Visualizza
Transcript
Visualizza
9 Direction Reportec - Volume II n.9 ottobre-novembre 2004 bimestrale • Spedizione in A.P. - 45% - art. 2 comma 20/B legge 662/96 - Milano DOSSIER DI SOLUZIONI SERVIZI E TECNOLOGIE ICT CommuniCation • IL REPORT: Lo scenario della comunicazione aziendale su “Business Communication 2004” • Come si adatta l’azienda alle nuove forme di comunicazione SeCurity • Le specifiche problematiche della sicurezza nelle WLAN • Luci e ombre per la sicurezza del voto elettronico • Cresce la voglia di servizi di sicurezza gestiti networking • Evolvono le alternative per la realizzazione di WPAN • Nuovi standard per abbassare i costi del 10 Gigabit • Un protocollo aiuta nella gestione della rete aumentando la sicurezza Server e Storage • Le banche richiedono soluzioni specifiche • Le pesanti esigenze di storage per la posta elettronica • Verso il consolidamento delle SAN Indice 컄 Convergere sì ma non ad ogni costo . . . . . . . . . . . . . . . . . . . . .3 왘 IL REPORT: Business Communication 2004 . . . . . . . . . . . . . . .4 왘 La mobilità senza confini di Avaya . . . . . . . . . . . . . . . . . . . . . .8 왘 Come adattare l’azienda ai nuovi business . . . . . . . . . . . . . .10 왘 Un futuro prossimo convergente con le reti Nortel Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . .12 왘 3Com Secure IX per una protezione di classe enterprise . . .14 왘 Una soluzione CA per proteggere tutti i contenuti . . . . . . . .16 왘 La lunga strada wireless dal WEP al WPA2 . . . . . . . . . . . . . .18 왘 Un client sicuro con l’accesso remoto Check Point . . . . . . . .20 왘 Voto elettronico una sicurezza fatta non solo di tecnologia .22 왘 Sicurezza a tutto tondo per la «0 day» protection di ISS . . .24 왘 Nuove motivazioni spingono verso l’alto il mercato degli MSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26 컄 Salgono le minacce con l’hacker che diventa un «professionista» . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .27 왘 Si vivacizza il mercato delle WPAN . . . . . . . . . . . . . . . . . . . .28 왘 Da Alcatel una piattaforma per il wireless Enterprise . . . . .30 왘 Il 10 GigaEthernet alla ricerca di mezzi a basso costo . . . . .32 왘 10 Gigabit per lo switching stackable di D-Link . . . . . . . . . .34 왘 Matrix C2 estende i confini delle Secure Networks di Enterasys . . . . . . . . . . . . . . . . . . . .36 왘 Il traffico sotto controllo con IPFix . . . . . . . . . . . . . . . . . . . . . .38 왘 HP ProCurve uniforma la gestione di LAN e WLAN . . . . .40 왘 Prestazioni e affidabilità per la famiglia Altos di Acer . . . . .42 왘 Apple rilascia il fyle system per le SAN . . . . . . . . . . . . . . . . .44 왘 Una nuova linea di server a 64 bit in casa Dell . . . . . . . . . . .46 왘 Nuove soluzioni NAS low cost da EMC . . . . . . . . . . . . . . . . .48 왘 L’IT per un ruolo nuovo della banca . . . . . . . . . . . . . . . . . . . .50 왘 Il recovery dei dati diventa intercontinentale . . . . . . . . . . . .52 왘 Due vie complementari per la razionalizzazione dei dati . .54 왘 Il RISS di HP per il grid storage . . . . . . . . . . . . . . . . . . . . . . . .56 왘 IBM espande le ambizioni degli xSeries . . . . . . . . . . . . . . . . .58 왘 La virtualizzazione Microsoft con Virtual Server 2005 . . . . .60 왘 VERITAS raccoglie la sfida della «compliance» aziendale . .62 왘 Si sviluppano le architetture per rintracciare le mail . . . . . .64 컄 La protezione sottovalutata delle applicazioni Web . . . . . . .65 Sul prossimo numero il supplemento Solutions con un approfondimento sulle architetture aperte e il mondo open source 2 Direction Reportec - Volume II numero 9; bimestrale ottobre-novembre 2004; Editore: Reportec srl, via Gian Galeazzo 2 - 20136 Milano; Amministratore Unico Gabriella Gabet; Direttore Responsabile: Gaetano Di Blasio; Redazione: via A. Lazzati, 6 - 20154 Milano; [email protected]; fax 0234532848; Stampa: GRIFFE srl, via Frapolli 21 - 20133 Milano (sede legale); via G.B. Brocchi 11 - 20131 Milano (sede operativa); Iscrizione al tribunale di Milano n° 212 del 31 marzo 2003; Tiratura 10.000 copie; Tutti i diritti sono riservati; Tutti i marchi sono registrati e di proprietà delle relative società. Convergere si, ma non ad ogni costo I sondaggi che periodicamente vengono pubblicati danno oramai per vincente le tecnologie di rete convergenti basate su IP. Anche, prudentemente, considerando il fatto che non pochi di questi sondaggi sono commissionati dalle società produttrici, che comprensibilmente vogliono sapere se le piattaforme sviluppate hanno un reale mercato, i risultati esprimono un netto favore per soluzioni convergenti rispetto a soluzioni più tradizionali. Le percentuali che emergono indicano in circa i due terzi le società che prevedono di passare ad una rete completamente convergente entro i prossimi 4-5 anni. Orbene, la cifra in se è sicuramente significativa e indica oramai una strada segnata, ma significativi sono anche 5 anni se commisurati al gradiente evolutivo che caratterizza le tecnologie e che, per quanto concerne le reti aziendali, corrispondono a più di una generazione tecnologica. Va considerato che difficilmente poi tra 3-4 anni le società produttrici avranno disponibili, se non a caro prezzo, parti di scorta o upgrade funzionali di tecnologie non convergenti, se non altro per effetto della pressione concorrenziale che si esercita nel settore. Anche un terzo che comunque non vede con particolare favore, anche se poi, obtorto collo e in mancanza di alternative finirà probabilmente con l’allinearsi con le scelte predominanti, è pur tuttavia una quota significativa del panorama aziendale. Più che da chiedersi perché la maggior parte prevede, in un orizzonte temporale mediolungo, di adottare soluzioni convergenti vale, la pena di chiedersi perché un terzo pensa, in presenza di alternative, di non farlo o di posticipare ulteriormente la scelta. La risposta ovviamente non è univoca ma può essere ricondotta ad alcuni aspetti chiave, connessi alla qualità complessiva dei servizi, soprattutto voce, e alla sicurezza di una rete convergente. Ovviamente il vantaggio e la logica che sta portando a scegliere infrastrutture convergenti è così evidente che diventa impossibile negarne la validità. Quello che trattiene non poche aziende dall’intraprendere decisamente la strada sono però perplessità sulla qualità della fonia su IP. In effetti, vero o falso che sia, la percezione è che la qualità della voce (e di una conversazione nel suo complesso per ciò che riguarda i parametri che la caratterizzano) non sia ancora simile a quella delle soluzioni convenzionali. Per non parlare poi del video, soprattutto se a larga banda. Un altro aspetto percepito come critico è quello della sicurezza, cosa che ha indotto i produttori di networking a rafforzare il loro impegno nella definizione di soluzioni sicure. Da una parte, infatti, realizzare una rete in cui IP trasporta sia le applicazioni voce e dati corrisponde a mettere tutte le uova nello stesso paniere e, a patto che il paniere sia tenuto d’occhio molto bene, la sicurezza complessiva teoricamente è maggiore. D’altra parte se un attacco alla rete dovesse avere successo si avrebbe il fermo di tutte le attività produttive dell’azienda. Senza più alternative di back up che permettano di mantenere in piedi una parte delle applicazioni come avviene nel caso di reti separate funzionalmente. Un ultimo aspetto emerge ancora come criticità, anche se in questo caso si tratta solo di un fattore probabilmente temporaneo, quello del prezzo dei dispositivi IP. Il prezzo dei telefoni IP, ad esempio, è percepito, e sovente non si tratta solo di percezione, come sensibilmente più alto dei tradizionali: Un motivo di più, per alcuni utilizzatori, di posticipare la migrazione di una rete che se si limita alla componente di trasporto e non di utente v perde parte del suo significato. Giuseppe Saccardi dida da scrivere 3 IL REPORT: Business Communication 2004 L’ evoluzione delle soluzioni di comunicazione aziendale e delle piattaforme di primari produttori del settore I l rapporto sulla Business Communication, di oltre 450 pagine, allegato a questo numero di Direction, riporta lo stato dell’arte delle tecnologie di comunicazione e analizza esempi significativi di architetture, piattaforme e servizi sviluppati da un numero significativo di produttori per il mercato nazionale. Alla base del rapporto vi è uno scenario tecnologico oramai fortemente caratterizzato da soluzioni di tipo aperto, convergenti e di nuova concezione.Va osservato però che se si è concretizzata una migrazione verso architetture fortemente innovative rispetto alla generazione precedente, diversa è la situazione in termini di installato, che è ancora in buona parte basata su soluzioni proprietarie. Ciononostante il fatto che la prossima generazione di soluzioni che verrà installata in azienda sarà basata su IP e su una convergenza spinta di voce, dati e servizi appare un dato acquisito. In pratica, i produttori sono concentrati sul mero mantenimento dell’installato, se non basato su IP, mentre sviluppi e rilasci sono oramai concentrati sulle nuove generazioni IP based e convergenti. Il progressivo phase-out delle tecnologie di vecchia generazione o la difficoltà di trovare parti di up-grade dell’installato, porterà obbligatoriamente ad accelerare la sostituzione delle tecnologie convenzionali anche presso le aziende che già non l’hanno fatto o pianificato. Nel corso dell’anno, come è evidenziato nel rapporto, si sono quindi ulteriormente concretizzati gli sviluppi centrati sulle nuove architetture e soluzioni per la gestione della business communication aziendale nonché per l’integrazione di servizi che vanno dalla fonia 4 CommuniCation sino alle più complesse applicazioni CRM basate su contact center e a sistemi di interazione vocale o di messaggistica unificata di nuova concezione e fortemente caratterizzate in chiave IP. Punto centrale, assolutamente innovativo per il settore e di estremo interesse per l’utilizzatore, è il concetto di “openess”, consistente nell’adozione nativa di piattaforme hardware standardizzate e di sistemi operativi standard di mercato quali Unix, NT e, in modo crescente, di Linux, presente in un ampio numero di soluzioni di business communication. • 3Com Impegnata nella telefonia su IP sin dalla prima ora, 3Com ha affinato la propria gamma su due piattaforme: la famiglia NBX e l’architettura modulare softswitch VCX (Voice Core eXchange). Agli chassis NBX 100 (che ha ottenuto anche la certificazione TiLab da parte di Telecome Italia) e SuperStack 3 NBX, destinati rispettivamente alle organizzazioni fino a 200 derivate e fino a 1500 derivate, la società statunitense ha aggiunto NBX V3000, riducendo il costo di ingresso per questo tipo di soluzioni, mantenendo e anzi accrescendo, secondo i dati forniti, le funzionalità. Obiettivo dichiarato quello di penetrare il mercato delle piccole imprese, andando a sostituire i “vecchi” key system. I softswitch VCX (Voice Core eXchange), invece, sono di tipo carrier class e in grado di scalare fino a 50mila utenti. Infine, la multinazionale di origine statunitense ha ampliato la gamma di apparecchi telefonici, anche di tipo cordlesss, progettati, secondo le dichiarazioni del costruttore, per soddisfare le diverse esigenze di comunicazione. • Alcatel Le soluzioni Alcatel , comprese nella sua “casa della comunicazione”, si rivolgono all’intero segmento delle aziende, da quelle più grandi con caratura internazionale a quelle con copertura nazionale sino alla piccola e media impresa. Fondamentale, ed elemento caratteristico nelle soluzioni PBX di Alcatel è la possibilità di realizzare vere e proprie reti di sistemi distribuiti che comprendono funzioni di fonia, di contact center e di messaggistica integrata basata su IP, ma compatibile ed integrabile con le piattaforme TDM convenzionali. Le soluzioni della sua linea OXE (dedicata alla fascia medio-alta delle aziende) non pongono virtualmente limiti nella realizzazione di piani di migrazione mirati, né nel livello di distribuzione territoriale, funzionale e applicativa degli apparati che la costituiscono. I benefici delle soluzioni Alcatel non sono però esclusiva delle maggiori aziende. Il concetto di sistema aperto alla base della sua strategia permette infatti di portare sulle piattaforme OXO, adatte specificatamente alla gamma delle medie e piccole aziende, le stesse funzioni e i medesimi benefici forniti dalle soluzioni OXE. • Avaya Avaya, che della business communication ha fatto la propria attività core, vanta una forte presenza nel campo della fonia e dei contact center. Ambiti nei quali ha sviluppato un’architettura costituita da piattaforme focalizzate su tre aree principali, reti convergenti per voce e dati, CRM/Contact Center e comunicazione unificata. Per le reti convergenti l’architettura comprende una vasta gamma di sistemi e servizi per reti voce e dati, dedicata ad aziende di ogni dimensione: dai centralini telefonici per la gestione del traffico voce in ambito aziendale, ai router e switch ad alta velocità, fino ad apparecchiature e software studiati per rispondere alle esigenze delle reti dati di classe enterprise. Della gamma di soluzioni fanno parte anche tecnologie VPN, cablaggi fisici, soluzioni wireless, che aiutano le aziende a estendere i servizi dati e di telefonia anche ai dispositivi desktop e mobili, e una gamma di apparecchi telefonici sia fissi sia wireless. Le soluzioni IP, che fanno parte dell’architettura ECLlPS (Enterprise Class IP Solutions), hanno l’obiettivo di consentire alle aziende di unificare i loro sistemi voce e dati all'interno di un'unica rete ad alta affidabilità, tramite la quale diventi possibile sfruttare nuove applicazioni e accedere a file, posta elettronica, browser, fax e messaggi vocali indipendentemente dal luogo o dalla postazione di lavoro. • Cisco Systems Elemento di base delle soluzioni di comunicazione IP di Cisco è l’architettura AVVID (Architecture for Voice, Video and Integrated Data), che fornisce un’infrastruttura aperta, basata su standard, per la realizzazione di reti convergenti. La soluzione IP Telephony Cisco ha un’architettura scalabile per gestire fino a 30.000 utenti per sistema, la cui elevata affidabilità è garantita da una logica di ridondanze. La caratteristica fondamentale è rappresentata dalla semplicità di gestione, di amministrazione e di sviluppo di nuove applicazioni, anche grazie al supporto, da parte dei terminali telefonici IP, di protocolli e funzioni standard quali XML. In questo modo, la società statunitense ha reso possibile a terze parti la realizzazione di soluzioni aperte per i propri apparecchi. Ai tradizionali servizi di telefonia, Cisco aggiunge, secondo le dichiarazioni dei responsabili della stessa società, altri vantaggi propri dell’architettura AVVID, come, per esempio, quelli che derivano dalle soluzioni di messaggistica unificata. In particolare, i servizi sono forniti principalmente attraverso il software di 5 CommuniCation gestione Cisco CallManager, compreso, nella versione Express anche nel sistema operativo Cisco Ios, che contraddistingue tutti gli apparati della multinazionale statunitense. L’architettura si esplica anche nella realizzazione di soluzioni di IP Contact Center. xity sono allocati diverse linee di prodotto, che coprono esigenze che vanno dalla semplice fonia a quelle di contatto sino a quelle connesse alla realizzazione di reti di fonia fisse e mobili. • Easynet • D-Link La società di Taiwan già da tempo ha avviato un processo di ampliamento della propria offerta aggiungendo, ai più tradizionali prodotti in ambito networking che la contraddistinguono da sempre, una gamma di soluzioni dedicate alla comunicazione e alla mobilità. In questo contesto si collocano le soluzioni broadband comprendenti modem e router ADSL, questi ultimi disponibili anche con switch integrato, e un’ampia gamma di apparati per la realizzazione di soluzioni di comunicazione wireless. Ad essi si affiancano prodotti di video telefonia basata sul protocollo IP e una gamma di videocamere Internet, adatte sia per connessioni cablate che di tipo wireless e utilizzabili in applicazioni di comunicazione o videosorveglianza. • EADS Telecom EADS Telecom ha sviluppato una gamma di soluzioni per la comunicazione aziendale che è inserita all’interno della sua vision strategica e architetturale “Connexity”, che contrassegna in modo distintivo i suoi prodotti e servizi. Connexity riflette la filosofia di EADS Telecom, che ha sviluppato un portafoglio di prodotti che è dichiaratamente volto a soddisfare mercati tradizionalmente distinti quali quelli enterprise, difesa, sicurezza pubblica, pubblica amministrazione, prodotti che però si basano su metodologie e approcci progettuali comuni che ne permettono l’abbinamento in soluzioni complesse sia a livello di singola sede che in ambito di rete aziendale distribuita geograficamente. Nella vision Connexity emerge l’intendimento di EADS nell’identificare un contenuto tecnologico che permetta di costruire soluzioni “turnkey”, basate su IP e aperte agli standard di mercato. All’interno della strategia Conne- 6 CommuniCation Easynet è un operatore con una rete paneuropea e link intercontinentali. Ha sviluppato una soluzione per la comunicazione aziendale aperta, che copre con canali ad altissima capacità ed accessi basati sulle tecniche di networking più moderne e diffuse i maggiori stati europei. La rete si basa sugli elementi chiave dell’evoluzione tecnologica degli ultimi anni, il broadband e l’IP, accostati in una soluzione risponde alle esigenze in termine di capacità di banda, architetture di rete ridondanti, utilizzo di modalità di connessione, come il DSL, a basso costo e elevata capacità, il tutto integrato da una capacità progettuale e di supporto sperimentata in numerose realizzazioni in Italia e nell’ambito internazionale. Alla base della sua strategia architetturale e di servizi vi è l’MPLS, il metodo di realizzazione di reti virtuali oramai affermatosi per la realizzazione di soluzioni VPN caratterizzate da un grado elevato di flessibilità, di supporto di servizi evoluti di fonia e dati e in grado di inserirsi in modo trasparente nel contesto aziendale, sia IP che SNA. • Italtel Italtel è una società che ha una presenza pluridecennale nel settore delle telecomunicazioni, nella progettazione e nella fornitura di soluzioni per reti pubbliche sia geografiche che metropolitane voce e dati. Il suo approccio “carrier class” ha portato alla definizione di un’architettura e alla realizzazione di un insieme di soluzioni e prodotti di nuova generazione che ha tra gli obiettivi principali quello di permettere agli operatori di rete una migrazione progressiva verso architetture evolute, basate su IP ma in grado di supportare anche le esistenti piattaforme ed applicazioni TDM. A questo abbinano la possibilità di creare nuovi servizi a valore aggiunto in linea con le recenti esigenze di mercato. Peraltro, l’adozione nelle sue soluzioni di un approccio architetturale di nuova generazione ha l’obiettivo anche di permettere una progressiva riduzione dei costi e un ampliamento rapido e cost-effective del portafoglio dei servizi forniti da un operatore. • Microsoft La casa di Redmond propone una serie di soluzioni software di comunicazione integrata indirizzate a favorire l’accesso alle informazioni, l’azione su di esse al fine di migliorare il business e la collaborazione efficace con clienti, partner e colleghi. Le soluzioni Microsoft sono indirizzate a migliorare la comunicazione e la collaborazione in tempo reale fornendo, all’interno di un’unica piattaforma standard, funzioni di e-mail, voice mail, calendaring, instant messaging, audio/video conferencing, unified messaging e funzionalità per dispositivi mobili. L’offerta Microsoft ruota attorno alla piattaforma Windows Server 2003, ai prodotti della famiglia Office 2003 e alle soluzioni server specializzate quali Microsoft Exchange Server 2003 (assistito da Outlook) o Live Communications Server 2003. Ad esse si affianca la soluzione software Windows Mobile adatta per dispositivi mobili quali i Pocket pc o gli Smartphone. • Nortel Networks Uno degli aspetti tra i più critici è rappresentato dal come riorganizzare il modo in cui si gestisce e, soprattutto, viene utilizzata l’infrastruttura di rete al fine di migliorare i processi di business. Nortel Networks ritiene che sia possibile rispondere positivamente a queste esigenze ed ha a tal fine sviluppato una nuova architettura per reti d’impresa che rende possibile la convergenza tra voce, dati video e servizi multimediali su un’unica infrastruttura unificata. Nella sua strategia ciò ha l’obiettivo di eliminare i confini esistenti tra i diversi servizi di comunicazione, gli utenti o le sedi da cui l’interazione ha luogo. L’architettura, riferita come “Architecture for the Converged Enter- prise” (ACE), è la concretizzazione della sua vision OneNetwork per l’azienda del futuro. ACE è un insieme di piattaforme, servizi ed applicazioni che definisce un ambiente di rete convergente il cui obiettivo primario è di eliminare i confini fisici tra le reti ed i confini logici tra i servizi erogati o trasportati a livello di rete, il tutto in un quadro convergente. • Tenovis Tenovis è stata fondata nel 2000 ma può vantare un’esperienza che, a partire dall’eredità raccolta da Bosch Telecom, risale a oltre cent’anni di storia della comunicazione. Elemento centrale delle soluzioni di Business Communication di Tenovis è la piattaforma Integral Communication Center (ICC). Questa è stata progettata, stando alle dichiarazioni dei responsabili della società d’origine tedesca, con lo scopo di realizzare una piattaforma aperta che permettesse l’evoluzione del sistema verso future applicazioni multimediali e l’utilizzo di tecnologie di Voice over IP e IP telephony. L’architettura prevede l’utilizzo di una struttura software di tipo modulare su cui si integrano moduli specifici, molti dei quali votati anche alla sicurezza. Più precisamente, i singoli moduli dell’Integral Communication Center (ICC) includono tecnologie per la realizzazione di infrastrutture di networking e internetworking, applicazioni CTI/CRM, Call/Contact Center, sistemi di posta elettronica e messaggistica unificata, servizi di mobilità, soluzioni di sicurezza basate su firewall, intrusion detection, antivirus , URL filtering. Il tutto integrato in un’unica soluzione controllabile e gestibile da remoto in modalità managed /provisioned service o outsourcing. Per salvaguardare investimenti pregressi, ICC è stata sviluppata in modo da essere eventualmente integrabile in strutture rack esistenti.v 7 CommuniCation La mobilità senza confini di Avaya La soluzione integrata della casa americana si arricchisce di un sistema Voice over WLAN, sviluppato insieme a Motorola e Proxim, che può fare roaming su GSM I Il cellulare GSM Motorola CN620 funziona come telefono IP wireless sulle WLAN Avaya di nuova generazione 8 CommuniCation l sogno di molte aziende è quello di avere dipendenti sempre più produttivi, efficienti, flessibili, mobili e al sicuro dalle minacce informatiche del nuovo millennio. Il gran “battage” per la mobility sulle pagine delle riviste e nei convegni specializzati alimenta questo sogno, ma la realtà rischia di spegnere rapidamente gli entusiasmi. Alla teoria, infatti, si contrappone spesso la difficoltà implementativa di una soluzione integrata, perché mobilità non è solo avere un apparecchio in grado di collegarsi a una rete in modalità wireless. Avaya è, se non l’unica, come sostengono i suoi responsabili, certamente una delle poche aziende a poter vantare una piattaforma che comprende: telefoni IP (anche di tipo softphone), gateway di sicurezza, client VPN, soluzioni di unified communication, sistemi Wi-Fi con supporto della telefonia, integrazione di interfacce per la fonia su WLAN e GSM e soluzioni di accesso remoto a tutte le applicazioni come se si fosse ufficio, compreso un contact center multimediale, con capacità di instradamento, basato sulle competenze, delle chiamate attraverso tutti i canali. Grazie a tali elementi, le soluzioni di mobility Avaya, a detta della stessa società, sono in grado di coniugare le esigenze dei lavoratori, che richiedono una maggiore flessibilità dell’ambiente di lavoro, una riduzione di tempi e costi di spostamento per raggiungere il luogo di lavoro o i clienti e la possibilità di fare contatti in qualsiasi momento e ovunque. Secondo uno studio della UK Social Market Foundation, il lavoro remoto può aumentare la produttività degli impiegati fino al 30%. Inoltre, un lavoro più flessibile aumenta il morale e la soddisfazione, riducendo nel contempo il livello di stress dei dipendenti. • Una visione “user centric” Per ottenere questi obiettivi, peraltro, Avaya ritiene si debba accantonare il concetto del “anyone, anywhere, anytime, anyway” per abbracciare una filosofia centrata sull’utilizzatore, cui deve essere fornita la capacità di gestire la raggiungibilità e la disponibilità di una vasta gamma di opzioni di accesso. In altre parole, deve essergli dato il controllo della mobilità, che significa raggiungere “la persona giusta, nel posto giusto, al momento giusto, nel giusto modo”. Si tratta di un obiettivo cui si arriverà con il progressivo passaggio dalle reti convergenti, che solo oggi si stanno finalmente affermando in azienda, alle comunicazioni convergenti, che si basano, da un lato, su software e sistemi sempre più distribuiti e, dall’altro, su infrastrutture sensibili alle applicazioni (il riferimento è al Layer 7, l’ultimo, della pila OSI). Di fatto è il mondo verso cui si sta andando con i protocolli IP e SIP. Avaya ha rilasciato recentemente una gamma di apparati telefonici basati su SIP, cui si combina una soluzione di unified communication, impostata sulla “presenza”, con applicazioni di instant messaging (si veda Direction numero 7). Il tutto sotto l’egida di una strategia che, sfruttando le potenzialità della piattaforma MultiVantage, integra il tutto nel nuovo Converged Communications Server. Come accennato in precedenza, però, le soluzioni della società statunitense si spingono agli estremi della convergenza e dell’integrazione, con l’obiettivo di aumentare le possibili modalità di accesso da parte dell’utente finale. • Un telefonino per WLAN e GSM In collaborazione con Motorola e Proxim, Avaya ha messo a punto un sistema Voice over WLAN, in grado di integrarsi con una rete GSM. Più precisamente, la società statunitense ha presentato Avaya W310 WLAN Gateway e Avaya W110 WLAN Access Point, due prodotti che incorporano le tecnologie sviluppate con gli altri partner e che, grazie alla piattaforma di IP Telephony Communication Manager di Avaya, supportano la fonia sulla rete wireless locale. Il sistema è compatibile con il telefonino Motorola CN620, annunciato contestualmente, dotato di una doppia interfaccia radio: WLAN e GSM. La soluzione messa a punto dai tre protagonisti americani del settore permette anche il roaming trasparente tra le due infrastrutture wireless. In altre parole, l’utilizzatore può continuare la sua conversazione, senza avvertire differenze, secondo le dichiarazioni dei costruttori, anche passando dalla rete VOIP in azienda alla rete pubblica mobile esterna. Aldilà dei vantaggi che si possono avere anche semplicemente negli spostamenti all’interno di campus aziendali o location molto estese, la soluzione lancia le basi per la completa integrazione tra il telefono dell’ufficio e quello mobile. Non sono più necessari due apparecchi, ma è possibile mantenerne uno, con estrema semplificazione della gestione delle telecomunicazioni aziendali. C’è poi un risvolto che potrebbe portare a ROI rapidissimi: infatti, è sempre più frequente l’utilizzo del cellulare anche per chiamare il collega che si è o potrebbe essersi allontanato dalla sua scrivania. Con il sistema Avaya, la telefonata effettuata con il telefonino per chiama- re i colleghi diventa a tutti gli effetti una chiamata IP interna a costo zero. A questo si aggiunge il fatto che la segreteria telefonica viene accentrata comunque sul sistema aziendale, con conseguente abbattimento dei costi telefonici per chiamare la stessa. La soluzione supporta le piene funzionalità IP della piattaforma Avaya, compreso l’interrogazione vocale della posta elettronica, l’accesso alle directory aziendali e la realizzazione di audioconferenze multiple. Tutto questo anche quando ci si sposta dalla WLAN sulla rete pubblica. Come spiegato da Avaya, l’IT manager può inoltre gestire e monitorare centralmente le funzionalità di una rete locale wireless costruita sui dispositivi Avaya W310 Wireless LAN Gateway e W110 Access Point da un’unica console, con un ulteriore risparmio di lavoro e costi relativi. Avaya, infine, si fa garante della sicurezza della soluzione. Non solo i dispositivi WLAN sono dotati delle tecnologie previste dagli standard, tra cui il WPA (Wi-Fi Protected Access) che anticipa la ratifica dell’802.11i, permettendo la crittografia delle comunicazioni vocali, ma, come hanno spiegato i responsabili della società, la loro architettura è stata tutta progettata per fornire sicurezza, affidabilità ed elevata qualità della conversazione. Gateway e access point di Avaya, infatti, concentrano l’intelligenza per il controllo degli accessi e le security policy in un singolo gateway. Questo permette di identificare molto più rapidamente eventuali vulnerabilità della rete wireless e di impedire accessi indesiderati su access point periferici. Inoltre, il costruttore americano si fa garante della robustezza della soluzione, che è stata a lungo collaudata presso diversi clienti. La qualità della comunicazione è poi assicurata dalle caratteristiche di QoS (Quality of Service) basate sulle specifiche dello standard Wireless Multimedia Extensions (WME). G.D.B. Avaya W310 WLAN Gateway 9 CommuniCation Come adattare l’azienda ai nuovi business Rapidità dei cambiamenti e nuove sfide di mercato richiedono un’azienda tecnologicamente rinnovata e competitiva M ettiamoci nei panni del responsabile ICT di un’azienda di medie dimensioni che è alle prese quotidiane con il problema di mantenere in esercizio soluzioni installate e messe a punto alla fine degli anni 90. Oltre a mantenere in esercizio l’infrastruttura di elaborazione e comunicazione aziendale, cosa già di per se non facile, si vede chiedere di aumentare il ROI, ridurre il TCO, aggiornarsi sulle nuove tecnologie, pianificare l’integrazione di applicazioni aperte, adottare nuovi linguaggi che permettano di far fronte alla proiezione verso l’esterno del business aziendale, prevedere l’utilizzo di tecnologie di rete e di comunicazione convergenti, valutare le piattaforme mobili di nuova generazione, procedere al consolidamento dell’IT, eccetera. In pratica, si chiede di fare nel volgere di mesi quello che nel passato si è fatto su una scala temporale di anni. Non potendo fare tutto ovviamente alla fine si deve scegliere su cosa concentrarsi e, in non pochi casi, questo porta a porre l’accento su come adattare, più che rivoluzionare, l’approccio ICT dell’azienda in modo da rispondere alle nuove sfide di mercato, competitive, eccetera, che si prospettano. • Catalogare le attività Un primo passo può consistere nell’esaminare la tipologia e le metodologie delle attività svolte in azienda, condizione sine qua non per passare poi ad una fase di identificazione delle soluzioni volte a migliorare le modalità di svolgimento delle specifiche applicazioni e compiti aziendali.Va osservato che in un’azienda che deve essere obbligatoriamente più dinamica è 10 CommuniCation facile prevedere che la mobilità sarà uno degli elementi chiave delle attività aziendali. Gartner Group suffraga questa (peraltro non difficile) ipotesi affermando che entro il 2005 più del 30% dei dipendenti su scala mondiale utilizzeranno qualche forma di tecnologia di accesso remoto al fine di espletare i propri compiti aziendali e IDC stima da parte sua che l’insieme dei lavoratori mobili negli Stati Uniti arriverà già entro la fine dell’anno in corso a oltre 55 milioni. Non tutte le attività mobili sono però uguali e ad ogni attività si adatta uno specifico strumento. Va considerato che poi in alcuni casi si intende per mobile quello che mobile non è, come nel caso di un utente che accede da remoto, ad esempio dalla propria abitazione, ad una applicazione residente presso la sede centrale dell’azienda. Un’analisi del comportamento medio del personale aziendale porta a suddividere i dipendenti in tre categorie: i dipendenti che passano la maggior parte del loro tempo al desktop; i dipendenti sempre in movimento; i dipendenti con un comportamento lavorativo misto. In tal senso la tabella indica le percentuali di attività aziendali svolte presso la propria scrivania o in movimento.Come si osserva, personale quali i venditori o i consulenti dei clienti svolgono mediamente un 70-80% dei loro compiti in movimento e necessariamente in questo necessitano di piattaforme mobili sia per ciò che riguarda la fonia che per i dati. Corporate executive e personale di marketing hanno una percentuale di mobilità che è intorno al 50% mentre un quarto del loro tempo è trascorso presso la propria scrivania e un quarto (riunioni, corsi, seminari, eccetera) presso altre sedi aziendali o uffici della sede in cui lavorano. L’importanza della mobilità è quindi una caratteristica che tende a crescere (come profilo personale di un dipendente) in funzione del grado di responsabilità ricoperto o dell’impatto che il risultato delle sue attività ha sul fatturato aziendale. • Le soluzioni tecnologiche Ognuna delle tre categorie analizzate presenta caratteristiche specifiche in termini di esigenza di strumenti di lavoro. Per il personale che svolge il proprio compito ad una scrivania (della propria sede o di altre sedi dell’azienda o dalla propria abitazione nel caso dei telelavoratori) l’aspetto importante è che risultino in grado di accedere alle facilities di comunicazione aziendale, alle informazioni e ai servizi. Le applicazioni di comunicazione richieste sono in genere comprese nell’insieme delle funzioni di comunicazione e di messaggistica in real time. Il personale che trascorre la maggior parte del suo lavoro in movimento ha un’esigenza che si differenzia sensibilmente . Tra le applicazioni in questo caso necessarie vi sono quelle di messaging, di gestione delle informazioni personali, di applicazioni per filtrare le informazioni, messaggi e chiamate sino ad applicazioni di notifica. La caratteristica di base è che queste applicazioni, visto la natura itinerante dell’utilizzatore, devono essere rese accessibili con diversi strumenti, dal telefonino sino al portatile o al PDA. In posizione intermedia si trova il personale della terza categoria. Essendo però costituito da dipendenti di posizione aziendale elevata, alle funzioni illustrate si viene ad aggiungere l’esigenza di una personalizzazione specifica del proprio contesto di utilizzo delle applicazioni. Un aiuto per risolvere il problema posto dal dover far fronte alle diversità profonde in termini di esigenze del personale senza doversi immergere nell’identificazione di applicazioni specifiche, terminali, standard e così via viene per fortuna dall’evoluzione che caratterizza il segmento della comunicazione, che sta rendendo disponibili soluzioni che inglobano applicazioni PBX, Contact Center, messaggistica unificata, VPN e sicurezza.. Disponibili da parte di principali, ma non solo, fornitori nazionali e internazionali, queste tecnologie permettono di definire profili specifici per il singolo utilizzatore o per gruppi di utilizzatori, un poco sulla falsariga dei profili per gli utilizzatori nelle reti dati degli anni ottanta e novanta. Questi profili abilitano ad accedere ai servizi, e solo a quelli, per cui si è abilitati, con la possibilità di appartenere a classi diverse, ad esempio nel caso una persona ricopra più funzioni aziendali. Profilo tipico di dipendenti • La borderless enterprise è una realtà Perlomeno è una realtà possibile, nel senso che esistono ora gli strumenti per passare dalla teoria alla pratica, sia per la grande che per la media/piccola impresa. Questa disponibilità tecnologica è poi resa approcciabile dalla convergenza verso un numero abbastanza ridotto di standard, che vanno dall’IP, al protocollo di comunicazione (su IP) SIP, al linguaggio VMXL (che rende accessibile via voce il contenuto Internet e all’XML, oramai avviato ad essere il linguaggio standard per lo scambio di informazioni tra applicazioni tramite WEB. Standard di mercato in numero ragionevolmente ridotto e tecnologie di comunicazione aperte e multifunzionali permettono quindi di razionalizzare (e semplificare) l’infrastruttura di comunicazione aziendale. Non è tutto ma può essere un primo passo. G.S. 11 CommuniCation 3Com Secure IX per una protezione di classe enterprise La nuova gamma di sistemi di sicurezza, dal design compatto, completa l’offerta della società statunitense C on Secure IX 3Com completa la gamma di soluzioni per la sicurezza rivolte al mondo enterprise. I nuovi prodotti, progettati da 3Com e non frutto di partnership, si posizionano tra i dispositivi OfficeConnect, rivolti alle Pmi, e il Security Switch. La nuova famiglia presenta caratteristiche, se non uniche, come vorrebbe il costruttore, certamente comuni a poche soluzioni specializzate. Un esempio è il supporto combinato di multicast IP e SIP, senza il quale un firewall potrebbe bloccare le comunicazioni di IP Telephony e non consentire audioconferenze. Inoltre, ribadiscono i responsabili 3Com, è l’insieme di tutte queste singole funzionalità avanzate che non troverebbe sul mercato altri riscontri presso un fornitore unico. • Sicurezza per l’azienda estesa Le nuove soluzioni rispondono all’esigenza delle imprese sempre più distribuite sul territorio, con sedi distaccate, agenzie e piccoli uffici e finanche telelavoratori, di portare la sicurezza in ogni punto del sistema informativo. A detta del costruttore, quindi, Secure IX fornisce controllo degli utenti e dei dispositivi di accesso e protezione contro le intrusioni, garantendo l’integrità delle informazioni, eliminando il traffico indesiderato e consentendo la definizione di zone di sicurezza delimitate. Nello stesso tempo, consente di salvaguardare servizi di rete quali policy based traffic shaping, qualità del servizio a livello applicativo, alte prestazioni e bassa latenza nelle VPN e multicast routing sotto IPSec. Progettati con questo scopo, secondo le dichiarazioni della società statunitense, i nuovi prodotti fornisco- 14 Security no capacità di gestione e configurazione da remoto molto avanzate. L’installazione e l’eventuale ripristino dopo un malfunzionamento sono immediati grazie all’uso innovativo di una memory stick USB, che “funziona come la chiave di avviamento dell’auto”, come ha spiegato Giulio Galetti, direttore tecnico di 3Com, che ha dichiarato: “Finora, per risolvere i problemi di sicurezza delle filiali remote, garantendo le piene funzionalità e i requisti di rete, era necessario assemblare internamente una serie di prodotti da integrare con notevoli difficoltà di ingegnerizzazione e successivi costi di gestione, moltiplicati dalla necessità di operare sul posto”. Le caratteristiche di Secure IX sono quelle di un router avanzato combinate con le funzionalità di una security appliance evoluta. Dietro l’apparente banalità si nasconde la capacità di integrazione del tunneling VPN, per esempio, con il controllo della larghezza di banda basato su policy e il supporto della QoS, che assegna la banda a specifici tipi di traffico (come la voce) e ne limita il consumo per altri. Per quanto riguarda il controllo degli accessi, Secure IX fornisce ogni forma di autenticazione, compresa la certificazione X.509. Il firewalling attua l’analisi dei pacchetti di tipo stateful inspection, cui viene aggiunta una protezione specifica per gli attacchi DoS (Denial of Service). Una delle caratteristiche che vale la pena di sottolineare, in quanto non presente analogamente su ogni appliance di questo genere è il supporto di crittografia con accelerazione delle VPN IPSec, DES, 3DES e AES a 256 bit, per mantenere, secondo criteri 3Com, elevate prestazioni. Funzionalità di Web content filtering e la defi- illimitato di utenti). Dotato di 6 porte Ethernizione di policy per l’accesso alle applicazioni net 10/100, questo apparato supporta, tra l’ale ai servizi di rete permettono di eliminare tro, fino a 128mila sessioni concorrenti, 30 traffico indesiderabile e di preservarlo per Mbps di throughput nel firewalling, 10 Mbps servizi fondamentali. Ha affermato Galetti: “Le per le VPN 3DES e 50 tunnel VPN, secondo policy rule consentono, tra l’altro, di bypassa- dati di targa 3Com. re la codifica NAT (Network Address Transla- Secure IX 4100, invece, dispone di 4 porte tion), che, di fatto, impedisce di terminare una 10/100 e gestisce fino a 1000 tunnel VPN, chiamata telefonica su IP”. garantendo prestazioni di 200 e 100 Mbps Infine, Secure IX consente di definire regole rispettivamente per le operazioni di firewalper la comunicazione e lo scambio di informa- ling e VPN. Al top della gamma si posiziona zioni e risorse tra diverse “aree” della rete. Secure IX 5100, che aumenta tutte le prestaSono le cosiddette security zone, che 3Com zioni arrivando a gestire 256mila sessioni condefinisce come “segmenti di rete o VLAN, il correnti e 5000 tunnel VPN, con throughput di cui accesso viene regolamentato e così il traf- 600 Mbps per il firewalling e 300 Mbps per il fico che entra o esce dalla zona stessa”. virtual private networking. Comunemente, i sistemi di protezione defini- Altre differenze riguardano il numero di policy scono tre security zone: LAN, WAN e DMZ definibili (rispettivamente 100, 500 e 1000 per (o più di una di queste ultime). Con Secure IX Secure IX 3100, 4100 e 5100), di URL elencasi possono definire zone anche più delimitate, bili per le azioni di allow/deny (200, 1000 e appunto sulla falsa riga delle virtual LAN, ed è 2000) e così via. Secure IX 5100, inoltre, dispossibile regolare i servizi tra loro (e quindi pone di alimentazione e ventole ridondanti all’interno della rete), come avviene nei con- per aumentare l’affidabilità. fronti delle reti esterne, come ci ha spiegato Tutto questo a prezzi che 3Com definisce Galetti: “Non si tratta di semplicemente con- aggressivi: secondo Galetti “anche fino a 4 sentire o negare (allow o deny) accessi, ma volte meno del prezzo di mercato”, riferendoanche di assegnare priorità e fornire autenti- si al 5100. Più precisamente i prezzi di listino cazione (prioritize e authenticate)”. sono: da 495 a 995 dollari per Secure IX 3100, La definizione delle regole è piuttosto granu- 2995 dollari per Secure IX 4100 e 9995 dollalare, in quanto possibile in base a diversi attri- ri per Secure IX 5100. G.D.B. buti: per sorgente o destinazione del traffico (rete, security zone, indirizzi IP, grup- Caratteristiche famiglia secure IX 3100-10 3100-50 3100 pi e così via); per servizio di rete (Web, connettività/prestazioni FTP, SIP, email e altro); per ora/data; per utenti concorrenti 10 50 illimitati connessioni concorrenti 128000 128000 128000 azione (come spiegato sopra da Galetti). • La famiglia Secure IX Tutte le funzionalità software sono comuni all’intera gamma di dispositivi Secure IX, secondo una politica già adottata da 3Com per le proprie serie di router. I tre apparati, contraddistinti da un design compatto, si differenziano essenzialmente per le prestazioni che sono in grado di supportare. L’entry level è Secure IX 3100 (disponibile in tre edizioni per 10, 50 o un numero Un unico controllo unificato end to end per la sicurezza con 3Com Secure IX 4100 5100 illimitati illimitati 128000 256000 interfacce Ethernet 6 da 10/100 6 da 10/100 6 da 10/100 4 da 10/100 2 da 1 Gbps e 4 da 10/100 prestazioni Firewall 30 Mbps 30 Mbps 30 Mbps 200 Mbps 600 Mbps prestazioni VPN (3DES) 10 Mbps 10 Mbps 10 Mbps 100 Mbps 300 Mbps robustezza alimentazione e ventole n.d. n.d. n.d. RPS esterno ridondanza configurazione via memory stick USB si si si si no Sicurezza numero di tunnel VPN 50 50 50 1000 5000 Security Zone massime 5 5 5 10 50 policy group 50 50 50 100 200 policy rule 100 100 100 500 1000 schedule 25 25 25 50 100 elenchi URL per Allow/Deny 200/200 200/200 200/200 1000/1000 2000/2000 local database entry 50 50 50 200 500 Prezzo di listino (dollari) 495 795 995 2995 9995 Security 15 3Com Secure IX per una protezione di classe enterprise La nuova gamma di sistemi di sicurezza, dal design compatto, completa l’offerta della società statunitense C on Secure IX 3Com completa la gamma di soluzioni per la sicurezza rivolte al mondo enterprise. I nuovi prodotti, progettati da 3Com e non frutto di partnership, si posizionano tra i dispositivi OfficeConnect, rivolti alle Pmi, e il Security Switch. La nuova famiglia presenta caratteristiche, se non uniche, come vorrebbe il costruttore, certamente comuni a poche soluzioni specializzate. Un esempio è il supporto combinato di multicast IP e SIP, senza il quale un firewall potrebbe bloccare le comunicazioni di IP Telephony e non consentire audioconferenze. Inoltre, ribadiscono i responsabili 3Com, è l’insieme di tutte queste singole funzionalità avanzate che non troverebbe sul mercato altri riscontri presso un fornitore unico. • Sicurezza per l’azienda estesa Le nuove soluzioni rispondono all’esigenza delle imprese sempre più distribuite sul territorio, con sedi distaccate, agenzie e piccoli uffici e finanche telelavoratori, di portare la sicurezza in ogni punto del sistema informativo. A detta del costruttore, quindi, Secure IX fornisce controllo degli utenti e dei dispositivi di accesso e protezione contro le intrusioni, garantendo l’integrità delle informazioni, eliminando il traffico indesiderato e consentendo la definizione di zone di sicurezza delimitate. Nello stesso tempo, consente di salvaguardare servizi di rete quali policy based traffic shaping, qualità del servizio a livello applicativo, alte prestazioni e bassa latenza nelle VPN e multicast routing sotto IPSec. Progettati con questo scopo, secondo le dichiarazioni della società statunitense, i nuovi prodotti fornisco- 14 Security no capacità di gestione e configurazione da remoto molto avanzate. L’installazione e l’eventuale ripristino dopo un malfunzionamento sono immediati grazie all’uso innovativo di una memory stick USB, che “funziona come la chiave di avviamento dell’auto”, come ha spiegato Giulio Galetti, direttore tecnico di 3Com, che ha dichiarato: “Finora, per risolvere i problemi di sicurezza delle filiali remote, garantendo le piene funzionalità e i requisti di rete, era necessario assemblare internamente una serie di prodotti da integrare con notevoli difficoltà di ingegnerizzazione e successivi costi di gestione, moltiplicati dalla necessità di operare sul posto”. Le caratteristiche di Secure IX sono quelle di un router avanzato combinate con le funzionalità di una security appliance evoluta. Dietro l’apparente banalità si nasconde la capacità di integrazione del tunneling VPN, per esempio, con il controllo della larghezza di banda basato su policy e il supporto della QoS, che assegna la banda a specifici tipi di traffico (come la voce) e ne limita il consumo per altri. Per quanto riguarda il controllo degli accessi, Secure IX fornisce ogni forma di autenticazione, compresa la certificazione X.509. Il firewalling attua l’analisi dei pacchetti di tipo stateful inspection, cui viene aggiunta una protezione specifica per gli attacchi DoS (Denial of Service). Una delle caratteristiche che vale la pena di sottolineare, in quanto non presente analogamente su ogni appliance di questo genere è il supporto di crittografia con accelerazione delle VPN IPSec, DES, 3DES e AES a 256 bit, per mantenere, secondo criteri 3Com, elevate prestazioni. Funzionalità di Web content filtering e la defi- illimitato di utenti). Dotato di 6 porte Ethernizione di policy per l’accesso alle applicazioni net 10/100, questo apparato supporta, tra l’ale ai servizi di rete permettono di eliminare tro, fino a 128mila sessioni concorrenti, 30 traffico indesiderabile e di preservarlo per Mbps di throughput nel firewalling, 10 Mbps servizi fondamentali. Ha affermato Galetti: “Le per le VPN 3DES e 50 tunnel VPN, secondo policy rule consentono, tra l’altro, di bypassa- dati di targa 3Com. re la codifica NAT (Network Address Transla- Secure IX 4100, invece, dispone di 4 porte tion), che, di fatto, impedisce di terminare una 10/100 e gestisce fino a 1000 tunnel VPN, chiamata telefonica su IP”. garantendo prestazioni di 200 e 100 Mbps Infine, Secure IX consente di definire regole rispettivamente per le operazioni di firewalper la comunicazione e lo scambio di informa- ling e VPN. Al top della gamma si posiziona zioni e risorse tra diverse “aree” della rete. Secure IX 5100, che aumenta tutte le prestaSono le cosiddette security zone, che 3Com zioni arrivando a gestire 256mila sessioni condefinisce come “segmenti di rete o VLAN, il correnti e 5000 tunnel VPN, con throughput di cui accesso viene regolamentato e così il traf- 600 Mbps per il firewalling e 300 Mbps per il fico che entra o esce dalla zona stessa”. virtual private networking. Comunemente, i sistemi di protezione defini- Altre differenze riguardano il numero di policy scono tre security zone: LAN, WAN e DMZ definibili (rispettivamente 100, 500 e 1000 per (o più di una di queste ultime). Con Secure IX Secure IX 3100, 4100 e 5100), di URL elencasi possono definire zone anche più delimitate, bili per le azioni di allow/deny (200, 1000 e appunto sulla falsa riga delle virtual LAN, ed è 2000) e così via. Secure IX 5100, inoltre, dispossibile regolare i servizi tra loro (e quindi pone di alimentazione e ventole ridondanti all’interno della rete), come avviene nei con- per aumentare l’affidabilità. fronti delle reti esterne, come ci ha spiegato Tutto questo a prezzi che 3Com definisce Galetti: “Non si tratta di semplicemente con- aggressivi: secondo Galetti “anche fino a 4 sentire o negare (allow o deny) accessi, ma volte meno del prezzo di mercato”, riferendoanche di assegnare priorità e fornire autenti- si al 5100. Più precisamente i prezzi di listino cazione (prioritize e authenticate)”. sono: da 495 a 995 dollari per Secure IX 3100, La definizione delle regole è piuttosto granu- 2995 dollari per Secure IX 4100 e 9995 dollalare, in quanto possibile in base a diversi attri- ri per Secure IX 5100. G.D.B. buti: per sorgente o destinazione del traffico (rete, security zone, indirizzi IP, grup- Caratteristiche famiglia secure IX 3100-10 3100-50 3100 pi e così via); per servizio di rete (Web, connettività/prestazioni FTP, SIP, email e altro); per ora/data; per utenti concorrenti 10 50 illimitati connessioni concorrenti 128000 128000 128000 azione (come spiegato sopra da Galetti). • La famiglia Secure IX Tutte le funzionalità software sono comuni all’intera gamma di dispositivi Secure IX, secondo una politica già adottata da 3Com per le proprie serie di router. I tre apparati, contraddistinti da un design compatto, si differenziano essenzialmente per le prestazioni che sono in grado di supportare. L’entry level è Secure IX 3100 (disponibile in tre edizioni per 10, 50 o un numero Un unico controllo unificato end to end per la sicurezza con 3Com Secure IX 4100 5100 illimitati illimitati 128000 256000 interfacce Ethernet 6 da 10/100 6 da 10/100 6 da 10/100 4 da 10/100 2 da 1 Gbps e 4 da 10/100 prestazioni Firewall 30 Mbps 30 Mbps 30 Mbps 200 Mbps 600 Mbps prestazioni VPN (3DES) 10 Mbps 10 Mbps 10 Mbps 100 Mbps 300 Mbps robustezza alimentazione e ventole n.d. n.d. n.d. RPS esterno ridondanza configurazione via memory stick USB si si si si no Sicurezza numero di tunnel VPN 50 50 50 1000 5000 Security Zone massime 5 5 5 10 50 policy group 50 50 50 100 200 policy rule 100 100 100 500 1000 schedule 25 25 25 50 100 elenchi URL per Allow/Deny 200/200 200/200 200/200 1000/1000 2000/2000 local database entry 50 50 50 200 500 Prezzo di listino (dollari) 495 795 995 2995 9995 Security 15 Una soluzione CA per proteggere tutti i contenuti eTrust SCM: dall’antivirus al content filtering, la sicurezza delle informazioni vista dall’esterno e dall’interno dell’azienda L 16 Security e aziende hanno sviluppato una crescente sensibilità nei confronti della sicurezza IT. Al proliferare delle minacce, che si fanno vieppiù complesse e articolate, si abbina, oggi, la moltiplicazione e la pluralità di contenuti che si trovano sul posto di lavoro e che stanno modificando i requisiti di sicurezza delle imprese. Da un lato, infatti, bisogna tutelare la riservatezza e l’integrità delle informazioni aziendali, dall’altro è necessario proteggere le risorse, anche nel senso di evitarne l’abuso da parte sia di persone esterne all’azienda sia degli impiegati. Per rispondere a queste problematiche Computer Associates, che dispone di una suite integrata di soluzioni per la sicurezza, ha sviluppato eTrust Secure Content Manager (SCM). Si tratta di un sistema che riunisce le funzioni di protezione e gestione dei contenuti, fornendo, a detta dei responsabili della società, tutti gli strumenti necessari per la gestione della crescente complessità delle problematiche legate alla sicurezza dei contenuti nonché la comparsa di minacce miste. In particolare, eTrust SCM si basa sui punti di forza della tecnologia antivirus di CA, cui abbina altre tecnologie di content filtering che, stando alle dichiarazioni di Computer Associates, portano la sicurezza dei contenuti a un livello innovativo grazie a un’elevata granularità delle operazioni. no molto competitivo e ben sotto gli standard di mercato. Due sono le opzioni previste da Computer Associates: eTrust Secure Content Manager Gateway 1.1 ed eTrust Secure Content Manager Suite 1.1. Il primo è un prodotto perimetrale che, grazie alle funzioni di sicurezza dei contenuti e-mail e Web, controllo anti-spamming e filtri URL, consente alle imprese di difendersi in modo proattivo dalle minacce all’integrità del business e delle reti. Come hanno spiegato i manager della casa madre, si tratta di una soluzione vantaggiosa per le aziende che, pur utilizzando già un prodotto antivirus, richiedono una protezione supplementare finalizzata a limitare la diffusione di contenuti potenzialmente pericolosi, innalzando la sicurezza a un livello superiore. eTrust Secure Content Manager Suite 1.1 comprende eTrust Secure Content Manager Gateway ed eTrust Antivirus 7.1, presentandosi come soluzione completa e articolata di content management. Il vantaggio principale risiede nell’integrazione in un’unica soluzione di tutte le tecnologie di sicurezza in grado di salvaguardare i contenuti della posta elettronica e la navigazione su Internet da parte degli utenti aziendali, proteggendo nel contempo stazioni di lavoro, server e terminali mobili (notebook o PDA) da virus e worm. • Due le scelte disponibili • Protezione completa e avanzata eTrust SCM, disponibile in italiano (oltre che in inglese, francese, tedesco e spagnolo), può essere acquistato esclusivamente attraverso i rivenditori autorizzati CA a un prezzo che i responsabili della società statunitense ritengo- La disponibilità di funzionalità proattive avanzate, a detta dei dirigenti CA, è uno dei punti di forza del prodotto che prevengono dall’infezione dei codici maligni. Altrettanto importanti sono le regole per la gestione dell’antispamming. Il disturbo provocato dagli spammer e lo spreco di risorse conseguente è spesso sottovalutato in azienda. Non si tratta solo del tempo perso dagli utenti, ma anche della capacità di elaborazione dei server e dello spazio disco usati malamente. Peraltro, molti sistemi antispamming adottano regole troppo severe, bloccando mail che potrebbero essere “legittime”. L’utente è spesso costretto a controllare le mail scartate, alla ricerca di messaggi che attendeva o comunque utili per il proprio lavoro. Con eTrust SCM, l’utilizzatore può gestirsi autonomamente una personal white list, in cui inserire gli indirizzi dei mittenti leciti. La lista è personale, per cui lo stesso mittente può rimanere bloccato per il resto dell’azienda. Inoltre, le chiavi con cui viene filtrato lo spamming possono essere personalizzate, alla stessa stregua degli altri dizionari della soluzione. Nel filtraggio della posta elettronica come degli indirizzi Internet, il sistema è in grado di utilizzare regole personalizzabili e granulari, nella definizione delle azioni da intraprendere. Ne sono previste 27, che possono essere definite su sei livelli diversi sul piano generale e personale. Il potente motore di filtering effettua una ricerca del contenuto tanto nel corpo di un messaggio quanto negli allegati, garantendo, secondo le dichiarazioni CA, un tasso di falsi positivi trascurabile. Il controllo sui protocolli SMTP (quello della posta elettronica) e HTTP (quello del Web), inoltre, avviene sia in entrata sia in uscita. In altre parole, si prevengono le intrusioni e, contemporaneamente, si controlla sia il dipendente che naviga su Internet, impedendogli, per esempio, di accedere a siti pornografici, sia quello che spedisce materiale riservato dell’azienda via mail. eTrust SCM presenta anche un’altra caratteristica molto avanzata: la possibilità di consultazione della directory LDAP eventualmente presente in azienda. Questo permette di bloccare le mail inviate a mittenti sconosciuti prima che arrivino sui server, con un notevole sgravio del carico di lavoro su questi ultimi e un ulteriore livello di protezione da minacce di tipo DoS (Denial of Service). Un’ampia disponibilità di viste di sintesi e un reporting completo rendono semplice la gestione della soluzione. Per una maggiore sicurezza, l’aggiornamento dei database per il filtering di codici e contenuti è automatizzato. • Una soluzione per le PMI e l’enterprise eTrust Secure Content Manager risolve la mancanza di competenze spesso riscontrabile nelle piccole e medie imprese. Un unico prodotto integrato, infatti, evita di dover acquistare un paniere di software di sicurezza differenti, che vanno separatamente installati e soprattutto gestiti. Senza contare, che la loro integrazione potrebbe non essere efficiente o, addirittura, nemmeno efficace, venendo magari a mancare la possibilità di effettuare controlli incrociati. La soluzione, peraltro, risponde anche alle esigenze di scalabilità di una grande organizzazione. Si può ampliare, infatti, la capacità di protezione di eTrust SCM, acquistando più SCM Gateway. Ognuno di questi potrà essere dedicato a uno specifico impiego (per esempio, un Gateway per il filtraggio della posta; un altro per quello del Web e così via) oppure utilizzare più Gateway in parallelo per potenziare uno o più servizi. G.D.B. Una videata della console di eTrust Secure Content Manager Security 17 La lunga strada wireless dal WEP al WPA2 Il recente rilascio della versione finale dello standard 802.11i introduce nuove estensioni di sicurezza per le reti wireless I n un Paese come l’Italia, in cui la comunicazione mediante telefono cellulare registra una diffusione e un consenso straordinario, l’adozione di tecnologie per la trasmissione dei dati di tipo wireless appare un’evoluzione naturale e facilmente prevedibile. In effetti si tratta di un mercato che in Italia è in rapida crescita, ma che è stato rallentato da alcune perplessità. Una di queste è stata l’iniziale limite della velocità di trasmissione, superato con l’arrivo dello standard 802.11g in grado di supportare 55 Mbps e l’attuale disponibilità di apparati in grado di superare 100 Mbps (pur con soluzioni tecnologiche non standard). Il tema della sicurezza, che risulta fondamentale per abilitare la trasmissione di dati critici, rappresenta ancora il principale dubbio che le aziende si trovano a dover sciogliere per l’adozione di tecnologie wireless. Si tratta di un’incertezza da una parte causata da alcune vulnerabilità oggettivamente 18 Security riscontrate in alcune tecnologie adottate quali il WEP e, dall’altra, dal fatto che un attacco massiccio e organizzato alle reti wireless da parte della “comunità” degli hacker non è ancora partito e non si ha una corretta consapevolezza di quale potrebbe essere la sua portata. L’evoluzione tecnologica e la ratifica del nuovo standard 802.11i rappresentano, almeno rispetto al primo punto, un elemento di tranquillità, che può essere meglio compreso ripercorrendo brevemente l’evoluzione tecnologica che ne ha determinato il rilascio. • Le vulnerabilità del WEP aprono la strada al WPA Il WEP, acronimo per Wired Equivalent Privacy, è un algoritmo di cifratura cha fa parte dello standard 802.11, nato per difendere le comunicazioni wireless da possibili intercettazioni nella fase di trasmissione (il cosiddetto eavesdropping). Secondariamente il WEP provvede a prevenire accessi non autorizzati alle reti wireless e, sebbene questa funzione non rappresenti un obiettivo esplicito dello standard 802.11, è stata spesso considerata una sua funzionalità. Per garantire la confidenzialità dei dati il WEP utilizza un sistema di cifratura chiamato RC 4 che si basa sull’adozione di una chiave segreta scambiata tra una stazione mobile e un access point, usata per cifrare i pacchetti prima che vengano trasmessi e affiancata da un controllo di integrità per assicurare che i pacchetti non vengano modificati in transito. Il processo di cifratura prevede che il WEP prepari un “keystream “concatenando la chia- ve segreta condivisa fornita dall’utente della stazione mittente, con un vettore di inizializzazione (IV) a 24 bit generato casualmente, che rafforza la protezione della chiave stessa. Lo standard non affronta, però, le modalità con cui la chiave condivisa viene definita e, in pratica, nella maggior parte delle installazioni viene utilizzata una singola chiave condivisa tra tutte le stazioni mobili e gli access point. Quando vengono trasmessi messaggi con un inizio comune (per esempio “from” seguito da un indirizzo, per gli e-mail) la parte iniziale del “payload” cifrato sarà uguale se viene usata la stessa chiave. La vulnerabilità del WEP è dunque legata alla dimensione limitata del vettore di inizializzazione e al fatto che la chiave resta statica. Con soli 24 bit a disposizione, infatti, il WEP alla fine si trova a dover utilizzare lo stesso IV per differenti pacchetti dati e, nel caso di grosse reti, questa ricorrenza può avvenire entro tempi di solo un’ora circa. Ne consegue la trasmissione, in intervalli di tempo breve, di frame con keystream troppo simili, che possono consentire di individuare la chiave segreta comune, conducendo alla decifrazione di qualsiasi frame 802.11 trasmesso. Lo sforzo di creare uno standard in grado di fornire migliori caratteristiche di sicurezza per le reti wireless ha originato l’avvio del progetto IEEE 802.11i, uno standard indirizzato a definire funzioni di sicurezza più stringenti per le WLAN. Tuttavia l’evoluzione di questo standard è proceduta con estrema lentezza e, anche per questa ragione, la Wi-Fi Alliance nel 2002 creò il Wi-Fi Protected Access (WPA) come alternativa al WEP. Il WPA utilizza lo stesso algoritmo di cifratura del WEP (RC 4) ma adotta uno schema di gestione più forte delle chiavi implementando il Temporal Key Integrity Protocol (TKIP). Il TKIP usa un vettore di inizializzazione a 48 bit anziché a 24 bit e provvede a modificare automaticamente e in modo trasparente per l’utente, le chiavi di cifratura e il valore dell’IV, impedendo il riutilizzo dello stesso keystream. Il WPA ha costituito un subset del 802.11i, rappresentando una sorta di standard di sicu- rezza ad interim in attesa del suo rilascio definitivo avvenuto il luglio scorso. • Il Wi-Fi si indirizza al WPA2 ma mantiene il WEP Con la ratifica dell’802.11i è arrivato anche il rilascio da parte della Wi-Fi Alliance della seconda versione del WPA, siglata semplicemente WPA2.. La principale differenza tra WPA e WPA2 è che quest’ultimo utilizza una tecnica di cifratura più sofisticata denominata AES (Advanced Encryption Standard), che risulta anche compatibile con i requisiti governativi di sicurezza FIPS140-2. Questo algoritmo fornisce non solo una cifratura più resistente, con capacità di negoziazione crittografica, ma anche l’uso di chiavi dinamiche, che vengono generate per ogni sessione. Il primo settembre scorso la Wi-Fi Alliance ha annunciato la disponibilità del primo insieme di prodotti che sono stati certificati Wi-Fi per WPA2, rilasciati dalle società Cisco Systems, Intel, Atheros Communications, Broadcom, Instant802 Networks e Realtek. Tutti i prodotti certificati Wi-Fi per WPA2 sono basati sullo standard IEEE 802.11i e mantengono l’interoperabilità con quelli certificati WPA. In particolare, alcuni prodotti WPA potrebbero essere aggiornati a WPA2 mediante software, mentre altri potrebbero richiedere un cambiamento dell’hardware, a causa dell’elevata richiesta elaborativa associata al sistema di cifratura AES. La seconda versione del WPA, come la precedente, utilizza per l’autenticazione i protocolli 802.1X ed EAP (Extensible Authentication Protocol). Analogamente a quando accadeva per il WPA, inoltre, i prodotti che utilizzano la modalità WPA2 non sono in grado di supportare contemporaneamente i dispositivi WEP. Per ora, in ogni caso, il WEP resta un elemento base per i test di interoperabilità per tutti i prodotti certificati Wi-Fi. Con il tempo, la WiFi Alliance ha fatto sapere che potrebbe abbandonare il WEP come requisito per la certificazione Wi-Fi. R.F. Security 19 Un client sicuro con l’accesso remoto Check Point La soluzione della casa israeliana per le VPN SSL controlla il livello di sicurezza dei terminali prima di consentire l’accesso alla rete. È possibile registrare un crescente utilizzo del Web come strumento di accesso remoto. La diffusione della larga banda e non solo sta favorendo lo sviluppo del commercio elettronico e l’interesse da parte delle aziende di aumentare le possibilità di contatto con potenziali clienti o il mondo consumer. Come riportato da Check Point, a fronte di una diversificazione del terminale di accesso si riscontra la varietà delle modalità di connessione. L’utente aziendale, per esempio, si collega da remoto tipicamente attraverso una VPN, con applicazioni client/server basata su IPSec. Spesso, peraltro, si riscontrano situazioni ibride. Man mano che ci si “allontana” dall’azienda, inoltre, cresce l’impiego di connessioni SSL, che non richiedono l’installazione di un client sul terminale. Se si considera l’accesso attraverso un Internet kiosk in un bar, è facile comprendere come sarebbe impossibile per un’impresa configurarvi un programma personalizzato per vendere i propri prodotti online. Check Point, forse la prima società a sviluppare VPN IPSec, ha allargato la propria offerta con soluzioni SSL per rispondere alla richiesta crescente di connettività sicura basata su questo standard. Nell’ambito della propria strategia per la Web Security, infatti, la casa israeliana ha introdotto il gateway SSL VPN Connectra e SSL Network Extender per VPN-1. • Sicurezza per tutti gli elementi dell’ambiente Web Le soluzioni per la Web Security hanno recentemente completato la strategia Check Point, orientata a una protezione totale. Secondo i 20 Security responsabili della casa israeliana, infatti, la sicurezza perimetrale, di cui Check Point è stata antesignana, non è più sufficiente a proteggere compiutamente un azienda, considerando l’evoluzione continua delle minacce. È quindi necessario aggiungere una protezione interna, “vicina” alle applicazioni e ai sistemi che sono i veri obiettivi degli attacchi, e una protezione dedicata al Web, che sta assumendo un’importanza crescente nelle attività delle aziende. Check Point definisce l’ambiente Web: l’insieme di server Web, elementi di rete e protocolli che usano l’infrastruttura Web per scambiare informazioni. “Poiché esistono minacce che riguardano ogni componente – ha affermato Lorenzo Centurelli, technical manager di Check Point Software Technologies Italia -, una soluzione di sicurezza Web completa deve per forza affrontare e gestire la sicurezza a ogni livello considerato”. Il terminale di accesso è proprio uno dei punti deboli della catena e un veicolo privilegiato per le intrusioni. Spyware, worm, Trojan Horse sono tipici esempi di come possano essere “infettati” i terminali. Se non adeguatamente protetti, questi possono facilmente “consegnare” a un hacker esperto dati sensibili, password o altre informazioni che diventano utili per accedere a un intero sistema aziendale. Peraltro, anche quando l’accesso deve essere consentito a uno sconosciuto, non è possibile fidarsi del livello di sicurezza mantenuto da quest’ultimo. • La “collaborative security” delle VPN SSL di Check Point Proprio per superare questo problema Check Point ha sviluppato una soluzione che integra in Connectra e in SSL Network Estender for VPN-1 la tecnologia Integrity, già di Zone Labs (acquisita solo lo scorso gennaio). L’obiettivo della società israeliana è stato quello di fornire le connessioni VPN dello stesso livello di sicurezza garantito dalle VPN IPSec. Di fatto, come rimarcano i responsabili stessi della società, le reti private virtuali non sono di per se stesse sicure, ma forniscono protezione grazie alle caratteristiche di sicurezza dei due estremi della connessione. Questo vale anche per le VPN IPSec, mentre quelle SSL introducono ulteriori rischi. Si consideri, per esempio, che il firewall non può analizzare il traffico SSL che è cifrato. All’insicurezza dei client, inoltre, si aggiunge quella del gateway, esposto agli attacchi, e quella dei server e degli altri sistemi di backend. Inoltre, sussiste la necessità di incapsulare le applicazioni, con un conseguente accesso alla rete senza controlli granulari. Check Point, come ha spiegato Centurelli, ha protetto il gateway con un firewall integrato e con soluzioni di intrusion prevention, grazie ad Application Intelligence, Web Intelligence e SmartDefense. Anche il lato client, viene protetto come per l’IPSec, grazie appunto a Integrity, che consente a Connectra di estendere una serie di caratteristiche di sicurezza sul client, corrispondenti a diverse modalità di accesso. Per esempio, consente l’autenticazione del client via password, che tipicamente limita i diritti di accesso, oppure la strong authentication con token, che fornisce pieni diritti. Infine, attua una serie di controlli sul client, in modo da impedire l’accesso se, per esempio, viene individuato uno spyware. In particolare, secondo i dati forniti da Check Point, i controlli effettuati riguardano spyware, malware, keystroke logger e trojan horse. Connectra può quindi adattare i privilegi di accesso, a detta della casa israeliana, in funzione del livello di sicurezza del client. Si può ottenere, così, un’articolazione granulare degli accessi alle diverse informazioni, in funzione della loro criticità. Per esempio, un insieme di risorse considerato altamente “sensibile” e, come tale, meritevole della massima protezione, potrebbe essere reso disponibile solo ai client in grado di effettuare una strong authentication. Poter bloccare l’accesso preventivamente, consente alla soluzione di Check Point di ridurre il rischio di furto di dati o di password e di minimizzare i rischi provenienti da punti di accesso insicuri. Altra caratteristica importante di Connectra, relativamente alla sicurezza dei client, è rappresentata da One-click Remote SSL Access. Si tratta di una funzione che consente di creare extranet in maniera semplice, permettendovi l’accesso via SSL con “un click”. Allo scopo, Check Point ha dotato la propria appliance di un Web portal integrato. Tramite questo è possibile definire un gruppo extranet associandogli applicazioni, server o altre risorse e, secondo quanto dichiarato dai responsabili della casa israeliana, Connectra costruisce automaticamente un portale, fornendo a ciascun utilizzatore privilegi di accesso personalizzati. Come rimarcato dalla società, si tratta di una soluzione che permette di risparmiare, in termini di tempo e costi di gestione, rispetto alla configurazione manuale di diversi Web server per la creazione di zone extranet differenziate. Inoltre, si può semplificare, in questo modo, tutta l’architettura dell’infrastruttura di rete. G.D.B. Una sicurezza versatile per il client Security 21 Voto elettronico: una sicurezza fatta non solo di tecnologia Molte le problematiche di sicurezza, che variano dalla mancanza di riscontri auditabili a una carente percezione di fiducia I l voto elettronico appare un’applicazione ideale per essere affrontata in modo tecnologico e automatizzato. L’utilizzo di un sistema computerizzato e Internet based promette efficienza, precisione, rapidità e facilità di analisi oltre che risparmi di costo e tempo sia per gli elettori che per le organizzazioni governative. Quando si comincia, però, a pensare alle conseguenze che un’elezione governativa è in grado di determinare ecco che le certezze vacillano e che le problematiche in termini di sicurezza cominciano ad affiorare, inducendo non poche complicazioni. Da un punto di vista tecnologico, una soluzione di voto elettronico deve possedere doti di velocità, precisione, scalabilità a cui va aggiunto il requisito indispensabile dell’anonimità del consenso espresso, a fronte di un altrettanto necessario sistema per la registrazione della votazione eseguita. Negli Usa il voto elettronico è attivo ma più volte è stato oggetto di critiche o coinvolto in situazioni di scarsa affidabilità: per esempio è capitato che centinaia di voti venissero semplicemente “persi” dal sistema. Recentemente, poi, è emerso un ulteriore “pasticcio”, con il rilascio su Internet del codice sorgente presente sui sistemi utilizzati per il voto elettronico. Anche in Italia il voto elettronico è già stato più volte utilizzato, anche se sempre in forma sperimentale. Avellino è stata la prima città europea ad avviare una sperimentazione in tal senso in occasione del referendum costituzionale del 7 ottobre 2001, mentre l’esempio più recente si è avuto in sei città italiane durante le consultazioni europee del 13 e 14 22 Security giugno scorso. Finora si è trattato di una sperimentazione condotta su elettori volontari, muniti di una smart card e in cui i risultati non avevano valore legale: i volontari votavano anche in modo tradizionale, che era quello considerato valido. Queste iniziative sono state condotte nell’ambito del progetto sperimentale e-poll avviato nel 2000 e finanziato dalla Comunità Europea sotto l’egida del Ministero dell’Interno, con la finalità di realizzare un prototipo funzionante di un sistema di votazione elettronica esteso all’intero territorio della Comunità Europea, previsto per il 2009. Questo progetto prevede di dotare i cittadini di un apposito badge con microchip, sul quale vengono memorizzate le notizie necessarie per la votazione e alcuni dati biometrici (l’impronta digitale) che consentirà loro di esprimere il proprio voto presso appositi chioschi elettronici. • Elezione a prova di alterazione Tutte le raccomandazioni che, in genere, possono essere fatte riguardo alla necessità di proteggere informazioni aziendali di valore, assumono un significato amplificato passando a un ambito delicato come le elezioni. Il dibattito è già molto acceso negli Stati Uniti e comincia a fare sentire anche da noi. Da una prospettiva di sicurezza informatica, il voto elettronico è la situazione peggiore possibile: il valore degli asset esposti al rischio è elevatissimo, gli incentivi per chi ha interesse a interferire sono molto forti e il livello di sofisticazione dell’attacco che potrebbe essere portato è molto alto. Inoltre il sistema deve “dimenticarsi” della relazione tra votante e voto e questo impedisce eventuali audit successivi. Le tipologie di attacco possibile sono molteplici e spaziano dall’intrusione sul sistema di autenticazione, alla manipolazione del risultato, alla violazione dell’anonimato fino al boicottaggio tramite “denial of service”. Come accade anche per altri settori dell’IT, la sola tecnologia non rappresenta una garanzia di protezione e si dimostra più efficace in alcuni ambiti specifici. Per esempio, la garanzia di autenticazione è più semplice da affrontare con una risposta tecnologia rispetto all’accuratezza del sistema. La precisione, infatti, non è solo legata alle metodologie impostate per il conteggio, ma piuttosto è condizionata dalla complessità o semplicità del processo e dal numero di step intermedi che lo compongono, ognuno dei quali rappresenta una potenziale fonte di rischio. Il sistema basato sulle schede elettorali cartacee, di fatto, non manca in accuratezza, perché il processo è semplice e prevede pochi step, ma è carente in termini di velocità e scalabilità. Non è un caso che le soluzioni per il voto elettronico si siano sviluppate partendo dagli Stati Uniti, in cui la pratica dell’election day porta i cittadini a doversi esprimere contemporaneamente su dozzine di differenti elezioni, a fronte di richieste dei risultati finali in tempi molto brevi. • Fiducia più che autenticazione Va, inoltre, risolta la dicotomia tra la sicurezza effettiva e quella percepita. Come dimostrano anche recenti dibattiti nel nostro Paese rispetto a presunti brogli, l’assetto democratico si regge sul riconoscimento della validità del risultato elettorale, che è determinata dalla fiducia dell’elettore nei meccanismi e nelle procedure utilizzate per raccoglierle i voti e conteggiarli. Nel caso di utilizzo di un sistema elettronico per la registrazione diretta del voto, la percezione di sicurezza non è sostenuta dalla registrazione fisica dell’esistenza del voto stesso. La fiducia inoltre, deve essere estesa ai fabbri- canti che producono le macchine, alle persone e ai processi impiegati per esaminarle e farle funzionare. A tale riguardo, è noto che molte frodi (generalmente quelle di portata più ampia) vengono promosse da personale interno all’azienda che subisce il danno. L’attività criminosa per questi “insider” appare più semplice e, in genere, più profittevole per i privilegi di accesso di cui dispongono. C’è da chiedersi, a fronte di frodi scoperte magari dopo anni, quante siano in corso e restino non individuate. Analogamente è possibile che una serie di attacchi nell’ambito della macchine per il voto restino non identificati poiché, a oggi, anche negli Stati Uniti, non esiste un metodo indipendente per verificare se i voti sono stati registrati in modo accurato. Le macchine possono essere certificate, ma si deve sempre affrontare il problema delle procedure da utilizzare per garantire la perfetta identità tra la macchina certificata e quella utilizzata, che non ammettono nemmeno la correzione di “bug” dell’ultima ora, anche se identificati. Il tentativo di rispondere tecnologicamente ha determinato lo sviluppo di soluzioni di voto elettronico sorrette da tecniche di identificazione biometrica e di riconoscimento della voce (già sperimentate a Ginevra), mentre fioriscono iniziative e consorzi come l’Open Voting Consortium, che sta sviluppando un software gratuito di riferimento per le operazioni di voto, predisposto per l’uso con hardware di basso costo. Alcuni esperti propongono l’introduzione di sistemi software che consentano all’elettore di verificare che la sua preferenza sia stata regolarmente registrata o di soluzioni che producano contemporaneamente e in modo automatizzato un riscontro cartaceo dell’operazione di voto. Si tratta di un tema che apre interrogativi e prometti futuri dibattiti appassionati. Ma qualcuno è già andato oltre e sta preparando il sistema di voto con il telecomando. In Italia resta solo da sperare che, in tale eventualità, si eviti una sovrapposizione temporale con l’elezione di Miss Italia, per evitare confusioni dall’esito imbarazzante. R.F. Security 23 Sicurezza a tutto tondo per la «0 day» protection di ISS La società statunitense attua una politica di pre-emption, anticipando proattivamente e dinamicamente le mosse degli attacker N ell’ultimo anno, Internet Security Systems è cambiata molto: da fornitore di soluzioni software a produttore di hardware (le vendite della gamma di appliance Proventia rappresentano oltre il 50% del fatturato); da azienda specializzata nell’intrusion detection a specialista di sicurezza ad ampio spettro (solo il dispositivo Proventia M, per esempio, comprende soluzioni di antivirus, firewalling, intrusion prevention, content filtering, anti spamming). Il cambiamento più importante, in anticipo, a detta dei responsabili della società, rispetto a un mercato che oggi non parla d’altro, è lo sviluppo di una strategia orientata all’intrusion prevention o, meglio, alla “pre-emption”. Un concetto, questo, che va oltre la semplice prevenzione, indicando l’atteggiamento fortemente proattivo del team di ricerca e sviluppo, che anticipa il comportamento stesso degli attacker. • Oltre la prevention con la pre-emption Chris Rouland, CTO di ISS 24 Security Come già in passato è stato spiegato su queste pagine, ISS parte dallo studio delle vulnerabilità annunciate o scoperte direttamente da X-Force, il proprio team di ricerca e sviluppo. Gli esperti della multinazionale statunitense, presente in 27 paesi del mondo, identificano i metodi che potrebbero essere impiegati per sfruttare la vulnerabilità e sviluppa il codice di analisi in grado di individuare gli exploit basati su questi metodi. Come Chris Rouland, Chief Technology Officer di ISS, ha tenuto a precisare, non si tratta di una signature, la quale, tipicamente, è stabilita sugli exploit conosciuti e pertanto “reattiva”. Il codice sviluppato da X-Forse, infatti, è basato sull’analisi dei protocolli e, pertanto, indipendente dallo scripting del malicious code. In parole povere, «è in grado di identificare qualsiasi attacco formulato per sfruttare quella specifica vulnerabilità», ha spiegato Rouland, che ha aggiunto: «Dall’annuncio di una vulnerabilità, che fissa il “giorno 0” al momento in cui viene sferrato il primo attacco che la sfrutta, c’è un lasso di tempo che chiamiamo “proactive time”. Questo intervallo si sta riducendo velocemente e già si paventa la “0 day threat”, cioè l’attacco che parte lo stesso giorno in cui viene annunciata la vulnerabilità. A ciò, ISS è in grado di opporre la “0 day protection”, grazie alla tecnologia Virtual Patching». Il Virtual Patching è al tempo stesso una tecnologia e un servizio. Di fatto, quando viene annunciata una vulnerabilità è anche pubblicata la patch relativa. Sennonché i tempi di installazione di quest’ultima devono fare i conti con le esigenze di operatività quotidiana e diventano spesso troppo lunghi rispetto a quelli di reazione delle comunità di hacking. La soluzione ISS protegge i server come se fossero stati “accomodati” con la patch, mentre a essere aggiornato è solo il database del sistema di rilevamento delle intrusioni, grazie al servizio Xpu (X-Press Update) dell’X-Force. In questo modo i responsabili dei sistemi informativi possono valutare con calma quali patch converrà realmente installare (spesso comportano altri vantaggi, per esempio di tipo prestazionale) e, soprattutto, prendersi il tempo necessario. Addirittura, secondo le dichiarazioni di Rouland, ci sono casi in cui la protezione di ISS parte in anticipo rispetto al giorno zero, poiché è la stessa X-Force che trova la vulnerabilità e definisce la patch virtuale prima che venga annunciato il problema e sia pubblicata la patch ufficiale. È stato il caso, per esempio, della vulnerabilità alla libreria SSL di Microsoft, notificata a quest’ultima da X-Force il 4 settembre 2003 e rivelata e “patchata” dalla casa di Bill Gates il 13 aprile scorso. • Sicurezza vs prestazioni niversal Agent, che rendono Proventia non solo un’appliance capace di essere multifunzione, ma anche una famiglia di protezione multilivello, cioè in grado di portare la sicurezza sia in rete sia su server e desktop. Sul fronte delle prestazioni, comunque, ISS sta lavorando per aumentare quelle dell’appliance di IPS Proventia G. Il modello Proventia G1200 è ora disponibile con una capacità di analisi da 1,2 Gbps, ma entro fine anno sarà rilasciato il Proventia G2000, che raggiunge i 2 Gbps, pur aggiungendo una definizione più granulare delle policy e supporti per l’high availability. Peraltro, Stefano Volpi, country manager di ISS in Italia, rinnega la logica stessa di questo trade off: «È come se all’aeroporto, per ridurre la coda all’ingresso dell’area imbarchi, si accettasse di diminuire la sensibilità del metal detector». G.D.B. Tom Noonan, co-fondatore e CEO di ISS Storicamente le soluzioni di sicurezza, in particolare quelle concernenti l’analisi dei protocolli, penalizzano le prestazioni dei sistemi e delle reti. In generale, molte aziende cercano un bilanciamento tra il livello di sicurezza e quello di performance fornito e gli utilizzatori sono chiamati a valutare il trade off tra queste due variabili. Dieci anni di successi La strategia ISS al riguardo è quelISS ha compiuto dieci anni di attività il 24 settembre scorso, segnato da una continua la di non fare “sconti” sulla sicuinnovazione e conseguenti successi ricorrenti. Tom Noonan, Ceo della casa di Atlanta, ha rezza. rimarcato i risultati consolidati più recentemente: 250 milioni di dollari di fatturato, una Contemporaneamente, l’architetliquidità di 238 milioni di dollari, nessun debito e profittabilità. tura delle appliance Proventia è L’azienda ha negli ultimi tempi espanso la sua attività al di fuori degli Stati Uniti, dove, stata disegnata per garantire le però, ancora viene raccolta la maggior parte delle revenue: nel 2003 la ripartizione geomassime prestazioni possibili, per grafica delle stesse, infatti, era 69% nelle Americhe, contro il 19% dell’area Emea e il esempio, nel caso di Proventia M, 12% di Asia e Pacifico. Nel 2004 la percentuale statunitense scenderà al 58% ed entro due anni Noonan prevede di arrivare al 50%. con l’analisi dei pacchetti effettuaUn aiuto in questa direzione arriva dall’Italia, dove ISS ha ottenuto ottimi risultati nel ta una volta per tutte. In questo 2003, con un fatturato di 5,3 milioni di euro, che rappresentava un incremento di circa modo, a detta dei responsabili il 30% sul 2002. Ancora meglio è previsto per il 2004, secondo il country manager Stetecnici della società, i tempi sono fano Volpi, infatti, le vendite si dovrebbero attestare tra gli 8 e i 9 milioni di euro, per una molto inferiori a quelli raggiungicrescita intorno al 40%. bili con un sistema integrato di Merito del successo, secondo il dirigente italiano, è soprattutto il consolidamento della soluzioni diverse, soprattutto se presenza presso i clienti storici e la focalizzazione sul mercato enterprise. Peraltro, le provenienti da fornitori differenti. opportunità che si aprono con i recenti modelli di Proventia “tagliati” sulle esigenze delle Merito della Synchronous Deep medie imprese forniscono ulteriori elementi di ottimismo per il management italiano. Packet Inspection Engine e dell’U- Security 25 Nuove motivazioni spingono verso l’alto il mercato degli MSS I managed security service convengono sempre più tanto alle piccole quanto alle grandi imprese S Un Security Operation Center (fonte: Internet Security Systems) ta crescendo l’interesse nei confronti dei servizi di sicurezza gestiti o MSS (Managed Security Service). Non solo nel mondo, ma anche specificatamente in Italia. Tra le diverse ragioni che guidano questo trend, due sono predominanti, una delle quali di carattere tecnologico. L’evoluzione delle minacce sta procedendo con tassi di crescita preoccupanti, elevando il livello di complessità delle soluzioni che è opportuno adattare per ridurre il rischio. D’altro canto la carenza di competenze sul mercato e gli alti costi di gestione correlati a tale complessità rappresentano un problema per molte aziende. Nessuna può sentirsi immune da qualsiasi minaccia. Anche le grandi imprese possono trovare convenienza nell’affidarsi a un partner esterno, sia per “scaricare” parte dei costi sia per accrescere la propria sicurezza. A questo proposito è bene sottolineare che, in molti casi, i managed security service non possono essere considerati alla stessa stregua dei tradizionali servizi di outsourcing. È facile immaginare perché, data la sensibilità delle aziende nei confronti della problematica sicurezza. • Una partnership con il provider di MSS Un managed security service provider, in altre parole, diventa un partner che, a tutti gli effet- 26 Security ti, può essere assimilato a una divisione stessa dell’impresa. Questa, di fatto, non demanderebbe mai tutta la gestione della sicurezza, mantenendone quantomeno il controllo a livello centrale. Tipicamente, inoltre, a questo si aggiunge la definizione delle policy e, in generale, delle procedure di sicurezza e delle strategia a essa correlate. Mentre tutto quanto attiene alla gestione ordinaria e operativa (in pratica, gli aspetti più ordinariamente riferiti alla manutenzione) può essere esternalizzato e affidato a un provider esterno. Oltre a facilitare il reperimento di competenze, questo approccio permette anche di appoggiarsi a SOC (Security Operations Center) esterni, con conseguenti miglioramenti per la sicurezza. Da un lato, infatti, soprattutto le medie imprese, potranno utilizzare strumenti avanzati che, in passato, erano appannaggio esclusivo delle grandi imprese, dotate di grandi budget. In secondo luogo, come per tutti i casi di remotizzazione, si accresce l’affidabilità del sistema, potendo anche attuare politiche di disaster recovery. Il successo degli MSS è anche favorito dalla disponibilità di appliance all in one, installabili presso l’utente finale e gestibili da remoto. Talune appliance, inoltre, possono operare direttamente da remoto per fornire protezione perimetrale e interna. Un impulso al ricorso a servizi MSS arriva anche dalle leggi recentemente entrate in vigore, che obbligano l’impresa ad attuare misure di sicurezza. Con scelte di questo tipo si cerca di delegare almeno in parte la responsabilità. G.S. Salgono le minacce con l’hacker che diventa un «professionista» L’ hacking sta cambiando e con esso la tipologia di minacce e il rischio a loro associate. Si è osservato più volte come da uno sviluppo di virus e attacchi statici, spesso sviluppati per spirito goliardico, si è passati al proliferare di minacce ibride più complesse e articolate. Il progresso in questa direzione sta andando avanti, con attacchi che diventano dinamici e, in prospettiva, pronti a reagire a loro volta alle mosse difensive. Quello cui si sta assistendo, secondo diversi esperti del settore molti dei quali in contatto con le comunità di hacker, è un salto di qualità nelle risorse di ricerca e sviluppo a disposizione di queste ultime. Di fatto, in passato, i progressi erano possibili e venivano favoriti grazie a un massiccio scambio di informazioni, molto attivo in un mondo underground unito da una sorta di ideale comune. Oggi, invece, agli hacker arrivano veri e propri capitali che consentono di potenziare le risorse e organizzare una vera attività di ricerca e sviluppo. Il cambiamento è favorito dalla crescita delle attività on line. In altre parole, mentre in passato il danno che si poteva causare a un’azienda, con un’azione, per esempio, di defacement del sito Web, era relativo all’immagine, oggi si può arrivare a bloccare l’attività dell’azienda stessa per ore o giorni. Attacchi come Slammer o Blaster ne sono recenti esempi. Ma a questo si è aggiunto un crescente impiego delle tecniche di hacking per la realizzazione di vere e proprie frodi telematiche. È qui che entrerebbero in gioco ingenti capitali, messi a disposizione, secondo alcune anche autorevoli fonti, addirittura da elementi della malavita e, in particolare, della fantomatica mafia russa. Al momento bisogna accontentarsi dei “rumors”, che non risparmiano dai sospetti neanche le stesse aziende impegnate nella sicurezza: le prime a beneficiare di un clima arroventato e del proliferare delle minacce. Anche se questa ricorrente ipotesi (è stata formulata sin dai tempi dei primi virus) è alquanto azzardata, considerato il rischio che correrebbero tali aziende se non fossero più in grado di controllare l’escalation e di proteggere i propri clienti. Gaetano Di Blasio • Un problema che trascende il piano etico Qualunque sia il committente, peraltro, si accresce un problema già più volte dibattuto: è accettabile assumere un hacker? Si può, in altre parole, parlare di ethical hacking? I danni creati dai malicious code sviluppati da questi abili programmatori sono comunque reali e sono in molti a ritenere che tale comportamento, anche se spinto da motivazioni a volte futili e attuato da giovani se non giovanissimi, non vada premiato in alcun modo. La prospettiva cambia se lo scopo principale non è più mettere in mostra la propria capacità, ma realizzare una frode o, appunto, danneggiare una specifica azienda. D’altro canto, è l’opinione di molti altri finora, l’abilità è a ogni modo innegabile e anche comminando una pena, una volta che questa sia stata scontata è auspicabile che non vada persa ma, anzi, resa produttiva. Anche un hacker criminale “professionista” ha diritto alla redenzione e il problema potrebbe essere, in fin dei conti, solo la taratura della pena. A complicare ulteriormente lo scenario è l’apertura di fratture sempre più marcate tra le diverse comunità di hacker. Almeno secondo quanto riportato da esponenti di spicco della lotta alle stesse, sembra che ci sia una sorta di guerra tra gruppi contrapposti. In particolare, si parla di un’ostilità molto accesa tra hacker v statunitensi e cinesi. dida da scrivere 27 Si vivacizza il mercato delle WPAN Mentre Bluetooth prosegue nel suo processo di diffusione, cominciano ad affacciarsi soluzioni alternative di connettività wireless a corta distanza L a progressiva affermazione di soluzioni mobili per l’accesso ai dati e la loro elaborazione ha introdotto, all’interno del mondo del networking, un nuovo concetto di rete wireless dedicata in modo specifico alle connessioni a breve distanza. Questo tipo di architettura, indicato con la sigla WPAN (Wireless Personal Area Network), è pensata per connettere direttamente tra loro una serie di apparati situati entro distanze limitate (range di qualche decina di metri), senza doverli connettere fisicamente con un cavo. In questo modo è possibile collegare tra loro dispositivi di calcolo portatili e mobili quali i pc, i PDA (Personal Digital Assistant), le unità periferiche, i telefoni cellulari, i pager, gli apparati dell’elettronica di consumo (come le fotocamere digitali o i lettori MP3), permettendo a questi dispositivi di comunicare e interoperare tra loro. La prima tecnologia abilitante per le WPAN é stata quella a infrarosso basata sugli standard promossi dalla Infrared Data Association (IrDA) che, a causa del vincolo della visibilità diretta richiesta tra apparati, è stata sopravanzata dai sistemi a radiofrequenza, con la progressiva affermazione di Bluetooth come standard di riferimento. • La diffusione di Bluetooth e l’arrivo di ZigBee La tecnologia Bluetooth è attualmente supportata e utilizzata nei prodotti di oltre tremila aziende e il suo mercato è in costante crescita. Secondo dati riportati a settembre 2004 da IMS Research, è stato superato il traguardo 28 NetworkiNg dei 3 milioni di unità Bluetooth distribuite per settimana, a livello mondiale. La notizia è tanto più interessante poiché giunge a soli tre mesi dal raggiungimento della quota 2 milioni. Alle WPAN è dedicato uno specifico Working Group della IEEE, contraddistinto dalla sigla 802.15 e indirizzato a sviluppare standard tecnologici, raccomandare pratiche di utilizzo e pubblicare guide che possano essere recepite da un ampio mercato e affrontino le questioni di coesistenza e interoperabilità con altre soluzioni di rete wireless e cablate. All’interno di questo gruppo di lavoro sono presenti quattro Task Group. Il Task Group numero 1 ha pubblicato nel 2002 uno standard (802.15.1) per le WPAN basato sulle specifiche Bluetooth v1.1 mentre il Task Group 2 si occupa di promuovere pratiche e modi per facilitare la coesistenza tra WPAN e WLAN (basate su standard 802.11). Al Task Group 802.15.3 è, invece, demandato il compito di mettere a punto un nuovo standard per WPAN a elevato data transfer rate (20 Mbps o superiore), basso assorbimento e costo ridotto, indirizzato alle applicazioni portatili multimediali per il mercato consumer. Di particolare interesse è l’attività del Task Group 4, che venne creato per individuare una soluzione con basso “data rate” in grado di disporre di una batteria che potesse durare molti anni e caratterizzato da massima semplicità. Questo compito determino la ratificazione dello standard 802.15.4 nel maggio 2003. Nel corso di quest’anno si è costituito un ulteriore Task Group (4b) con l’obiettivo di sviluppare specifici miglioramenti e chiarimenti per l’802.15.4, che risolvano ambiguità, ridu- cano ulteriormente la complessità non necessaria, aumentino la flessibilità nell’uso delle chiavi di sicurezza e affrontino il tema dell’allocazione di frequenze rese disponibili recentemente. A questo progetto è stato dato il nomignolo ZigBee. Le soluzioni ZigBee si indirizzano all’automazione e controllo di case, edifici e apparati industriali, verso l’elettronica di consumo, le periferiche dei pc e i sistemi medicali di monitoraggio. Tra le possibili applicazioni vanno considerate, quindi, la realizzazione di sensori, di giocattoli interattivi, smart badge, telecomandi e soluzioni di home automation. ZigBee ha determinato la nascita di un’associazione che raggruppa oltre 50 produttori di semiconduttori, fornitori di tecnologia e OEM di livello globale (la ZigBee Alliance), che lavorano insieme per favorire i rilascio di prodotti di controllo e monitoraggio affidabili, economici, a bassa potenza, connessi in rete in modalità wireless basati su questo standard aperto. • Due tecnologie per applicazioni differenti Le specifiche ZigBee prevedono un sistema per la gestione dell’alimentazione per minimizzare il consumo di potenza, servizi di network management, accesso di canale CSMA/CA (Carrier Sense Multiple Access Collision Advoidance) e due possibili modalità di indirizzamento a 16 e 64 bit. Tale tecnologia opera in una banda di frequenza internazionale priva di licenze. Dispone di 16 canali nella banda ISM alla frequenza di 2,4 GHz, 10 canali in quella ISM a 915 MHz e un canale nella banda 868 MHz, rispettivamente con “data rate” di 250 kbps, 40 kbps e 20 kbps Questa tecnologia prevede tre tipologie di dispositivo: un coordinatore di rete che effettua l’establishment automatico e mantiene la conoscenza generale del network; un dispositivo con funzionalità 802.15.4 complete che, se dotato di memoria aggiuntiva e capacità di Legame tra ZigBee e lo standard IEEE 802.15.4 elaborazione, risulta adatto come router di rete e, infine, un dispositivo con funzionalità ridotte (per contenere i costi), da utilizzare negli apparati periferici di rete. Gli elementi chiave di questa tecnologia restano la flessibilità di connessione per un numero pressoché illimitato di oggetti (oltre 65.000 nodi), il costo ridotto e il bassissimo consumo energetico, affiancati da caratteristiche di sicurezza e affidabilità. In base a queste considerazioni alcuni analisti, quali Abi Research, prevedono che nel 2005 i dispositivi ZigBee distribuiti supereranno il milione di unità, azzardando addirittura previsioni per 80 milioni di unità a livello mondiale nel 2006. La società di analisi americana indica tra i settori che, per primi, dovrebbero adottare questa tecnologia, quello industriale seguito da quello degli acquirenti di networking. Ad alimentare questa crescita dovrebbero concorrere l’approvazione dello standard 802.15.4b e l’apertura del bacino dei mercati asiatici. Spesso le ZigBee e Bluetooth vengono proposte come due tecnologie alternative e, quindi, in competizione tra loro. In funzione delle specifiche caratteristiche, tuttavia, Bluetooth si dimostra migliore nella realizzazione di reti “ad-hoc” che connettono tra loro diversi dispositivi compatibili, per applicazioni di viva voce in auto e, in generale, per file transfer più impegnativi. ZigBee mostra le suo doti migliori in ambiti di rete statica, in presenza di molti dispositivi, utilizzo poco frequente e per piccoli pacchetti dati. Per queste ragioni sarebbe più corretto considerarle come due soluzioni differenti e indirizzate ad aree applicative diverse. Questo approccio è condiviso e promosso anche dalla ZigBee Alliance. R.F. 29 NetworkiNg Da Alcatel una piattaforma per il wireless Enterprise La piattaforma permette di realizzare soluzioni wireless estese all’intera azienda sia in ambito locale che geografico L a casa della comunicazione sviluppata da Alcatel è volta a risolvere i problemi che affliggono chi in azienda si trova a dover usare una varietà di terminali e di applicazioni in un contesto di rete fissa e mobile. Gli apparati della casa della comunicazione comprendono IP PBX, IP Contact Center e soluzioni di messaggistica unificata e si basano su una infrastruttura di rete che comprende switch e router della linea OmniSwitch. Della linea fa parte anche una piattaforma per la comunicazione wireless che costituisce la più recente espansione della proposta Alcatel nell’ambito delle reti aziendale. La piattaforma comprende switch per la gestione dei classici access point, appliance di accesso e access point adatti sia per un utilizzo in ambienti chiusi che da esterno. Integra la linea una suite software che comprende funzioni di pianificazione, gestione e sicurezza. • Gli switch OmniAccess 4000 Esempio di rete wireless con gli apparati OmniAccess di Alcatel 30 NetworkiNg Gli switch OmniAccess 4000 sono l’elemento di base della piattaforma Alcatel Wireless Enterprise e erogano le funzioni di sicurezza a livello wireless, gestione delle radio frequenze, intrusion detection, qualità del servizio e mobilità. Funzionalmente operano in congiunzione con il soft- ware Alcatel OmniVista Air Control System (ACS), con gli Access Point Alcatel 1200 (AP) e con Access Point di terze parti aderenti agli standard internazionali. Sono disponibili in due modelli, il 4012, che dispone di 12 porte 10/100BaseTx autosensing e il 4024 che dispone di 24 porte 10/100BaseTx autosensing. Gli OmniAccess 4000 sono apparati wirespeed con alimentazione Power Over Ethernet (IEEE 802.3af) su ciascuna delle interfacce 10/100, che possono essere utilizzate per alimentare access point Alcatel o di terze parti. Tre le modalità con cui è possibile connettere gli AP. La prima è di tipo diretto, con gli AP che vengono connessi alle porte dello switch 4000, che a sua volta viene connesso all’infrastruttura di rete fissa esistente. La seconda prevede la connessione degli AP direttamente agli switch della LAN. Tramite questa e il protocollo LWAPP (Lightweight Access Point Protocol), uno standard IETF, gli AP si collegano automaticamente agli OmniAccess 4000. Tutto il traffico dagli OmniAccess 1200 viene inviato mediante appositi tunnel al corrispondente switch WLAN OmniAccess 4000. La terza modalità è una combinazione delle prime due. Un aspetto saliente della soluzione è che in modalità ibrida gli OmniAccess 4000 erogano comunque le stesse funzionalità wireless a tutti gli access point, indipendentemente dalla loro modalità di connessione fisica. • OmniAccess 4100 Appliance WLAN L’appliance WLAN OmniAccess 4100 permette l’implementazione di servizi di wireless LAN sulla rete Ethernet esistente. A livello applicativo dispone delle funzioni che caratterizzano il modello 4000. Opera con il software OmniVista Air Control System (ACS), con gli Access Point Alcatel 1200 (AP) e con Access Point di terze parti. Ha due porte Gigabit 1000BaseSx, una per la connessione ad alta velocità verso la Lan esistente e la seconda per disporre di ridondanza. In una WLAN basata sul 4100 gli OmniAccess 1200 sono direttamente connessi alla LAN esistente e gli AP si connettono automaticamente all’OmniAccess 4100 attraverso il protocollo LWAPP. L’origine degli standard wireless Hedy Lamarr, famosa diva degli anni 30, oltre al pregio di essere ritenuta tra le più belle donne al mondo, ha avuto anche quello di avere brevettato nel 1942 la tecnica di frequency hopping, che è successivamente diventata la base degli standard IEEE 802.11 (modulazioni in RF FHSS, DSSS, OFDM). Pensato per le comunicazioni militari il suo principio base è ora adottato in tutti gli standard per la mobilità in area locale che si sono sviluppati in alternativa allo standard DECT. La versione degli AP denominata OmniAccess 1200R remote edge permette, inoltre, di estendere le funzionalità di sicurezza, prestazioni e gestione delle radio frequenze agli uffici remoti delle imprese. • Alcatel OmniAccess 1200 Access Point • Una gestione esaustiva e sicura Gli Access Point OmniAccess 1200 operano congiuntamente con lo Switch 4000 e l’Appliance 4100 e supportano simultaneamente gli standard 802.11 a/b/g o 801.11b/g. Sono equipaggiati con antenne radio interne e settorizzate e hanno disponibili come opzioni connettori per antenne esterne. Combinano la normale funzionalità di data forwarding con quella di controllo in tempo reale del mezzo trasmissivo. Ciò elimina il bisogno di installare nodi dedicati all’air monitoring per questioni di sicurezza, controllo, localizzazione e neutralizzazione delle intrusioni. Gli AP localizzano automaticamente gli switch/appliance WLAN Alcatel sull’infrastruttura Ethernet. Una volta validati, gli switch/appliance programmano automaticamente le informazioni di sicurezza, QoS, etc. sugli OmniAccess 1200. Tramite il software AirView, gli apparati determinano i canali e la potenza in uscita di questi dispositivi necessaria in termine di prestazioni e di copertura in radio frequenza. Per prevenire accessi non autorizzati alla rete gli OmniAccess 1200 vengono consegnati con certificati digitali X.509 integrati e, se abilitata dall’amministratore, supportano l’autenticazione 802.1x. Sono anche predisposti per il supporto hardware-based del nuovo standard di sicurezza IEEE 802.11i. La rete wireless è gestita tramite il software Alcatel AirView, che comprende un controllo intelligente delle frequenze. Il software adotta algoritmi che individuano e si adattano ai cambiamenti del mezzo trasmissivo (l’etere) in tempo reale. Elevate le caratteristiche per la mobilità che ne derivano. Gli switch permettono agli utenti di muoversi tra le zone di copertura relative ai vari AP, switch, e anche attraverso differenti sottoreti IP routed. Nutrite anche le funzioni di sicurezza. La piattaforma supporta l’encryption di Livello 3, inclusi IPSec con DES, 3DES e AeS CBC. A livello 2 supporta 802.1x (EAP), WEP, WPA con TKIP-MIC e AeS. A livello 1 fornisce una sicurezza per le radio frequenze, incluse le protezioni contro “denial-of-service” (DoS) e tentativi di intrusione. La continuità del servizio prevede anche che gli switch possano operare con una ridondanza N+1. Il software svolge anche il compito importante di riallocare automatica le frequenze e le aree coperte in base alla densità di terminali presenti in una determinata area. Ad esempio, se nella sala riunioni si vengono a trovare un numero elevato di utenti, il software ridistribuisce le aree di copertura delle celle, assegnando più bande capacità complessiva all’area interessata in modo da garantire un livello di servizio adeguato. G.S. 31 NetworkiNg Il 10GigaEthernet alla ricerca di mezzi a basso costo Due standard, uno varato e l’altro allo studio, per l’impiego di cavi coassiali e in rame mirano a rendere il 10GE accessibile alle imprese C ’è un freno economico alla diffusione dell’Ethernet ad alta velocità all’interno delle imprese. Infatti, da un lato comincia a sentirsi la necessità del Gigabit al desktop, ma dall’altro questo comporta l’innalzamento delle prestazioni al centro. Il 10 Gigabit Ethernet, peraltro, presenta ancora costi troppo elevati, non solo in termini di prezzo per porta dei dispositivi o delle interfacce di rete, ma anche in termini di cablaggio. Sul banco degli imputati la fibra ottica. Il problema è ovviamente noto da tempo ai costruttori e non è un caso se l’IEEE ha cercato di porvi rimedio con lo studio di due standard: l’802.3ak, meglio noto come 10GBase-CX4, approvato lo scorso febbraio, e l’ancor più interessante 802.3an o 10GBaseT, che dovrebbe approdare a un primo draft entro la fine dell’anno, ma la cui ratifica non è attesa prima del 2006. • Con il coassiale interfacce più economiche Il gruppo di studio per il 10GBase-CX4 è stato istituito nel 2002 per consentire di usare tecnologia Ethernet a 10 Gbps con cavi coassiali su distanze massime di 15 metri circa. Ovviamente l’impiego è limitato, ma comunque utile a realizzare risparmi, migliorando nel contempo l’efficienza di alcuni dispositivi. In particolare, dotando gli switch Gigabit di un’interfaccia 10GBase-CX4 è possibile realizzare stack, impilando due o più switch, che sfruttano appieno la banda aggregata. Inoltre, per rispondere alla crescente domanda di interconnessioni ad alta velocità all’interno del wiring closet, il 10GBase-CX4 può essere uti- 32 NetworkiNg lizzato nei data center per l’aggregazione dei server. Sono applicazioni in cui non è un problema il limitato raggio d’azione dello standard, in quanto i dispositivi in questione sono concentrati in poco spazio, mentre i benefici sono immediati in termini di costo per porta degli switch Gigabit. La nuova interfaccia risulta economica da implementare in quanto riutilizza parti di precedenti tecnologie previste da altre specifiche 802.3 e altri standard. Per esempio, possono essere utilizzati lo stesso tipo di connettori e cavi impiegati da InfiniBand 4X. Trattandosi comunque di uno standard Ethernet 802.3, altri risparmi per i costruttori derivano dal mantenimento delle caratteristiche architetturali, in termini di software e management. Secondo le stime dell’IEEE, i costi delle interconnessioni 10GBase-CX4 dovrebbero attestarsi attorno a un decimo di quelle per 10GBase su fibra ottica. • Il twisted-pair per una larga diffusione Come è stato per il Gigabit Ethernet, sarà molto probabilmente per il 10 Gigabit. Le reti a 1 Gigabit hanno cominciato a diffondersi solo con la possibilità di utilizzare cavi in rame e, in particolare, cavi di categoria 6 che, per quanto costosi, rappresentano un risparmio notevole rispetto la fibra ottica. Oggi l’esigenza di un backbone aziendale a 10 Gbps non è così forte da giustificare l’investimento necessario per realizzarlo e il 10GE sembra trovare una collocazione solo in ambito MAN pubblico, laddove è necessario collas- sare diversi segmenti di rete con migliaia di porte 10 Mbps. L’esigenza, però, esiste e non solo nelle aziende con un utilizzo pesante della banda. Incalzano nuove tecnologie e le reti convergenti, che, per quanto facciano leva soprattutto sulla qualità del servizio, risultano senz’altro più efficienti con una larga banda a disposizione. Soprattutto se si considera la grande impresa che voglia implementare reti multiservice con applicazioni di telefonia, videocomunicazione e così via. Un ruolo importante nella crescita della domanda di 10 Gigabit lo gioca anche la tendenza a costruire data center centrali con elevate densità di sistemi server e storage, la cui accessibilità e disponibilità è vitale per le attività dell’impresa. L’impiego del cablaggio in rame può abbattere considerevolmente i costi di realizzazione di reti 10 GE aziendali, dove non sono necessariamente richieste grandi distanze da coprire in un’unica tratta. Per questo, il gruppo 802.3an dell’IEEE sta lavorando dallo scorso marzo alla definizione di uno standard 10GBase-T che promette il supporto dei 10 Gbps su distanze fino a 100 metri, con cavi di prossima generazione, e fino a 60 metri con i cavi in rame esistenti. • Silenzio! Banda passante a 10 Gbps La difficoltà principale circa l’utilizzo del rame è relativa all’eliminazione del rumore esterno. Infatti, mentre con una sofisticata elaborazione digitale del segnale è relativamente semplice abbattere gli effetti del cross-talk tra diverse coppie di cavo o quelli della riflessione del segnale, ben altra cosa sono le interferenze elettromagnetiche, generate da sorgenti più o meno adiacenti al cavo. Per questo è difficile poter andare oltre i 100 metri e per questo un sottocomitato capitano dalla TIA (Telecommunications Industry Association) si sta preoccupando di fornire specifiche aggiuntive per l’installazione del cablaggio in trasmissioni sino a 60 metri, che sono suffi- La trasmissione nel 10GBase-CX4 Nello standard 10GBase-CX4 sono stati impiegati diversi componenti definiti nelle specifiche 802.3 e in altri standard. In particolare, per la trasmissione sono utilizzate le interfacce, definite nell’802.3ae, 10GE MAC (Media Access Control) e XGMII (Gigabit Media Independent Interface) e il codificatore/decodificatore XAUI (10 Gigabit Attachment Unit Interface) per dividere il segnale in 4 path differenziali a 3,125 GHz. Di fatto, quattro trasmettitori, da un lato, e altrettanti ricevitori operano in parallelo trasmettendo sul cavo coassiale a 2,5 Gbps l’uno. Sono quindi necessari 8 canali e una doppia equalizzazione di pre-emphasis in trasmissione e ricezione per compensare le perdite di segnale alle alte frequenze. Proprio questa equalizzazione ha spinto il comitato 802.3ak a definire cavi e connettori del CX4 in maniera più precisa rispetto a InfiniBand, rispetto ad alcune implementazioni dello stesso si potrebbero riscontrare differenze. cienti a coprire le esigenze di una larga parte di aziende. È prevista la definizione di una nuova entità di livello fisico, che comunicherà con le attuali interfacce 10GE MAC e XGMII e sarà basata sulla modulazione PAM (Pulse Amplitude Modulation), già impiegata per il Fast Ethernet e il Gigabit Ethernet, ma con symbol rate ed elaborazione del segnale raffinati. Proprio sul tipo di PAM da adoperare si sono subito scontrati gli appartenenti al gruppo di lavoro sullo standard. C’è anche chi alla PAM preferisce la tecnica nota come TomlinsonHarashima Precoding (THP). Evidentemente, il tortuoso percorso per arrivare alla definizione dello standard è solo agli inizi e ci sono diverse “tappe” da toccare: una per ciascuno dei numerosi elementi da considerare per costruire l’architettura del 10GBase-T. Per questo sarà difficile aspettarsi risultati concreti prima dell’attuale data fissata per l’estate del 2006. G.D.B. 33 NetworkiNg 10 Gigabit per lo switching stackable di D-Link La società amplia la gamma di soluzioni xStack con l’annuncio dei nuovi modelli DXS-3350SR e DXS-3326GSR L Lo switch Layer 2/3/4 D-Link DGS-3324SRi 34 NetworkiNg o spostamento progressivo sul protocollo IP di funzioni convergenti di tipo sempre più evoluto e la continua richiesta di incremento di banda necessari per supportarle, ha definitivamente consacrato la tecnologia Ethernet nella sua declinazione di classe Gigabit, come riferimento per le reti locali e le soluzioni Gigabit al desktop indirizzate a gruppi di lavoro. All’interno di questo mercato D-Link ha ampliato la gamma delle proprie soluzioni di switching di tipo stackable, con l’annuncio dei nuovi prodotti della Serie xStack, dotati di supporto integrato per Ethernet a 10 Gigabit. Gli switch D-Link xStack coniugano un nuovo design progettuale, con funzioni di uplink a 10 Gigabit e hardware di tipo Layer 3, proponendosi come soluzioni adatte a favorire un percorso di migrazione verso la tecnologia Gigabit Ethernet. Questi apparati dispongono di molte delle funzioni che caratterizzano le soluzioni basate su chassis, tra cui l’ampiezza di banda dedicata, la memoria flash removibile, l’alimentazione ridondante opzionale e le funzioni hot-swap. Gli switch xStack supportano, inoltre, funzioni di routing Layer 3 basate su ASIC (RIPv1/v2, OSPF e DVMRP), classificazione del traffico multilivello e Access Control Lists (ACL) L2/L3/L4. La tecnologia xStack di D-Link prevede 10 uplink fino a 10 Gbps, disponibili grazie a moduli opzionali per l’installazione di transceiver XFP compatibili con lo standard IEEE 802.3ae. Le caratteristiche della famiglia xStack rendono questi apparati una possibile alternativa alle soluzioni basate su chassis indirizzandosi, pertanto, alle esigenze infrastrutturali delle reti di piccole aziende, di workgroup con elevate caratteristiche prestazionali, ma anche di grossi centri di elaborazione dati dipartimentali. Grazie al supporto SIM (Single IP Management) di D-Link, si possono aggiungere fino a 32 switch per ogni stack xStack. Mediante il modulo di gestione Web integrato si può ottenere una vista ad albero con una chiara informazione sulle componente dello stack e la tipologia di rete che mostra la posizione delle unità in stack e le informazioni sul collegamento. Le funzionalità di gestione supportate da questa gamma di switch comprendono, inoltre, funzioni SNMP, RMON, VLAN, Quality of Service e funzioni di sicurezza Access Control. • Flessibilità di configurazione Una caratteristica interessante dei dispositivi xStack di D-Link è la possibilità di essere configurati in due opzioni di stacking differenti. Nel caso di stacking ad anello è possibile sfruttare la doppia interfaccia di stacking integrata a 10 Gbps in modo tale che tutte le unità connesse formino un’architettura che condivide un’ampiezza di banda pari a 40 Gbps per la comunicazione e la trasmissione dei dati tra le singole unità. La seconda opzione è quella di adottare una topologia a stella, utilizzando uno switch DLink DGS-3324SRi configurato come unità di stacking “master”. Il DGS-3324Sri, di per sé, è uno switch Layer 2/3/4 gestito che dispone 6 porte di stacking a 10 Gigabit per connettere fino ad altrettante unità della Serie xStack, arrivando a fornire fino a 120 Gbps di ampiezza di banda di stacking. Il DGS-3324SRi dispone di 24 porte 10/100/1000 e 8 porte combo SFP per la creazione di tronchi di porta o connessioni server e ha una capacità di switching massima pari a 168 Gbps. Per massimizzare il livello di disponibilità e semplificare la configurazione e gestione dei componenti di ricambio, questo switch supporta un alimentatore ridondante esterno RPSU (Redundant Power Supply) e una scheda di memoria di tipo Flash removibile, Accanto al DGS-3324SRi la gamma xStack comprende altri tre modelli che possono essere aggregati in stack, permettendo la configurazione di ambienti con livelli superiori di flessibilità. Il modello DXS-3326GSR è uno switch Layer 2/3/4, gestito e configurabile in stack, che si indirizza a esigenze di livello elevato in termini di densità di porta in fibra; all’interno di ogni unità trovano, infatti, spazio 24 slot Gigabit in fibra a cui si aggiungono 4 porte combo a 10/100/1000. Ha una capacità di stacking 10 Gigabit integrata e uplink a 10 Gigabit opzionale, mentre la capacità di switching complessiva raggiunge i 128 Gbps. È possibile connettere in stack fino a 12 dispositivi DXS-3326GSR, per un totale complessivo di 336 porte Gigabit. Nel caso in cui venga adottata una configurazione ad anello di switch DXS-3326GSR, queste caratteristiche determinano un’ampiezza di banda di stacking condivisa pari a 40 Gbps mentre, nel caso di topologia a stella, l’ampiezza di banda di stacking dedicata è di 20 Gbps. Il modello siglato DXS-3350SR è quello a maggiore densità di porte; si tratta di un apparato gestito con funzioni di livello 2/3/4, con 48 porte Gigabit in rame 10/100/1000 che includono 4 porte Combo SFP, adatto a supportare sia collegamenti in rame sia transceiver SFP per connessioni verso mezzi di trasmissione Gigabit in fibra ottica. Ha una capacità di switching pari a 176 Gbps e dispone di una connessione stacking a 10 Gigabit, con possibilità di uplink a 10 Gigabit opzionale. Se configurato con una topologia di stacking ad anello, il DXS-3350SR consente di disporre di un massimo di 336 porte Gigabit, raggiungendo una banda di stacking di 40 Gbps. Supporta una serie di funzionalità che solitamente caratterizzano le soluzioni basate su chassis quali caratteristiche hot swap e alimentazione ridondante opzionale. L’ultimo modello della gamma è lo switch DLink xStack DGS-3324SR, un dispositivo Layer 2/3/4 dotato di 24 porte 10/100/1000 gestite con 4 porte Combo e supporto SFP. Questo apparato dispone di una capacità di switching pari a 88 Gbps e supporta due porte di stacking integrate a 10 Gigabit, garantendo 40 Gbps di ampiezza di banda di stacking in modalità full-duplex. La gamma xStack completa, dunque, l’offerta D-Link nel network switching, che comprende anche switch modulari L3 Gigabit, dispositivi Gigabit unmanaged; switch unmanaged 10/100 Mbps in versione desktop, rackmount e smart; apparati 10/100 Mbps con funzione di negoziazione automatica della velocità managed o unmanaged di livello 2 e 3, in modalità standalone, stackable e modulare. R.F. Esempio di uno stack di switch D-Link Serie xStack, connessi con topologia a stella a un’unità master DGS3324Sri 35 NetworkiNg Matrix C2 estende i confini delle Secure Networks di Enterasys La nuova piattaforma di stackable switching dispone di interfacce 10/100/1000 Mbps con il supporto dello standard Power over Ethernet E nterasys Networks ha ampliato la propria gamma di dispositivi di rete, mantenendo fede al proprio programma per le Secure Networks, con una nuova serie di stackable switch destinati alle applicazioni di periferia. La società statunitense ha posto l’accento sulle caratteristiche prestazionali e in particolare sul supporto di interfacce switching a velocità 10/100/1000 con supporto di Power over Ethernet (PoE), che pongono la nuova serie ai vertici della categoria. La serie Matrix C2 fornisce elevati livelli di sicurezza e protezione dei dati proprio nel punto in cui utenti e dispositivi si connettono alla rete e, a detta dei responsabili della società, è la scelta ideale per le applicazioni business-critical in rete. La periferia, infatti, rappresenta storicamente il punto d’impatto principale degli attacchi. Lo sviluppo dell’extended enterprise, con partner, clienti e dipendenti che si collegano tramite un insieme di dispositivi in continua espansione, tra cui non mancano apparati wireless, notebook, telefoni IP e server farm, rende sempre più arduo e complesso il compito di garantire la sicurezza della rete e consentirne un uso appropriato. • Una “matrice” di soluzioni La famiglia Matrix C2 va a completare una gamma di dispositivi che spaziano dal core all’edge della rete, fornendo quelle essenziali funzionalità per la sicurezza, secondo la strategia delle Secure Networks. Tra queste, per esempio, il supporto dell’autenticazione 802.1x, MAC e Web e della strong authentication grazie a SSL, SSH e RADIUS. 36 NetworkiNg La serie è composta da sei piattaforme di switch gigabit stackable di ultima generazione e ad alta densità, secondo i dati di targa Enterasys, che recitano: 24 porte 10/100/1000; 48 porte 10/100/1000; 48 porte 10/100/1000 PoE;48 porte 10/100; 48 porte 10/100 PoE; 24 porte 10/100/1000 con doppi uplink da 10 Gbps (tramite modulo XFP). Ogni switch supporta policy statiche e dinamiche. Complessivamente, la densità raggiungibile in un singolo stack è pari a 384 porte 10/100 con un massimo di 32 uplink Gigabit o, addirittura, pari a 384 porte tutte Gigabit. Gli switch comprendono una porta di stacking la quale, oltre a eliminare la necessità di uno switch preposto allo stacking stesso, permette la comunicazione tra apparati adiacenti a 40 Gbps full duplex, che, per gli 8 switch impilabili in un singolo stack, porta a una larghezza di banda totale di 640 Gbps. Sempre secondo i dati forniti dal costruttore, inoltre, ogni switch dispone di una switch fabric da 160 Gbps che supporta lo switching e il routing su tutte le porte alle massime prestazioni consentite dalla linea. Curata anche la disponibilità del sistema, grazie, per esempio, al Closed Loop Stacking, che garantisce la continuità del servizio anche quando un dispositivo della pila dovesse guastarsi. Inoltre, sono supportati Spanning Tree e Link Aggregation. Quest’ultima, in particolare, anche distribuita su più stack. Per quanto riguarda la qualità del servizio, Enterasys dichiara che Matrix C2 supporta la classificazione dei pacchetti a livello 2, 3 e 4. A questo si aggiunge la definizione di policy valide su tutta la rete e la disponibilità di otto code di priorità su ogni porta. Infine, sono supportati tutti i protocolli per la gestione degli apparati con tool standard di management. • Una soluzione integrata Portare i vantaggi delle Secure Networks ai punti periferici della rete, secondo quanto spiegato dal management della società statunitense, consente di aumentare la protezione, al tempo stesso diminuendo l’impatto della sicurezza sulle prestazioni. Per gli utilizzatori è fondamentale, d’altro canto, non rallentare la propria operatività e per questo la combinazione degli switch Enterasys a livello centrale e dei Matrix C2 sull’edge fornisce condizioni di sicurezza dinamica elevate, in grado di adeguarsi alle esigenze dell’azienda. “Enterasys Networks continua a rilasciare soluzioni che consentono di raggiungere gli obiettivi di business, garantendo la disponibilità di rete, la protezione dei dati vitali e il controllo su molteplici persone e dispositivi”, ha affermato Mark Aslett, presidente e Chief Operating Officer di Enterasys Networks, che ha aggiunto: “La serie Matrix C2 è l’ultimo esempio del nostro impegno a fare sempre meglio, per fornire i più alti livelli di sicurezza. Le reti aziendali devono andare oltre il focus su costo, capacità e connessione per abbracciare requisiti chiave di business come la continuità, il contesto, il controllo, la conformità e il consolidamento”. Il dirigente americano ha poi voluto osservare: “Alcuni fornitori di networking sacrificano le prestazioni, le funzionalità e/o la sicurezza per essere competitivi a livello di prezzo. Enterasys è invece impegnata nell’offerta di prodotti che non solo garantiscono un alto livello di prestazioni ai margini della rete, ma che hanno anche la sicurezza integrata nel loro DNA”. Davide Losi, major account manager e direttore marketing di Enterasys Networks in Italia, dove ricopre anche il ruolo di responsabile per il Secure Networks Group, ha inoltre dichiarato: “Mentre altri fornitori si limitano a parlare della loro visione di sicurezza di rete, Enterasys fornisce già soluzioni con- crete che riducono immediatamente la vulnerabilità, aumentano l’efficienza e la produttività e incrementano in modo significativo la sicurezza nell’intera rete, persino in reti eterogenee con tecnologia di fornitori diversi”. Appena immessa sul mercato, la famiglia Matrix C2 ha subito riscontrato un forte interesse da parte dei VAR di tutto il mondo partner di Enterasys, a detta dei responsabili della stessa società che sostengono sia un prodotto ottimale per il modello distributivo a due livelli. Una testimonianza in tal senso arriva da Joe Serra, vice presidente networking e highend storage product marketing di Tech Data, che ha affermato: “Ora più che mai, le imprese necessitano di soluzioni per la sicurezza della rete e la protezione dei dati che siano efficaci, ma a prezzi ragionevoli. Il prezzo competitivo e le funzionalità della serie Matrix C2 ne fanno una soluzione versatile per i reseller, che la possono proporre con successo a svariati settori, per soddisfare la domanda di affidabilità e sicurezza di rete”. G.D.B. La serie di switch impilabili Matrix C2 permette di realizzare uno stack con fino a 8 elementi Una promozione “convergente” da IDC Spinto dalla convergenza delle applicazioni, dall’espansione di rete e dai necessari aggiornamenti e potenziamenti, il mercato Ethernet switching è uno dei settori a più rapida crescita, secondo IDC. La società di ricerca statunitense stima che il mercato mondiale supererà i 15 miliardi di dollari nel 2008. A detta dei responsabili Enterasys, poiché la convergenza implica che un numero crescente di comunicazioni aziendali sempre più critiche condividano le stesse reti, si rende necessario disporre di una maggiore sicurezza e ampiezza di banda e di una QoS superiore. Proprio i bisogni cui risponderebbe la serie Matrix C2. Max Flisi, analista di IDC ha commentato: “Enterasys ha portato le capacità di policy e sicurezza delle Secure Networks su una piattaforma stackable con un prezzo competitivo, consentendo alle imprese di applicare politiche di sicurezza granulari ai punti periferici della rete. Inoltre, con il supporto, primo sul mercato, di una soluzione 10/100/1000 PoE in formato stackable, la serie Matrix C2 soddisfa l’esigenza di avere infrastrutture già pronte per la convergenza.” 37 NetworkiNg Il traffico sotto controllo con IPFIX Uno standard in via di approvazione definisce il formato di esportazione delle informazioni sui flussi di pacchetti I l traffico sulle reti è aumentato in modo vertiginoso negli ultimi anni e, anche se da sempre si è sentita l’esigenza di poterlo analizzare, oggi questo bisogno è diventato un problema che sta facendo impazzire molti network manager. Di fatto, i dispositivi di rete, che meglio di altri si trovano a trattare il traffico, sono i router, ma non è facile estrarre informazioni utili e “leggibili” da questi, in modo da poter attuare un’accurata analisi del traffico. Sono stati, nel tempo, sviluppati diversi prodotti che operano in parallelo ai router per recuperare queste informazioni, “sniffando” la rete (dal nome di un noto network analyzer). In molti casi questi strumenti si trovano a operare in maniera proprietaria, non potendo contare sull’aiuto dei router presenti sulla rete, in mancanza di uno standard per l’esportazione delle informazioni dagli stessi. Oggi che le esigenze di analisi si fanno sempre più pressanti cresce l’attesa per uno standard che da qualche tempo l’IETF sta studiando. Tali 38 NetworkiNg esigenze sono fortemente sentite non solo per la semplificazione del network management, che pure ha assunto un’importanza fondamentale con lo sviluppo delle reti convergenti e le imposizioni della QoS, ma anche e soprattutto per il potenziamento delle soluzioni di sicurezza. Queste ultime, infatti, fanno un massiccio utilizzo dell’analisi dei pacchetti per espletare le loro funzioni. Si tratta dell’IPFIX (IP Flow Information Export). La maggior parte delle specifiche è stata definita e attualmente queste sono disponibili come draft, nell’attesa di essere pubblicate come RFC (Request for Comment). E’ plausibile che ci vorrà ancora un po’ prima della ratifica finale. L’utilizzo di questo standard dovrebbe rendere più semplice la formulazione di statistiche e l’invio di informazioni utili per la gestione a varie soluzioni di management o ad applicazioni di supporto. In parole povere, non sarà più necessario che i dipartimenti IT sviluppino o acquistino interfacce ad hoc per adattare formati proprietari dei file di esportazione affinché i propri sistemi di management possano dialogare con i router distribuiti in rete. Il problema sussiste, in realtà, soprattutto con l’impiego di soluzioni di management poco diffuse e, pertanto, non supportate da tutti i vendor, nonché con quelle che, per forza di cosa, sono state personalizzate all’interno delle aziende. Si prevede che tutti i principali produttori di router implementeranno l’IPFIX non appena sarà disponibile. A partire da Cisco Systems, che guida il gruppo di lavoro e sul cui NetFlow è stata impostata la definizione dello standard. Come sempre accade in queste situazioni, vale la legge del più forte e la casa statunitense è l’indiscusso leader del settore. Questo non significa che lo standard abbia avuto una storia breve e indolore, tanto è vero che la ratifica era inizialmente prevista per la prima metà di quest’anno. • Un formato unico per i dati sui flussi di traffico Lo standard IPFIX si propone, quindi, di definire un unico formato per l’esportazione dei dati da un router o uno switch (del resto i dispositivi di rete attuali sono ormai sempre più ibridi). Tale formato è stato disegnato per essere estensibile, in modo da non richiedere continui aggiornamenti di software (né del router né dello strumento di gestione) al cambiare delle esigenze di monitoraggio del traffico. Queste, in effetti, possono variare relativamente spesso all’interno di un’organizzazione, laddove è importante conoscere le variazioni del traffico e valutare le statistiche in base al flusso per prendere importanti decisioni in termini di pianificazione e controllo dell’utilizzo delle risorse. L’amministratore che è in grado di sapere quanti pacchetti e byte sono inviati e ricevuti da un determinato indirizzo IP o attraverso una specifica interfaccia di rete possono più facilmente impostare policy o privilegi per quelle porte. Analogamente, è possibile prendere provvedimenti quando i valori dovessero superare determinati parametri, lasciando supporre un abuso delle risorse. Soprattutto è facile che sia necessario visualizzare i flussi di traffico in base a criteri diversi per avere un quadro completo della situazione e poter prendere determinate decisioni. Solo la conoscenza permette la misura e solo quest’ultima consente l’ottimizzazione delle prestazioni. Lo standard, inoltre, impone una discreta flessibilità, dovendosi prevedere la possibilità di aggiungere o cambiare i campi (cioè i parametri e i protocolli) stabiliti per il monitoraggio dei flussi. Per fare questo, IPFIX è stato disegnato sulla base di template, che ne accrescono l’adattabilità. Per esempio, possono essere effettuati cambiamenti per includere l’indirizzamento IPv6 o la visualizzazione specifica dei pacchetti IP Multicast, che potrebbero sommarsi al monitoraggio dei pacchetti IPv4. IPFIX prevede, di default, l’esportazione dei dati sulla base di sette campi chiave: l’indirizzo IP della sorgente; l’indirizzo IP della destinazione; la porta sorgente; la porta di destinazione; il tipo di protocollo Layer 3; il byte del tipo di servizio (Type of Service); l’input logico d’interfaccia. Due pacchetti vengono considerati appartenenti allo stesso flusso se tutti e sette i campi coincidono. I pacchetti di uno stesso flusso vengono conteggiati e considerati con gli stessi criteri, al fine di produrre statistiche consistenti. Ci sono anche altri campi che possono essere adoperati per tracciare i pacchetti in funzione di specifici obiettivi: per esempio, la maschera IP della sorgente o della destinazione, le flag TCP, l’IP next hop e così via. Questi non sono considerati campi chiave dallo standard, ma se un network manager volesse conteggiare i pacchetti in base a uno dei campi addizionali è possibile aggiungerlo a un template. Questo, tramite un numero di identificazione viene univocamente associato a un flusso di dati da esportare. Il router o switch, compatibile a IPFIX, che conteggia i flussi di traffico invia le definizioni dei template al server raccoglitore dei dati, specificando quali record di flussi si deve attendere e in che ordine. Tali record vengono poi decodificati e immagazzinati su questo server. Di fatto, lo standard definisce un sistema di comunicazione tra un dispositivo di analisi dei pacchetti, il router o switch Layer 3, e un collector server. L’utilizzo dei template permette di mantenere un’elevata flessibilità di raccolta dei dati, secondo formati che qualsiasi dispositivo o applicazione compatibile con IPFIX sarà in grado di riconoscere, attraverso l’interpretazione dei template stessi. G.D.B. 39 NetworkiNg HP ProCurve uniforma la gestione di LAN e WLAN Grazie alla partnership con AirWave, Hewlett Packard fornisce un sistema di gestione integrato e centralizzato per le reti wireless L a progressiva adozione delle reti wireless ha messo in evidenza come i costi operativi associati al funzionamento di questo tipo di network siano, in genere, significativamente più elevati rispetto a quelli associati all’hardware. Una ricerca condotta da Meta Group ha, per esempio, evidenziato che l’aspetto gestionale costituisce il tema singolo più critico per le aziende di livello enterprise che decidono di adottare una wireless LAN. Le reti Wi-Fi, infatti, sono caratterizzate da aspetti specifici rispetto alle LAN tradizionali; per esempio l’interferenza a radiofrequenza e le condizioni ambientali sono in grado di influire pesantemente sulle prestazioni e a ciò si aggiungono pattern di utilizzo dinamico imprevedibili. Altri aspetti specifici riguardano la mancanza di sicurezza “fisica” intrinseca alla rete, la presenza di implementazioni proprietarie di alcuni “standard” 802.11 o la ristrettezza di banda delle implementazioni tecnologiche meno aggiornate. Si tratta di una serie di aspetti che inducono spesso a disporre di soluzioni gestionali specializzate e separate per le WLAN. Per affrontare questo problema HP ha introdotto, all’interno della propria offerta nell’ambito della mobilità, una soluzione gestionale interoperabile, di tipo aperto e basata su standard industriali, che consente di controllare dalla medesima console di tipo Web-based dispositivi di rete wireless multivendor. Il software di gestione di rete è denominato AirWave Management Platform (AMP) ed è il risultato della collaborazione avviata da HP ProCurve Networking con AirWave Wireless. La capacità di interoperabilità di AMP con 2 NetworkiNg altre piattaforme di network management esistenti consente, inoltre, di riunire tutte le operazioni di gestione, aprendo la strada a un livello di scalabilità pensato per le reti globali. • Una soluzione wireless integrata gestita centralmente In un’implementazione basata sui sistemi ProCurve, AMP permette di gestire e configurare da remoto la famiglia di access point wireless HP, che include il modello 420wl adatto per ambienti misti 802.11b e 802.11g (predisposto per il supporto del Power over Ethernet 802.3af) e l’access point 520wl, progettato in modo da supportare sia lo standard 802.11b che quello 802.11a a 5 GHz. Una rete wireless ProCurve si può avvalere, poi, dei controller di accesso HP Serie 700. Il controller 720wl è il dispositivo ProCurve che si colloca tra gli access point wireless e il network e che potenzia le funzioni di autenticazione verificando il diritto di accesso in base all’utente, alla località di accesso e al momento di accesso al network. L’access control server 740wl è, invece, l’apparato che fornisce una configurazione centralizzata delle funzioni di sicurezza, la gestione delle policy per gli utenti della rete wireless e che garantisce sessioni ininterrotte al passaggio dell’utente da una sottorete all’altra o da un access point all’altro. Il software AMP tiene sotto controllo costantemente le prestazioni e l’utilizzo dei dati sia degli access point wireless che degli access controller Serie 700, in modo da poter effettuare una diagnosi continua e avvisare gli amministratori non appena si verifica un problema. L’architettura proposta da HP prevede che l’access control server 740wl sia collocato al centro del network, da dove opera anche la piattaforma di gestione AMP; alla periferia della rete si collocano, invece, gli access controller ProCurve 720wl, che provvedono a rafforzare l’insieme delle policy attraverso il 740wl. Nel caso si vogliano implementare caratteristiche di alta disponibilità è possibile utilizzare molteplici sistemi 740wl per la ridondanza. Questa impostazione consente di definire centralmente le policy utente e implementarle alla periferia del network, assicurando che sia concesso l’accesso alla rete solo agli utenti autorizzati. La soluzione gestionale AMP provvede a monitorare e configurare in modo automatico gli apparati di rete ProCurve mediante gli access point HP, utilizzando protocolli standard quali SNMP. L’amministratore utilizza il control server 740wl per definire e applicare le policy utente agli access controller distribuiti e il software AMP comunica direttamente con il control server per ottenere i dati per l’autenticazione dell’utente che consentono di identificare e localizzare gli utenti autorizzati presenti sulla rete. In questo modo gli apparati di rete HP ProCurve Networking e il software AirWave operano in maniera coordinata tra loro e con l’esistente infrastruttura di rete consentendo, secondo quanto sostiene HP, di ridurre in maniera considerevole i costi operativi del network, senza penalizzare gli investimenti fatti in precedenza. HP rende disponibili diverse versioni del software, in modo da costituire soluzioni scalabili e a prezzo contenuto per WLAN di ogni dimensione, dalle piccole reti presenti all’interno di singoli edifici a quelle distribuite su molteplici campus. plementazione di opportune tecnologie di sicurezza basate su standard. Per la protezione del traffico wireless gli access point ProCurve supportano gli algoritmi di cifratura WEP e WPA, mentre gli apparati ProCurve Serie 700 forniscono, se necessarie, ulteriori opzioni crittografiche quali il tunneling VPN. La soluzione AMP, da parte sua, provvede alla configurazione e all’auditing automatico delle impostazioni di cifratura su tutti gli access point. A livello di controllo di accesso e di procedure di autenticazione, la sicurezza è garantita dal supporto sugli access point di funzioni quali l’autenticazione su base porta secondo lo standard 802.1x e il VLAN tagging, mentre AMP effettua in modo automatico il rafforzamento e l’auditing delle policy di controllo dell’accesso su tutti gli access point. Infine, per assicurare che non vengano lasciati sguarniti punti di accesso non autorizzati, le soluzioni di networking integrate HP ProCurve e la piattaforma di gestione AirWave operano congiuntamente per individuare possibili access point non autorizzati. Per esempio, l’HP ProCurve 520wl supporta lo scansione a radiofrequenza per punti di accesso anomali, mentre AMP è in grado di individuarli automaticamente sia mediante scansione RF sia tramite il “fingerprinting” su Ethernet. R.F. Un esempio d’implementazione wireless sicura, gestita centralmente mediante la piattaforma AMP • Le funzioni per garantire la sicurezza del network La garanzia di protezione dell’accesso e del traffico, oltre ad avvalersi di un’impostazione architetturale pensata per la protezione della parte “core” del network, è garantita dall’im- 3 NetworkiNg Prestazioni e affidabilità per la famiglia Altos di Acer Ampliata la gamma di sistemi server e dispositivi per lo storage con i nuovi G710, G520, R710, S200F e S205F A Il posizionamento dei server Acer Altos 42 Server e Storage cer ha rinnovato la propria gamma di server Altos con tre nuove macchine siglate G710, R710 e G520. A questi la casa taiwanese ha anche aggiunto S200F e S205F, due nuovi dispositivi di storage. I nuovi prodotti innalzano i livelli prestazionali delle soluzioni di fascia intermedia, confermando le scelte tecnologiche da tempo attuate da Acer. Come accennato, i nuovi server si indirizzano alla fascia dello small e medium business o, più precisamente secondo la definizione della società taiwanese, verso le imprese da 50 a 150 utenti, che ricercano tipicamente applicazioni di print server, file server, email server, Web server, FTP server, workgroup e domain name server. I modelli G710 e R710, che sostituiscono i G701 e R701, si posizionano nel segmento alto di questa fascia, potendo soddisfare le esigenze anche della classe enterprise. Acer Altos G520, che prende il posto del G510, invece, si colloca nel segmento inferiore, risultando indicato anche per le esigenze delle imprese appartenenti al mondo Soho. Secondo IDC, il mercato dei server biprocessori a base x86 è destinato a crescere del 15% fino a raggiungere i 15 miliardi di dollari nel 2007. Un trend positivo confermato da Forrester Research che vede segnali di ripresa del settore già nel 2005. Un mercato per il quale Acer ha affinato tecniche e strategie, prevedendo la completa adesione agli standard e l’implementazione di soluzioni innovative fondate su questi ultimi. I trend evolutivi identificati dalla casa taiwanese immaginano la diffusione di processori di nuova generazione che supportano bus di sistemi più veloci (800 MHz) e le tecnologie Intel per l’estensione di memoria a 64 bit (EM64T) ed Enhanced Intel SpeedStep Technology. Certo il successo delle specifiche PCI Express e delle memorie DDR2 a 400 MHz, che oltre a migliorare la banda comportano un minor consumo di potenza. • I nuovi server Acer Altos G710, secondo i dati forniti dal costruttore, si presenta con uno o due processori Intel Xeon (da 800 MHz FSB o da 2,8 GHz, 3,6 GHz o velocità di clock superiori), compatibili con tecnologia EM64T di Intel, pertanto in grado di indirizzare 64 bit, e con la tecnologia Intel Hyper-Threading e la microarchitettura Intel NetBurst, che migliora l’efficienza del processore. Gli slot ECC SDRAM DIMM sono 8, tutti in grado di ospitare una memoria DDR2 400. A questi elementi, che già migliorano le caratteristiche del G701, si aggiunge una completa dotazione di interfacce bus: 6 slot PCI, 2 alloggiamenti X4 PCI Express, 3 slot PCI-X a 64 bit e 100 MHz e uno PCI da 32 bit e 33 MHz. È compresa anche una scheda ATI Rage XL VGA con 8 MB di VRAM. Per la connessione in rete è disponibile una doppia interfaccia Gigabit Ethernet, combinata con il supporto di funzionalità per il load balancing e la fault tolerance. Per quanto concerne la memoria di massa, invece, G710 dispone di 8 drive bay per dischi rigidi, che supportano sia SATA sia SCSI e di dual-channel U320 SCSI. Il sistema è dotato di controller RAID 1-10 SCSI, che, a richiesta, può essere integrato sulla scheda madre. Opzionalmente, le baie possono essere dotate di rimovibilità a caldo, che distingue invece l’alimentatore. A salvaguardia del pregresso, la macchina è dotata di diverse porte ormai legacy: due porte PS/2, una porta seriale a 9 pin, 4 porte USB (di cui due accessibili dal frontale), due connettori Ethernet RJ-45, una porta VGA/video. Sostanzialmente analogo è il modello Acer Altos R710, dove la R ricorda la struttura predisposta, in questo caso con un fattore forma di 2U, per il montaggio su rack. Per questo utilizzo sono state ottimizzate e ingegnerizzate diverse altre caratteristiche, a partire dalla ventilazione, facilitata dalle prese d’aria sul frontale e forzata da un sistema di 4 o 8 ventole ridondanti, cui si aggiunge il sistema di raffreddamento dell’alimentazione. R710 è indirizzabile alla gestione di apparati di storage e a funzionalità RAS (Remote Access Server), per le quali è previsto il Serial Management, il Text Console Redirection, con supporto Serial Over LAN, e la compatibilità con le specifiche IPMI 2.0. Anche Altos G520 è dotato di caratteristiche d’avanguardia, come i processori su menzionati. Una prima differenza si riscontra a livello di RAM, laddove nel G520 il supporto copre fino a 4 DIMM DDR2 a 33 MHz. Gli slot PCI sono 5, di cui uno X4 PCI Express, due PCI da 64 bit e 66 MHz e due PCI da 32 bit e 33 MHz. Quattro, SATA o SCSI, le baie per dischi rigidi. L’alimentazione è hot swappable. • I sistemi di storage Studiata per salvaguardare spazio e al tempo stesso mantenenere scalabilità, la famiglia Acer Altos S200 può essere facilmente personalizzata, a detta dei responsabili della società. Per questo si può scegliere tra Fibre Channel (a 2 Gbps) o JBOD e si possono installare fino a 16 disc drive di un massimo di 250 GB l’uno. In un sistema pieno, pertanto, si arriva a 28 TB di capacità storage. Le prestazioni, secondo dati di targa Acer, prevedono due controller attivi e ridondanti che trattano fino a 50mila richieste di I/O per secondo e 380 Mbps di throughput. Per la disponibilità, sono state pensate componenti hot swappable per i dischi, i controller RAID/JBOD (che sono di default ridondati) e l’alimentazione. Per facilitare la gestione, le macchine sono state inoltre dotate di LED per allarmi, che possono essere anche sonori, e il modello S205F anche di Acer RAIDWatch & RS232, l’interfaccia software per il management dei controller (su S200F c’è solo l’interfaccia RS232). I due modelli si distinguono per il processore adoperato e, soprattutto, per la disponibilità di memoria cache: è presente (da 512 MB a 1 GB) solo in S205F; mentre in entrambi c’è una flash memory, da 4 MB per S205F e da 1 MB per S200F. Acer Altos G710 • Mattoni per costruire soluzioni Comune a tutti i nuovi server è il corredo software, che comprende il sistema di configurazione EasyBuild, che consente di installare un qualsiasi sistema operativo e di gestirlo attraverso un’interfaccia browser intuitiva. Molto utile è anche EasyDiagnostics, i cui LED permettono di rilevare rapidamente eventuali problemi. A questo, il modello Altos G710 aggiunge l’ePanel, cioè un sistema che, tramite un piccolo display posto sul frontale della macchina, consente di visualizzare immediatamente lo stato della stessa e la notifica di eventuali problemi. Infine, tutte le macchine possono essere gestite anche da remoto tramite ASM (Acer Server Manager). Giunto alla release 6.0, il sistema di management risulta particolarmente utile sia alle grandi imprese, che debbano amministrare i server posti nelle sedi distaccate o comunque distribuiti in azienda, sia ai provider che volessero fornire un servizio di gestione per gli apparati installati presso l’utente finale, magari il piccolo ufficio che non dispone delle competenze necessarie. G.D.B. 43 Server e Storage Apple rilascia il file system per le SAN Xsan consente condivisione e gestione dello storage in rete, principalmente per le esigenze di workflow video professionale e di consolidamento A L’applicazione gestionale Apple Xsan Admin 44 Server e Storage pple ha reso disponibile Xsan, una soluzione costituita da un file system ad alte prestazioni per le SAN (Storage Area Network) e dall’applicazione gestionale Xsan Admin. Questi due elementi mettono a disposizione degli utenti Apple un file system cluster a 64bit su Mac OS X economicamente accessibile e ad alte prestazioni, che abilita accesso scalabile e ad alta velocità a storage espandibile e condiviso centralmente in una Storage Area Network. Per le sue caratteristiche, Xsan trova la sua collocazione ottimale nell’ambito di attività di consolidamento dello storage, all’interno di grossi cluster dedicati alla computazione e in workflow che richiedono elevata larghezza di banda; tra questi ultimi, in particolare, si evidenzia il settore del video professionale, per applicazioni di digitalizzazione di contenuti multimediali e di video editing. Il file system Xsan supporta fino a 64 sistemi client, ognuno con accesso contemporaneo in lettura e scrittura ai volumi condivisi, e rappresenta la soluzione Apple complementare ai propri sistemi hardware Xserve e Xserve RAID. • L’organizzazione dello storage Il concetto fondamentale alla base di Xsan è quello di centralizzare i dati e condividere l’accesso alle informazioni, organizzando le risorse in pool ed eliminando la complessità dello storage provisioning. Una rete storage Xsan risulta, quindi, costituita da una serie di volumi di storage condiviso disponibile fisicamente su sistemi di memorizzazione Apple Xserve RAID e che appaiono ai client degli utenti come volumi caricati sulla propria postazione, da utilizzare come fossero hard disk di tipo locale. È possibile sfruttare i tipici schemi RAID di livello 0, 1, 3, 5 e 0+1 supportati dal sottosistema Xserve RAID, mentre gli schemi RAID 10, 30 e 50 non sono adeguati all’uso con Xsan poiché assumono l’utilizzo dello striping software AppleRAID, mentre invece Xsan effettua il proprio striping. All’interno di una rete Xsan, l’hardware di controllo e il software dei sistemi Xserve RAID provvedono a combinare i diversi moduli disco in un array basato su uno schema RAID scelto dall’utente. Ognuno di questi array appare sulle reti Fibre Channel (FC) come un’unità logica denominata LUN (acronimo di Logical Unit Number), che viene creata tramite l’utilità gestionale RAID Admin associata ai sistemi Xserve RAID. Xsan Admin consente, quindi, di combinare le LUN in raggruppamenti storage (storage pool) che possono interessare uno o più array e di operare con lo storage in rete attraverso un’interfaccia grafica semplificata. Gli storage pool, a loro volta, si compongono per formare il volume Xsan che appare agli utenti come un disco locale, con in più il vantaggio che la dimensione del volume può crescere mano a mano che vengono aggiunti array di storage pool e che altri utenti della SAN sono in grado di accedere, nello stesso tempo, ai file presenti sul volume. Per controllare quale storage pool è usata per immagazzinare file specifici (per esempio, per fornire differenti livelli di servizio a diversi utenti o applicazioni), è poi possibile associare una cartella su un volume di Xsan, con uno degli storage pool che compongono il volume. Grazie a questa impostazione è possibile aggiungere, in qualunque momento, nuovi volumi a una SAN e anche aggiungere spazio libero a un volume Xsan senza alcuna interruzione per gli utenti o le applicazioni che si appoggiano su quel volume. Per fare ciò vi sono due modi possibili: aggiungere sistemi Xserve RAID (nuove LUN) agli storage pool esistenti oppure nuovi storage pool ai volumi. Il primo metodo richiede di smontare e rimontare il volume sui client; il secondo consente di aggiungere spazio senza che gli utenti notino alcun cambiamento, a parte la vantaggiosa disponibilità di più spazio nei volumi che utilizzano. • L’architettura di una rete Xsan Da un punto di vista architetturale, una SAN basata su Xsan prevede la presenza di almeno un sistema (Xserve o Xserve G5) che operi come controller, con il compito di gestire i metadati dei volumi presenti sulla SAN, mantenere un file system journal e controllare l’accesso contemporaneo ai file condivisi. In particolare, va ricordato che i metadati non sono altro che informazioni relative ai dati stessi, come la collocazione fisica dei file a cui si vuole accedere o le porzione di storage disponibile allocata per i nuovi file. Per far fronte a esigenze di alta disponibilità è possibile prevedere un controller ridondante all’interno di una SAN; poiché i controller possono anche operare come client, è possibile utilizzare il controller di standby come client operativo fino a quando è attivo il controller primario. Quando si inserisce un nuovo computer sulla Xsan è, dunque, necessario definire se la macchina verrà utilizzata come client, come controller o in entrambi le modalità. Questa impostazione prevede la presenza di un’infrastruttura di connessione basata su tecnologia Ethernet e Fibre Channel e Xsan utilizza queste due tipologie di rete in modo indipendente, per connettere tra loro dispositivi storage, controller dei metadati e computer client. I dati tra l’utente e i sistemi RAID vengono trasferiti attraverso connessioni FC ad alta velocità, mentre i metadati viaggiano tra controller e client su Ethernet, in modo da alleggerire la rete FC da traffico non necessario. Per evitare possibili interferenze tra il trasferimento dei metadati e il restante traffico di rete è possibile utilizzare due reti Ethernet separate: una privata per la SAN e l’altra pubblica. L’applicazione Xsan Admin usa anch’essa la connessione Ethernet per la gestione della SAN. Xsan supporta, inoltre, la funzione di Fibre Channel Multipathing, grazie alla quale è possibile disporre di connessioni FC multiple tra i client e lo storage. Xsan è in grado di alternare tra le connessioni a ogni azione di lettura/scrittura, oppure può assegnare la LUN di un volume a una delle connessioni, non appena il volume viene montato. Il file system Apple supporta i sistemi operativi Mac OS X e Mac OS X Server in versione 10.3, 10.3.5 o successive. Xsan abilita però anche la creazione di SAN compatibili con i prodotti di terze parti; se utilizzato congiuntamente al file system StorNext di ADIC, versione 2.4 è, infatti, in grado di supportare i client Windows (XP, 2003, NT e 2000), AIX, IRIX, Linux e Solaris. Tra gli switch FC qualificati per operare con Xsan e Xserve RAID vi sono quelli prodotti da Brocade, QLogic ed Emulex. R.F. 45 Server e Storage Una nuova linea di server a 64 bit in casa Dell Il rilascio di piattaforme biprocessore a 64 bit rafforza la strategia di Dell nel consolidamento dell’IT e nello scale-out delle infrastrutture D Gli elementi base del modello Dell ell ha annunciato il rilascio di quattro nuovi modelli a due processori a 64 bit nella sua linea PowerEdge. Questo annuncio è un’ulteriore risposta, da parte di Dell, alle esigenze del mercato, che richiedono di essere sempre più tempestivi nel rilasciare nuove tecnologie, che però devono essere caratterizzate da un prezzo contenuto e alla portata anche delle aziende di fascia mediopiccola. Nel rilasciare la sua nuova linea di prodotti server, Bruno Mendolia, Enterprise Brand Manager di Dell Italia, ha dichiarato che la società mantiene inalterata la propria strategia di approccio al mercato secondo un modello diretto, che l’ha portata in otto anni a una posizione di assoluto rilievo sia sul mercato nazionale sia su quello internazionale Europa compresa. • Caratteristiche adatte per una strategia di scale-out Le caratteristiche dei nuovi server confermano quella che è una delle pietre miliari della sua strategia evolutiva, lo scale-out, che Dell sta perseguendo già da alcuni anni, Nella vision della multinazionale di origine statunitense la strategia di scale out significa aggregare più server visti come building block elementari, quando le esigenze di storage, di performance e/o quelle applicative lo richiedono. 46 Server e Storage Un approccio basato sullo scale-out presenta, in effetti, diversi vantaggi. Innanzitutto per quanto concerne la disponibilità di un sistema: perché nel caso di guasto di una delle componenti di un sistema le altre possono supplire e fornire un degrado delle prestazioni estremamente lineare. Poi in termini di flessibilità, perché si ha la possibilità di allocare o riallocare le risorse in modo dinamico e in funzione della tipologia di business, che può variare ciclicamente anche all’interno di brevi periodi. Va osservato che la strategia di Dell non appare fine a se stante, perché risulta essere del tutto congruente con la strategia che si vede sempre più seguita anche dai principali software vendor. Un approccio modulare nello sviluppo di applicazioni, e che trova nelle piattaforme di Dell un ambiente adatto, è ad esempio alla base di sviluppi sia in casa di colossi del software come Microsoft che Oracle e SAP. Tutte società, ma non le uniche, che stanno scrivendo il proprio software avendo in mente proprio un approccio modulare. L’interesse da parte di hardware e software vendor per lo scale-out non è però fine a se stante. L’approccio, infatti, permette di ridurre consistentemente il costo di implementazione di una soluzione, con il risultato di rendere disponibile soluzioni di informatizzazione aziendale di fascia alta (dal CRM al datawarehousing, eccetera) anche a società della fascia delle PMI, sino ad ora generalmente escluse da tali benefici. Un altro ambito dove è possibile ottenere concreti vantaggi in termini di performance/costo è poi l’ambito universita- rio, dove cluster HPCC permettono di ottenere concreti e rapidi benefici. • Una strategia a biprocessore I quattro nuovi server annunciati da Dell, di cui due in formato rack (i modelli PowerEdge 1850 e 2850) e due in versione tower (i modelli PowerEdge 1800 e 2800), sono a standard industriale, basati su processore Intel a 64 bit e a due processori, un equipaggiamento che le analisi di mercato indicano come quella più richiesta dagli utilizzatori. In particolare, per quanto concerne specificatamente il mercato italiano, la percentuale, ha confermato Bruno Mendolia, è superiore al 90-95%. I quattro server condividono la stessa componentistica di base. I vantaggi che da questo approccio derivano sono sostanziali, perché ciò permette di disporre di una forte stabilità delle soluzioni ed una comunanza nell’utilizzo dei diversi prodotti. Condividendo le stesse tecnologie abilitanti diventa infatti possibile creare un’immagine su un server e replicarla poi su modelli di tipologia diversa, cosa che pone in condizione di ridurre consistentemente i tempi nonchè i costi di manutenzione e di upgrade. Va considerato, infatti, che il problema dei costi è uno dei punti dolenti della realtà IT, anche se non solo italiana. In una sua recente analisi IDC ha infatti evidenziato come, nella realtà italiana, il 95% del budget viene dedicato alle attività di manutenzione e all’aggiornamento e solo il 5% a nuovi progetti informatici. Lo scale-out è visto quindi non solo in chiave strategica ma anche come un approccio tattico che permette di risparmiare sui costi fissi e spostare gli investimenti su nuovi progetti. • Una migrazione soft delle applicazioni modalità nativa, oltre che, ovviamente, nuove applicazioni a 64 bit. E’ quindi una piattaforma utilizzabile come soluzione ponte tra le applicazioni a 32 e a 64 bit. La possibilità di supporto contemporaneo delle due tipologie di applicazioni risponde ad una realtà oggettiva che vede ancora il 64 bit principalmente usato in ambito di calcolo tecnico/scientifico ma molto meno in ambito produttivo, dove si è sostanzialmente alla fase di test. In pratica, quello che Dell rende possibile ai suoi clienti è quello di adottare una piattaforma scalabile e biprocessore che permette di far girare sia le applicazioni a 32 bit esistenti che avviare sessioni di sviluppo e test di nuove applicazioni a 64 bit in previsione di una migrazione indolore. G.S. Le caratteristiche dei nuovi server I nuovi modelli a doppio processore PowerEdge 1800, 1850, 2800 e 2850 adottano processori Intel Xeon con Extended Memory 64-bit Technology (EM64T). Le altre novità delle piattaforme includono poi la tecnologia di I/O PCI Express, che, secondo dati di targa, è caratterizzata da un throughput quadruplo rispetto alle tecnologie precedenti; il chipset Intel 7520, con un front side bus da 800 MHz che ne aumenta del 50 per cento il throughput; una memoria DDR-2 con una densità doppia rispetto alle soluzioni di generazione precedente. Considerazione a parte merita invece l’inserzione sui server di controller di gestione integrati standard, che, nella strategia di Dell, sono dichiaratamente volti a permettere la riduzione dei costi di gestione di Data Center. In questa ottica Dell ha ulteriormente standardizzato la gestione remota dei server con una nuova versione del software di management OpenManage 4. OpenManage 4 lavora utilizzando lo standard IPMI e permette agli utenti di controllare remotamente i server attraverso un software di gestione di propria scelta e una scheda opzionale Dell Remote Access Card. I nuovi server sono disponibili con piattaforme Microsoft Windows Server 2003 (32-bit edition) e Red Hat Enterprise Linux 3.0 (32/64-bit edition) pre-installati. I nuovi server della famiglia PowerEdge Un ulteriore aspetto che caratterizza i nuovi server di Dell è quello di essere sì a 64 bit, ma ancora di più lo è il fatto che è possibile far girare le applicazioni esistenti a 32 bit in 47 Server e Storage Nuove soluzioni NAS low cost da EMC La società ha espanso la sua linea Celerra per applicazioni di Network Server e di Gateway in reti NAS. Punti salienti, iSCSI e alte prestazioni E MC ha annunciato in Agosto il rilascio di nuovi modelli a più basso costo che espandono ulteriormente la gamma dei suoi sistemi della serie Celerra per soluzioni di mid-tier nell’ambito di reti NAS, un miglioramento delle modalità di interconnessione tramite l’adozione della recente tecnologia iSCSI ed un incremento anche delle funzionalità di management. L’obiettivo evidente postosi da EMC, con questo ulteriore annuncio nel corso del 2004 inerente l’evoluzione delle sue piattaforme NAS, appare essere quello di estendere la sua già molto ampia famiglia di prodotti NAS rendendole accessibili anche ad utenti di fascia medio. • iSCSI per uno storage su IP Il Celerra NS500 di EMC 48 Server e Storage Di particolare valenza è l’adozione di iSCSI, una tecnologia su cui stanno puntando diversi tra i produttori primari di soluzioni IT ma che solo da poco appare realmente concretizzata in soluzioni e prodotti. La sua adozione è però la condizione sine qua non per poter disporre di piattaforme a basso costo, da poter utilizzare in reti IP, invece di dover necessariamente adottare tecnologie fibre channel, più costose e che richiedono un know how specifico per la loro gestione nonché costi di implementazione nettamente più elevati di una rete IP. Peraltro, il nuovo network server Celerra NS500 è una soluzione versatile che è disponibile sia in una configurazione di storage integrata che in configurazione gateway verso SAN. Va osservato poi che l’altro prodotto annunciato, il nuovo gateaway NAS Celerra NS704G è ora caratterizzato, ha osservato EMC, da una livello di affidabilità e di performance a standard industriale che lo rendono particolarmente adatto per applicazioni NAS di mid-tier. Le novità in casa EMC non si limitano però a questo. La società ha anche annunciato una nuova versione del suo ambiente operativo DART, incluso della edizione basic del Celerra Manager nonché il supporto di iSCSI, con certificazione Microsoft per Exchange 2000 e Exchange 2003.. Quello che si evidenzia nella strategia EMC è che tramite il supporto di iSCSI la soluzione Celerra viene a costituire una piattaforma di storage di classe “all in one” che può permettere ad un utilizzatore di realizzare politiche di consolidamento sia della componente server che storage in un’unica piattaforma gestibile centralmente. EMC ha osservato in proposito che il suo approccio è consistente con le strategie aziendali indirizzate ad abbassare il TCO dell’infrastruttura IT facendo leva sugli investimenti di rete già esistenti. Tra le funzioni che caratterizzano in chiave innovativa le soluzioni vi è la possibilità di visualizzare “at a glance” lo stato del sistema e di monitorizzarne il grado di funzionamento, con la conseguente possibilità di identificare in modo più immediato eventuali problemi di performance. La visualizzazione di tipo immediato dello stato del sistema comprende, tra le altre, informazioni sul livello di utilizzo di memoria e CPU, dati sul throughput e performance di sistema, il numero delle connessioni di rete attive nonchè informazioni sui file aperti. Un ulteriore livello di intervento nel restore dei file deriva poi dalla possibilità di integrazione con Microsoft Volume Shadows Copy Services (VSS). • Caratteristiche e ambienti di utilizzo Il Celerra NS500/500G, disponibile sia come gateway verso SAN che integrato, prevede un equipaggiamento con uno o due data mover. Il passaggio da un data mover a due può essere realizzato con il sistema on line e permette di arrivare a disporre di sino a 15 unità disco. La disponibilità di due data mover apre poi la strada ad un loro utilizzo secondo due diverse modalità, una in cui entrambi operano come sottosistemi primari, la seconda in cui uno dei data mover funziona da primario e il secondo è in standby e pronto per il fail-over automatico in caso di malfunzionamento del primario. La continuità operativa è poi assicurata anche da una ridondanza di tipo N+1 delle unità di alimentazione e da due processori dedicati alla gestione dello storage. Come oramai comune nei suoi approcci, EMC anche per questo modello ha previsto la possibilità di upgrade verso l’alto, che permette di far evolvere il modello NS500 verso il Celerra NS700 e il Celerra 740G. Nella versione di entry level equipaggiata con un singolo data mover il prodotto, che è già disponibile, equipaggia 1 TB di storage e le applicazioni CIFS e SnapSure. Il Celerra NS704G è invece una soluzione che permette a chi ha installato i modelli Celerra NS500G/NS700G un percorso di migrazione verso una soluzione a maggiori performance e con caratteristiche avanzate di clustering in configurazioni ridondate N+1. L’NS704G è disponibile con sino a 4 datamover, organizzabili in configurazione 3+1 per disporre di un backup con failover automatico. Elevate le caratteristiche. I dati di targa indicano in più di 100.000 al secondo le ope- NAS Gateway per integrare SAN e NAS Le soluzioni NAS hanno permesso di realizzare politiche di storage distribuito in ambienti IP. Non hanno però risolto il problema del consolidamento dello storage perché sovente ci si è trovati con due reti, quella NAS/IP e SAN/FC non comunicanti, ognuna con i suoi server e le sue unità di storage. I NAS Gateway abbattono questa separazione e permettono di creare un unico insieme in cui lo storage sia su SAN che NAS può essere condiviso dagli utilizzatori Per far questo la famiglia di NAS Gateway sviluppata da EMC dispone sia di interfaccia IP/Ethernet/iSCSI che Fibre Channel ed è una soluzione che permette di consolidare lo storage aziendale mediante l’adozione delle piattaforme storage Clariion e Simmetrix. I NAS Gateway di EMC mettono in comune in modalità trasparente sia lo storage su rete IP che su FC razioni a livello di NFS che è in grado di supportare. • Nuove funzionalità e DART V5.3 Le due soluzioni adottano la release 5.3 del sistema operativo DART di EMC. Rispetto alla versione precedente EMC ha aggiunto una interfaccia GUI alla funzione SnapSure per schedulare in modo facilitato gli snapshot, strumenti per una immediata visibilità delle statistiche e l’integrazione a livello client con Microsoft VSS, che apre la strada al recovery di file modificati o cancellati mediante l’uso del concetto di “previous version” nell’applicazione client. L’aggiornamento delle funzioni si è indirizzato anche verso un miglioramento del TCO tramite la possibilità di automatizzare lo storage. Il Celerra FileMover presente sui sistemi permette infatti di migliorare le modalità di utilizzo dello storage permettendo di definire delle policy per far migrare automaticamente dei file su differenti livelli di storage, un concetto questo che è in linea con l’approccio ILM, uno degli elementi di base delle soluzioni EMC. G.S. 49 Server e Storage L’IT per un nuovo ruolo della banca L’evoluzione delle tecnologie e la comunicazione multicanale rafforzano il ruolo della filiale bancaria C omplice la forte evoluzione tecnologica anche quello che si è sempre presentato come un elemento statico del mondo bancario, la filiale, sta cambiando profondamente ed assumendo un nuovo ruolo. L’interesse per l’innovazione in questo settore è duplice. Le Banche perché vi vedono un modo per snellire e fidelizzare il rapporto con i clienti e razionalizzare i costi, i fornitori IT perché è un settore, quello bancario, che investe in tecnologie miliardi di euro all’anno. A questi livelli di spesa, il solo consolidamento delle diverse tipologie di reti (di sportello, Atm, allarmi, Fonia, eccetera) su una sola rete IP può avere benefici notevoli in termine di ROI per ciò che concerne l’ICT. Quello che viene però ritenuto molto importante dai principali fornitori di tecnologie IT, sia in chiave evolutiva che di nuovi servizi erogabili è la disponibilità di reti a larga banda. Queste non solo permettono di vedere in chiave diversa le caratteristiche prestazionali e architetturale della rete bancaria ma anche il rapporto con il cliente, rendendo possibile e accelerando quella migrazione verso la multicanalità che è vista come uno strumento di razionalizzazione dei rapporti tra il cliente stesso e la propria filiale di riferimento. La larga banda apre però anche la possibilità di ridefinire il ruolo del data center. Le evoluzioni che si intravedono sono in tal senso di due tipi. Innanzitutto diventa possibile ricentralizzare funzioni e informazioni che si era stati costretti a decentrare perché, a causa della loro mole, era impossibile renderle disponibili a livello di filiale in tempi congrui con le appli- 50 Server e Storage cazioni. In secondo il data center può migrare da una mera logica centralizzata a livello fisico in una struttura distribuita sul territorio dove ad una visione logica a livello di sistema si contrappone una realtà fisica distribuita in grado di far fronte ad esigenze di continuità operativa, specializzazione territoriale o attività di fusione/incorporazione di altre realtà bancarie. • Il ruolo della filiale La filiale, come elemento di erogazione di nuove funzioni bancarie e di interazione multicanale con il cliente si prefigura, quindi, come il principale campo di battaglia del futuro prossimo ma, in quanto tale deve trasformarsi, secondo Datamonitor, in un effettivo strumento di vendita. La necessità di una trasformazione è rimarcata anche da Gartner, secondo la quale le banche devono essere pronte a trasformarsi in “azienda estesa“ sul modello che è stato già adottato da aziende dell’industria e evolvere verso un’architettura IT orientata al servizio più che alla transazione. Ovviamente ciò richiede infrastrutture IT estremamente flessibili e una nuova organizzazione del lavoro che, se è facile da dire per Gartner, lo è molto meno da attuare. La cosa comunque appurata è che il cliente si aspetta flessibilità e la possibilità di accedere ai servizi con gli strumenti che è abituato a maneggiare tutti i giorni in ufficio o nel proprio ambito domestico. Se infatti sino a una decina d’anni fa la filiale di una banca appariva come un concentrato di tecnologie (rete, PC, Server, Atm, eccetera) che si contrapponeva al mero televisore domestico e al telefono fisso, ora la realtà vede una situazione sostanzialmente invariata per ciò che riguarda la filiale, ma contrapposta ad una realtà aziendale o domestica dove non è raro trovare PC, Palmari, telefonini fissi e mobili, TV satellitare, connessione Internet a larga banda, eccetera. n breve, si è creata una situazione inversa e un gap per certi aspetti sconcertante visto il breve arco di tempo in cui si è verificato. Se colmare il gap non appare facile né immediato, pur tuttavia è sempre più un obiettivo che il sistema banca vede obbligato. Il problema è il come e dove realizzare questo cambiamenti e in tal senso la filiale appare come il punto più interessante, anche perché, dopo un periodo in cui si preconizzava la sparizione della filiale, la trasformazione in virtuale della filiale stessa, eccetera, si sta riscoprendo l’importanza del rapporto diretto. In questo va osservato che un ruolo non trascurabile lo gioca anche il fatto che tra i nuovi servizi su cui le banche puntano, vi è quello di consulente finanziario, un ruolo che è praticamente obbligato condurre vis a vis con il cliente. Il ruolo della flessibilità per la banca del futuro è quindi di estrema importanza e copre diversi aspetti. Tecnologico, perché l’infrastruttura ICT deve essere in grado di far fronte alla rapidità con cui cambiano le tecnologie disponibili per l’utilizzatore sia quando si trova in azienda che nell’ambito domestico. Architetturale, perché nonostante si pensi che in Italia le banche si siano già concentrate abbastanza il processo appare solo agli inizi. Applicativa, perché si affermerà sempre più una logica di servizio in cui sarà necessario essere in grado di inserire soluzioni aperte. Strategico nel mettere in grado di affrontare queste evoluzioni appare la realizzazione di un modello di business che renda possibile disaccoppiare unità organizzative e catena del valore, e articolare in modo flessibile il portafoglio dei servizi. • Cosa suggeriscono gli analisti In cosa si traducono l’evoluzione tecnologia e le nuove esigenze del cliente quando il tutto è visto dal punto di vista di una banca e della sua realtà IT? Gartner suggerisce in primis di investire in nuove tecnologie soprattutto a livello di filiale, dove immediata è la percezione di un cambiamento da parte del cliente e quindi il ritorno anche di immagine aziendale. Peraltro, ritiene che saranno i principali gruppi bancari che definiranno le nuove modalità standard per il settore ma, oltre a questo, che per certi aspetti appare scontato e mutua quanto avviene in numerosi settori industriali, quello che appare un punto di rottura verso il passato è che la filiale dovrebbe puntare sulla multicanalità nell’erogazione di servizi alla clientela. Una seconda evoluzione suggerita da Gartner è di usare servizi Web per permettere il collegamento al sistema IT. Ovviamente questo presume la disponibilità di infrastrutture sicure e altrettanto sicuri sistemi di validazione della clientela. Un terzo elemento consiste nel prepararsi a far fronte ad una rapida crescita dell’outsourcing, perché, secondo Gartner, società specializzate sono in grado di sviluppare servizi più rapidamente ed erogarli con una miglior qualità. Predisposizione che richiede però aver fatto evolvere la propria infrastruttura IT in modo che sia orientata al servizio. La realtà IT del mondo bancario appare quindi all’inizio di una grande trasformazione sia per ciò che concerne la realtà interna che, soprattutto, l’interazione con il cliente. Multicanalità e servizi sono i due elementi che si prospettano come basilari in questa evoluzione. G.S. I cambiamenti in atto nel settore bancario (fonte Bain&Co) 51 Server e Storage Il recovery dei dati diventa intercontinentale Fujitsu Siemens Computers realizza, in collaborazione con EMC, una soluzione per le esigenze di disaster recovery più severe E venti quali i black-out verificatisi in USA e in Europa (Italia compresa) o eventi connessi a fenomeni naturali hanno posto il problema di come realizzare soluzioni di disaster recovery per i Data Center che siano, a livello geografico, sufficientemente ampie da non far correre il rischio di trovarsi con la sede principale e la secondaria contemporaneamente fuori servizio. In breve, l’esigenza di una strategia di disaster recovery è assodata, così come lo è il fatto che si debba adottare un’architettura di centri di calcolo e di storage basati su cluster, interconnessi geograficamente. Il problema è quanto geografica deve essere la distribuzione per avere il massimo delle garanzie e quale modalità di replica adottare per contenere il costo della banda trasmissiva. • Una soluzione asincrona ad alta capacità Una risposta praticabile, innovativa nelle sue caratteristiche di base, la si trova in una soluzione realizzata da Fujitsu-Siemens Computers la quale, in collaborazione con EMC, ha presentato un’infrastruttura di disaster recovery operante su scala intercontinentale, utilizzando reti di comunicazione dedicate con una larghezza di banda ottimizzata sviluppata mediante piattaforme hardware e applicazioni 52 Server e Storage per la gestione del backup entrambe di tipo standard. Fare di più, in termine di dispersione geografica, appare al momento difficile da ipotizzare. L’applicazione sviluppata gestisce i link di comunicazione e i dispositivi di storage all’interno di uno scenario di fail-over che prevede l’individuazione di malfunzionamenti ed il ripristino dei dati per modalità operative sia di tipo SRDF sincrono che SRDF/A asincrono (vedere riquadro). La soluzione gestisce automaticamente gli host, le connessioni FC, i link di comunicazione geografica e i malfunzionamenti dello storage ed ha l’obiettivo di minimizzare il tempo necessario per lo switch-over in caso di guasto. • Ambiente distribuito e alta affidabilità per mainframe Nel suo genere, ha affermato Fujitsu Siemens Computers, la realizzazione è la prima a sperimentare il recovery remoto dei dati di un’applicazione SAP, facendo notare che altre soluzioni sviluppate hanno sino ad ora interessato il mero spostamento di copie point-in-time di dati su distanze estese. Sviluppata congiuntamente con EMC, la soluzione è commercializzata e supportata da entrambe le società e EMC la offrirà nella modalità SRDF/A sia direttamente che tramite partner, E’ poi prevista la possibilità di supportare array di storage multipli in ambito mainframe già a partire dal prossimo anno, seguito subito dopo dal supporto di ambienti Open System. Un aspetto che evidenzia Fujitsu Siemens Computers è che un approccio di tipo SRDF/A asincrono non garantisce in assoluto la mancanza di perdita dei dati. Del resto la sincronia tra i dati richiede dei tempi di latenza molto bassi (impossibili da ottenere su tratte intercontinentali) e comunque richiederebbe un costo molto elevato per l’uso di dorsali ad alta velocità. Ciononostante, per alcune applicazioni il notevole risparmio sul costo delle linee può rendere accettabile un comunque limitatissimo tasso di perdita. Nel caso si voglia l’assoluta garanzia nella correttezza dei dati, e cioè una “zero data exposure”, è comunque possibile usare una modalità di tipo SRDF/AR (Automated Replication). Va osservato che al momento la modalità sperimentata e disponibile per la suite PRIMECLUSTER ed i Clariion è quella SRDF/A ma, come accennato, è già prevista anche quella SRDF/AR. • Dal sincrono all’asincrono Anche se spesso si sente parlare di back-up remoto, il tutto è reso nebuloso dal fatto che spesso ci si riferisce a modalità operative molto diverse. Ad esempio, quando si parla di copie point-in-time si ha a che fare con una singola copia dei dati inviata in rete all’entità remota. Ciò non è sempre quello che desidera l’utilizzatore che vede decisamente meglio una soluzione in cui i dati da salvare sono replicati in modo continuo tramite un invio ininterrotto al sito remoto, che è quello che viene fatto con le modalità SRDF e SRDF/A. L’adozione di un approccio asincrono presenta diversi aspetti di interesse. Uno tra questi è la distanza geografica che separa il sito principale e quello di replica remota. Mentre con la tecnica asincrona questa distanza è virtualmente illimitata, con la tecnica sincrona è generalmente limitata al centinaio di chilometri, perché presenta fenomeni di latenza che aumentano con il crescere della distanza. Con la tecnica asincrona invece, questo non avviene e nei test realizzati non si sono evidenziati, ha affermato Fujitsu Siemens Computers, apprezzabi- li riduzioni delle performance. Un secondo elemento è il fattore costo. Premesso che ogni ambiente aziendale ha sue specificità, i test condotti hanno permesso di rilevare che in generale la tecnica asincrona richiede una capacità di banda che è la metà o meno di quella sincrona di prodotti come SRDF; tutto ciò ovviamente si traduce in un notevole risparmio economico. G.S. Gli elementi chiave della soluzione di recovery remoto PRIMECLUSTER: è una piattaforma sviluppata da Fujitsu Siemens Computers che comprende un set molto ampio di funzionalità e, nell’insieme, rappresenta una soluzione fortemente scalabile ad alta disponibilità per l’intero spettro di applicazioni aziendali. Tra le funzioni erogate, la gestione automatica del fail-over a livello di cluster, la gestione dei dati in ambienti cluster, la protezione da errori, wizard che semplificano lo sviluppo di applicazioni, il supporto per database paralleli ed una distribuzione automatica del carico. La piattaforma è ampiamente utilizzata per applicazioni in abbinamento a soluzioni storage di EMC e applicazioni SAP. SRDF/A (Symmetrix Remote Data Facility/Asynchronous): è una tecnica di replicazione di tipo asincrono adatta sia per ambienti mainframe che Open System che permette di disporre di una copia remota immediatamente riutilizzabile indipendentemente dalla distanza. Rispetto alle tecniche asincrone tradizionali adotta un’architettura basata su cache denominata Delta Sets, che prevede la collezione, residente su cache, di operazioni di Write realizzate in un predefinito intervallo di tempo. Nelle modalità asincrone tradizionali ogni Write è infatti trattata in modo discreto, sequenzializzata ed inviata in linea. Con Delta Sets, invece, i dati della cache possono essere riscritti ed inviati al sito remoto solo nella loro versione definitiva. L’utilizzo di una cache permette anche di gestire picchi di carico, aprendo l’adozione di una banda dimensionata sui valori di traffico medio e non di punta. La soluzione di disaster recovery realizzata da Fujitsu Siemens Computers ed EMC con i suoi componenti principali 53 Server e Storage Due vie complementari per la razionalizzazione dei dati L’utilizzo di infrastrutture FC e IP si dimostra adatto ad ambienti di diverso livello nel consolidamento delle SAN U no dei trend che, da tempo, alimenta un mercato IT che ancora stenta a riprendersi da un periodo difficile, è quello delle soluzioni rivolte al consolidamento delle risorse informatiche. La crescita dei dati da organizzare e gestire e la necessità di essere sempre più competitivi si scontra con l’aumento della complessità gestionale, che gli amministratori IT si trovano, spesso, ad affrontare con un numero di risorse in diminuzione e la contemporanea richiesta di aumento di prestazioni ed efficienza. In base a questi presupposti, adottare pratiche di razionalizzazione delle risorse rappresenta una risposta obbligata per ridurre il carico gestionale e recuperare efficienza e produttività. È un processo iniziato con il consolidamento dei server ed estesosi progressivamente ad altri ambiti tra cui lo storage. Il consolidamento delle risorse per la memorizzazione ha l’obiettivo di migliorare la disponibilità dei dati e incrementare la loro usufruibilità, attraverso una semplificazione gestionale e una maggiore condivisione delle informazioni. • Il primo passo è portare lo storage in rete Un processo di consolidamento dello storage parte dalla migrazione in rete delle risorse di memorizzazione ancora connesse direttamente al server, ovvero il cosiddetto Direct Attached Storage (o DAS) che rappresenta ancora una percentuale significativa (se non predominante) della capacità installata. Questo tipo di storage ha, infatti, limitazioni intrinseche, che non consentono la condivisione dei dati, limitano la scalabilità e presentano problemi in 54 Server e Storage relazione a capacità e prestazioni. L’utilizzo di una Storage Area Network (SAN) permette di operare con applicazioni di qualunque tipo, utilizzando una gestione dei dati di tipo centralizzato e “server-based”; consente la condivisione di risorse, ma non quella dei dati (fatta eccezione per il clustering). I sistemi NAS,d’altra parte, rappresentano un metodo di consolidamento con una gestione “storage-based”, che abilita la condivisione dei dati, ma consente di operare solo con applicazioni qualificate. Per queste ragioni lo scenario che si è andato delineando con il tempo è quello di una condivisione di topologie all’interno della stessa infrastruttura. Tra le aziende di dimensione più grande e nell’ambito dei data center primari lo storage consolidation ha imboccato la strada delle SAN basate su Fibre Channel, mentre all’esterno di questi due ambiti, la ricerca di soluzioni più economiche e meno problematiche da un punto di vista dell’interoperabilità (vera o percepita) ha lasciato spazio allo storage networking basato su IP. Quest’ultima opzione si sta progressivamente affermando grazie alla promessa di poter estendere i benefici dello storage consolidation ottenibili in una SAN verso ambienti più ampi e a costi inferiori rispetto a un’infrastruttura Fibre Channel. La maggior parte dei dati aziendali risiede, infatti, in zone esterne al data center primario, ovvero in data center dipartimentali o in strutture remote. In questi ambienti caratterizzati da server di basso o medio livello dotati di storage DAS, consolidare lo storage su una rete IP può rappresentare un’opzione economica, gestibile facilmente e da una postazione centralizzata, in grado di soddisfare le esigenze di memorizzazione. Grazie alla progressivo sviluppo delle soluzioni basate su IP, questo processo può inoltre avvenire, anche su ambienti di livello inferiore, mantenendo una serie di funzionalità per lo storage networking di livello avanzato in precedenza disponibili solo in ambienti high end, quali, per esempio, funzioni snapshot, mirroring o disaster recovery. Nell’ambito dei dispositivi storage gli aspetti discriminanti sono legati essenzialmente alle funzionalità sofisticate e di gestione che caratterizzano i sistemi FC e che, tuttavia, progressivamente vengono introdotte anche sui sistemi IP. In sostanza, IP sta dimostrandosi sempre più interessante in situazioni in cui esigenze di costi contenuti si allineano a richieste di prestazioni di livello intermedio. Esempio di connessione tra una SAN FC e una SAN basata su IP • IP o Fibre Channel? Una SAN basata su IP è sostanzialmente costituita da server che supportano iSCSI, uno switch Gigabit Ethernet (al posto di uno FC) e un dispositivo di storage nativo iSCSI. Il consolidamento su IP coinvolge gli aspetti dell’infrastruttura di rete, dei server e dei sistemi di memorizzazione. Le differenze tra una SAN basata su FC e una che utilizza iSCSI, da una prospettiva dell’infrastruttura di rete, sono sia di tipo tecnologico sia di mercato. Per quanto riguarda la velocità dei link, per esempio, FC nella sua versione tradizionale raggiunge 2 Gbps, mentre l’opzione a 4 Gbps ha ancora costi molto elevati; su IP, invece, la tecnologia Gigabit Ethernet ha portato tale velocità a 10 Gbps. Anche a livello di connessioni wire speed IP vince in velocità, con un massimo di 1.240 Mbps rispetto ai 400 Mbps raggiungibili con FC. La distanza rappresenta un altro elemento differenziante: per FC è limitata a livello metropolitano, mentre praticamente illimitata per IP. Fibre Channel si avvantaggia, tuttavia, di un vasto (e importantissimo, in questi ambiti) supporto da parte dei vendor e di un’ampia base installata soprattutto nei data center di alto livello. A livello di server il campo di battaglia è principalmente sui costi e riguarda il prezzo per porta, la disponibilità nativa di soluzioni adatte a una o all’altra tecnologia di trasporto, la possibilità di adottare anche iniziatori software da parte di iSCSI (meno performanti), i costi di manutenzione e il know how richiesto. Grazie all’avvento dei protocolli FCIP e iFCP è possibile pensare anche a un consolidamento di isole storage distribuite geograficamente mediante IP. Il protocollo FCIP provvede, infatti, a incapsulare i frame FC in segmenti TCP per il loro trasporto su IP, mentre il protocollo iFCP (Internet Fibre Channel Protocol) consente la duplicazione delle funzionalità di fabric Fibre Channel in dispositivi direttamente connessi a una rete IP. Le due reti possono essere considerate come complementari. La connessione tra una SAN FC e una IP SAN è possibile, utilizzando come bridge opportuni router multiprotocollo. In queste situazioni di coesistenza le applicazioni con richieste di prestazioni elevate possono essere indirizzate verso server e dispositivi storage connessi all’interno di una rete FC, mentre le restanti essere supportate da una SAN basata su IP. Una suddivisione di questo tipo può risultare da processi di consolidamento in cui si ritiene necessario segmentare l’allocazione e gestione del dato, in linea con una visione moderna della gestione del ciclo di vita delle informazioni. R.F. 55 Server e Storage Il RISS di HP per il grid storage La tecnologia Grid per l'archiviazione documenti, una versione potenziata di XP con 1152 dischi per l’enterprise e una nuova NAS entry level A ver sostituito alla carta stampata i bit può rivelarsi per le aziende una vittoria di Pirro. La moltiplicazione delle mail che si osserva, verrebbe da affermare, trova un parallelo solo in una ben nota parabola. Nel momento in cui si è dato a tutti i dipendenti di un'azienda un indirizzo di mail si è aperto un vaso di pandora di cui al momento non si sono ben identificati i rischi. Il risultato è sotto gli occhi di qualsiasi IT manager. Virtualmente, anche in un'azienda di medie dimensioni, ci si trova con centinaia di migliaia di documenti da archiviare ogni anno, da rintracciare quando servono e da conservare per esigenze future o di legge. • Una soluzione RISS per la media impresa Posto il problema non sempre è facile dare una risposta, perché devono essere mature le tecnologie e accettabili dal mercato le caratteristiche ed i costi delle soluzioni proposte. Va osservato che sul mercato esistono da tempo soluzioni classiche costituite da sistemi di storage di grosse dimensioni, ridondati e affidabili. Ma in pratica ristrette ad una fascia di aziende di classe enterprise che non è proprio quella caratteristica della realtà italiana, costituita da un nutrito strato di medie aziende. Se si esaminano le esigenze di questa fascia quello che emerge è sì la necessità di soluzioni sicure, ma che devono anche essere caratterizzate da un entry level praticabile, poter crescere in modo lineare ed essere (accettabilmente) facili da gestire. Ma, viene da chiedersi, esistono queste soluzioni? Una risposta, in effetti, è stata data da HP con il suo recente rilascio della piattafor- 56 Server e Storage ma RISS (StorageWorks Reference Information Storage System), una soluzione "all-inone" che è in grado di archiviare, indicizzare e recuperare rapidamente dati e informazioni. Se si analizza la soluzione, l'aspetto caratterizzante è che risponde a molte delle istanze degli utilizzatori di fascia media e si basa sul concetto di "Storage Grid Architecture". In pratica, il RISS ripartisce storage, ricerca e recupero su una serie di nodi di calcolo specifici, riferiti da HP come "smart cell storage”, che operano indipendentemente in quanto contengono ognuno sia la capacità di calcolo, che lo storage e gli indici per effettuare le ricerche. Quello che ne deriva immediatamente è che la soluzione si presenta in modo nativo con robuste caratteristiche di openess, scalabilità, integrazione e ridondanza. La soluzione parte da un entry level di capacità di storage di 1 Terabyte e può essere espansa con la semplice aggiunta di altre smart cell. Implicito nella soluzione è la linearità delle prestazioni. Aggiungendo una cella si aggiunge non solo la capacità di storage ma anche la necessaria capacità autonoma di calcolo. Sotto l'aspetto amministrativo dispone poi delle funzioni atte ad apporre la firma digitale e la marca temporale ai documenti archiviati al fine di evitarne manomissioni o cancellazioni. La gestione delle mail è realizzata tramite un Reference Management, con una copia delle mail che entrano e escono dai server Exchange che viene archiviata in un repository e indicizzata per potere effettuare una ricerca veloce secondo svariati criteri. Un processo simile è realizzato per l'archiviazione dei documenti, che sono anch'essi archiviati in un repository e indicizzati per potere effettuare, ad esempio, una ricerca basata sui contenuti. • XP rinnovato per lo storage array di fascia alta Innovativa negli approcci, HP lo è anche nelle piattaforme già esistenti. Recentissimo è infatti il rinnovo della sua famiglia di storage XP con XP12000 . XP12000 espande verso l'alto le prestazioni della piattaforma di disk array XP 1024, una famiglia di cui HP ha consegnato oltre 5000 dispositivi per un ammontare complessivo di più di 36.000 Terabyte di capacità. Va osservato che XP12000 non è un semplice armadio contenente supporti di storage ma è un vero e proprio sistema autonomo che contiene hardware, microcodice, software, soluzioni e servizi che configura, in pratica, una infrastruttura di storage completa. Diversi gli elementi di upgrade e le migliorie apportate rispetto all'XP1024. Tra queste un incremento consistente della capacità dischi, compreso il supporto di dispositivi di storage esterni, un incremento della banda della cache, un aumento della larghezza di banda della memoria condivisa e un aumento della capacità di banda nella connessione ai dischi. Ne è risultata una piattaforma estremamente robusta che alloggia nel cabinet centrale sino a 128 disk drive, i processori, le cache e la logica di controllo. Mediante l’espansione con altri cabinet gestiti dal cabinet centrale è poi possibile scalare sino a 1152 disk drive complessivi. Oltre al fatto di poter essere espanso senza interrompere il funzionamento del sistema, la sua caratterizzazione per applicazioni nell’ambito di grandi realtà aziendali e di business continuity è rafforzata anche dalla disponibili- tà di funzioni di Zero-downtime backup e di Instant Recovery. Ad esempio, nel caso si debba procedere al restore di dati, il restore stesso ed il ritorno alla normale operatività avviene tramite la tecnica di data mirroring resa disponibile dal software HP di Business Copy e Continuous Access, che peraltro è integrato con l’applicazione HP OpenView Data Protector backup management. In pratica, ha osservato Paolo Votta, Product marketing manager di HP per il network storage solutions, l’XP 12000 è una soluzione ad elevate prestazioni ed affidabilità senza singoli punti di guasto, particolarmente adatto per applicazioni di fascia enterprise e laddove serva realizzare una politica di migrazione automatica dei dati da supporti ad alto costo quali l’XP12000 a supporti di tipo più economico nell’ambito di strategie ILM, ad esempio su un MSA1000 o 1500. Veramente ampia poi la casistica di piattaforme di elaborazione che supporta e che comprendono HPUX, Windows - W2K, NT, 2003, Linux - IA2, Red Hat, OpenVMS, Mainframe, HP Tru64 Unix, Novell Netware, IBM AIX, Sun Solaris, SGI IRIX, Dynix PTX, NCR e, già previsto, anche soluzioni NonStop. L’XP12000 per lo storage di fascia enterprise con armadio centrale e 4 armadi di espansione • Un’appliance NAS entry level HP ha poi espanso verso il basso la sua linea di soluzioni NAS. Ha infatti aggiunto a prodotti quali il NAS 1500 e 2000, che sono per inserzione a rack, il modello NAS 500, che oltre a confermare il ruolo che la società intende giocare nel settore NAS, ne diventa l’entry level della linea . Caratteristica saliente è che la soluzione è di tipo pedestal e si basa sulla sua ultracollaudata piattaforma Proliant. G.S. 57 Server e Storage IBM espande le ambizioni degli xSeries Innovazioni tecnologiche e architetturali nell’area dei server Intel, allontanano il concetto di commodity. Rilasciati i primi modelli XDA A due anni dal rilascio dell’architettura EXA (Enterprise X-Architecture), Ibm imprime un’accelerazione ai server xSeries annunciando una gamma di modelli basati sulla nuova architettura Xtended Design Architecture (XDA), che estende la X-Architecture a un ambiente a 64 bit distribuito e scalabile. L’architettura resta aderente agli standard industriali, ma inserisce una serie di novità frutto della competenza tecnologica Ibm e del suo desiderio di rispondere in modo efficace alle nuove esigenze sorte all’interno del mondo Intel. Con questo passo Ibm delinea, anche da un punto di vista strategico, una direzione verso il mondo dei sistemi x86 che rifugge da una visione di questi sistemi come “commodity”, trasferendo nella gamma xSeries una serie di innovazioni, funzionalità e capacità di gestione ispirate ai propri mainframe e supercomputer. I nuovi modelli xSeries sono stati sviluppati pensando agli ambienti data center che richiedono affidabilità di tipo mission critical, massima densità di elaborazione e protezione dell’investimento. • Le novità di XDA I nuovi sistemi usufruiscono di nuove funzionalità in diversi contesti. Nell’ambito delle prestazioni, la nuova architettura prevede le estensioni a 64 bit (mantenendo il supporto per le applicazioni a 32 bit), un aumento degli slot di espansione della memoria che porta il numero di moduli DIMM fino a otto e una velocizzazione dell’I/O grazie all’introduzione dell’interfaccia PCI Expert (estensione del PCI-X). Interessanti anche le caratteristiche indirizzate alla 58 Server e Storage disponibilità tra cui si segnalano, in particolare, l’ampliamento del supporto storage con fino a 4 dischi SCSI o SATA e l’integrazione del supporto RAID. Inoltre è stata introdotta una nuova tecnologia di raffreddamento denominata Calibrated Vector Cooling derivante dall’esperienza maturata da Ibm nell’ambito delle soluzioni Blade Center. Questa tecnologia permette di ottimizzare il percorso del flusso di aria fredda all’interno del sistema, assicurando il raffreddamento necessario a far fronte alle nuove caratteristiche di prestazioni e densità di elaborazione. Ibm ha anche revisionato il design dei propri server, in modo da poter essere completamente smontabili senza dover utilizzare il cacciavite e semplificando le modalità di rimozione e sostituzione a caldo degli hard disk e degli alimentatori. La gestibilità all'interno del rack è stata facilitata dalla presenza, all’interno dei server, di un nuovo pannello diagnostico luminoso a discesa (Light Path Diagnostic) che consente di individuare immediatamente guasti a processori, hard disk, alimentatori, ventole di raffreddamento e regolatori di tensione. Migliorate anche le funzioni di gestione remota e per il deployment rapido. Inoltre, l’espansione delle caratteristiche di scalabilità interna e la possibilità di scegliere tra prestazioni a 32 o 64 bit contribuiscono ad accrescere le doti di flessibilità di questi nuovi apparati Ibm. • Rilasciati i primi sistemi basati su XDA Congiuntamente all’annuncio di XDA, Ibm ha rilasciato i primi sistemi basati sulla nuova architettura; si tratta di sei modelli di server xSeries a 1 o 2 vie, e di un nuovo modello di IntelliStation e di BladeCenter. Nell’ambito dei sistemi rack rientrano i server siglati x306, x336 e x346. L’x306 è un rack server monoprocessore di dimensione 1U, basato su processore Intel Pentium 4 con EM64T. Questo server ad alta densità è adatto per impieghi ai margini delle reti o nelle applicazioni Web. Utilizza hard disk SATA Simple Swap o SCSI hot-swap integrando la capacità RAID e comprende due slot PCI-X. È disponibile con 4 o 6 slot DIMM di memoria, per una capacità massima di 12 GB (usando moduli da 2 GB). I modelli x336 e x346 sono sistemi a due vie dotati della CPU Intel Xeon EM64T e frequenza di clock fino a 3,6 Ghz. Dispongono entrambi di 8 slot DIMM, per un massimo di 16 GB di memoria DDR2 veloce, e supportano il mirroring della memoria e memorie hotspare online, per aumentarne l'affidabilità. Integrano, inoltre, un processore di servizio IPMI per attività di monitoraggio, allarme e controllo remoto dell’alimentazione. L’x336 è un sistema 1U dotato di fino a 4 hard disk SCSI hot-swap o fino a due hard disk SATA Simple Swap; il modello x346 ha dimensioni 2U e supporta fino a 6 hard disk hotswap oltre al supporto per backup interno su nastro. Dispone della funzione RAID 0, 1, 10 integrata con ServeRAID 7e; inoltre prevede RAID 5 opzionale mediante ServeRAID-7k, senza richiedere alcuno slot PCI. Ai nuovi modelli per rack si affiancano i tre server tower siglati x206, x226 e x236. L’x206 è un tower server monoprocessore economico basato su Intel Pentium 4 EM64T, adatto alle PMI e ad aziende con più sedi. Supporta fino a quattro hard disk SATA Simple Swap o tre hard disk SCSI hot-swap L’integrazione ServeRAID 7e SATA e SCSI RAID 1 aumenta la disponibilità del sistema senza richiedere costi aggiuntivi. I modelli x236 e x226 sono server tower a due vie con processori Intel Xeon EM64T fino a 3,6 GHz. L’ x236 è adatto per compiti mission-critical per ambienti distribuiti e dispone di 8 slot DIMM per un massimo di 16 GB di memoria, con funzioni di mirroring e memorie hot-spare online. L’espandibilità è assicurata da 6 slot di I/O con possibilità di scelta tra schede adapter PCI-X 133 MHz o PCI-Express e la possibilità di ospitare fino a 9 hard disk SCSI hot-swap per ambienti applicativi a grande capacità. Integra le funzioni RAID 0, 1, 10 e supporta il RAID 5 opzionale. Il modello x226 è un sistema a basso costo che supporta fino a 6 hard disk SCSI hot-swap o 4 hard disk Seria ATA, integra il supporto RAID 0, 1 e può raggiungere una capacità di memoria di 16 GB. È espandibile mediante 6 slot di I/O tipo PCI-X o PCIExpress. La nuova architettura XDA è stata anche introdotta nell’ambito delle workstation, con il rilascio della IntelliStation Z pro a 64 bit, dotata di due processori Intel Xeon EM64T (fino a 3,6 GHz), memoria DDR2 fino a 16 GB, grafica PCI-Express x16, fino a 4 hard disk SATA o SCSI e capacità RAID 0, 1 integrata per la protezione dei dati. Novità anche per il segmento blade, con il rilascio di BladeCenter HS20, disponibile in configurazione “dual processor” con Intel Xeon EM64T, che rappresenta il primo server blade dotato del sistema Calibrated Vectored Cooling. R.F. Il tower server Ibm x206 Ibm eServer xSeries 336 Nuova versione per Ibm Director Arriva la versione siglata 4.20 di Ibm Director, la suite software integrata per le attività di gestione centralizzata, che provvede all’automazione delle procedure IT quali inventario, monitoraggio e allarmi, risposte a eventi e condizioni del sistema. Ibm Director è una piattaforma gestionale adatta per ogni sistema TotalStorage Ibm, dagli eServer ai BladeCenter, oltre che per ambienti eterogenei basati su Ibm Virtualization Engine, Tivoli, HP OpenView e CA UniCenter. La versione 4.20 estende il supporto Linux a Red Hat Enterprise Linux 3.0 e comprende funzioni per semplificare la configurazione e il supporto di gruppi per gli aggiornamenti software, nonché un rafforzamento della sicurezza per le console remote e il controllo dell'alimentazione. 59 Server e Storage La virtualizzazione Microsoft con Virtual Server 2005 Punti di forza i test software, il rehosting di applicazioni legacy, il server consolidation e la simulazione di applicazioni server distribuite L e attuali condizioni di mercato alimentano nelle aziende l’esigenza di riduzione dei costi e dei rischi a fronte di un contemporaneo incremento della qualità e della agilità dell’infrastruttura IT. Per il raggiungimento di questi obiettivi di business, la virtualizzazione ha ormai dimostrato di essere una tecnologia abilitante fondamentale. Con Virtual Server 2005, Microsoft rende disponibile una soluzione di virtual machine per Windows Server 2003 che consente ai suoi utenti l’esecuzione contemporanea di una pluralità di sistemi operativi su un singolo apparato server, all’interno del quale ognuno di essi gira come se fosse all’interno di un computer separato e autonomo. Questa soluzione, basata sulla tecnologia di virtual machine che la società di Redmond ha acquistato da Connectix, comprende un insieme completo di funzioni di virtualizzazione per lo storage, il networking e l’amministrazione dei siti Web (tramite Virtual Server Administration Web Site). Con il rilascio di Virtual Server 2005 Microsoft si propone di migliorare l’efficienza di utilizzo dell’hardware attraverso la coesistenza di workload multipli su un numero inferiore di server, di incrementare la produttività degli amministratori e ampliare le soluzioni rese disponibili dai partner. Questi benefici trovano la loro massimizzazione in quattro ambiti specifici. entrare in produzione. Virtual Server 2005 permette alle aziende di consolidare le proprie server farm di test e sviluppo e di automatizzare il provisioning delle macchine virtuali, migliorando l'utilizzo dell’hardware e la flessibilità operativa. Il Virtual Server è adatto, anche, per il rehosting dei sistemi operativi legacy (per esempio, Windows NT 4.0 Server e Windows 2000 Server) e delle applicazioni custom ad essi associate, migrando da server più vecchi verso nuovi sistemi che operano in ambiente Windows Server 2003. Permette, infatti, di fare funzionare le applicazioni legacy nel loro ambiente software nativo all’interno di virtual machine, senza riscrivere la logica dell’applicazione, riconfigurare le reti o riaddestrare gli utilizzatori finali. Un altro ambito di utilizzo è quello del consolidamento dei server, per far fronte ai carichi di lavoro associati alle applicazioni custom, ai servizi infrastrutturali, ai servizi per le succursali e in scenari di disaster recovery. Infine, Virtual Server 2005 aiuta a minimizzare i requisiti in termini di tempo e hardware necessari per configurare i sistemi software e l’hardware in un ambiente di laboratorio, al fine di effettuare il deployment e la simulazione di un'applicazione server distribuita utilizzando macchine virtuali multiple su un unico server fisico. • I principali scenari di utilizzo • La tecnologia di virtual machine e l’architettura del Virtual Server Un primo scenario di utilizzo è legato al conMicrosoft solidamento e all’automazione dei test software e degli ambienti di sviluppo, necessari per verificare il buon funzionamento prima di 60 Server e Storage Per comprendere come opera Virtual Server 2005 si deve ricordare che, in un computer odierno tradizionale, sono presenti diversi strati di hardware e software che operano insieme come un unico sistema e in cui le risorse hardware sono gestite attraverso driver dedicati, che traducono le istruzioni del sistema operativo in un specifico linguaggio per il controllo del dispositivo. I driver vengono sviluppati con l’assunzione di assegnazione esclusiva di un dispositivo, per cui ogni applicazione software che chiama quel dispositivo (per esempio una scheda video) deve interagire con esso mediate il suo driver. Questa impostazione preclude la possibilità di far girare, contemporaneamente, più di un sistema operativo su un singolo sistema fisico. La soluzione di virtualizzazione di Microsoft supera questa limitazione mediante la sua tecnologia di virtual machine, che permette di spostare le interazioni con i dispositivi a un livello più basso, in modo tale che i layer applicativi di livello più elevato non restino influenzati. Da un punto di vista logico, Virtual Server 2005 si colloca sul sistema operativo Windows Server 2003 che gestisce il sistema host, fornendo l’infrastruttura software per l’emulazione dell’hardware. Ogni macchina virtuale è poi costituita da un insieme di dispositivi hardware virtuali. All’interno di ognuna di queste macchine virtuali girano un sistema operativo “ospite” e le relative applicazioni che restano inconsapevoli, per esempio, che la scheda di rete con cui interagiscono attraverso il Virtual Server è solo una simulazione software di un dispositivo Ethernet. Il componente Virtual Machine Monitor (VMM) del Virtual Server è quello che fornisce l’infrastruttura software per la creazione delle virtual machine, la gestione delle istanze e l’interazione con il sistema operativo ospite. Quando viene ospitato un nuovo sistema operativo, il kernel specializzato del VMM assume il controllo sulla CPU e sull’hardware durante le operazioni condotte dalla virtual machine, creando un ambiente isolato in cui il sistema operativo ospite e le applicazioni girano il più Architettura della tecnologia di virtual machine messa a punto da Microsoft possibile a basso livello, in modo da fornire le prestazioni più elevate possibile. Virtual Server utilizza due funzioni “core” del sistema operativo host sottostante: l’organizzazione delle risorse della CPU (gestita dal kernel) e l’accesso ai dispositivi del sistema (tramite i driver). Virtual Server 2005 è, in sostanza, un’applicazione multithreaded (ovvero progettata per avere diverse parti del suo codice che vengono eseguite contemporaneamente) che opera come un servizio di sistema, in cui ogni virtual machine gira all’interno del proprio thread di esecuzione. Microsoft Virtual Server 2005 è disponibile in due versioni caratterizzate dalle stesse funzionalità e differenti solo nelle caratteristiche di scalabilità: la versione Standard può essere installata su server con un massimo di quattro processori, mentre l’Enterprise Edition è adatta per server con un fino a 32 CPU Sebbene Virtual Server 2005 possa ospitare tutti i principali ambienti operativi “x86based”, i responsabili Microsoft garantiscono il supporto solo per Windows Server 2003, Windows Small Business Server 2003, Windows 2000 Server e Windows NT Server 4.0 con Service Pack 6a. Virtual Server 2005 rappresenta anche un elemento chiave all’interno della roadmap definita dalla Dynamic Systems Initiative, l’iniziativa Microsoft indirizzata al miglioramento della piattaforma Windows e a favorire il rilascio di tecnologie indirizzate a semplificare e automatizzare le modalità con cui vengono progettati, rilasciati e fatti funzionare i sistemi IT. R.F. 61 Server e Storage VERITAS raccoglie la sfida della «compliance» aziendale Con l’acquisizione della soluzione per il Data Lifecycle Management di KVS e i propri prodotti di backup e recovery, la società propone una soluzione integrata che ottempera ai requisiti normativi L ’ evoluzione tecnologica ha determinato il proliferare di informazioni in formato digitale di ogni tipo, che vengono scambiate con tempi e modi nuovi e non originariamente prevedibili all’interno delle normative. Questo processo, inoltre, continua a evolvere con grande rapidità e su scale temporali notevolmente inferiori rispetto a quelle legislative. Per queste ragioni il rapporto tra l’Information Technology e le norme amministrative è da sempre complesso e alla ricerca di un punto di incontro tra esigenze tecnologiche e obblighi che diventano sempre più stringenti. Nel frattempo il numero di normative e di azioni che esse impongono crescono di giorno in giorno, tanto che si stima che solo negli Stati Uniti e nella regione EMEA siano in vigore, a tutt’oggi, oltre 15.000 normative federali, statali e locali. All’interno di queste è possibile individuare tre mandati principali: la conservazione e reperibilità dei documenti, il controllo dei procedimenti e la produzione di rapporti in tempo reale. In ambienti IT complessi, caratterizzati da un flusso estremamente elevato di informazioni, è impossibile pensare di poter ottemperare a tutti gli obblighi normativi semplicemente con la buona volontà e l’iniziativa personale. Di fronte a una continua crescita di regole e leggi, virtualmente ogni tipo di business deve riconoscere l’importanza di poter rintracciare e accedere, in maniera meticolosa e in ogni momento, a tutti i propri dati, dalle più recenti e-mail, fino ai dati storici posti nelle “vault”. Per fare ciò si configura la necessità di stabili- 62 Server e Storage re una nuova struttura di controllo interno che, oltre ad assicurare la possibilità di archiviare le informazioni vitali aziendali, sia anche in grado di recuperarle in modo efficiente per fini di audit. Per soddisfare questi nuovi requisiti, VERITAS propone una serie di prodotti software che concorrono a comporre una soluzione integrata e scalabile articolata attorno ai temi del backup, del disaster recovery e della gestione differenziata dei dati durante il loro ciclo di vita. Questa soluzione permette la creazione di storage practice conformi alle normative e si basa, principalmente, sui prodotti NetBackup, Backup Exec, NetBackup Storage Migrator for UNIX, KVS Enterprise Vault e CommandCentral Service. • I prodotti per la compliance e il Data Lifecycle Management NetBackup è una soluzione per l’archiviazione e il recupero dei dati, per attività di vario tipo o dimensione, adatta ad ambienti UNIX, Windows, Linux e NetWare. La gamma di prodotti NetBackup consente di implementare funzioni quali data protection disk-based, disaster recovery automatizzato e protezione di desktop e laptop. Il software NetBackup è, inoltre, in grado di gestire pressoché ogni media attualmente disponibile, includendo capacità quali il “labeling” di nastri magnetici, la creazione di pool media su nastro, la condivisione di dispositivi, la definizione di rapporti e il supporto dei codice a barre. Backup Exec è la soluzione VERITAS di backup e ripristino adatta agli ambienti Microsoft Windows, che consente, attraverso un console di gestione Web based e un’interfaccia utente semplificata, di affrontare la questione della protezione dei dati presenti su desktop, laptop e server. La soluzione software proposta da VERITAS per il Data Lifecycle Management tiene conto del fatto che, nel corso della loro vita operativa, le informazioni necessitano di diversi livelli di prestazioni, disponibilità, protezione, migrazione, conservazione ed eliminazione. In base a questa considerazione i dati dovrebbero essere progressivamente trasferiti su diverse tipologie di sistema o media storage, in grado di offrire i livelli più opportuni di disponibilità, capacità, costo, prestazioni e protezione. Per una gestione ottimale dei dati, dalla creazione alla loro eliminazione, VERITAS mette a disposizione NetBackup Storage Migrator for UNIX e KVS Enterprise Vault. NetBackup Storage Migrator for UNIX è un prodotto software che fornisce i tool per automatizzare lo spostamento dei file UNIX più vecchi verso i media storage del tipo più appropriato per caratteristiche, prestazioni e disponibilità. NetBackup Storage Migrator monitorizza costantemente lo storage disponibile on line su disco e, quando il disco raggiunge un prefissato livello di occupazione, sposta i file più vecchi e meno utilizzati che rispondono ai criteri impostati dall’IT manager, liberando capacità disco per gli utenti. Questo software, quando trasporta fisicamente i dati verso una destinazione più appropriata, provvede a lasciare, al posto originario di ogni file, un indicatore di collegamento. Quando si desidera accedere al dato, esso viene richiamato automaticamente e in modo trasparente in modo parziale, risultando immediatamente accessibile all’utente, mentre NetBackup Storage Migrator completa il trasferimento. KVS Enterprise Vault è il prodotto software per il Data Lifecycle Management derivante dalla recente acquisizione di KVault Software da parte di VERITAS e che consente alla socie- tà guidata da Gary Bloom di chiudere il gap tra backup e storage management. Enterprise Vault è un software progettato per gli ambienti Windows che risulta trasparente per l’utente e le applicazioni, che provvede ad agevolare le pratiche di rispetto delle normative, applicando automaticamente, in modo centralizzato, le policy di archiviazione, conservazione e cancellazione dei dati in linea con gli attributi di storage e la “corporate governance”. Supporta le aziende nel processo di compliance fornendo un sistema di indicizzazione dei dati auditabile, che permette di visualizzare chi ha creato il dato, dove è stato creato e dove si trova fisicamente, chi lo ha letto o modificato, quando questi eventi hanno avuto luogo e quali policy sono applicate a esso. Grazie a un processo di archiviazione basato su policy, le aziende sono, pertanto, nelle condizioni di archiviare le informazioni provenienti dai server Windows nel server Enterprise Vault in modo da gestire la crescita dei dati; permette l’archiviazione in ambiente Windows per file system, e-mail, Instant Messaging e per Microsoft Office SharePoint (siti Web). Le soluzioni di automazione VERITAS CommandCentral permettono, infine, una gestione automatizzata dei livelli di servizio, la produzione di rapporti e l’amministrazione degli addebiti per l’infrastruttura e i servizi IT. In particolare, CommandCentral Service è un portale che permette di rendere l’IT più trasparente, e misurabile, facilitando la creazione di un modello di servizi condivisi o di utility computing, che rappresentano i temi portanti della strategia VERITAS. R.F. Criteri di archiviazione all’interno di un processo di Data Lifecycle Management VERITAS 63 Server e Storage Si sviluppano le architetture per rintracciare le mail L’incremento dei messaggi scambiati in formato elettronico accelera lo sviluppo di soluzioni grid per la loro archiviazione e gestione L L’architettura di una soluzione a grid per l’archiviazione dei dati (fonte HP) 64 Server e Storage a sostituzione dei documenti cartacei con quelli elettronici sta avendo fenomeni forse non previsti: in primis quello della proliferazione dei messaggi di mail, delle copie per conoscenza nonché degli allegati. Le cifre in gioco sono impressionanti, perlomeno stando a ricerche condotte su aziende di fascia enterprise i cui dipendenti facciano un uso intensivo della posta elettronica e un (ab)uso di copie per conoscenza e allegati. I dati indicano in quasi 80 le mail spedite o ricevute al giorno per dipendente, che assommano a 400 alla settimana e che per 1000 dipendenti diventano 40.000. Poco meno di 2 milioni di mail all’anno, con il relativo corollario di allegati quali slide, spreadsheet, immagini e, grazie alla convergenza e a reti aziendali Gigabit, videoclip, filmati e registrazioni di sessioni di telefonia IP. I problemi che emergono sono di due tipi: come ottimizzare lo spazio dedicato alla registrazione di una tale mole di dati e come archiviare gli stessi in modo da poterli rintracciare facilmente quando serve. Una volta si poteva far conto sull’archivista che viveva a tempo pieno nel sotterraneo dell’azienda e che senza strumenti complessi sapeva a colpo sicuro dove trovare una pratica, il che lo rendeva l’uomo più riverito nell’azienda. Adesso che si ricorre a sistemi elettronici, per convenzione ritenuti più avanzati, la cosa si sta rivelando più complessa. • Un aiuto dal grid storage La soluzione sembra risiedere nelle griglie, da non confondere con quelle utilizzate per fini più nobili durante i fine settimana ma riferentisi all’approccio costituito da unità di elaborazione interconnesse in aggregati in modo da realizzare calcoli estremamente complessi. L’idea di usare un’architettura a griglia (già concretizzata in soluzioni commerciali) deriva da due fattori. Il primo è la capacità di calcolo necessaria per rintracciare informazioni incluse in milioni di documenti. Il secondo è costituito dal poterlo fare in tempi ragionevoli. La soluzione individuata consiste nel realizzare dei sistemi costituiti da una griglia i cui elementi nodali comprendono capacità elaborativa, di storage riservata e un’area in cui sono mantenuti gli indici che servono per rintracciare i documenti memorizzati nel nodo. I vantaggi che derivano da un approccio siffatto sono consistenti. Innanzitutto le ricerche di documenti possono essere condotte in parallelo sui diversi nodi e risultano quindi più veloci sia per contenuti strutturati che non strutturati. La soluzione può poi essere espansa modularmente. In pratica, la griglia iniziale può essere “allargata” in base alle esigenze crescenti aggiungendo nuovi nodi. Terzo ma non meno importante è l’elevatissima ridondanza intrinseca che assume l’insieme, che rende l’architettura a grid particolarmente adatta per applicazioni di High Availability. G.S. La protezione sottovalutata delle applicazioni Web T utto iniziò con la necessità di proteggere il proprio desktop dai virus. Internet non c’era ancora e con il suo arrivo incominciò lo sviluppo di reti interne ed esterne, avviando, contemporaneamente, la transizione verso l’era della network security. Lo sviluppo tecnologico e dei processi di business ha portato successivamente le aziende a sfruttare in pieno le potenzialità offerte dal Web e, conseguentemente, l’esigenza di sicurezza si è andata spostando verso l’ambito applicativo che, attualmente, rappresenta uno degli elementi più vulnerabili per la sicurezza aziendale. Se, in passato, la maggior parte degli attacchi avveniva a livello del network, attualmente essi si stanno concentrando verso le applicazioni Web. Queste, troppo spesso non vengono neppure monitorate, affidando, di fatto, l’azienda a una sicurezza che risulta di tipo reattivo anziché preventivo (o proattivo come si suole dire). Il Web è diventato non solo un mercato o un canale di distribuzione ma, a tutti gli effetti, un vero e proprio ambiente operativo e, come tale, va protetto con contromisure dedicate e pensate appositamente per esso. È sorprendentemente semplice recuperare dati da applicazioni Web-based. Per far fronte a queste minacce non basta l’uso di password (la cui sicurezza è direttamente dipendente dalle persone che le utilizzano), firewall e neppure programmi standard di scansione che valutano il livello di protezione sulla base di una lista statistica di vulnerabilità possibili, senza verificare la sicurezza dell’intera presenza Web (applicazioni proprietarie, script Web, cookie, pagine Web). Molte aziende, inoltre, affidano lo sviluppo delle applicazioni Web o dei siti Web al proprio esterno, affidandosi alle risorse di sviluppo di terze parti. A tutto ciò si aggiunge il fatto che, mano a mano che i processi di business diventano processi di e-business, l’utilizzo di tecnologia basata sul Web è destinato a crescere. Non è un caso, quindi, che si assiste, così, a una continua introduzione sul mercato di nuovi software e standard indirizzati al Web e, dunque, di un crescente numero di nuove potenziali vulnerabilità. In sintesi, si deve tenere sempre presente che il Web rappresenta un sistema distribuito e che il livello di protezione di un’azienda connessa in rete è identico a quello del suo anello più debole, che può essere rappresentato da un partner, un link della supply chain, un tool vendor, un ISP o un’ASP. Non esiste una categoria di utenti che non sia oggetto di attacchi così come non si tratta di capire se il proprio server connesso al Web sarà attaccato, ma solo di stabilire eventualmente quando ciò avverrà. Evitare attacchi dannosi diventa, allora, un compito affrontabile solo successivamente a una fase di assessment, identificazione e rimedio delle vulnerabilità associate alle applicazioni Web, utilizzando software specifico indirizzato a questo scopo. Se è ragionevole pensare che questo ambito rappresenterà uno dei principali trend di sviluppo futuro delle soluzioni di sicurezza IT, non è possibile evitare di ricordare che la vulnerabilità maggior resta ancora legata alla negligenza. Non sono affatto infrequenti atteggiamenti di aziende che affrontano il problema della sicurezza in modo reattivo, con logiche di risposta a breve termine, incapaci di comprendere il valore dell’informazione o che tendono a sottovalutare il legame tra la sicurezza dell’informazione e il business, magari assegnando il compito di mantenere la sicurezza a personav le non adeguatamente addestrato. Riccardo Florio dida da scrivere 65 I report tecnologici I Report Tecnologici costituiscono un’opera di analisi e approfondimento dello stato dell’arte di architetture, soluzioni e servizi nell’ambito dell’Information e Communication Technology. Ogni report è un utile strumento di consultazione e un sussidiario che fornisce ai responsabili dei sistemi informativi aziendali e ai professional del settore un chiaro quadro dello scenario evolutivo delle tecnologie e delle soluzioni presenti sul mercato italiano. Ciascun Report è composto da una prima parte, che costituisce una cospicua trattazione degli aspetti tecnologici, e da una seconda parte, in cui vengono accuratamente descritte l'offerta e la strategia dei principali player del mercato. I Report Tecnologici sono disponibili in volumi stampati in formato A4 con copertina rigida, al costo di 215 euro a copia (più IVA). Per ordinarli o per ulteriori informazioni: 0234592314. 66 Motore e sede dei dati aziendali, server e storage sono gli elementi centrali di un sistema informativo che si articola in infrastrutture sempre più complesse che rispondono alle crescenti esigenze di elaborazione e all’esplosione dei dati, ma che devono risultare semplici per l’utente finale. Le nuove architetture evolvono in questa direzione, favorendo il consolidamento dei sistemi. Un report di circa 500 pagine analizza tutti gli aspetti del settore, esaminando, oltre alle tecnologie, le soluzioni e l’offerta di servizi in Italia. Capitolo 1 - DALL’E-BUSINESS ALL’AZIENDA VIRTUALE Capitolo 2 - L’EVOLUZIONE DELLE PIATTAFORME SERVER Capitolo 3 - LE ARCHITETTURE DI ELABORAZIONE Capitolo 4 - LA SPECIALIZZAZIONE DELLE APPLIANCE SERVER Capitolo 5 - LE RISORSE PER LA MEMORIZZAZIONE DEI DATI Capitolo 6 - L’EVOLUZIONE VERSO LO STORAGE IN RETE Capitolo 7 - BUSINESS CONTINUITÀ E DISASTER RECOVERY Capitolo 8 - VIRTUALIZZAZIONE E GESTIONE DELLO STORAGE Capitolo 9 - INFORMATION LIFECYCLE MANAGEMENT E CONTENT STORAGE Capitolo 10 - LO STORAGE A DISPOSIZIONE DEELLA PMI PARTE SECONDA - Tecnologie e strategie dei fornitori di soluzioni e servizi Acer – Apple – Brocade – Cisco Systems – Colt Telecom – Computer Associates – Dell – EMC2 – Fujitsu Siemens Computer - Hitachi Data Systems – HP Soluzioni Server – HP Divisione Storage – IBM Soluzioni Server – IBM Soluzioni Storage – Metilinx – Microsoft - Storagetek – Sun Microsystems – Veritas Software Uno dei temi più attuali del momento è quello della sicurezza nell’ambito dell’ICT. Le crescenti minacce provenienti da Internet e l’inarrestabile tendenza ad aprire l’azienda alla comunicazione con partner e clienti, al fine di sfruttare tutte le opportunità offerte dalle nuove tecnologie, pongono nuovi e stimolanti interrogativi ai responsabili del sistema informativo. Un report di 500 pagine analizza tutti gli aspetti della tematica, soffermandosi sulle metodologie, oltre che sulle soluzioni e l’offerta dei servizi in Italia. I sistemi e le tecnologie di rete per realizzare le architetture che rappresentano il cuore del sistema informativo aziendale hanno subito una profonda evoluzione negli ultimi anni. La convergenza tra reti dati e reti voce e tra fisso e mobile ha al tempo stesso semplificato e complicato la gestione di un’infrastruttura vitale, accrescendo il ricorso all’outsourcing. Un report di circa 500 pagine analizza tutti gli aspetti del networking, soffermandosi sulle architetture, le Capitolo 1 - L’IMPORTANZA DI UNA SICUREZZA EVOLUTA PER L’IMPRESA Capitolo 2 - LA GESTIONE DELLA SICUREZZA Capitolo 3 - CRITTOGRAFIA E FIRMA DIGITALE Capitolo 4 - AUTENTICAZIONE E IDENTITY MANAGEMENT Capitolo 5 - I LIVELLI DI PROTEZIONE DEL FIREWALL Capitolo 6 - L’AFFERMARSI DELLE VPN Capitolo 7 - INTERNET SECURITY: LE MINACCE ONLINE Capitolo 8 - I SISTEMI PER IL RILEVAMENTO DELLE INTRUSIONI E DELLE VULNERABILITÀ Capitolo 9 - LA SICUREZZA DELLE CONNESSIONI WIRELESS Capitolo 10 - L’ARCHITETTURA DELLE SECURITY APPLIANCE Capitolo 11 - SICUREZZA E CONTINUITÀ DI SERVIZIO PER I DATI AZIENDALI Capitolo 12 - LA SICUREZZA DEL SISTEMA DI TELEFONIA Capitolo 13 - LA SICUREZZA COME SERVIZIO piattaforme e, non ultima, l’offerta di servizi in Italia. Capitolo 1 - LO SCENARIO DEL BUSINESS NETWORKING Capitolo 2 - ARCHITETTURE E SERVIZI DELLE RETI DI COMUNICAZIONE: Capitolo 3 - LAN, IL SISTEMA NERVOSO DELL’AZIENDA Capitolo 4 - LE RETI LOCALI WIRELESS Capitolo 5 - LE RETI METROPOLITANE Capitolo 6 - LE RETI PER LA FONIA MOBILE Capitolo 7 - VIRTUAL PRIVATE NETWORK Capitolo 8 - IL NETWORK MANAGEMENT Capitolo 9 - UN NETWORK PROTETTO Capitolo 10 - SERVIZI E OUTSOURCING PARTE SECONDA – Tecnologie e strategie dei fornitori di soluzioni e servizi 3Com - Alcatel - Allied Telesyn - Cisco Systems - PARTE SECONDA - Tecnologie e strategie dei fornitori di soluzioni e servizi 3Com - Allied Telesyn - Check Point - Cisco Systems Computer Associates - D-Link - Internet Security Systems - Microsoft - Nokia - Rsa Security - Symantec Computer Associates - D-Link - Easynet - Enterasys Networks - Hewlett-Packard - Italtel - Marconi Microsoft - Nortel Networks - Rad/Cie Telematica US Robotics dida da scrivere 3 L’abbonamento a Direction fornisce accesso ad alcuni servizi relativi alla pubblicazione dei report e degli studi di Reportec. Gli abbonati riceveranno sei numeri del dossier completi dei relativi allegati su CD ROM e inoltre potranno scegliere tra: SOLUZIONE A un Report Tecnologico rilegato in hard cover formato A4 e sovra copertinato (dal costo di listino di Euro 215) a scelta tra i titoli finora pubblicati: Business Networking 2003 IT Security 2003 Server e Storage 2003 Business Communication 2003 Servizi per gli abbonati SOLUZIONE B tutti e 4 i Report Tecnologici finora pubblicati rilegati in hard cover formato A4 e sovra copertinati (ciascuno del costo di listino di Euro 215). Agli abbonati è riservato anche uno sconto del 25% sul prezzo di acquisto degli altri report pubblicati e la possibilità di accedere a condizioni di favore alle iniziative che si susseguiranno nel corso dell’anno. L’abbonamento a 6 numeri del dossier (di periodicità bimestrale) è pari a Euro 90 per la soluzione A e Euro 390 per la soluzione B e comprende le spese di spedizione del report o dei report richiesti. Per sottoscrivere l’abbonamento inviare un’e-mail a [email protected] oppure un fax al numero 0234532848