l’infrastruttura di sicurezza nel datacenter europeo di...

Electrolux IT Solutions

Università degli Studi di Udine

29 Maggio 2014

L’Infrastruttura di sicurezza nel Datacenter Europeo di Electrolux

Sommario

• Electrolux nel mondo e in Italia

• Electrolux IT Solutions

• L’Infrastruttura di sicurezza nel Datacenter

Europeo di Electrolux

2

Electrolux

Nel mondo e in Italia

Aggiornamento al 1. marzo 2014

4

date

2011 Acquisition of Chilean CTI

2011 Acquisition of Egyptian Olympic Group

2008 Launch of Electrolux brand in the US

2006 Spin off of Husqvarna

2001 Acquisition of Email, Australia

1996 Acquisition of Refripar, Brazil

1994 Acquisition of AEG Hausgeräte, Germany

1986 Acquisition of White Consolidated, USA, incl. the Frigidaire brand

1984 Acquisition of Zanussi, Italy

1978 Acquisition of Husqvarna, outdoor products

1962 Acquisition of Elektro Helios first commercial products

1950 First household laundry machine

1922 Absorption refrigerator invented and production starts in 1925

1919 Electrolux is founded, producing a new type of vacuum cleaners

4

Sales

1930 1940 1960 1970 1980 1990 2000 1950

Il Gruppo Electrolux nel mondo

5

• Fatturato 2013: circa 13 miliardi di Euro

• Dipendenti: 61.000

• Vendite: in più di 150 Paesi

• Produzione: più di 40 milioni di pezzi/anno

• Settori:

– Consumer durables (grandi elettrodomestici, condizionatori e piccoli

elettrodomestici come gli aspirapolvere)

– Professional Products (soluzioni per il Foodservice e il Laundry)

• Marchi: i più importanti nel mondo sono Electrolux, AEG, Eureka e Frigidaire

Il Gruppo Electrolux in Italia

• Dipendenti: circa 6.300

• Siti produttivi: 5

• Produzione annua: circa 4 milioni di elettrodomestici

• Settori principali: grandi e piccoli elettrodomestici, grandi impianti per

catering

• Marchi: Electrolux Appliances, divisione Major Appliances Italy ha una quota

di circa un quarto del mercato italiano, dove Electrolux Rex è il brand leader

(altri marchi: AEG, Zoppas)

• Electrolux Professional è leader di mercato con i marchi Electrolux, Zanussi

Professional, Molteni e Dito Electrolux

6

Il Gruppo Electrolux in Italia

Settore Major Appliances

• Dipendenti: circa 5.400

• Fabbriche: 4 – Porcia (PN), Susegana (TV), Solaro (MI), Forlì

• Produzione annua: circa 3,8 milioni di elettrodomestici

• Prodotti: lavabiancheria, lavasciuga, frigoriferi, lavastoviglie, apparecchi

per la cottura per tutti i principali marchi Electrolux

7

Il Gruppo Electrolux in Italia Settore Professional

• Dipendenti: circa 880

• Siti produttivi: 1 – Vallenoncello (PN)

• Prodotti: apparecchiature professionali per la ristorazione e il lavaggio

dei tessuti

• Marchi: produzione di apparecchiature per tutti i principali marchi

Electrolux

8

Electrolux IT 2014

About Electrolux IT

• Electrolux IT is responsible for the IT strategy of the Electrolux Group

and its implementation.

• Through the shared service IT organization, we develop and support

an extensive range of solutions, systems and applications that are

fundamental for all of the Group's operations around the world.

• These services increase efficiency in business processes, customer

relations, supply chains, product creation as well as end-user

productivity and information transparency.

• Our 600+ employees serve some 20,000+ IT users at all levels of the

Electrolux Group.

• Electrolux IT strive to provide best practice IT solutions to enable real

bottom-line benefits for the Group through highly professional and

proactive people and services.

• In our work, we are guided by Electrolux values: Passion for

Innovation, Customer Obsession and Drive for Results.

10

11

Electrolux IT around the globe

Around 600+ IT employees serve some 20,000+ IT users at all levels of the Electrolux Group

IT is managed as a global organization, with teams located around the globe

Number of users and applications

12

Users: 5200

Applications: 384

Locations: 34

Supported Languages: 1

Users: 15 000

Applications: 461

Locations: 206


Users: 4000

Applications:148

Locations: 30


Users: 2941

Applications:116

Locations: 86


Total:

Users: 27 141

Applications: 1109

Locations: 356

Countries/Languages: 48/22

Data center Pordenone

Data center Charlotte

Local organizations,

small corporate

IT group

The development of the IT

organization

Consolidation of the IT

organization in Europe

Consolidation of IT for

the Group to a Shared

Service function

Harmonization and

centralization

of infrastructure

~1300 FTE ~900 FTE ~730 FTE ~650 FTE

• Harmonization of

application portfolio

• Integrated global

delivery

• IT as a true

business

partner

IT Leadership Team

Electrolux IT

14

North America

IT Operations

Information Security

& Control

Purchasing

Communications

Latin America

CIO

EMEA

HR

Group and

Professional

Finance

CIO Office

APAC

Regional Organization Blueprint

• IT

15

Region

IT Operations

Architecture

Project Management

& Application

Development

Application

Management &

Testing

Business Interaction and Change

Requirements, Opportunities and Innovation

Design Solution

Buy or Build Solution

Test, Implement and Maintain

Run

Cluster support &

KUG Business Intelligence Operations Sales & Customer Care Finance

Electrolux IT teams, part 1

• IT Operations and Infrastructure designs and manages all

the IT infrastructure, such as computers and networks, at

Electrolux.

• Business Relationship and Solutions understands the

challenges that the business is facing and find ways to

resolve them by suggesting IT-enabled solutions.

• Service Management owns, monitors and supports the

development and implementation of the defined IT life-

cycle processes.

16

Electrolux IT teams, part 2

• Enterprise Architecture Center of Excellence defines and

maintains Electrolux global target architecture, which is

an overall framework and a set of road maps for guiding

all IT architecture-related decisions.

• Information Security and Control works with corporate

governance of information security throughout the Group.

17


IT Security Infrastructure Team EMEA

Electrolux EMEA Datacenter IT Security Infrastructure

Electrolux EMEA Datacenter

Cenni storici

• Cenni Storici

– Edificio costruito negli anni ‘70 (“centro meccanografico”)

– Isolato dalle sedi produttive e anonimo per motivi di

sicurezza (elaborazione buste paga e stampa assegni)

– 1984: acquisizione del gruppo Zanussi da parte di

Electrolux (IBM)

– 2005: designato come DC di riferimento per EMEA

– 2005-2007: progetto di consolidamento infrastrutturale di 29

sale macchine disseminate in EMEA;

– 2007 – 2016: consolidamento applicativo (SAP)

20


Building - 1

21


Building - 2

22


Qualche numero…

• Quick specs

– Disponibile 24x7x365

– 158 TB storage

– 18 KM di cavi di alimentazione

– 20 KM di rame

– 10 KM di fibra ottica

– 700 processori

– 1600 porte ethernet

– 70 partizioni AS/400

– 600 server Windows/Unix

23


Server Room - 1

24


Server Room - 2

25


Server Room - 3

26


IT delivery center per EMEA

• Applicativo

– SAP, altri ERP aziendali (JDE) e portale B2B

– Accesso applicativi Tesoreria e Finanza

– Applicativi per il disegno industriale;

– Applicativi sviluppati internamente (.NET, JAVA)

• Infrastrutturale

– Internet Gateway per l’Italia

– Navigazione internet

– Accesso Web applications da internet

– Mail Gateway per Sud Europa

– Pop di comunicazione con i Partners (S2S VPN, Extranets)

27


Consolidamento Europeo

• Consolidamento dei sistemi informativi:

– Riduzione dei costi operativi

– Riduzione dei costi energetici

– Accentramento e standardizzazione

• Connettività distribuita

– Non ha senso consolidare la connettività in un unico centro:

– Single point of failure (interruzione servizio dell’ISP, fault degli

apparati di rete)

– Latenza per le sedi remote

– Limitazioni di banda per la connettività Internet rispetto ad altri paesi

europei, e prezzi superiori

28


Infrastruttura di rete

• Wide Area Network

– Rete geografia “piatta” MPLS per EMEA gestita in

outsourcing

– Banda proporzionale al tipo di Business

– Alta affidabilità per ogni sito

– Connettività ad alta velocità (HSL) con Pordenone

– Norimberga (100 MB)

– Stoccolma (100 MB)

• Metropolitan Area Network

– Rete a 1 GB con le sedi produttive di Porcia, Vallenoncello,

Susegana

29

Connettività Internet

Linee guida

• Apertura verso l’esterno: Electrolux è stata pioniera nel

fornire servizi all’esterno;

• Fornire servizi su internet in maniera:

– Sicura;

– Semplice;

– Fault Tolerant.

• Interazione sicura con partners e aziende frutto di

acquisizione

30

Connettività Internet

Ridondanza Geografica

31


Infrastruttura di rete

• Internet

– Connettività Internet fornita da ISP – 100 Mbps

– Provider Independent IP addressing (194.246.0.0/19)

– Alta affidabilità locale (active:standby, 100 + 100 MB)

– Alta affidabilità geografica

– Pordenone

– Stoccolma

– Norimberga

– Ungheria

– Rete pubblica configurata nella sede di Disaster recovery

per l’accesso alle applicazioni dal Web (non annunciata ma

attivabile on-demand)

32

Infrastruttura di sicurezza

Premessa

33

"L'anello più debole di un sistema di sicurezza è

il fattore umano" - Kevin D. Mitnick

Infrastruttura di sicurezza

Premessa

34

Infrastruttura di Sicurezza

Firewall di perimetro e DMZ (Italia)

35


Delimitarized Zone

• Next Generation Firewall

• Zone “demilitarizzate” (DMZ) pubbliche

– DMZ per servizi pubblicati esternamente:

– Applicazioni Web (Wintel Servers);

– DNS esterno

– File transfer (FTP/SFTP, e altri)

– Mail Gateways

– VPN concentrator

– DMZ dedicata all’accesso utenti da/per Internet – Forward proxy

– Reverse Proxy

– Antivirus Gateway

36


Accesso A Internet

37

• Autorizzare l’accesso ad Internet solo a determinati

dipartimenti/impiegati: proxy authentication;

• Limitare l’accesso degli utenti a categorie

autorizzate:URL filtering

• Impedire il download/esecuzione di contenuti malevoli

(malware): Antivirus Gateway

• Centralizzazione dei log di navigazione nel caso di

incidenti informatici: Reporter

• Ottimizzare la banda: caching

• Alta affidabilità locale e geografica: clustering e explicit

proxy (pac file)


Forward Proxy infrastructure

38

Malware Protection System

APT, Zero-day e targeted attacks

39

• Il modello basato su “signature” non è più sufficiente con le

minacce attuali:

• Drive-by download: codice malevolo iniettato in siti

legittimi sfruttando vulnerabilità del sistema;

• Exploit Kits: personalizzazione di malware esistente;

• Zero-day o Zero-hour attacks: malware che utilizza

vulnerabilità’ non ancora identificate;

• Spear phishing: l’utente viene invitato da un «amico» ad

inserire i propri dati di accesso in siti malevoli

• Malware “polimorfico” che muta e utilizza metodi di

offuscamento per non essere riconosciuto;



40



41


Infrastructure - 1

42


Infrastructure - 2

43

• Il Malware Protection System si occupa di:

• Catturare in-line tutto il traffico da e verso Internet;

• Catturare in BCC tutte le mail ricevute e inviate;

• Eseguire il codice malevolo in una o più “sandbox”

(macchine virtuali multipiattaforma/multibrowser) create

ad-hoc ed on-demand, in base alle richieste;

• Identificare e fermare tutti i contenuti ritenuti malevoli,

attraverso l’analisi del comportamento (e non solo la

signature) lanciando l’eseguibile su una macchina

virtuale



44



45



46


Application Delivery

• Evitare il deployment di server in DMZ (vulnerabilità “zero

day”, hardening, patching);

• Fare in modo di limitare e circoscrivere le connessioni

dall’esterno verso la DMZ;

• Gestire failover e bilanciamento per i sistemi che non lo

implementano nativamente;

• Gestire il perimetro centralmente e puntualmente.

47


Application Delivery - 1

48


Application Delivery - 2

49

• Oltre a fornire caching, content filtering, e controllo AV, il

reverse proxy fornisce il seguente valore aggiunto :

• Le sessioni dei client vengono terminate direttamente sul

proxy, permettendo di mascherare il server di

destinazione;

• Il web server interno riceverà le connessioni solo dal

reverse proxy;

• Permette di implementare load balancing e failover verso

i server di backend;

• Fornisce compressione del contenuto

Posta Elettronica

Obiettivi

• Evitare spreco di banda per spam inbound

• In caso di problemi tecnici in uno dei nostri nodi, i

messaggi restano nelle code nel cloud

• Doppio AV engine e filtro anti-SPAM (utilizziamo due

brand differenti, uno sul cloud, uno localmente)

• Alta affidabilità in caso di interruzioni di servizio causati

dall’ISP (i record mx vengono fatti puntare verso altri mail

gateway)

• Content filtering e policy enforcement (contenuto mail,

phishing, dimensione attachments, estensione files)

50


Inbound emails

51


Inbound emails – Traffic (count)

52

Strong Authentication

Obiettivi

53

• Con il progredire tecnologico legato al mondo mobile e

l’adozione crescente del “cloud” computing, stiamo

assistendo ad una estensione del perimetro, fenomeno

denominato “Dematerializzazione del perimetro”.

• Diventa fondamentale spostare il baricentro verso i dati e

le risorse critiche da proteggere poiché il perimetro di

un’azienda sta diventando internet;

• E’ necessario fornire accesso sicuro agli “asset” e ai dati,

comunque governando e monitorando tutto il contorno;

• Electrolux si sta preparando a questo scenario estendo lo

scope della Authenticazione “forte”.

Authentication Servers

2 Factor Authentication (2FA)

• L’autenticazione “forte” (2FA o Multi-factor

authentication) prevede la verifica di almeno 2 fattori:

– Qualcosa che l’utente conosce (username, password, PIN)

– Qualcosa che l’utente possiede (mobile, smart card, ATM)

– Qualcosa che l’utente è (controlli biometrici)

• Le “one time password” sono fornite nelle seguenti

modalità:

– SMS

– Key-fobs (hardware token)

– Software (mobile apps)

54

Authentication Servers

Wi-Fi, Tesoreria, Webmail

55

Extranet e remote access

Obiettivi

• Fornire un accesso agli utenti e ai partner che sia:

– Flessibile;

– Dinamico;

– Device “agnostic”;

– Clientless;

– Senza impatti sull’infrastruttura del partner.

• Con ogni partner viene discussa la modalità e la tipologia

di accesso più adatta.

56

Extranet e remote access

Direct, Site 2 Site VPN, SSL VPN

57

Vulnerability Management

Obiettivi

• Verificare che i sistemi ed i servizi più esposti siano

sempre aggiornati all’ultimo livello di “patching”

disponibile

• Possibilità di effettuare assessment condotti con attacchi

simulati e verifiche indipendenti.

• Possibilità di definire la priorità delle vulnerabilità a

seconda del rischio aziendale

• Sanitizzazione delle problematiche e contrasto alle nuove

minacce.

• Controllo periodico e schedulato.

58

Vulnerability Management

Vulnerability assessment

59

Vulnerability Assessment

Vulnerability report

60


Web Application assessment

61


Web Application assessment

62



Bring your own Device Mobile device management

BYOD &

Mobile Device Management

• Le nuove tecnologie portano con sé nuovi modi di

accedere ai dati, nuovi tipi di dispositivi e interessanti

alternative alle tradizionali piattaforme PC.

• Queste dinamiche hanno generato una tendenza a

utilizzare BYOD sul posto di lavoro: un trend che sta

diventando sempre più comune.

• È rischioso pensare che proibire l'utilizzo dei

dispositivi personali in azienda possa risolvere il

problema: i dipendenti continueranno a usarli, fuori

dal vostro controllo

64

BYOD &


65

BYOD &


66

BYOD &


• I responsabili IT devono affrontarne l’arrivo

esattamente come per qualsiasi altro tipo di

tecnologia: con un delivery controllato e prevedibile.

67

BYOD &


68

Enrollment

• Approval

• Account creation

• Enrolment

Dashboard

• Add/modify accounts

• Delete/wipe/unenroll

devices

Apps catalog

• Upload apps

• Deploy apps

• Push/Pull

Reports & Analytics

• Create reports

• Subscribe

• Export for analysis

BYOD &


69

6

9

Publicly

available

apps made

available to

users

Internally

developed

apps

made

available

to users

BYOD &


70



Cloud Computing Il panorama in Electrolux

Cloud Computing

Definizione

• Utility Computing:

– un servizio, come il gas, l’acqua e l’elettricità, erogati dietro un

pagamento commisurato al consumo effettivo (pay per use);

– insieme di risorse che comprende capacità computazionale,

storage e servizi forniti in modalità «as a service» via internet a

una moltitudine di clienti esterni;

– scalabilità immediata e l’ottimizzazione dell’impiego delle risorse

disponibili grazie al monitoraggio e all’automatizzazione della

gestione delle risorse in un ambiente dinamico;

– la virtualizzazione e’ la tecnologia chiave in quanto fornisce la

capacità di operare contemporaneamente a diverse istanze pur in

presenza di una singola macchina o di un solo sistema operativo,

e agilita’ nel provisioning delle risorse.

72

Cloud Computing

Modelli di Servizio - 1

– Software as a Service (SaaS)

– Applicazioni e dati in esecuzione sulla piattaforma fornita dal provider.

– applicazioni sono tipicamente fruibili tramite thin client (e.g. web browser)

– Lato consumer, minime funzionalità di gestione per consentire l’attribuzione di

alcuni privilegi applicativi. Le attività amministrative sono, sostanzialmente, tutte

in carico al provider.

– Platform as a Service (PaaS)

– il cliente installa ed utilizza applicazioni su infrastruttura fornite dal provider.

– applicazioni sono tipicamente fruibili tramite thin client (e.g. web browser)

– Il consumer non dispone di privilegi amministrativi su rete, server, sistemi

operativi o archivi, ma del controllo delle applicazioni e di alcuni parametri

dell’ambiente che ospita l’applicazione (ad es. l’application server).

73

Cloud Computing

Modelli di Servizio - 2

– Infrastructure as a Service (IaaS)

– il consumer ha la possibilità di approvvigionare dal provider, secondo le proprie

esigenze, potenza di calcolo, archivi, rete e risorse computazionali in genere.

– Il consumer può installare autonomamente ogni tipologia di software, inclusi i

sistemi operativi.

– Il consumer non dispone di privilegi amministrativi sull’infrastruttura di base, ma

ha il pieno controllo su sistemi operativi, archivi, applicazioni e può disporre del

controllo di alcuni componenti di rete (ad es. server o firewall).

74

Cloud Computing

Public Cloud

un service provider gestisce e rende disponibili al pubblico su

Internet le risorse, come applicazioni e storage. I servizi di cloud

pubblico possono essere gratuiti o offerti secondo un modello pay-

per-use.

Pro

– set-up semplice ed economico perche’ i costi dell’hardware, delle applicazioni e

della banda sono coperti dal provider;

– scalabilità per soddisfare le esigenze degli utenti;

– Pay per use

Cons

– sicurezza e privacy dei dati distribuiti su tali server al di fuori dei confini

nazionali, requisito per esempio richiesto dalla normativa a molte grandi società

italiane

75

Cloud Computing

Private Cloud

Infrastruttura proprietaria che fornisce servizi hosted a un numero

limitato di utenti. Può essere gestita dall’organizzazione stessa, o da

una terza parte, e può essere locale all’organizzazione (aka

domestic cloud) o esterna.

Pro

– Può essere adottato da un’azienda che desidera o necessita di maggior

controllo sui propri dati rispetto a quel che verrebbe effettuato da terze parti;

Con

– Nessun abbassamento del TCO (Total Cost of Ownership);

– Necessità di assumere personale specializzato che si occupi della gestione

dell’infrastruttura tecnologica, e mancata focalizzazione sul proprio Core

Business;

76

Cloud Computing

Hybrid Cloud

Cerca di ottenere il massimo sfruttando i punti di forza delle tipologie

precedenti, utilizzando parti di entrambe le soluzioni. Soluzione

ottimale per quelle aziende che dispongono di un’infrastruttura

consolidata e che vogliono migrare gradatamente verso un cloud

pubblico, oppure per quelle aziende che vogliono delegare la

gestione di una parte delle informazioni all’esterno mantenendone

altre all’interno

Pro

– vantaggi in termini di costi e scalabilità;

– sicurezza e gestione del dato pari al cloud privato;

Con

– Difficile integrazione con i software on-premise esistenti;

77

Cloud Computing

Lo scenario in Electrolux

78

Cloud Computing


79

Cloud Computing


• Migrazione del sistema di posta elettronica verso IBM

SmartCloud o Microsoft Office365;

• Content delivery via CDN specializzate (Akamai) per

applicazioni aggressive in termini di banda richiesta e

performance (es. Manualistica);

• Portale interno e di social networking/collaboration

aziendale;

• Sistema di Mobile device management;

• Sistema gestione HR;

• Secure Web Gateway in the Cloud

80

Cloud Computing

Rischi

• Perdita di dati: con l’aumento della superficie di

esposizione (applicazioni remote su Internet) e

l’estensione del perimetro di sicurezza aziendale, ci

saranno maggiori opportunità a chi intende rubare o

distruggere i nostri dati;

• Minacce dall’interno: le minacce interne provenienti

dall’interno, intenzionali o derivanti dalla scarsa

sensibilizzazione ai problemi di sicurezza sono destinati

ad aumentare;

• Cybercrime: aumento di tali attacchi e dall’intensificarsi

dello spionaggio industriale.

81

Cloud Computing

Rischi

82

Il Cloud in Electrolux

Aree critiche rilevate - 1

• Governance di servizi e dati: necessità di definire policy

di governance onde evitare perdita di controllo sul proprio

patrimonio informativo e su alcuni processi di gestione.

Problematiche legate alla migrazione dei propri dati

(Lock-in).

• Identity & Role Management: la mancanza di controllo

su strumenti e meccanismi di autenticazione e accesso

porta al rischio di esporre dati sensibili a utenti non

autorizzati;

83


Aree critiche rilevate - 2

• Contract Management: La stipula e gestione del

contratto con il fornitore assume un ruolo centrale nel

garantire o meno la conformità potenziale ed il controllo

della conformità effettiva, sia in relazione all’evoluzione

delle modalità e delle condizioni di erogazione del

servizio sia in relazione all’evoluzione della normativa.

Non-conoscenza, da parte del Cliente, della reale

posizione geografica in cui i suoi dati sono trattati dal

provider.

• Controllo e auditing: rischio di non poter effettuare I

controlli e gli auditing richiesti dai processi aziendali

84


Condizioni contrattuali auspicabili

• Responsabilità del cloud provider e importanza degli

SLA;

• Proprieta’ dei dati e dei contenuti;

• Exit strategy;

• Modifiche contrattuali delle condizioni d’uso del servizio;

• Limiti al recesso del provider e termine del contratto

• Condizione di auditabilità;

• Recepimento della normativa italiana;

• Procedure di notifica degli incidenti di sicurezza;

• Adeguato sistema sanzionatorio in caso di inadempienza;

• Maggior chiarezza nelle catene di cloud;

85


Responsabilita’

86

Fonte: Privacy nel cloud

https://privacycloudmobile.clusit.it/views/Homepage.html


«Zero trust» security model

• Governance gestita in-premise per la classificazione e

conseguente accesso al dato e per i processi di

autorizzazione;

• Applicare crittografia dei dati depositati nel cloud, che di

quelli in transito, detendo le chiavi;

• Controllo dell’autenticazione richiedendo al provider

forme di accesso federate;

• Controllo degli accessi e correlazione degli eventi

mediante l’adozione di un SIEM;

• Il primo livello di controlli di sicurezza viene ancor piu’

demandata ai singoli utenti, che devono essere

sensibilizzati e informati in materia;

87


Internet is our WAN

• Punti di accesso locali ad Internet ai singoli stabilimenti

(da 4 a 60);

• Conseguentemente, alleggerire l’infrastruttura di

sicurezza dei singoli Internet Gateways;

• Utilizzo di application delivery controllers in modalita’

“cloud balancing”, per distribuire gli utenti verso

l’infrastruttura cloud piu’ performante o disponibile;

• Possibilita’ di accordi di peering tra gli ISP utilizzati e I

cloud providers;

88

Domande?

89

l’infrastruttura di sicurezza nel datacenter europeo di...

Documents