20110216 idc security conference
18
Difendere il perimetro con Juniper Network Pierluigi Sartori CISSP – CISM – CRISC - CGEIT Pierluigi.sartori@in fotn.it IDC Conference Milano 16 febbraio 2011
-
Upload
pierluigi-sartori -
Category
Documents
-
view
108 -
download
0
description
Presentazione dello speech tenuto all'IDC conference del 2011 e alla Juniper Academy
Transcript of 20110216 idc security conference
Difendere il perimetro con
Juniper Network
Pierluigi SartoriCISSP – CISM – CRISC - CGEIT
IDC Conference
Milano 16 febbraio 2011
2
La Società
Informatica Trentina è stata costituita nel 1983 su iniziativa della Provincia Autonoma di Trentino e di altri Enti Pubblici del Trentino
La Compagine azionaria (al 21 maggio 2010):• Provincia Autonoma di Trento (50,1889%)• Tecnofin Trentina Spa (39,7101%)• Regione Autonoma Trentino-Alto Adige (1,7199%)• Comune di Trento (1,2433%)• C.C.I.A.A. (1,2433%)• Comune di Rovereto (0,3931%)• 11 Comprensori (4,3241%)• altri 74 Comuni (1,1772%)
Alcuni dati al 31 dicembre 2010:• Fatturato: oltre 56 milioni di Euro• Numero dipendenti: circa 300
Partecipazione alla governance:• Ulteriori 68 Enti Locali
3
La Società
La missione:
• strumento di sistema, perché operiamo per contribuire allo sviluppo del sistema pubblico trentino;
• strumento di innovazione, perché promuoviamo l’innovazione nella Pubblica Amministrazione Locale;
• strumento di cooperazione perché cooperiamo con le imprese ICT del territorio per l’ammodernamento della Pubblica Amministrazione.
Informatica Trentina è diventata oggi strumento di sistema per il settore pubblico provinciale per fornire soluzioni globali nel campo dell’informatica e delle telecomunicazioni (I.C.T. - Information & Communication Technology).Siamo quindi il punto di riferimento delle Amministrazioni e degli Enti del territorio trentino come:
La certificazione:
Certificazione di conformità del nuovo Sistema di Gestione per la Qualità ai requisiti delle norme UNI EN ISO 9001:2008 per il seguente campo di applicazione: “Progettazione ed erogazione di servizi di telecomunicazione, data center, desktop management ed assistenza; progettazione, sviluppo, commercializzazione ed assistenza di software applicativo per pubblica amministrazione ed imprese; progettazione ed erogazione di servizi di formazione in ambito informatico”.
4
I Clienti
La Società eroga i propri servizi nei confronti della Pubblica Amministrazione Locale. I principali clienti sono rappresentati da:
Provincia Autonoma di Trento Agenzie ed Enti strumentali della Provincia Autonoma di Trento
• Agenzia del Lavoro, Agenzia Provinciale per la Protezione dell’Ambiente, Cassa Provinciale Antincendi, Agenzia Provinciale per la Protonterapia, Ufficio Statistico, Agenzia per l’Assistenza e la Previdenza Integrativa, Agenzia per l’Energia, Agenzia per i Pagamenti in Agricoltura)
• Azienda Provinciale per i Servizi Sanitari• Istituti scolastici del Trentino ed IPRASE• Istituzioni culturali, museali e parchi naturali• Società di sistema• Fondazioni (Fondazione Mach e Fondazione Bruno Kessler)
Università degli Studi di Trento Regione Autonoma Trentino-Alto Adige/Südtirol Enti Locali (Comuni e Comprensori del territorio provinciale)
5
I Servizi
Customer Service Desk• circa 174.000 contatti gestiti, di cui circa 156.000 in entrata e circa
18.000 in uscita• tempo medio di risposta inferiore ai 9,5 secondi• oltre il 42% delle richieste di assistenza tecnica risolto al primo contatto• 27.000 tickets gestiti nel 2009
Desktop/Fleet Management• circa 11.620 posti di lavoro serviti
Data Center• presenti nel Data Center della Società circa 500 server a supporto di
soluzioni gestionali e applicazioni evolute del mondo web Telecomunicazione
• collegati in rete tramite TELPAT circa 1.300 sedi degli Enti del territorio
6
PAT
InfoTN
PATPAT
Il “problema” della crescita ….
7
PAT
InfoTN
PATPAT
Telpat
Il “problema” della crescita ….
8
PAT
Internet
InfoTN
Telpat
PAT
PAT
Il “problema” della crescita ….
… e del collo di bottiglia
9
Telpat Rete di Interscambio
Internet
Reti di Datacenter
Backbone in Fibra
Connessioni in Rame
RetiDMZ
Backbone in Fibra
Connessioni in Rame
Ulteriori punti d’attenzione
Soluzione software: Complessità degli aggiornamenti (SW + OS) Gestione doppio supporto problematico Sovraccarico della CPU per elevati volumi di traffico
Perdita delle sessioni correnti ad ogni modifica della configurazione
Zona di sicurezza unica e controllo traffico solo su base IP
Necessità di un numero maggiore di interfacce di rete (fisiche o logiche) per un controllo più granulare dell’intranet
10
Esigenze operative
Individuare una soluzione adeguata a supportare tutta l’infrastruttura: Interfacce in fibra ottica Throughput adeguato (> 4Gb/s) Bassa complessità gestionale Funzionalità di routing avanzate Scalabilità della piattaforma
Eliminare la problematica del doppio aggiornamento (OS+Software) e doppio fornitore (SW+HW)
Organizzare un piano di migrazione di basso impatto sull’operatività
11
Requisiti
Affidabilità e stabilità del fornitore Supporto Tecnico Specialistico H24 Struttura in ASIC con Firmware dedicato Garanzia di throughput elevato High Availability Management, Gestione centralizzata Interfacce di rete in fibra Supporto Vlan Supporto NAT statico e dinamico Client authentication Licenza non dipendente dal numero di sessioni
contemporanee/numero di utenti Aggiornamento policy senza interferire sulle sessioni correnti
12
Il processo di selezione
Analisi del mercato per individuare i player che garantissero i requisiti fondamentali di throughput, scalabilità, prestazioni evidenziate nei requisiti di progetto
Per i 4 prodotti individuati sono stati analizzati Caratteristiche di affidabilità del produttore Sistema operativo di base Software firewall Supporto VPN Sistema di gestione Supporto locale/nazionale Politiche licenza e prezzi Altre eventuali funzionalità
13
La soluzione individuata
14
Telpat
Reti di Datacenter
RetiDMZ
Rete di Interscambio
Internet
Link 100 mb Link 100 mb
Link 100 mbBanda Internet 32 MbLink 2 Gb
Link 4 Gb
La soluzione individuata
15
Telpat
Reti di Datacenter
RetiDMZ
Rete di Interscambio
Internet
Link 100 mb
Link 100 mbLink 2 Gb
Link 4 GbLink 2 Gb
Link 1 GbBanda Internet 120 MbLink 10 Gb
Link 10 Gb
Affidabilità e stabilità del fornitore Struttura in ASIC con Firmware dedicato High Availability Interfacce di rete in fibra Supporto NAT statico e dinamico Aggiornamento policy senza interferire
sulle sessioni correnti
Disponibilità e affidabilità del supporto tecnico
Garanzia di throughput elevato Management, Gestione centralizzata Supporto Vlan Client authentication Licenza non dipendente dal numero di
sessioni contemporanee/numero di utenti
In continua evoluzione
16
Telpat
Reti di Datacenter
RetiDMZ
Rete di Interscambio
Internet
Link 1 GbBanda Internet 500 Mb
SPCSistema Pubblico
di Connettività
Juniper NS-5400 Concurrent sessions: 40K
Security policies: 2.277
Juniper NS-5200 Concurrent sessions: 40K
Security policies: 1.648
In continua evoluzione
17
Telpat
Reti di Datacenter
RetiDMZ
Rete di Interscambio
Internet
Juniper SRX5800 Firewall performance (max): 120 Gbps
IPS performance (NSS 4.2.1): 30 Gbps
Maximum concurrent sessions: 10 Million
New sessions/second: 350,000
Maximum security policies: 80,000
Maximum users supported: Unrestricted
Link 1 GbBanda Internet 500 Mb
SPCSistema Pubblico
di Connettività
18
Informatica Trentina SpaVia G. Gilli, 2 - 38121 Trento
www.infotn.it
Vrae?Afrikaans
Questions?English
¿Preguntas?Spanish
Domande?Italian
Вопросы?Russian
Ερωτήσεις;Greek
tupoQghachmey?Klingon
質問?Japanese
أسئلة؟Arabic
問題呢 ?Chinese
?שאלותJewish
Questions?French
Fragen?German
