Transcription
CESNET, jeho e-Infrastruktura aslužbyTomáš KošňarCESNET12. 4. 2018Olomouc
Sdružení CESNET historie založeno 1996 – veřejné VŠ a AV ČR převzetí provozu sítě CESNET (od ČVUT) budování nové sítě pro VVV NREN, v roce 2000 prodej původní komerční sítě orientace na potřeby VVV, několik generací sítí, přibývají nové skupiny služeb od počátku součástí koordinovaného vývoje v rámci pan-evropských aktivit e-Infrastruktura 2011: cestovní mapa velkých infrastruktur pro VV NREN e-Infrastruktura CESNET komplexní IT prostředí pro VVV
e-Infrastruktura CESNET e-Infrastruktura – symbolická architektura
e-Infrastruktura CESNET společná komunikační infrastruktura
e-Infrastruktura CESNET náročné výpočty – MetaCentrum zajišťuje a koordinuje provoz NGI (součást EGI) sdružení výpočetních zdrojů pro řešení velmináročných úloh, které jsou za hranicemi výpočetních možností samostatného pracovištěgrid cloud MapReduce výpočty, integrace a správa zdrojů, aplikační SW, uživatelská podpora
e-Infrastruktura CESNET datová úložiště geograficky distribuované ukládání dat v administrativní doméně komunityzálohy, archivace, sdílení dat, speciální aplikaceNFSCIFSFTPsftpscpGrid StorageElementdCache
e-Infrastruktura CESNET podpora spolupráce uživatelů videokonference, webkonference, integrace zařízení do infrastruktury, rezervační portál, IPtelefonie (infrastruktura), streaming, videoarchiv, speciální obrazové přenosy a spolupráci
e-Infrastruktura CESNET? správa identit, AAI, rostředíprostředíproprospoluprácispolupráci
e-Infrastruktura CESNET bezpečnost, ácisondysondyna perimetruna oring
e-Infrastruktura CESNET další služby monitorování kvalitativních charakteristik sítě propustnost, zpoždění, jitter, ztrátovost apod. - pro uživatele náročných aplikací,správce sítí apod.časové služby cesium, rubidium, GPS synchronizace (NTP – Stratum 1), časová razítka (Time-Stamp Authority)technické konzultace ve všech oblastech provázení organizací celým procesem (např. zřízení LIR, AS, multihome připojení,zapojení do MetaCentra, monitoring, .) veříme v „komunitní“ přístup
e-Infrastruktura CESNET skupiny služeb v kontextu časubezpečností nástroje & SIEMIaaS, Hadoop, SDN testbedownCloud, 951317222781998InternetGÉANTAkademická síť172002Me tace ntrum172001Cross Border FibersCzechLight, GLIFeduroam, CSIRTDWDM2005IPv6, CESNET CA2009datová úložiště44forenzní I, eduID.czstreaming, videoconference31
e-Infrastruktura CESNET přístup k e-Infrastruktuře a jejím službám přístup k e-Infrastruktuře není veřejný, uživatelská komunita vymezena: „Politikapřístupu“ “Access Policy“ - vymezení typem organizace nebo pro konkrétní činnost některé služby nejsou svázané s e-infrastrukturou – přístup bez omezeníuživatelNEvyhovuje APslužba 1služba 2e-InfrastrukturaCESNETslužbaNslužba 2uživatelvyhovuje APslužba M výsledky výzkumu a vývojepřenesené do praxe bezpečnostní oblast, Flab,monitoring, vzdálený dohled,UltraGrid, Shongo, design opt.sítí, apod.služba Mslužba 3služba M
uživatelé e-Infrastruktury CESNET uživatelé e-Infrastruktury 300 organizací ( 450 tisíc individuálních uživatelů) 94% vědeckého výkonu ČR (RIV) souvisí s využití e-Infrastruktury CESNETveřejné (24), státní (2),soukromé VŠnemocnice,poliklinikyústavy AV ČR (57),výzkumné organizace,velké infrastrukturyknihovny, muzea,galeriezákladní, střední, vyššíodborné školyveřejná správa,samospráva
uživatelé e-Infrastruktury CESNET specifická skupina uživatelů a partnerů - velké výzkumné infrastruktury v ČRWCZVIPMINFRAWCZVIPMINFRALVR-15, LR-0CLBLVR-15, SSPIRAL2-CZPALSFAIR-CZCNCFAIR-CZ ZSPL-MSBELI BeamlinesHILASECTA-CZSPL-MSBELI ESS zFERMILAB-CZILL-CZSAFMATBBMRI-CZESS Scandinavia-CZSAFMATCzechGeo/EPOSBBMRI-CZESS AT/CLARINC4SYSC4SYSAIS CRAIS r2CZ-OPENSCREENCZ-OPENSCREENCZECRINCZECRINSoWaSoWa
výzkum CESNET – výzkumná organizace výzkum a výzkumná spolupráce v oblastech perspektivních pro „budoucí e-Infrastrukturu“ nebo její služby v důležitých oblastech oboru „.u toho musíme být“ spolupráce nad konkrétní problematikou s konkrétními partnery (množina subjektů nenínijak omezena) společné projekty s partnery, smluvní výzkum publikace, prototypy, užitné vzory (13), patenty (14 CZ, 7 USA, 4 EU), konkrétní věcnévýsledky („vyřešení problému“), nové/povýšené služby, spin-off (3), licence většina služeb e-Infrastruktury je výsledkem vlastního vývoje/výzkumu vč. spolupráce sdalšími subjekty v roce 2017 celkem 30 projektů, z toho 15 mezinárodních
spolupráce obecná spolupráce v širším kontextu - všechny typy subjektů bez omezení systematická koncepční řešení v infrastrukturní oblasti využití nástrojů, konceptů nebo služeb vyvinutých primárně pro potřebyinfrastruktury spolupráce na úrovni state-of-the-art v konkrétních oblastech budování komunit uživatelé e-infrastruktury (asistence při optimalizaci vlastní infrastruktury, zabezpečení, adaptacena služby e-infrastruktury, školení, konzultace, řešení incidentů, multi-mediální podpora akcí.)státní správa, samospráva, samosprávné celky, asociace krajů (architektura sítě, implementacetechnologických standardů a konceptů, bezpečnost, služby „pro jejich“ infrastruktury, osvěta)bezpečnostní složky, NÚKIB (semináře, bezpečnostní koncepty, bezpečnostní monitoring, obranainfrastruktur, konzultace při řešení incidentů)průmysl, finanční sektor, ISP, IXP (technologie, obrana infrastruktur, monitoring,penetrační/zátěžové testy, analýzy)kulturní dědictví (muzea, digitalizace sbírek, IoT, NFA)podíl na rozvoji IT v ČR – NIX.CZ, CZ.NIC, národní CSIRT, ZKB, FENIX
rozvoj e-Infrastruktury strategie e-Infrastruktura komplexní prostředí dialog, spolupráce s a provázení typových uživatelských skupin pochopit potřeby, přeložit do„vlastního jazyka“, promítnout do služeb e-Infrastruktury optimálně provázané komponenty, efektivní AAI & mapování uživatelé zdroje, transparentní(topologicky neutrální), zabezpečené na všech úrovníchneustálé hledání rovnováhy - „customizace“ pro různé uživatelské skupiny / obecný kompromis udržitelná modularita celkupřenos výsledků mimo komunitu e-Infrastruktura nemá tržní ekvivalent, ale její výstupy vnější prostředí a trh pozitivně ovlivňují průběžné hodnocení e-Infrastruktury CESNET 2017 MŠMT panel složený z významných zahraničních odborníků nejvyšší možné ohodnocení, pozitivní zpráva–mj.: "CESNET can be considered a true national treasure"
služby - cz
Společná komunikační infrastruktura
společná komunikační infrastruktura charakteristika uživatelé – rozsáhlé sítě, unikátní a specifická zařízení charakter provozu – „drobný provoz“ && velmi robustní relace (single-session) aplikace citlivé na ztrátovost, zpoždění a rozptyl zpoždění (obousměrně) „velká data“ - místo vzniku místo uložení místo zpracování místo uložení zpracování . volná kapacita, „bezpečný agregační poměr“ optimální topologie, spolehlivost, stabilita parametrů potřeby uživatelů odvozeny od projektů a ad hoc příležitostí plánování ? flexibilita
společná komunikační infrastruktura budování a správa převážně vlastními silami fyzická vrstva dominantně optická vlákna (pronájem) celkem cca 6000 km, jedno (cca 1800km) a dvou-vláknové trasy redundantní propojení páteřních uzlů optická přenosová vrstva 2 komplementární systémy 1-100 Gb/s kanály, až 80 kanálů (jádro) platforma pro vytváření spojení bod-bod stavební prvek pro vyšší vrstvy sítěfotonické služby pro uživatele
společná komunikační infrastruktura IP/MPLS vrstva 100 GE jádro, uzly jádro 40100 GE nebo Nx10 GEduální páteřní uzlyredundantní připojení uzlů dopáteře sdílená IP síť (IPv4, IPv6 dual stack;unicast, multicast) samostatné sítě pro specifickéúčely EoMPLS VPLS lambdaP-boxPE-boxCE, ostatní
společná komunikační infrastruktura externí propojení sdílená IP síť 230 Gb/s 100 Gb/s GÉANT 40 Gb/s NIX.CZ 20 Gb/s ACONET (VIX) 20 Gb/s SANET (SIX) 10 Gb/s AMS-X 20 Gb/s Google 10 Gb/s Tier-1 10 Gb/s PIONIER vyhrazené E2E propoje Nx10 Gb/s (GÉANT, LHCONE) Nx10 Gb/s CBF
společná komunikační infrastruktura zabezpečení – původní slide souvislý monitoring stavu a využití celé sítě souvislý monitoring IP provozu (flow-based) HW sondy na perimetru sítě – veškerý přeshraniční provoz plošný Flow-based monitoring celé páteře detekce anomálií, uchování provozních dat (ZKB, vyhláška 485) kontrola zdrojových IP adres na vstupu do páteře (RPF check, filtry, BCP-38) RTBH jako služba pro uživatele (BGP připojené sítě) automatická “rate-limit policy“ na perimetru sítě (amplifikační DDoS útoky) obrana proti dalším typickým útokům (aut. detekce analýza opatření) BGP FlowSpec v páteři čistička provozu CSIRT (CESNET-CERTS), service-desk pohotovost specialistů (24x365) CESNET - zakládající člen FENIX @ NIX.CZ
společná komunikační infrastruktura zabezpečení souvislý monitoring stavu a využití celé sítě souvislý monitoring IP provozu (na bázi toků, možnost analýzy plného provozu) kontrola zdrojových IP adres – eliminace podvržení zdrojových IP adres v provozu na vstupu do páteřeRPF check statické filtry (tam kde není možný striktní mód)RTBH jako služba pro uživatele (BGP připojené sítě) – zahození nežádoucího provozu vpředchozí síti
společná komunikační infrastruktura zabezpečení automatická “rate-limit policy“ na perimetru sítě – obrana (především) protiamplifikačním DDoS útokům
společná komunikační infrastruktura zabezpečení selektivní čištění provozu BGP FlowSpec v páteři čistička provozu selektivní přesměrování provozuna čističku pomocí BGPFlowSpec vyčištění provozu (na čističčce)vhodnou strategií
společná komunikační infrastruktura zabezpečení obrana proti dalším útokům1. detekce (monitorovací systémy), indikace2. analýza (specialista, síťový specialista v pohotovosti)3. opatření (správa sítě, síťový specialista v pohotovosti)4. verifikace (monitorovací systémy) CSIRT (CESNET-CERTS) service-desk (24x365) pohotovost specialistů (24x365) CESNET - zakládající člen FENIX @ NIX.CZ
společná komunikační infrastruktura služby společné komunikační infrastruktury služba připojení k e-infrastruktuře symetrické připojení, kapacitně bez omezení (technologická, smluvní rychlost) bez jakékoli regulace (legitimního provozu) možnost redundantního připojení do dalšího uzlu s automatickou aplikací zabezpečovacích a monitorovacích mechanismů asistence při připojení (změně architektuře připojení, LIR, AS, multihome), konzultacevyhrazené okruhy a sítě pro uživatele EoMPLS, VPLS lambda službyfotonické služby
společná komunikační infrastruktura budoucnost 2018/2019 NIX.CZ: 2x20 Gb/s 2x100 Gb/s AMS-IX: 10 Gb/s 2x10 Gb/s GÉANT backup: 10 Gb/s 2x10 Gb/s řada upgradů v optické vrstvě a uvnitř IP/MPLS páteře obecnější plány, delší horizont nová generace sítě – diskuze o architektuře flexibilita v oblasti uživatelských portů (40-100 Gb/s) ? multicast ? scientific DMZ vyšší automatizace řízení a zabezpečení (strojové řízení BGP Flow Spec, čištěníprovozu na vysokých rychlostech)
Děkuji za pozornost a trpělivost.
e-Infrastruktura CESNET další služby monitorování kvalitativních charakteristik sítě propustnost, zpoždění, jitter, ztrátovost apod. - pro uživatele náročných aplikací, správce sítí apod. časové služby cesium, rubidium, GPS synchronizace (NTP - Stratum 1), časová razítka (Time-Stamp Authority) technické konzultace
