asict - Hosting Polimi

HOSTING ASICT
Roberto Gaffuri – Servizio infrastrutture software e identità digitale
ASICT – 4 Giugno 2013
INDICE
•
•
•
•
Contesto
Hosting ASICT
Policy di sicurezza
Policy di integrazione con Anagrafica Unica
ASICT – 4
22Giugno
febbraio
2013
2013
2
SERVIZIO INFRASTRUTTURE SOFTWARE E
IDENTITA’ DIGITALE
3
• Framework per lo sviluppo del software
• Architetture ed ingegneria del software
• Infrastruttura per lo sviluppo delle applicazioni ASICT
• Supporto per la cooperazione e l’integrazione applicativa
• Hosting
• Definizione degli standard e dell’offerta di hosting
• Gestione delle piattaforme di hosting
• Identità digitale
• Applicazioni a supporto dell’anagrafica unica di Ateneo
(registrazione, gestione credenziali, riconoscimento utenti, ecc)
• Servizi di Autenticazione ed Autorizzazione
ASICT – 4
22Giugno
febbraio
2013
2013
4
SERVIZI A COMPLEMENTO
ASICT - Servizio
Infrastrutture software
e identità digitale
ACRE – Servizio Web
e grafica di Ateneo
ASICT - Servizio
Gestione Rete
ASICT – 4
22Giugno
febbraio
2013
2013
ASICT - Servizio
Gestione Server
HOSTING ASICT
5
• Un’infrastruttura in grado di ospitare siti e applicazioni web:
• Gestiti
• Configurati
• aggiornati
• standardizzati
• Monitorati
• Soggetti al piano di continuità operativa e disaster recovery
ASICT – 4
22Giugno
febbraio
2013
2013
6
COSA NON COMPRENDE HOSTING ASICT
• Progettazione, realizzazione, aggiornamento dei
contenuti del sito
• Per servizi di questo tipo ed in particolare per
grafica, architettura dell’informazione e supporto
con il CMS Typo3 è possibile rivolgersi al
servizio web e grafica di Ateneo di ACRE
all’indirizzo [email protected]
ASICT – 4
22Giugno
febbraio
2013
2013
COME RICHIEDERE HOSTING ASICT
1.
2.
3.
4.
5.
6.
7.
7
Responsabile gestionale (o Referente ICT) contatta il servizio Hosting presente
su Servizi Online nel menu Servizi ICT di Ateneo
Dal sito hosting.polimi.it è possibile ottenere:
• Documento Offerta hosting + Modulo richiesta
• Documento Policy di sicurezza
• Documento Policy di integrazione con Anagrafica Unica
Dipartimento restituisce Modulo richiesta compilato con indicazione di:
• Responsabile dei contenuti del sito
• Referente tecnico del sito
• Breve descrizione dei contenuti
• Se è il caso: dati personali trattati e modalità di conservazione
Hosting ASICT sottopone a Servizio Web e grafica ACRE il modulo di richiesta
per validazione FQDN e contenuti
Hosting ASICT contatta Referente tecnico del sito per pianificazione e attivazione
del servizio
Se necessario al Responsabile gestionale viene assegnata la responsabilità di un
nuovo «trattamento di dati personali» e se necessario il Referente tecnico viene
nominato Amministratore di sistema
Hosting ASICT e Referente tecnico collaborano per aggiornamenti sito, patch di
sicurezza, attivazione monitoraggio, ecc
ASICT – 4
22Giugno
febbraio
2013
2013
8
TIPI DI SITI, AMBIENTI, PIATTAFORME
• Siti e applicazioni istituzionali:
• Polimi, Dipartimenti, Poli, Scuole
• Siti tematici:
• Progetti, Eventi, Promozione di servizi, ecc
• Siti statici (HTML)
• CMS
• Typo3 (sito www.polimi.it), Joomla!, Drupal, Wordpress,
MediaWiki (Wikipedia), Liferay
• Siti PHP/MySQL (LAMP)
• Applicazioni J2EE (Java + Tomcat)
• ASP.NET
ASICT – 4
22Giugno
febbraio
2013
2013
9
DOMINI WEB
• *.struttura.polimi.it (per siti dipartimentali)
• scelta più libera all’interno del 3°livello precedentemente
concordato con ACRE
• *.polimi.it (per siti istituzionali)
• naming da concordare con ACRE
• *.it, *.eu (la richiesta è più laboriosa sempre tramite GARR)
• *.com, *.edu, etc. (tramite registrar esterno)
• è possibile richiedere certificati SSL (HTTPS)
ASICT – 4
22Giugno
febbraio
2013
2013
SERVIZI A SUPPORTO
•
•
•
•
•
•
•
•
10
Statistiche/Analytics
Motore di ricerca
Mail server per invio mail dai siti ospitati
Backup
Monitoraggio con alert via mail e sms
Supporto all’installazione e aggiornamento dei sistemi
Security e vulnerability assessment
Integrazione autenticazione Ateneo e autorizzazione
basata su Gruppi AUnica
ASICT – 4
22Giugno
febbraio
2013
2013
POLICY DI SICUREZZA
• Contenere, entro limiti accettabili, il rischio
di compromissione della riservatezza,
integrità e disponibilità dei servizi erogati e
delle informazioni (anche personali) in essi
contenute.
• prevenzione delle minacce e degli attacchi
• registrazione e conservazione degli eventi
• reazione ad eventuali attacchi
• ripristino e investigazione
ASICT – 4
22Giugno
febbraio
2013
2013
11
ATTORI COINVOLTI NELLA POLICY
ASICT - Area Servizi ICT
 Erogatore del servizio di hosting
 Svolge attività di audit verso altri erogatori
Fruitore del servizio di hosting
 Responsabile del sito
 Referente tecnico del sito
Richiedente di un servizio di hosting
 Responsabile gestionale
Utente
 Utilizzatore del servizio ospitato
ASICT – 4
22Giugno
febbraio
2013
2013
12
13
AMBITO DI APPLICAZIONE DELLE POLICY
Servizi in hosting presso ASICT
 è a carico di ASICT l’applicazione della policy
 Il fruitore è tenuto a collaborare anche in modo
proattivo al fine di mantenere un adeguato
livello di sicurezza
Servizi in hosting presso altre strutture
 è a carico della struttura e sotto la sua
responsabilità l’applicazione della policy e la
relazione con i fruitori
 è a carico di ASICT un’attività di audit
ASICT – 4
22Giugno
febbraio
2013
2013
14
POLICY SULLE ARCHITETTURE
•
•
•
•
•
•
Sicurezza fisica (protezione del datacenter)
Sicurezza di rete (segmentazione e tiers)
Sicurezza del software installato
Tailoring e hardening dei sistemi
Software di sicurezza (antivirus, firewall, ids/ips)
Monitoraggio dei sistemi e delle applicazioni
ASICT – 4
22Giugno
febbraio
2013
2013
15
POLICY SULLE PROCEDURE
• Processi di configurazione e deploy dei servizi
• Controllo degli accessi ai sistemi (datacenter, rete,
sistemi, applicativi)
• Gestione vulnerabilità (tracking e patching)
• Backup
• Gestione degli incidenti
• Audit
• Compliance normativa in materia di protezione dei
dati personali
ASICT – 4
22Giugno
febbraio
2013
2013
AMBITI DELL’AUDIT
• Contenuti (idoneità, copyright, etc.) a cura di
ACRE – Servizio Web e grafica di Ateneo
– NB: La responsabilità sui contenuti è comunque
del responsabile del sito
• Assessment di sicurezza dei meccanismi di
accesso ai sistemi
• Monitoraggio del traffico di rete (IDS/IPS)
• Assessment di sicurezza sull’hardening dei
sistemi e sulle configurazioni dei servizi attivi
• Assessment di sicurezza sulle modalità di
implementazione dei servizi applicativi
ASICT – 4
22Giugno
febbraio
2013
2013
16
17
ANAGRAFICA UNICA (AUnica)
Gestore centralizzato delle Identità digitali
• Credenziali di accesso
• Codice persona e relativa pwd
• Informazioni personali
• generalità personali
• dati di contatto
• Informazioni di carriera
• come student
• come staff
• come alumn
ASICT – 4
22Giugno
febbraio
2013
2013
18
AUNICA - RUOLO DIPARTIMENTI
• Registrazione utente, Gestione Credenziali,
Riconoscimento
• Docenti a contratto
• Collaboratori per didattica integrativa e per amministrazione
• Assegnisti
• Visiting professor, visiting phd
• Ospiti, congressisti, fornitori di servizi, ecc
• Assunzione di responsabilità per trattamento dati
personali
• Responsabile gestionale è nominato Responsabile per il
trattamento di dati personali
• Il Responsabile gestionale deve nominare gli incaricati al
trattamento
ASICT – 4
22Giugno
febbraio
2013
2013
19
POLICY DI ACCESSO AD AUNICA - richiesta
La richiesta di accesso ad AUnica viene valutata da
ASICT sulla base di:
 Finalità dell’accesso
 Funzionalità richieste (solo auth o auth+info)
 Tipologia di informazioni richieste
 Modalità di conservazione delle informazioni raccolte
Possono usufruire di AUnica:
 Servizi interni ad ASICT
 Servizi esterni gestiti da ASICT
 Servizi inclusi nella federazione IDEM
 Servizi satellite erogati da soggetti terzi
ASICT – 4
22Giugno
febbraio
2013
2013
20
POLICY DI ACCESSO AD AUNICA - modalità
 Accesso diretto al repository centrale o ai
repository secondari (LDAP/AD)
• Normalmente per i servizi sviluppati da
ASICT
• Eccezionalmente per i servizi gestiti da
ASICT qualora non si possano utilizzare i
connettori web
 Accesso tramite connettori web
• Connettori disponibili:
– Shibboleth, oAuth, Web Services,
Radius
• Disponibili anche per i servizi satellite (IDEM,
di terzi)
ASICT – 4
22Giugno
febbraio
2013
2013
POLICY DI ACCESSO AUNICA - audit
ASICT effettua attività di audit nei seguenti
ambiti:
• Monitoraggio dell’autenticazione utenti e del
trasferimento dei dati personali
• Assessment di sicurezza sulle modalità di
integrazione con AUnica
• Verifica adempimenti in materia di
trattamento dei dati personali
• Assessment di sicurezza sulle modalità di
memorizzazione dei dati personali
ASICT – 4
22Giugno
febbraio
2013
2013
21