44
Moderní správa IT ve firměBusinessIT.cz
Edice: BusinessIT ebooksAutoři: Redakce BusinessIT.czCopyright © Bispiral, s.r.o., 2011Vydáno v roce 2011 v Bispiral, s.r.o.Názvy použité v této knize mohou být ochrannýmiznámkami příslušných vlastníků.web: www.BusinessIT.cz
Tentokrát jsme pro naši elektronickou knihu zvoliliponěkud jinou strukturu než obvykle; vzhledem kfaktu, že je správa IT tématem, u kterého nedávápříliš velký smysl vysvětlovat její základní principy (ITmanažeři je znají a vedení firem zpravidla nemádůvod do jejich tajů dopodrobna pronikat, protožepro něj jsou důležité výsledky), rozhodli jsme se začítjinak – pohledem na strategické řízení IT. Jde tedy
opět o text vhodný i pro manažery mimo IT – věnujese totiž pohledu na správu IT z nadhledu – zabývá sepotenciálem informačních technologií a tipy proplánování na delší časové období.V dalších částech se pak již tradičně vydáváme kpraktickým záležitostem, kterými jsou tentokrátnasazení IPv6 a nejzajímavější open-source nástrojepro správu IT. Současně přidáváme i kapitolyzaměřené na správu mobilních zařízení a namožnosti nasazení cloudu, které jsme publikovali již vnašich e-knihách Mobilní zařízení pro lepší byznys aCloud Computing od B do Y, ale které nepochybněpatří i sem. Věříme, že to přivítají především ti z vás,kteří zmíněné knihy zatím nečetli.
Redakce BusinessIT.cz
IT oddělení v roli makléřů, anebStrategické řízení ITAnalytici společnosti Gartner v říjnu roku 2011 nasvém sympoziu ITxpo mimo jiné upozornili, že je nyní– více než kdykoli dříve – nutno začít přetvářet roliinformačních technologií ve firmách. Běžný způsobmodernizace IT podle nich již nestačí, protože vsoučasném byznysu se lze se zákazníky setkatnaprosto všude – a tomu se firmy – v úzké kooperacis IT – musejí přizpůsobit. Možná, že to zní jako přílišvznešené myšlenky, ale rozhodně vybízejí k jednomudůležitému kroku – totiž k zamyšlení se nadzpůsobem řízením IT ve firmách z většího nadhledu,než bývá obvyklé.Část IT oddělení se podle analytiků v budoucnuposune do role takzvaných makléřů cloudu, kteříslužby nakoupené na běžném trhu přizpůsobujípotřebám svých firem. Šéfové informatiky – budou-lichtít uspět – se budou muset naučit riskovat – adoporučovat inovativní řešení. A všechna IT odděleníbudou muset poskytovat co nejjednodušší služby tak,aby je klienti mohli snadno využívat prostřednictvím
jakéhokoli koncového zařízení.
Nový pohled na budoucí byznys“Postmoderní byznys kompletně mění status quo anutně musí řešit dramaticky nový vztah se zákazníky,dodavateli i partnery,“ vysvětluje Daryl Plummer,viceprezident společnosti Gartner. Váš byznys vsoučasném postmoderním světě není omezenžádnými zdmi; musí být všude a musí se měnit tak,jak se mění zákazníci. „V postmoderním byznysuzapomenete na pojmy, jako je business architecture,a chopíte se nových pojmů, jako je spokojenostzákazníka nebo zapojení zákazníka do byznysu. Vpostmoderním byznysu se zákazník a požadavky navás budou měnit rychleji než nějaké vašearchitektury.“IT lídři musejí podle Gartneru uspokojit zákazníky,kteří jsou nyní daleko informovanější o jejichproduktech – a to v situaci, kdy se trhy mění rychleji,než kdykoli dříve. Zákazníci chtějí vědět, že se firmyzajímají o jejich starosti, a tak šéfové informatikymusejí zachytit aktivitu zákazníků – byť se projevujejen v krátkém časovém úseku - a reagovat na ni.Ano – je to role CIO, protože právě on má (nebo by
měl mít) nejlepší přehled o možnostech IT – aprotože právě prostřednictvím IT dnes zákazníci sfirmou velmi často komunikují.„Ve světě, kde průměrná firma vydrží jen deset let,může každý bod navíc ve spokojenosti zákazníkapřidat vašemu byznysu jeden rok života,“ říkáPlummer. „Postmoderní byznys nevynakládá všechnypeníze na zajištění loajality zákazníků, ale investují doloajality firmy vůči zákazníkům.“
Trendy, které musí sledovat ITRychlost změn nutí dnešní firmy – a jejich IT oddělení– sledovat aktuální trendy a využívat možnosti, kterénabízejí. Jedním z nich je pochopitelně cloudcomputing a jednou z mnoha otázek s ním spojenýchje budoucí role IT oddělení ve firmě.Podle Plummera se IT oddělení mohou nově státjakýmisi makléři, kteří nakoupí cloudové služby odvelkých poskytovatelů a zajistí jejich propojení aúpravy podle potřeb firmy, pro kterou pracují.Výhodou bude skutečnost, že poskytovatelemzákladní cloudové služby je firma, která se na danouoblast specializuje a poskytuje ji ve velkýchobjemech; ale klient – lidé z byznysu ve firmě – bude
mít k dispozici řešení šité na míru podle vlastníchpotřeb. Plummer odhaduje, že do role „cloudbrokerů“ se postupně dostane až 30 % IT organizací.Dalším zásadním trendem je snaha o jednoduchost,která se podle Plummera odráží i v nástupu využívánímobilních zařízení. “V roce 2015 počet projektů navývoj mobilních aplikací pro chytré telefony a tabletypřečíslí PC projekty v poměru 4:1. PC už nadále neníkrálem,“ upozorňuje Hung LeHong, viceprezidentGartneru pro výzkum trhu. „IT oddělení musejí býtsoučástí tohoto vývoje. Věci musejí být takjednoduché, aby lidé mohli dělat, cokoli potřebují, najakémkoli přístroji,“ říká LeHong.
Je třeba být inovativní„Většina IT organizací věnuje 70 % a více svéhočasu, peněz a úsilí na zajištění spolehlivosti svýchsystémů, na prosté udržení věcí v chodu,“poznamenává Tina Nunnová, analytička aviceprezidentka Gartneru. To se podle ní musíkonečně změnit. IT oddělení se budou musetpřizpůsobit požadavkům byznysu na zajištění novéfunkčnosti, která zcela novými způsoby podpořípodnikání firmy. „Je skvělé, že je řada IT oddělení
podnikání firmy. „Je skvělé, že je řada IT oddělenípovažována za dobrého poskytovatele služeb, alejejich budoucí role by měla být podstatně aktivnější,“upozorňuje Nunnová. Správné IT oddělení by podle nímělo radit vedení firmy, jak využít potenciál novýchtechnologií.Skuteční IT lídři budou muset podle analytikůGartneru vsadit při řízení IT nejen naperfekcionismus, ale také na kalkulované riziko.„Pokud nikdy neriskujete, znamená to, že jstepředpověditelní a stáváte se snadným terčem prokonkurenci,“ upozorňuje Nunnová. „Odvažte se jít dokalkulovaného rizika a překvapte jak lidi kolem sebe,tak konkurenci.“
5 tipů pro moderní CIONastavte si priority tak, aby odpovídaly prioritámvedení firmy.Zajistěte soulad mezi vašimi prioritami a financemiurčenými pro jednotlivé projekty.Nepodporujte projekty a aplikace, které se nepodílejína příjmech firmy.Omezte přerostlé projekty zaměřené na updatepodnikových aplikací nebo technické infrastruktury.
Doporučujte vedení kroky, díky kterým IT přímopřispěje k lepším výsledkům firmy.
Kdy a jak přejít z IPv4 na IPv6V roce 2015 bude využívat IPv6 méně než třetinanových uživatelů internetu (přesně to má být 28 %; a17 % stávajících uživatelů; tvrdí to loňská předpověďspolečnosti Gartner). To jsou zjevně nižší čísla, nežby leckdo po posledních zprávách ze světa IPv4očekával. Životnost staršího protokolu je ale stáleprodlužována, a to navzdory některým nevýhodám,které to s sebou přináší.Aktuální průzkum GNKS Consult mezi 1600organizacemi poskytujícími internetovouinfrastrukturu ve 135 zemí světa ukázal, že 70 % znich plánuje nasadit IPv6 v roce 2012 (a jen 7 % znich s tím začne až později). Z těch, kteří snasazením IPv6 infrastruktury již začali, přes 80 %využívá takzvaného konceptu dual stack, tedyprovozování IPv4 i IPv6 na stejném hardwaru.Americký NetworkWorld se zase letos v létě mimojiné ptal zástupců amerických firem, kdy hodlajínabídnout své webové stránky i přes IPv6. 72 %dotazovaných tak hodlá učinit do dvou let, 53 %nejpozději do roka. Jak tedy přistoupit k přechodu z
IPv4 na IPv6?
IPv4 vs. IPv6IP (Internet Protocol) je základním protokolempoužívaným pro přenos dat prostřednictvím internetu.Jeho původní verze, IPv4, je postupně nahrazovánaverzí novější, IPv6. Adresní prostor IPv4 byl naglobální úrovni vyčerpán v únoru 2011, adresypřidělené regionálním správcům budou zřejměvyčerpány nejpozději v roce 2012.Adresy IPv4 mají délku 32 bitů, takže jsou schopnyrozlišit přes čtyři milardy adres; to – i vzhledem knehospodárnému využití – ovšem nestačí aktuálnímpotřebám. IPv6 disponuje 128bitovými adresami amá tedy prostor pro 3,4 x 1038 adres. Při změně zIPv4 na IPv6 se mění formát datagramů, většinaostatních protokolů se nijak měnit nemusí (pokudovšem nepracují s adresami síťové vrstvy).Kromě výrazně většího adresního prostoru přinášíIPv6 i řadu dalších vlastností, mimo jiné podporuvětších paketů, nativní podporu multicastu neboIPsec, či automatickou konfiguraci hosta vesměrované IPv6 síti. Na rozdíl od IPv4 neobsahuje jižIPv6 kontrolní součet hlavičky, což by mělo urychlit
směrování.
Potíže soužití IPv4 a IPv6Než vůbec – někdy v budoucnu – dojde kekompletnímu nahrazení IPv4 novějším IPv6, musejíspolu oba protokoly v síti nějakým způsobemkoexistovat. Noví klienti i servery jsou dnes jižzpravidla schopni komunikovat prostřednictvím obouprotokolů, pokud je však třeba přenášet IPv6 paketypo infrastruktuře podporující pouze IPv4, je třeba tořešit zapouzdřením IPv6 paketů do IPv4, kdy pakIPv4 funguje jako linková vrstva pro IPv6 (u číslaprotokolu je pak v IPv4 uvedeno 41).Problém s nedostatkem adres IPv4 je již déle řešenpřekladem adres. Vzhledem k omezenému počtuvyužitelných portů (65536) a obvyklému počtusession na jednoho uživatele (podle statistik NTT –Nippon Telephone and Telegraph – jich uživateléběžně potřebují několik stovek současně) zde všakexistuje poměrně výrazné omezení, obzvláště uvětších sítí. Nicméně při využívání IPv4 k privátníkomunikaci v rámci firmy není na první pohled třeba spřechodem na IPv6 nijak spěchat.
Kdy a jak přecházet na IPv6Rychlý přechod na IPv6 je ovšem nutný v některýchspeciálních případech. Třeba u poskytovatelůvybavení a služeb, pokud to vyžadují jejich významníklienti. Například federální úřady USA mají za cílpodporovat IPv6 ve všech svých veřejněposkytovaných internetových službách do konce září2012, australské úřady pak do konce téhož roku. Atřeba Indie počítá již s březnem 2012.Dalším případem, kdy je třeba zajistit rychloupodporu IPv6, jsou aplikace, které s IPv4 nefungují.Jde především o služby, které vyžadují přímouadresaci velkého množství zařízení.Společnost Infoblox pak varuje i před poskytovánímwebového obsahu na IPv4 klientům s IPv6prostřednictvím překladu adres z IPv4 na IPv6. Zhlediska funkčnosti tam sice není žádný problém,poskytovatel ale podle ní přijde o některé klíčovéinformace o svých klientech, které se extrahují z logůwebového serveru, které vyžadují nativní podporuIPv6.Zástupci společnosti Cisco pak v souvislosti spřechodem na IPv6 upozorňují, že se někdy setkávajís mýtem, že je třeba v organizaci přejít na IPv6
s mýtem, že je třeba v organizaci přejít na IPv6naráz. Opak je podle nich pravdou. Pokud serozhodnete přejít z IPv4 na IPv6, je vhodnější rozdělitcelý proces do několika fází. Nejprve je vhodnézajistit přechod u systémů, které poskytují službysměrem do internetu. Následovat by měla internísíťová infrastruktura, intranet a přístup k internetu.Jako poslední pak zůstává zajištění plné podporyIPv6 na straně koncových stanic.Cisco rovněž doporučuje zabývat se nejen nutnýmikroky pro přechod stávajících služeb, ale taképrozkoumat všechny nové příležitosti, které novýprotokol firmě nabídne. A to z hlediska fungovánísíťové infrastruktury, ale také z hlediska možnýchnových služeb.
Možné zádrhele přechodu na IPv6Proces přechodu na IPv6 v sobě skrývá řadu rizik,která je dobré znát. Již zmínění zástupci Infobloxudávají v tomto ohledu několik doporučení. Jako prvníkrok přitom doporučují ověření, jak v síti přidělujete asledujete IP adresy. Rozhodně je podle nich třeba todělat prostřednictvím automatizovaných nástrojů anevyužívat náhradních manuálních řešení, která snad
mohla stačit pro IPv4.Je rovněž třeba zkontrolovat architekturu DNS a jejípodporu IPv6. Pokud jsou adresy přiděloványprostřednictvím DHCP, musí samozřejmě i DHCPserver podporovat IPv6 a být zajištěna vzájemnákompatibilita obou systémů. Zástupci Cisca v tétosouvislosti upozorňují, že třeba DHCP serverWindows 2003 není schopen poskytovat IPv6adresy.S nástupem IPv6 musejí dopředu počítat pravidlapro údržbu a zabezpečení síťové infrastruktury.Problémem může být třeba řada starších firewallů,které IPv6 nepodporují. Je třeba rovněž ověřit, žebudou fungovat i služby třetích stran. Příklademmohou být třeba antispamové databáze, které nynífungují na principu blokace adres IPv4. SpolečnostMicrosoft s ohledem na bezpečnost doporučujevyužívání autentizace prostřednictvím IEEE 802.1Xpro všechny počítače připojující se do sítě přes IPv6.Teprve po úspěšné autentizaci pak mohou využítprotokolů NDP nebo DHCPv6 k získání IPv6 adresya komunikovat tak v síti.Zástupci společnosti Cisco připomínají rovněžnutnost zajistit příslušná školení všem
zaměstnancům, jejichž práce se přechod z IPv4 naIPv6 dotkne. Ve větších firmách to mohou být desítkyzaměstnanců – od bezpečnostního architekta sítě poosobu zodpovědnou za IP kamery strážící objektorganizace.K dalším nezbytným krokům patří kompletní inventuraaktuální síťové infrastruktury, aby se ověřilo, ževšechny její prvky podporují přechod na IPv6. Infobloxzde upozorňuje, že třeba pobočková ústřednaAsterisk je kompatibilní s IPv6 teprve od podzimuloňského roku. A nejde o jediný případ opozdilce.Rovněž je třeba ověřit, že všechny nástroje promonitoring a správu sítě jsou updatovány tak, abypodporovaly novou technologii. Speciálnímpřípadem jsou nejrůznější databáze, jejichž tabulkynemusejí vždy pojmout delší adresy IPv6.A dopředu je třeba počítat také s možnýmivýkonnostními problémy, protože zdaleka nevšechna síťová zařízení, která protokol IPv6podporují, jsou pro něj také optimalizována. Jelikožoptimalizaci je třeba zpravidla realizovat nahardwarové úrovni, bude třeba provést výměnu těchzařízení, která nepostačí výkonnostním nárokům.
Nejlepší open-source nástroje prosprávu ITStojíte-li právě před otázkou, jaké nástroje použít kesprávě sítě i další IT infrastruktury ve své organizaci,a přitom vám omezený rozpočet nedovoluje sepořádně rozmáchnout, zkuste některé z open-sourcenástrojů. Některé jsou zcela zdarma, u dalších si zavybrané vychytávky připlatíte; i tak ale budete mítšanci získat za své peníze velmi slušnouprotihodnotu. A co je nejdůležitější – pokud zatímvhodný nástroj nemáte, díky těmto produktům sinejspíš poměrně rychle a snadno výrazně usnadníteživot. Dost ale úvodních řečí, pojďme se podívat najednotlivé nástroje.
Nagios Open Source pro monitoring ITNagios Open Source je bezplatné řešení promonitoring IT infrastruktury v jakékoli organizaci. Kdispozici jsou nástroje pro sledování aplikací, služeb,operačních systémů, síťových protokolů, zvolenýchsystémových metrik a síťového hardwaru. V případědefinovaných událostí jsou odesílána varování (e-
mailem nebo přes SMS, s možností eskalace),případně podniknuty potřebné kroky k nápravě(například automatický restart aplikace neboserveru).Celý balík Nagios Open Source se skládá z několikarůzných skupin projektů, které zajišťují jehofunkčnost. Konkrétně jde o Nagios Core, základnímonitorovací engine a webové rozhraní, NagiosPlugins, sloužící k monitorování jednotlivých aplikacínebo služeb, Nagios Frontends, nabízejícípokročilejší rozhraní, a Nagios Addons, což jsourůzná další rozšíření. Nagios je k dispozici pro běžnéserverové operační systémy (ve formě obrazů provirtuální stroje, na nichž je spuštěn CentOS 6.x).Zvolit lze i balík Nagios XI, což je komplexnímonitorovací řešení postavené na výše zmíněnýchkomponentách. Jeho použití je zdarma pouze promenší IT prostředí (do sedmi hostitelských počítačů),pro vyšší počet monitorovaných zařízení je licenceplacená.
Netdisco pro správu sítěKořeny projektu Netdisco sahají do roku 2003 a jehoautoři se již od začátku zaměřili na správce sítí
velkých firem a univerzit. Data ze sítě jsou sbíránaprostřednictvím SNMP a uživateli předkládánaprostřednictvím webového rozhraní. K typickýmzpůsobům využití podle autorů patří lokalizacepočítače v síti a určení portu přepínače, ke kterémuje připojen, inventarizace síťového hardwaru(výrobce, model, firmware, operační systém apod.),zobrazení topologie sítě nebo statistiky využitísíťových portů přepínačů.Autoři projektu uvádějí, že nejlépe jsou jejichproduktem podporována zařízení společností Ciscoa HP, do jisté míry jsou však samozřejměpodporována všechna zařízení komunikujícíprostřednictvím SNMP. Netdisco je vyvíjeno naFreeBSD, podle dostupné dokumentace by alemělo běžet na jakémkoli systému, na kterém lzespustit Postgres, Perl, Apache, a Net-SNMP.Netdisco je šířeno zdarma s volitelnou registrací.
Just For Fun NMS není jen pro zábavuJust For Fun Network Management System, nebozkráceně JFFNMS, je dalším bezplatným nástrojempro monitorování síťové infrastruktury. Je kompletněnapsán v PHP5 a podle autora by měl být
provozovatelný na jakémkoli operačním systému,který PHP verze 5 podporuje. JFFNMS nabízíwebové uživatelské rozhraní a podporuje množstvíprotokolů potřebných pro sběr informací ze sítě(kompletní seznam najdete na stránkách projektu).JFFNMS je aktuálně ve verzi 0.9.1 (čímž senenechte zmást, rozhodně nejde o nějaký syrovýsystém) a je k dispozici pod licencí GNU GPL.
I Velká sestra ohlídá vaše systémyProjekt Big Sister byl původně zaměřen čistě namonitorování sítě, postupem času se však rozrostl oprvky zajišťující správu a monitoring dalších ITsystémů. Aktuálně pod hlavičkou Big Sister najdeteBig Sister Network Monitor, produkt promonitorování sítě zajišťující zobrazení aktuálníhostavu, ukládání informací o událostech v síti avarování v případě předdefinovaných rizikovýchstavů, Big Sister Web Application Framework,zajišťující funkcionalitu dynamického webovérozhraní pro další produkty Velké sestry, a NodeDirector, což je aplikace pro správu uživatelů,distribuci softwaru, správu konfigurací, LDAPmanagement, a to včetně automatizovaných akcí v
management, a to včetně automatizovaných akcí vreakci na definované události.Součásti projektu Big Sister jsou k dispozici proplatformy Linux a Windows. Jsou šířeny zdarma.
OpenNMS s klientem pro mobilní telefonyAutoři projektu OpenNMS, který vznikl v roce 1999,se chlubí tím, že je 100% open-source. Šířen je podlicencí GNU-GPL, ale firmy, kterým tato licencenevyhovuje, si mohou koupit i licenci komerční.Jde o systém pro sledování a správu sítě, který jeschopen automaticky zjistit zařízení připojená k síti,nebo je načíst z externí databáze, sledovatdostupnost a výkonnost síťových služeb od těchwebových přes e-mailové až po mobilní neboreagovat na definované události – odesláním e-mailu nebo SMS, případně provedením určenéhoskriptu. K dispozici je rovněž záznam časovéhoprůběhu přenášených dat prostřednictvím protokolůHTTP, SNMP, JMX a WMI i jejich grafickáprezentace.Kromě běžného webového rozhraní nabízíOpenNMS i klientskou aplikaci pro iPhone, iPodTouch a iPad.
Open-source, ale placenéK dispozici je rovněž řada produktů, které jsoučástečně nebo zcela postaveny na open-sourcesoftwaru, ale jsou poskytovány za poplatek. K těmnejznámějším patří systémy pro kompletnímonitorování a správu IT infrastruktury Big Brother(pro nekomerční účely zdarma, pro komerční je kdispozici je 30denní zkušební verze), GreatNMS (kdispozici je rovněž 30denní zkušební verze) nebosystém pro monitoring dostupnosti a výkonnosti sítěGroundwork Monitor Enterprise (pro demoverzi jenutné kontaktovat dodavatele).Uvedený přehled produktů ukazuje, že nabídkaopen-source produktů pro monitoring a správu sítě,případně celé IT infrastruktury, je opravdu velmiširoká. Pokud máte svůj preferovaný produkt,případně můžete nabídnout zajímavé zkušenosti sopen-source produkty tohoto typu, budeme rádi,když se o ně podělíte s ostatními v diskusi nebo sredakcí na naší e-mailové adrese.(Odkazy na stránky všech uvedených nástrojůnajdete v příslušném speciálu na stránkáchBusinessIT.cz.)
Bezpečnost a správa mobilníchzařízeníAno, klidně můžete nechat své uživatele mobilníchzařízení jejich osudu. Nestarat se o to, jaká firemnídata mají na svých smartphonech a tabletech, jak nanich pracují, ani co si do nich instalují. Vážněneříkáme, že to tak nejde. Ale zpravidla to nebudedobrý nápad, stejně jako většinou není dobrý nápadnechat zaměstnancům naprostou volnost v používánípracovního počítače. Pojďme se tedy společněpodívat na možnosti správy mobilních zařízení. Nafunkce podporované samotnými zařízeními i nabalíky typu MDM (Mobile Device Management).
Koncová zařízení: Apple vs. GoogleU koncových zařízení se budeme věnovat předevšímproduktům s operačními systémy iOS od Apple aAndroid od Google, protože právě ony jsou aktuálněna trhu nejpopulárnější. Lze samozřejmě namítnout,že na firemní uživatele daleko dříve mířily přístrojeBlackberry, že druhá pozice na trhu chytrých telefonůpodle posledních výsledků (druhé čtvrtletí 2011) patří
Symbianu, nebo že zajímavý jednou bude i WindowsPhone 7 (v Nokiích), ale vzhledem k aktuálnímu stavutrhu dáme přednost prvním dvěma zmíněnýmsystémům. Nicméně řada údajů v následujícím textuplatí obecně pro všechny platformy.Jak operační systém iOS od Apple, tak Android odGoogle, udělaly od svého vstupu na trh velký pokrokz hlediska možností centrální správy. U Androidu jeovšem nepříjemnou komplikací skutečnost, že jsouaktuálně na trhu k dispozici zařízení se značněodlišnými verzemi tohoto operačního systému, takženabízejí různé schopnosti.Samotný systém iOS disponuje nástroji, které dávajíIT oddělením možnost poměrně snadno mobilnítelefony a tablety od Apple vzdáleně konfigurovat,sledovat shodu jejich chování s firemnímibezpečnostními pravidly a v případě potřeby zařízenízamknout nebo kompletně vymazat. V iOS je možnoprovést širokou škálu nastavení, je možné mimo jinézakázat používání vestavěného fotoaparátu nebopořizování screenshotů, nepovolit instalaci novýchaplikací nebo provádění nákupů z aplikací jižnainstalovaných, případně zakázat používánívybraných aplikací.
Android přinesl rozšířené možnosti správy v rámcifiremní infrastruktury s příchodem své verze 2.2.Také u něj mohou administrátoři na dálku smazatvšechna data ze ztraceného nebo ukradenéhozařízení, zamknout přístup k zařízení po určité doběnečinnosti, případně vyžadovat používání hesla nakaždém zařízení a nastavit jeho minimálnípožadovanou délku (případně si vynutit, aby hesloobsahovalo jak znaky, tak číslice). Tyto možnostijsou k dispozici, pokud je na zařízení nainstalovánaaplikace Google Apps Device Policy od Google,která je zdarma ke stažení na Android Marketu.Nutno ovšem říci, že výše uvedeným výčtemmožnosti vzdálené správy v podstatě končí (a vesrovnání s většinou ostatních platforem, včetně iOS,jsou tak podle analytiků výrazně chudší).V této souvislosti stojí ještě za zmínku pravidla prozpůsob odemykání smartphonu. Použití nějaké formygesta namísto zadání alfanumerického hesla v soběskrývá nebezpečí, že možný nálezce nebo zlodějtelefonu odhalí kód ze šmouh na displeji. Nabízí setedy vynucení zadání alfanumerického hesla, ale máto své „ale“. Ne vše, co zajistí vyšší bezpečnost, jeoblíbeno u uživatelů. Třeba z komentářů uživatelů
smartphonu HTC Sense na internetu zjistíte, že sradostí používají aplikaci LockPicker, která jepovinného alfanumerického hesla zbaví.
Antimalware pro smartphonySpolečnost AVG, známý výrobce bezpečnostníchřešení mj. i pro mobilní zařízení, varuje, že početútoků – především na zařízení s operačnímsystémem Android – strmě roste. Pokud tedynechcete spoléhat jen na zodpovědné chováníuživatelů těchto zařízení, bude pro vás zřejmě dávatinstalace některého z antimalwarových produktůdobrý smysl.Již zmíněná společnost AVG nabízí svůj softwareAVG Mobile Security, který těží z dřívější akvizicespolečnosti DroidSecurity, která se specializovalaprávě na bezpečnost mobilních zařízení. MobileSecurity kontroluje obsah stahovaných aplikací,mailů, SMS a webových stránek na přítomnostškodlivého softwaru, případně dodatečněproskenuje mobilní zařízení na viry, které je schopna iodstranit. Je rovněž schopna být nápomocna přilokalizaci ztraceného nebo ukradeného přístroje,případně při jeho zamčení, či při vymazání jeho
případně při jeho zamčení, či při vymazání jehoobsahu.Podobnou funkcionalitu nabízí i ESET MobileSecurity (pro Android je nyní k dispozici verzeRelease Candidate), jehož výrobce se chlubí i funkcítakzvaného bezpečnostního auditu, který by mělodhalit potenciální bezpečnostní rizika, neboKaspersky Mobile Security, který si zase zakládá nafunkci speciální ochrany vybraných citlivých kontaktů.Z dalších výrobců mobilních antimalwarových řešeníjmenujme ještě alespoň firmy McAfee, F-Secure,Symantec (Norton) nebo Trend Micro.
Software pro správuKomplexní systém pro správu mobilních zařízení(MDM) by měl podle definice analytiků společnostiGartner nabízet především správu softwaru – včetněinstalace, updatu, smazání nebo blokování mobilníchaplikací, správu zabezpečení i pravidel využívánízařízení a správu souvisejících telekomunikačníchslužeb. Od MDM lze rovněž očekávat, že správcůmIT poskytne podklady pro softwarový audit mobilníchzařízení, pro bezpečnostní audit i pro rozúčtovánínákladů.
K dispozici je skutečně pestrá nabídka MDMproduktů od řady firem, z nichž některé se na tentosegment trhu specializují, pro jiné tvoří doplněk jejichširšího produktového portfolia. Z první skupinyjmenujme například firmy Absolute Software,AirWatch, BoxTone, MobileIron, Tangoe neboZenprise. Do druhé skupiny patří například McAfee,Microsoft, Motorola Solutions, Research In Motionnebo Sybase (nyní SAP). Všechny běžně nabízenéprodukty jsou schopny spravovat mobilní telefony srůznými operačními systémy (typicky iOS, Android,OS Blackberry, Windows Mobile, Symbian a některéi WebOS).Správa je realizována v modelu klient/server, kdy namobilních telefonech běží agent, jenž poskytujeserverové části, s níž pracují správci, potřebnéinformace, a zajišťuje provádění zaslaných instrukcí(nastavení smartphonu apod.). Agent přitom můžebýt součástí operačního systému nebo může být dopřístroje nahrán dodatečně. Obecně lze říci, žepokud systém pro správu spoléhá na integrovanéhoagenta, je omezen schopnostmi dané platformy tak,jak už jsme je zmiňovali výše.Agent prostřednictvím dostupných komunikačních
kanálů nejen přijímá instrukce a odesílá informace ostavu telefonu, ale může také hlídat, zda nedošlo knějaké z definovaných situací, na kterou je třebapodle dříve nastavených pravidel zareagovat. Tak lzenapříklad v okamžiku, kdy se telefon ocitne vroamingu, zakázat nebo omezit přenosy dat.
Odlišnosti různých řešeníJednotlivé MDM se od sebe liší nejen škálounabízených funkcí a rozhraním (typicky webové, kdispozici je zpravidla API a někdy desktopováaplikace), ale také způsobem poskytování (jakoběžný software, SaaS, appliance), rozsahempodpory, škálovatelností, podporou adresářovýchslužeb (typicky je podporován Active Directory,často i Open Directory) nebo prací s profily uživatelů.Většina systémů je schopna detekovat práci snepovolenými aplikacemi v iOS nebo jailbreak iOS(úprava iOS, při které uživatel k telefonu získá plnápřístupová práva, a může tak například instalovatneautorizované aplikace, různá rozšíření apod.;obecně, bez ohledu na operační systém, je tatoúprava označována jako rooting).Dodejme ještě, že řada IT oddělení používá k
základní správě mobilních zařízení ve firmě MicrosoftExchange Server a ActiveSync, se kterým jsou dnesmnohá mobilní zařízení schopna nativněkomunikovat. Toto řešení umožňuje mimo jinévzdálené vymazání obsahu telefonu (mobilníhozařízení) nebo nastavení vymazání po určitém počtuneúspěšných pokusů o odemknutí telefonu, nastavitpravidla pro heslo (délku, složitost apod.) nebo délkuneaktivity uživatele, po které dojde k zamčenítelefonu (a pro odemčení je třeba užít heslo).Nastavit lze rovněž třeba pravidla pro šifrování dat vtelefonu a na paměťových kartách.
Úskalí systémů MDMSpolečnost Gartner ve své letošní zprávě o MDMvaruje před některými úskalími těchto systémů. Prvníz nich již bylo naznačeno výše – některé z mobilníchoperačních systémů výrazně limitují možnosti správy,a tak nelze očekávat, že všechny chytré telefony vefirmě – pokud pracují na různých softwarovýchplatformách – nabídnou stejnou úroveň správy.Gartner přitom varuje především před nevyzrálostíplatformy Android.Současně upozorňuje, že ačkoli je Blackberry
Současně upozorňuje, že ačkoli je Blackberryhistoricky nejvýznamnější platformou chytrýchtelefonů pro použití ve firmách, ne všechny MDMsystémy podporují integraci s BES (BlackberryEnterprise Server). Pokud tedy používáte mimo jiné izařízení Blackberry, je vhodné být v tomto ohleduostražitý.Ohledně správního rozhraní systémů MDM Gartnerdoporučuje pečlivě zkoumat, zda nabízí vše, co budepři práci třeba – a upozorňuje, že některé systémynabízejí jen velmi omezené možnosti reportingu anástrojů BI (Business Intelligence). K dispozici bypodle analytiků měly být jak textové, tak grafickévýstupy, a to jak předpřipravené, tak uživatelskydefinované.
Ještě několik poznámekZa jeden z nejvýraznějších celosvětových trendůdneška bývá označován přístup, kdy si zaměstnancipřinášejí do zaměstnání svá vlastní mobilní zařízení –vybraná dle vlastních preferencí – a je jim z nichumožněn – v různé míře – přístup k firemním ITzdrojům. Za hlavní výhodu tohoto stavu jeoznačována vyšší produktivita, nevýhody jsou však
zřejmé: Heterogenní IT prostředí se hůře spravuje, apokud má být učiněno bezpečnostním pravidlůmzadost, je třeba omezit činnosti, které uživatel můžese svým zařízením provádět. Přitom se ale nelzestoprocentně spolehnout na to, že nasazená ochrananebude uživatelem překonána. I když aktuální vývojmobilních platforem i systémů pro jejich správunaději, že se tento problém v budoucnu podaří doznačné míry vyřešit, rozhodně to nelze očekávat vhorizontu několika málo měsíců.
Nasazení cloudu v praxiSlužby cloudu lze využívat různými způsoby pro různéúčely a my se v následujícím příspěvku podíváme naněkolik příkladů. Řeč bude jak o významné opensource platformě, jejímž prostřednictvím lzevybudovat vlastní privátní cloud, tak o veřejnýchcloudech poskytujících různé typy služeb, typickyaplikace nebo infrastrukturu formou služby.I když nejsnazší je zpravidla použití cloudunabízejícího služby typu software ve formě služby(SaaS), my začneme z druhého konce, totiž odřešení pro vybudování vlastníhou cloudu. Proč?Právě proto, že služby typu SaaS jsou dnes jižpoměrně známé a zpravidla snadno použitelné,nechceme vás hned v úvodu nudit něčím, conepředstavuje tu správnou výzvu.
OpenStack: Open Source software pro vlastnícloudZa jeden z nejvýznamnějších (ne-li vůbecnejvýznamnější) open source cloudový projekt jeoznačován OpenStack, za kterým zpočátku stála
společnost RackSpace a NASA, ale postupně se vněm začala angažovat asi stovka dalších firem,mimo jiné Citrix, Dell, AMD, Intel nebo Cisco.OpenStack bývá označován za Linux světa cloudu (vpozitivním slova smyslu).Z hlediska uživatelů jsou pochopitelně podstatnénejen vlastnosti, které jsou de facto definicí cloudu(škálovatelnost, spolehlivost apod.), ale takéjednoduchost nasazení. Zatím poslední významnýkrok tímto směrem učinila v létě 2011 společnostDell, která uvolnila jako open source svůj Crowbar -softwarový framework, který umožňuje nainstalovatvíceuzlový cloud během několika hodin či dokonceminut. (Na konferenci CloudConnect předvedlanasazení šesti uzlů s OpenStack Compute a ObjectStorage během necelé půlhodiny.)OpenStack se skládá ze tří základních částí:OpenStack Compute (kódové označení Nova),OpenStack Object Storage (kódové označení Swift),a OpenStack Image Service (kódové označeníGlance).OpenStack Compute zajišťuje správu rozsáhlé sítěvirtuálních strojů, čímž vytváří základ škálovatelnécloudové platformy s redundantními zdroji. Tento
software poskytuje jednak grafické správní rozhraní,jednak API potřebné pro využití cloudu – včetnězajištění běhu instancí softwaru nebo přístupuuživatelů. Podstatné je, že OpenStack Compute jenavržen bez vazby na konkrétní hypervisor nebohardware.OpenStack Object Storage, jak už název napovídá,zajišťuje dlouhodobé ukládání dat, a to vmnohapetabajtových objemech. Jde o distribuovaný,široce škálovatelný systém. Výstižný je i názevposledního základního prvku OpenStacku, totižImage Service. Ten samozřejmě zajišťuje práci sobrazy systémů uložených v různých úložištích, jejichukládání, vyhledávání i streaming.
Jak na vlastní cloudPři instalaci vlastního cloudu na platforměOpenStack budete pochopitelně potřebovat řadupodkladů ze stránek tohoto projektu. We wikiprojektu OpenStack jsou k dispozici odkazy na různéinstalační balíky OpenStacku umožňující vytvořenícloudového prostředí pod linuxovými operačnímisystémy Ubuntu, CentOS, Fedora a Red HatEnterprise, následované instrukcemi – od postupné
instalace systému od vytvoření příslušných diskovýchoddílů až po odkaz na podrobnou dokumentaciNovy, která se po instalaci zřejmě stane vašímstartovním bodem další práce. Manuály ke všemtřem základním prvkům OpenStacku naleznete zde –ve formě pro prohlížeč i v PDF.A stránky projektu Dell Cloud Edge najdete zde. Jetu k dispozici již zmíněný produkt Crowbarusnadňující nasazení OpenStacku. Případně můžetepro automatizaci nasazení cloudu využít produktChef.Abychom nebyli pouze jednostranně zaměření,zmiňme ještě další významnou open sourcecloudovou alternativu, totiž projekt Eucalyptus, kterýbyl – do vzniku OpenStacku – obecně považován zanejvýznamnější projekt tohoto typu. Rozhodnutí,kterému z nich dnes patří pomyslné vítězství, sdovolením ponecháme na vás.
Veřejný cloud od AmazonuPokud chcete dát přednost službám veřejnéhocloudu a potřebujete nikoli hotové aplikace, alevýpočetní výkon, pak zřejmě při zkoumání možnostíneminete nabídku společnosti Amazon, která nabízí
neminete nabídku společnosti Amazon, která nabízíjednu z nejznámějších (ne-li vůbec nejznámější)služeb tohoto typu. Její Amazon Elastic ComputeCloud (EC2) je službou, která uživateli poskytuješkálovatelnou výpočetní kapacitu podle jeho potřeb.Platit budete za skutečně spotřebované zdroje, resp.za dobu běhu příslušné instance a za přenesenádata.Ale buďme konkrétní. Prostřednictvím webovéhosprávního rozhraní si můžete během několika minutvytvořit novou instanci virtuálního serveru s jedním znabízených operačních systémů (různé variantyLinuxu, Windows Server nebo OpenSolaris) a začítna něm provozovat svou aplikaci. Využít přitommůžete jak některý z předpřipravených diskovýchobrazů (AMI, Amazon Machine Image), tak obrazupravený dle svých potřeb – s vlastním nastavením, spotřebnými aplikacemi, případně s daty.Instancí si můžete vytvořit tolik, kolik je potřeba, zvolitlze i jejich provozování v jedné nebo v různýchlokalitách. Vytváření a zavírání jednotlivýchserverových instancí lze pochopitelně realizovat iprostřednictvím API a tedy zcela automatizovat. EC2je součástí kompletnější cloudové infrastruktury
Amazonu, do které patří ještě Amazon SimpleStorage Service (Amazon S3), Amazon RelationalDatabase Service (Amazon RDS), AmazonSimpleDB a Amazon Simple Queue Service(Amazon SQS); tyto prvky jsou odpovědí na (zatímzde nevyřčené) otázky ohledně ukládání azpracování větších objemů dat.A zmiňme zde ještě několik vlastností clouduAmazonu, jako jsou Elastic IP Addresses, což jsoustatické IP adresy spojené nikoli s konkrétní instancíserveru, ale s vaším účtem – a lze je dynamickypřemapovat – například v okamžiku výpadku – nafunkční část cloudu. Elastic Load Balancing, jak užnázev napovídá, automaticky distribuuje příchozípožadavky na nejméně vytížené instance EC2 azajišťuje, aby provoz nebyl směrován na instance,které mají problémy. Amazon Virtual Private Cloudzajišťuje bezpečné propojení mezi vaší firemní ITinfrastrukturou a externím cloudem Amazonu. Azmiňme i službu VM Import, která umožňujeimportovat do EC2 virtuální stroje z vašeho interníhoIT prostředí.
Aplikace v cloudu
Z hlediska klienta nejjednodušší použití nabízejícloudové služby typu SaaS, tedy Software as aService. Výborným příkladem je v tomto případěGoogle a jeho Google Apps, Zoho, případně MSOffice 365. Pro naše účely si zde vyberme snadnejtypičtějšího zástupce, totiž Gmail pro firmy. Jehovýhodou pro naše účely je fakt, že všichni hned vědí,o čem je řeč – webové e-maily zná každý. A Gmailpro firmy vypadá úplně stejně, jako běžný Gmail.I když i běžný Gmail nabízí odesílání z jakýchkolijiných e-mailových adres, než je ta základní ([email protected]), v hlavičce zprávy jestále uvedeno, že mail byl odeslán z Gmailu – a vněkterých e-mailových klientech se to i zobrazí. Protoje vhodné se při profesionálním využití zaregistrovatk balíku služeb Google Apps a provozovat Gmail navlastní doméně. Celým procesem vás přitom Googleprovede a největší „složitostí“ je tak změna MXzáznamů u registrátora doménového jména. Vše jezáležitostí několika minut.Odpadá tak instalace a správa vlastního e-mailového serveru. Lze přitom zvážit i využívánídalších aplikací; zkušenosti ukazují, že uživatelé jsouzpravidla konzervativnější, pokud jde o hlavní
kancelářské aplikace (které jsou v on-line provedeníznačně omezené), nicméně e-mail, kalendář nebointerní webové stránky pro sdílení informací mají vcloudové podobě své kouzlo i pro ně. A to mimo jinédíky snadnému sdílení potřebných informací v rámcifirmy i díky snadnému přístupu z mobilních zařízení.Výraznou výhodou bývala i cena – Google nabízelmožnost využívat Apps zdarma s až padesátiuživateli, což znamenalo de facto bezplatné řešenípro řadu menších firem; letos (2011) byl však limitpro nově registrované organizace snížen na 10. Přivyšším počtu uživatelů činí cena za uživatele 40 eurročně (v době psaní tohoto textu, tedy v srpnu 2011).Na závěr ještě dodejme, že Google nabízí kroměsvých standardních balíků aplikací v rámci GoogleApps také možnost pořídit si cloudové aplikace odtřetích stran – běžící v cloudu Google, případně sivyvinout a provozovat v něm aplikace vlastní.
Cloud není jen módní hitSpolečnost Gartner na své letošní letní „hype“ křivcepřidělila technologiím cloudu několik pozic. Zatímcoprivátní cloud a cloud ve smyslu nabídky veřejnéinfrastruktury se pohybují na jejím prvním vrcholu, tedy
infrastruktury se pohybují na jejím prvním vrcholu, tedyv oblasti přehnaných očekávání – s předpokládanýmuvedením do praxe během následujících dvou až pětilet, cloudové webové platformy se nacházejí vnásledující části vyhrazené technologiím, kdeuživatelé propadli deziluzi. Mimochodem – rovněž sočekávanou dobou nasazení dva až pět let. Zdá setedy, že stále není kam spěchat. Nicméně i dnes užnepochybně cloud má na mnoha místech svéopodstatnění a přináší své ovoce.Uvedená trojice příkladů si samozřejmě v žádnémpřípadě nedělá ambice na úplnost. Různých řešení aslužeb spojených s Cloud Computingem je na trhunepřeberné množství a pokud se podíváte na takřkajakéhokoli z dalších (zde dosud nejmenovaných)významných hráčů na poli podnikové informatiky (atím opravdu nemáme na mysli jen HP, IBM, Microsoftnebo Oracle), v jeho nabídce bude zpravidla řada scloudy souvisejících produktů. V tomto článku námšlo o to, nabídnout pohled na tři základní přístupy kecloudu a na tři konkrétní možná řešení; že je variantdaleko více, je nezpochybnitelné.
