Transcription
asut Lunch-ForumAutomatisierung der ICT – nach den Servern die Firewall und dasNetzwerkAnton Klee, CEO & Partnerat rete agEisengasse 16CH-8008 ZürichTel 41 44 266 55 55Fax 41 44 266 55 88www.atrete.chinfo@atrete.ch
Agenda1. atrete2. «ICT industrialized»: Die frühen Stadien3. SDN everywhere4. Automatisierung generell5. Netzwerk6. Firewall-Rules Antragsprozess7. Unsere Empfehlungen zur Automatisierungasut Lunch-Forum - Automatisierung der ICT2
Wer wir sindSpezialisiertes ICT BeratungsunternehmenEigenständig, unabhängig und neutralFokus auf mittlere und grössere ptsitzAktionariat25Zürich, SchweizPartner Gegründet im 1997, MBO aus derElectrowatt Engineering AG1989Präsent im Markt seit 1989asut Lunch-Forum - Automatisierung der ICT3
Unser Weg zur DigitalisierungDigitalisierung. Sicherheit. Migration. Betrieb.Orchestrierung. Automatisierung.Cloud Services. Cloud Security.Hybrid CloudIoT / SDxWorkplace / Mobiles / ThingsCollaboration / ContactCenterIP / SDN / SD-WAN / Mobile / LPWANasut Lunch-Forum - Automatisierung der ICT4
Was wir tun: ICT gGATT / WTOEngineeringPlanungDesignAnalyseAnforderungen TransitionProjektleitung (PRINCE2 zertifiziert)Personalverleih / Interim Managementasut Lunch-Forum - Automatisierung der ICT5
Unsere KundenFinanz, Versicherung Öffentlicher SektorLogistikProvider, Energie Schweizerische Post Swissport AKBCredit SuisseHelsanaLGT GroupPrivatbankSwiss LifeSwiss ReVisanaZKB Kanton AargauKanton LuzernKanton ZürichSchweizerischeBundesverwaltungSRG SSRStadt Zürich OIZStadt KlotenSwitchZID Basel StadtPharma, Chemie GeistlichGivaudanRocheTakedaNovartisTransport SBB Flughafen Zürich AGGesundheit MedbaseIndustrie, Retail ForboOC xAbraxasBKWewzewbIWBGroupe eSunriseSwisscomSwissgridBildung ETH ZurichUniversität BaselUniversität ZürichFHNWasut Lunch-Forum - Automatisierung der ICT6
Agenda1. atrete2. «ICT industrialized»: Die frühen Stadien3. SDN everywhere4. Automatisierung generell5. Netzwerk6. Firewall-Rules Antragsprozess7. Unsere Empfehlungen zur Automatisierungasut Lunch-Forum - Automatisierung der ICT7
Automatisierung – oder «ICT industrialized»Schnittstelle zwischen ICT Angebot und LeistungserbringungKunden – OrientierungICT-Angebot:‘Industrielle’ Fertigung:Standards für:Applikationen Biz-AppsERPOffice Apps.Provisioning / ChangesPlattformen MainframeServer-PlattformenMiddlewareWorkplace Desktop I, IIMobile I, IICommunication BetriebFix-VoiceMobile-VoiceMobile Data/VoiceConnectivity I,IIVerrechnungasut Lunch-Forum - Automatisierung der ICT8
Unterscheidung von ‘Customer-’ versus cationsApp 1App 2 InfrastructureCPUDBStorageNetworkMiddlewareM1M2M Workplace.Output OE‘s ecustomer facing factory facingOE‘sVerrechnungsProzesseasut Lunch-Forum - Automatisierung der ICT9
Erste Ansätze von Automatisierung durch d 1ApprovalBoard nDeliveryeasy-approval Pre-Engineered Solutions Verified / validated by Configuration EngineCMDBADConfiguratorSAPWorkpackage 1Workpackage 2Delivery Catalogbased on configurator.Workpackage 3Workpackage 4Workpackage nasut Lunch-Forum - Automatisierung der ICT10
Hürden auf dem Weg zur Automatisierung und deren disruptive AuflösungHürden: Organisationen / Zuständigkeiten / R&R Plattform-Vielfalt: HW und SW Unterschiedlichste Konfig-Tools Disruption: Die Virtualisierung – weg von physischen Instanzen! Software Defined anything Cloud Anbieter für Compute/Storage Leistungen treten aufasut Lunch-Forum - Automatisierung der ICT11
Virtualisierung im Server-UmfeldAbstraktion der Server Hardware gegenüber dem Betriebssystem Unabhängigkeit von der Hardware AbstraktionStandardisierte Schnittstelle gegenüber OSPooling von Server Ressourcen auf standardisierten Hardware Plattformen Portierbarkeit von OS-Instanzen als Fileon the fly (vMotion, Live Migration, )Zentrale Orchestrierung der Ressourcen zentrales ManagementOrchestrierung übersichtliche Administration vieler Server wenige Clicks für Server Instanzierung Skalierung der Ressourcen im Betriebasut Lunch-Forum - Automatisierung der ICT12
Und die realen Umsetzungen Server Bestellung on-the-flyasut Lunch-Forum - Automatisierung der ICT13
Agenda1. atrete2. «ICT industrialized»: Die frühen Stadien3. SDN everywhere4. Automatisierung generell5. Netzwerk6. Firewall-Rules Antragsprozess7. Unsere Empfehlungen zur Automatisierungasut Lunch-Forum - Automatisierung der ICT14
Wie sieht’s denn beim Netzwerk aus?Lassen sich auch Netzwerke / -komponenten virtualisieren?asut Lunch-Forum - Automatisierung der ICT15
Aussage aus dem Jahre 2015«The network is constrainingthe full realization of thepower of the virtualization»Mike Marcellin, Senior VP, Strategy and Marketing, Plattform System Division, JuniperNetworksasut Lunch-Forum - Automatisierung der ICT16
Damaliger Ausblick des Branchenleaders (2015)asut Lunch-Forum - Automatisierung der ICT17
Software Defined NetworkingSDN VirtualisierungsmodellControl ProgramVirtual TopologyNetwork HypervisorGlobal Network ViewNetwork OSasut Lunch-Forum - Automatisierung der ICT18
SDN rvicesSOFWAREControl Data icesz.B.OpenFlowasut Lunch-Forum - Automatisierung der ICT19
Software Defined NetworkingNetwork OverlayPhysical DevicePhysical DevicePhysical XLAN / NVGRE virtual Network OverlayCoreCoreCoreCorePhysical Datacenter Networkasut Lunch-Forum - Automatisierung der ICT20
Charakteristik der SDN-Architektur gemäss Open Network Foundation Agil Zentral gesteuert Programm gesteuert –„SDN ermöglicht dem Netzwerk-Manager eine schnelle und einfacheVerwaltung von Netzwerk-Ressourcen (configure, manage, secure,optimize) mittels dynamischen und automatisierten Programmen.Diese können einfach selbst entwickelt werden, da sie nicht vonproprietärer Software abhängig sind.“asut Lunch-Forum - Automatisierung der ICT21
Die SDN Welt – und deren Begrifflichkeiten asut Lunch-Forum - Automatisierung der ICT22
Agenda1. atrete2. «ICT industrialized»: Die frühen Stadien3. SDN everywhere4. Automatisierung generell5. Netzwerk6. Firewall-Rules Antragsprozess7. Unsere Empfehlungen zur Automatisierungasut Lunch-Forum - Automatisierung der ICT23
Automatisierung – was?Automatisierung als Teil von ProvisionierungProvisionierung Public Cloud (AWS, Azure, ) Private Cloud DC vs. Access/Sites OperationsKonfigurationZonen, FW, Load-Balancing/ProxySDA (Software Defined Access)Automatisierung als Teil von Operation(real time) SD-WANTraffic EngineeringAutomation von immer wiederkehrendenKonfigurationen/Servicesasut Lunch-Forum - Automatisierung der ICT24
Automatisierung nach Infrastruktur-Komponenten – Stand heuteBereitstellung von SW-Komponenten und Einstellungen für unterschiedliche Systeme für denSetup einer ganzen ApplikationPaas &SaaS zur Zeit eher seltenBereitstellung kompletter Compute-Systeme (virtuell und physisch) mit unterliegendenSpeicher und OS-KomponentenCompute &Storage Häufig: automatisierte Bereitstellung von VMs basierend auf vordefinierten OSBuildsWorkflow-basierter Prozess für Bewilligung UND Deployment von FW Rule Change RequestsFirewall &ProxyRules approveAutomatisierung noch nicht häufig gesehendeployBereitstellung von Netzwerkressourcen. Moderne Infrastrukturen bieten API (SD )Network (noch) nicht häufig genutztheutige “Automatisierung” basiert meist auf einzelnen Skripts, Serienbriefen undExcelsasut Lunch-Forum - Automatisierung der ICT25
Periodensystem von DevOps s-tools/asut Lunch-Forum - Automatisierung der ICT26
Konfigurationsmanagement und Automation Frameworks/Libraries«Auf dem Server läuft einzentraler PuppetDaemon (puppetmaster), der dieKonfigurationen der Rechnervorhält und auf Anfragevia REST-API austeilt. »«Chef is used to streamline the taskof configuring and maintaining acompany's servers, and canintegrate with cloud-basedplatforms suchas Internap, Amazon EC2, GoogleCloud Platform »«Ansible ist ein OpenSource AutomatisierungsWerkzeug zur Orchestrierung undallgemeinen Konfiguration undAdministration von Computern. Eskombiniert Softwareverteilung, Adhoc-Kommando-Ausführungund Konfigurationsmanagement»asut Lunch-Forum - Automatisierung der ICT27
Automation auf verschiedenen Ebenen – unterstützende ToolsPaas &SaaS AWS, Azure, OpenStackIBM Cloud Orchestration / BPMCisco Cloud Orchestrator / UCS DirectorCompute &Storage vRealizeAnsible, Chef, PuppetFirewall &ProxyRules TufinAlgosecSkyboxDatacenterNetwork Ansible, PythonIBM Netcool Configuration ManagerSolarwinds network configuration ManagerNetMRI, Cisco PrimeACI, NSXAccessNetwork SDA, SD-WAN (Vendor specific solutions)Ansible, PythonNSOapprovedeployWANasut Lunch-Forum - Automatisierung der ICT28
Architektur der AutomatisierungKundenseiteKundenportal Servicekatalog Serviceinventar SelfSevice PortalKunde(Benutzer)Wer ist der User/Bediener der Automation:Sollen Konfigurationen künftig von "anderen"gemacht werden können?Fertigungsseite Servicekatalog Fertigung (Servicedekomposition) Service Orchestrierung ngineer Produktions-/Fertigungskontrolle Prozesssteuerung SchnittstellenIntermediateTools Template oder Schnittstellezu Infrastruktur Z.B. FW-Request or ScriptsElementManger ElementgruppenSystemEngineerOperatorasut Lunch-Forum - Automatisierung der ICT29
Agenda1. atrete2. «ICT industrialized»: Die frühen Stadien3. SDN everywhere4. Automatisierung generell5. Netzwerk6. Firewall-Rules Antragsprozess7. Unsere Empfehlungen zur Automatisierungasut Lunch-Forum - Automatisierung der ICT30
BEISPIEL AUTOMATISIERUNGVollständig automatisierte Provisionierung von virtuellenNetzwerkressourcen im Datacenterasut Lunch-Forum - Automatisierung der ICT31
AutomatisierungsumgebungNetzwerk MPLS-/VLAN-basierte Netzwerkarchitektur Automatisierte/virtualisierte Netzkomponenten (vNF): Switch, Router, Firewall, Loadbalancer Standardisierte/modularisierte Servicekomponenten werden vom Solution Engineer zu End-to-EndNetzwerkservices verbundenZiel der Orchestrierung/Automatisierung Automatisierter Roll-out von definierten Connectivity ServicesRealtime Dokumentation der konfigurierten ServicesDurchsetzung von standardisierten KonfigurationenUmsetzung virtualisierter Servicearchitektur und -design, welche nur mit Einsatz von Automatisierungzuverlässig betrieben werden könnenasut Lunch-Forum - Automatisierung der ICT32
Beispiel eines User Interfacesasut Lunch-Forum - Automatisierung der ICT33
Portal: User InterfaceICO: GUI, Benutzerportal und Self-Service Offers(Servicekatalog und Servicemodule)BPM: Coach gathers inputDB PRERequest ProvisioningEmailCheck job statusQIPDB POST (Activation)TufinREST API ModulevCenterBPM: Businesslogik und Schnittstelle zur FertigungStorageNetworkDeploymentIBM BusinessProcess ManagerIBM CloudOrchestratorApplikations-KomponentenNCM: Roll-out Netzwerkkonfiguration (klassischeNetzwerkkomponenten)Netcool Config. Managerasut Lunch-Forum - Automatisierung der ICT34
Projekt Herausforderungen Software Engineering trifft auf System EngineeringSpezifikation / gemeinsames VerständnisSchnittstellen und AbhängigkeitenAgile Software Development, regelt Priorität nur bedingt das LieferdatumAd hoc Changesasut Lunch-Forum - Automatisierung der ICT35
Agenda1. atrete2. «ICT industrialized»: Die frühen Stadien3. SDN everywhere4. Automatisierung generell5. Netzwerk6. Firewall-Rules Antragsprozess7. Unsere Empfehlungen zur Automatisierungasut Lunch-Forum - Automatisierung der ICT36
Firewall-AntragsprozessFirewall-Antrag (Tool)SystemdeployKonzept①②Antrag③ reibung Festlegung der Platzierung durch eine Design/Architekturstelle zu prüfen und freizugeben.Resultate dieser Prüfung sind im Antragstool anzuhängen, als Grundlage für die Beurteilung eines Antrags. Bereitstellung Ressourcen gemäss Platzierung: Zuordnung von IP-Adresse und Systemnamen. Neue Systeme müssen in den korrekten Netzwerkzonenbereitgestellt werden.Zusätzliche Bewilligungsgrundlagen im Antragstool bereitstellen (Bsp. Kundenvereinbarungen, Ausnahmegenehmigungen, etc) Einreichen Firewall-Antrag: Ein konkreter Antrag für Firewallregeln kann erst eingereicht werden, wenn die Namen und IP-Adressen der Systemebekannt sind.Beurteilung Firewall-Antrag: technische Plausiblität und Sicherheitsrisiko jeder einzelnen Verbindung anhand einer konfigurierbaren Risikomatrix.Flexibler Workflow leitet Antrag zur passenden Bewilligungsinstanz weiter. Antragstool zeigt «kritische» Verbindungen auf, Beurteilung und Bewilligungbasieren jedoch auf vorhandenen Grundlagen (siehe und ) und erfolgen typischerweise manuell. Freischalten der Verbindungen in der Firewall: Bewilligte Anträge werden in der Infrastruktur implementiert (manuell / automatisch). Der Antragstellerwird bei jeder Statusänderung informiert (Bsp. „Antrag implementiert“).asut Lunch-Forum - Automatisierung der ICT37
Von der «Firewall-Regel» hin zur «Verbindung»Neuer Ansatz: benötigte Verbindungenzwischen Endpunkten bestellen Verbindungs-orientiertQuelle: Tufin Orchestration SuiteWas wir heute typi
FHNW Finanz, VersicherungÖffentlicher Sektor Industrie, Retail Provider, Energie Pharma, Chemie Transport Logistik Bildung Medbase Gesundheit 6. Agenda 1. atrete 2. «ICT industrialized»: Die frühen Stadien 3. SDN everywhere 4. Automatisierung generell 5. Netzwerk 6. Firewall-Rules Antragsprozess 7. Unsere Empfehlungen zur Automatisierung asut Lunch-Forum - Automatisierung der ICT 7 .
