Hybridipilvipalveluiden hyödyntäminen tänään
Pilvipalveluiden mielikuva on yleisesti syntynyt kuluttajapalveluista. Tuttuja palveluita ovat vaikka selaimella käytettävä sähköposti tai tiedostojen tallennuspalvelu. Pilvipalveluista ajatellaan edelleen myös hyvin mustavalkoisesti ja hybridiratkaisuja ei ole monessa tapauksessa mietitty tarkemmin tai mahdollisuutena. Microsoftin Cloud OS -konsepti mahdollistaa erilaisia hybridipilviratkaisuja asiakkaan vaatimusten mukaisesti toteutettavina kokonaisratkaisuina. Cloud OS -konseptin avulla toteutettavan ratkaisun eri osat voidaan tuottaa siellä, missä se on asiakkaalle tehokkainta tai vastaa tarkasti asiakkaan vaatimuksia tietoturvan osalta. Mitä tällaiset hybridiratkaisut voisivat tarkoittaa omassa ympäristössä ja mitä hyötyä niillä voisi saavuttaa? Käyn tässä kolme esimerkkiä hybridipilvipalveluista, joita voit toteuttaa heti tänään osana omaa infrastruktuuriasi.
Pilvitallennus
Kuluttajat mieltävät pilvitallennuksen yleisesti Skydrive, Dropbox tai iCloud nimillä. Organisaatioissa tallennus on vastaavasti toteutettu keskitetyssä konesalissa olevalle tiedostopalvelimilla, jonka taustalla olevan tallennuspalvelun tarjoaa useimmiten nykyaikainen keskitetty tallennusjärjestelmä. Nykyaikaisissa tallennusjärjestelmissä hyödynnetään ns. Storage Tiering toimintoa jonka avulla tallennusratkaisussa voidaan käyttää eri hintaluokan levyjä tehokkaammin ja tallentaa tietoa tarkoituksenmukaisesti eri hintaisille ja suorituskykyä omaaville levypinnoille. Storage Tiering- toiminnallisuuden älykkyys mittaa käytetyimmät tiedostojen osat ja siirtää ne nopeammalle levypinnalle, sekä vähemmän käytetyt osat vastaavasti hitaammalle levypinnalle. Storage Tiering -toiminnon avulla voidaan nostaa tallennusratkaisun kustannustehokkuutta ja parantaa loppukäyttäjän käyttökokemusta. Keskitetystä tallennusratkaisusta voidaan nykypäivänä toteuttaa myös hybridimalli, jossa edellä kuvattu Storage Tiering toiminnallisuus laajennetaan julkiseen pilveen.
Microsoft on kasvattanut osuuttaan viime aikoina merkittävästi kuluttajalaitteissa ja se onkin näkynyt IT median uutisoinnissa. Vähemmän tiedossa oleva asia on se, että nykyisin Microsoft toimittaa myös monipuolisia tallennusratkaisuja, sekä kumppaneiden toimesta Windows Server 2012 –pohjautuvina valmisratkaisuina ja Microsoftin omana StorSimple –tallennusratkaisuna . Microsoft StorSimple -tallennusjärjestelmän avulla voidaan toteuttaa hybridipilvitallennusratkaisu ulottamalla edellä kuvattu Storage Tiering -toiminnallisuus Windows Azure -pilvipalveluun. Konseptitasolla kuvattuna StorSimple toteuttaa Storage Tiering palvelua seuraavasti:
- StorSimpleen tallennettava tiedosto puretaan tietolohkoiksi ja lohkot tallennetaan suoraan nopeimmalle (SSD) levypinnalle.
- Tietolohkoista etsitään identtiset kappaleet, päällekkäiset lohkot poistetaan levypinnalta ja tilalle vaihdetaan viittaus yhteiseen lohkoon. Näin samaa tietoa ei koskaan tallenneta lukuisia kertoja.
- Riippuen siitä kuinka paljon jotain tiettyä lohkoa käytetään sijoitetaan se joko nopealle levylle (SSD) tai hitaammalle levypinnalle (SAS). Samalla järjestelmä myös pakkaa tiedon.
- Tallennusratkaisun paikallisen levykapasiteetin täyttyessä 85%, StorSimple alkaa siirtämään vähiten käytettyjä tietolohkoja Windows Azure -tallennuspalveluun. Ennen siirtoa StorSimple salaa siirrettävät tietolohkot AES 256 salauksen ja yksityisen avaimen avulla.
StorSimplen toiminnallisuuden avulla voidaan saavuttaa seuraavia hyötyjä:
- Loppukäyttäjän käyttökokemus on optimoitu, koska eniten käytetyt tiedot ovat käytettävissä nopeasti omassa konesalissa olevassa StorSimple tallennusratkaisussa, nopeimmalla mahdollisella (SSD) levypinnalla.
- Käyttäjiä ei tarvitse kouluttaa uuteen käyttöliittymään tai toimintatapaan. Kotihakemistopalvelu toimii ja näkyy käyttäjille samana kuten aiemminkin.
- Kustannustehokkuus on optimoitu. Organisaatioiden kalliissa tallennusratkaisuissa on erittäin paljon dataa jota käytetään hyvin harvoin. Tällainen data on tallennettuna julkisen pilven tarjoamaan halpaan ja vikasietoiseen levykapasiteettiin.
- Tietoturva on huomioitu hyvin käytettäessä julkista pilvipalvelua. Tieto on purettu tietolohkoihin ja tietolohkot on salattu. Pilvipalveluun tallennetut lohkot on salattu ja suojattu palvelukohtaisella salausavaimella ja järjestelmän välittämät lohkot salattu yksityisellä salausavaimella (AES 256 bit).
Edellisessä esimerkissä käyttökohteena olivat loppukäyttäjien kotihakemistot. Muita mahdollisia käyttökohteita hybridipilvitallennukselle voisi olla esimerkiksi testi- ja kehitysympäristöjen tallennuspalvelut, arkistot, varmistukset tai logitiedot.
Henkilön sähköinen vahva tunnistus
Vahvaa tunnistamista käytetään yleisesti pankkien verkkopalveluissa sekä julkishallinnon tarjoamissa asiointipalveluissa. Organisaatioissa sitä on yleisesti käytetty myös internettiin avatuissa sisäverkon palveluissa. Esimerkit riippuvat organisaation tietoturvavaatimuksista, mutta muutamia yleisiä esimerkkejä tälle voisi olla organisaation sähköpostin käyttäminen julkisilta yleisöpäätteiltä, korkeamman tietoturvaluokan dokumenttikirjastojen käyttäminen internetistä tai etäyhteydet organisaation sisäverkkoon. Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista määrittelee vahvan tunnistuksen niin, että se tulee perustua kahteen seuraavista kolmesta vaihtoehdosta:
- salasanaan tai johonkin muuhun sellaiseen, mitä tunnistusvälineen haltija tietää;
- sirukorttiin tai johonkin muuhun sellaiseen, mitä tunnistusvälineen haltijalla on hallussaan; tai
- sormenjälkeen tai johonkin muuhun tunnistusvälineen haltijan yksilöivään ominaisuuteen;
Lain asettamien vaatimusten lisäksi vahvan tunnistuksen olisi hyvä olla mahdollisimman helposti toteutettavissa. Kaikki me olemme loppukäyttäjinä jo tottuneet siihen, että meidän tulee muistaa eri käyttäjätunnus/salasana -pareja lukuisiin palveluihin. Keskimäärin yksittäisellä käyttäjällä on tilastojen mukaan 26 eri käyttäjätunnusta. En usko että kukaan meistä haluaa erikseen pitää mukana älykortteja, vaihtuvan salasanan avaimenperiä tai jotain muita uusia laitteita joita emme muuten päivittäin tarvitse. Kaikilla meillä on kuitenkin matkapuhelin käytössä.
Vahvan tunnistamisen ratkaisut voidaan nykyisin toteuttaa myös hybridipilvipalveluna hyödyntäen käyttäjien puhelinta. Windows Azure tarjoaa palvelun nimeltä Multi Factor Authentication jonka avulla organisaatio voi hyödyntää pilvestä vahvan tunnistuksen palvelua ja integroida se osaksi omia palveluita. Konseptitasolla tämä voisi toimia seuraavan esimerkin tapaan:
- Käyttäjä kirjautuu internetissä olevalta laitteelta organisaation Extranet -palveluun omalla käyttäjätunnus / salasana parillaan.
- Organisaation Extranet -palveluun integroitu Azure Multi Factor Authentication agentti ottaa pyynnön vastaan, tarkastaa organisaation hakemistosta käyttäjätunnukseen liitetyn matkapuhelin-numeron ja lähettää pyynnön Windows Azuressa olevaan palveluun. Palvelu soittaa käyttäjän matkapuhelimeen.
- Käyttäjä saa puhelun jossa pyydetään painamaan # merkkiä jos käyttäjä hyväksyy vahvistuksen tai 0# mikäli käyttäjä ei tiedä mistä on kyse.
- Käyttäjän painaessa # merkkiä kirjautuminen Extranet palveluun päästetään läpi ja käyttäjän painaessa 0# merkkejä kirjautumisyritys kirjataan raportointipalveluun hyökkäysyritykseksi ja käyttäjän etäyhteydet evätään tilapäisesti.
Edellisessä esimerkissä vahva tunnistus toteutettiin puhelun avulla. Mikäli organisaatio haluaa vahventaa edelleen tunnistusta, voidaan käyttäjää pyytää näppäilemään puhelun aikana oma PIN koodi jonka hän on itse asettanut etäpalveluihin. Muita vaihtoehtoja ovat tekstiviestit tai mobiilisovellus älypuhelimiin.
Vahvan tunnistuksen palvelu voidaan siis toteuttaa hybridiratkaisuna niin, että pelkkä tunnistus olemassa oleviin järjestelmiin toteutetaan palveluna Windows Azuresta. Kontrolli käyttäjäidentiteeteistä ja niihin liittyvistä matkapuhelinnumeroista säilyy organisaation keskitetyssä käyttäjähakemistossa.
Oman infrastruktuurin kytkeminen Azure kapasiteettiin (IaaS)
Kolmas ja laajin esimerkki on oman Windows Azuren kytkeminen osaksi oman organisaation verkkoinfrastruktuuria. Windows Azuressa oleva verkko voidaan kytkeä osaksi organisaation omaa verkkoa. Windows Azuressa toimivat palvelimet voidaan siis tuottaa palveluna, täysin samalla tavalla kuten ne olisivat organisaation omassa konesalissa. Lisäksi tämän saman palvelun voi toteuttaa myös Microsoftin Cloud OS Network kumppani. Cloud OS Network kumppanilla on kyvykkyys toteuttaa täysin samanlainen palvelu omasta paikallisesta kapasiteetistaan automatisoituna ja yhtenäisenä Windows Azuren kanssa aina käyttöliittymätasolle asti. Kumppani voi toteuttaa palvelun täysin itsepalveluperiaatteella kuten Windows Azurekin, jolloin resurssien tilaaminen kestää mahdollisesti 5 viikon sijaan 5 minuuttia. Lisäksi palvelusta voidaan tuottaa hienojakoinen laskutuserittely kumppanin määrittelemillä hinnoilla. Microsoftin Cloud OS Network kumppanilla on siis kyvykkyys toteuttaa asiakkaalle aitoa hybridipilvipalvelua niin että käyttäjän käyttökokemus on yhdenmukainen ja palvelut toteutetaan sieltä missä se on kullekin asiakkaalle vaatimustenmukaista tai kustannuksiltaan järkevintä.
Cloud OS konseptin mukaisia hybridipilviratkaisuja on tehty Suomessa jo useita. Tässä yksi Suomalainen esimerkki oman infrastruktuurin ulottamisesta Azuren tarjoamaan kapasiteettipalveluun:
https://www.microsoft.com/finland/references/default.htm#/references/savo/
Terveisin,
Antti Alila
Tuotepäällikkö
Server & Cloud, Microsoft Oy