratterizzato da massima semplicità. Questo compito determino la ratificazione dello standard 802.15.4 nel maggio 2003.
Nel corso di quest’anno si è costituito un
ulteriore Task Group (4b) con l’obiettivo di
sviluppare specifici miglioramenti e chiarimenti per l’802.15.4, che risolvano ambiguità, ridu-
cano ulteriormente la complessità
non necessaria, aumentino la flessibilità nell’uso delle chiavi di sicurezza e
affrontino il tema dell’allocazione di
frequenze rese disponibili recentemente. A questo progetto è stato
dato il nomignolo ZigBee.
Le soluzioni ZigBee si indirizzano all’automazione e controllo di case, edifici e apparati
industriali, verso l’elettronica di consumo, le
periferiche dei pc e i sistemi medicali di monitoraggio.
Tra le possibili applicazioni vanno considerate,
quindi, la realizzazione di sensori, di giocattoli
interattivi, smart badge, telecomandi e soluzioni di home automation.
ZigBee ha determinato la nascita di un’associazione che raggruppa oltre 50 produttori di
semiconduttori, fornitori di tecnologia e OEM
di livello globale (la ZigBee Alliance), che lavorano insieme per favorire i rilascio di prodotti di controllo e monitoraggio affidabili, economici, a bassa potenza, connessi in rete in
modalità wireless basati su questo standard
aperto.
• Due tecnologie per applicazioni
differenti
Le specifiche ZigBee prevedono un sistema
per la gestione dell’alimentazione per minimizzare il consumo di potenza, servizi di network management, accesso di canale
CSMA/CA (Carrier Sense Multiple Access
Collision Advoidance) e due possibili modalità
di indirizzamento a 16 e 64 bit. Tale tecnologia opera in una banda di frequenza internazionale priva di licenze. Dispone di 16 canali
nella banda ISM alla frequenza di 2,4 GHz, 10
canali in quella ISM a 915 MHz e un canale
nella banda 868 MHz, rispettivamente con
“data rate” di 250 kbps, 40 kbps e 20 kbps
Questa tecnologia prevede tre tipologie di
dispositivo: un coordinatore di rete che effettua l’establishment automatico e mantiene la
conoscenza generale del network; un dispositivo con funzionalità 802.15.4 complete che,
se dotato di memoria aggiuntiva e capacità di
Legame tra ZigBee e lo
standard IEEE 802.15.4
elaborazione, risulta adatto come router di
rete e, infine, un dispositivo con funzionalità
ridotte (per contenere i costi), da utilizzare
negli apparati periferici di rete.
Gli elementi chiave di questa tecnologia restano la flessibilità di connessione per un numero pressoché illimitato di oggetti (oltre 65.000
nodi), il costo ridotto e il bassissimo consumo
energetico, affiancati da caratteristiche di sicurezza e affidabilità.
In base a queste considerazioni alcuni analisti,
quali Abi Research, prevedono che nel 2005 i
dispositivi ZigBee distribuiti supereranno il
milione di unità, azzardando addirittura previsioni per 80 milioni di unità a livello mondiale
nel 2006. La società di analisi americana indica
tra i settori che, per primi, dovrebbero adottare questa tecnologia, quello industriale
seguito da quello degli acquirenti di networking. Ad alimentare questa crescita dovrebbero concorrere l’approvazione dello standard
802.15.4b e l’apertura del bacino dei mercati
asiatici.
Spesso le ZigBee e Bluetooth vengono proposte come due tecnologie alternative e, quindi,
in competizione tra loro. In funzione delle specifiche caratteristiche, tuttavia, Bluetooth si
dimostra migliore nella realizzazione di reti
“ad-hoc” che connettono tra loro diversi dispositivi compatibili, per applicazioni di viva
voce in auto e, in generale, per file transfer più
impegnativi.
ZigBee mostra le suo doti migliori in ambiti di
rete statica, in presenza di molti dispositivi,
utilizzo poco frequente e per piccoli pacchetti dati. Per queste ragioni sarebbe più corretto considerarle come due soluzioni differenti
e indirizzate ad aree applicative diverse. Questo approccio è condiviso e promosso anche
dalla ZigBee Alliance.
R.F.
29
NetworkiNg
Da Alcatel una piattaforma
per il wireless Enterprise
La piattaforma permette di realizzare soluzioni wireless estese all’intera
azienda sia in ambito locale che geografico
L
a casa della comunicazione sviluppata
da Alcatel è volta a risolvere i problemi che affliggono chi in azienda si trova
a dover usare una varietà di terminali e di
applicazioni in un contesto di rete fissa e
mobile. Gli apparati della casa della comunicazione comprendono IP PBX, IP Contact Center e soluzioni di messaggistica unificata e si
basano su una infrastruttura di rete che comprende switch e router della linea OmniSwitch.
Della linea fa parte anche una piattaforma per
la comunicazione wireless che costituisce la
più recente espansione della proposta Alcatel
nell’ambito delle reti aziendale. La piattaforma
comprende switch per la gestione dei classici
access point, appliance di accesso e access
point adatti sia per un utilizzo in ambienti
chiusi che da esterno. Integra la linea una suite
software che comprende funzioni di pianificazione, gestione e sicurezza.
• Gli switch OmniAccess 4000
Esempio di rete wireless
con gli apparati
OmniAccess di Alcatel
30
NetworkiNg
Gli switch OmniAccess 4000 sono l’elemento
di base della piattaforma Alcatel Wireless
Enterprise e erogano le funzioni di sicurezza a
livello wireless, gestione delle
radio frequenze,
intrusion
detection,
qualità
del servizio
e
mobilità.
Funzionalmente operano in
congiunzione con il soft-
ware Alcatel OmniVista Air Control System
(ACS), con gli Access Point Alcatel 1200 (AP)
e con Access Point di terze parti aderenti agli
standard internazionali. Sono disponibili in due
modelli, il 4012, che dispone di 12 porte
10/100BaseTx autosensing e il 4024 che dispone di 24 porte 10/100BaseTx autosensing.
Gli OmniAccess 4000 sono apparati wirespeed con alimentazione Power Over Ethernet (IEEE 802.3af) su ciascuna delle interfacce
10/100, che possono essere utilizzate per alimentare access point Alcatel o di terze parti.
Tre le modalità con cui è possibile connettere
gli AP. La prima è di tipo diretto, con gli AP che
vengono connessi alle porte dello switch
4000, che a sua volta viene connesso all’infrastruttura di rete fissa esistente.
La seconda prevede la connessione degli AP
direttamente agli switch della LAN. Tramite
questa e il protocollo LWAPP (Lightweight
Access Point Protocol), uno standard IETF, gli
AP si collegano automaticamente agli
OmniAccess 4000. Tutto il traffico dagli
OmniAccess 1200 viene inviato mediante
appositi tunnel al corrispondente switch
WLAN OmniAccess 4000. La terza modalità è
una combinazione delle prime due. Un aspetto saliente della soluzione è che in modalità
ibrida gli OmniAccess 4000 erogano comunque le stesse funzionalità wireless a tutti gli
access point, indipendentemente dalla loro
modalità di connessione fisica.
• OmniAccess 4100 Appliance
WLAN
L’appliance WLAN OmniAccess 4100 permette l’implementazione di servizi di wireless
LAN sulla rete Ethernet esistente. A livello
applicativo dispone delle funzioni che caratterizzano il modello 4000. Opera con il software OmniVista Air Control System (ACS), con
gli Access Point Alcatel 1200 (AP) e con
Access Point di terze parti. Ha due porte
Gigabit 1000BaseSx, una per la connessione
ad alta velocità verso la Lan esistente e la
seconda per disporre di ridondanza. In una
WLAN basata sul 4100 gli OmniAccess 1200
sono direttamente connessi alla LAN esistente e gli AP si connettono automaticamente
all’OmniAccess 4100 attraverso il protocollo
LWAPP.
L’origine degli standard wireless
Hedy Lamarr, famosa diva degli anni 30, oltre al pregio di essere ritenuta tra le più belle donne al mondo, ha avuto anche quello di avere brevettato nel 1942 la tecnica di frequency hopping, che è successivamente
diventata la base degli standard IEEE 802.11 (modulazioni in RF FHSS,
DSSS, OFDM). Pensato per le comunicazioni militari il suo principio base
è ora adottato in tutti gli standard per la mobilità in area locale che si
sono sviluppati in alternativa allo standard DECT.
La versione degli AP denominata OmniAccess
1200R remote edge permette, inoltre, di
estendere le funzionalità di sicurezza, prestazioni e gestione delle radio frequenze agli uffici remoti delle imprese.
• Alcatel OmniAccess 1200 Access
Point
• Una gestione esaustiva e sicura
Gli Access Point OmniAccess 1200 operano
congiuntamente con lo Switch 4000 e l’Appliance 4100 e supportano simultaneamente
gli standard 802.11 a/b/g o 801.11b/g. Sono
equipaggiati con antenne radio interne e settorizzate e hanno disponibili come opzioni
connettori per antenne esterne. Combinano
la normale funzionalità di data forwarding con
quella di controllo in tempo reale del mezzo
trasmissivo. Ciò elimina il bisogno di installare
nodi dedicati all’air monitoring per questioni
di sicurezza, controllo, localizzazione e neutralizzazione delle intrusioni.
Gli AP localizzano automaticamente gli
switch/appliance WLAN Alcatel sull’infrastruttura Ethernet. Una volta validati, gli
switch/appliance programmano automaticamente le informazioni di sicurezza, QoS, etc.
sugli OmniAccess 1200. Tramite il software
AirView, gli apparati determinano i canali e la
potenza in uscita di questi dispositivi necessaria in termine di prestazioni e di copertura in
radio frequenza.
Per prevenire accessi non autorizzati alla rete
gli OmniAccess 1200 vengono consegnati con
certificati digitali X.509 integrati e, se abilitata
dall’amministratore, supportano l’autenticazione 802.1x. Sono anche predisposti per il
supporto hardware-based del nuovo standard
di sicurezza IEEE 802.11i.
La rete wireless è gestita tramite il software
Alcatel AirView, che comprende un controllo
intelligente delle frequenze. Il software adotta
algoritmi che individuano e si adattano ai cambiamenti del mezzo trasmissivo (l’etere) in
tempo reale. Elevate le caratteristiche per la
mobilità che ne derivano. Gli switch permettono agli utenti di muoversi tra le zone di
copertura relative ai vari AP, switch, e anche
attraverso differenti sottoreti IP routed.
Nutrite anche le funzioni di sicurezza. La piattaforma supporta l’encryption di Livello 3,
inclusi IPSec con DES, 3DES e AeS CBC. A
livello 2 supporta 802.1x (EAP), WEP, WPA
con TKIP-MIC e AeS. A livello 1 fornisce una
sicurezza per le radio frequenze, incluse le
protezioni contro “denial-of-service” (DoS) e
tentativi di intrusione. La continuità del servizio prevede anche che gli switch possano operare con una ridondanza N+1.
Il software svolge anche il compito importante di riallocare automatica le frequenze e le
aree coperte in base alla densità di terminali
presenti in una determinata area. Ad esempio,
se nella sala riunioni si vengono a trovare un
numero elevato di utenti, il software ridistribuisce le aree di copertura delle celle, assegnando più bande capacità complessiva all’area
interessata in modo da garantire un livello di
servizio adeguato.
G.S.
31
NetworkiNg
Il 10GigaEthernet alla ricerca
di mezzi a basso costo
Due standard, uno varato e l’altro allo studio, per l’impiego di cavi
coassiali e in rame mirano a rendere il 10GE accessibile alle imprese
C
’è un freno economico alla diffusione
dell’Ethernet ad alta velocità all’interno delle imprese. Infatti, da un lato
comincia a sentirsi la necessità del Gigabit al
desktop, ma dall’altro questo comporta l’innalzamento delle prestazioni al centro. Il 10
Gigabit Ethernet, peraltro, presenta ancora
costi troppo elevati, non solo in termini di
prezzo per porta dei dispositivi o delle interfacce di rete, ma anche in termini di cablaggio.
Sul banco degli imputati la fibra ottica.
Il problema è ovviamente noto da tempo ai
costruttori e non è un caso se l’IEEE ha cercato di porvi rimedio con lo studio di due
standard: l’802.3ak, meglio noto come
10GBase-CX4, approvato lo scorso febbraio,
e l’ancor più interessante 802.3an o 10GBaseT, che dovrebbe approdare a un primo draft
entro la fine dell’anno, ma la cui ratifica non è
attesa prima del 2006.
• Con il coassiale interfacce più
economiche
Il gruppo di studio per il 10GBase-CX4 è
stato istituito nel 2002 per consentire di usare
tecnologia Ethernet a 10 Gbps con cavi coassiali su distanze massime di 15 metri circa.
Ovviamente l’impiego è limitato, ma comunque utile a realizzare risparmi, migliorando nel
contempo l’efficienza di alcuni dispositivi. In
particolare, dotando gli switch Gigabit di
un’interfaccia 10GBase-CX4 è possibile realizzare stack, impilando due o più switch, che
sfruttano appieno la banda aggregata. Inoltre,
per rispondere alla crescente domanda di
interconnessioni ad alta velocità all’interno del
wiring closet, il 10GBase-CX4 può essere uti-
32
NetworkiNg
lizzato nei data center per l’aggregazione dei
server.
Sono applicazioni in cui non è un problema il
limitato raggio d’azione dello standard, in
quanto i dispositivi in questione sono concentrati in poco spazio, mentre i benefici sono
immediati in termini di costo per porta degli
switch Gigabit.
La nuova interfaccia risulta economica da
implementare in quanto riutilizza parti di precedenti tecnologie previste da altre specifiche
802.3 e altri standard. Per esempio, possono
essere utilizzati lo stesso tipo di connettori e
cavi impiegati da InfiniBand 4X. Trattandosi
comunque di uno standard Ethernet 802.3,
altri risparmi per i costruttori derivano dal
mantenimento delle caratteristiche architetturali, in termini di software e management.
Secondo le stime dell’IEEE, i costi delle interconnessioni 10GBase-CX4 dovrebbero attestarsi attorno a un decimo di quelle per
10GBase su fibra ottica.
• Il twisted-pair per una larga
diffusione
Come è stato per il Gigabit Ethernet, sarà
molto probabilmente per il 10 Gigabit. Le reti
a 1 Gigabit hanno cominciato a diffondersi
solo con la possibilità di utilizzare cavi in rame
e, in particolare, cavi di categoria 6 che, per
quanto costosi, rappresentano un risparmio
notevole rispetto la fibra ottica.
Oggi l’esigenza di un backbone aziendale a 10
Gbps non è così forte da giustificare l’investimento necessario per realizzarlo e il 10GE
sembra trovare una collocazione solo in ambito MAN pubblico, laddove è necessario collas-
sare diversi segmenti di rete con migliaia di
porte 10 Mbps.
L’esigenza, però, esiste e non solo nelle aziende con un utilizzo pesante della banda. Incalzano nuove tecnologie e le reti convergenti,
che, per quanto facciano leva soprattutto sulla
qualità del servizio, risultano senz’altro più
efficienti con una larga banda a disposizione.
Soprattutto se si considera la grande impresa
che voglia implementare reti multiservice con
applicazioni di telefonia, videocomunicazione e
così via.
Un ruolo importante nella crescita della
domanda di 10 Gigabit lo gioca anche la tendenza a costruire data center centrali con elevate densità di sistemi server e storage, la cui
accessibilità e disponibilità è vitale per le attività dell’impresa.
L’impiego del cablaggio in rame può abbattere
considerevolmente i costi di realizzazione di
reti 10 GE aziendali, dove non sono necessariamente richieste grandi distanze da coprire
in un’unica tratta. Per questo, il gruppo
802.3an dell’IEEE sta lavorando dallo scorso
marzo alla definizione di uno standard
10GBase-T che promette il supporto dei 10
Gbps su distanze fino a 100 metri, con cavi di
prossima generazione, e fino a 60 metri con i
cavi in rame esistenti.
• Silenzio!
Banda passante a 10 Gbps
La difficoltà principale circa l’utilizzo del rame
è relativa all’eliminazione del rumore esterno.
Infatti, mentre con una sofisticata elaborazione digitale del segnale è relativamente semplice abbattere gli effetti del cross-talk tra diverse coppie di cavo o quelli della riflessione del
segnale, ben altra cosa sono le interferenze
elettromagnetiche, generate da sorgenti più o
meno adiacenti al cavo.
Per questo è difficile poter andare oltre i 100
metri e per questo un sottocomitato capitano
dalla TIA (Telecommunications Industry Association) si sta preoccupando di fornire specifiche aggiuntive per l’installazione del cablaggio
in trasmissioni sino a 60 metri, che sono suffi-
La trasmissione nel 10GBase-CX4
Nello standard 10GBase-CX4 sono stati impiegati diversi componenti definiti nelle specifiche 802.3 e in altri standard. In particolare, per la trasmissione sono utilizzate le interfacce, definite nell’802.3ae, 10GE MAC
(Media Access Control) e XGMII (Gigabit Media Independent Interface) e
il codificatore/decodificatore XAUI (10 Gigabit Attachment Unit Interface)
per dividere il segnale in 4 path differenziali a 3,125 GHz. Di fatto, quattro trasmettitori, da un lato, e altrettanti ricevitori operano in parallelo trasmettendo sul cavo coassiale a 2,5 Gbps l’uno. Sono quindi necessari 8
canali e una doppia equalizzazione di pre-emphasis in trasmissione e ricezione per compensare le perdite di segnale alle alte frequenze. Proprio
questa equalizzazione ha spinto il comitato 802.3ak a definire cavi e connettori del CX4 in maniera più precisa rispetto a InfiniBand, rispetto ad
alcune implementazioni dello stesso si potrebbero riscontrare differenze.
cienti a coprire le esigenze di una larga parte
di aziende.
È prevista la definizione di una nuova entità di
livello fisico, che comunicherà con le attuali
interfacce 10GE MAC e XGMII e sarà basata
sulla modulazione PAM (Pulse Amplitude
Modulation), già impiegata per il Fast Ethernet
e il Gigabit Ethernet, ma con symbol rate ed
elaborazione del segnale raffinati.
Proprio sul tipo di PAM da adoperare si sono
subito scontrati gli appartenenti al gruppo di
lavoro sullo standard. C’è anche chi alla PAM
preferisce la tecnica nota come TomlinsonHarashima Precoding (THP).
Evidentemente, il tortuoso percorso per arrivare alla definizione dello standard è solo agli
inizi e ci sono diverse “tappe” da toccare: una
per ciascuno dei numerosi elementi da considerare per costruire l’architettura del
10GBase-T. Per questo sarà difficile aspettarsi
risultati concreti prima dell’attuale data fissata
per l’estate del 2006.
G.D.B.
33
NetworkiNg
10 Gigabit per lo switching
stackable di D-Link
La società amplia la gamma di soluzioni xStack con l’annuncio dei nuovi
modelli DXS-3350SR e DXS-3326GSR
L
Lo switch Layer 2/3/4
D-Link DGS-3324SRi
34
NetworkiNg
o spostamento progressivo sul protocollo IP di funzioni convergenti di
tipo sempre più evoluto e la continua richiesta di incremento di banda
necessari per supportarle, ha definitivamente consacrato la tecnologia Ethernet
nella sua declinazione di classe Gigabit,
come riferimento per le reti locali e le
soluzioni Gigabit al desktop indirizzate a
gruppi di lavoro.
All’interno di questo mercato D-Link ha
ampliato la gamma delle proprie soluzioni di
switching di tipo stackable, con l’annuncio dei
nuovi prodotti della Serie xStack, dotati di
supporto integrato per Ethernet a 10 Gigabit.
Gli switch D-Link xStack coniugano un nuovo
design progettuale, con funzioni di uplink a 10
Gigabit e hardware di tipo Layer 3, proponendosi come soluzioni adatte a favorire un percorso di migrazione verso la tecnologia Gigabit Ethernet.
Questi apparati dispongono di molte delle
funzioni che caratterizzano le soluzioni basate
su chassis, tra cui l’ampiezza di banda dedicata, la memoria flash removibile, l’alimentazione
ridondante opzionale e le funzioni hot-swap.
Gli switch xStack supportano, inoltre, funzioni
di routing Layer 3 basate su ASIC
(RIPv1/v2, OSPF
e DVMRP), classificazione del
traffico multilivello e Access
Control Lists (ACL) L2/L3/L4. La tecnologia
xStack di D-Link prevede 10 uplink fino a 10
Gbps, disponibili grazie a moduli opzionali per
l’installazione di transceiver XFP compatibili
con lo standard IEEE 802.3ae. Le caratteristiche della famiglia xStack rendono questi apparati una possibile alternativa alle soluzioni
basate su chassis indirizzandosi, pertanto, alle
esigenze infrastrutturali delle reti di piccole
aziende, di workgroup con elevate caratteristiche prestazionali, ma anche di grossi centri
di elaborazione dati dipartimentali.
Grazie al supporto SIM (Single IP Management) di D-Link, si possono aggiungere fino a
32 switch per ogni stack xStack. Mediante il
modulo di gestione Web integrato si può ottenere una vista ad albero con una chiara informazione sulle componente dello stack e la
tipologia di rete che mostra la posizione delle
unità in stack e le informazioni sul collegamento. Le funzionalità di gestione supportate
da questa gamma di switch comprendono,
inoltre, funzioni SNMP, RMON, VLAN, Quality
of Service e funzioni di sicurezza Access Control.
• Flessibilità di configurazione
Una caratteristica interessante dei dispositivi
xStack di D-Link è la possibilità di essere configurati in due opzioni di stacking differenti.
Nel caso di stacking ad anello è possibile
sfruttare la doppia interfaccia di stacking
integrata a 10
Gbps in modo
tale che tutte le
unità connesse formino
un’architettura che condivide un’ampiezza di
banda pari a 40 Gbps per la comunicazione e
la trasmissione dei dati tra le singole unità.
La seconda opzione è quella di adottare una
topologia a stella, utilizzando uno switch DLink DGS-3324SRi configurato come unità di
stacking “master”. Il DGS-3324Sri, di per sé, è
uno switch Layer 2/3/4 gestito che dispone 6
porte di stacking a 10 Gigabit per connettere
fino ad altrettante unità della Serie xStack,
arrivando a fornire fino a 120 Gbps di ampiezza di banda di stacking. Il DGS-3324SRi dispone di 24 porte 10/100/1000 e 8 porte combo
SFP per la creazione di tronchi di porta o connessioni server e ha una capacità di switching
massima pari a 168 Gbps.
Per massimizzare il livello di disponibilità e
semplificare la configurazione e gestione dei
componenti di ricambio, questo switch supporta un alimentatore ridondante esterno
RPSU (Redundant Power Supply) e una scheda di memoria di tipo Flash removibile,
Accanto al DGS-3324SRi la gamma xStack
comprende altri tre modelli che possono
essere aggregati in stack, permettendo la configurazione di ambienti con livelli superiori di
flessibilità.
Il modello DXS-3326GSR è uno switch Layer
2/3/4, gestito e configurabile in stack, che si
indirizza a esigenze di livello elevato in termini di densità di porta in fibra; all’interno di ogni
unità trovano, infatti, spazio 24 slot Gigabit in
fibra a cui si aggiungono 4 porte combo a
10/100/1000.
Ha una capacità di stacking 10 Gigabit integrata e uplink a 10 Gigabit opzionale, mentre la
capacità di switching complessiva raggiunge i
128 Gbps.
È possibile connettere in stack fino a 12 dispositivi DXS-3326GSR, per un totale complessivo di 336 porte Gigabit. Nel caso in cui
venga adottata una configurazione ad anello di
switch DXS-3326GSR, queste caratteristiche
determinano un’ampiezza di banda di stacking
condivisa pari a 40 Gbps mentre, nel caso di
topologia a stella, l’ampiezza di banda di stacking dedicata è di 20 Gbps.
Il modello siglato DXS-3350SR è quello a
maggiore densità di porte; si tratta di un apparato gestito con funzioni di livello 2/3/4, con
48 porte Gigabit in rame 10/100/1000 che
includono 4 porte Combo SFP, adatto a supportare sia collegamenti in rame sia transceiver SFP per connessioni verso mezzi di trasmissione Gigabit in fibra ottica.
Ha una capacità di switching pari a 176 Gbps
e dispone di una connessione stacking a 10
Gigabit, con possibilità di uplink a 10 Gigabit
opzionale. Se configurato con una topologia di
stacking ad anello, il DXS-3350SR consente di
disporre di un massimo di 336 porte Gigabit,
raggiungendo una banda di stacking di 40
Gbps. Supporta una serie di funzionalità che
solitamente caratterizzano le soluzioni basate
su chassis quali caratteristiche hot swap e alimentazione ridondante opzionale.
L’ultimo modello della gamma è lo switch DLink xStack DGS-3324SR, un dispositivo Layer
2/3/4 dotato di 24 porte 10/100/1000 gestite
con 4 porte Combo e supporto SFP. Questo
apparato dispone di una capacità di switching
pari a 88 Gbps e supporta due porte di stacking integrate a 10 Gigabit, garantendo 40
Gbps di ampiezza di banda di stacking in
modalità full-duplex.
La gamma xStack completa, dunque, l’offerta
D-Link nel network switching, che comprende
anche switch modulari L3 Gigabit, dispositivi
Gigabit unmanaged; switch unmanaged 10/100
Mbps in versione desktop, rackmount e smart;
apparati 10/100 Mbps con funzione di negoziazione automatica della velocità managed o
unmanaged di livello 2 e 3, in modalità standalone, stackable e modulare.
R.F.
Esempio
di uno stack
di switch
D-Link Serie
xStack,
connessi
con topologia
a stella
a un’unità
master DGS3324Sri
35
NetworkiNg
Matrix C2 estende i confini delle
Secure Networks di Enterasys
La nuova piattaforma di stackable switching dispone di interfacce
10/100/1000 Mbps con il supporto dello standard Power over Ethernet
E
nterasys Networks ha ampliato la propria gamma di dispositivi di rete, mantenendo fede al proprio programma
per le Secure Networks, con una nuova serie
di stackable switch destinati alle applicazioni di
periferia. La società statunitense ha posto l’accento sulle caratteristiche prestazionali e in
particolare sul supporto di interfacce switching a velocità 10/100/1000 con supporto di
Power over Ethernet (PoE), che pongono la
nuova serie ai vertici della categoria.
La serie Matrix C2 fornisce elevati livelli di
sicurezza e protezione dei dati proprio nel
punto in cui utenti e dispositivi si connettono
alla rete e, a detta dei responsabili della società, è la scelta ideale per le applicazioni business-critical in rete.
La periferia, infatti, rappresenta storicamente il
punto d’impatto principale degli attacchi. Lo
sviluppo dell’extended enterprise, con partner, clienti e dipendenti che si collegano tramite un insieme di dispositivi in continua
espansione, tra cui non mancano apparati
wireless, notebook, telefoni IP e server farm,
rende sempre più arduo e complesso il compito di garantire la sicurezza della rete e consentirne un uso appropriato.
• Una “matrice” di soluzioni
La famiglia Matrix C2 va a completare una
gamma di dispositivi che spaziano dal core
all’edge della rete, fornendo quelle essenziali
funzionalità per la sicurezza, secondo la strategia delle Secure Networks. Tra queste, per
esempio, il supporto dell’autenticazione
802.1x, MAC e Web e della strong authentication grazie a SSL, SSH e RADIUS.
36
NetworkiNg
La serie è composta da sei piattaforme di
switch gigabit stackable di ultima generazione
e ad alta densità, secondo i dati di targa Enterasys, che recitano: 24 porte 10/100/1000; 48
porte 10/100/1000; 48 porte 10/100/1000
PoE;48 porte 10/100; 48 porte 10/100 PoE; 24
porte 10/100/1000 con doppi uplink da 10
Gbps (tramite modulo XFP). Ogni switch supporta policy statiche e dinamiche.
Complessivamente, la densità raggiungibile in
un singolo stack è pari a 384 porte 10/100 con
un massimo di 32 uplink Gigabit o, addirittura,
pari a 384 porte tutte Gigabit.
Gli switch comprendono una porta di stacking
la quale, oltre a eliminare la necessità di uno
switch preposto allo stacking stesso, permette
la comunicazione tra apparati adiacenti a 40
Gbps full duplex, che, per gli 8 switch impilabili in un singolo stack, porta a una larghezza di
banda totale di 640 Gbps.
Sempre secondo i dati forniti dal costruttore,
inoltre, ogni switch dispone di una switch
fabric da 160 Gbps che supporta lo switching
e il routing su tutte le porte alle massime prestazioni consentite dalla linea.
Curata anche la disponibilità del sistema, grazie, per esempio, al Closed Loop Stacking, che
garantisce la continuità del servizio anche
quando un dispositivo della pila dovesse guastarsi. Inoltre, sono supportati Spanning Tree e
Link Aggregation. Quest’ultima, in particolare,
anche distribuita su più stack. Per quanto
riguarda la qualità del servizio, Enterasys
dichiara che Matrix C2 supporta la classificazione dei pacchetti a livello 2, 3 e 4. A questo
si aggiunge la definizione di policy valide su
tutta la rete e la disponibilità di otto code di
priorità su ogni porta. Infine, sono supportati
tutti i protocolli per la gestione degli apparati
con tool standard di management.
• Una soluzione integrata
Portare i vantaggi delle Secure Networks ai
punti periferici della rete, secondo quanto
spiegato dal management della società statunitense, consente di aumentare la protezione, al
tempo stesso diminuendo l’impatto della sicurezza sulle prestazioni. Per gli utilizzatori è
fondamentale, d’altro canto, non rallentare la
propria operatività e per questo la combinazione degli switch Enterasys a livello centrale
e dei Matrix C2 sull’edge fornisce condizioni
di sicurezza dinamica elevate, in grado di adeguarsi alle esigenze dell’azienda.
“Enterasys Networks continua a rilasciare
soluzioni che consentono di raggiungere gli
obiettivi di business, garantendo la disponibilità di rete, la protezione dei dati vitali e il controllo su molteplici persone e dispositivi”, ha
affermato Mark Aslett, presidente e Chief
Operating Officer di Enterasys Networks, che
ha aggiunto: “La serie Matrix C2 è l’ultimo
esempio del nostro impegno a fare sempre
meglio, per fornire i più alti livelli di sicurezza.
Le reti aziendali devono andare oltre il focus
su costo, capacità e connessione per abbracciare requisiti chiave di business come la continuità, il contesto, il controllo, la conformità e
il consolidamento”.
Il dirigente americano ha poi voluto osservare: “Alcuni fornitori di networking sacrificano
le prestazioni, le funzionalità e/o la sicurezza
per essere competitivi a livello di prezzo.
Enterasys è invece impegnata nell’offerta di
prodotti che non solo garantiscono un alto
livello di prestazioni ai margini della rete, ma
che hanno anche la sicurezza integrata nel
loro DNA”. Davide Losi, major account manager e direttore marketing di Enterasys Networks in Italia, dove ricopre anche il ruolo di
responsabile per il Secure Networks Group,
ha inoltre dichiarato: “Mentre altri fornitori si
limitano a parlare della loro visione di sicurezza di rete, Enterasys fornisce già soluzioni con-
crete che riducono
immediatamente la
vulnerabilità, aumentano l’efficienza e la
produttività e incrementano in modo
significativo la sicurezza nell’intera rete,
persino in reti eterogenee con tecnologia di fornitori diversi”.
Appena immessa sul mercato, la famiglia
Matrix C2 ha subito riscontrato un forte interesse da parte dei VAR di tutto il mondo partner di Enterasys, a detta dei responsabili della
stessa società che sostengono sia un prodotto ottimale per il modello distributivo a due
livelli. Una testimonianza in tal senso arriva da
Joe Serra, vice presidente networking e highend storage product marketing di Tech Data,
che ha affermato: “Ora più che mai, le imprese necessitano di soluzioni per la sicurezza
della rete e la protezione dei dati che siano
efficaci, ma a prezzi ragionevoli. Il prezzo competitivo e le funzionalità della serie Matrix C2
ne fanno una soluzione versatile per i reseller,
che la possono proporre con successo a svariati settori, per soddisfare la domanda di affidabilità e sicurezza di rete”.
G.D.B.
La serie di switch
impilabili Matrix C2
permette di realizzare uno
stack con fino a 8 elementi
Una promozione “convergente” da IDC
Spinto dalla convergenza delle applicazioni, dall’espansione di rete e dai
necessari aggiornamenti e potenziamenti, il mercato Ethernet switching è
uno dei settori a più rapida crescita, secondo IDC. La società di ricerca
statunitense stima che il mercato mondiale supererà i 15 miliardi di dollari nel 2008.
A detta dei responsabili Enterasys, poiché la convergenza implica che un
numero crescente di comunicazioni aziendali sempre più critiche condividano le stesse reti, si rende necessario disporre di una maggiore sicurezza e ampiezza di banda e di una QoS superiore. Proprio i bisogni cui
risponderebbe la serie Matrix C2.
Max Flisi, analista di IDC ha commentato: “Enterasys ha portato le capacità di policy e sicurezza delle Secure Networks su una piattaforma stackable con un prezzo competitivo, consentendo alle imprese di applicare
politiche di sicurezza granulari ai punti periferici della rete. Inoltre, con il
supporto, primo sul mercato, di una soluzione 10/100/1000 PoE in formato stackable, la serie Matrix C2 soddisfa l’esigenza di avere infrastrutture già pronte per la convergenza.”
37
NetworkiNg
Il traffico sotto controllo
con IPFIX
Uno standard in via di approvazione definisce il formato di esportazione
delle informazioni sui flussi di pacchetti
I
l traffico sulle reti è aumentato in modo
vertiginoso negli ultimi anni e, anche se da
sempre si è sentita l’esigenza di poterlo
analizzare, oggi questo bisogno è diventato un
problema che sta facendo impazzire molti network manager.
Di fatto, i dispositivi di rete, che meglio di altri
si trovano a trattare il traffico, sono i router,
ma non è facile estrarre informazioni utili e
“leggibili” da questi, in modo da poter attuare
un’accurata analisi del traffico. Sono stati, nel
tempo, sviluppati diversi prodotti che operano
in parallelo ai router per recuperare queste
informazioni, “sniffando” la rete (dal nome di
un noto network analyzer). In molti casi questi strumenti si trovano a operare in maniera
proprietaria, non potendo contare sull’aiuto
dei router presenti sulla rete, in mancanza di
uno standard per l’esportazione delle informazioni dagli stessi.
Oggi che le esigenze di analisi si fanno sempre
più pressanti cresce l’attesa per uno standard
che da qualche tempo l’IETF sta studiando. Tali
38
NetworkiNg
esigenze sono fortemente sentite non solo
per la semplificazione del network management, che pure ha assunto un’importanza fondamentale con lo sviluppo delle reti convergenti e le imposizioni della QoS, ma anche e
soprattutto per il potenziamento delle soluzioni di sicurezza. Queste ultime, infatti, fanno
un massiccio utilizzo dell’analisi dei pacchetti
per espletare le loro funzioni.
Si tratta dell’IPFIX (IP Flow Information
Export). La maggior parte delle specifiche è
stata definita e attualmente queste sono disponibili come draft, nell’attesa di essere pubblicate come RFC (Request for Comment). E’
plausibile che ci vorrà ancora un po’ prima
della ratifica finale.
L’utilizzo di questo standard dovrebbe rendere più semplice la formulazione di statistiche e
l’invio di informazioni utili per la gestione a
varie soluzioni di management o ad applicazioni di supporto. In parole povere, non sarà
più necessario che i dipartimenti IT sviluppino
o acquistino interfacce ad hoc per adattare
formati proprietari dei file di esportazione
affinché i propri sistemi di management possano dialogare con i router distribuiti in rete. Il
problema sussiste, in realtà, soprattutto con
l’impiego di soluzioni di management poco diffuse e, pertanto, non supportate da tutti i vendor, nonché con quelle che, per forza di cosa,
sono state personalizzate all’interno delle
aziende.
Si prevede che tutti i principali produttori di
router implementeranno l’IPFIX non appena
sarà disponibile. A partire da Cisco Systems,
che guida il gruppo di lavoro e sul cui NetFlow
è stata impostata la definizione dello standard.
Come sempre accade in queste situazioni, vale
la legge del più forte e la casa statunitense è
l’indiscusso leader del settore. Questo non
significa che lo standard abbia avuto una storia
breve e indolore, tanto è vero che la ratifica
era inizialmente prevista per la prima metà di
quest’anno.
• Un formato unico per i dati sui
flussi di traffico
Lo standard IPFIX si propone, quindi, di definire un unico formato per l’esportazione dei
dati da un router o uno switch (del resto i dispositivi di rete attuali sono ormai sempre più
ibridi). Tale formato è stato disegnato per
essere estensibile, in modo da non richiedere
continui aggiornamenti di software (né del
router né dello strumento di gestione) al cambiare delle esigenze di monitoraggio del traffico.
Queste, in effetti, possono variare relativamente spesso all’interno di un’organizzazione,
laddove è importante conoscere le variazioni
del traffico e valutare le statistiche in base al
flusso per prendere importanti decisioni in
termini di pianificazione e controllo dell’utilizzo delle risorse. L’amministratore che è in
grado di sapere quanti pacchetti e byte sono
inviati e ricevuti da un determinato indirizzo
IP o attraverso una specifica interfaccia di rete
possono più facilmente impostare policy o
privilegi per quelle porte. Analogamente, è
possibile prendere provvedimenti quando i
valori dovessero superare determinati parametri, lasciando supporre un abuso delle
risorse.
Soprattutto è facile che sia necessario visualizzare i flussi di traffico in base a criteri diversi per avere un quadro completo della situazione e poter prendere determinate decisioni.
Solo la conoscenza permette la misura e solo
quest’ultima consente l’ottimizzazione delle
prestazioni.
Lo standard, inoltre, impone una discreta flessibilità, dovendosi prevedere la possibilità di
aggiungere o cambiare i campi (cioè i parametri e i protocolli) stabiliti per il monitoraggio
dei flussi. Per fare questo, IPFIX è stato disegnato sulla base di template, che ne accrescono l’adattabilità. Per esempio, possono essere
effettuati cambiamenti per includere l’indirizzamento IPv6 o la visualizzazione specifica dei
pacchetti IP Multicast, che potrebbero sommarsi al monitoraggio dei pacchetti IPv4.
IPFIX prevede, di default, l’esportazione dei
dati sulla base di sette campi chiave: l’indirizzo
IP della sorgente; l’indirizzo IP della destinazione; la porta sorgente; la porta di destinazione; il tipo di protocollo Layer 3; il byte del
tipo di servizio (Type of Service); l’input logico d’interfaccia.
Due pacchetti vengono considerati appartenenti allo stesso flusso se tutti e sette i campi
coincidono. I pacchetti di uno stesso flusso
vengono conteggiati e considerati con gli stessi criteri, al fine di produrre statistiche consistenti.
Ci sono anche altri campi che possono essere
adoperati per tracciare i pacchetti in funzione
di specifici obiettivi: per esempio, la maschera
IP della sorgente o della destinazione, le flag
TCP, l’IP next hop e così via. Questi non sono
considerati campi chiave dallo standard, ma se
un network manager volesse conteggiare i
pacchetti in base a uno dei campi addizionali è
possibile aggiungerlo a un template. Questo,
tramite un numero di identificazione viene
univocamente associato a un flusso di dati da
esportare. Il router o switch, compatibile a
IPFIX, che conteggia i flussi di traffico invia le
definizioni dei template al server raccoglitore
dei dati, specificando quali record di flussi si
deve attendere e in che ordine. Tali record
vengono poi decodificati e immagazzinati su
questo server.
Di fatto, lo standard definisce un sistema di
comunicazione tra un dispositivo di analisi dei
pacchetti, il router o switch Layer 3, e un collector server. L’utilizzo dei template permette
di mantenere un’elevata flessibilità di raccolta
dei dati, secondo formati che qualsiasi dispositivo o applicazione compatibile con IPFIX sarà
in grado di riconoscere, attraverso l’interpretazione dei template stessi.
G.D.B.
39
NetworkiNg
HP ProCurve uniforma
la gestione di LAN e WLAN
Grazie alla partnership con AirWave, Hewlett Packard fornisce un sistema
di gestione integrato e centralizzato per le reti wireless
L
a progressiva adozione delle reti wireless ha messo in evidenza come i costi
operativi associati al funzionamento di
questo tipo di network siano, in genere, significativamente più elevati rispetto a quelli associati all’hardware. Una ricerca condotta da
Meta Group ha, per esempio, evidenziato che
l’aspetto gestionale costituisce il tema singolo
più critico per le aziende di livello enterprise
che decidono di adottare una wireless LAN.
Le reti Wi-Fi, infatti, sono caratterizzate da
aspetti specifici rispetto alle LAN tradizionali;
per esempio l’interferenza a radiofrequenza e
le condizioni ambientali sono in grado di influire pesantemente sulle prestazioni e a ciò si
aggiungono pattern di utilizzo dinamico
imprevedibili. Altri aspetti specifici riguardano
la mancanza di sicurezza “fisica” intrinseca alla
rete, la presenza di implementazioni proprietarie di alcuni “standard” 802.11 o la ristrettezza di banda delle implementazioni tecnologiche meno aggiornate. Si tratta di una serie di
aspetti che inducono spesso a disporre di
soluzioni gestionali specializzate e separate
per le WLAN.
Per affrontare questo problema HP ha introdotto, all’interno della propria offerta nell’ambito della mobilità, una soluzione gestionale
interoperabile, di tipo aperto e basata su standard industriali, che consente di controllare
dalla medesima console di tipo Web-based
dispositivi di rete wireless multivendor.
Il software di gestione di rete è denominato
AirWave Management Platform (AMP) ed è il
risultato della collaborazione avviata da HP
ProCurve Networking con AirWave Wireless.
La capacità di interoperabilità di AMP con
2
NetworkiNg
altre piattaforme di network management esistenti consente, inoltre, di riunire tutte le operazioni di gestione, aprendo la strada a un
livello di scalabilità pensato per le reti globali.
• Una soluzione wireless integrata
gestita centralmente
In un’implementazione basata sui sistemi ProCurve, AMP permette di gestire e configurare
da remoto la famiglia di access point wireless
HP, che include il modello 420wl adatto per
ambienti misti 802.11b e 802.11g (predisposto
per il supporto del Power over Ethernet
802.3af) e l’access point 520wl, progettato in
modo da supportare sia lo standard 802.11b
che quello 802.11a a 5 GHz.
Una rete wireless ProCurve si può avvalere,
poi, dei controller di accesso HP Serie 700. Il
controller 720wl è il dispositivo ProCurve che
si colloca tra gli access point wireless e il network e che potenzia le funzioni di autenticazione verificando il diritto di accesso in base
all’utente, alla località di accesso e al momento
di accesso al network. L’access control server
740wl è, invece, l’apparato che fornisce una
configurazione centralizzata delle funzioni di
sicurezza, la gestione delle policy per gli utenti
della rete wireless e che garantisce sessioni
ininterrotte al passaggio dell’utente da una sottorete all’altra o da un access point all’altro.
Il software AMP tiene sotto controllo costantemente le prestazioni e l’utilizzo dei dati sia
degli access point wireless che degli access
controller Serie 700, in modo da poter effettuare una diagnosi continua e avvisare gli amministratori non appena si verifica un problema.
L’architettura proposta da HP prevede che
l’access control server 740wl sia collocato al
centro del network, da dove opera anche la
piattaforma di gestione AMP; alla periferia della
rete si collocano, invece, gli access controller
ProCurve 720wl, che provvedono a rafforzare
l’insieme delle policy attraverso il 740wl. Nel
caso si vogliano implementare caratteristiche
di alta disponibilità è possibile utilizzare molteplici sistemi 740wl per la ridondanza.
Questa impostazione consente di definire
centralmente le policy utente e implementarle alla periferia del network, assicurando che
sia concesso l’accesso alla rete solo agli utenti autorizzati.
La soluzione gestionale AMP provvede a
monitorare e configurare in modo automatico
gli apparati di rete ProCurve mediante gli
access point HP, utilizzando protocolli standard quali SNMP. L’amministratore utilizza il
control server 740wl per definire e applicare
le policy utente agli access controller distribuiti e il software AMP comunica direttamente con il control server per ottenere i dati per
l’autenticazione dell’utente che consentono di
identificare e localizzare gli utenti autorizzati
presenti sulla rete.
In questo modo gli apparati di rete HP ProCurve Networking e il software AirWave
operano in maniera coordinata tra loro e con
l’esistente infrastruttura di rete consentendo,
secondo quanto sostiene HP, di ridurre in
maniera considerevole i costi operativi del
network, senza penalizzare gli investimenti
fatti in precedenza.
HP rende disponibili diverse versioni del software, in modo da costituire soluzioni scalabili
e a prezzo contenuto per WLAN di ogni
dimensione, dalle piccole reti presenti all’interno di singoli edifici a quelle distribuite su
molteplici campus.
plementazione di opportune tecnologie di
sicurezza basate su standard.
Per la protezione del traffico wireless gli
access point ProCurve supportano gli algoritmi di cifratura WEP e WPA, mentre gli apparati ProCurve Serie 700 forniscono, se necessarie, ulteriori opzioni crittografiche quali il
tunneling VPN. La soluzione AMP, da parte sua,
provvede alla configurazione e all’auditing
automatico delle impostazioni di cifratura su
tutti gli access point.
A livello di controllo di accesso e di procedure di autenticazione, la sicurezza è garantita
dal supporto sugli access point di funzioni
quali l’autenticazione su base porta secondo
lo standard 802.1x e il VLAN tagging, mentre
AMP effettua in modo automatico il rafforzamento e l’auditing delle policy di controllo
dell’accesso su tutti gli access point.
Infine, per assicurare che non vengano lasciati
sguarniti punti di accesso non autorizzati, le
soluzioni di networking integrate HP ProCurve e la piattaforma di gestione AirWave operano congiuntamente per individuare possibili
access point non autorizzati. Per esempio, l’HP
ProCurve 520wl supporta lo scansione a
radiofrequenza per punti di accesso anomali,
mentre AMP è in grado di individuarli automaticamente sia mediante scansione RF sia
tramite il “fingerprinting” su Ethernet.
R.F.
Un esempio
d’implementazione
wireless sicura, gestita
centralmente mediante
la piattaforma AMP
• Le funzioni per garantire
la sicurezza del network
La garanzia di protezione dell’accesso e del
traffico, oltre ad avvalersi di un’impostazione
architetturale pensata per la protezione della
parte “core” del network, è garantita dall’im-
3
NetworkiNg
Prestazioni e affidabilità
per la famiglia Altos di Acer
Ampliata la gamma di sistemi server e dispositivi per lo storage
con i nuovi G710, G520, R710, S200F e S205F
A
Il posizionamento
dei server Acer Altos
42
Server e Storage
cer ha rinnovato la propria gamma di
server Altos con tre nuove macchine
siglate G710, R710 e G520. A questi
la casa taiwanese ha anche aggiunto S200F e
S205F, due nuovi dispositivi di storage. I nuovi
prodotti innalzano i livelli prestazionali delle
soluzioni di fascia intermedia, confermando le
scelte tecnologiche da tempo attuate da Acer.
Come accennato, i nuovi server si indirizzano
alla fascia dello small e medium business
o, più precisamente secondo la
definizione della società taiwanese, verso le imprese da 50
a 150 utenti, che ricercano
tipicamente applicazioni di
print server, file server,
email server, Web server,
FTP server, workgroup e
domain name server. I
modelli G710 e R710, che
sostituiscono i G701 e R701, si
posizionano nel segmento alto di
questa fascia, potendo soddisfare le
esigenze anche della classe enterprise. Acer
Altos G520, che prende il posto del G510,
invece, si colloca nel segmento inferiore, risultando indicato anche per le esigenze delle
imprese appartenenti al mondo Soho.
Secondo IDC, il mercato dei server biprocessori a base x86 è destinato a crescere del 15%
fino a raggiungere i 15 miliardi di dollari nel
2007. Un trend positivo confermato da Forrester Research che vede segnali di ripresa del
settore già nel 2005.
Un mercato per il quale Acer ha affinato tecniche e strategie, prevedendo la completa adesione agli standard e l’implementazione di
soluzioni innovative fondate su questi ultimi. I
trend evolutivi identificati dalla casa taiwanese
immaginano la diffusione di processori di
nuova generazione che supportano bus di
sistemi più veloci (800 MHz) e le tecnologie
Intel per l’estensione di memoria a 64 bit
(EM64T) ed Enhanced Intel SpeedStep Technology. Certo il successo delle specifiche PCI
Express e delle memorie DDR2 a 400 MHz,
che oltre a migliorare la banda comportano
un minor consumo di potenza.
• I nuovi server
Acer Altos G710, secondo i dati forniti dal
costruttore, si presenta con uno o due processori Intel Xeon (da 800 MHz FSB o da 2,8
GHz, 3,6 GHz o velocità di clock superiori),
compatibili con tecnologia EM64T di Intel,
pertanto in grado di indirizzare 64 bit, e con la
tecnologia Intel Hyper-Threading e la microarchitettura Intel NetBurst, che migliora l’efficienza del processore. Gli slot ECC SDRAM
DIMM sono 8, tutti in grado di ospitare una
memoria DDR2 400. A questi elementi, che
già migliorano le caratteristiche del G701, si
aggiunge una completa dotazione di interfacce
bus: 6 slot PCI, 2 alloggiamenti X4 PCI
Express, 3 slot PCI-X a 64 bit e 100 MHz e
uno PCI da 32 bit e 33 MHz.
È compresa anche una scheda ATI Rage XL
VGA con 8 MB di VRAM.
Per la connessione in rete è disponibile una
doppia interfaccia Gigabit Ethernet, combinata
con il supporto di funzionalità per il load
balancing e la fault tolerance.
Per quanto concerne la memoria di massa,
invece, G710 dispone di 8 drive bay per dischi
rigidi, che supportano sia SATA sia SCSI e di
dual-channel U320 SCSI. Il sistema è dotato di
controller RAID 1-10 SCSI, che, a richiesta,
può essere integrato sulla scheda madre.
Opzionalmente, le baie possono essere dotate di rimovibilità a caldo, che distingue invece
l’alimentatore. A salvaguardia del pregresso, la
macchina è dotata di diverse porte ormai
legacy: due porte PS/2, una porta seriale a 9
pin, 4 porte USB (di cui due accessibili dal
frontale), due connettori Ethernet RJ-45, una
porta VGA/video.
Sostanzialmente analogo è il modello Acer
Altos R710, dove la R ricorda la struttura predisposta, in questo caso con un fattore forma
di 2U, per il montaggio su rack. Per questo utilizzo sono state ottimizzate e ingegnerizzate
diverse altre caratteristiche, a partire dalla
ventilazione, facilitata dalle prese d’aria sul
frontale e forzata da un sistema di 4 o 8 ventole ridondanti, cui si aggiunge il sistema di raffreddamento dell’alimentazione. R710 è indirizzabile alla gestione di apparati di storage e
a funzionalità RAS (Remote Access Server),
per le quali è previsto il Serial Management, il
Text Console Redirection, con supporto
Serial Over LAN, e la compatibilità con le
specifiche IPMI 2.0.
Anche Altos G520 è dotato di caratteristiche
d’avanguardia, come i processori su menzionati. Una prima differenza si riscontra a livello di
RAM, laddove nel G520 il supporto copre fino
a 4 DIMM DDR2 a 33 MHz. Gli slot PCI sono
5, di cui uno X4 PCI Express, due PCI da 64
bit e 66 MHz e due PCI da 32 bit e 33 MHz.
Quattro, SATA o SCSI, le baie per dischi rigidi.
L’alimentazione è hot swappable.
• I sistemi di storage
Studiata per salvaguardare spazio e al tempo
stesso mantenenere scalabilità, la famiglia Acer
Altos S200 può essere facilmente personalizzata, a detta dei responsabili della società. Per
questo si può scegliere tra Fibre Channel (a 2
Gbps) o JBOD e si possono installare fino a 16
disc drive di un massimo di 250 GB l’uno. In un
sistema pieno, pertanto, si arriva a 28 TB di
capacità storage. Le prestazioni, secondo
dati di targa Acer, prevedono due controller attivi e ridondanti che trattano
fino a 50mila richieste di I/O per secondo e 380 Mbps di throughput.
Per la disponibilità, sono state pensate
componenti hot swappable per i dischi, i
controller RAID/JBOD (che sono di
default ridondati) e l’alimentazione.
Per facilitare la gestione, le macchine
sono state inoltre dotate di LED per
allarmi, che possono essere anche sonori, e
il modello S205F anche di Acer RAIDWatch &
RS232, l’interfaccia software per il management dei controller (su S200F c’è solo l’interfaccia RS232). I due modelli si distinguono per
il processore adoperato e, soprattutto, per la
disponibilità di memoria cache: è presente (da
512 MB a 1 GB) solo in S205F; mentre in
entrambi c’è una flash memory, da 4 MB per
S205F e da 1 MB per S200F.
Acer Altos G710
• Mattoni per costruire soluzioni
Comune a tutti i nuovi server è il corredo
software, che comprende il sistema di configurazione EasyBuild, che consente di installare
un qualsiasi sistema operativo e di gestirlo
attraverso un’interfaccia browser intuitiva.
Molto utile è anche EasyDiagnostics, i cui LED
permettono di rilevare rapidamente eventuali
problemi. A questo, il modello Altos G710
aggiunge l’ePanel, cioè un sistema che, tramite
un piccolo display posto sul frontale della
macchina, consente di visualizzare immediatamente lo stato della stessa e la notifica di
eventuali problemi.
Infine, tutte le macchine possono essere gestite anche da remoto tramite ASM (Acer Server
Manager). Giunto alla release 6.0, il sistema di
management risulta particolarmente utile sia
alle grandi imprese, che debbano amministrare i server posti nelle sedi distaccate o
comunque distribuiti in azienda, sia ai provider
che volessero fornire un servizio di gestione
per gli apparati installati presso l’utente finale,
magari il piccolo ufficio che non dispone delle
competenze necessarie.
G.D.B.
43
Server e Storage
Apple rilascia il file system
per le SAN
Xsan consente condivisione e gestione dello storage in rete, principalmente
per le esigenze di workflow video professionale e di consolidamento
A
L’applicazione gestionale
Apple Xsan Admin
44
Server e Storage
pple ha reso disponibile Xsan, una
soluzione costituita da un file system
ad alte prestazioni per le SAN (Storage Area Network) e dall’applicazione gestionale Xsan Admin.
Questi due elementi mettono a disposizione
degli utenti Apple un file system cluster a 64bit su Mac OS X economicamente accessibile
e ad alte prestazioni, che abilita accesso scalabile e ad alta velocità a storage espandibile e
condiviso centralmente in una Storage Area
Network.
Per le sue caratteristiche, Xsan trova la sua
collocazione ottimale nell’ambito di attività di
consolidamento dello storage, all’interno di
grossi cluster dedicati alla computazione e in
workflow
che
richiedono elevata
larghezza di
banda; tra
questi
ultimi, in
particolare, si evidenzia il
settore
del video professionale, per applicazioni di
digitalizzazione di contenuti multimediali e di
video editing.
Il file system Xsan supporta fino a 64 sistemi
client, ognuno con accesso contemporaneo in
lettura e scrittura ai volumi condivisi, e rappresenta la soluzione Apple complementare ai
propri sistemi hardware Xserve e Xserve
RAID.
• L’organizzazione dello storage
Il concetto fondamentale alla base di Xsan è
quello di centralizzare i dati e condividere l’accesso alle informazioni, organizzando le risorse in pool ed eliminando la complessità dello
storage provisioning.
Una rete storage Xsan risulta, quindi, costituita da una serie di volumi di storage condiviso
disponibile fisicamente su sistemi di memorizzazione Apple Xserve RAID e che appaiono ai
client degli utenti come volumi caricati sulla
propria postazione, da utilizzare come fossero
hard disk di tipo locale. È possibile sfruttare i
tipici schemi RAID di livello 0, 1, 3, 5 e 0+1
supportati dal sottosistema Xserve RAID,
mentre gli schemi RAID 10, 30 e 50 non sono
adeguati all’uso con Xsan poiché assumono
l’utilizzo dello striping software AppleRAID,
mentre invece Xsan effettua il proprio striping.
All’interno di una rete Xsan, l’hardware di
controllo e il software dei sistemi Xserve
RAID provvedono a combinare i diversi
moduli disco in un array basato su uno schema RAID scelto dall’utente. Ognuno di questi
array appare sulle reti Fibre Channel (FC)
come un’unità logica denominata LUN (acronimo di Logical Unit Number), che viene creata tramite l’utilità gestionale RAID Admin
associata ai sistemi Xserve RAID.
Xsan Admin consente, quindi, di combinare le
LUN in raggruppamenti storage (storage
pool) che possono interessare uno o più array
e di operare con lo storage in rete attraverso
un’interfaccia grafica semplificata. Gli storage
pool, a loro volta, si compongono per formare il volume Xsan che appare agli utenti come
un disco locale, con in più il vantaggio che la
dimensione del volume può crescere mano a
mano che vengono aggiunti array di storage
pool e che altri utenti della SAN sono in
grado di accedere, nello stesso tempo, ai file
presenti sul volume.
Per controllare quale storage pool è usata per
immagazzinare file specifici (per esempio, per
fornire differenti livelli di servizio a diversi
utenti o applicazioni), è poi possibile associare
una cartella su un volume di Xsan, con uno
degli storage pool che compongono il volume.
Grazie a questa impostazione è possibile
aggiungere, in qualunque momento, nuovi
volumi a una SAN e anche aggiungere spazio
libero a un volume Xsan senza alcuna interruzione per gli utenti o le applicazioni che si
appoggiano su quel volume. Per fare ciò vi
sono due modi possibili: aggiungere sistemi
Xserve RAID (nuove LUN) agli storage pool
esistenti oppure nuovi storage pool ai volumi.
Il primo metodo richiede di smontare e
rimontare il volume sui client; il secondo consente di aggiungere spazio senza che gli utenti
notino alcun cambiamento, a parte la vantaggiosa disponibilità di più spazio nei volumi che
utilizzano.
• L’architettura di una rete Xsan
Da un punto di vista architetturale, una SAN
basata su Xsan prevede la presenza di almeno
un sistema (Xserve o Xserve G5) che operi
come controller, con il compito di gestire i
metadati dei volumi presenti sulla SAN, mantenere un file system journal e controllare
l’accesso contemporaneo ai file condivisi. In
particolare, va ricordato che i metadati non
sono altro che informazioni relative ai dati
stessi, come la collocazione fisica dei file a cui
si vuole accedere o le porzione di storage disponibile allocata per i nuovi file.
Per far fronte a esigenze di alta disponibilità è
possibile prevedere un controller ridondante
all’interno di una SAN; poiché i controller
possono anche operare come client, è possibile utilizzare il controller di standby come
client operativo fino a quando è attivo il controller primario. Quando si inserisce un nuovo
computer sulla Xsan è, dunque, necessario
definire se la macchina verrà utilizzata come
client, come controller o in entrambi le modalità.
Questa impostazione prevede la presenza di
un’infrastruttura di connessione basata su tecnologia Ethernet e Fibre Channel e Xsan utilizza queste due tipologie di rete in modo indipendente, per connettere tra loro dispositivi
storage, controller dei metadati e computer
client. I dati tra l’utente e i sistemi RAID vengono trasferiti attraverso connessioni FC ad
alta velocità, mentre i metadati viaggiano tra
controller e client su Ethernet, in modo da
alleggerire la rete FC da traffico non necessario. Per evitare possibili interferenze tra il trasferimento dei metadati e il restante traffico di
rete è possibile utilizzare due reti Ethernet
separate: una privata per la SAN e l’altra pubblica. L’applicazione Xsan Admin usa anch’essa
la connessione Ethernet per la gestione della
SAN.
Xsan supporta, inoltre, la funzione di Fibre
Channel Multipathing, grazie alla quale è possibile disporre di connessioni FC multiple tra i
client e lo storage. Xsan è in grado di alternare tra le connessioni a ogni azione di lettura/scrittura, oppure può assegnare la LUN di
un volume a una delle connessioni, non appena il volume viene montato.
Il file system Apple supporta i sistemi operativi Mac OS X e Mac OS X Server in versione
10.3, 10.3.5 o successive. Xsan abilita però
anche la creazione di SAN compatibili con i
prodotti di terze parti; se utilizzato congiuntamente al file system StorNext di ADIC, versione 2.4 è, infatti, in grado di supportare i
client Windows (XP, 2003, NT e 2000), AIX,
IRIX, Linux e Solaris. Tra gli switch FC qualificati per operare con Xsan e Xserve RAID vi
sono quelli prodotti da Brocade, QLogic ed
Emulex.
R.F.
45
Server e Storage
Una nuova linea di server
a 64 bit in casa Dell
Il rilascio di piattaforme biprocessore a 64 bit rafforza la strategia di Dell
nel consolidamento dell’IT e nello scale-out delle infrastrutture
D
Gli elementi base del
modello Dell
ell ha annunciato il rilascio di quattro
nuovi modelli a due processori a 64
bit nella sua linea PowerEdge.
Questo annuncio è un’ulteriore risposta, da
parte di Dell, alle esigenze del mercato, che
richiedono di essere sempre più tempestivi
nel rilasciare nuove tecnologie, che però
devono essere caratterizzate da un prezzo contenuto e alla portata anche
delle aziende di fascia mediopiccola.
Nel rilasciare la sua nuova
linea di prodotti server,
Bruno Mendolia, Enterprise
Brand Manager di Dell Italia, ha dichiarato che la
società mantiene inalterata
la propria strategia di
approccio al mercato
secondo un modello
diretto, che l’ha portata in otto
anni a una posizione di assoluto rilievo sia sul
mercato nazionale sia su quello internazionale
Europa compresa.
• Caratteristiche adatte per una
strategia di scale-out
Le caratteristiche dei nuovi server confermano quella che è una delle pietre miliari della
sua strategia evolutiva, lo scale-out, che Dell
sta perseguendo già da alcuni anni,
Nella vision della multinazionale di origine statunitense la strategia di scale out significa
aggregare più server visti come building block
elementari, quando le esigenze di storage, di
performance e/o quelle applicative lo richiedono.
46
Server e Storage
Un approccio basato sullo scale-out presenta,
in effetti, diversi vantaggi. Innanzitutto per
quanto concerne la disponibilità di un sistema:
perché nel caso di guasto di una delle componenti di un sistema le altre possono supplire e
fornire un degrado delle prestazioni estremamente lineare. Poi in termini di flessibilità, perché si ha la possibilità di allocare o riallocare
le risorse in modo dinamico e in funzione
della tipologia di business, che può variare
ciclicamente anche all’interno di brevi periodi.
Va osservato che la strategia di Dell non appare fine a se stante, perché risulta essere del
tutto congruente con la strategia che si vede
sempre più seguita anche dai principali software vendor.
Un approccio modulare nello sviluppo di
applicazioni, e che trova nelle piattaforme di
Dell un ambiente adatto, è ad esempio alla
base di sviluppi sia in casa di colossi del software come Microsoft che Oracle e SAP. Tutte
società, ma non le uniche, che stanno scrivendo il proprio software avendo in mente proprio un approccio modulare.
L’interesse da parte di hardware e software
vendor per lo scale-out non è però fine a se
stante. L’approccio, infatti, permette di ridurre
consistentemente il costo di implementazione
di una soluzione, con il risultato di rendere
disponibile soluzioni di informatizzazione
aziendale di fascia alta (dal CRM al datawarehousing, eccetera) anche a società della fascia
delle PMI, sino ad ora generalmente escluse da
tali benefici.
Un altro ambito dove è possibile ottenere
concreti
vantaggi
in
termini
di
performance/costo è poi l’ambito universita-
rio, dove cluster HPCC permettono di ottenere concreti e rapidi benefici.
• Una strategia a biprocessore
I quattro nuovi server annunciati da Dell, di
cui due in formato rack (i modelli PowerEdge
1850 e 2850) e due in versione tower (i
modelli PowerEdge 1800 e 2800), sono a standard industriale, basati su processore Intel a
64 bit e a due processori, un equipaggiamento
che le analisi di mercato indicano come quella
più richiesta dagli utilizzatori.
In particolare, per quanto concerne specificatamente il mercato italiano, la percentuale, ha
confermato Bruno Mendolia, è superiore al
90-95%.
I quattro server condividono la stessa componentistica di base. I vantaggi che da questo
approccio derivano sono sostanziali, perché
ciò permette di disporre di una forte stabilità
delle soluzioni ed una comunanza nell’utilizzo
dei diversi prodotti. Condividendo le stesse
tecnologie abilitanti diventa infatti possibile
creare un’immagine su un server e replicarla
poi su modelli di tipologia diversa, cosa che
pone in condizione di ridurre consistentemente i tempi nonchè i costi di manutenzione
e di upgrade.
Va considerato, infatti, che il problema dei
costi è uno dei punti dolenti della realtà IT,
anche se non solo italiana. In una sua recente
analisi IDC ha infatti evidenziato come, nella
realtà italiana, il 95% del budget viene dedicato alle attività di manutenzione e all’aggiornamento e solo il 5% a nuovi progetti informatici.
Lo scale-out è visto quindi non solo in chiave
strategica ma anche come un approccio tattico che permette di risparmiare sui costi fissi e
spostare gli investimenti su nuovi progetti.
• Una migrazione soft
delle applicazioni
modalità nativa, oltre che, ovviamente, nuove
applicazioni a 64 bit. E’ quindi una piattaforma
utilizzabile come soluzione ponte tra le applicazioni a 32 e a 64 bit.
La possibilità di supporto contemporaneo
delle due tipologie di applicazioni risponde ad
una realtà oggettiva che vede ancora il 64 bit
principalmente usato in ambito di calcolo tecnico/scientifico ma molto meno in ambito
produttivo, dove si è sostanzialmente alla fase
di test.
In pratica, quello che Dell rende possibile ai
suoi clienti è quello di adottare una piattaforma scalabile e biprocessore che permette di
far girare sia le applicazioni a 32 bit esistenti
che avviare sessioni di sviluppo e test di nuove
applicazioni a 64 bit in previsione di una
migrazione indolore.
G.S.
Le caratteristiche dei nuovi server
I nuovi modelli a doppio processore PowerEdge 1800, 1850, 2800 e 2850
adottano processori Intel Xeon con Extended Memory 64-bit Technology
(EM64T).
Le altre novità delle piattaforme includono poi la tecnologia di I/O PCI
Express, che, secondo dati di targa, è caratterizzata da un throughput
quadruplo rispetto alle tecnologie precedenti; il chipset Intel 7520, con un
front side bus da 800 MHz che ne aumenta del 50 per cento il throughput; una memoria DDR-2 con una densità doppia rispetto alle soluzioni
di generazione precedente. Considerazione a parte merita invece l’inserzione sui server di controller di gestione integrati standard, che, nella strategia di Dell, sono dichiaratamente volti a permettere la riduzione dei
costi di gestione di Data Center. In questa ottica Dell ha ulteriormente
standardizzato la gestione remota dei server con una nuova versione del
software di management OpenManage 4.
OpenManage 4 lavora utilizzando lo standard IPMI e permette agli utenti di controllare remotamente i server attraverso un software di gestione
di propria scelta e una scheda opzionale Dell Remote Access Card.
I nuovi server sono disponibili con piattaforme Microsoft Windows Server
2003 (32-bit edition) e Red Hat Enterprise Linux 3.0 (32/64-bit edition)
pre-installati.
I nuovi server della famiglia
PowerEdge
Un ulteriore aspetto che caratterizza i nuovi
server di Dell è quello di essere sì a 64 bit, ma
ancora di più lo è il fatto che è possibile far
girare le applicazioni esistenti a 32 bit in
47
Server e Storage
Nuove soluzioni NAS low cost
da EMC
La società ha espanso la sua linea Celerra per applicazioni di Network
Server e di Gateway in reti NAS. Punti salienti, iSCSI e alte prestazioni
E
MC ha annunciato in Agosto il rilascio
di nuovi modelli a più basso costo che
espandono ulteriormente la gamma
dei suoi sistemi della serie Celerra per soluzioni di mid-tier nell’ambito di reti NAS, un
miglioramento delle modalità di interconnessione tramite l’adozione della recente tecnologia iSCSI ed un incremento anche delle funzionalità di management.
L’obiettivo evidente postosi da EMC, con questo ulteriore annuncio nel corso del 2004 inerente l’evoluzione delle sue piattaforme NAS,
appare essere quello di estendere la sua già
molto ampia famiglia di prodotti NAS rendendole accessibili anche ad utenti di fascia
medio.
• iSCSI per uno storage su IP
Il Celerra NS500 di EMC
48
Server e Storage
Di particolare valenza è l’adozione di iSCSI,
una tecnologia su cui stanno puntando diversi
tra i produttori primari di soluzioni IT ma che
solo da poco appare realmente concretizzata
in soluzioni e prodotti. La sua adozione è però
la condizione sine qua non per
poter disporre di piattaforme a
basso costo, da poter utilizzare in
reti IP, invece di dover necessariamente adottare tecnologie fibre
channel, più costose e che richiedono un know how specifico per
la loro gestione nonché costi di
implementazione nettamente più elevati di
una rete IP.
Peraltro, il nuovo network server Celerra
NS500 è una soluzione versatile che è disponibile sia in una configurazione di storage integrata che in configurazione gateway verso
SAN. Va osservato poi che l’altro prodotto
annunciato, il nuovo gateaway NAS Celerra
NS704G è ora caratterizzato, ha osservato
EMC, da una livello di affidabilità e di performance a standard industriale che lo rendono
particolarmente adatto per applicazioni NAS
di mid-tier.
Le novità in casa EMC non si limitano però a
questo. La società ha anche annunciato una
nuova versione del suo ambiente operativo
DART, incluso della edizione basic del Celerra
Manager nonché il supporto di iSCSI, con certificazione Microsoft per Exchange 2000 e
Exchange 2003.. Quello che si evidenzia nella
strategia EMC è che tramite il supporto di
iSCSI la soluzione Celerra viene a costituire
una piattaforma di storage di classe “all in
one” che può permettere ad un utilizzatore di
realizzare politiche di consolidamento sia della
componente server che storage in un’unica
piattaforma gestibile centralmente. EMC ha
osservato in proposito che il suo approccio è
consistente con le strategie aziendali indirizzate ad abbassare il TCO dell’infrastruttura IT facendo leva sugli
investimenti di rete già esistenti.
Tra le funzioni che caratterizzano
in chiave innovativa le soluzioni vi
è la possibilità di visualizzare “at a
glance” lo stato del sistema e di
monitorizzarne il grado di funzionamento, con la conseguente possibilità di
identificare in modo più immediato eventuali
problemi di performance.
La visualizzazione di tipo immediato dello stato
del sistema comprende, tra le altre, informazioni sul livello di utilizzo di memoria e CPU,
dati sul throughput e performance di sistema,
il numero delle connessioni di rete attive nonchè informazioni sui file aperti. Un ulteriore
livello di intervento nel restore dei file deriva
poi dalla possibilità di integrazione con Microsoft Volume Shadows Copy Services (VSS).
• Caratteristiche e ambienti
di utilizzo
Il Celerra NS500/500G, disponibile sia come
gateway verso SAN che integrato, prevede un
equipaggiamento con uno o due data mover. Il
passaggio da un data mover a due può essere
realizzato con il sistema on line e permette di
arrivare a disporre di sino a 15 unità disco.
La disponibilità di due data mover apre poi la
strada ad un loro utilizzo secondo due diverse modalità, una in cui entrambi operano
come sottosistemi primari, la seconda in cui
uno dei data mover funziona da primario e il
secondo è in standby e pronto per il fail-over
automatico in caso di malfunzionamento del
primario.
La continuità operativa è poi assicurata anche
da una ridondanza di tipo N+1 delle unità di
alimentazione e da due processori dedicati
alla gestione dello storage.
Come oramai comune nei suoi approcci, EMC
anche per questo modello ha previsto la possibilità di upgrade verso l’alto, che permette di
far evolvere il modello NS500 verso il Celerra NS700 e il Celerra 740G. Nella versione di
entry level equipaggiata con un singolo data
mover il prodotto, che è già disponibile, equipaggia 1 TB di storage e le applicazioni CIFS e
SnapSure.
Il Celerra NS704G è invece una soluzione che
permette a chi ha installato i modelli Celerra
NS500G/NS700G un percorso di migrazione
verso una soluzione a maggiori performance e
con caratteristiche avanzate di clustering in
configurazioni ridondate N+1.
L’NS704G è disponibile con sino a 4 datamover, organizzabili in configurazione 3+1 per
disporre di un backup con failover automatico. Elevate le caratteristiche. I dati di targa
indicano in più di 100.000 al secondo le ope-
NAS Gateway per integrare SAN e NAS
Le soluzioni NAS hanno permesso di realizzare politiche di storage distribuito in ambienti IP. Non hanno però risolto il problema del consolidamento dello storage perché sovente ci si è trovati con due reti, quella
NAS/IP e SAN/FC non comunicanti, ognuna con i suoi server e le sue unità
di storage. I NAS Gateway abbattono questa separazione e permettono di
creare un unico insieme in cui lo storage sia su SAN che NAS può essere
condiviso dagli utilizzatori
Per far questo la famiglia di NAS Gateway sviluppata da EMC dispone sia
di interfaccia IP/Ethernet/iSCSI che Fibre Channel ed è una soluzione che
permette di consolidare lo storage aziendale mediante l’adozione delle
piattaforme storage Clariion e Simmetrix.
I NAS Gateway di
EMC mettono in
comune in modalità
trasparente sia lo
storage su rete IP che
su FC
razioni a livello di NFS che è in grado di supportare.
• Nuove funzionalità e DART V5.3
Le due soluzioni adottano la release 5.3 del
sistema operativo DART di EMC. Rispetto alla
versione precedente EMC ha aggiunto una
interfaccia GUI alla funzione SnapSure per
schedulare in modo facilitato gli snapshot,
strumenti per una immediata visibilità delle
statistiche e l’integrazione a livello client con
Microsoft VSS, che apre la strada al recovery di
file modificati o cancellati mediante l’uso del
concetto di “previous version” nell’applicazione client.
L’aggiornamento delle funzioni si è indirizzato
anche verso un miglioramento del TCO tramite la possibilità di automatizzare lo storage. Il
Celerra FileMover presente sui sistemi permette infatti di migliorare le modalità di utilizzo dello storage permettendo di definire delle
policy per far migrare automaticamente dei file
su differenti livelli di storage, un concetto questo che è in linea con l’approccio ILM, uno degli
elementi di base delle soluzioni EMC.
G.S.
49
Server e Storage
L’IT per un nuovo ruolo
della banca
L’evoluzione delle tecnologie e la comunicazione multicanale rafforzano il
ruolo della filiale bancaria
C
omplice la forte evoluzione tecnologica anche quello che si è sempre
presentato come un elemento statico del mondo bancario, la filiale, sta cambiando profondamente ed assumendo un nuovo
ruolo.
L’interesse per l’innovazione in questo settore
è duplice. Le Banche perché vi vedono un
modo per snellire e fidelizzare il rapporto con
i clienti e razionalizzare i costi, i fornitori IT
perché è un settore, quello bancario, che investe in tecnologie miliardi di euro all’anno. A
questi livelli di spesa, il solo consolidamento
delle diverse tipologie di reti (di sportello,
Atm, allarmi, Fonia, eccetera) su una sola rete
IP può avere benefici notevoli in termine di
ROI per ciò che concerne l’ICT.
Quello che viene però ritenuto molto importante dai principali fornitori di tecnologie IT,
sia in chiave evolutiva che di nuovi servizi erogabili è la disponibilità di reti a larga banda.
Queste non solo permettono di vedere in
chiave diversa le caratteristiche prestazionali e
architetturale della rete bancaria ma anche il
rapporto con il cliente, rendendo possibile e
accelerando quella migrazione verso la multicanalità che è vista come uno strumento di
razionalizzazione dei rapporti tra il cliente
stesso e la propria filiale di riferimento.
La larga banda apre però anche la possibilità di
ridefinire il ruolo del data center. Le evoluzioni che si intravedono sono in tal senso di due
tipi. Innanzitutto diventa possibile ricentralizzare funzioni e informazioni che si era stati
costretti a decentrare perché, a causa della
loro mole, era impossibile renderle disponibili
a livello di filiale in tempi congrui con le appli-
50
Server e Storage
cazioni. In secondo il data center può migrare
da una mera logica centralizzata a livello fisico
in una struttura distribuita sul territorio dove
ad una visione logica a livello di sistema si contrappone una realtà fisica distribuita in grado di
far fronte ad esigenze di continuità operativa,
specializzazione territoriale o attività di fusione/incorporazione di altre realtà bancarie.
• Il ruolo della filiale
La filiale, come elemento di erogazione di
nuove funzioni bancarie e di interazione multicanale con il cliente si prefigura, quindi, come
il principale campo di battaglia del futuro
prossimo ma, in quanto tale deve trasformarsi, secondo Datamonitor, in un effettivo strumento di vendita. La necessità di una trasformazione è rimarcata anche da Gartner, secondo la quale le banche devono essere pronte a
trasformarsi in “azienda estesa“ sul modello
che è stato già adottato da aziende dell’industria e evolvere verso un’architettura IT
orientata al servizio più che alla transazione.
Ovviamente ciò richiede infrastrutture IT
estremamente flessibili e una nuova organizzazione del lavoro che, se è facile da dire per
Gartner, lo è molto meno da attuare.
La cosa comunque appurata è che il cliente si
aspetta flessibilità e la possibilità di accedere ai
servizi con gli strumenti che è abituato a
maneggiare tutti i giorni in ufficio o nel proprio ambito domestico.
Se infatti sino a una decina d’anni fa la filiale di
una banca appariva come un concentrato di
tecnologie (rete, PC, Server, Atm, eccetera)
che si contrapponeva al mero televisore
domestico e al telefono fisso, ora la realtà
vede una situazione sostanzialmente invariata
per ciò che riguarda la filiale, ma contrapposta
ad una realtà aziendale o domestica dove non
è raro trovare PC, Palmari, telefonini fissi e
mobili, TV satellitare, connessione Internet a
larga banda, eccetera. n breve, si è creata una
situazione inversa e un gap per certi aspetti
sconcertante visto il breve arco di tempo in
cui si è verificato.
Se colmare il gap non appare facile né immediato, pur tuttavia è sempre più un obiettivo
che il sistema banca vede obbligato. Il problema è il come e dove realizzare questo cambiamenti e in tal senso la filiale appare come il
punto più interessante, anche perché, dopo un
periodo in cui si preconizzava la sparizione
della filiale, la trasformazione in virtuale della
filiale stessa, eccetera, si sta riscoprendo l’importanza del rapporto diretto. In questo va
osservato che un ruolo non trascurabile lo
gioca anche il fatto che tra i nuovi servizi su
cui le banche puntano, vi è quello di consulente finanziario, un ruolo che è praticamente
obbligato condurre vis a vis con il cliente.
Il ruolo della flessibilità per la banca del futuro è quindi di estrema importanza e copre
diversi aspetti. Tecnologico, perché l’infrastruttura ICT deve essere in grado di far fronte alla
rapidità con cui cambiano le tecnologie disponibili per l’utilizzatore sia quando si trova in
azienda che nell’ambito domestico. Architetturale, perché nonostante si pensi che in Italia le
banche si siano già concentrate abbastanza il
processo appare solo agli inizi. Applicativa,
perché si affermerà sempre più una logica di
servizio in cui sarà necessario essere in grado
di inserire soluzioni aperte.
Strategico nel mettere in grado di affrontare
queste evoluzioni appare la realizzazione di un
modello di business che renda possibile disaccoppiare unità organizzative e catena del valore, e articolare in modo flessibile il portafoglio
dei servizi.
• Cosa suggeriscono gli analisti
In cosa si traducono l’evoluzione tecnologia e
le nuove esigenze del cliente quando il tutto è
visto dal punto di vista di una banca e della sua
realtà IT?
Gartner suggerisce in primis di investire in
nuove tecnologie soprattutto a livello di filiale,
dove immediata è la percezione di un cambiamento da parte del cliente e quindi il ritorno
anche di immagine aziendale.
Peraltro, ritiene che saranno i principali gruppi bancari che definiranno le nuove modalità
standard per il settore ma, oltre a questo, che
per certi aspetti appare scontato e mutua
quanto avviene in numerosi settori industriali,
quello che appare un punto di rottura verso il
passato è che la filiale dovrebbe puntare sulla
multicanalità nell’erogazione di servizi alla
clientela.
Una seconda evoluzione suggerita da Gartner
è di usare servizi Web per permettere il collegamento al sistema IT. Ovviamente questo
presume la disponibilità di infrastrutture sicure e altrettanto sicuri sistemi di validazione
della clientela.
Un terzo elemento consiste nel prepararsi a
far fronte ad una rapida crescita dell’outsourcing, perché, secondo Gartner, società specializzate sono in grado di sviluppare servizi più
rapidamente ed erogarli con una miglior qualità. Predisposizione che richiede però aver
fatto evolvere la propria infrastruttura IT in
modo che sia orientata al servizio.
La realtà IT del mondo bancario appare quindi all’inizio di una grande trasformazione sia
per ciò che concerne la realtà interna che,
soprattutto, l’interazione con il cliente. Multicanalità e servizi sono i due elementi che si
prospettano come basilari in questa evoluzione.
G.S.
I cambiamenti in atto nel
settore bancario (fonte
Bain&Co)
51
Server e Storage
Il recovery dei dati diventa
intercontinentale
Fujitsu Siemens Computers realizza, in collaborazione con EMC,
una soluzione per le esigenze di disaster recovery più severe
E
venti quali i
black-out
verificatisi in
USA e in Europa (Italia compresa) o eventi connessi a fenomeni naturali hanno
posto il problema di
come realizzare soluzioni di disaster recovery per i Data Center che siano, a livello
geografico, sufficientemente ampie da non far correre il rischio di
trovarsi con la sede principale e la secondaria
contemporaneamente fuori servizio.
In breve, l’esigenza di una strategia di disaster
recovery è assodata, così come lo è il fatto
che si debba adottare un’architettura di centri
di calcolo e di storage basati su cluster, interconnessi geograficamente.
Il problema è quanto geografica deve essere la
distribuzione per avere il massimo delle garanzie e quale modalità di replica adottare per
contenere il costo della banda trasmissiva.
• Una soluzione asincrona
ad alta capacità
Una risposta praticabile, innovativa nelle sue
caratteristiche di base, la si trova in una soluzione realizzata da Fujitsu-Siemens Computers la quale, in collaborazione con EMC, ha
presentato un’infrastruttura di disaster recovery operante su scala intercontinentale, utilizzando reti di comunicazione dedicate con
una larghezza di banda ottimizzata sviluppata
mediante piattaforme hardware e applicazioni
52
Server e Storage
per la gestione del backup entrambe di tipo
standard.
Fare di più, in termine di dispersione geografica, appare al momento difficile da ipotizzare.
L’applicazione sviluppata gestisce i link di
comunicazione e i dispositivi di storage all’interno di uno scenario di fail-over che prevede
l’individuazione di malfunzionamenti ed il
ripristino dei dati per modalità operative sia di
tipo SRDF sincrono che SRDF/A asincrono
(vedere riquadro).
La soluzione gestisce automaticamente gli host,
le connessioni FC, i link di comunicazione geografica e i malfunzionamenti dello storage ed ha
l’obiettivo di minimizzare il tempo necessario
per lo switch-over in caso di guasto.
• Ambiente distribuito e alta
affidabilità per mainframe
Nel suo genere, ha affermato Fujitsu Siemens
Computers, la realizzazione è la prima a sperimentare il recovery remoto dei dati di un’applicazione SAP, facendo notare che altre soluzioni sviluppate hanno sino ad ora interessato
il mero spostamento di copie point-in-time di
dati su distanze estese. Sviluppata congiuntamente con EMC, la soluzione è commercializzata e supportata da entrambe le società e
EMC la offrirà nella modalità SRDF/A sia
direttamente che tramite partner,
E’ poi prevista la possibilità di supportare
array di storage multipli in ambito mainframe
già a partire dal prossimo anno, seguito subito
dopo dal supporto di ambienti Open System.
Un aspetto che evidenzia Fujitsu Siemens
Computers è che un approccio di tipo
SRDF/A asincrono non garantisce in assoluto
la mancanza di perdita dei dati. Del resto la
sincronia tra i dati richiede dei tempi di latenza molto bassi (impossibili da ottenere su tratte intercontinentali) e comunque richiederebbe un costo molto elevato per l’uso di dorsali ad alta velocità.
Ciononostante, per alcune applicazioni il notevole risparmio sul costo delle linee può rendere accettabile un comunque limitatissimo
tasso di perdita.
Nel caso si voglia l’assoluta garanzia nella correttezza dei dati, e cioè una “zero data exposure”, è comunque possibile usare una modalità di tipo SRDF/AR (Automated Replication).
Va osservato che al momento la modalità sperimentata e disponibile per la suite PRIMECLUSTER ed i Clariion è quella SRDF/A ma,
come accennato, è già prevista anche quella
SRDF/AR.
• Dal sincrono all’asincrono
Anche se spesso si sente parlare di back-up
remoto, il tutto è reso nebuloso dal fatto che
spesso ci si riferisce a modalità operative
molto diverse. Ad esempio, quando si parla di
copie point-in-time si ha a che fare con una
singola copia dei dati inviata in rete all’entità
remota. Ciò non è sempre quello che desidera l’utilizzatore che vede decisamente meglio
una soluzione in cui i dati da salvare sono
replicati in modo continuo tramite un invio
ininterrotto al sito remoto, che è quello che
viene fatto con le modalità SRDF e SRDF/A.
L’adozione di un approccio asincrono
presenta diversi aspetti di interesse.
Uno tra questi è la distanza geografica
che separa il sito principale e quello di
replica remota. Mentre con la tecnica
asincrona questa distanza è virtualmente illimitata, con la tecnica sincrona
è generalmente limitata al centinaio di
chilometri, perché presenta fenomeni
di latenza che aumentano con il crescere della distanza. Con la tecnica
asincrona invece, questo non avviene e nei
test realizzati non si sono evidenziati, ha affermato Fujitsu Siemens Computers, apprezzabi-
li riduzioni delle performance. Un secondo
elemento è il fattore costo. Premesso che ogni
ambiente aziendale ha sue specificità, i test
condotti hanno permesso di rilevare che in
generale la tecnica asincrona richiede una
capacità di banda che è la metà o meno di
quella sincrona di prodotti come SRDF; tutto
ciò ovviamente si traduce in un notevole
risparmio economico.
G.S.
Gli elementi chiave della soluzione di recovery
remoto
PRIMECLUSTER: è una piattaforma sviluppata da Fujitsu Siemens Computers che comprende un set molto ampio di funzionalità e, nell’insieme,
rappresenta una soluzione fortemente scalabile ad alta disponibilità per
l’intero spettro di applicazioni aziendali. Tra le funzioni erogate, la gestione
automatica del fail-over a livello di cluster, la gestione dei dati in ambienti
cluster, la protezione da errori, wizard che semplificano lo sviluppo di applicazioni, il supporto per database paralleli ed una distribuzione automatica del carico. La piattaforma è ampiamente utilizzata per applicazioni in
abbinamento a soluzioni storage di EMC e applicazioni SAP.
SRDF/A (Symmetrix Remote Data Facility/Asynchronous): è una
tecnica di replicazione di tipo asincrono adatta sia per ambienti mainframe che Open System che permette di disporre di una copia remota
immediatamente riutilizzabile indipendentemente dalla distanza. Rispetto alle tecniche asincrone tradizionali adotta un’architettura basata su
cache denominata Delta Sets, che prevede la collezione, residente su
cache, di operazioni di Write realizzate in un predefinito intervallo di
tempo. Nelle modalità asincrone tradizionali ogni Write è infatti trattata
in modo discreto, sequenzializzata ed inviata in linea. Con Delta Sets,
invece, i dati della cache possono essere riscritti ed inviati al sito remoto
solo nella loro versione definitiva. L’utilizzo di una cache permette anche
di gestire picchi di carico, aprendo l’adozione di una banda dimensionata
sui valori di traffico medio e non di punta.
La soluzione di disaster recovery realizzata da Fujitsu Siemens Computers
ed EMC con i suoi componenti principali
53
Server e Storage
Due vie complementari
per la razionalizzazione dei dati
L’utilizzo di infrastrutture FC e IP si dimostra adatto ad ambienti
di diverso livello nel consolidamento delle SAN
U
no dei trend che, da tempo, alimenta
un mercato IT che ancora stenta a
riprendersi da un periodo difficile, è
quello delle soluzioni rivolte al consolidamento delle risorse informatiche. La crescita dei
dati da organizzare e gestire e la necessità di
essere sempre più competitivi si scontra con
l’aumento della complessità gestionale, che gli
amministratori IT si trovano, spesso, ad affrontare con un numero di risorse in diminuzione
e la contemporanea richiesta di aumento di
prestazioni ed efficienza. In base a questi presupposti, adottare pratiche di razionalizzazione delle risorse rappresenta una risposta
obbligata per ridurre il carico gestionale e
recuperare efficienza e produttività. È un processo iniziato con il consolidamento dei server ed estesosi progressivamente ad altri
ambiti tra cui lo storage. Il consolidamento
delle risorse per la memorizzazione ha l’obiettivo di migliorare la disponibilità dei dati e
incrementare la loro usufruibilità, attraverso
una semplificazione gestionale e una maggiore
condivisione delle informazioni.
• Il primo passo è portare
lo storage in rete
Un processo di consolidamento dello storage
parte dalla migrazione in rete delle risorse di
memorizzazione ancora connesse direttamente al server, ovvero il cosiddetto Direct Attached Storage (o DAS) che rappresenta ancora
una percentuale significativa (se non predominante) della capacità installata. Questo tipo di
storage ha, infatti, limitazioni intrinseche, che
non consentono la condivisione dei dati, limitano la scalabilità e presentano problemi in
54
Server e Storage
relazione a capacità e prestazioni. L’utilizzo di
una Storage Area Network (SAN) permette di
operare con applicazioni di qualunque tipo,
utilizzando una gestione dei dati di tipo centralizzato e “server-based”; consente la condivisione di risorse, ma non quella dei dati (fatta
eccezione per il clustering). I sistemi NAS,d’altra parte, rappresentano un metodo di consolidamento con una gestione “storage-based”,
che abilita la condivisione dei dati, ma consente di operare solo con applicazioni qualificate.
Per queste ragioni lo scenario che si è andato
delineando con il tempo è quello di una condivisione di topologie all’interno della stessa
infrastruttura.
Tra le aziende di dimensione più grande e nell’ambito dei data center primari lo storage
consolidation ha imboccato la strada delle
SAN basate su Fibre Channel, mentre all’esterno di questi due ambiti, la ricerca di soluzioni più economiche e meno problematiche
da un punto di vista dell’interoperabilità (vera
o percepita) ha lasciato spazio allo storage
networking basato su IP.
Quest’ultima opzione si sta progressivamente
affermando grazie alla promessa di poter
estendere i benefici dello storage consolidation ottenibili in una SAN verso ambienti più
ampi e a costi inferiori rispetto a un’infrastruttura Fibre Channel.
La maggior parte dei dati aziendali risiede,
infatti, in zone esterne al data center primario,
ovvero in data center dipartimentali o in
strutture remote. In questi ambienti caratterizzati da server di basso o medio livello dotati di storage DAS, consolidare lo storage su
una rete IP può rappresentare un’opzione
economica, gestibile facilmente e da una
postazione centralizzata, in grado di soddisfare le esigenze di memorizzazione. Grazie alla
progressivo sviluppo delle soluzioni basate su
IP, questo processo può inoltre avvenire,
anche su ambienti di livello inferiore, mantenendo una serie di funzionalità per lo storage
networking di livello avanzato in precedenza
disponibili solo in ambienti high end, quali, per
esempio, funzioni snapshot, mirroring o disaster recovery.
Nell’ambito dei dispositivi storage gli aspetti
discriminanti sono legati essenzialmente alle
funzionalità sofisticate e di gestione che caratterizzano i sistemi FC e che, tuttavia, progressivamente vengono introdotte anche sui sistemi IP. In sostanza, IP sta dimostrandosi sempre più interessante in situazioni in cui esigenze di costi contenuti si allineano a richieste di
prestazioni di livello intermedio.
Esempio di connessione
tra una SAN FC e una
SAN basata su IP
• IP o Fibre Channel?
Una SAN basata su IP è sostanzialmente costituita da server che supportano iSCSI, uno
switch Gigabit Ethernet (al posto di uno FC) e
un dispositivo di storage nativo iSCSI.
Il consolidamento su IP coinvolge gli aspetti
dell’infrastruttura di rete, dei server e dei
sistemi di memorizzazione. Le differenze tra
una SAN basata su FC e una che utilizza iSCSI,
da una prospettiva dell’infrastruttura di rete,
sono sia di tipo tecnologico sia di mercato. Per
quanto riguarda la velocità dei link, per esempio, FC nella sua versione tradizionale raggiunge 2 Gbps, mentre l’opzione a 4 Gbps ha
ancora costi molto elevati; su IP, invece, la tecnologia Gigabit Ethernet ha portato tale velocità a 10 Gbps. Anche a livello di connessioni
wire speed IP vince in velocità, con un massimo di 1.240 Mbps rispetto ai 400 Mbps raggiungibili con FC. La distanza rappresenta un
altro elemento differenziante: per FC è limitata a livello metropolitano, mentre praticamente illimitata per IP.
Fibre Channel si avvantaggia, tuttavia, di un
vasto (e importantissimo, in questi ambiti)
supporto da parte dei vendor e di un’ampia
base installata soprattutto nei data center di
alto livello.
A livello di server il campo di battaglia è principalmente sui costi e riguarda il prezzo per
porta, la disponibilità nativa di soluzioni adatte
a una o all’altra tecnologia di trasporto, la possibilità di adottare anche iniziatori software da
parte di iSCSI (meno performanti), i costi di
manutenzione e il know how richiesto.
Grazie all’avvento dei protocolli FCIP e iFCP è
possibile pensare anche a un consolidamento
di isole storage distribuite geograficamente
mediante IP. Il protocollo FCIP provvede, infatti, a incapsulare i frame FC in segmenti TCP
per il loro trasporto su IP, mentre il protocollo iFCP (Internet Fibre Channel Protocol)
consente la duplicazione delle funzionalità di
fabric Fibre Channel in dispositivi direttamente connessi a una rete IP.
Le due reti possono essere considerate come
complementari. La connessione tra una SAN
FC e una IP SAN è possibile, utilizzando come
bridge opportuni router multiprotocollo. In
queste situazioni di coesistenza le applicazioni
con richieste di prestazioni elevate possono
essere indirizzate verso server e dispositivi
storage connessi all’interno di una rete FC,
mentre le restanti essere supportate da una
SAN basata su IP. Una suddivisione di questo
tipo può risultare da processi di consolidamento in cui si ritiene necessario segmentare
l’allocazione e gestione del dato, in linea con
una visione moderna della gestione del ciclo di
vita delle informazioni.
R.F.
55
Server e Storage
Il RISS di HP per il grid storage
La tecnologia Grid per l'archiviazione documenti, una versione potenziata
di XP con 1152 dischi per l’enterprise e una nuova NAS entry level
A
ver sostituito alla carta stampata i bit
può rivelarsi per le aziende una vittoria di Pirro. La moltiplicazione delle
mail che si osserva, verrebbe da affermare,
trova un parallelo solo in una ben nota parabola.
Nel momento in cui si è dato a tutti i dipendenti di un'azienda un indirizzo di mail si è
aperto un vaso di pandora di cui al momento
non si sono ben identificati i rischi. Il risultato
è sotto gli occhi di qualsiasi IT manager. Virtualmente, anche in un'azienda di medie
dimensioni, ci si trova con centinaia di migliaia
di documenti da archiviare ogni anno, da rintracciare quando servono e da conservare per
esigenze future o di legge.
• Una soluzione RISS per la media
impresa
Posto il problema non sempre è facile dare
una risposta, perché devono essere mature le
tecnologie e accettabili dal mercato le caratteristiche ed i costi delle soluzioni proposte.
Va osservato che sul mercato esistono da
tempo soluzioni classiche costituite da sistemi
di storage di grosse dimensioni, ridondati e
affidabili. Ma in pratica ristrette ad una fascia di
aziende di classe enterprise che non è proprio
quella caratteristica della realtà italiana, costituita da un nutrito strato di medie aziende. Se
si esaminano le esigenze di questa fascia quello che emerge è sì la necessità di soluzioni
sicure, ma che devono anche essere caratterizzate da un entry level praticabile, poter crescere in modo lineare ed essere (accettabilmente) facili da gestire.
Ma, viene da chiedersi, esistono queste soluzioni? Una risposta, in effetti, è stata data da
HP con il suo recente rilascio della piattafor-
56
Server e Storage
ma RISS (StorageWorks Reference Information Storage System), una soluzione "all-inone" che è in grado di archiviare, indicizzare e
recuperare rapidamente dati e informazioni.
Se si analizza la soluzione, l'aspetto caratterizzante è che risponde a molte delle istanze
degli utilizzatori di fascia media e si basa sul
concetto di "Storage Grid Architecture".
In pratica, il RISS ripartisce storage, ricerca e
recupero su una serie di nodi di calcolo specifici, riferiti da HP come "smart cell storage”,
che operano indipendentemente in quanto
contengono ognuno sia la capacità di calcolo,
che lo storage e gli indici per effettuare le
ricerche.
Quello che ne deriva immediatamente è che
la soluzione si presenta in modo nativo con
robuste caratteristiche di openess, scalabilità,
integrazione e ridondanza.
La soluzione parte da un entry level di capacità di storage di 1 Terabyte e può essere espansa con la semplice aggiunta di altre smart cell.
Implicito nella soluzione è la linearità delle
prestazioni. Aggiungendo una cella si aggiunge
non solo la capacità di storage ma anche la
necessaria capacità autonoma di calcolo.
Sotto l'aspetto amministrativo dispone poi
delle funzioni atte ad apporre la firma digitale
e la marca temporale ai documenti archiviati al
fine di evitarne manomissioni o cancellazioni.
La gestione delle mail è realizzata tramite un
Reference Management, con una copia delle
mail che entrano e escono dai server Exchange che viene archiviata in un repository e indicizzata per potere effettuare una ricerca veloce secondo svariati criteri.
Un processo simile è realizzato per l'archiviazione dei documenti, che sono anch'essi archiviati in un repository e indicizzati per potere
effettuare, ad esempio, una ricerca basata sui
contenuti.
• XP rinnovato per lo storage
array di fascia alta
Innovativa negli approcci, HP lo è anche nelle
piattaforme già esistenti. Recentissimo è infatti il rinnovo della sua famiglia di storage XP
con XP12000 .
XP12000 espande verso l'alto le prestazioni
della piattaforma di disk array XP 1024, una
famiglia di cui HP ha consegnato oltre 5000
dispositivi per un ammontare complessivo di
più di 36.000 Terabyte di capacità.
Va osservato che XP12000 non è un semplice
armadio contenente supporti di storage ma è
un vero e proprio sistema autonomo che contiene hardware, microcodice, software, soluzioni e servizi che configura, in pratica, una
infrastruttura di storage completa.
Diversi gli elementi di upgrade e le
migliorie apportate
rispetto
all'XP1024. Tra
queste un incremento
consistente della capacità dischi, compreso il supporto
di dispositivi di
storage esterni,
un incremento della banda della cache,
un aumento della larghezza di banda della
memoria condivisa e un aumento della capacità di banda nella connessione ai dischi.
Ne è risultata una piattaforma estremamente
robusta che alloggia nel cabinet centrale sino
a 128 disk drive, i processori, le cache e la logica di controllo. Mediante l’espansione con altri
cabinet gestiti dal cabinet centrale è poi possibile scalare sino a 1152 disk drive complessivi.
Oltre al fatto di poter essere espanso senza
interrompere il funzionamento del sistema, la
sua caratterizzazione per applicazioni nell’ambito di grandi realtà aziendali e di business
continuity è rafforzata anche dalla disponibili-
tà di funzioni di Zero-downtime backup e di
Instant Recovery.
Ad esempio, nel caso si debba procedere al
restore di dati, il restore stesso ed il ritorno
alla normale operatività avviene tramite la tecnica di data mirroring resa disponibile dal software HP di Business Copy e Continuous
Access, che peraltro è integrato con l’applicazione HP OpenView Data Protector backup
management.
In pratica, ha osservato Paolo Votta, Product
marketing manager di HP per il network storage solutions, l’XP 12000 è una soluzione ad
elevate prestazioni ed affidabilità senza singoli
punti di guasto, particolarmente adatto per
applicazioni di fascia enterprise e laddove
serva realizzare una politica di migrazione
automatica dei dati da supporti ad alto costo
quali l’XP12000 a supporti di tipo più economico nell’ambito di strategie
ILM, ad esempio su un
MSA1000 o 1500.
Veramente ampia poi
la casistica di piattaforme di elaborazione
che supporta e che
comprendono HPUX, Windows - W2K,
NT, 2003, Linux - IA2,
Red Hat, OpenVMS,
Mainframe, HP Tru64
Unix, Novell Netware,
IBM AIX, Sun Solaris, SGI
IRIX, Dynix PTX, NCR e, già previsto, anche
soluzioni NonStop.
L’XP12000 per lo storage
di fascia enterprise con
armadio centrale e 4
armadi di espansione
• Un’appliance NAS entry level
HP ha poi espanso verso il basso la sua linea
di soluzioni NAS. Ha infatti aggiunto a prodotti quali il NAS 1500 e 2000, che sono per
inserzione a rack, il modello NAS 500, che
oltre a confermare il ruolo che la società
intende giocare nel settore NAS, ne diventa
l’entry level della linea .
Caratteristica saliente è che la soluzione è di
tipo pedestal e si basa sulla sua ultracollaudata piattaforma Proliant.
G.S.
57
Server e Storage
IBM espande le ambizioni
degli xSeries
Innovazioni tecnologiche e architetturali nell’area dei server Intel,
allontanano il concetto di commodity. Rilasciati i primi modelli XDA
A
due anni dal rilascio dell’architettura
EXA (Enterprise X-Architecture),
Ibm imprime un’accelerazione ai
server xSeries annunciando una gamma di
modelli basati sulla nuova architettura Xtended Design Architecture (XDA), che estende
la X-Architecture a un ambiente a 64 bit distribuito e scalabile. L’architettura resta aderente agli standard industriali, ma inserisce una
serie di novità frutto della competenza tecnologica Ibm e del suo desiderio di rispondere in
modo efficace alle nuove esigenze sorte all’interno del mondo Intel. Con questo passo Ibm
delinea, anche da un punto di vista strategico,
una direzione verso il mondo dei sistemi x86
che rifugge da una visione di questi sistemi
come “commodity”, trasferendo nella gamma
xSeries una serie di innovazioni, funzionalità e
capacità di gestione ispirate ai propri mainframe e supercomputer. I nuovi modelli xSeries
sono stati sviluppati pensando agli ambienti
data center che richiedono affidabilità di tipo
mission critical, massima densità di elaborazione e protezione dell’investimento.
• Le novità di XDA
I nuovi sistemi usufruiscono di nuove funzionalità in diversi contesti.
Nell’ambito delle prestazioni, la nuova architettura prevede le estensioni a 64 bit (mantenendo il supporto per le applicazioni a 32 bit),
un aumento degli slot di espansione della
memoria che porta il numero di moduli
DIMM fino a otto e una velocizzazione dell’I/O grazie all’introduzione dell’interfaccia
PCI Expert (estensione del PCI-X). Interessanti anche le caratteristiche indirizzate alla
58
Server e Storage
disponibilità tra cui si segnalano, in particolare,
l’ampliamento del supporto storage con fino a
4 dischi SCSI o SATA e l’integrazione del supporto RAID. Inoltre è stata introdotta una
nuova tecnologia di raffreddamento denominata Calibrated Vector Cooling derivante dall’esperienza maturata da Ibm nell’ambito delle
soluzioni Blade Center. Questa tecnologia
permette di ottimizzare il percorso del flusso
di aria fredda all’interno del sistema, assicurando il raffreddamento necessario a far fronte alle nuove caratteristiche di prestazioni e
densità di elaborazione. Ibm ha anche revisionato il design dei propri server, in modo da
poter essere completamente smontabili senza
dover utilizzare il cacciavite e semplificando le
modalità di rimozione e sostituzione a caldo
degli hard disk e degli alimentatori.
La gestibilità all'interno del rack è stata facilitata dalla presenza, all’interno dei server, di un
nuovo pannello diagnostico luminoso a discesa (Light Path Diagnostic) che consente di
individuare immediatamente guasti a processori, hard disk, alimentatori, ventole di raffreddamento e regolatori di tensione. Migliorate
anche le funzioni di gestione remota e per il
deployment rapido. Inoltre, l’espansione delle
caratteristiche di scalabilità interna e la possibilità di scegliere tra prestazioni a 32 o 64 bit
contribuiscono ad accrescere le doti di flessibilità di questi nuovi apparati Ibm.
• Rilasciati i primi sistemi basati
su XDA
Congiuntamente all’annuncio di XDA, Ibm ha
rilasciato i primi sistemi basati sulla nuova
architettura; si tratta di sei modelli di server
xSeries a 1 o 2 vie, e di un nuovo modello di
IntelliStation e di BladeCenter.
Nell’ambito dei sistemi rack rientrano i server
siglati x306, x336 e x346. L’x306 è un rack server monoprocessore di dimensione 1U, basato su processore Intel Pentium 4 con EM64T.
Questo server ad alta densità è adatto per
impieghi ai margini delle reti o nelle applicazioni Web. Utilizza hard disk SATA Simple
Swap o SCSI hot-swap integrando la capacità
RAID e comprende due slot PCI-X. È disponibile con 4 o 6 slot DIMM di memoria, per una
capacità massima di 12 GB (usando moduli da
2 GB). I modelli x336 e x346 sono sistemi a
due vie dotati della CPU Intel Xeon EM64T e
frequenza di clock fino a 3,6 Ghz. Dispongono
entrambi di 8 slot DIMM, per un massimo di
16 GB di memoria DDR2 veloce, e supportano il mirroring della memoria e memorie hotspare online, per aumentarne l'affidabilità.
Integrano, inoltre, un processore di servizio IPMI per
attività
di
monitoraggio, allarme e
controllo remoto dell’alimentazione.
L’x336 è un sistema 1U dotato di fino a 4 hard
disk SCSI hot-swap o fino a due hard disk
SATA Simple Swap; il modello x346 ha dimensioni 2U e supporta fino a 6 hard disk hotswap oltre al supporto per backup interno su
nastro. Dispone della funzione RAID 0, 1, 10
integrata con ServeRAID 7e; inoltre prevede
RAID 5 opzionale mediante ServeRAID-7k,
senza richiedere alcuno slot PCI.
Ai nuovi modelli per rack si affiancano i tre
server tower siglati x206, x226 e x236.
L’x206 è un tower server monoprocessore
economico basato su Intel Pentium 4 EM64T,
adatto alle PMI e ad aziende con più sedi. Supporta fino a quattro hard disk SATA Simple
Swap o tre hard disk SCSI hot-swap L’integrazione ServeRAID 7e SATA e SCSI RAID 1
aumenta la disponibilità del sistema senza
richiedere costi aggiuntivi.
I modelli x236 e x226 sono server tower a
due vie con processori Intel Xeon EM64T fino
a 3,6 GHz. L’ x236 è adatto per compiti mission-critical per ambienti distribuiti e dispone
di 8 slot DIMM per un massimo di 16
GB di memoria, con funzioni di mirroring e memorie hot-spare online.
L’espandibilità è assicurata da 6 slot di
I/O con possibilità di scelta tra schede
adapter PCI-X 133 MHz o PCI-Express
e la possibilità di ospitare fino a 9 hard
disk SCSI hot-swap per ambienti applicativi a grande capacità. Integra le funzioni RAID 0, 1, 10 e supporta il RAID
5 opzionale.
Il modello x226 è un sistema a basso
costo che supporta fino a 6 hard disk SCSI
hot-swap o 4 hard disk Seria ATA, integra il
supporto RAID 0, 1 e può raggiungere una
capacità di memoria di 16 GB. È espandibile
mediante 6 slot di I/O tipo PCI-X o PCIExpress. La nuova architettura XDA è stata
anche introdotta nell’ambito delle workstation, con il rilascio della IntelliStation Z pro a
64 bit, dotata di due processori Intel Xeon
EM64T (fino a 3,6 GHz), memoria DDR2 fino
a 16 GB, grafica PCI-Express x16, fino a 4 hard
disk SATA o SCSI e capacità RAID 0, 1 integrata per la protezione dei dati.
Novità anche per il segmento blade, con il rilascio di BladeCenter HS20, disponibile in configurazione “dual processor” con Intel Xeon
EM64T, che rappresenta il primo server blade
dotato del sistema Calibrated Vectored
Cooling.
R.F.
Il tower server Ibm x206
Ibm eServer xSeries 336
Nuova versione per Ibm Director
Arriva la versione siglata 4.20 di Ibm Director, la suite software integrata
per le attività di gestione centralizzata, che provvede all’automazione
delle procedure IT quali inventario, monitoraggio e allarmi, risposte a
eventi e condizioni del sistema. Ibm Director è una piattaforma gestionale adatta per ogni sistema TotalStorage Ibm, dagli eServer ai BladeCenter,
oltre che per ambienti eterogenei basati su Ibm Virtualization Engine, Tivoli, HP OpenView e CA UniCenter.
La versione 4.20 estende il supporto Linux a Red Hat Enterprise Linux
3.0 e comprende funzioni per semplificare la configurazione e il supporto di gruppi per gli aggiornamenti software, nonché un rafforzamento
della sicurezza per le console remote e il controllo dell'alimentazione.
59
Server e Storage
La virtualizzazione Microsoft
con Virtual Server 2005
Punti di forza i test software, il rehosting di applicazioni legacy, il server
consolidation e la simulazione di applicazioni server distribuite
L
e attuali condizioni di mercato alimentano nelle aziende l’esigenza di riduzione dei costi e dei rischi a fronte di
un contemporaneo incremento della qualità e
della agilità dell’infrastruttura IT. Per il raggiungimento di questi obiettivi di business, la virtualizzazione ha ormai dimostrato di essere
una tecnologia abilitante fondamentale.
Con Virtual Server 2005, Microsoft rende disponibile una soluzione di virtual machine per
Windows Server 2003 che consente ai suoi
utenti l’esecuzione contemporanea di una pluralità di sistemi operativi su un singolo apparato server, all’interno del quale ognuno di essi
gira come se fosse all’interno di un computer
separato e autonomo. Questa soluzione, basata sulla tecnologia di virtual machine che la
società di Redmond ha acquistato da Connectix, comprende un insieme completo di funzioni di virtualizzazione per lo storage, il networking e l’amministrazione dei siti Web (tramite
Virtual Server Administration Web Site).
Con il rilascio di Virtual Server 2005 Microsoft
si propone di migliorare l’efficienza di utilizzo
dell’hardware attraverso la coesistenza di
workload multipli su un numero inferiore di
server, di incrementare la produttività degli
amministratori e ampliare le soluzioni rese
disponibili dai partner.
Questi benefici trovano la loro massimizzazione in quattro ambiti specifici.
entrare in produzione. Virtual Server 2005
permette alle aziende di consolidare le proprie server farm di test e sviluppo e di automatizzare il provisioning delle macchine virtuali, migliorando l'utilizzo dell’hardware e la
flessibilità operativa.
Il Virtual Server è adatto, anche, per il rehosting dei sistemi operativi legacy (per esempio,
Windows NT 4.0 Server e Windows 2000
Server) e delle applicazioni custom ad essi
associate, migrando da server più vecchi verso
nuovi sistemi che operano in ambiente Windows Server 2003. Permette, infatti, di fare
funzionare le applicazioni legacy nel loro
ambiente software nativo all’interno di virtual
machine, senza riscrivere la logica dell’applicazione, riconfigurare le reti o riaddestrare gli
utilizzatori finali.
Un altro ambito di utilizzo è quello del consolidamento dei server, per far fronte ai carichi
di lavoro associati alle applicazioni custom, ai
servizi infrastrutturali, ai servizi per le succursali e in scenari di disaster recovery.
Infine, Virtual Server 2005 aiuta a minimizzare
i requisiti in termini di tempo e hardware
necessari per configurare i sistemi software e
l’hardware in un ambiente di laboratorio, al
fine di effettuare il deployment e la simulazione di un'applicazione server distribuita utilizzando macchine virtuali multiple su un unico
server fisico.
• I principali scenari di utilizzo
• La tecnologia di virtual machine
e l’architettura del Virtual Server
Un primo scenario di utilizzo è legato al conMicrosoft
solidamento e all’automazione dei test software e degli ambienti di sviluppo, necessari
per verificare il buon funzionamento prima di
60
Server e Storage
Per comprendere come opera Virtual Server
2005 si deve ricordare che, in un computer
odierno tradizionale, sono presenti diversi
strati di hardware e software che operano
insieme come un unico sistema e in cui le
risorse hardware sono gestite attraverso driver dedicati, che traducono le istruzioni del
sistema operativo in un specifico linguaggio
per il controllo del dispositivo.
I driver vengono sviluppati con l’assunzione di
assegnazione esclusiva di un dispositivo, per
cui ogni applicazione software che chiama
quel dispositivo (per esempio una scheda
video) deve interagire con esso mediate il suo
driver. Questa impostazione preclude la possibilità di far girare, contemporaneamente, più
di un sistema operativo su un singolo sistema
fisico.
La soluzione di virtualizzazione di Microsoft
supera questa limitazione mediante la sua tecnologia di virtual machine, che permette di spostare le interazioni con i dispositivi a un livello
più basso, in modo tale che i layer applicativi di
livello più elevato non restino influenzati.
Da un punto di vista logico, Virtual Server
2005 si colloca sul sistema operativo Windows Server 2003 che gestisce il sistema host,
fornendo l’infrastruttura software per l’emulazione dell’hardware. Ogni macchina virtuale è
poi costituita da un insieme di dispositivi hardware virtuali.
All’interno di ognuna di queste macchine virtuali girano un sistema operativo “ospite” e le
relative applicazioni che restano inconsapevoli, per esempio, che la scheda di rete con cui
interagiscono attraverso il Virtual Server è
solo una simulazione software di un dispositivo Ethernet.
Il componente Virtual Machine Monitor
(VMM) del Virtual Server è quello che fornisce
l’infrastruttura software per la creazione delle
virtual machine, la gestione delle istanze e l’interazione con il sistema operativo ospite.
Quando viene ospitato un nuovo sistema operativo, il kernel specializzato del VMM assume il
controllo sulla CPU e sull’hardware durante le
operazioni condotte dalla virtual machine,
creando un ambiente isolato in cui il sistema
operativo ospite e le applicazioni girano il più
Architettura della
tecnologia di virtual
machine messa a punto da
Microsoft
possibile a basso livello, in modo da fornire le
prestazioni più elevate possibile. Virtual Server
utilizza due funzioni “core” del sistema operativo host sottostante: l’organizzazione delle
risorse della CPU (gestita dal kernel) e l’accesso ai dispositivi del sistema (tramite i driver).
Virtual Server 2005 è, in sostanza, un’applicazione multithreaded (ovvero progettata per
avere diverse parti del suo codice che vengono eseguite contemporaneamente) che opera
come un servizio di sistema, in cui ogni virtual
machine gira all’interno del proprio thread di
esecuzione.
Microsoft Virtual Server 2005 è disponibile in
due versioni caratterizzate dalle stesse funzionalità e differenti solo nelle caratteristiche di
scalabilità: la versione Standard può essere
installata su server con un massimo di quattro
processori, mentre l’Enterprise Edition è adatta per server con un fino a 32 CPU
Sebbene Virtual Server 2005 possa ospitare
tutti i principali ambienti operativi “x86based”, i responsabili Microsoft garantiscono il
supporto solo per Windows Server 2003,
Windows Small Business Server 2003, Windows 2000 Server e Windows NT Server 4.0
con Service Pack 6a.
Virtual Server 2005 rappresenta anche un elemento chiave all’interno della roadmap definita dalla Dynamic Systems Initiative, l’iniziativa
Microsoft indirizzata al miglioramento della
piattaforma Windows e a favorire il rilascio di
tecnologie indirizzate a semplificare e automatizzare le modalità con cui vengono progettati, rilasciati e fatti funzionare i sistemi IT. R.F.
61
Server e Storage
VERITAS raccoglie la sfida
della «compliance» aziendale
Con l’acquisizione della soluzione per il Data Lifecycle Management
di KVS e i propri prodotti di backup e recovery, la società propone
una soluzione integrata che ottempera ai requisiti normativi
L
’ evoluzione tecnologica ha determinato il proliferare di informazioni in formato digitale di ogni tipo, che vengono
scambiate con tempi e modi nuovi e non originariamente prevedibili all’interno delle normative. Questo processo, inoltre, continua a
evolvere con grande rapidità e su scale temporali notevolmente inferiori rispetto a quelle
legislative. Per queste ragioni il rapporto tra
l’Information Technology e le norme amministrative è da sempre complesso e alla ricerca
di un punto di incontro tra esigenze tecnologiche e obblighi che diventano sempre più
stringenti.
Nel frattempo il numero di normative e di
azioni che esse impongono crescono di giorno in giorno, tanto che si stima che solo negli
Stati Uniti e nella regione EMEA siano in vigore, a tutt’oggi, oltre 15.000 normative federali,
statali e locali. All’interno di queste è possibile
individuare tre mandati principali: la conservazione e reperibilità dei documenti, il controllo
dei procedimenti e la produzione di rapporti
in tempo reale.
In ambienti IT complessi, caratterizzati da un
flusso estremamente elevato di informazioni, è
impossibile pensare di poter ottemperare a
tutti gli obblighi normativi semplicemente con
la buona volontà e l’iniziativa personale. Di
fronte a una continua crescita di regole e leggi,
virtualmente ogni tipo di business deve riconoscere l’importanza di poter rintracciare e
accedere, in maniera meticolosa e in ogni
momento, a tutti i propri dati, dalle più recenti e-mail, fino ai dati storici posti nelle “vault”.
Per fare ciò si configura la necessità di stabili-
62
Server e Storage
re una nuova struttura di controllo interno
che, oltre ad assicurare la possibilità di archiviare le informazioni vitali aziendali, sia anche
in grado di recuperarle in modo efficiente per
fini di audit.
Per soddisfare questi nuovi requisiti, VERITAS
propone una serie di prodotti software che
concorrono a comporre una soluzione integrata e scalabile articolata attorno ai temi del
backup, del disaster recovery e della gestione
differenziata dei dati durante il loro ciclo di
vita. Questa soluzione permette la creazione
di storage practice conformi alle normative e
si basa, principalmente, sui prodotti NetBackup, Backup Exec, NetBackup Storage Migrator for UNIX, KVS Enterprise Vault e CommandCentral Service.
• I prodotti per la compliance
e il Data Lifecycle Management
NetBackup è una soluzione per l’archiviazione
e il recupero dei dati, per attività di vario tipo
o dimensione, adatta ad ambienti UNIX, Windows, Linux e NetWare. La gamma di prodotti NetBackup consente di implementare funzioni quali data protection disk-based, disaster
recovery automatizzato e protezione di desktop e laptop. Il software NetBackup è, inoltre,
in grado di gestire pressoché ogni media
attualmente disponibile, includendo capacità
quali il “labeling” di nastri magnetici, la creazione di pool media su nastro, la condivisione
di dispositivi, la definizione di rapporti e il supporto dei codice a barre.
Backup Exec è la soluzione VERITAS di backup
e ripristino adatta agli ambienti Microsoft
Windows, che consente, attraverso un console di gestione Web based e un’interfaccia utente semplificata, di affrontare la questione della
protezione dei dati presenti su desktop, laptop
e server.
La soluzione software proposta da VERITAS
per il Data Lifecycle Management tiene conto
del fatto che, nel corso della loro vita operativa, le informazioni necessitano di diversi livelli
di prestazioni, disponibilità, protezione, migrazione, conservazione ed eliminazione. In base
a questa considerazione i dati dovrebbero
essere progressivamente trasferiti su diverse
tipologie di sistema o media storage, in grado
di offrire i livelli più opportuni di disponibilità,
capacità, costo, prestazioni e protezione.
Per una gestione ottimale dei dati, dalla creazione alla loro eliminazione, VERITAS mette a
disposizione NetBackup Storage Migrator for
UNIX e KVS Enterprise Vault.
NetBackup Storage Migrator for UNIX è un
prodotto software che fornisce i tool per
automatizzare lo spostamento dei file UNIX
più vecchi verso i media storage del tipo più
appropriato per caratteristiche, prestazioni e
disponibilità.
NetBackup Storage Migrator monitorizza
costantemente lo storage disponibile on line
su disco e, quando il disco raggiunge un prefissato livello di occupazione, sposta i file più
vecchi e meno utilizzati che rispondono ai criteri impostati dall’IT manager, liberando capacità disco per gli utenti.
Questo software, quando trasporta fisicamente i dati verso una destinazione più appropriata, provvede a lasciare, al posto originario di
ogni file, un indicatore di collegamento. Quando si desidera accedere al dato, esso viene
richiamato automaticamente e in modo trasparente in modo parziale, risultando immediatamente accessibile all’utente, mentre NetBackup Storage Migrator completa il trasferimento.
KVS Enterprise Vault è il prodotto software
per il Data Lifecycle Management derivante
dalla recente acquisizione di KVault Software
da parte di VERITAS e che consente alla socie-
tà guidata da Gary Bloom di chiudere il gap tra
backup e storage management. Enterprise
Vault è un software progettato per gli ambienti Windows che risulta trasparente per l’utente e le applicazioni, che provvede ad agevolare
le pratiche di rispetto delle normative, applicando automaticamente, in modo centralizzato, le policy di archiviazione, conservazione e
cancellazione dei dati in linea con gli attributi
di storage e la “corporate governance”.
Supporta le aziende nel processo di compliance fornendo un sistema di indicizzazione dei
dati auditabile, che permette di visualizzare chi
ha creato il dato, dove è stato creato e dove si
trova fisicamente, chi lo ha letto o modificato,
quando questi eventi hanno avuto luogo e
quali policy sono applicate a esso.
Grazie a un processo di archiviazione basato
su policy, le aziende sono, pertanto, nelle condizioni di archiviare le informazioni provenienti dai server Windows nel server Enterprise
Vault in modo da gestire la crescita dei dati;
permette l’archiviazione in ambiente Windows per file system, e-mail, Instant Messaging
e per Microsoft Office SharePoint (siti Web).
Le soluzioni di automazione VERITAS CommandCentral permettono, infine, una gestione
automatizzata dei livelli di servizio, la produzione di rapporti e l’amministrazione degli
addebiti per l’infrastruttura e i servizi IT. In
particolare, CommandCentral Service è un
portale che permette di rendere l’IT più trasparente, e misurabile, facilitando la creazione
di un modello di servizi condivisi o di utility
computing, che rappresentano i temi portanti
della strategia VERITAS.
R.F.
Criteri di archiviazione
all’interno di un processo
di Data Lifecycle
Management VERITAS
63
Server e Storage
Si sviluppano le architetture
per rintracciare le mail
L’incremento dei messaggi scambiati in formato elettronico accelera
lo sviluppo di soluzioni grid per la loro archiviazione e gestione
L
L’architettura di una
soluzione a grid per
l’archiviazione dei dati
(fonte HP)
64
Server e Storage
a sostituzione dei documenti cartacei
con quelli elettronici sta avendo fenomeni forse non previsti: in primis quello della proliferazione dei messaggi di mail,
delle copie per conoscenza nonché degli allegati. Le cifre in gioco sono impressionanti, perlomeno stando a ricerche condotte su aziende di fascia enterprise i cui dipendenti facciano un uso intensivo della posta elettronica e
un (ab)uso di copie per conoscenza e allegati.
I dati indicano in quasi 80 le mail spedite o
ricevute al giorno per dipendente, che assommano a 400 alla settimana e che per 1000
dipendenti diventano 40.000. Poco meno di 2
milioni di mail all’anno, con il relativo corollario di allegati quali slide, spreadsheet, immagini e, grazie alla convergenza e a reti aziendali
Gigabit, videoclip, filmati e registrazioni di sessioni di telefonia IP.
I problemi che emergono sono di due tipi:
come ottimizzare lo spazio dedicato alla registrazione di una tale mole di dati e come
archiviare gli stessi in
modo da poterli rintracciare facilmente
quando serve. Una
volta si poteva far
conto sull’archivista
che viveva a tempo
pieno nel sotterraneo
dell’azienda e che
senza strumenti complessi sapeva a colpo
sicuro dove trovare
una pratica, il che lo
rendeva l’uomo più
riverito nell’azienda.
Adesso che si ricorre a sistemi elettronici, per
convenzione ritenuti più avanzati, la cosa si sta
rivelando più complessa.
• Un aiuto dal grid storage
La soluzione sembra risiedere nelle griglie, da
non confondere con quelle utilizzate per fini
più nobili durante i fine settimana ma riferentisi all’approccio costituito da unità di elaborazione interconnesse in aggregati in modo da
realizzare calcoli estremamente complessi.
L’idea di usare un’architettura a griglia (già
concretizzata in soluzioni commerciali) deriva
da due fattori. Il primo è la capacità di calcolo
necessaria per rintracciare informazioni incluse in milioni di documenti. Il secondo è costituito dal poterlo fare in tempi ragionevoli.
La soluzione individuata consiste nel realizzare dei sistemi costituiti da una griglia i cui elementi nodali comprendono capacità elaborativa, di storage riservata e un’area in cui sono
mantenuti gli indici che servono per rintracciare i documenti memorizzati nel nodo.
I vantaggi che derivano da un approccio siffatto sono consistenti. Innanzitutto le ricerche di
documenti possono essere condotte in parallelo sui diversi nodi e risultano quindi più veloci sia per contenuti strutturati che non strutturati. La soluzione può poi essere espansa
modularmente. In pratica, la griglia iniziale può
essere “allargata” in base alle esigenze crescenti aggiungendo nuovi nodi.
Terzo ma non meno importante è l’elevatissima ridondanza intrinseca che assume l’insieme, che rende l’architettura a grid particolarmente adatta per applicazioni di High Availability.
G.S.
La protezione sottovalutata
delle applicazioni Web
T
utto iniziò con la necessità di proteggere
il proprio desktop dai virus. Internet non
c’era ancora e con il suo arrivo incominciò lo
sviluppo di reti interne ed esterne, avviando,
contemporaneamente, la transizione verso
l’era della network security.
Lo sviluppo tecnologico e dei processi di business ha portato successivamente le aziende a
sfruttare in pieno le potenzialità offerte dal
Web e, conseguentemente, l’esigenza di sicurezza si è andata spostando verso l’ambito
applicativo che, attualmente, rappresenta uno
degli elementi più vulnerabili per la sicurezza
aziendale.
Se, in passato, la maggior parte degli attacchi
avveniva a livello del network, attualmente essi
si stanno concentrando verso le applicazioni
Web. Queste, troppo spesso non vengono
neppure monitorate, affidando, di fatto, l’azienda a una sicurezza che risulta di tipo reattivo
anziché preventivo (o proattivo come si suole
dire).
Il Web è diventato non solo un mercato o un
canale di distribuzione ma, a tutti gli effetti, un
vero e proprio ambiente operativo e, come
tale, va protetto con contromisure dedicate e
pensate appositamente per esso.
È sorprendentemente semplice recuperare
dati da applicazioni Web-based. Per far fronte
a queste minacce non basta l’uso di password
(la cui sicurezza è direttamente dipendente
dalle persone che le utilizzano), firewall e neppure programmi standard di scansione che
valutano il livello di protezione sulla base di
una lista statistica di vulnerabilità possibili,
senza verificare la sicurezza dell’intera presenza Web (applicazioni proprietarie, script Web,
cookie, pagine Web).
Molte aziende, inoltre, affidano lo sviluppo
delle applicazioni Web o dei siti Web al proprio esterno, affidandosi alle risorse di sviluppo di terze parti.
A tutto ciò si aggiunge il fatto che, mano a
mano che i processi di business diventano
processi di e-business, l’utilizzo di tecnologia
basata sul Web è destinato a crescere. Non è
un caso, quindi, che si assiste, così, a una continua introduzione sul mercato di nuovi software e standard indirizzati al Web e, dunque,
di un crescente numero di nuove potenziali
vulnerabilità.
In sintesi, si deve tenere sempre presente che
il Web rappresenta un sistema distribuito e
che il livello di protezione di un’azienda connessa in rete è identico a quello del suo anello più debole, che può essere rappresentato
da un partner, un link della supply chain, un
tool vendor, un ISP o un’ASP.
Non esiste una categoria di utenti che non sia
oggetto di attacchi così come non si tratta di
capire se il proprio server connesso al Web
sarà attaccato, ma solo di stabilire eventualmente quando ciò avverrà.
Evitare attacchi dannosi diventa, allora, un
compito affrontabile solo successivamente a
una fase di assessment, identificazione e rimedio delle vulnerabilità associate alle applicazioni Web, utilizzando software specifico indirizzato a questo scopo.
Se è ragionevole pensare che questo ambito
rappresenterà uno dei principali trend di sviluppo futuro delle soluzioni di sicurezza IT,
non è possibile evitare di ricordare che la vulnerabilità maggior resta ancora legata alla
negligenza.
Non sono affatto infrequenti atteggiamenti di
aziende che affrontano il problema della sicurezza in modo reattivo, con logiche di risposta
a breve termine, incapaci di comprendere il
valore dell’informazione o che tendono a sottovalutare il legame tra la sicurezza dell’informazione e il business, magari assegnando il
compito di mantenere la sicurezza a personav
le non adeguatamente addestrato.
Riccardo Florio
dida da scrivere
65
I report tecnologici
I Report Tecnologici costituiscono un’opera
di analisi e approfondimento dello stato
dell’arte di architetture, soluzioni e servizi
nell’ambito dell’Information e
Communication Technology.
Ogni report è un utile strumento di
consultazione e un sussidiario che fornisce ai
responsabili dei sistemi informativi aziendali e
ai professional del settore un chiaro quadro
dello scenario evolutivo delle tecnologie e
delle soluzioni presenti sul mercato italiano.
Ciascun Report è composto da una prima
parte, che costituisce una cospicua
trattazione degli aspetti tecnologici, e da una
seconda parte, in cui vengono accuratamente
descritte l'offerta e la strategia dei principali
player del mercato.
I Report Tecnologici sono disponibili in
volumi stampati in formato A4 con
copertina rigida, al costo di 215 euro a
copia (più IVA). Per ordinarli o per
ulteriori informazioni: 0234592314.
66
Motore e sede dei dati aziendali, server e storage sono
gli elementi centrali di un sistema informativo che si articola in infrastrutture sempre più complesse che rispondono alle crescenti esigenze di elaborazione e all’esplosione dei dati, ma che devono risultare semplici per l’utente finale. Le nuove architetture evolvono in questa
direzione, favorendo il consolidamento dei sistemi.
Un report di circa 500 pagine analizza tutti gli aspetti
del settore, esaminando, oltre alle tecnologie, le soluzioni e l’offerta di servizi in Italia.
Capitolo 1 - DALL’E-BUSINESS
ALL’AZIENDA VIRTUALE
Capitolo 2 - L’EVOLUZIONE DELLE
PIATTAFORME SERVER
Capitolo 3 - LE ARCHITETTURE DI
ELABORAZIONE
Capitolo 4 - LA SPECIALIZZAZIONE DELLE
APPLIANCE SERVER
Capitolo 5 - LE RISORSE PER LA
MEMORIZZAZIONE DEI DATI
Capitolo 6 - L’EVOLUZIONE VERSO LO
STORAGE IN RETE
Capitolo 7 - BUSINESS CONTINUITÀ E
DISASTER RECOVERY
Capitolo 8 - VIRTUALIZZAZIONE E
GESTIONE DELLO STORAGE
Capitolo 9 - INFORMATION LIFECYCLE
MANAGEMENT E CONTENT STORAGE
Capitolo 10 - LO STORAGE A
DISPOSIZIONE DEELLA PMI
PARTE SECONDA - Tecnologie e strategie dei
fornitori di soluzioni e servizi
Acer – Apple – Brocade – Cisco Systems – Colt
Telecom – Computer Associates – Dell – EMC2 –
Fujitsu Siemens Computer - Hitachi Data Systems –
HP Soluzioni Server – HP Divisione Storage – IBM
Soluzioni Server – IBM Soluzioni Storage – Metilinx –
Microsoft - Storagetek – Sun Microsystems – Veritas
Software
Uno dei temi più attuali del momento è quello della sicurezza nell’ambito dell’ICT. Le crescenti minacce provenienti da Internet e l’inarrestabile tendenza ad aprire l’azienda alla comunicazione con partner e clienti, al fine di
sfruttare tutte le opportunità offerte dalle nuove tecnologie, pongono nuovi e stimolanti interrogativi ai responsabili del sistema informativo.
Un report di 500 pagine analizza tutti gli aspetti della
tematica, soffermandosi sulle metodologie, oltre che
sulle soluzioni e l’offerta dei servizi in Italia.
I sistemi e le tecnologie di rete per realizzare le architetture che rappresentano il cuore del sistema informativo aziendale hanno subito una profonda evoluzione negli ultimi anni. La convergenza tra reti dati e reti
voce e tra fisso e mobile ha al tempo stesso semplificato e complicato la gestione di un’infrastruttura vitale, accrescendo il ricorso all’outsourcing.
Un report di circa 500 pagine analizza tutti gli aspetti
del networking, soffermandosi sulle architetture, le
Capitolo 1 - L’IMPORTANZA DI UNA
SICUREZZA EVOLUTA PER L’IMPRESA
Capitolo 2 - LA GESTIONE DELLA SICUREZZA
Capitolo 3 - CRITTOGRAFIA E FIRMA DIGITALE
Capitolo 4 - AUTENTICAZIONE E IDENTITY
MANAGEMENT
Capitolo 5 - I LIVELLI DI PROTEZIONE DEL
FIREWALL
Capitolo 6 - L’AFFERMARSI DELLE VPN
Capitolo 7 - INTERNET SECURITY:
LE MINACCE ONLINE
Capitolo 8 - I SISTEMI PER IL RILEVAMENTO
DELLE INTRUSIONI E DELLE VULNERABILITÀ
Capitolo 9 - LA SICUREZZA DELLE
CONNESSIONI WIRELESS
Capitolo 10 - L’ARCHITETTURA DELLE
SECURITY APPLIANCE
Capitolo 11 - SICUREZZA E CONTINUITÀ DI
SERVIZIO PER I DATI AZIENDALI
Capitolo 12 - LA SICUREZZA DEL SISTEMA
DI TELEFONIA
Capitolo 13 - LA SICUREZZA COME SERVIZIO
piattaforme e, non ultima, l’offerta di servizi in Italia.
Capitolo 1 - LO SCENARIO DEL BUSINESS
NETWORKING
Capitolo 2 - ARCHITETTURE E SERVIZI
DELLE RETI DI COMUNICAZIONE:
Capitolo 3 - LAN, IL SISTEMA NERVOSO
DELL’AZIENDA
Capitolo 4 - LE RETI LOCALI WIRELESS
Capitolo 5 - LE RETI METROPOLITANE
Capitolo 6 - LE RETI PER LA FONIA MOBILE
Capitolo 7 - VIRTUAL PRIVATE NETWORK
Capitolo 8 - IL NETWORK MANAGEMENT
Capitolo 9 - UN NETWORK PROTETTO
Capitolo 10 - SERVIZI E OUTSOURCING
PARTE SECONDA – Tecnologie e strategie dei
fornitori di soluzioni e servizi
3Com - Alcatel - Allied Telesyn - Cisco Systems -
PARTE SECONDA - Tecnologie e strategie dei
fornitori di soluzioni e servizi
3Com - Allied Telesyn - Check Point - Cisco Systems Computer Associates - D-Link - Internet Security
Systems - Microsoft - Nokia - Rsa Security - Symantec
Computer Associates - D-Link - Easynet - Enterasys
Networks - Hewlett-Packard - Italtel - Marconi Microsoft - Nortel Networks - Rad/Cie Telematica US Robotics
dida da scrivere
3
L’abbonamento a Direction fornisce
accesso ad alcuni servizi relativi alla
pubblicazione dei report e degli studi
di Reportec. Gli abbonati riceveranno
sei numeri del dossier completi dei
relativi allegati su CD ROM e inoltre
potranno scegliere tra:
SOLUZIONE A
un Report Tecnologico rilegato in hard
cover formato A4 e sovra copertinato
(dal costo di listino di Euro 215) a scelta
tra i titoli finora pubblicati:
Business Networking 2003
IT Security 2003
Server e Storage 2003
Business Communication 2003
Servizi
per gli abbonati
SOLUZIONE B
tutti e 4 i Report Tecnologici finora
pubblicati rilegati in hard cover formato
A4 e sovra copertinati (ciascuno del
costo di listino di Euro 215).
Agli abbonati è riservato anche uno sconto del 25% sul prezzo di acquisto degli
altri report pubblicati e la possibilità di accedere a condizioni di favore alle
iniziative che si susseguiranno nel corso dell’anno.
L’abbonamento a 6 numeri del dossier (di periodicità bimestrale) è pari a Euro 90
per la soluzione A e Euro 390 per la soluzione B e comprende le spese di
spedizione del report o dei report richiesti.
Per sottoscrivere l’abbonamento inviare un’e-mail a [email protected]
oppure un fax al numero 0234532848