governance di infrastrutture it basate su software open source · insieme di funzionifornite...

Commissione Ingegneria dell’Informazione

Università degliStudi di ParmaCorso di Laureain Informatica

Governance di infrastrutture IT basate su

software open source

SdS AIEA - Milano, 21/02/2013 – Ing. Giulio Destri

Ing. Giulio Destri - 2


Agenda

• La C.R.O.I.L. in breve• Introduzione: la governance dei sistemi informatici

ed un modello che aiuta a garantirla• Una visione del software open source oggi• Infrastrutture diffuse basate su open source• Metodologie di gestione• Case study• Conclusioni

SdS AIEA – Milano, 21/02/2013



La C.R.O.I.L. (1/2)

• Consulta Regionale Ordini Ingegneri Lombardia• Riunisce e coordina tutti gli Ingegneri lombardi• Gli iscritti agli Ordini di Ingegneria sono circa

28.000 in Lombardia e circa 220.000 in Italia• Dal 2001 gli ingegneri sono suddivisi nei tre settori

civile/ambientale, industriale, dell’informazione• Il settore dell’informazione comprende

automazione, elettronica, gestionale, informatica, telecomunicazioni

• Gli Ingegneri iscritti all’Ordine che afferiscono al settore dell’informazione sono circa 7.000 in Lombardia e circa 80.000 in Italia




La C.R.O.I.L. (2/2)

• La CROIL collabora con altri ordini professionali, associazioni di categoria e la pubblica amministrazione sia direttamente, sia attraverso le commissioni tematiche

• Le commissioni tematiche coprono vari temi specifici dell’Ingegneria come, ad esempio, impianti, strutture, sicurezza…

• La Commissione Ingegneria dell’Informazione ènata a fine 2009, ultima in ordine cronologico




http://www.linkedin.com/giuliodestri

http://www.areaprofessional.net/giulio.destri

http://www.giuliodestri.it/articoli

[email protected] – [email protected]

twitter.com/GiulioDestri

Dr. Ing. Giulio Destri, Ph.D.Coordinatore @ Commissione Ingegneria dell’Informazione della

Consulta Regionale Ordini Ingegneri Lombardia (CROIL)

Consigliere @ Ordine Ingegneri di Cremona

Professore a Contratto di Sistemi Informativi I @ Università di Parma

Digital Solution Architect, Advisor & Trainer @ AREA Professional

L’oratore




Governance dei sistemi informatici:

un modello che aiuta a garantirla



I sistemi informativi

Sistema informativo = “L’insieme di persone, apparecchiature, procedure aziendali il cui compito è quello di produrre le informazioni che servono per operare nell’impresa e gestirla”. (M. De Marco)

Corrisponde all’inglese “Information System”




Sistemi informativie sistemi informatici

Pertanto un sistema informativo si suddivide in:Risorse umane (con organizzazione, ruoli, esperienze, ecc…)Risorse tecnologiche (sistema informatico, inglese “IT System”)Risorse organizzative (procedure, regolamenti, workflow, ecc…)




Il concetto di governance

Occuparsi della governance di un sistema informatico significa garantirne:

il costante funzionamento,

mantenendo la qualità adeguata dei servizi erogati,

in conformità con le esigenze istituzionali,

coerentemente con i criteri di economicità e di budget.




I fattori della complessità

I sistemi informatici sono complessi

•Tecnologie in rapida evoluzione,

•esigenze del business…

Sono parte dei sistemi informativi, quindi:

•Fattore umano (skill, dinamiche di gruppo…)

•Regole, processi, procedure…

Occorre una metodologia…




Definizione di servizio

Un Service (Servizio) è un modo per

fornire valore ai customer (clienti)

senza che questi si assumano costi e rischi

(ITIL)

Servizio ClienteValore




Un servizio IT può essere definito come un insieme di funzioni fornite attraverso sistemi IT nel supportare una o più aree di business (dipartimenti, agenzie, reparti, ecc.).

Può essere costituito da software, hardware e mezzi di comunicazione, ma il cliente/customer e utente/user lo percepisce come una unica entità.

Definizione di servizio IT




Molti elementi contribuiscono al servizioIl cliente lo percepisce come una sola entità: “La posta non va!”Occorre conoscere e governare i componenti che contribuiscono al servizio

Storage Rete Server Applic. Directory Utente

Servizio di posta elettronica

Definizione di servizio IT (2)




ITIL Service Portfolio

Il Service Portfolio è un database che contiene tutte le informazioni su tutti i servizi presenti, passati e futuri

Si divide in tre parti– Service Catalogue: in esercizio

• Business Service Catalogue• Technical Service Catalogue

– Service Pipeline: in preparazione– Retired services: memoria storia dei servizi

passati




TOGAF Framework

• The Open Group Architecture Framework(TOGAF), nato come un framework generico per lo sviluppo di architetture tecniche, evoluto in un quadro di architettura per l’intera impresa (versione 8, 2006)

• TOGAF Architecture Development Method (ADM) definisce le viste TOGAF (compliant to IEEE 1471-2000/ISO 42010)

• ArchiMate è il linguaggio di modellazione che integra TOGAF




TOGAF: ADM e viste

Business Architecture Views

Information Systems Architecture viewsData Architecture viewsApplications Architecture views

Technology Architecture views

Composite views




TOGAF/ArchiMate: lo schema dell’IT

LivelloBusiness

LivelloApplicazioni

LivelloTecnologia Infrastruttura tecnologica

ApplicazioniDati

Informazioni Processi Organizzazione

AmbienteEsterno

Prodotti / Servizi




Servizi in ArchiMate

Un servizio viene definito come l'unità di funzionalità che espone un sistema, nascondendone le operazioni interne, che fornisce un certo valore (monetario o altro).

Una interfaccia è definita come un punto di accesso in cui sono realizzati uno o piùservizi disponibili all’ ambiente esterno.




Configuration Item

Occorre conoscere le relazioni attraverso i livelli per governare adeguatamente i servizi

Nella terminologia del ConfigurationManagement ITIL, i componenti IT ed i servizi con essi forniti sono noti come ConfigurationItem (CI).




Configuration Item (2)

I CI possono includere • l’hardware dei PC, • i vari tipi di software, • i componenti di rete sia attivi che passivi, • i server, • i processori, • la documentazione, • le procedure, • i servizi • e tutti gli altri componenti IT che vanno

controllati dall’Organizzazione IT.Ing. Giulio Destri - 20



Service Catalogue: struttura

Fonte: ITIL




Dettaglio livelli

Software applicativoLibrerieSoftware infrastrutturale

ContainerDBMSWeb server…

Sistema operativoHardware




Una visione dell’open source oggi



Il software open source oggi

• Software applicativo: Suite Office, CRM, gestionali, multimedia…

• Librerie: grafica, crittografia, compressione, logging, UI Web…

• Software infrastrutturale– Container: Tomcat, JBoss, Drupal…– DBMS: MySQL, PostgreSQL…– Web server: Apache

• Sistema operativo: Linux, OpenBSD, FreeBSD…

• Hardware: Arduino…Ing. Giulio Destri - 24



Ciclo di vita dell’ open source

• Chi gestisce i prodotti open source?– Aziende (es. RedHat…)– Fondazioni e consorzi (es. Mozilla Foundation,

Apache Foundation…)– Gruppi “informali”

• Rilasci secondo proprie roadmap• Nuove feature ed aggiornamenti?• Retrocompatibilità?

Dipendenze da altri prodotti




Un esempio: SSH

• OpenSSH: implementazione open completa del protocollo di comunicazione sicura SSH

• Sviluppato dal Progetto OpenBSD• Si basa internamente su due componenti

– OpenSSL, sviluppato dal progetto OpenSSL– ZLib, sviluppata dal gruppo di GZip

• Rilasci delle componenti nuove su cui OpenSSH si basa devono essere testate in compilazione

• Problemi di sicurezza potrebbero essere dovuti alle componenti interne e non al pacchetto stesso




Su scala più grande…

• Le distribuzioni Linux sono aggregazioni di kernel, librerie run-time, librerie applicative e software applicativi

• Ciascuno di essi ha il suo ciclo di vita• Il valore aggiunto della distribuzione sta nel

fornire una piattaforma collaudata nel suo insieme

• Ma è sempre adeguatamente aggiornata?




Su scala più grande (2)…

Integrazione Linux-Windows…• Basata su vari componenti (es. SAMBA,

OpenLDAP…)• Può richiedere molto sforzo• Può non essere sempre possibile• Ci sono stati problemi nei cambi di versione• Ma ci sono anche esperienze di grande

successo!




Alcune infrastrutture diffuse basate su open source



LAMP & CMS

• Architettura per costruire applicazioni Web Linux, Apache, MySQL, PHP

• Attualmente la più diffusa in termini numerici• I Content Management System più diffusi

sono basati su questa architettura– Wordpress: – Joomla:– Drupal:– PHPNuke:

(Fonte: W3Techs, in grigio la percentuale sul totale, in verde quella relativa ai siti basati su CMS)




LAMP & CMS (2)

Linux Kernel

DBMS: MySQL

Apache

PHP

CMS PHP-Based

Personalizzazioni

Web server

+

CONTENUTI

Web Client

HTTP request

HTTP response




Java

• Architettura per costruire applicazioni Web Linux, Apache, MySQL, Tomcat o JBoss

• Equivalenti con alcune componenti proprietarie (es. Solaris, Oracle…)

• Applicazioni Web per grande traffico• Portali Web aziende di telecomunicazione /

home banking• CMS Java-based (es. AlFresco…)




Java… caratteristiche

HTTP request

HTTP response

Apache Web Server Java ApplicationServer

Stream dinamicoHTML

Web Clientconnettore(es. mod_jk)

DBMS




DB Server aziendale

• Server Linux (Oracle, RedHat…)• DBMS Oracle, MySQL o PostgreSQL• Cluster HA, VM, server semplice

• Enti pubblici, ospedali, aziende…




Server aziendale

• File Server, print server• Web server intranet• Server applicativo web• Mail server intranet / pubblico• Domain server, coordinato con sistemi

Windows• …




Un primo giudizio…

• I sistemi open source sono più complessi dei sistemi closed

• Maggior numero di variabili iniziali in gioco• Evoluzione separata per i vari elementi e

potenzialmente più rapida• Complessità nella integrazione con sistemi

closed

Necessità di governance!




Metodologie di gestione di infrastrutture basate su open

source



Ambiente operativo per i servizi

Applicazioni che compongono i serviziSi basano su• Librerie• Software infrastrutturale• Sistema operativo

Costruire matrici di configuration item!




Costruire l’Ambiente

• Individuare con precisione i servizi richiesti e le applicazioni che li compongono

• Definire quali servizi che l’ambiente operativo da costruire dovrà contenere

• Individuare ed usare soltanto hardware supportati!

• Mettere in opera il sistema con procedure documentando i passaggi

• Notare tutte le caratteristiche• Collaudare il sistema




Costruire l’Ambiente (2)

• In funzione dell’uso, stabilire la politica di aggiornamento

• Se servizi interni alla intranet, – Orientati alla stabilità– Bassa necessità di aggiornamenti

• Se servizi esposti su internet– Aggiornamenti frequenti legati a security– Non sempre gli aggiornamenti delle distribuzioni

coprono rapidamente problemi di security – Possibile necessità di aggiornamenti “manuali”




Ambiente di test

• E’ necessario disporre di un ambiente di test• In molti casi può essere virtuale• Fare le prove dei cambi di versione• Verificare la compatibilità delle applicazioni




Sistema operativo

• L’hardware è supportato?• Le librerie integrate sono compatibili con le

applicazioni?• Il software infrastrutturale integrato è

compatibile con le applicazioni?• Sono necessari altri componenti non già

compresi nella distribuzione?• Esistono i package per la distribuzione con

tali componenti?




Aggiungere componenti

• Compilazione da zero di sorgenti– Struttura standard (la maggioranza)– Struttura custom (molto rischiosi)

• Installazione di precompilati di vari formati– Bin, sh, tarball di binari…

• Package in formati standard – rpm (verificare compatibilità rispetto alla versione)– deb (più elementi, verificare compatibilità)




Procedurizzazione

• In ambiente di test, determinare tutti i passaggi delle procedure per fare aggiornamenti ed installazioni

• Costruire procedure operative con tutti i comandi (eventualmente script)

• Verificare periodicamente la validità di tali procedure con le nuove versioni dei softwareIl processo deve essere “automatizzato”, per servire anche come procedura di disasterrecovery




Case Study



Web Server Internet

• Server Web di produzione per applicazioni PHP/CMS e Java

• Aggiornamento dei componenti “esposti” per motivi di sicurezza

• Ambienti operativi per applicazioni esistenti e in realizzazione

• Problemi: bug presenti nel componente • Scelta: installazione componenti compilati da

sorgenti (2004)




Web Server Internet (2)

• Piattaforma basata su distribuzione, in quanto la creazione da zero è troppo dispendiosa

• RedHat/CentOS• Servizi interni (non visibili da esterno): si

tengono quelli della distribuzione, • Servizi visibili da esterno: da aggiornare

periodicamente in base a segnalazioni dei bollettini di sicurezza

• Firewall IPTables: si usa quello legato al kernel della distribuzione




Il dettaglio degli strati

• Interni– Kernel– Compilatori e librerie– DBMS

• Visibili dall’esterno– Librerie (ZLib, OpenSSL…)– SSH/SFTP e FTP– Server Web Apache– PHP– Java– Tomcat




Le dipendenze degli strati

Linux Kernel

Librerie base

DBMS

CompilatoriLibrerie specifiche

FTP

ApachePHP

Tomcat

JavaSSH/SFTP

Accessi esterni Web

Accessi esterni gestione contenutie/o server

Webserver



Per gli strati interni…

• Kernel (e IP Tables): aggiornamenti in base alla distribuzione

• Compilatori e librerie: aggiornamenti in base alla distribuzione

• DBMS:– verificare gli annunci sui siti/canali dei produttori– se problemi o necessità, compilare versioni da

sorgenti– non dovrebbero esserci problematiche di

sicurezza intrinseche– verificare sempre gli strati applicativi superiori!




Strati esterni

• Librerie (ZLib, OpenSSL…)– Le librerie usate dagli applicativi Web, SSH, PHP

dovrebbero essere compilate dai sorgenti ed aggiornate in base alle segnalazioni dei produttori

• SSH/SFTP e FTP– SSH è la chiave di accesso al sistema– SSH/SFTP permette di usare accesso crittato e

basato su gestione chiavi per l’autenticazione– Viene aggiornato di frequente dal produttore– Molto meno nelle distribuzioni– Deve essere aggiornato compilando dai sorgenti– Lo stesso, più raramente, vale per FTP




Strati esterni (2)

• Server Web Apache– E’ il punto principale visibile dall’esterno per il

sistema– Deve essere sempre sicuro– Aggiornamenti frequenti (circa 4-6 mesi) dal

consorzio– Risposte rapide a segnalazioni di vulnerabilità– Aggiornamenti non frequenti dalla distribuzione– Compilazione da sorgenti con attivazione dei

moduli che servono– Configurazione a informazione minima!– Compilazione dei moduli di connessione (es.

mod_jk)Ing. Giulio Destri - 52



Strati esterni (3)

• PHP– Motore run-time per le applicazioni PHP– Altro punto critico per il sistema– Robusto, aggiornato frequentemente, in

evoluzione tecnica– Aggiornato molto di rado nelle distribuzioni– Deve essere compilato da sorgenti o prelevato

come package RPM extra-distribuzione– Dipende da tante librerie




Strati esterni (4)

• Java– La versione ufficiale Oracle non fa parte delle

distribuzioni– Deve essere prelevata ed aggiornata a parte– Usare package RPM o BIN (file “autoesplodente”)

• Tomcat– Contenitore per gli applicativi Web Java– Viene aggiornato di frequente– Aggiornato molto di rado nelle distribuzioni– Deve essere gestito a mano!– Usare




Come organizzare?

• Un aggiornamento package sovrascrive eseguibili e librerie

• Dovrebbe essere annullabile ma…?• Per gli aggiornamenti garantiti dalle

distribuzioni ci si affida alle distribuzioni• E per gli altri?

Affidabilità dei gestori dei packageOrganizzazione diversa di eseguibili e librerie (“aggiornamenti transazionali controllabili”)




Come organizzare? (2)

• In un sistema Linux standard eseguibili e librerie sono nella cartella /usr

• Le installazioni della distribuzione e i package che seguono lo standard rpm agiscono su questa cartella

• Per cui i mutamenti applicati agiscono direttamente e non è possibile la coesistenza di vecchia e nuova versione





La cartella /opt per installazioni “opzionali”

Struttura di base:/opt/<nome applicazione>/<versione>/<cartelle

dell’applicazione>





/opt/ apache/2.2.22

/2.2.23php/5.3.20

/5.3.21/5.4.11

ssh/5.6/6.1




Integrazione col sistema

• Qualora sia necessaria la visibilità degli eseguibili così installati a livello globale, si crea un link ad essi entro la cartella /usr/local/bin o /usr/local/sbind

• Si modificano e/o creano gli script dei servizi inserendo in essi i riferimenti ai link e/o alle cartelle reali dell’applicazione che viene da essi controllata.

• Lo stesso per i file di configurazione




Server aziendale intranet

• Controllore di dominio• File server• Applicativo web PHP per condivisione lavoro

• Problema sulle librerie PHP della distribuzione: non supportanti le caratteristiche dell’applicativo




Server aziendale intranet (2)

• Costruzione della installazione aggiornata PHP ed Apache con la metodologia vista prima

• Collaudato con successo• Aggiornamenti molto meno frequenti in

quanto sistema protetto dal firewall aziendale• Legati a ciclo di vita dell’applicativo




Conclusioni



Verifica in uso

• Il sistema è stato impiegato su server Web di produzione dal 2004 in poi e in varie occasioni per server intranet

• E’ stato applicato anche per installazioni “molto particolari” come .NET per Linux (MONO, non supportato come package nella distribuzione RedHat/CentOS)




Verifica in uso: pro

• Una volta costruite le matrici di compatibilità e noti applicativi e librerie è prevedibile il tempo di manutenzione ed aggiornamento

• Una volta costruiti script di compilazione il procedimento è automatizzabile

• E’ possibile la coesistenza di vecchia e nuova versione e la verifica del software applicativo soprastanteIl sistema è sotto controllo




Verifica in uso: contro

• Necessaria la verifica della compilazione ad ogni aggiornamento di major version dei moduli coinvolti

• La costruzione iniziale degli script per ogni nuovo modulo richiede tempo

• Cambiamenti “epocali” (ad esempio, passaggio a 64 bit) richiedono la ricostruzione di ambiente e scriptLa manutenzione di evoluzioni di ambiente può essere costosa!




Bibliografia

ITIL v3 Manualshttp://www.itil-officialsite.com/

TOGAFhttp://www.opengroup.org/togaf/

W3Techs Web Technology Surveyhttp://w3techs.com/technologies/overview/content_management/all

G. Destri: “Apache from source: Il server Web PHP, Java e Mono, SSH/SFTP”

http://www.areaprofessional.net/documenti/websoftwarefromsource.pdf




• La C.R.O.I.L. in breve• Introduzione: la governance dei sistemi informatici

ed un modello che aiuta a garantirla• Una visione del software open source oggi• Infrastrutture diffuse basate su open source• Metodologie di gestione• Case study• Conclusioni

Sommario


governance di infrastrutture it basate su software open source · insieme di funzionifornite...

Documents