VADEMECUM Var-ów i Integartorów by CRN Polska

ISSN 1640-9183

WYDANIE SPECJALNE

wrzesień 2015

SeRwErY, kOmPuTeRy, tElEfOnY Antywirus ciągle żywy

OcHrOnA sIeCi

Cicha wojna w IT str. 10

str. 30

BaCkUp i aRcHiWiZaCjA

Jak uniknąć pułapek? str. 62

Bezpieczeństwo danych i systemów IT

Advanced Network Security

Bezpieczeństwo z najwyższej półki Więcej niż firewall. Urządzenia firmy

WatchGuard tworzone są jako rozwiązania typu XTM (eXtensible Threat Management). To nie tylko zapory sieciowe pozwalające na tworzenie tuneli VPN, lecz bardziej rozbudowane, kompleksowe rozwiązania zabezpieczające sieć i jej użytkowników. System oparty o platformę WatchGuard ma możliwość chronienia sieci przed zagrożeniem typu spyware, wirusami komputerowymi, spamem napływającym do chronionej sieci, ochroną przed potencjalnymi intruzami, jak również filtrowaniem zawartości stron www dla protokołów http oraz https. Rozwiązania oferują funkcje kontroli aplikacji, tworzenia polityk bezpieczeństwa bazujących na tożsamości użytkowników, a także wiele zaawansowanych funkcji sieciowych: QoS, VLAN, MultiWAN.

Bezpieczna sieć WIFI. Każda z platform sprzętowych może być kontrolerem sieciowym dla punktów dostępowych WatchGuard. Dzięki temu może zapewnić ochronę użytkowników łączących się z siecią wewnętrzną jak i Internetem. Punkty dostępowe WatchGuard AP są dostępne w wersji wewnętrznej jak i zewnętrznej.

Dla każdego. Dzięki szerokiej gamie urządzeń o różnych możliwościach oraz dużym wachlarzu cenowym producent jest w stanie zapewnić ochronę małym, średnim i dużym przedsiębiorstwom, zachowując cały czas dobry stosunek jakości do ceny.

Typy rozwiązań: Rozwiązania UTM i NGFW.

Rozwiązania XCS – ochrona poczty e-mail, reputacji firmy, zabezpieczenie przed spamem oraz wyciekiem danych.

Firma WatchGuard Technologies, z siedzibą w Seattle, została założona w lutym 1996 roku i zatrudnia ok. 450 pracowników. Dostarcza łatwe do zarządzania bezpieczeństwem urządzenia do setek tysięcy firm na całym świecie, począwszy od małych i średnich przedsiębiorstw, aż po duże korporacje. Od kilkunastu lat produkty WatchGuard cieszą się niesłabnącym uznaniem, co potwierdzić może szereg przyznanych nagród oraz zdobyty po raz piąty z rzędu tytuł Lidera (UTM) w Magicznym Kwadracie Gartnera 2014.

DowieDz się wiecej!

www.watchguard.com

Bakotech Sp. z o.o. Autoryzowany dystrybutor WatchGuard w Polsce tel.: + 48 12 376 95 08 watchguard@bakotech.pl

Zostań „mężem zaufania”

Fot. Marek Zawadzki

pecjaliści ds. bezpieczeństwa często rozważają, jak daleko posuną się przestępcy w swoich działaniach. Czy może dojść do tego, że zagrożone będzie ludzkie życie? Niestety, tak. Jedną z konsekwencji spektakularnego ataku na portal randkowy Ashley Madison i ujawnienia danych jego klientów było samobójstwo dwóch z nich. Można pokusić się o stwierdzenie, że szantażyści, którzy w imię „moralności” zażądali zamknięcia serwisu, mają dziś krew na rękach. Co ciekawe – jak się później okazało – skuteczność tego portalu była znikoma, a większość zamieszczonych w nim kobiecych profili… fałszywa. Oczywiście, mowa tu o osobistych tragediach. A czy tego typu problemy mogą dotknąć też firm? Naturalnie, i to w równie dużym stopniu. Te, których dane zostaną wykradzione, mogą popaść w olbrzymie kłopoty. W skrajnych przypadkach prowadzące nawet do bankructwa. A walka o pieniądze i wpływy trwa, i to na całego. Hakerzy nie mają skrupułów, aby atakować kolejne przedsiębiorstwa – już nie masowo, ale precyzyjnie „rozgryzając” każde z nich. Ich żądza zysku wydaje się nie mieć końca, a stosowane metody przybierają wręcz groteskowy charakter. O zdobywaniu poufnych informacji firmowych w śmietniku (w tym haseł do kluczowych systemów) krążą już legendy. Wielu przestępców decyduje się też na zatrudnienie w firmie, którą chcą okraść. Socjotechnika to ich najpotężniejsze narzędzie i rady przeciwko temu na razie nie ma. Ludzie przegrywają tę wojnę często z powodu własnego lenistwa. Ciekaw jestem, ilu z was ma zupełnie różne hasła do

poszczególnych internetowych usług. Założę się, że mniej niż 20–30 proc. A hakerzy tylko na to czyhają. Włamują się do niewielkiego i małoznaczącego serwisu, pozyskując listę nazw użytkowników, ich adresów e-mail, loginów i haseł. Prawdopodobieństwo, że podobne hasło będzie właściwe także w przypadku poczty, jest ogromne. A to już otwarta droga do innych usług. Wystarczy skorzystać z… opcji przypomnienia bądź zresetowania hasła. Niestety, przejmuje się tym na razie niewielu użytkowników Internetu. Co gorsza, żadnej autoreﬂeksji nie budzi też fakt, że u różnego typu usługodawców zostawiają coraz więcej poufnych informacji – o sobie, ale też o swoich bliskich czy współpracownikach. Co to wszystko ma wspólnego z resellerami i bezpieczeństwem przedsiębiorstw? Bardzo wiele. Pracownicy często na grunt służbowy przenoszą swoje prywatne zwyczaje (a oprócz zwyczajów także sprzęt), a jednocześnie za nic mają uwagi dotyczące określonych zabezpieczeń kierowane ze strony działów IT. Przeprowadzone ankiety i badania wykazały, że zdecydowanie większy posłuch mają osoby z zewnątrz, które np. prowadzą szkolenia z bezpieczeństwa. Paradoksalnie, pracownicy ufają bardziej integratorom IT niż kolegom z pracy. Do wielu potencjalnych klientów można dotrzeć, oferując właśnie szkolenia i udowodnić w ten sposób swoje kompetencje. W wielu przypadkach pójdzie za tym wdrożenie systemu ochronnego. Oczywiście za dodatkowe pieniądze.

KRZYSZTOF JAKUBIK redaktor prowadzący

SPIS TREŚCI 4

Okrągły Stół CRN Polska Bezpieczeństwo IT: wciąż jest wiele do zrobienia

Przechowywanie informacji Nieprzerwany dostęp do danych

Zabezpieczanie ﬁrmowych sieci Spokojnie. Jak na wojnie

Kopie zapasowe i archiwizacja Ochrona danych coraz bardziej profesjonalna

Ochrona przed złośliwym oprogramowaniem Antywirus ciągle żywy

Utylizacja nośników Niszcz dyski i zarabiaj

Potencjalne zagrożenia: źródła, cele i skutki Klasyﬁkacja ataków na systemy IT

Zasilanie i klimatyzacja Blackout i wszystko ciemne

Zabezpieczanie urządzeń przenośnych Bezpieczeństwo mobilne – szansa na duże zyski

Cyfrowa telewizja przemysłowa Systemy monitoringu wideo VADEMECUM CRN wrzesień 2015

V_wstepniak+spis.indd 3

2015-09-14 23:20:01

Bezpieczeństwo IT: wciąż jest wiele do zrobienia

O bezpieczeństwie coraz więcej mówi się nie tylko wśród administratorów IT, ale także wśród członków zarządów firm czy wręcz na szczeblu rządowym. Eksperci są zgodni: to zachowanie „higieny” przez poszczególnych użytkowników jest najlepszą metodą na uniknięcie problemów. I tu otwiera się pole do popisu dla resellerów, których głównym zadaniem może być – oczywiście odpłatne – nauczenie klientów dobrych praktyk. O szansach i zagrożeniach związanych ze sprzedażą rozwiązań ochronnych rozmawialiśmy z gośćmi Okrągłego Stołu CRN Polska. Uczestnicy spotkania: Ireneusz Dąbrowski, wiceprzewodniczący rady nadzorczej,

ABC Data, Filip Demianiuk, Channel Team Manager, Check Point, Paweł Jurek, wicedyrektor ds. rozwoju, Dagma i Krzysztof Meller, właściciel, Akbit

VADEMECUM CRN wrzesień 2015

Bezpieczeństwo, planowanie i statystyka…

IT, a już na pewno brakuje tam dojrzałego kalkulowania ryzyka. Ile pieniędzy uda się informatykowi wyprosić, tyle dostaje… Ciągle przed nami jest lepsze szacowanie ryzyka i wielkości wydatków na systemy ochronne, aby być możliwie bezpiecznym, bo – jak wiadomo – nikogo nie jesteśmy w stanie zabezpieczyć na 100 proc. fIlIP DeMIAnIuk, CheCk PoInt Większość przedsiębiorców nie ma wyjścia i musi analizować sytuację na podstawie takich danych, jakimi dysponują. Zastanawiają się, z jakimi przypadkami mogą się spotkać i które zabezpieczenie zapewni najlepszą ochronę. Do tego dochodzą jeszcze kwestie obowiązków nakładanych przez prawo na niektóre firmy.

CRN Jak oceniacie państwo aktualną kondycję rynku systemów bezpieczeństwa IT w Polsce? Ireneusz DąbrowskI, AbC DAtA Niestety, nie najlepiej. Główną przyczyną tej sytuacji jest mentalność polskiego społeczeństwa i brak kultury biznesowej. Segment systemów bezpieczeństwa IT można porównać z branżą ubezpieczeń. Gdyby nie obowiązek wykupywania OC, przy życiu utrzymałoby się ze dwóch ubezpieczycieli… Poza tym producenci systemów bezpieczeństwa mają wyraźny problem z umiejętnym prezentowaniem ofert. Dostrzegam też u nich brak woli ponoszenia pełnej od- CRN Właśnie głównie dzięki prawu w najlepszej chyba sytupowiedzialności za jakość i skuteczność działania poszczegól- acji w zakresie bezpieczeństwa, chociaż też niedoskonałej, nych rozwiązań. jest branża bankowa. Czy powinniśmy nalegać, żeby powstakrzysztof Meller, AkbIt Istnieją obszary, w ramach których ły ustawy zobowiązujące do właściwej dbałości o dane także obecnie dostawcy jak najbardziej mogą zagwarantować skutecz- podmioty działające w innych sektorach gospodarki? ność swoich rozwiązań. Natomiast fIlIP DeMIAnIuk, CheCk PoInt Rzeczywiście, opublikowana przez nikt i nic nie obroni użytkowników Komisję Nadzoru Finansowego przed nowymi, nieznanymi jeszcze „Rekomendacja D”, która dotyczy dzisiaj sposobami działania przebanków, zaowocowała wieloma stępców, tym bardziej że układ sił na rynku bardzo się zmienił. Kiedyś ciekawymi projektami w zakrekoszt przeprowadzenia rozległego sie bezpieczeństwa danych. Teraz ataku był bardzo wysoki, a obrona podobna rekomendacja trafiła do sektora ubezpieczeniowego. Dla reprzed nim relatywnie tania. Dzisiaj sellerów byłoby idealnie, gdyby taobrona przed atakami jest trochę kie wytyczne obowiązywały również droższa, za to ich koszt spadł o kilka rzędów wielkości, na co pozwolił w innych branżach, choć oczywiście rozwój techniczny. nie wszędzie miałoby to sens. Ireneusz DąbrowskI, AbC DAtA Ireneusz DąbrowskI, AbC DAtA Dziś Statystyka jest fundamentem ubezsytuacja w bankach wygląda relatywnie najlepiej, ale wielu dobrych pieczeń, ale mierzona w odpowiedniej skali. Tak, aby aktuariusze mogli ekspertów ds. bezpieczeństwa praocenić ryzyko opłacalności tego bizcuje też u operatorów telekomuninesu. W kontekście bezpieczeństwa kacyjnych. Co do regulacji w innych IT w ogóle nie można mówić o akbranżach, to byłbym sceptyczny. tuariacie, bo do oceny ryzyka nie da Zresztą istnieją już uniwersalne zasię zastosować żadnej metody statypisy prawne, np. ustawa o ochronie stycznej. Wszystkie przeprowadzadanych osobowych czy świadczeniu ne obecnie badania są szczątkowe usług drogą elektroniczną. krzysztof Meller, AkbIt Zawsze i – ze względu na rozwój techniki – bardzo szybko się dezaktualizują. warto wzorować się na powszechnie Ireneusz Dąbrowski, PAweł Jurek, DAgMA Dalszy rozwój obowiązujących dobrych praktyABC Data rynku systemów ochronnych IT ścikach, a te są dostępne dziś w zasaśle zależy od zmiany świadomości dzie dla każdej branży. Chciałbym i właściwego postrzegania bezpienatomiast trochę bronić przedsięczeństwa przez kierownictwo firm i organizacji. Z zaplano- biorców przed tego typu restrykcyjnymi zapisami. Powinni wanym działaniem możemy obecnie spotkać się w większych mieć możliwość samodzielnej oceny ryzyka strat wynikających przedsiębiorstwach, których władze rozumieją, że bezpieczeń- np. z przestoju firmy przez pół dnia. Nakazy powinny natomiast stwo, w tym bezpieczeństwo informatyczne, jest fundamentem obowiązywać instytucje państwowe lub o znaczeniu strateich dalszego funkcjonowania. Natomiast w firmach mniej- gicznym dla funkcjonowania kraju, w których pojęcie „opłaszych i placówkach rządowych decydenci rzadko współpra- calności” nie istnieje, a współczynnik bezpieczeństwa danych cują z działem IT w strategicznym planowaniu bezpieczeństwa obywateli musi być jak najwyższy. VADEMECUM CRN wrzesień 2015

Komu sprzedawać?

nych, jest chmura. Firmy, które planują outsourcing wybranych obszarów związanych z IT, liczą, że odpowiedzialność za zabezpieczenie tego fragmentu infrastruktury automatycznie przejdzie na usługodawcę. Poza tym wraz z chmurą pojawiły się alternatywne metody budowy środowiska teleinformatycznego w przedsiębiorstwach. Nikt dziś nie wie, które z nich w długofalowej perspektywie zapewnią większe korzyści. Dlatego zarządy wielu firm boją się podejmować decyzje, także w zakresie bezpieczeństwa, które zmuszą ich do obrania tylko jednego kierunku. W przyszłości bowiem zmiana tego kierunku może okazać się dość kosztowna i przekreślić poniesione wcześniej inwestycje. Krzysztof Meller, AKbit To ciekawe zagadnienie, tym bardziej że po kilku latach widać już pewne wady chmury. Analitycy coraz częściej podkreślają, że część firm, które kilka lat temu zdecydowały się na różne formy outsourcingu zasobów IT, dzisiaj wraca do modelu on-premise. Model chmurowy wciąż jest niewystarczająco dojrzały i z pewnością w najbliższych latach trwać będzie weryfikacja obietnic składanych przez usługodawców.

CRN Od pewnego czasu na Zachodzie przeważa opinia, że integratorzy powinni docierać ze swoim przekazem do prezesów lub członków zarządów firm, a nie do specjalistów z działów IT. Czy takie rozwiązanie jest bardziej skuteczne? Krzysztof Meller, AKbit Kiedyś informatyka i związane z nią bezpieczeństwo należały do zagadnień, które rozumieli tylko informatycy, więc to z nimi rozmawiali resellerzy. Dzisiaj wiedza osób wchodzących w skład zarządów przedsiębiorstw jest dużo wyższa. Mamy do czynienia z młodszym pokoleniem, znacznie lepiej wykształconym biznesowo. filip DeMiAniuK, CheCK point Należy jak najbardziej rozmawiać z zarządami, ale odpowiednio zmienić konstrukcję przekazu. Informatyków interesuje, jak działa dany system i czy rozwiązuje określony problem techniczny. Nie obchodzi ich, ile kosztuje i czy przyniesie korzyści biznesowe. Inaczej jest w przypadku ludzi na szczeblu zarządczym. Dla nich liczą się głównie aspekty ekonomiczne. ireneusz DąbrowsKi, AbC DAtA Obecnie inwestowanie w systemy ochronne jest związane z koniecznością podejmowania decyzji strategicznych, zarówno w zakresie oceny ryzyka, jak i ekonomicznym. Tego typu wydatki nie przekładają się bo- CRN Łatwa dostępność różnego typu narzędzi w chmurze wiem bezpośrednio na zysk, lecz minimalizują ewentualne przyczyniła się do powstania zjawiska „shadow IT”. straty. Prawie w ogóle nie dotyczą informatyki, związane są Polega ono na tym, że wiele działów biznesowych w firgłównie z zarządzaniem przedsiębiorstwem. Siłą rzeczy to mie samodzielnie kupuje różne usługi w chmurze, z pozarząd firmy powinien znać paraminięciem działu IT, narażając metry związane z taką inwestycją przedsiębiorstwo np. na wyciek poufnych dokumentów. Czy firmy i podejmować stosowne decyzje wspólnie z działem IT. powinny kategorycznie walczyć pAweł JureK, DAgMA Jesteśmy doz tym trendem? piero w trakcie przemiany, która filip DeMiAniuK, CheCK point Tasprawi, że podejście, o którym mókie działania mają cichą aprobatę wimy, będzie normą w Polsce. Na działów IT, bo tak wszystkim jest łatwiej. Do tego zjawiska, jak do wieZachodzie szef działu IT, najczęściej w randze CIO, z reguły jest też lu w naszej branży, przyczynili się członkiem zarządu, więc w naturalużytkownicy i nie można zwalczać ny na tym szczeblu sposób współprago za wszelką cenę. Pracownicy od cuje np. z Chief Security Officerem. wielu lat wybierają najwygodniejW Polsce taka hierarchia wciąż nalesze dla siebie rozwiązania. Jeśli im ży do rzadkości. Dlatego na Zachosię tego zabroni, można wywołać dzie taki sposób sprzedaży to już ogólną niechęć do pracodawcy, powodującą jeszcze większe problenorma, tymczasem Polsce – opcja. my. Ale oczywiście jest kilka branż, Ale rzeczywiście, najlepsze wyninp. bankowość czy ochrona zdroki wśród naszych resellerów osiąwia, w których taka sytuacja jest nie gają ci, którzy potrafią rozmawiać do pomyślenia. z klientami na różnych poziomach pAweł JureK, DAgMA Zgadzam się, – zarówno biznesowym – pokazując, że bezpieczeństwo to zagadnieże radykalna walka z „shadow IT” nie strategiczne, jak i technicznym może dać niepożądane efekty. Za– o konkretnych rozwiązaniach. miast tego firmy powinny podjąć ireneusz DąbrowsKi, AbC DAtA działania w celu ucywilizowania Krzysztof Meller, Jednym z elementów, który wstrzytego zjawiska. Dzisiaj coraz więAkbit muje sprzedaż rozwiązań ochroncej usług „wychodzi” z serwerowni,

IT w cieniu

VADEMECUM CRN wrzesień 2015

więc, co oczywiste, są dostarczane stwo, istniał praktycznie zawsze przez firmy trzecie – najlepszym i raczej nie zniknie. Często zaczyna się od postawy samego zarządu. przykładem jest poczta. PrzedsięZdarza się, że potrzeby inwestobiorstwa stopniowo kupują coraz wania w zabezpieczenia nikt nie więcej usług IT na zewnątrz. Jedrozumie, bo za wydane pieniądze nak najczęstszym użytkownikiem nietypowych usług w modelu „shazazwyczaj nie otrzymuje się kondow IT” są działy marketingu, które kretnego produktu, a wydatek nie z reguły nie mają dostępu do systeprzyczynia się do zwiększenia zymów produkcyjnych czy transaksku przedsiębiorstwa. Poza tym cyjnych. Jeżeli zatem w takim dziale po zastosowaniu nowych rozwiązań ochronnych w zasadzie nic nie zaistnieje potrzeba korzystania z dodatkowej usługi, a dział IT nie jest działa lepiej, a czasami wręcz gorzej, bo nagle okazuje się, że pracownicy w stanie jej szybko dostarczyć lub mają zablokowany dostęp do niektókoszt będzie zbyt wysoki, nie widzę rych usług lub zasobów… przeszkód, żeby została kupiona „na zewnątrz”. Ale zawsze za wiedzą działu IT i po wstępnej weryfikacji w zakresie bezpieczeństwa przeprowadzonej przez ten dział. Po prostu każda firma musi wypracować dobre CRN Na świecie powstaje coraz praktyki w tej dziedzinie i wprowawięcej obszarów, które będzie dzić je w życie, tak jak zasady ochrotrzeba poddawać ochronie. Jedny swoich danych. Filip Demianiuk, Krzysztof Meller, AKbit Zapanym z nich jest tzw. Internet nowanie nad zjawiskiem „shadow rzeczy. Wiele podłączonych do Check Point IT” to zadanie dla osób odpowieniego urządzeń, przy złych dzialnych w firmie za bezpieczeńintencjach, można wykorzystać stwo, i to nie tylko IT. To one znają wartość i stopień poufności w celach przestępczych. Na ile jesteśmy przygotowani do poszczególnych typów informacji, więc potrafią dobrać od- ochrony połączonych ze sobą w ten sposób systemów? powiednie narzędzia. Tymczasem to zadanie najczęściej jest PAweł JureK, DAgMA Rozwiązania funkcjonujące w ramach Inzrzucane w firmach na informatyków, którzy dbają o realiza- ternetu rzeczy jeszcze nie mają znaczącego wpływu na nasze cję procedur bezpieczeństwa wyłącznie z wykorzystaniem na- życie. Odpowiednie zabezpieczenia pewnie się pojawią, ale na rzędzi IT, ale ich nie tworzą i nie weryfikują poprawnej pracy. razie dostawcy się nimi specjalnie nie przejmują, bo jest na to po Natomiast działy IT, wspólnie z osobami odpowiedzialnymi za prostu za wcześnie. Dziś jesteśmy na etapie poznawania korzyści bezpieczeństwo, powinny zająć się edukacją użytkowników. biznesowych z posiadania urządzeń, które się ze sobą komunikuUczulić ich nie tylko na ryzyko włamania do elektronicznych ją zgodnie z ideą Internetu rzeczy. Gdy zdobędziemy taką wiedzę systemów firmy, ale też pokazać inne rodzaje zagrożeń, np. wy- i systemy te zaczną być wykorzystywane komercyjnie, pojawią ciek informacji w wyniku przechowywania ich na niewłaściwie się w nich dane o konkretnej wartości, a wraz z nimi pewnie też zabezpieczonych serwerach. nadużycia. Dopiero w reakcji na to zjawisko zostaną opracowane określone rozwiązania. CRN A może potraktować to zjawisko jako dodatkową szansę filiP DeMiAniuK, CheCK Point Za podstawową ochronę podla resellerów, w związku z czym powinni kierować oferty winni odpowiadać producenci rozwiązań połączonych ze sobą nie tylko do zarządu i działów IT, ale także bezpośrednio do w ramach Internetu rzeczy. Raczej trudno się spodziewać, że firmy trzecie będą pisały oprogramowanie antywirusowe dla użytkowników? PAweł JureK, DAgMA To dość ryzykowne. W ten sposób można bram garażowych. Potwierdzam, że na razie w branży ochronszybko popsuć sobie relacje z głównym partnerem do współ- nej nie widzimy zaawansowanych prac nad kwestią zabezpiepracy, czyli działem IT, który powinien mieć całościową kon- czenia systemów podłączonych do Internetu rzeczy. Może, gdy trolę nad bezpieczeństwem informatycznym firmy. Moim upowszechnią się inteligentne domy, smart metering czy sterozdaniem reseller powinien przyjść do firmy z ciekawą ofer- wane zdalnie lub samodzielnie jeżdżące pojazdy, do gry wejdą tą i konsultować ją na wszystkich szczeblach, czasami tak- eksperci ds. bezpieczeństwa. Jednak raczej jako konsultanci, że z użytkownikami, bo w końcu to oni będą korzystali z danej a nie twórcy rozwiązań ochronnych dla konkretnego rodzaju usługi. produktu. filiP DeMiAniuK, CheCK Point Opór wobec wdrażania dodat- ireneusz DąbrowsKi, AbC DAtA Moim zdaniem problem w pewkowych narzędzi, które mają zapewnić większe bezpieczeń- nym momencie rozwiąże się sam, bo będą decydowały

Bezpieczeństwo Internetu rzeczy

VADEMECUM CRN wrzesień 2015

ludzkie przyzwyczajenia. Rozwiązania niebezpieczne zostaną odrzucone przez klientów, jeśli nie na samym początku, to w reakcji na powstałe incydenty. Takich przykładów było już wiele. A wszystkiego oczywiście nie da się ochronić. Między innymi dlatego strategiczne rozwiązania militarne są odłączone od jakichkolwiek sieci. Krzysztof Meller, AKbit Problem tylko w tym, że do korzystania z niektórych rozwiązań będziemy prawdopodobnie zmuszeni. Można sobie wyobrazić, że różnego typu badania medyczne będziemy przeprowadzać sami w domu i wysyłać ich wyniki do lekarza. Wygoda przeważy nad różnego typu restrykcjami związanymi z bezpieczeństwem. Nie będziemy mieli innego wyjścia, bo… nie będą już istniały klasyczne przychodnie. Ale prawdziwy Internet rzeczy, o którym tak często dziś się mówi, nie powstanie, jeśli informatyka nadal będzie tak bardzo skomplikowana. Obecnie mamy do czynienia z dużą cyberprzestępczością, między innymi dlatego, że osobom doświadczonym łatwo przeniknąć do cyberświata, pozostając niezauważonym.

drobni przedsiębiorcy, którzy za relatywnie małe pieniądze szybko rozwiążą doraźne problemy.

CRN Ze względu na natłok doniesień o włamaniach do systemów IT, wyciekach informacji itd. kierunek rozwoju firm związany z bezpieczeństwem IT wydaje się oczywisty. Czy zatem opłacalne będzie porzucenie innych specjalizacji i skierowanie uwagi wyłącznie na bezpieczeństwo? Krzysztof Meller, AKbit Dzisiaj tylko firmy, które specjalizują się w jakiejś dziedzinie, mają szanse na dobry biznes. Oczywiście nie dotyczy to jedynie bezpieczeństwa, ale także druku 3D, systemów CRM, baz danych itd. Z takimi wyspecjalizowanymi przedsiębiorstwami będą rozmawiali duzi klienci, jeśli zorientują się, że mają do czynienia z prawdziwymi fachowcami. Już od pewnego czasu korporacje chętniej niż ogromnym przedsiębiorstwom zlecają różnego typu zadania VAR-om lub mniejszym integratorom, bo są bardziej elastyczni. P Aweł J ureK , D AgMA To dobra ścieżka, jeśli utrzymamy równowagę między inwestowaniem w działania stricte handlowe i budowaniem wiedzy eksperckiej w firmie. Sprzedaż tu i teraz, zamykanie projektów – to chleb coCRN W branży ochrony danych dzienny resellera. Jednak dopiero inwestowanie w wiedzę ekspercką na świecie najbardziej narzeka w długim terminie pozwoli realisię na brak ekspertów ds. cyzować coraz trudniejsze projekty berbezpieczeństwa. Czy rzei w warunkach ostrej konkurencji czywiście jest na nich tak duże Pawel Jurek, zapotrzebowanie? wypracować sobie pozycję na rynDagma K rzysztof M eller , A Kbit Paraku. Niestety, wielu resellerów w natłoku codziennych obowiązków nie doksalnie, w Polsce nie widać znama czasu na inwestowanie w swój czącego zainteresowania takimi specjalistami. Można to zauważyć np. podczas przetargów pu- rozwój długoterminowy. Patrząc na nasz kanał partnerski, wiblicznych na dostawy systemów ochronnych. Takich, w których dzę, że firmy, które stawiają na specjalizację w dziedzinie zanie przewidziano usług audytu istniejącej infrastruktury, oceny bezpieczeń, osiągają stabilny wzrost. wybranego rozwiązania czy weryfikacji poprawności jego wdro- filiP DeMiAniuK, CheCK Point Istnieją jednak także drobni reżenia. Wówczas decyzje najczęściej podejmuje sam administra- sellerzy, którym udało się wyspecjalizować w zakresie ochrony, tor lub informatyk na podstawie szczątkowej wiedzy zdobytej sprzedają rozwiązania małym oraz średnim firmom i odnoszą podczas różnych konferencji czy z prasy. Dlatego uważam, że sukcesy… Funkcjonowanie na tym rynku jest jak najbardziej jest to ogromne pole do popisu dla resellerów. Nie muszą być wy- możliwe dla każdego, ale trzeba wziąć pod uwagę różne aspekbitnymi ekspertami w tej dziedzinie, ale powinni mieć wiedzę ty, np. uwarunkowania regionalne – obecność konkurencyjnych wystarczającą do swobodnego poruszania się w tematyce zwią- firm, rodzaj potencjalnych klientów, charakter danych, któryzanej z bezpieczeństwem. Jeśli będą potrafili tę wiedzę sprze- mi operują itd. A przede wszystkim trzeba zacząć od uczciwej oceny własnej determinacji w dążeniu do nieustannego dać, szybko zauważą dodatkowe zyski. ireneusz DąbrowsKi, AbC DAtA Tak jak obok policji działają zdobywania wiedzy na tym bardzo dynamicznie zmieniająprywatni detektywi, tak też na rynku systemów bezpieczeń- cym się rynku. stwa oprócz wielkich wyspecjalizowanych firm, o szerokiej Rozmawiał KRzysztof JaKubiK ofercie usług związanych z bezpieczeństwem, będą potrzebni

VADEMECUM CRN wrzesień 2015

Fot. Focus Images Tomasz Pisiński

W poszukiwaniu specjalizacji

BEZPIECZEŃSTWO FIRMOWYCH SIECI

Spokojnie. Jak na wojnie To, co dzieje się obecnie w obszarze bezpieczeństwa sieci komputerowych, bywa nazywane cyberwojną. Lepiej jednak pasuje do niej określenie: cicha wojna. TOMASZ JANOŚ

toczącym się konflikcie agresja zwykle nie jest jawna, a zdecydowana większość ataków pozostaje niewykryta. Wyniki ankiety „The Global State of Information Security Survey 2015”, przeprowadzonej przez PwC wśród 10 tys. respondentów ze 160 krajów, pokazują, że o ile w 2009 r. na świecie wykryto 3,4 mln naruszeń bezpieczeństwa w ﬁrmach, o tyle w 2014 r. było ich już 42,8 mln. Trzeba przy tym zdawać sobie sprawę, że przypadków nieujawnionych jest znacznie więcej i dotyczą zarówno dużych przedsiębiorstw, jak i małych ﬁrm. Spektakularne ataki, których ofiarą w ostatnim czasie padły największe świa-

towe korporacje, polskie banki oraz instytucje publiczne, mogą świadczyć o tym, że nikt nie powinien czuć się w pełni bezpieczny. Mimo to jest jeszcze sporo ﬁrm, które uważają, że nic szczególnego im nie zagraża. Wielu specjalistów ds. bezpieczeństwa w polskich przedsiębiorstwach i administracji państwowej potwierdza, że miały miejsce próby włamania się do ich sieci, jednak niewiele mniej jest przekonanych, że na nich żadnych ataków nie dokonano. Czy to znaczy, że są tak świetnie zabezpieczeni? Prawdopodobnie w zdecydowanej większości – nie. Dowodzą tego badania ﬁrmy RSA, z których jasno wynika, że przedsiębiorstwa w dalszym ciągu mają trudności z wdrażaniem technologii

i najlepszych procedur. Co więcej, w dokumencie stwierdza się, że przestępcy z powodzeniem wykorzystują powszechnie znane, lecz najzwyczajniej nieusunięte luki w zabezpieczeniach. – Na szczęście wiele dzieje się w sferze edukacji i sytuacja zaczyna się zmieniać. Olbrzymią rolę odgrywają nie tylko eksperci bezpieczeństwa sieciowego oraz media, ale także integratorzy, którzy tłumaczą klientom, jak olbrzymia jest waga problemu – twierdzi Mariusz Rzepka, dyrektor Fortinetu na Polskę, Białoruś i Ukrainę. Podkreśla przy tym, że polskie ﬁrmy są na celowniku cyberprzestępców ze względu na zapóźnienie we wdrażaniu najnowszych rozwiązań ochronnych.

VADEMECUM CRN wrzesień 2015

Txt_IT_Security.indd 10

2015-09-14 22:17:02

ROSNĄ ZAGROŻENIA, A Z NIMI RYNEK ZABEZPIECZEŃ Największe niebezpieczeństwo dla firmowych sieci niosą działania hakerów, złośliwe oprogramowanie, ataki DDoS oraz wycieki danych powodowane (świadomie bądź nie) przez pracowników. O tym, które ataki są groźniejsze dla klienta, decyduje to, w jakiej branży działa. Trzeba się liczyć chociażby z coraz częstszymi naruszeniami bezpieczeństwa w przemyśle. Dla cyberprzestępców zakłady produkcyjne stają się atrakcyjnym celem np. ze względu na stosowanie w nich nowych technologii, których tajniki można sprzedać z dużym zyskiem. Ryzyko ataku na wszystkie przedsiębiorstwa zwiększa coraz częstsze łączenie infrastruktury IT z platformami chmurowymi i mobilnymi (zwłaszcza zgodne z trendem BYOD). Tak czy inaczej, wzrost liczby zagrożeń powinien skutkować poprawą koniunktury na rynku systemów bezpieczeństwa w najbliższych latach. Podobnie jak fakt, że firmowe dane coraz częściej znajdują się w niejednolitym środowisku, na które składają się zasoby lokalne oraz chmura obliczeniowa. Można się więc spodziewać, że przedsiębiorstwa będą wymieniać starsze i mało skuteczne urządzenia na nowe, zintegrowane rozwiązania. Takie, które przeciwdziałają zaawansowanym atakom i dają pełną kontrolę nad aplikacjami w sieci. Narastający problem kradzieży danych uwierzytelniających powinien owocować zwiększonym popytem na rozwiązania typu IAM (Identity and Access Management). Odpowiednio wdrożone systemy zarządzania tożsamością i dostępem powinny dać klientom kontrolę nad tym, kto i jak korzysta z ich systemów informatycznych. Należy także identyfikować i usuwać luki w zabezpieczeniach, zanim skorzystają z nich cyberprzestępcy. Służą do tego narzędzia Vulnerability Assessment. Eliminują ryzyko związane ze złą konfiguracją zabezpieczeń, brakiem wymaganych poprawek, słabymi hasłami itp. W tym celu wykrywają miejsca szczególnie wrażliwe na ataki oraz luki w urządzeniach i usługach sieciowych. Z punktu widzenia integratorów ważnym trendem jest rosnący popyt na usługi w zakresie bezpieczeństwa. Sprzyja temu konieczność zachowania zgodności z re-

Czy Internet rzeczy będzie bezpieczny? Według najnowszych prognoz, zawartych w dziesiątym badaniu „Cisco Visual Networking Index” (VNI), Internet rzeczy wykazuje wyraźny wzrost – liczba połączeń M2M zwiększy się w ciągu najbliższych pięciu lat ponadtrzykrotnie i w roku 2019 wyniesie 10,5 mld. W najbliższej przyszłości niemal połowa ruchu IP będzie pochodziła z urządzeń niebędących komputerami PC, notebookami czy smartfonami. Rozwiązania z zakresu Internetu rzeczy będą implementowane w wielu branżach, np. rolnictwie, służbie zdrowia, produkcji przemysłowej, handlu, transporcie, a także w inteligentnych domach. Choć cyberprzestępcy nie znaleźli jeszcze dobrych sposobów na monetyzację ataków na IoT, należy się spodziewać, że – wraz ze wzrostem liczby rozmaitych zastosowań dla połączonych „rzeczy” – pojawią się coraz lepsze ku temu okazje. Smart metering, branża medyczna, wszelkiego rodzaju automaty w handlu detalicznym itp. wymagają rozwiązań skutecznie zabezpieczających przesyłane dane. Aby być w zgodzie z przepisami prawnymi, ﬁrmy wykorzystujące M2M i przymierzające się do IoT będą zmuszone do wdrożeń związanych z ochroną informacji. Otwiera to nowe możliwości przed integratorami, choć początkowo ich klientami będą tylko największe ﬁrmy – dystrybutorzy energii, a także duże sieci handlowe i usługowe.

gulacjami prawnymi, z czym wiele firm nie potrafi sobie samodzielnie poradzić. Zwłaszcza w małych przedsiębiorstwach brakuje wykwalifikowanego personelu ds. bezpieczeństwa. Sposobem na rozwiązanie tych problemów jest podpisanie umowy z Managed Security Services Providerem. Oprócz zwykłego monitorowania i wsparcia systemów ochrony, firmy MSSP oferują także zaawansowane usługi dotyczące uwierzytelniania i ochrony przy

użyciu wydzielonego środowiska uruchamiania aplikacji (sandbox) oraz przeciwdziałania atakom typu APT i DDoS.

DDOS WYCHODZI NA PIERWSZY PLAN

Ataki te można podzielić na dwa rodzaje: wolumetryczne, polegające na wysyceniu pasma łącza dostępowego, oraz takie, które bezpośrednio atakują

117 339 ataków

42,8

przeprowadzanych każdego dnia

MLN

Całkowita liczba incydentów związanych z naruszeniem bezpieczeństwa wzrosła na świecie w 2014 r. do 42,8 milionów (to 48% więcej niż rok wcześniej).

28,9 24,9

MLN

22,7 MLN

3,4

9,4 MLN

MLN

2009

2010

2011

2012

2013

2014 Źródło: PwC

VADEMECUM CRN wrzesień 2015

Txt_IT_Security.indd 11

2015-09-14 22:18:02

BEZPIECZEŃSTWO FIRMOWYCH SIECI konkretne aplikacje. W tym drugim przypadku klasyczne systemy zabezpieczeń mogą mieć trudności z odróżnieniem agresji od legalnego ruchu generowanego przez zwykłych użytkowników serwisu internetowego. Tego typu ataków, wymierzonych w aplikacje, doświadczyło w 2014 r. aż 90 proc. uczestników badania „Worldwide Infrastructure Security Report”, przeprowadzonego przez Arbor Networks i obejmującego dostawców usług internetowych z całego świata. Równo dekadę temu taki sam był procent respondentów, którzy twierdzili, że podstawowym sposobem ataku jest zalewanie pakietami typu „bruteforce”. Jednocześnie rośnie wielkość ataków wolumetrycznych. Przy czym największy DDoS tego rodzaju dziesięć lat temu miał nie więcej niż 8 Gb/s, a rekordowy, zanotowany w roku ubiegłym, osiągnął rozmiar 400 Gb/s…

IRENEUSZ WIŚNIEWSKI Country Manager, F5 Networks

Ataki DDoS mogą być skutecznie odpierane nie tylko przez operatorów A telekomunikacyjnych czy firmy zarządzające dużymi centrami danych, ale t także przez mniejsze podmioty. Dziś da się ochronić przed atakiem DDoS t praktycznie każdą sieć, przez którą dostarczane są aplikacje. Najważniejsze jest jednak, aby przygotować się do tego zawczasu, bo w czasie ataku będzie już za późno. Poza tym wtedy urządzenia sieciowe mogą działać w sposób nieprzewidywalny. Rekomendujemy dwuskładnikowe rozwiązanie ochronne, zawierające firewall warstwy 3. i 4. połączony z load-balancerem, a także dodatkowy system zawierający firewall aplikacyjny i moduł terminacji ruchu SSL.

W naszym kraju, tylko w 2014 r., CERT Orange Polska zidentyﬁkował 106 768 alertów DDoS (ostrzeżeń o ruchu noszącym znamiona ataku) dotyczących sieci usługowej Orange Polska, co daje średnio około 9 tys. alertów miesięcznie. To blisko 40 proc. więcej niż w 2013 r. Najbardziej

RODZAJE ATAKÓW DDOS W I KW. 2015 R. ACK

1,99% 5,78%

CHARGEN DNS

5,93% 3,59%

WARSTWA INFRASTRUKTURY

ICMP XMAS-DDOS

1,15%

SNMP

1,15% 20,78%

SSDP SYN

15,79%

UDP FLOODS

13,25%

UDP FRAGMENT

12,00%

NTP

WARSTWA

APLIKACJI

INNE

6,87% 2,40%

HTTP GET

7,47%

FIN PUSH (0,15%) RESET (0,65%) RP (0,45%) SYN PUSH (0,35%) TCP FRAGMENT (0,05%) WARSTWA APLIKACJI

HEAD

0,25%

HTTP POST

0,70%

PUSCH

0,90%

9,32%

WARSTWA INFRASTRUKTURY

90,68% Źródło: Akamai

narażone na ataki są banki, instytucje publiczne, ﬁrmy usługowe, e-commerce i serwisy aukcyjne. Im bardziej biznes jest uzależniony od Internetu, tym większe ryzyko ataku. W raporcie CERT Orange Polska stwierdzono, że ataki DDoS, które mogłyby zablokować usługi największych korporacji, są coraz liczniejsze (choćby z racji dużej podaży botnetów, które można w tym celu wykorzystać). Dzięki temu usługi typu CaaS (Crime as a Service) są na czarnym rynku oferowane za niewielkie pieniądze. Bywa, że nawet z gwarancją zwrotu w razie niepowodzenia (sic!). Obecnie DDoS są często elementem złożonych, długotrwałych kampanii. Ich celem jest zablokowanie określonej usługi, aby wprowadzić do systemu informatycznego złośliwy kod. Staje się to możliwe, gdy przeciążone napływającym ruchem urządzenia zabezpieczające (np. IPS) nie są w stanie dostatecznie ochronić sieć. DDoS może mieć również na celu ukrycie wśród milionów pakietów śladów włamania i nieautoryzowanego dostępu do serwerów przedsiębiorstwa. Najczęściej oﬁara DDoS nie jest przygotowana do obrony. W reakcji na atak nerwowo restartuje kolejne elementy swojej infrastruktury – aplikacje, serwery, urządzenia, co zwykle nie prowadzi do przywrócenia możliwości świadczenia usługi. Zupełne odcięcie atakowanego serwisu od sieci też nie jest środkiem zaradczym, bo oznacza przyznanie się do kapitulacji (przecież właśnie o wyłączenie usługi chodziło atakującemu). Dlatego w walce z tego rodzaju atakami kluczowe staje się ich rozpoznanie i neutralizacja. Najczęściej dokonuje się

VADEMECUM CRN wrzesień 2015

Txt_IT_Security.indd 12

2015-09-14 22:18:21

tego przez połączenie lokalnych narzędzi zastosowanych u klienta, które chronią poszczególne programy za pomocą ﬁrewalla aplikacyjnego. Pomocna jest także zewnętrzna usługa oczyszczania ruchu (scrubbing), świadczona przez dostawcę Internetu w modelu chmury obliczeniowej. Wobec narastającego zagrożenia DDoS inwestycja w rozwiązanie neutralizujące tego typu ataki i stworzenie Scrubbing Center, świadczącego usługi czyszczenia ruchu, może być doskonałym sposobem na biznes. Ważne jednak, by ochrona w chmurze była w pełni zarządzana przez wyznaczony zespół specjalistów oraz zapewniała pełne raporty dotyczące sposobów przeciwdziałania atakom, a nie była jedynie dodatkiem do wykupionego łącza internetowego.

CZY TO SIĘ OPŁACA? Mimo dynamicznego wzrostu liczby zagrożeń oraz faktycznych ataków na polskie firmy, wydatki na zapewnienie bezpieczeństwa IT rosną umiarkowanie. Według analityków IDC stanowią, w zależności od wielkości i rodzaju przedsiębiorstwa, od 2 do 15 proc. całkowitych kosztów IT. Co istotne, firmy często nie wiedzą, czy wydatki związane z zabezpieczaniem systemu informatycznego są rzeczywiście uzasadnione. Sprawę utrudnia fakt, że wciąż szwankuje rzetelny pomiar efektywności inwestycji w zakresie bezpieczeństwa IT. W zasadzie sprawdzane są zwykle jedynie kompetencje pracowników, którzy mają zajmować się tym obszarem w firmie. Tylko nieliczni obliczają zwrot z inwestycji – ROI (a w zasadzie, w przypadku bezpieczeństwa – ROSI).

Prawo napędza wzrost Oczekiwany wzrost w segmencie systemów bezpieczeństwa potwierdzają analitycy. IDC informuje, że w roku ubiegłym rynek rozwiązań dla bezpieczeństwa w Polsce rozwijał się dzięki różnego rodzaju regulacjom: zmianom w polskim prawie lub wewnętrznych procedurach międzynarodowych korporacji. Istotne znaczenie miał także wzrost liczby oraz złożoności zagrożeń. W 2015 r. rynek rozwiązań ochronnych IT w naszym kraju ma wzrosnąć o ponad 7 proc. Popyt będzie napędzany w znacznej mierze przez inwestycje z sektorów publicznego, ﬁnansowego oraz energetyki i gazu. Potencjał wzrostu tkwi również w sektorze ochrony zdrowia, gdyż działające w nim podmioty muszą dostosować swoje środowisko IT do nowych wymogów prawa.

IDC przewiduje jednak, że proporcje te odwrócą się w najbliższej przyszłości, ponieważ coraz częściej dyrektorzy finansowi wymagają, żeby wszystkie wydatki na IT (a więc i na bezpieczeństwo) były uzasadnione ekonomicznie. Integratorom w rozmowach z klientami powinny pomóc przykłady z życia. Z doświadczeń Tomasza Chlebowskiego, prezesa ComCERTu, wynika, że dla serwisu aukcyjnego, o rocznych obrotach 1 mld zł, 3-godzinny przestój spowodowany atakiem DDoS oznacza stratę 1 mln zł. Nie mówiąc o naruszeniu wizerunku, które wiąże się z utratą części klientów. Zrażeni kłopotami e-sklepu nabywcy już nie wrócą. – Kolejnym przykładem może być firma zatrudniająca tysiąc osób, która dziennie dostaje niefiltrowany spam w liczbie dziesięciu e-maili. Pracownicy zajmują się każdą taką „śmieciową” przesyłką przez 10 sekund. Przekłada się to na roczny koszt zmarnowanego czasu pracy wynoszący 610 tys. zł – twierdzi Tomasz Chlebowski. Specjalista przytacza też historię firmy zatrudniającej 100 pracowników, z których jeden nieświadomie (z komputera

MARIUSZ RZEPKA dyrektor Fortinetu na Polskę, Białoruś i Ukrainę Największym popytem cieszą się w przypadku dużych firm rozwiązania N typu all in one, czyli firewalle następnej generacji oraz urządzenia UTM t w sektorze MŚP. Osoby odpowiedzialne za bezpieczeństwo sięgają w także po urządzenia do zarządzania regułami, platformy do analizowania logów, specjalistyczne rozwiązania przeznaczone do ochrony poczty e-mail lub aplikacji webowych. Także narzędzia antyDDoS zaczynają znajdować zastosowanie w polskich firmach, zwłaszcza w sektorze telekomunikacyjnym. Na liście życzeń pojawiają się sandboxy, które we współpracy z firewallem i bramą poczty elektronicznej tworzą dodatkową warstwę ochrony.

zombie) rozsyłał pornograﬁę dziecięcą. W efekcie agenci Centralnego Biura Śledczego wkroczyli do biura i zarekwirowali trzy komputery pracowników oraz serwer. Łączne straty związane z utraconym czasem pracy i koniecznością kupienia nowego sprzętu sięgnęły 150 tys. zł. Opisane przykłady dają wyobrażenie o grożących stratach i problemach. Jednak samo straszenie nie wystarczy. Trzeba nieustannie tłumaczyć klientom, że lepsze zabezpieczenia nie będą ograniczać ich biznesu. Muszą sobie zdać sprawę, że jest wręcz przeciwnie – technologie zabezpieczające umożliwiają bezproblemowe wprowadzanie nowych technik sprzedaży, obsługi ﬁrmy itp. Tym samym mogą decydować o przewadze konkurencyjnej na rynku. PwC Polska potwierdza, że prawdziwa korzyść płynąca z zabezpieczeń cyfrowych nie polega tylko na ochronie. Chodzi o tworzenie nowej wartości przez budowanie zaufania, które jest dziś tak ważne w biznesie. – W tej sytuacji należy uznać za dobry znak, że niezbędna zmiana w myśleniu chyba już się dokonuje, a 72 proc. ankietowanych prezesów uznaje technologie cyfrowe za narzędzie kreowania wartości w obszarze zaufania – mówi Rafał Jaczyński, dyrektor w zespole Cyber Security PwC. Tym wszystkim, którzy tej wartości nie widzą, a przede wszystkim są nieświadomi skali zagrożeń, powinien otworzyć oczy audyt przeprowadzony z pomocą integratora oraz pokaz możliwości określonego rozwiązania na żywo, w środowisku klienta. Uzmysłowienie przedsiębiorcy, co tak naprawdę dzieje się w jego sieci, jest zwykle bardzo skuteczne. VADEMECUM CRN wrzesień 2015

Txt_IT_Security.indd 13

2015-09-14 22:18:35

BEZPIECZEŃSTWO FIRMOWYCH SIECI

Jak zarabiać

na bezpieczeństwie IT Bezpieczeństwo IT to dynamicznie rozwijająca się gałąź branży, obecna w coraz większej liczbie przedsiębiorstw i instytucji. Wraz ze wzrostem świadomości zagrożeń zyskuje na znaczeniu ochrona danych i sieci. Otwiera to nowe możliwości dla ﬁrm z sektora zabezpieczeń, ale aby móc je wykorzystać, należy pamiętać o kilku zasadach.

eby zacząć zarabiać na rynku usług bezpieczeństwa IT, należy stworzyć odpowiednią strategię działania. Zbudować portfolio produktów i usług wysokiej jakości, a następnie dbać o stały rozwój kompetencji technicznych i sprzedażowych. Aby zapewnić stabilność przychodów, należy pamiętać również o konieczności świadczenia usług dodatkowych. Rozwiązania ochronne mogą być wdrażane w wielu warstwach, ale ktoś musi zaprojektować całe środowisko oraz nieustannie analizować jego pracę i wprowadzać zmiany. Resellerzy powinni się zainteresować rozwiązaniami zaufanych producentów, którzy dostarczą prosty w utrzymaniu i licencjonowany na przejrzystych zasadach produkt, umożliwiający łatwe wdrożenie oraz realizowanie polityki bezpieczeństwa. Ważne jest też, aby zbudować swoją ofertę, bazując na rozwiązaniach od limitowanej liczby dostawców, co przełoży się na ograniczenie kosztów szkolenia własnych inżynierów.

ELASTYCZNY MODEL USŁUGOWY I POPYT W SEKTORZE MŚP Skuteczność strategii budowania kompetencji w zakresie bezpieczeństwa można przewidzieć dzięki obserwacji trendów. Wiadomo na przykład, że największe zyski w branży płyną z usług. Jeszcze nie tak dawno budowanie zaawansowanych systemów do ochrony styku sieci firmowej z Internetem było dostępne tylko dla organizacji zaawansowanych w zakresie oceny ryzyka, a tym samym o dużych budżetach. Dzisiaj takim samym celem ataków masowych są małe firmy, jak i duże przedsiębiorstwa, a wymóg zachowania ciągłości pracy jest jednakowo istotny. Wzrost świadomości ryzyka wzmaga potrzebę budowy systemów ochrony w sektorze MŚP (np. kancelarie adwokackie). Tym samym rośnie w nim popyt na usługi w zakresie bezpieczeństwa. Z rozwiązań FortiGate w różnych miejscach sieci korzysta duża część firm z listy Fortune TOP 500. Stosowane są głównie jako zapory sieciowe nowej generacji (Next Generation Firewall, NGFW) lub

jako wewnętrzny firewall (Internal Segmentation Firewall, ISFW). Tym samym firmy te oczekują od swoich działów IT gwarantowanych usług, takich jakie integratorzy świadczą swoim klientom. W przypadku FortiGate’ów każdy, nawet najmniejszy z nich, korzysta z takich samych modułów bezpieczeństwa, które są efektem pracy tego samego laboratorium FortiGuards. W branży zabezpieczeń IT popularnym zagadnieniem stała się walka z zagrożeniami APT. Początkowo problem ten dotyczył głównie największych firm, które stać na kupno i wdrożenie rozbudowanych rozwiązań zawierających mechanizm typu sandbox, a także na przeszkolenie własnego personelu. Obecnie problem ten dotyczy także firm mniejszych. Także im Fortinet proponuje wykorzystanie platformy FortiGate. Każdy model tego urządzenia umożliwia uruchomienie lokalnego sandboxa wykorzystującego technologię CPRL w ramach skanera AV PROXY, ale jego użytkownicy mogą też dokupić dostęp do sandboxa w chmurze FortiGuard Labs. Ważne jest, aby sprzedawcy z firm resellerskich i integratorskich potrafili wytłumaczyć klientom sposób działania tego rozwiązania, dzięki czemu znacznie zwiększą liczbę możliwych do zrealizowania wdrożeń w firmach z sektora MŚP. Jeżeli klienta nie zadowala opcja zunifikowanego sandboxa, istnieje jeszcze jedno rozwiązanie. W ramach specjalnego programu upustowego to partner może najpierw zainwestować w sandbox (urządzenie lub wirtualną maszynę), który w ra-

VADEMECUM CRN wrzesień 2015

adv_Veracomp_Fortinet_1.indd 14

2015-09-15 00:01:46

GRZEGORZA SZAŁAŃSKIEGO, PRODUCT MANAGERA FORTINET, VERACOMP CRN W jaki sposób resellerzy mogą uatrakcyjnić swoją ofertę w obszarze usług związanych z bezpieczeństwem IT? GRZEGORZ SZAŁAŃSKI Od lat podpowiada nam to rynek. Zacznijmy od dwóch podstawowych potrzeb w zakresie bezpieczeństwa, które dość szeroko branża IT w Polsce nauczyła się zaspokajać – ochrona antywirusowa i backup danych. W obu tych dziedzinach wymogi odnośnie rozwiązania są generalnie niezależne od wielkości ﬁrmy, różnice pojawiają się dopiero przy usługach konsultacji, wdrożenia i utrzymania systemu. To, co powinien robić integrator, to za każdym razem dostosowywać swoją usługę ochrony systemów IT do indywidualnych potrzeb klienta. Ważne, żeby umiał przeprowadzić audyt

mach usługi abonamentowej udostępniać będzie dalej swoim klientom. Stanie się więc pomniejszym dostawcą zarządzanych usług bezpieczeństwa (Managed Security Service Provider, MSSP). Dla każdego z klientów będzie to usługa szyta na miarę zarówno pod względem funkcjonalności, jak i budżetu. Integrator, który jest blisko klientów, będzie bardziej elastyczny niż duży dostawca usługi zuniﬁkowanej. Taki model wykorzystania możliwy jest do zastosowania w przypadku większości produktów z oferty Fortinetu. Najbardziej popularny FortiGate już dzisiaj jest wynajmowany przez wielu partnerów jako usługa. To samo dotyczy FortiAnalyzera, który może być kolektorem logów dla wielu FortiGate’ów, czyli wielu klientów. Dobrze skonstruowana umowa serwisowa w zakresie audytu polityki bezpieczeństwa, w tym przechowywania logów to atrakcyjny produkt – nie tylko dla działów IT, ale przede wszystkim dla zarządów ﬁrm.

WYKORZYSTANIE

MOŻLIWOŚCI

PRODUKTÓW

Wszystkie produkty z portfolio Fortinetu mają potencjał do tego, aby mogły być wykorzystane praktycznie przez każdego

jego środowiska, dobrać właściwe systemy, zaprezentować je klientowi i pokazać, jakie odniesie on korzyści. CRN Czy firmy z sektora MŚP dostrzegają ryzyko związane z brakiem odpowiednich usług bezpieczeństwa IT? GRZEGORZ SZAŁAŃSKI Dostrzegają lub są na etapie wyciągania wniosków. To jest tak jak z ubezpieczeniem zdrowotnym podczas wakacyjnych wyjazdów zagranicznych. Nikt z nas już nie musi przekonywać się, czy ma to sens, bo samo życie dostarczyło nam odpowiednich przykładów, a firmy ubezpieczeniowe przygotowały gotowe produkty. Jeśli w swojej strategii integrator zapomni o szkoleniach sprzedażowych, jego klienci dostrzegą to nieco później lub też przejmie ich konkurencja. CRN Do świadczenia tego typu usług konieczne jest zaufanie klientów. Jak je budować? GRZEGORZ SZAŁAŃSKI Z pewnością zaufanie trzeba sobie wypracować samemu, jednak w początkowym etapie można się wesprzeć niezależnymi certyfikatami producentów, których rozwiązania oferujemy, oraz wykwalifikowaną kadrą ze stosownymi akredytacjami.

klienta. To powinno być zachętą dla partnerów, aby odpowiednio szkolili swoich inżynierów, a ci przekazywali swoją wiedzę klientom. Jeżeli w danej firmie podstawowym narzędziem komunikacyjnym jest e-mail, to – bez względu na liczbę pracowników – oczekiwania wobec niego w zakresie bezpieczeństwa będą większe niż to, co mogą zaoferować standardowe rozwiązania. Dzięki FortiMail partner może zapewnić swoim klientom skrzynki pocztowe (serwer FortiMail będzie znajdował się w siedzibie partnera i na nim będą udostępniane zasoby kilku firmom) czy usługę ochrony serwera (FortiMail jako gateway będzie filtrował ruch kierowany do serwera pocztowego obsługującego kilku klientów). Partner może też sprzedać FortiMaila wraz z usługą utrzymania (FortiMail znajduje się u klienta, a partner zdalnie konfiguruje filtry AS/AV), a także zapewnić bezagentowe szyfrowanie poczty. Dodatkowo w formie usługi można zaoferować np. ochronę aplikacji internetowych realizowaną dzięki zaporze aplikacyjnej (Web Application Firewall). Jak pokazują dane analityczne, jest to niezbędne rozwiązanie dla każdej aplikacji udostępnianej w sieci. Zbudowanie ze-

wnętrznej polityki ochrony aplikacji wymaga doświadczenia, zarówno w warstwie bezpieczeństwa sieciowego, jak i podstaw języków programowania HTML. Rozwiązania FortiWeb zapewniają szybkie zbudowanie takiej polityki oraz wspierają działania audytowe oraz usprawniają warstwę dostępową do aplikacji. Innym rozwijającym się rynkiem jest zarządzanie rozproszonymi sieciami radiowymi z dostępem dla gości. Fortinet w tym zakresie, poza standardowym kontrolerem radiowym i punktami dostępowymi, oferuje uruchomienie usług analitycznych dla placówek handlu detalicznego, np. wykorzystanie sklepowych sieci Wi-Fi i LAN do tworzenia mapy zachowań zakupowych klientów.

Dodatkowe informacje: AGNIESZKA SZAREK, CHANNEL MANAGER, FORTINET, ASZAREK@FORTINET.COM GRZEGORZ SZAŁAŃSKI, PRODUCT MANAGER FORTINET, VERACOMP, GRZEGORZ.SZALANSKI@VERACOMP.PL VADEMECUM CRN wrzesień 2015

adv_Veracomp_Fortinet_1.indd 15

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI FORTINET I VERACOMP.

Trzy pytania do…

2015-09-15 00:02:00

BEZPIECZEŃSTWO EZPIECZEŃSTWO FIRMOWYCH SIECI

Profesjonalna ochrona sieci także dla małych firm Działalność małych i średnich przedsiębiorstw w coraz większym stopniu bazuje na komunikacji przez Internet. Tym samym rośnie ryzyko wycieku poufnych informacji. Są często równie wartościowe, jak te przetwarzane przez duże korporacje, podobnie wysoki powinien być zatem poziom ich ochrony.

edług opublikowanego przez Check Point raportu, opisującego stan bezpieczeństwa firm w 2014 r., w każdej z nich – średnio co 24 sekundy – ktoś wchodził na stronę internetową zawierającą złośliwy kod. Co 34 sekundy taki kod był pobierany na komputer podłączony do firmowej sieci. Co minutę natomiast któryś z komputerów zombie komunikował się z centrum Command & Control. To tylko wybrane dane pokazujące, na jak duże ryzyko wystawiane są przetwarzane przez firmy informacje. Wspomniane badanie zostało przeprowadzone przez Check Point głównie w średnich i dużych przedsiębiorstwach, ale podobne problemy dotyczą też najmniejszych firm. To specjalnie dla nich producent przygotował małą wersję swojego UTM-a. Urządzenia z rodziny Check Point 600 Appliance zostały przystosowane do pracy w firmach zatrudniających od kilku do 100 pracowników. Jednak ich cechą charakterystyczną jest to, że zapewniają podobny poziom ochrony jak rozbudowane systemy, stosowane w naj-

większych bankach, ﬁrmach telekomunikacyjnych czy placówkach rządowych.

bezprzewodowej zapewniają łączność zgodną ze standardem WiFi 802.11 b/g/n. W każdym z nich możliwe jest stworzenie backupowego łącza internetowego dzięki zastosowaniu modemu 3G w postaci karty PCI Express lub podłączanego przez port USB. Niektóre modele tych urządzeń wyposażone są także we wbudowany modem ADSL2. Zarządzanie sprzętem z rodziny 600 Appliance odbywa się za pomocą bardzo prostego interfejsu dostępnego w przeglądarce, opracowanego z myślą o użytkownikach mniej doświadczonych w pracy z urządzeniami zabezpieczającymi. Pierwsza konfiguracja odbywa się za pośrednictwem prostego kreatora i trwa tylko kilka minut. Administratorzy mogą później dopasować szczegółowe ustawienia konfiguracyjne do swoich potrzeb. Mniej doświadczone osoby mogą skorzystać z oferowanej przez Check Point usługi Cloud-based Managed Security, w ramach której, za małą miesięczną opłatą, specjaliści producenta zarządzają urządzeniem i dbają o bezpieczeństwo w ich firmie. Check Point rekomenduje też resellerom włączenie zdalnego zarządzania UTM-ami i weryfikowania stanu bezpieczeństwa firm do oferty ich usług.

MODUŁOWE UTM

JAK ROUTER

Urządzenia z rodziny Check Point 600 Appliance zabezpieczają sieci, dane oraz konta pracowników przed cyberkradzieżą. Poszczególne modele różnią się wydajnością, każdy oferowany jest w wersji z wbudowanym punktem dostępowym sieci bezprzewodowej. Cały mechanizm ochronny mieści się w jednym, kompaktowym pudełku, które wizualnie i funkcjonalnie niczym nie różni się od tradycyjnego sieciowego routera z wbudowanym przełącznikiem. Każde z urządzeń należących do rodziny 600 Appliance zapewnia bezpieczeństwo realizowane przez kilka modułów software blade: ﬁrewall, VPN, IPS, antywirus, antyspam, moduł kontroli aplikacji, ﬁltrowania URL i ochrony poczty e-mail. Wszystkie urządzenia 600 Appliance są wyposażone w 10 portów Ethernet 1 Gb/s. Modele z wbudowanym modułem sieci

BEZPIECZEŃSTWO

Jednym z wyróżników wszystkich urządzeń Check Point jest koncepcja modułów ochronnych (software blade), które zapewniają prostszą i bardziej przejrzystą obsługę niż w tradycyjnych rozwiązaniach UTM. Każdy moduł przeciwdziała innemu, konkretnemu zagrożeniu. Do administratora należy decyzja, które moduły pozostawi włączone (uruchomienie niektórych, np. IPS czy antywirusa, wpływa na przepustowość urządzenia – szczegóły w tabelce na stronie obok). Każdy moduł ochronny można też indywidualnie konﬁgurować. Aktualizacje sygnatur potrzebne do poprawnej pracy niektórych modułów software blade (antywirus, antyspam, IPS, ﬁltrowanie URL, kontrola aplikacji) co pewien czas pobierane są automatycznie z serwerów Check Point. Każde urządzenie sprzedawane jest z roczną licencją na aktualizacje. Po upływie tego czasu

VADEMECUM CRN wrzesień 2015

adv_Check Point_2.indd 16

2015-09-14 23:37:30

Model

620

640

680

Rekomendowana liczba użytkowników Uruchomione moduły VPN i Firewall

do 20

do 50

do 100

Uruchomiony moduł Next Generation Threat Protection

do 10

do 25

do 50

Dostęp bezprzewodowy (zalogowani użytkownicy)

Wydajność Przepustowość ﬁrewalla (Mb/s)

750

1000

1500

Przepustowość VPN (Mb/s)

140

175

220

Przepustowość przy uruchomionym module VPN (Mb/s)

100

Przepustowość przy uruchomionym antywirusie (Mb/s)

100

Liczba tuneli IPsec VPN Liczba połączeń na sekundę Liczba jednoczesnych połączeń

konieczne jest wniesienie opłaty licencyjnej, która w przypadku systemów 600 Appliance wynosi ok. 100 dol. na rok za komplet aktualizacji sygnatur dla wszystkich modułów (wykupienie aktualizacji na dłuższy czas premiowane jest zniżką – opłata wynosi 170 dol. za dwa lata i 225 dol. za trzy lata). Licencje na sygnatury sprzedawane są klientom przez resellerów, jest to więc szansa na dodatkowy zarobek, obok usług zdalnego zarządzania urządzeniami 600 Appliance. W bardziej rozbudowanych modelach UTM-ów ﬁrmy Check Point zainstalowanych jest więcej rodzajów modułów software blade, co wynika przede wszystkim

adv_Check Point_2.indd 17

980 5 tys. 200 tys.

z konieczności zapewnienia im większej mocy obliczeniowej, ale też z potrzeb użytkowników. Jednym z ważniejszych modułów jest SandBlast Threat Emulation, umożliwiający weryﬁkację pracy wykonywanego kodu (sandboxing). Natomiast dla użytkowników urządzeń z rodziny 600 Appliance ważne jest to, że zastosowane w nich moduły niczym nie różnią się od tych z większych urządzeń – ma-

Dodatkowe informacje: FILIP DEMIANIUK, CHANNEL MANAGER, CHECK POINT SOFTWARE TECHNOLOGIES, FILIPD@CHECKPOINT.COM

ją te same funkcje i zapewniają podobny poziom zabezpieczeń, bazując na tych samych zestawach sygnatur.

OCHRONA

INWESTYCJI

Kupno urządzeń z rodziny 600 Appliance to koszt rzędu kilkuset dolarów (w zależności od wybranej wydajności i obecności modułu sieci bezprzewodowej). To idealne rozwiązanie dla małych firm bądź oddziałów większych przedsiębiorstw. Check Point zadbał także o ochronę inwestycji dla użytkowników, których firma szybko się rozrasta. Jedną z opcji jest dokupienie drugiego urządzenia z rodziny 600 Appliance i połączenie obu w klaster działający w trybie active-active, co zagwarantuje równoważenie obciążenia, ponieważ przychodzący ruch będzie rozkładany równolegle na oba systemy. Dla firm, które jednak będą potrzebowały większego systemu UTM, Check Point przygotował program trade-in, w ramach którego odkupuje stare urządzenie, zapewniając także znaczny rabat na kupno nowego. Możliwe jest także przeniesienie na nowy sprzęt niewykorzystanych licencji na sygnatury dla modułów software blade.

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI CHECK POINT SOFTWARE TECHNOLOGIES I CLICO.

PORÓWNANIE MODELI Z RODZINY CHECK POINT 600 APPLIANCE

2015-09-14 23:37:43

BEZPIECZEŃSTWO FIRMOWYCH SIECI

Ochrona aplikacji sieciowych z F5 Networks Nawet najbardziej zaawansowane biznesowe aplikacje będą bezużyteczne, jeżeli nie zapewni się im pełnej niezawodności i dostępności. F5 Networks dostarcza rozwiązania gwarantujące wydajność aplikacji na takim poziomie, jakiego oczekują użytkownicy.

irma F5 Networks specjalizuje się w systemach zapewniających bezpieczeństwo danych w sieci oraz rozwiązaniach gwarantujących ciągłość pracy aplikacji. Jej oferta przeznaczona jest dla średnich i dużych firm, placówek sektora publicznego, a także dostawców usług świadczonych w chmurze. Firma badawcza Gartner od ośmiu lat wskazuje F5 Networks jako lidera rynku Application Delivery Controllers. Producent intensywnie rozwija ofertę rozwiązań z zakresu ochrony aplikacji, instalowanych zarówno w siedzibie klienta, jak i w chmurze, skąd są udostępniane jako usługa. Systemy F5 pomagają firmom

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI F5 NETWORKS, CLICO I VERACOMP.

JAAK CUPPENS Channel Sales Manager North East EMEA, F5 Networks

F5 Networks działa na polskim rynku wyłącznie za pośrednictwem sieci partnerów zrzeszonych w programie partnerskim Unity. Dwaj polscy dystrybutorzy – Clico i Veracomp – zapewniają zaawansowane szkolenia techniczne i produktowe, wsparcie przed- i posprzedażowe oraz narzędzia i fundusze wspierające prowadzenie działań marketingowych. Mamy również specjalną odmianę programu Unity przygotowaną dla dostawców usług. Zapewniamy im inne niż w przypadku użytkowników końcowych modele licencjonowania, ułatwiające zbudowanie korzystnej finansowo oferty usług dla klientów. Obecnie poszukujemy nowych partnerów, gotowych do przejścia procesu certyfikacyjnego i zaangażowania się w sprzedaż naszych rozwiązań.

VADEMECUM CRN wrzesień 2015

skutecznie walczyć z atakami dnia zerowego i wielowarstwowymi zagrożeniami płynącymi z sieci Web oraz chronić użytkowników przed cyberkradzieżami, phishingiem, pharmingiem itd. Jednym z najważniejszych rozwiązań w ofercie F5 jest Application Security Manager – firewall zabezpieczający aplikacje uruchamiane w tradycyjnej i wirtualnej infrastrukturze. ASM chroni przed atakami dnia zerowego, ale także przed nieznanymi zagrożeniami i ułatwia spełnienie warunków polityki bezpieczeństwa określanych przez wewnętrzne regulacje firm bądź obowiązujące prawo. Kolejnym ciekawym rozwiązaniem jest Access Policy Manager, umożliwiający zarządzanie polityką dostępu do firmowych danych z dowolnego miejsca i w każdym czasie. APM zapewnia też jednorazowe logowanie (single sign-on) do wszystkich aplikacji i usług. Produkty F5 Networks chronią także przed atakami DDoS – klienci mogą skorzystać zarówno z oferowanego przez producenta rozwiązania DDoS Protection, jak i z dostępnej w chmurze usługi F5 Silverline DDoS Protection. Bardzo ważna jest też ochrona przed atakami na witryny internetowe. Problem dotyczy przede wszystkim banków, które bronią się głównie przed atakami typu „man in the browser” i „man in the phone”. Do ochrony przed takimi zagrożeniami służy rozwiązania F5 WebSafe, które można połączyć z oprogramowaniem MobileSafe przeznaczonym do urządzeń przenośnych.

GBB, CZYLI KORZYSTNE

IRENEUSZ WIŚNIEWSKI Country Manager, F5 Networks

W sierpniu F5 Networks udostępniło nową, świadczoną w chmurze usługę Silverline, która zapewnia zaawansowaną ochronę przed atakami w warstwie aplikacyjnej. W ramach tej usługi oferowany jest m.in. działający w chmurze firewall aplikacyjny F5, którego ustawienia można dostosować do obowiązujących w firmie reguł polityki bezpieczeństwa. Usługobiorcy zyskują też dostęp do proaktywnego monitoringu, świadczonego przez ekspertów zatrudnionych w jednym z Centrów Bezpieczeństwa F5. Od 16 września bieżącego roku mamy taką placówkę także w Polsce – rozpoczęła działalność w Warszawie.

Good-Better-Best. W ten sposób stworzone zostały trzy rodzaje referencyjnych konfiguracji rozwiązań F5 odpowiadających zróżnicowanym potrzebom firm w zakresie ochrony.

Dodatkowe informacje:

BARTOSZ KRYŃSKI, KONSULTANT, CLICO, BARTOSZ.KRYNSKI@CLICO.PL

MODELE LICENCJONOWANIA

Aby ułatwić przedsiębiorstwom wybór rozwiązania, F5 Networks wprowadziło uproszczony model licencjonowania:

MICHAŁ KRÓL, PRODUCT MANAGER, VERACOMP, MICHAL.KROL@VERACOMP.PL

Password Manager Pro – dziel i rządź hasłami Minęły czasy, gdy do ochrony danych wystarczyło silne hasło. Dziś w przedsiębiorstwach konieczne jest również bezpieczne zarządzanie hasłami. Rozwiązanie Password Manager Pro ﬁrmy ManageEngine pomaga skonsolidować informacje o wszystkich kontach uprzywilejowanych oraz kontrolować metody dostępu do nich.

ZAWSZE SPÓJNE DANE Password Manager Pro jest wyposażony w różne opcje zabezpieczeń, które zapewniają integralność przechowywanych danych. Komunikacja między interfejsem użytkownika a serwerem PMP jest szyfrowana (protokół HTTPS). Bezpieczny zdalny dostęp do panelu administracyjnego zapewniony jest w ten sposób, że sesje Windows RDP, SSH i Telnet można uruchomić w dowolnej przeglądar-

ce, kompatybilnej z HTML5, bez stosowania dodatkowych wtyczek. W przypadku haseł Application-to-Application program udostępnia interfejs web API, dzięki któremu aplikacje komunikują się ze sobą za pośrednictwem protokołu HTTPS. Password Manager Pro zapewnia też nadawanie użytkownikom różnych ról. Zawarto w nim zestaw bazujących na dobrych praktykach narzędzi do współużytkowania haseł. Poza tym autoryzowani użytkownicy mogą zostać zmuszeni przez aplikację do przejścia przez mechanizm kontroli dostępu do haseł bazujący na wnioskach o dostęp i akceptacjach. W ramach egzekwowania polityki bezpieczeństwa ﬁrmy można automatycznie wymusić okresowe zmiany haseł i przypisać unikalne hasła do różnych zasobów.

lejowanego dostępu. PMP w czasie rzeczywistym generuje alarmy i powiadomienia o różnych zdarzeniach. Moduł audytu umożliwia także wysłanie trapów SNMP i wiadomości Syslog. Sesje uprzywilejowane (Windows RDP, SSH i Telnet) rozpoczęte w PMP mogą być zapisywane, przechowywane i odtwarzane. Istnieje również opcja śledzenia sesji na żywo i przerwania jej w przypadku wykrycia podejrzanej działalności. PMP zapewnia także wysoką dostępność repozytorium danych dzięki zastosowaniu serwera redundantnego. Serwery główny i zapasowy mogą być zainstalowane w różnych miejscach. Program oferuje również tworzenie kopii zapasowych bazy danych w czasie rzeczywistym i w wybranych przez administratora okresach.

AUDYT, KONTROLA I ALERTY W CZASIE RZECZYWISTYM Jedną z najbardziej docenianych przez użytkowników funkcji w menedżerze haseł jest wykrywanie nieuprawnionego korzystania z ﬁrmowej infrastruktury. Administratorzy mogą sprawdzić, kto ma dostęp do zasobów oraz kiedy i co dokładnie zrobił użytkownik, korzystając z uprzywi-

Dodatkowe informacje: DAMIAN SIERADZON, IT SECURITY PRODUCT MANAGER, MWT SOLUTIONS, DAMIAN.SIERADZON@MWTSOLUTIONS.PL VADEMECUM CRN wrzesień 2015

adv_MWT_Solutions-ManageEngine.indd 19

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI MANAGEENGINE I MWT SOLUTIONS.

stnieją dwie wersje rozwiązania Password Manager Pro: dla użytkowników końcowych oraz dla dostawców usług (Managed Service Providers), którzy mogą równolegle zarządzać zasobami należącymi do kilku klientów. PMP zapewnia wielopoziomowe bezpieczeństwo haseł zgromadzonych w repozytorium. Są one szyfrowane najpierw w aplikacji zarządzającej, a następnie ponownie – w zawierającej je bazie danych. Do szyfrowania zastosowano jeden z najsilniejszych znanych algorytmów – AES-256. PMP jest również zgodny ze standardem FIPS 140–2. Zastosowany w PMP mechanizm umożliwia korzystanie z różnych metod identyﬁkacji użytkowników logujących się do systemu. Administratorzy mają do dyspozycji silny lokalny system uwierzytelniania z algorytmem SHA1, ale mogą też zintegrować to oprogramowanie z zewnętrznymi magazynami tożsamości (AD, LDAP lub RADIUS). Zapewniono też autoryzację kart smart i wsparcie dla modelu Single Sign-On z wykorzystaniem języka SAML 2.0. Opcje te mogą być uzupełniane przez różne metody dwuskładnikowego uwierzytelniania, takie jak PhoneFactor, RSA SecurID i jednorazowe hasło.

2015-09-10 21:57:02

BEZPIECZEŃSTWO FIRMOWYCH SIECI

NAC od Extreme Networks uchroni przed „atakiem z powietrza” W czasach, gdy sieć WiFi służyła jedynie do wygodnego dostępu do Internetu, jej zabezpieczanie ograniczało się do stosowania odpowiednich mechanizmów szyfrujących hasła dostępowe. Gdy atakujący uzyskiwał dostęp do sieci, użytkownicy najwyżej tracili fragment pasma lub dłużej czekali na załadowanie strony. Dziś, gdy w sieciach bezprzewodowych krąży mnóstwo poufnych informacji biznesowych, ich ochrona musi być profesjonalna.

oraz więcej dotkliwych w skutkach ataków na systemy IT ma miejsce, ponieważ atakujący wykorzystują słabą konfigurację punktu dostępowego WiFi. W ten sposób, jako „zaufanym użytkownikom sieci wewnętrznej”, udaje im się uzyskać dostęp do wszystkich komputerów, które – w zamierzeniu administratorów – miały być odizolowane przez korporacyjny firewall. Rozwiązaniem, które umożliwia korzystanie z zalet sieci WLAN, a zarazem eliminuje wprowadzane przez nią luki w bezpieczeństwie firmowych danych, jest system klasy Network Access Control. Weryfikuje on uprawnienia użytkowników, którzy chcą uzyskać dostęp do zasobów i usług sieciowych. Analizuje takie informacje jak: uwierzytelniona tożsamość użytkownika lub urządzenia, jego lokalizacja, bieżący czas oraz aktualny lub historyczny stan zabezpieczeń sprzętu. Urządzenia, które nie przeszły tego testu, są poddawane kwarantannie ntannie w celu poprawienia ich stanu zabezpieczeń abezpieczeń lub informacje o stanie ich zabezpieczeń są po prostu rejestrowane i poddawane oddawane późniejszej analizie. Należy jednak pamiętać, że wdrożenie tylko mechanizmu jednorazowego uwierzytelniania użytkowników, bez oceny stanu zabezpieczeń urządzenia

końcowego, nie jest wystarczające. Do kwestii ochrony trzeba podejść zdecydowanie bardziej kompleksowo, uwzględniając zarówno różne metody dostępu do sieci (w tym połączenia zdalne VPN), rodzaje urządzeń, wykorzystywane protokoły sieciowe, jak i możliwość współpracy serwerów i urządzeń klienckich z aktualnie posiadanymi rozwiązaniami w zakresie bezpieczeństwa sieciowego. Extreme Networks wychodzi naprzeciw tym wszystkim oczekiwaniom już od 2001 r., kiedy ﬁrma uzyskała swoje pierwsze patenty związane z polityką bezpieczeństwa. NAC tego producenta nie jest więc systemem, który ostatnio wprowadzono do oferty, bo taki trend panuje na rynku. Reguły polityki bezpieczeństwa zastosowane w rozwiązaniach NAC umożliwiają wpuszczanie lub blokowanie użytkowników, oznaczanie ich, ograniczanie poziomu pasma, przekierowywanie i kontrolowanie ruchu sieciowego.

WIFI BEZ KOMPROMISÓW Unikalne podejście do rozwiązań NAC w ujęciu Extreme najlepiej uwidacznia to, że system egzekwuje reguły polityki bezpieczeństwa już „na wejściu” do infrastruktury WiFi, dzięki czemu eliminuje marnotrawienie zasobów sieciowych i optymalizuje wykorzystanie pasma sieci bezprzewodowej, a tym samym ogranicza konieczność dodawania lub rezerwowania zasobów sieci. Rozwiązanie to, wykorzystując uwierzytelnianie MAC oraz mechanizmy IP Resolution i Reverse DNS Lookup, automatycznie wykrywa wszystkie dołączone do sieci urządzenia końcowe i tworzy ich spis. Tożsamość użytkownika natomiast jest zidentyﬁkowana za pomocą protokołu 802.1X, Kerberos oraz RADIUS snooping czy też korelacji przypisania zewnętrznego użytkownika do adresu IP. Podczas procesu wykrywania rozpoznaje się i śledzi ponad 50 5 atrybutów dla każdej pary – systemu końcowego i użytkownika. Dzięki temu i uż zapewniony jest bardzo za w wysoki poziom szczegółowości tego procesu, nieło osiągalny dla konkurencji. o Extreme Networks NAC zapewnia wiele sposobów za zarządzania dostępem dla gozarzą śści, którzy nie posiadają s swojego konta. Adminisstratorzy mają do dyspozzycji portal do logowania

VADEMECUM CRN RN wrzesień 2015

adv_Versim-Extreme Networks.indd 20

2015-09-10 21:59:35

NAC I… CO DALEJ? Zgodnie z ideą otwartej architektury NAC oferowany przez Extreme umożliwia integrację z rozwiązaniami bezpieczeństwa sieciowego innych producentów, wykorzystując do tego interfejs XML API. Dzięki współpracy z systemami Next Generation Firewall, takimi jak Palo Alto i FortiGate, NAC otrzymuje informacje o wymianie ruchu z publiczną siecią (odwiedzane strony WWW, pobierane pliki z Internetu itp.). Dzięki informacjom z systemów Mobile Device Management, takich jak FAMOC, MobileIron czy AirWatch, NAC poznaje m.in. dokładny model urządzenia, numer telefonu i adres MAC karty SIM. Natomiast oprogramowanie Extreme Networks Purview dostarcza wiedzy o aplikacjach wykorzystywanych przez użytkowników. Na podstawie korelacji powyższych informacji NAC podejmuje odpowiednie działania prewencyjne. Konto użytkownika, który łamie reguły skonfigurowane na zaporze sieciowej (np. pobiera złośliwe oprogramowanie, odwiedza blokowane strony lub spędza zbyt dużo czasu na portalach społecznościowych), zostaje czasowo umieszczone w kwarantannie. Użytkownik podłączający do sieci WiFi urządzenie mobilne, które jest niezgodnie z założeniami bezpieczeństwa, np. ma uruchomione udostępnianie Internetu (hot spot), dostęp do konta administracyjnego w systemie urządzenia (root w Androidzie i jailbreak w iOS), włożoną nieautoryzowaną kartę SIM lub nie ma zainstalowanej konkretnej, wskazanej przez administratora aplikacji (np. antywirusa), również nie będzie miał możliwości połączenia się z infrastrukturą na podstawie alarmu wygenerowanego przez rozwiązania MDM.

Dodatkowe informacje: AGNIESZKA MAKOWSKA, DYREKTOR SPRZEDAŻY, VERSIM, AGNIESZKA.MAKOWSKA@VERSIM.PL

Trzy pytania do… KONRADA GRZYBOWSKIEGO, INŻYNIERA WSPARCIA SPRZEDAŻY, VERSIM CRN W jaki sposób Extreme Networks zaspokaja potrzeby korporacyjnych użytkowników w zakresie bezpieczeństwa sieci bezprzewodowych? KONRAD GRZYBOWSKI W firmach bezprzewodowy dostęp do sieci i możliwość korzystania z urządzeń mobilnych nie są już niczym ekskluzywnym, to wręcz „artykuł pierwszej potrzeby”. W tej sytuacji przedsiębiorstwa muszą zwracać szczególną uwagę na ochronę przed nieuprawnionym korzystaniem z sieci bezprzewodowej. Obecnie najskuteczniejszym zabezpieczeniem w tym zakresie są rozwiązania klasy Network Access Control, oferowane m.in. przez Extreme Networks. System tego producenta od wielu lat sprawdza się podczas wdrożeń rozległych sieci bezprzewodowych, a jego otwarta architektura zapewnia skoordynowanie zarządzania działaniem wielu systemów bezpieczeństwa i wykorzystywanie jednego interfejsu administratora. CRN Czy najbezpieczniejszym rozwiązaniem nie jest po prostu rezygnacja z udostępniania pracownikom sieci bezprzewodowej? KONRAD GRZYBOWSKI Zdecydowanie nie! Brak sieci WiFi może przynieść większe straty niż korzyści. Gdy pracownikom nie zostanie zapewniony bezprzewodowy dostęp do sieci oraz Internetu, np. ze służbowych laptopów, zaczną kombinować. Najprostszą i najczęściej stosowaną przez nich metodą jest stworzenie hot spota w smartfonie lub tablecie albo skorzystanie z modemu USB. Sytuacja może stać się bardzo poważna, na przykład gdy laptop użytkownika będzie podłączony do firmowej infrastruktury przez sieć przewodową i tam będzie zidentyfikowany jako zaufany, a jednocześnie za pośrednictwem karty bezprzewodowej połączy się z niezabezpieczoną siecią. W takim momencie laptop staje się swoistym mostem dla potencjalnego intruza, umożliwiając mu przejście do wewnętrznej firmowej infrastruktury IT. Ten rodzaj zagrożenia doczekał się określenia przez inżynierów bezpieczeństwa i został nazwany Rogue AP. CRN Jakie rodzaje przedsiębiorstw powinny być najbardziej zainteresowane wdrożeniem systemów typu NAC? KONRAD GRZYBOWSKI Statystycznie najczęściej są nimi zainteresowane tradycyjne biura, w których dzięki konwergencji można zmniejszyć koszty operacyjne związane z utrzymaniem sieci. Ciekawą grupę użytkowników stanowią także placówki edukacyjne, które już całkowicie uległy oczekiwaniom studentów, związanym z bezprzewodowym dostępem do Internetu oraz różnego typu narzędzi edukacyjnych zapewnianych przez daną placówkę. Kolejną ważną grupą klientów są instytucje z sektora opieki zdrowotnej – tam z dostępu do sieci bezprzewodowej korzystają pacjenci, ich goście oraz personel medyczny, który np. podczas obchodu cały czas zachowuje możliwość korzystania z danych zgromadzonych w centralnym repozytorium. Obserwujemy też coraz większe zainteresowanie bezpiecznymi sieciami bezprzewodowymi ze strony operatorów obiektów sportowych. Za pośrednictwem tych rozwiązań zapewniają oni swoim gościom dostęp do materiałów związanych z rozgrywką, zawodnikami, powtórek najciekawszych akcji itp., a do odbioru wszystkich tych informacji służą osobiste urządzenia kibiców.

VADEMECUM CRN wrzesień 2015

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI EXTREME NETWORKS I VERSIM.

i rejestracji, mechanizmy dostępu sponsorowanego, generowania kont czasowych oraz rejestracji gości przez portale społecznościowe.

BEZPIECZEŃSTWO FIRMOWYCH SIECI

Bezpieczeństwo haseł jest bezcenne – dla wszystkich Zarządzanie dostępem do danych stało się podstawowym problemem w wielu dziedzinach działalności przedsiębiorstw. Sprawę utrudnia fakt, że o sile zabezpieczeń najczęściej nie stanowi jedno rozwiązanie, lecz jednoczesne zastosowanie zintegrowanych ze sobą różnych mechanizmów.

danych opublikowanych w raporcie „2015 Dell Security Annual Threat Report” wynika, że w 2014 r. napastnicy podwoili liczbę unikalnych ataków prowadzonych z wykorzystaniem złośliwego kodu. Łącznie na świecie odnotowano 88 bln incydentów wykrytych wewnątrz zainfekowanych systemów operacyjnych i 45 mld przypadków aktywności zainfekowanego oprogramowania. Pozyskane dane (numery kart kredytowych, informacje osobiste i medyczne) stają się najczęściej „towarem”, którym później obracają przestępcy.

PROBLEMY Z HASŁAMI O trudnościach związanych z zarządzaniem hasłami i skomplikowaną polityką ich zabezpieczania krążą już anegdoty i legendy. Jedną z podstawowych metod poradzenia sobie z tym problemem, promowanych przez Dell Software, jest wykorzystanie dwuskładnikowej autoryzacji 2FA (two factor authentication). Podejście to uwzględnia dwa elementy: wiedzę (coś, co użytkownik zna, np. PIN lub nazwa użytkownika) i posiadanie (coś, czym dysponuje, np. token sprzętowy generujący dynamiczne jednorazowe hasła OTP). Do kompleksowego zarządzania hasłami Dell Software proponuje rozwiązanie o nazwie Password Manager. Daje ono administratorom możliwość spełnienia założeń polityki bezpieczeństwa w zakresie zarządzania hasłami, w tym wykonywania takich czynności jak odblokowywanie kont, resetowania hasła czy wymuszanie na użytkownikach jego zmiany. Przygotowana w ten sposób in-

KLUCZOWY ELEMENT DLA ARCHITEKTURY BEZPIECZEŃSTWA – HARDWARE SECURITY MODULE. POWYŻEJ DWA MODELE HSM NIEMIECKEGO PRODUCENTA UTIAMCO (KARTA PCIE DO INSTALACJI W SERWERZE I URZĄDZENIE SIECIOWE).

frastruktura z powodzeniem przejdzie testy prowadzone podczas audytu bezpieczeństwa i będzie zgodna z takimi regulacjami jak SOX, HIPAA czy PCI. Zapewnia wprowadzenie wyraﬁnowanych mechanizmów ochrony haseł, bez obawy przed zwiększeniem liczby zgłoszeń do obsługi technicznej, np. w kwestii resetowania haseł. Password Manager umożliwia zdeﬁniowanie tzw. bezpiecznych pytań, m.in dzięki którym każdy użytkownik systemu IT – przez samoobsługowy portal – będzie w stanie sam odzyskać swoje hasło. W efekcie maleją koszty obsługi serwisowej, a jednocześnie skraca się czas ewentualnej bezproduktywności pracowników. Rozwiązanie to działa w systemach operacyjnych Microsoft, ale także Unix i Linux.

UWIERZYTELNIANIE Z TOKENEM Dell Software zapewnia integrację Password Managera z innym ciekawym oprogramowaniem – serwerem autoryzacyjnym Dell Defender. Głównym jego

celem jest udostępnianie prostych mechanizmów 2FA. Inżynierowie firmy Perceptus przygotowali w swoim laboratorium referencyjną konfigurację integrującą oba wymienione produkty. Wygodnym dodatkowym narzędziem autoryzacyjnym do procesów odzyskania hasła okazały się tokeny SMS-owe. Użytkownik, który chce odblokować swoje hasło domenowe do stacji roboczej, dostaje jednorazowe hasło OTP (One Time Password) na telefon przypisany do swojego konta. Proces ten może zastąpić metodę autoryzacji bazującą na bezpiecznych pytaniach. W ten sposób w firmie wdrażana jest dwuskładnikowa autoryzacja wykorzystująca klasyczne hasło SMS. To prosty i skuteczny sposób na zwiększenie bezpieczeństwa, zakładający rozdzielenie poświadczeń tożsamości i odpowiedzialnych za nie mechanizmów. Dell Software oferuje również możliwość skorzystania z darmowej aplikacji do tworzenia kodów OTP, zgodnych ze standardem OATH dla urządzeń mobilnych z systemami Android oraz Windows Phone.

VADEMECUM CRN wrzesień 2015

adv_Perceptus.indd 22

2015-09-10 22:01:34

ZABEZPIECZANIE PRZEZ SZYFROWANIE SPRZĘTOWE

Deﬁnicje uprawnień, hasła, a nawet wykorzystywane przez Password Managera odpowiedzi na pytania awaryjne, są zapisane w repozytorium (którym najczęściej jest serwer Active Directory) lub w relacyjnej bazie. Dlatego zaleca się również ich zabezpieczenie za pomocą szyfrowania. Inżynierowie Perceptusa proponują użycie w tym celu tzw. sprzętowych modułów bezpieczeństwa (Hardware Security Modules), które zapewniają ochronę infrastruktury IT przed dostępem niepowołanych osób. Zdaniem specjalistów Perceptusa kluczowe dla zwrotu z takiej inwestycji jest użycie HSM, nie tylko, jak to zazwyczaj

PRZEMYSŁAW SOBCZYK opiekun laboratorium bezpieczeństwa CBR, Perceptus

Perceptus jest integratorem zajmującym się zaawansowanymi technologiami bezpieczeństwa IT. Ale aktywnie współpracujemy także z integratorami specjalizującymi się w innych dziedzinach. Wszystkie przedstawione rozwiązania mamy ﬁzycznie wdrożone, zintegrowane i przetestowane w siedzibie ﬁrmy (Park Naukowo-Technologiczny w Nowym Kisielinie), gdzie mieści się nasze laboratorium. Jesteśmy świadomi, że – biorąc pod uwagę obszar, w którym się poruszamy – opisane rozwiązania mogą być obce, a niekiedy bardzo złożone dla osób, które nie są ekspertami. Dlatego z chęcią udostępniamy naszą infrastrukturę oraz dzielimy się wiedzą i doświadczeniem z zainteresowanymi partnerami i ich klientami.

bywa, do budowy wewnętrznej infrastruktury PKI. Proponują zatem zastosowanie HSM do integracji na dwóch poziomach – Microsoft Active Directory Rights Management Services oraz zastosowania szyfrowania bazy danych z bezpiecznie przechowywanymi kluczami dzięki użyciu mechanizmu Extensible Key Management (SQLEKM). W ten sposób wszystkie wrażliwe dane administracyjne konﬁgurowalne w Defenderze będą bezpiecznie przechowywane.

NA ROZWIĄZANIA TOKENÓW W FORMIE KARTY ZDECYDOWAŁY SIĘ JUŻ POLSKIE BANKI JAK GETIN,

BREBANK CZY BPS.

Do realizacji modelu ochrony z wykorzystaniem modułów HSM Perceptus proponuje rozwiązanie Utimaco CryptoServer, w postaci instalowanej w serwerach karty PCIe lub oddzielnego urządzenia podłączanego bezpośrednio do sieci. Mając do dyspozycji model sieciowy, inżynierowie ﬁrmy Perceptus rekomendują rozważenie kwestii wykorzystania HSM do obsługi szyfrowania HTTPS. Dell podkreśla, że pojawiają się hakerzy wykorzystujący szyfrowane połączenie do ukrywania złośliwego oprogramowania przed ﬁre-

wallami korporacyjnymi. Te i inne dziury w zabezpieczeniach powstają w związku ze stosowaniem kluczy w serwerach WWW w formie plików, zamiast wykorzystania do tego celu HSM.

AUDYT

ZMIAN

Kolejnym elementem wielowarstwowej architektury bezpieczeństwa, jaką oferuje Dell Software, jest system monitoringu zmian w systemach IT – Change Auditor. Jest to potężna platforma audytu systemu Windows, zwiększająca bezpieczeństwo przez natychmiastowe raportowanie, m.in. kto dokonał zmiany, kiedy, gdzie i z której stacji roboczej. Elastyczny mechanizm powiadomień o zmianach inicjuje przesyłanie standardowych powiadomień na e-mail lub do urządzeń przenośnych w celu podjęcia natychmiastowych działań. Zapewnia zatem administratorowi możliwość reagowania na zagrożenia, nawet gdy nie znajduje się on w siedzibie ﬁrmy. Change Auditor wyposażony jest w moduły audytowania zmian w oprogramowaniu Active Directory, Exchange, SQL Server, Lync i VMware vCenter. Może też śledzić aktywność użytkowników związaną z uwierzytelnianiem się ich na stacjach roboczych.

Dodatkowe informacje: PRZEMYSŁAW SOBCZYK, INFORMATION SECURITY OFFICER, PERCEPTUS, P.SOBCZYK@PERCEPTUS.PL VADEMECUM CRN wrzesień 2015

adv_Perceptus.indd 23

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ PERCEPTUS.

Jedną z alternatywnych metod autoryzacyjnych może być także wykorzystanie sprzętowych tokenów. Perceptus wybrał do tego zyskujące coraz większą popularność tokeny w standardzie OATH, produkowane przez szwajcarską ﬁrmę NagraID Security. Rozwiązanie NagraID Security Display Card oferowane jest w postaci wygodnej w użyciu karty (o wymiarach standardowej karty kredytowej). Ma własne zasilanie, jest wyposażone w kontrastowy, sześcioznakowy wbudowany wyświetlacz LCD i przycisk aktywacyjny. Po przyciśnięciu przycisku na wyświetlaczu ukazuje się kod jednorazowy, generowany według odpowiedniego algorytmu. Token NagraID Security przypisywany jest w Defenderze do danych użytkownika domenowego, przez administratora lub za pomocą portalu samoobsługowego. Po przeprowadzeniu synchronizacji użytkownik końcowy może odblokować swoje konto lub wymusić zamianę zapomnianego hasła po dokonaniu dodatkowej autoryzacji kodem z karty NagraID. Oprogramowanie Defender zapewnia nie tylko integrację z Password Managerem. Udostępnia wtyczki przeznaczone do instalacji w urządzeniach końcowych. Dzięki temu możliwe staje się rozszerzenie klasycznych mechanizmów logowania do systemu operacyjnego o model 2FA (kod SMS lub tokeny sprzętowe). To bardzo interesująca alternatywa, np. wobec infrastruktury klucza publicznego (PKI) jako sposobu na dwuskładnikową autoryzację.

2015-09-10 22:01:54

BEZPIECZEŃSTWO FIRMOWYCH SIECI

Legrand:

niezawodność i bezpieczeństwo infrastruktury Okablowanie strukturalne Legrand LCS2 gwarantuje firmom wysoką niezawodność sieci. By zapewnić bezpieczną pracą urządzeń aktywnych, warto zastosować UPS-y tego producenta – Keor Line RT oraz Daker.

ystem okablowania strukturalnego jest kluczowym elementem infrastruktury teleinformatycznej. Nieprzerwana transmisja danych z serwerowni do stacji roboczej przy użyciu produktów jednego producenta jest możliwa dzięki dobrej współpracy poszczególnych elementów sieci.

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI LEGRAND I EPTIMO.

OKABLOWANIE STRUKTURALNE LEGRAND LCS2 W skład systemu okablowania strukturalnego Legrand LCS2 wchodzą szafki i szafy teleinformatyczne oraz elementy okablowania miedzianego i światłowodowego. Można je stosować we wszelkiego rodzaju obiektach komercyjnych, od biur po centra handlowe. System LCS2 jest spójny z innymi produktami Legrand, takimi jak: listwy i kanały elektroinstalacyjne, kolumny, puszki

PIOTR PIEPIÓRKA UPS Business Development Specialist, Legrand

Legrand, oprócz elementów okablowania strukturalnego, oferuje wysokiej jakości rozwiązania bezprzerwowego zasilania. Dzięki współpracy z Eptimo, wyłącznym dystrybutorem naszych rozwiązań, resellerzy i integratorzy mogą skorzystać ze sprawdzonych produktów zabezpieczających przed utratą danych i przerwami w pracy urządzeń.

VADEMECUM CRN wrzesień 2015

podłogowe, bloki biurowe, trasy kablowe Cablofil, a także systemy zasilania gwarantowanego UPS. Okablowanie miedziane Legrand LCS2 jest systemem umożliwiającym zbudowanie kompletnego toru transmisyjnego klasy D, E lub EA (kategorii 5e, 6 i 6A). Natomiast wykonanie niezawodnej i prostej instalacji światłowodowej zapewniają wchodzące w skład systemu Legrand LCS2 złącza LC, SC, ST, szuflady światłowodowe, kable, pigtaile i gniazda. Doskonałe parametry transmisji, wysoka jakość, łatwość utrzymania i wygoda instalacji zostały potwierdzone testami w niezależnych laboratoriach. Innowacyjne beznarzędziowe złącze LCS2 zapewnia łatwe i pewne terminowanie, gwarantuje optymalne parametry transmisyjne łącza, począwszy od panelu krosowego aż do gniazda RJ45. Panele krosowe zapewniają automatyczne uziemienie każdego złącza. Są łatwo konfigurowalne, a poszczególne porty można bez problemu wkładać i wyjmować z przodu panelu, co ułatwia prace serwisowe.

nie sprawdzają się zarówno w firmach, jak i w centrach danych, zapewniając bezpieczną pracę urządzeń oraz zapobiegając utracie danych. Keor Line RT to produkty klasy line-interactive, a Daker DK to rodzina zasilaczy online. Mają mechanicznie zbliżoną konstrukcję. Zastosowano w nich odwracalny wyświetlacz, umożliwiający zainstalowanie zasilacza w pionowym lub poziomym położeniu, oraz baterie hot-swap, umieszczone od frontu urządzenia, które można wymieniać bez demontażu zasilacza. Daker DK oraz Keor Line RT wyposażono w zestawy niezależnie sterowanych gniazd IEC lub listwy zaciskowe, porty USB/RS-232, ochronnik, funkcję zimnego startu oraz zaawansowany układ ładowania i kontroli akumulatorów. Wszystkie rozwiązania marki Legrand są dostępne na platformie B2B Eptimo (www.b2b.eptimo.com), wyłącznego dystrybutora producenta w Polsce. Resellerzy i integratorzy mogą skorzystać również z warsztatów produktowych organizowanych przez Centrum Szkoleniowe Eptimo – więcej informacji www.eptimo.com.

ZASILACZE KEOR LINE RT ORAZ DAKER Istotną cechą dobrego systemu teleinformatycznego jest jego niezawodność, która w dużym stopniu zależy od jakości energii elektrycznej. Legrand oferuje nie tylko elementy okablowania strukturalnego, ale także wysokiej jakości rozwiązania bezprzerwowego zasilania – Keor Line RT oraz Daker, które świet-

Dodatkowe informacje: SEBASTIAN JANOWSKI, PRODUCT MANAGER UPS, EPTIMO, SEBASTIAN.JANOWSKI@EPTIMO.COM

Profesjonalne sieci bezprzewodowe od Zebry WiNG 5.8 to system operacyjny zarządzający wszystkimi urządzeniami do budowy sieci bezprzewodowych oferowanymi przez firmę Zebra. W jego nowej wersji m.in. usprawniono mechanizm dostępu gości do zasobów sieciowych, wprowadzono dodatkowe możliwości analityczne i zoptymalizowano kod, co przełożyło się na większą wydajność rozwiązań pracujących pod kontrolą tego systemu. na systemie Android, ale pozbawiony funkcji, które mogłyby wpływać na bezpieczeństwo korporacyjnych danych). Moduły rozszerzające zapewniają także zwiększenie wydajności transferu danych, przyczyniają się do redukcji poboru energii z akumulatora i pomagają w wykrywaniu miejsc, w których występują problemy z zasięgiem sieci.

WIZUALIZACJA

SIECI Z

NSIGHT

Wraz z WiNG 5.8 zostało zaprezentowane oprogramowanie NSight służące do tworzenia interaktywnej mapy, obrazującej stan sieci bezprzewodowej. Ułatwia to dostęp do szczegółowych informacji zebranych przez ten system operacyjny, a dzięki temu upraszcza proces zarządzania siecią. Wszystkie dane na mapie są przedstawiane w czasie rzeczywistym lub wskazanym, wybranym do analizy. NSight umożliwia także tworzenie własnych wykresów przedstawiających różne rodzaje informacji zaspokajających indywidualne potrzeby użytkowników. Do dyspozycji jest też rozbudowana biblioteka predefiniowanych raportów. Dzięki temu rozwiązaniu osoby odpowiedzialne za helpdesk mogą łatwiej monitorować różnego typu zdarzenia w firmowej sieci, zaś zarządcy zyskują bardziej szczegółowe informacje, ułatwiające podejmowanie decyzji o ewentualnej rozbudowie sieci.

CAPTIVE PORTAL

DLA GOŚCI

System WiNG 5.8 wyposażono również w Captive Portal umożliwiający zarządzanie dostępem gości do sieci bezprzewodowej każdej wielkości. Tym samym administratorzy dostali potężne narzędzie, dzięki któremu dostosują do własnych potrzeb proces rejestracji gościa (możliwość zdefiniowania rodzaju pobieranych informacji, takich jak dane użytkownika, jego numer telefonu, adres e-mail itp., oraz określenia informacji, których podanie jest obowiązkowe). Interfejs witryny Captive Portalu może być w pełni dopasowany np. do wyglądu strony internetowej przedsiębiorstwa, a także do rodzaju urządzenia, na którym jest wyświetlany (smartfona, tabletu, laptopa). Administratorzy mogą korzystać z serwera RADIUS lub z własnej bazy danych gości, pomocnej w ich autentykacji, co upraszcza zarządzanie dostępem do sieci i zapewnia bezpieczeństwo korzystania z niej. Baza danych zarejestrowanych użytkowników i ich urządzeń pomieści nawet 2 mln rekordów. Dzięki temu osoby, które już raz przeszły przez proces rejestracji, nie muszą robić tego ponownie.

Dodatkowe informacje: MICHAŁ GRZYBOWSKI, BUSINESS UNIT MANAGER, RRC, MICHAL.GRZYBOWSKI@RRC.PL TOMASZ MĄKOWSKI, PROJECT MANAGER ZEBRA WIRELESS, RRC, TOMASZ.MAKOWSKI@RRC.PL VADEMECUM CRN wrzesień 2015

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI ZEBRA I RRC POLAND.

nowej wersji WiNG 5.8 zapewniono m.in. możliwość kontrolowania stanu pracy aplikacji, z których dane przesyłane są w sieci bezprzewodowej. Wykorzystano do tego technikę Deep Packet Inspection, umożliwiającą przesyłanie stosownych informacji do punktów dostępowych. Zapewnia to zwiększenie wydajności pracy aplikacji, przez właściwe ustawienie zasad polityki Quality of Service oraz bezpieczeństwo informacji. Wraz z nową wersją WiNG udostępnione też zostały moduły rozszerzające Mobility Extensions dla urządzeń z systemem Android, podłączanych do sieci bezprzewodowych bazujących na infrastrukturze Zebry. Zapewniają one dodatkową ochronę przy połączeniach z siecią WLAN. Jest to cenne głównie ze względu na fakt, że w tym zakresie Android nadal nie jest wyposażony w funkcje klasy korporacyjnej i działa jak standardowy system konsumencki (Zebra oferuje też sprzęt bazujący

BEZPIECZEŃSTWO FIRMOWYCH SIECI

Bezpieczna sieć z firewallami Dell SonicWALL TZ Firewalle z rodziny Dell SonicWALL TZ są przeznaczone dla małych i średnich ﬁrm, oddziałów korporacji oraz placówek handlowych. Zapewniają wysoką wydajność i poziom bezpieczeństwa spotykany wcześniej tylko w rozwiązaniach klasy korporacyjnej. Dzięki atrakcyjnej cenie i niskim kosztom utrzymania są dostępne dla ﬁrm o ograniczonym budżecie.

rządzenia z rodziny SonicWALL TZ chronią przed różnego typu zagrożeniami, zarówno pojawiającymi się w firmowej sieci, jak i płynącymi z Internetu. Zawierają takie moduły ochronne jak: antymalware, antyspyware, IPS czy filtrowanie URL. Aby móc przeciwdziałać atakom szyfrowanym, rozwiązania te potrafią też weryfikować dane przesyłane przez zaszyfrowane połączenia SSL. Konstrukcja tych firewalli zapewnia skanowanie każdego bajtu w każdym pakiecie, na wszystkich portach i po wszystkich protokołach, z praktycznie niezauważalnym opóźnieniem i bez względu na wielkość kontrolowanego pliku. Firewalle SonicWALL TZ wyposażone są w porty Gigabit Ethernet, opcjonalnie mogą mieć zainstalowany moduł sieci bezprzewodowej 802.11ac.Zapewniają tunelowanie ruchu VPN bazujące na protokołach IPsec i SSL, równoważenie ruchu między portami WAN oraz

segmentację sieci na VLAN-y i/lub strefy bezpieczeństwa. Można do nich podłączyć komórkowy modem 3G lub 4G, który zapewni łączność z Internetem w przypadku awarii głównego łącza kablowego. Dzięki aplikacjom dla urządzeń mobilnych (z systemami Apple iOS, Google Android, Amazon Kindle, Windows, Mac OS i Linux) użytkownicy ﬁrewalli uzyskują bezpieczny dostęp do ﬁrmowych zasobów przez VPN.

OCHRONA BEZ KOMPROMISÓW Małe i średnie ﬁrmy rozwijają się bardzo szybko i w podobnym tempie adaptują nowe technologie, np. rozwiązania mobilne. Ale w ten sposób wystawiają się także na różnego typu ataki. Rodzina ﬁrewalli SonicWALL TZ dostarcza zintegrowane rozwiązanie, które kontroluje przepływ wszystkich informacji w sieci, także tych w zaszyfrowanych połączeniach SSL, i zapewnia wymagany poziom ochrony.

Korzyści płynące ze stosowania urządzeń z rodziny Dell SonicWALL TZ • Zabezpieczenie sieci przeciwko złośliwemu oprogramowaniu i włamaniom, kontrola

W ofercie Dell SonicWALL znalazły się różne modele, dzięki czemu każde przedsiębiorstwo może wybrać urządzenie dostosowane do skali jego działalności. Jest wśród nich zarówno urządzenie o nazwie SOHO – przeznaczone dla najmniejszych klientów (w tym gospodarstw domowych) i cztery modele (TZ300, TZ400, TZ500 i TZ600) – przystosowane do pracy w większych środowiskach. Różnią się one od siebie przede wszystkim wydajnością (szczegóły w tabelce na stronie obok). W urządzeniach SonicWALL zainstalowanych w większych, rozproszonych środowiskach, można też wykorzystywać stworzony przez Dell SonicWALL system zarządzania (Global Management System), który umożliwia sprawowanie kontroli (monitoring wydarzeń, prowadzenie analiz, generowanie raportów itd.) nad wieloma urządzeniami ochronnymi z rodziny SonicWALL. Dzięki temu można ograniczyć kadrę zarządzającą środowiskiem, a także dopilnować, aby we wszystkich oddziałach przedsiębiorstwa obowiązywały takie same reguły polityki bezpieczeństwa. GMS zapewnia również globalne zarządzanie wprowadzanymi zmianami w konﬁguracji urządzeń oraz automatyzację tego procesu.

danych przesyłanych przez aplikacje, ﬁltrowanie adresów URL.

• Inspekcja pakietów w ruchu sieciowym bez ograniczeń rozmiaru pliku czy protokołu transmisji (także szyfrowanych połączeń SSL).

BEZPIECZNA SIEĆ

• Bezpieczna łączność bezprzewodowa (WiFi 802.11ac) za pomocą zintegrowanego

BEZPRZEWODOWA

kontrolera, zewnętrznych punktów dostępowych Dell SonicPoint lub wbudowanego radia. • Zdalny dostęp do danych przez protokół SSL VPN z urządzeń z systemami Apple iOS, Google Android, Amazon Kindle, Windows, Mac OS oraz Linux.

Jako opcja w urządzeniach z rodziny SonicWALL TZ oferowany jest moduł sieci bezprzewodowej 802.11ac, współpracujący z wbudowanym ﬁrewallem.

VADEMECUM CRN wrzesień 2015

adv_RRC_SonicWALL_1.indd 26

2015-09-14 23:42:08

SOHO

TZ300

TZ400

TZ500

TZ600

300

750

1300

1400

1500

modułu DPI

100

300

400

500

modułu anti-malware

100

300

400

500

modułu IPS

100

300

900

1000

1100

modułu IMIX

200

500

700

900

Maksymalna liczba połączeń DPI Maksym

10 tys.

50 tys.

90 tys.

100 tys.

125 tys.

Liczba nowych połączeń na sekundę

1,8 tys.

5 tys.

6 tys.

8 tys.

12 tys.

ﬁrewalla

Przepustowość Przepu (Mb/s)

Mo Moż żna nimi żna niimii zastąpić zas astą tąpi pić ić dot d otych chc hczas as u żywaa Można dotychczas używane w przedsiębiorstwie bezprzewodowe routery i jednocześnie profesjonalnie zabezpieczyć sieć każdego rodzaju . Zastosowana w SonicWALL TZ antena sieci bezprzewodowej zapewnia duży zasięg i wysoką jakość sygnału. Gwarantuje tym samym łączność z siecią wielu użytkownikom, którzy korzystają z aplikacji wymagających stabilnego połączenia, np. służacych do transmisji głosu lub wideo. Dell zadbał również o wysoką wydajność urządzeń SonicWALL TZ, dzięki czemu gwarantują skrupulatną weryﬁkację wszystkich przesyłanych pakietów, nawet przy dużym obciążeniu sieci. Służy do tego stworzony przez producenta mechanizm Reassembly-Free Deep Packet Inspection. Architektura tych rozwiązań

ba bazuje na specjalnych procesorach, kt które – w przeciwieństwie do układ dów x86 – zostały zoptymalizow wane do szybkiego przetwarzania p pakietów i deszyfrowania danych. Ta Taka elastyczność jest przydatna szc szczególnie wtedy, gdy pojawią się nowe rodzaje zagrożeń, których neutralizacja wymaga zastsowania innych niż dotychczas sposobów oraz związanej z tym dodatkowej mocy obliczeniowej.

ZAAWANSOWANA OCHRONA Działający w strukturach ﬁrmy Dell zespół Threat Research Team odpowiada za poszukiwanie nowych rodzajów zagrożeń i opracowuje metody ich zwalczania. W swojej pracy wykorzystuje ponad milion sensorów rozlokowanych na całym świecie, zbierających próbki złośliwego kodu i pomagających w ocenianiu, jak szybko się on rozprzestrzenia. Użytkownicy ﬁrewalli Dell SonicWALL, posiadający aktywną subskrypcję sygnatur, systema-

tycznie otrzymują wszelkie poprawki i aktualizacje dla tych urządzeń, dzięki czemu ich sieć jest chroniona bez przerwy (nie ma żadnych przerw w pracy urządzenia ani konieczności jego restartowania). Sygnatury chronią przed wieloma rodzajami ataków, a każda ich aktualizacja wprowadza ochronę przed dziesiątkami tysięcy kolejnych wirusów. Użytkownicy firewalli Dell SonicWALL mają także dostęp do usługi Dell SonicWALL CloudAV, w ramach której każda przesłana próbka poddawana jest kontroli na zgodność z ponad 17 mln sygnatur. Próbki do przetestowania w chmurze wybierane są automatycznie przez inteligentny mechanizm zaszyty w oprogramowaniu firewalla. Dzięki analizie Geo-IP i Botnet Filter potrafi on także określić źródło pochodzenia danego pakietu i ocenić ryzyko zagrożenia, które może on sprowadzić. Oprogramowanie firewalli Dell SonicWALL informuje administratorów, w jakim stopniu ruch generowany przez daną aplikację wykorzystuje zasoby sieciowe. Dzięki temu mogą oni dokonywać odpowiedniej priorytetyzacji, bazując na kryteriach biznesowych, blokować aplikacje generujące zbyt duży ruch oraz te, które mogą stanowić zagrożenie dla firmowych danych. Wszystkie informacje są przekazywane administratorom postaci wizualizacji oraz wykresów, co ułatwia wykrywanie wąskich gardeł lub anomalii i przeciwdziałanie im.

Dodatkowe informacje: ADAM OSTROWICZ, BUSINESS DEVELOPMENT MANAGER, RRC, ADAM.OSTROWICZ@RRC.PL VADEMECUM CRN wrzesień 2015

adv_RRC_SonicWALL_1.indd 27

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI DELL SONICWALL I RRC.

WYDA YDAJNOŚĆ URZĄDZEŃ Z RODZINY SONICWALL TZ

2015-09-14 23:42:19

BEZPIECZEŃSTWO FIRMOWYCH SIECI

Arbor Networks obala mity na temat DDoS Obrona przedsiębiorstw przed DDoS nigdy nie była łatwym zadaniem, ale obecnie cyberprzestępcy jeszcze bardziej ją utrudnili.

edia coraz częściej donoszą o atakach DDoS dokonywanych przez Internet. Chociaż wszyscy są świadomi skali zagrożeń, wciąż wielu firmowych specjalistów ds. bezpieczeństwa uważa, że rozwiązania chroniące przed tego typu atakami, jakie wdrożono kilka lat temu, nadal są skuteczne. Taki pogląd to igranie z ogniem. Pora obalić mity narosłe wokół DDoS.

Mit 1: Wystarczą fireWalle, rozWiązania iPs i cDn Ewolucja infrastruktury IT i coraz powszechniejsze wykorzystanie zewnętrznych platform bazujących na chmurze obliczeniowej sprawiły, że coraz trudniej określić granice złożonego środowiska IT. Mimo to tradycyjne „graniczne” rozwiązania zabezpieczające, takie jak firewalle i IDS/IPS, nadal tworzą podstawę ochrony sieciowej. Ponieważ urządzenia te przeprowadzają kontrolę połączeń sieciowych (stateful inspection), same są narażone na pewne rodzaje ataków DDoS, co jeszcze bardziej komplikuje sprawę. Panuje też przekonanie, że rozwiązania typu Content Delivery Network skutecznie zabezpieczają przed atakami DDoS. W rzeczywistości CDN w nie-

wielkim stopniu przeciwdziała DDoS, a absorbując wielkie ilości danych, często przepuszcza atak. Dodatkowo większość bazujących na CDN zabezpieczeń antyDDoS skupia się na absorbowaniu ataków HTTP/ HTTPS, ignorując pozostałe, w tym bardzo powszechne ataki wzmacniania NTP/DNS.

Mit 2: Wystarczy jeDna WarstWa ochrony antyDDos

Ponieważ dzisiejsze ataki DDoS są dynamiczną kombinacją ataków wolumetrycznych (typu TCP state exhaustion) oraz aplikacyjnych, najskuteczniejsze metody ich zwalczania polegają na stworzeniu ochrony warstwowej. Najlepszym miejscem do zatrzymania dużego, zalewającego pakietami ataku jest chmura dostawcy Internetu (w której DDoS zostanie zneutralizowany zanim osiągnie łącze klienta) oraz lokalne (on-premise) systemy antyDDoS. Z kolei miejscem, w którym powinny być neutralizowane trudne do wykrycia ataki aplikacyjne, jest infrastruktura klienta. Kluczowe w walce z dynamicznymi, wielokierunkowymi atakami DDoS jest więc zapewnienie inteligentnej komunikacji między tymi

Wielowarstwowa ochrona przed atakiem DDoS

dwiema warstwami, wspartej najaktualniejszymi informacjami o zagrożeniach. Niestety wiele przedsiębiorstw ogranicza się do jednej warstwy obrony przed DDoS, przez co nie są chronione w wystarczającym stopniu.

Mit 3: nie bęDzieMy celeM, Więc Można zaryzykoWać

Wzrost liczby ataków DDoS jest spowodowany dwoma czynnikami. Pierwszy to łatwość ich przeprowadzenia, drugi – coraz większa liczba motywów ich dokonywania. Dziś każdy może po prostu pobrać za darmo narzędzie do samodzielnego wykonania DDoS albo zapłacić niewielką sumę tym, którzy taki atak oferują w formie usługi. Cena może wynosić zaledwie kilkaset złotych, a atak może przynieść ofierze straty liczone w dziesiątkach milionów złotych. Motywów ataków DDoS jest wiele, nie ograniczają się już do finansowych zysków i akcji wrogich firm. Obecnie zaszkodzić może ktoś, kto nie zgadza się z naszymi poglądami czy politycznymi przekonaniami. Wystarczy, że użyje jednego z wielu narzędzi lub usług. Co więcej, jeśli usługi firmy działają we współdzielonym środowisku chmury, wcale nie musi być ona celem ataku DDoS, by odczuć jego skutki.

Mit 4: konsekWencje ataku nie uzasaDniają kosztóW ochrony

Następstwa ataku mogą być natychmiastowe i dotkliwe. Jednak wiele przedsiębiorstw nie przeprowadza analiz ryzyka i metod przeciwdziałania, które pomogłyby uzasadnić zakup zaawansowanego rozwiązania antyDDoS. Oczywiście, ocena wpływu przestoju na przychody nie jest niczym skomplikowanym, ale czy obejmuje wszystkie straty, jakie przyniesie przedsiębiorstwu atak DDoS?

VADEMECUM CRN wrzesień 2015

Jest wiele pośrednich kosztów, które zwykle się ignoruje, takich jak: kary związane z niedotrzymaniem SLA, koszty prawne i wydatki na PR mający zredukować straty wizerunkowe, odpływ klientów itp. Zdarzały się przypadki, że z powodu złego przygotowania firmy do obrony przed atakami DDoS i innymi zagrożeniami doszło do zwolnień w jej zarządzie.

Kompleksowa oferta antyDDoS firmy Arbor Networks

Mit 5: DDoS nie Są Rzeczywiście, z technicznego punktu widzenia ataki DDoS mogą nie być uważane za zaawansowane. Jednak ostatnie analizy botnetów wykazały, że są one ściśle powiązane z przestępczymi działaniami wykorzystującymi zaawansowane zagrożenia oparte na malware czy RAT (Remote Access Trojan). Udokumentowano np. przypadki, gdy DDoS były używane podczas: – wstępnego, rozpoznawczego etapu, który miał służyć sprawdzeniu zdolności przedsiębiorstwa do reagowania na pewnego rodzaju zagrożenia, – etapu dostarczania bądź uzbrajania malware – do przepełniania logów rozwiązań ochronnych, aby znacznie utrudnić odnalezienie śladów wprowadzonego do systemu złośliwego kodu, – etapu wykradania danych – DDoS był elementem dywersji. Dlatego trzeba sobie zadać pytanie: czy ostatni atak DDoS, jakiego doświadczyliśmy, był odosobnionym przypadkiem, czy może jednym z elementów zaawansowanego ataku wymierzonego w przedsiębiorstwo? Aby zwiększyć szanse na prawidłową odpowiedź i odkryć pierwsze symptomy zagrożenia ( jeszcze zanim dojdzie do poważnych szkód), warto skorzystać z globalnej usługi proaktywnego śledzenia zagrożeń.

arbor networkS – wielowarStwowa ochrona antyDDoS Korzystanie z tradycyjnych rozwiązań bezpieczeństwa (takich jak firewalle i IPS) bądź zakładanie, że firma nie będzie celem cyberprzestępców to narażanie jej na olbrzymie ryzyko. Czy przedsiębiorstwo stać na to, by krytyczne aplikacje przestały być dostępne? Czy

da radę ponieść koszty wycieku tysięcy wrażliwych danych jego klientów? Odpowiedzią na te pytania powinno być zintegrowane, wielowarstwowe podejście do ochrony przed DDoS. Arbor Networks oferuje kompleksowy zestaw produktów i usług antyDDoS. Nad skutecznym funkcjonowaniem systemów producenta czuwa zespół Arbor Security Engineering and Response Team, wykorzystujący partnerstwo z większością światowych dostawców Internetu umożliwiające uzyskiwanie szczegółowego obrazu globalnych zagrożeń. Działalność ASERT przynosi klientom Arbor wiele korzyści w ramach Active Threat Level Analysis System (patrz: schemat powyżej). Arbor udostępnia ujednoliconą i sprawdzoną ochronę przed cyberatakami. Wchodzące w skład oferty producenta rozwiązanie Pravail APS zapewnia wykrywanie anomalii w sieci. Dzięki zintegrowaniu z systemem zarządzania zagrożeniami ATLAS Intelligence Feed skutecznie identyfikuje oraz powstrzymuje ataki DDoS,

zarówno sieciowe, jak i aplikacyjne. Pravail APS (on premise) charakteryzuje się elastycznymi opcjami wdrożenia (na ścieżce ruchu lub w trybie bypass). Z kolei Arbor Peakflow to rozwiązanie ochrony antyDDoS typu out of band, stosowane w sieciach operatorskich, polecane dostawcom Internetu, firmom świadczącym usługi chmurowe itp. Wykorzystuje analizę informacji o przepływach (flows) z urządzeń sieciowych oraz ściśle współpracuje z systemem ATLAS. Producent oferuje także platformę Arbor Cloud, która zapewnia usługi ochrony i czyszczenia ruchu „na żądanie” (scrubbing), w momencie wykrycia ataku na zasoby klienta, takie jak łącza, usługi oraz aplikacje.

Dodatkowe informacje: Mariusz Bajgrowicz, Regional SaleS DiRectoR, Zycko PolSka, maRiuSZ.bajgRowicZ@Zycko.com VADEMECUM CRN wrzesień 2015

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI ARBOR NETWORKS I ZYCKO POLSKA.

zaawanSowanyMi atakaMi

OCHRONA PRZED ZŁOŚLIWYM OPROGRAMOWANIEM

Antywirus ciągle żywy Sprzedaż rozwiązań do ochrony urządzeń końcowych może być dla resellera stabilnym źródłem dochodów. Generalnie jednak globalny popyt w tym obszarze rośnie w minimalnym tempie. RAFAŁ JANUS 30

VADEMECUM CRN wrzesień 2015

Txt_bezpieczenstwo_urzadzenia_koncowe.indd 30

2015-09-14 22:25:42

Staranne działania w pierwszej fazie mogą powstrzymać od 85 do 90 proc. szkodników. Tymczasem administratorzy IT wciąż największy nacisk kładą na technologie związane z drugą fazą, czyli zapobieganiem. Liczą, że w ten sposób unikną dodatkowej pracy związanej z aktywnym konﬁgurowaniem reguł bezpieczeństwa. Uciążliwe z ich punktu widzenia jest także korzystanie z narzędzi wykrywających anomalie, które charakteryzują się dużą liczbą generowanych zgłoszeń wymagających weryfikacji, często bowiem są to fałszywe alarmy (false positive).

79 03

LICZBA WYKRYTYCH LUK W POPULARNYCH APLIKACJACH

52 8

518

20 12

20 13

5000

7000 6000

8000

41 50

4000 3000 2000 1000 0 20 14

Nasilanie się zjawiska zaawansowanych, celowanych ataków (APT) sprawia, że coraz mniejsze znaczenie dla użytkowników końcowych mają takie techniki ochrony biernej jak antywirusy. W tym przypadku nawet różne sposoby poprawy systemu dystrybucji sygnatur mają niewielki wpływ na zwiększenie efektywności wykrywania ataków. Według różnych badań prawie połowa użytkowników rozwiązań do ochrony stacji roboczych stała się oﬁarą APT. A to wyraźnie pokazuje, że antywirusy nie są wystarczająco skuteczne. Ten stan rzeczy mogą zmienić produkty korzystające z mechanizmów aktywnego wykrywania zagrożeń. Takie, które

obejmują wszystkie cztery fazy zabezpieczania systemów IT. Pierwszą jest określenie reguł bezpieczeństwa i konfiguracja zabezpieczeń w urządzeniu końcowym. Pomogą w tym narzędzia do zarządzania konfiguracją, instalowania aktualizacji i kontroli aplikacji. Drugą fazą jest zapobieganie. Wykorzystuje się w niej funkcje ochrony służące do identyfikowania i filtrowania szkodliwego oprogramowania jeszcze zanim dotrze ono do komputera. Zaliczają się do nich m.in.: określanie reputacji plików, adresów URL i IP, analiza kodu (w czasie rzeczywistym) oraz uruchamianie go w wirtualnym środowisku i monitorowanie jego zachowania. Wykrywanie to kolejna faza, która polega na wyszukiwaniu anomalii wskazujących na obecność szkodliwego oprogramowania w urządzeniu końcowym. Celem w tej fazie jest jak najszybsze wykrycie zagrożenia oraz zebranie informacji pomocnych w jego usunięciu. Należy podkreślić, że faza wykrywania obejmuje narzędzia, które są używane w sytuacji, gdy doszło już do przedostanie się szkodliwego kodu do urządzenia końcowego. Ostatnią fazą jest usuwanie szkodnika, skutków jego działania oraz wprowadzanie zmian w zabezpieczeniach na podstawie doświadczeń zebranych po danym ataku czy infekcji.

20 11

PROCESU OCHRONY

Rynek rozwiązań do ochrony urządzeń końcowych jest już bardzo dojrzały i charakteryzuje się dużą konkurencją. W tzw. magicznym kwadracie Gartnera dotyczącym producentów tych systemów znalazło się aż 18 ﬁrm. Jednym ze skutków tego stanu rzeczy są spadające marże, ale to wciąż jest dobry biznes, a sprzedawcy nadal mają okazje do uzyskania przyzwoitych dochodów. Dostarczając klientowi zabezpieczenia stacji roboczych, można zbudować z nim relację, która umożliwi sprzedaż innych produktów, np. do ochrony baz danych czy aplikacji. Program antywirusowy pełni jedynie rolę ochronną i nie służy użytkownikowi do realizacji żadnych zadań. Powinien zapewniać bezpieczeństwo i skutecznie eliminować zagrożenia, ale nie może nadmiernie angażować administratora ani utrudniać użytkownikom korzystania z komputerów. Dlatego wiele zalet ma oferowanie antywirusa w formie usługi chmurowej. Z punktu widzenia klienta odpada konieczność wdrożenia tego oprogramowania i zarządzania nim, atrakcyjne mogą również okazać się koszty. W przypadku małych i średnich ﬁrm, które często używają bezpłatnego oprogramowania antywirusowego, to dobre argumenty, ułatwiające przekonanie ich do przejścia na rozwiązania płatne.

46 39

CZTERY FAZY

Gdzie szukać przychodów?

20 10

edług Gartnera na świecie w 2013 r. przychody ze sprzedaży rozwiązań do ochrony urządzeń końcowych wzrosły o 2 proc. Jednocześnie analitycy wskazują, że przytoczony wynik to efekt raczej różnego typu operacji księgowych, a nie faktycznej poprawy popytu. Liczba licencji sprzedanych w 2013 r. może napawać większym optymizmem, bo zwiększyła się o 6 proc. Rozbieżność między wynikiem wartościowym a ilościowym powstała przede wszystkim w efekcie spadku cen licencji. Jest to szczególnie ciekawe ze względu na fakt, że w tym samym czasie producenci pakietów ochronnych nie przestawali rozszerzać ich możliwości. Z raportów IDC wynika, że rynek oprogramowania do ochrony urządzeń końcowych będzie rósł głównie dzięki konieczności zabezpieczania środowisk wirtualnych i urządzeń mobilnych. Analitycy tej ﬁrmy badawczej są bardziej optymistyczni niż ich koledzy z Gartnera i prognozują, że do 2018 r. sprzedaż na tym rynku będzie rosła średnio o 5,1 proc. rocznie (Gartner stawia raczej na 2 proc.). Obecnie większość produktów traﬁa do użytkowników prywatnych. Jednak według prognoz to sprzedaż klientom korporacyjnym ma rosnąć najszybciej i zwiększać swój udział w całości przychodów.

Źródło: National Vulnerability Database

VADEMECUM CRN wrzesień 2015

Txt_bezpieczenstwo_urzadzenia_koncowe.indd 31

2015-09-14 22:25:59

OCHRONA PRZED ZŁOŚLIWYM OPROGRAMOWANIEM NOWE SPOJRZENIE NA ANTYWIRUSA

Korporacyjne i konsumenckie oprogramowanie antywirusowe tradycyjnie korzysta z baz sygnatur. Jeśli producent jest w stanie dostarczać aktualne sygnatury tak samo szybko, jak pojawiają się nowe zagrożenia, to antywirus spełnia swoje zadanie. Jednak obecne tempo „mnożenia się” szkodliwego oprogramowania jest tak duże, że kompletnie przekracza możliwości dostawców zabezpieczeń. Tak uważa chociażby sam Mikko Hypponen, Chief Research Oﬃcer w F-Secure. Również wiceprezes Symanteca Brian Dye stwierdził bez ogródek, że „antywirus jest martwy”. Ponadto ten rodzaj oprogramowania jest bezsilny w przypadku ataków zero-day. Wydaje się jednak, że mimo wszystko za wcześnie jest na ogłaszanie śmierci antywirusów. Zdaniem niektórych ekspertów opinia o końcu stosowania tych programów jest słuszna tylko w odniesieniu do środowiska korporacyjnego. Absolutnie nie dotyczy rynku małych i średnich ﬁrm oraz użytkowników prywatnych. W dużych przedsiębiorstwach oprogramowanie antywirusowe stanowi tylko jedną z wielu warstw zabezpieczeń. W segmencie konsumenckim oraz MŚP sytuacja wy-

MACIEJ MIERZEJEWSKI dyrektor ds. klientów korporacyjnych, Panda Security

Ostatnia fala ataków Cryptolockera wykazała nieskuteczność rozwiązań opartych na sygnaturach. Nieodporność na proste techniki obejścia oraz długi czas przygotowania i dystrybucji sygnatur powodują, że rynek szuka skuteczniejszych zabezpieczeń. Zgodnie z oczekiwaniami, rozwiązania do ochrony urządzeń końcowych rozwijają się i oferują następujące innowacyjne techniki: monitorowanie podejrzanych akcji uruchamianych procesów, kontrolowanie aplikacji i uruchamianie wyłącznie znanego lub zaufanego kodu oraz wykonywanie podejrzanych procesów w izolowanym środowisku.

gląda inaczej. Ci klienci rzadko wdrażają wielowarstwowe rozwiązania. Zamiast tego korzystają z jednej warstwy, którą najczęściej jest właśnie antywirus. Nie ma też wątpliwości, że sygnatury długo jeszcze będą wykorzystywane w systemach bezpieczeństwa, zapewniając ﬁrmom ochronę przed znanymi zagrożeniami. Zwłaszcza że zaczęto stosować nowe rozwiązania, które składają się z agenta antywirusowego oraz oprogramowania działającego w chmurze. Zadaniem agenta jest wyszukiwanie nowych plików i przesyłanie ich sum kontrolnych do centrum obliczeniowego w chmurze. To zapewnia natychmiastową analizę oraz przesłanie informacji zwrotnej do urządzenia. Systematycznie będzie rosło znaczenie mechanizmów wykrywających szkodniki na podstawie charakterystycznego dla nich zachowania. Obecnie tego typu algorytmy heurystyczne są stosowane w systemach IDS/IPS, ale będą również wdrażane przez producentów antywirusów. W przypadku zabezpieczeń sieciowych nacisk kładzie się na analizę aktywności w sieci, a nie na sposób działania samego kodu. Producenci antywirusów prowadzą już jednak badania, aby takie mechanizmy dostosować do specyﬁki właściwej dla ochrony urządzeń końcowych. Muszą jednak rozwiązać problem nadmiernej liczby fałszywych alarmów. Wprawdzie tego rodzaju błędy będą występować zawsze, ale w najbliższym okresie powinno się udać ograniczyć ich liczbę. Szkodniki stają się coraz bardziej zaawansowane, więc nowe sposoby ich wykrywania są wręcz niezbędne.

KONIECZNA KONWERGENCJA

Do ochrony urządzeń końcowych ﬁrmy najczęściej stosują zintegrowane pakiety, które zawierają, oprócz antywirusa, osobistą zaporę sieciową oraz HIPS (Host-based IPS). Poza tym użytkownik może korzystać z kilku innych narzędzi, np. mechanizmu sprawdzającego, czy uruchamiane są tylko zaakceptowane aplikacje. Analitycy Gartnera przewidują, że rozwiązania zabezpieczające przed wyciekiem danych (DLP), a także do za-

rządzania sprzętem mobilnym (MDM) oraz wykrywania luk, coraz częściej będą wchodzić w skład pakietów do ochrony urządzeń końcowych. Docelowo zaś staną się integralną częścią tych pakietów. Podobnie było z osobistymi ﬁrewallami i oprogramowaniem antyszpiegowskim. W najnowszej ankiecie przeprowadzonej przez Gartnera aż 40 proc. menedżerów odpowiedziało, że korzysta z wielu zabezpieczeń od jednego producenta lub aktywnie konsoliduje różne rozwiązania. Najszybciej postępuje integracja z systemami do ochrony urządzeń mobilnych. Wiele małych i średnich ﬁrm kupuje rozwiązania MDM od tego samego producenta, który dostarcza im rozwiązania

Środowiska wirtualne napędzają sprzedaż systemów zabezpieczeń. do ochrony urządzeń końcowych. Natomiast w dużych przedsiębiorstwach system MDM jest wybierany niezależnie.

BEZPŁATNE GÓRĄ Im większa liczba producentów zapór sieciowych, antywirusów i systemów IDS/IPS, z którymi mają do czynienia klienci, tym bardziej złożona jest praca administratorów. Jeśli dział IT będzie przekonany o coraz mniejszej skuteczności oprogramowania antywirusowego, zacznie skłaniać się do wyboru tańszego produktu, nie widząc uzasadnienia dla inwestowania w produkt droższy, ale mało skuteczny. Firma Palo Alto Networks przeprowadziła ankietę wśród 555 swoich klientów, w której padło m.in. pytanie: „czy rozważacie państwo przejście na bezpłatne, korporacyjne oprogramowanie antywirusowe, aby w ten

VADEMECUM CRN wrzesień 2015

Txt_bezpieczenstwo_urzadzenia_koncowe.indd 32

2015-09-14 22:26:10

Bezpieczny powrót do szkoły z Pakietem Edukacyjnym Bitdefender Od 199,00 zł netto / rok Pakietem edukacyjnym Bitdefender można zarządzać z poziomu przeglądarki. Konsola pozwala na zdalne zainstalowanie oprogramowania antywirusowego oraz skonﬁgurowanie ochrony i aktualizację.

Sprawdź ofertę dla siebie: www.bitdefender.pl/pakiet-edukacyjny Masz pytania? Z chęcią na nie odpowiemy: Napisz: kontakt@marken.com.pl lub zadzwoń: +48 58 667 49 49

1-1 CRN.indd 1

8/31/15 3:45 PM

OCHRONA PRZED ZŁOŚLIWYM OPROGRAMOWANIEM sposób zaoszczędzić środki na bardziej zaawansowane mechanizmy ochrony stacji roboczych?”. Aż 44 proc. ankietowanych odpowiedziało, że zastanawia się nad taką decyzją lub już ją podjęło. Jak bardzo popularne jest bezpłatne oprogramowanie antywirusowe, pokazuje raport opublikowany w styczniu 2015 r. przez ﬁrmę Opswat. W przedstawionym tam zestawieniu cztery pierwsze miejsca zajmują darmowe antywirusy, które razem mają ponad 46,3 proc. udziału w rynku (na liście nie ma Windows Defendera, ponieważ jest integralną częścią Windows 8.1). Raport został opracowany na podstawie danych zebranych z 4 tys. komputerów, z których 63,8 proc. to komputery ﬁrmowe, a pozostałe 36,2 proc. stanowią urządzenia należące do użytkowników domowych.

o nowe techniki ochronne. Sytuację może również poprawić skrócenie czasu obowiązywania licencji. Klient związany trzyletnią licencją, która nie ułatwia mu zmiany dostawcy, będzie coraz bardziej niezadowolony ze stosowanego obecnie produktu. Kolejnym interesującym rozwiązaniem byłaby współpraca między producentami sprzętowych, sieciowych zabezpieczeń a dostawcami programowych antywirusów. Takie konsorcja mogłyby oferować pakiety składające się z systemów IPS/IDS z wbudowanymi sprzętowymi funkcjami zapory sieciowej i antywirusa, uzupełnionymi o podobne rozwiązania przeznaczone do instalacji w urządzeniach końcowych.

NIE TYLKO WINDOWS WARTO SKRÓCIĆ CZAS LICENCJI? Jeśli producenci tradycyjnych antywirusów chcą pozostać konkurencyjni w segmencie rozwiązań korporacyjnych, powinni nadal obniżać ceny oraz rozszerzać możliwości tego oprogramowania

Większość klientów biznesowych, wybierając rozwiązanie do ochrony urządzeń końcowych, szuka nie tylko produktów zabezpieczających komputery z systemem Windows, lecz również chroniące serwery i różne urządzenia mobilne z systemami Android, iOS oraz Mac OS. Wśród zabezpieczeń serwerów

NAJPOPULARNIEJSZE PROGRAMY ANTYWIRUSOWE Microsoft Security Essentials 17,8%

pozostałe 35,7%

avast! Free Antivirus 17,6%

Comodo Antivirus 1,9%

Avira Free Antivirus 5,9%

Spybot Search & Destroy 2,1%

AVG Anti-Virus Free Edition 5,0%

McAfee VirusScan Enterprise 2,2% Kaspersky Internet Security 2,2%

McAfee VirusScan 3,6% Norton 2,4%

Symantec Endpoint Protection 3,6% Źródło: Opswat, styczeń 2015

KRZYSZTOF GOŁDA Channel Manager, Trend Micro

w wyborze rozwiązania do ochrony urządzeń końcowych klient powinien kierować się przede wszystkim skutecznością oprogramowania – nie jego ceną lub liczbą dostępnych opcji. Kluczowe jest to, czy rozwiązanie radzi sobie z aktualnymi zagrożeniami. Przed podjęciem decyzji warto zapoznać się z wynikami testów niezależnych organizacji, na przykład NSS Labs. Ponieważ klienci często zakładają, że wszyscy producenci mają tak samo skuteczne oprogramowanie, wybierają najtańsze. Nie jest to właściwa droga.

największym popytem cieszą się rozwiązania służące do ochrony maszyn wirtualnych oraz specjalizowanych aplikacji ( jak Microsoft Exchange i SharePoint) oraz systemów Linux i Unix. Według Gartnera korporacje najchętniej kupują rozwiązania tej klasy trzech ﬁrm: Symanteca, Intel Security (dawniej McAfee) oraz Trend Micro. W kategorii liderów analitycy wymieniają jeszcze dwa przedsiębiorstwa: Kaspersky Lab oraz Sophos. Warto też wspomnieć o chińskiej ﬁrmie Qihoo 360, która wprawdzie znana jest prawie wyłącznie w Państwie Środka, ale ma tam aż 400 mln użytkowników. Niewykluczone jednak, że jej rozwiązania za kilka lat pojawią się również w Polsce, ponieważ producent snuje plany globalnej ekspansji. Za kilka lat duże zmiany na rynku zabezpieczeń urządzeń końcowych może spowodować malejąca liczba komputerów ze starszymi wersjami systemu Windows (do wersji 8.1 włącznie), które będą wypierane przez systemy nowej generacji – Windows 10, Windows Runtime, Apple iOS i Mac OS X Mountain Lion. Wskutek tego procesu dzisiejsze pakiety bezpieczeństwa stacji roboczych już niedługo będą przypominać systemy MDM z funkcjami ochrony danych i prywatności użytkowników.

VADEMECUM CRN wrzesień 2015

Txt_bezpieczenstwo_urzadzenia_koncowe.indd 34

2015-09-14 22:26:32

Skuteczniejsza ochrona dzięki kontroli procesów Działanie oprogramowania Panda Adaptive Defense polega na monitorowaniu uruchomionych procesów i porównywaniu ich z katalogiem bezpiecznych oraz szkodliwych procesów, zawierającym obecnie ponad 1,2 mld pozycji. OCHRONA W TRZECH ETAPACH Panda Adaptive Defense chroni użytkowników w trzech etapach. W pierwszym odbywa się rozpoznanie i klasyfikacja wszystkich procesów uruchomionych przez programy na stacjach roboczych – etap ten może trwać nawet dwa tygodnie. W tym czasie każde zdarzenie jest katalogowane (opisuje je ponad 2 tys. parametrów), a rezultat archiwizowany w chmurze. Na tym etapie weryfikowane są takie akcje inicjowane przez procesy jak: pobieranie plików, instalacja programów, aktualizacja sterowników, ładowanie bibliotek, budowanie usług oraz tworzenie i usuwanie plików, katalogów i pozycji rejestru. W drugim etapie odbywa się analiza procesów uruchomionych na stacjach roboczych, bazujących na technikach Data Mining oraz Big Data – automatyczny mechanizm klasyfikuje pliki wykonywalne z dokładnością 99 proc. Jeżeli klasyfikacja automatyczna się nie powiedzie, dokonuje jej ekspert Panda Labs. Bezpieczeństwo każdego procesu określa się na podstawie jego przebiegu, klasyfikacja zapewnia ocenę procesu w ciągu 24 godzin, a w przypadku oceny negatywnej uruchomienie kodu jest blokowane.

PORÓWNANIE SKUTECZNOŚCI ANTYWIRUSÓW SYGNATUROWYCH I MECHANIZMU ADAPTIVE DEFENSE Panda Adaptive Defense Skuteczność ochrony

Antywirus sygnaturowy

Tryb Standard

Tryb Extended

W ciągu 24 godzin od pojawienia się nowego zagrożenia

82%

98,8%

100%

W ciągu 7 dni od pojawienia się nowego zagrożenia

93%

100%

W ciągu 3 miesięcy od pojawienia się nowego zagrożenia

98%

100%

Generowanie fałszywych alarmów

tak

nie

W trzecim etapie blokowane są podejrzane lub niebezpieczne procesy, a administratorzy powiadamiani o zagrożeniach. Nieklasyfikowane procesy blokuje się do chwili potwierdzenia ich nieszkodliwości, dzięki czemu jedynie zaufane aplikacje mają dostęp do danych i do wrażliwych funkcji systemu operacyjnego. W trybie standardowym użytkownik może uruchomić niesklasyfikowany proces, świadomie podejmując ryzyko. W trybie rozszerzonym rozwiązanie nie zezwoli na taką akcję. Tryb działania systemu ochronnego administrator systemu konfiguruje niezależnie dla każdego użytkownika lub grupy.

PANDA WARTA

UWAGI

Rozwiązanie Panda Adaptive Defense przeznaczone jest dla klientów używających kilkuset i większej liczby komputerów. Jego innowacyjność i skuteczność docenili analitycy Gartnera, umieszczając Pandę w kwadracie wizjonerów (raport „Magic Quadrant for Endpoint Protection Platforms” z grudnia 2014 r.). Podkreślili, że Panda „rozwija i udostępnia zaawansowane narzędzia, niezbędne na wszystkich etapach zabezpieczania stacji roboczych, poczty czy zasobów sieciowych”. Wskazali też, że inwestycja w rozwiązania Panda Security jest warta rozważenia przez ﬁrmy i instytucje poszukujące skutecznego, łatwo zarządzalnego, dostępnego w chmurze rozwiązania ochronnego.

Dodatkowe informacje: MACIEJ MIERZEJEWSKI, DYREKTOR DS. KLIENTÓW KORPORACYJYCH, PANDA SECURITY, MACIEJ.MIERZEJEWSKI@PL.PANDASECURITY.COM VADEMECUM CRN wrzesień 2015

adv_Panda.indd 35

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ PANDA SECURITY.

anda Adaptive Defense pozwala na uruchamianie jedynie bezpiecznego kodu. Skutecznie zabezpiecza przed atakami bezpośrednimi, zero-day oraz eliminuje zagrożenia, wobec których antywirusy sygnaturowe bywają bezradne ze względu na opóźnienie w dystrybucji sygnatur (m.in. wszelkie mutacje Cryptolockera). Rozwiązanie należy do klasy Endpoint Detection and Response, podczas gdy standardowa ochrona sygnaturowa realizowana jest przez platformy typu Endpoint Protection. Praktyka dowodzi, że monitorowanie środowiska produkcyjnego jest skuteczniejsze niż analiza bazująca na regułach tworzonych w laboratoriach R&D. Chroniący stację roboczą agent Panda Adaptive Defense nie obciąża zasobów komputera, nie prowadzi skanowania plików ani uaktualniania sygnatur. Nie wymaga (tak jak rozwiązania typu whitelist) zarządzania listą bezpiecznych aplikacji przez administratora. Ocena procesów została w znacznej mierze zautomatyzowana, odpowiedzialność spoczywa na specjalistach z Panda Labs. Dostawca gwarantuje, że czas oceny bezpieczeństwa nieskatalogowanego procesu nie przekroczy 24 godzin.

2015-09-10 22:06:28

OCHRONA PRZED ZŁOŚLIWYM OPROGRAMOWANIEM

Sophos Galileo zabezpiecza sieci, serwery i urządzenia pracowników Dzięki stworzonemu przez Sophos modelowi ochrony danych Galileo partnerzy zyskują ogromną przewagę konkurencyjną. Mogą dostarczyć kompleksowe rozwiązanie oferowane przez jednego producenta, centralnie zarządzane i zapewniające ochronę we wszystkich obszarach funkcjonowania przedsiębiorstwa.

pecjaliści zajmujący się kwestiami ochrony informacji zauważają, że oferowane obecnie rozwiązania zabezpieczające systemy IT i dane są niewystarczające, zbyt skomplikowane i nieefektywne. Praktycznie wszystkie raporty wskazują, że rezultatem tego stanu rzeczy jest pojawianie się coraz większej liczby incydentów, takich jak włamania do systemów i kradzież danych. Problem zaczyna dotykać wiele przedsiębiorstw z sektorów finansowego, medycznego i edukacji oraz instytucji rządowych, ale także sieci sprzedaży. Coraz więcej ataków odnotowywanych jest też w małych firmach.

SOPHOS NA TRZECH FILARACH Obserwując zmagania firm z rosnącymi wymaganiami dotyczącymi ochrony systemów IT, Sophos postanowił zbudować nowy, centralny model zabezpieczeń, bazujący na trzech filarach. A zatem rozwiązanie ochronne musi być: 1. wszechstronne i kompletne – powinno zawierać wszystkie niezbędne składniki i funkcje, aby zaspokoić potrzeby przedsiębiorstw; 2. łatwe w obsłudze – prostota potrzebna jest we wszystkich obszarach, zarówno w procesie wdrażenia, w zarządzaniu i zapewnianiu dostępu użytkownikom, jak i w zakresie licencjonowania i wsparcia technicznego; 3. bardziej efektywne jako system – nowe funkcje są skuteczniejsze, gdy działają wspólnie i wymieniają informacje, a nie kiedy pracują jako niezależne produkty.

VADEMECUM CRN wrzesień 2015

ROBERT WŁODARCZYK dyrektor handlowy, AKBIT

Galileo to bardzo dobre, innowacyjne rozwiązanie firmy Sophos, ułatwiające przedsiębiorstwom sprostanie wyzwaniom, które stoją przed nimi dzisiaj i tymi, które pojawią się w przyszłości. Dlatego partnerzy powinni się nim zainteresować i budować u klientów świadomość istnienia rozwiązań wykraczających poza klasyczne systemy zabezpieczeń. Już teraz widzimy, że resellerzy promujący model Sophos Galileo są skuteczniejsi w prowadzeniu projektów mających na celu zwiększenie bezpieczeństwa firm. Wynika to przede wszystkim z faktu, że mogą zaoferować klientowi bardziej kompleksową ochronę newralgicznych elementów infrastruktury.

Inżynierom firmy Sophos udało się spełnić wszystkie wymienione warunki. Zapoczątkowano projekt Galileo, który scala rozwiązania sieciowe producenta, specjalnie zaprojektowane zabezpieczenia dla serwerów oraz bogaty w funkcje system ochrony użytkownika końcowego (wszystkie narzędzia znajdują się na zunifikowanej platformie Sophos Cloud). W rezultacie powstało kompletne rozwiązanie, proste w zarządzaniu, działające

jako jeden spójny system bezpieczeństwa, lepiej chroniący przedsiębiorstwa przed nowoczesnymi zagrożeniami – zarówno przed inteligentnym malware, jak i coraz powszechniejszymi zaawansowanymi atakami typu APT. Efekty pracy inżynierów tworzących projekt Galileo widać w rozwiązaniach Sophos już od początku 2015 r.

STRAŻNICY

MUSZĄ WSPÓŁPRACOWAĆ

Integracja wielu rozwiązań i objęcie ich jedną prostą konsolą zarządzającą wpływa na obniżenie kosztów, upraszcza budowanie skutecznych polityk bezpieczeństwa i ułatwia efektywniejsze zarządzanie. Tradycyjne, wielowarstwowe systemy zabezpieczeń są jak budynek biurowy chroniony przez dwóch strażników: pierwszego na zewnątrz, a drugiego w środku. Oczywiście ma to sens, ponieważ jeśli pierwszy strażnik przeoczy zagrożenie, drugi nadal ma szansę na zatrzymanie intruza. Jeśli jednak strażnicy nie komunikują się ze sobą i działają zupełnie niezależnie, intruz może ominąć każdego z nich i dokonać zaplanowanego przestępstwa. Natomiast gdy wyposażymy strażników w komunikację radiową i wytrenujemy ich do działania jako zespół, efekty będą dużo lepsze. Jeśli strażnik w środku budynku zauważy coś podejrzanego, np. kogoś wybiegającego z gmachu, poinformuje kolegę na zewnątrz i ten zablokuje wszystkie wyjścia. Dzięki niewielkim

REALIZACJA PROJEKTU GALILEO SOPHOS Sophos prowadzi obecnie beta testy zupełnie nowego firmware’u UTM o nazwie kodowej Copernicus. Jest to innowacyjne i zupełnie inne podejście do tematu bezpieczeństwa, gdzie z poziomu interfejsu UTM zarządzamy także usługami chmurowymi a wszystko w oparciu o obiekty użytkowników. Nowy firmware stanowi podstawę projektu Galileo. Oficjalna premiera nowej wersji firmware’u Copernicus V1.0 przewidywana jest na IV kw. 2015 r. Projekt Galileo nie jest produktem, lecz raczej wizją zintegrowanych systemów bezpieczeństwa, scalonych w jedną spójną platformę. Dzięki niej rozwiązanie UTM wymienia informacje z systemem ochrony stacji roboczych i może lepiej reagować na zaistniałą sytuację, np. kiedy stacja pracownika zostanie zainfekowana. System wykrywania informuje o zagrożeniu mechanizm ochrony stacji końcowej, który podejmuje niezbędną akcję, a jednocześnie powiadamia administratora systemu i uniemożliwia zainfekowanemu hostowi dostęp do Internetu. W międzyczasie narzędzie w stacji końcowej identyfi kuje i blokuje aplikację wpływającą na zmianę poziomu bezpieczeństwa, a następnie przesyła raport o podjętej akcji i jej efekcie zarówno do systemu UTM, jak i do administratora. W ten sposób zaawansowane zagrożenie zostanie szybko wyeliminowane, bez szczególnego angażowania zespołu IT. Podobnej integracji z innymi rozwiązaniami bezpieczeństwa podlega system zarządzania urządzeniami mobilnymi – Sophos Mobile Control.

Sophos Cloud

Ochrona Endpoint następnej generacji

Ochrona sieciowa następnej generacji

synchronizacja

SOPHOS LABS W celu pełnego wykorzystania potencjału platformy ﬁrmy Sophos założenia projektu Galileo będą stosowane także w rozwiązaniach ochronnych, które zostaną udostępnione w kolejnych miesiącach. Przykładem może być tutaj „centrum naruszeń”, zintegrowane w Sophos Cloud, które zbiera podejrzane zdarzenia z wielu stacji końcowych, serwerów i urządzeń sieciowych. Mogą to być różnego typu zdarzenia, np. próba uruchomienia aplikacji, nieudana ze względu na niewystarczające uprawnienia, lub próba wykonania jakiegoś kodu albo nawiązania połączenia sieciowego z serwerem zbierającym dane z aplikacji malware’owych przez aplikację niewymienioną na białej liście wybranego serwera. Bazując na analizie danych i ekspertyzie wysokiej klasy specjalistów z Sophos Labs, „centrum naruszeń” będzie korelować wszystkie zebrane zdarzenia i identyﬁkować zainfekowane systemy lub przypadki naruszenia sieciowej polityki bezpieczeństwa. Ze względu na fakt, że Sophos Cloud oferuje prostą, ujednoliconą administrację szeregu połączonych produktów, wybra-

ne elementy systemu (np. szyfrowanie plików, automatyczne usuwanie malware’u, izolacja sieci) będą zapewniały wiele różnych mechanizmów kontroli. Tym samym zabezpieczanie danych zostanie uproszczone, a ryzyko ponownego ataku zminimalizowanie. W efekcie możliwa będzie lepsza prewencja, wykrywanie i rozwiązanie problemu zaawansowanych zagrożeń (APT) oraz eliminowanie inteligentnego malware’u – wszystko za pomocą prostej konsoli chmurowej. Sophos proponuje przetestowanie wszystkich swoich rozwiązań w pełnej wersji przez okres 30 dni. Dzięki temu każdy może się przekonać, czy użytkowane przez niego systemy zapewniają tak samo kompletną ochronę i proste zarządzanie, przy zachowaniu optymalnych kosztów utrzymania.

Dodatkowe informacje: ROBERT WŁODARCZYK, DYREKTOR HANDLOWY, AKBIT, SALES@AKBIT.PL VADEMECUM CRN wrzesień 2015

adv_AKBIT-Sophos.indd 37

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI SOPHOS I AKBIT.

nakładom i zapewnieniu komunikacji, bezpieczeństwo całego budynku zwiększa się bardzo widocznie. Wraz ze wzrostem liczby skomplikowanych zagrożeń i ataków z wykorzystaniem wielu technik omijania zabezpieczeń, coraz trudnej sprawić, aby pojedyncze warstwy systemów ochronnych były skuteczne. Dlatego rozwiązania te powinny współpracować i wymieniać niezbędne informacje. Wtedy nie tylko zapewnią prostszą ochronę, ale przede wszystkim uczynią ją bardziej efektywną.

2015-09-10 22:09:12

OCHRONA PRZED ZŁOŚLIWYM OPROGRAMOWANIEM

Profesjonalna ochrona systemów IT od Symanteca Podział Symanteca i wydzielenie z niego ﬁrmy Veritas przynosi wiele zmian, także dla partnerów. W portoﬂio dostawcy pozostaną głównie rozwiązania ochronne, a resellerów zacznie obowiązywać nowy program partnerski.

edług prowadzonych przez Symanteca statystyk ponad 60 proc. ataków skierowanych jest przeciwko małym i średnim firmom, ze względu na ich słabsze niż w dużych przedsiębiorstwach zabezpieczenia oraz brak polityki bezpieczeństwa. Hakerzy szukają tam nie tylko dokumentów stanowiących własność intelektualną, ale także wartościowych informacji o większych kontrahentach firmy, do których włamanie będzie korzystniejsze. Coraz popularniejszą metodą zarabiania, stosowaną przez hakerów, są też ataki typu ransomware. Polegają one na szyfrowaniu danych użytkownika, a następnie wymuszaniu zapłaty za ich odszyfrowanie. W dodatku, według zebranych przez Symanteca danych, przestępcy nie zawsze po otrzymaniu okupu dotrzymują słowa. W ostatnim czasie spadła ilość wysyłanego spamu, znacznie wzrosła natomiast liczba niebezpiecznych linków zamieszczanych na portalach społecznościowych. Skuteczność takiej metody zdecydowanie się zwiększa, jeżeli link jest zamieszczony jako „ciekawy i zaufany” i przesyłany od znajomego. Ostatnie lata to także eksplozja zagrożeń urządzeń mobilnych z systemem Android. Ponad milion aplikacji zawiera złośliwy kod, który może np. wysyłać bez wiedzy właściciela SMS-y na płatne numery. W oficjalnym sklepie Google Play jest też ponad dwa miliony aplikacji, które nie są zalecane, gdyż bombardują użytkownika reklamami.

OCHRONA W WIELU WARSTWACH Planując system ochrony środowiska IT nawet w małej ﬁrmie, warto pamiętać, że samo zabezpieczenie komputerów za pomocą pakietu antywirusowego nie jest

już wystarczające. Ataki na sieci firmowe przeprowadzane są głównie ze względu na wartość trzymanych tam danych. Zatem sieć powinna mieć charakter twierdzy, która potrafi samodzielnie obronić się przed przynajmniej podstawowymi atakami. Taką kompleksową ochronę można uzyskać, zapewniając warstwowość instalowanych rozwiązań chroniących sieć, co będzie jednocześnie oznaczać, że niektóre sposoby obrony powielą się w kilku różnych punktach. Właśnie to jest gwarancją wysokiej odporności firmowej infrastruktury. Symantec, promując ideę warstwowego zabezpieczania, dostarcza nie tylko oprogramowanie o nazwie Endpoint Protection, chroniące komputery i serwery, ale również pakiety produktów, takie jak Protection Suite, które zapewniają filtrowanie ruchu wchodzącego i wychodzącego z firmy, związanego zarówno z pocztą elektroniczną (rozwiązanie Messaging Gateway), jak i z dostępem do Internetu (Web Gateway). Ochronę dodatkowo

wzmacniają rozwiązania instalowane na serwerach pocztowych lub serwerach plików, takie jak Mail Security oraz Protection Engine for NAS/Sharepoint. Dopełnieniem systemów zabezpieczeń w firmach klientów powinno być rozwiązanie łączące możliwości poszczególnych metod ochrony, takie jak Advanced Threat Protection (premiera w październiku), które w przypadku udanego ataku wyodrębni zagrożenie i zautomatyzuje proces naprawy szkód. Warstwowy model ochrony, połączony z inteligentną analizą zdarzeń (np. procesu włamania), umożliwia rekcję zanim dojdzie do wycieku lub utraty danych, a – co za tym idzie – szkód często liczonych w milionach złotych. Oczywiście Symantec oferuje znacznie więcej niż ochronę sieci czy infrastruktury. Proponuje także rozwiązania klasy Data Leak Prevention (dzięki którym firma uchroni się przed wyciekiem dóbr intelektualnych), oprogramowanie do szyfrowania danych metodą PGP, ochrony urządzeń oraz aplikacji mobilnych (Mobility Suite) i zarządzania nimi. Produkty z rodziny Altiris umożliwiają również zarządzanie infrastrukturą IT, w tym oprogramowaniem, licencjami i cyklem życia systemów, a także certyfikatami bezpieczeństwa i tokenami z hasłami jednorazowymi.

ZMIANY W PROGRAMIE PARTNERSKIM

Prowadzone dotychczas przez Symanteca programy partnerskie oraz dostarczane narzędzia wsparcia sprzedaży uwzględniały dwa zupełnie odrębne światy: kopii zapasowych i ochrony informacji. Partnerzy skarżyli się, że z tego powodu zarówno program partnerski, jak i narzędzia Symanteca, np. do rejestracji projektów

VADEMECUM CRN wrzesień 2015

adv_Symantec_1.indd 38

2015-09-10 22:11:16

Trzy pytania do… JANUSZA MIERZEJEWSKIEGO, KONSULTANTA PRZEDSPRZEDAŻY, SYMANTEC CRN Wiele firm IT nadal nie jest świadomych wagi zmian w Symantecu, które już niebawem staną się rzeczywistością. Jaki będą miały wpływ na współpracę z partnerami biznesowymi oraz portfolio producenta? JANUSZ MIERZEJEWSKI Zgodnie ze strategią ogłoszoną przez Symanteca we wrześniu 2014 r., do końca bieżącego roku firma podzieli portfolio produktów między obecną markę a nowo utworzoną firmę Veritas. Ponieważ obydwa podmioty będą osobnymi, niezależnymi spółkami, także wewnętrzne zasoby ulegną rozdzieleniu, czego efekty już widać także w polskim oddziale. Pod szyldem Symantec pozostaną rozwiązania bezpieczeństwa informacji i tożsamości, firma Veritas przejmie rozwiązania z zakresu kopii zapasowych, archiwizacji, wysokiej dostępności i zarządzania informacją. Dla naszych partnerów handlowych i dystrybucyjnych oznacza to jedynie konieczność uczestniczenia w dwóch odrębnych programach partnerskich, ale za to z pewnością podniesie ich konkurencyjność,a tym samym zyski. CRN Jakie zmiany zajdą w ofercie Symanteca? JANUSZ MIERZEJEWSKI W ciągu najbliższych miesięcy zostaną wprowadzone do niej zupełnie nowe produkty. Pojawią się także nowe wersje obecnie oferowanych rozwiązań, część z nich w wersji chmurowej lub jako urządzenie typu appliance instalowane w modelu „podłącz i działaj”. Wiele produktów zostanie zmodyfikowanych – celem jest uproszczenie portfolio, ale nie jego ograniczenie. Przykładem może tu być Ghost Solution Suite oraz Deployment Solution, które połączono w jeden produkt – Ghost Solution Suite 3.0. Dopełnieniem będzie nowy pakiet usług typu Security as a Service. Ma to na celu zapewnienie klientom kompleksowej ochrony – od produktu przez konsulting, aż po wsparcie w przypadku incydentów związanych z naruszeniem bezpieczeństwa. CRN Co jest głównym celem tych zmian? JANUSZ MIERZEJEWSKI Z badań, które Symantec publikuje co roku w ramach raportu „Internet Security Threat Report”, wynika, że zorganizowane grupy przestępcze odchodzą od dystrybucji masowo rozprzestrzeniającego się złośliwego kodu o niskiej skuteczności na rzecz skoncentrowanych na konkretnym podmiocie działań, przygotowanych w określonym celu, np. kradzieży danych i ich sprzedaży na czarnym rynku. Dlatego chcemy zapewnić klientom rozwiązania do ochrony informacji oraz zarządzania nią, kontroli bezpieczeństwa oraz infrastruktury. Mają być odpowiednie dla każdego typu przedsiębiorstwa, niezależnie od tego, czy jego infrastruktura składa się z urządzeń fizycznych czy wirtualnych, dane przechowywane są lokalnie czy w chmurze, czy korzysta z urządzeń stacjonarnych, laptopów czy ze smartfonów lub tabletów.

Dodatkowe informacje: JANUSZ MIERZEJEWSKI, KONSULTANT PRZEDSPRZEDAŻY, SYMANTEC, JANUSZ_MIERZEJEWSKI@SYMANTEC.COM

VADEMECUM CRN wrzesień 2015

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ SYMANTEC.

(Marginbuilder), a także zasady licencjonowania są skomplikowane i często rodzą wątpliwości. Dlatego, aby dostosować te narzędzia do nowej strategii, w ramach której wydzielona została firma Veritas, od 1 października br. będzie obowiązywał nowy, prostszy i jednocześnie korzystniejszy dla partnerów program. Będą mogli uzyskać jeden z czterech statusów (Registered, Silver, Gold i Platinum) oraz wybierać spośród czterech kierunków specjalizacji produktowej: Core Security, Threat Protection, Information Protection oraz Cyber Security Services. Jedna z tych specjalizacji – Core Security – zapewni specjalne upusty sprzedażowe wyłącznie dzięki zrealizowanym obrotom (nie trzeba będzie zdawać egzaminów z wiedzy o produktach). Symantec zwiększył także możliwe do uzyskania rabaty dla partnerów posiadających specjalizacje – do 20 proc. w przypadku produktów podstawowych oraz do 15 proc. ekstra, jako rabat zwrotny związany z transakcjami za ponad 5 tys. dol. Partnerzy nieposiadający żadnej specjalizacji nadal mogą zyskiwać do 10 proc. rabatu, rejestrując projekty za pomocą Marginbuilder. Dla resellerów i integratorów przygotowano także specjalne budżety marketingowe oraz fundusze rozwojowe. Przedstawiciele firmy Symantec deklarują daleko idące wsparcie dla partnerów, którzy chcą specjalizować się w rozwiązaniach ochronnych tego dostawcy. Dzięki temu mogą stać się regionalnym ekspertem technologicznym – nie tylko na własne potrzeby sprzedażowe, ale także, by pełnić rolę integratora kontraktowego dla innych firm partnerskich, nieposiadających dostatecznych zasobów technicznych do wdrożeń lub wykwalifikowanych specjalistów. Promowane są także modele biznesowe wykorzystujące rozwiązania Symantec do budowania lokalnych usług chmurowych. W ten sposób partnerzy mogą tworzyć nowe produkty dla swoich klientów. Dzięki temu ich zyski nie są ograniczone wyłącznie do marży ze sprzedaży. Ich źródłem może być także instalacja i utrzymanie środowiska u klienta, a nawet tworzenie własnych hybrydowych usług w celu zaspokajania indywidualnych potrzeb najbardziej specyficznych kontrahentów.

OCHRONA PRZED ZŁOŚLIWYM OPROGRAMOWANIEM

Dell TPAM: w obronie administratorów i reputacji firmy W kwietniu 2015 r. wykryto włamanie do sieci amerykańskiego Departamentu Spraw Wewnętrznych, w wyniku którego intruz uzyskał poufne dane milionów osób. Działanie hakera mogło zostać udaremnione w bardzo prosty sposób – dzięki wykorzystaniu rozwiązania Dell TPAM. Gwarantuje ono całkowite odseparowanie stacji roboczej, z której nawiązywane jest połączenie, od systemów, z jakimi się ona łączy.

edług informacji amerykańskiego Departamentu Bezpieczeństwa Wewnętrznego i FBI włamywacz najpierw uzyskał nieautoryzowany dostęp do bazy danych i ponad 4,2 mln rekordów z danymi pracowników. Ale na tym nie poprzestał – w drugim wykrytym przypadku atakujący miał bezpośredni dostęp do komputerów pracowników biura, co doprowadziło do znacznie większego wycieku informacji (dane ponad 21,5 mln osób). Do przeprowadzenia największego ujawnionego cyberataku na systemy informatyczne rządu Stanów Zjednoczonych wykorzystano przejęte login i hasło pracownika kontraktowego. Przypadek włamania do amerykańskich serwerów nie jest niczym nowym. Jedynie jego skala czyni je spektakularnym i pokazuje wielkość zagrożenia. Istnieje jednak duża szansa na wyeliminowanie takich zagrożeń. Warto zatem poznać i zastosować zalecenia oraz najlepsze praktyki, które zapewniają ograniczenie ryzyka związanego z udostępnianiem systemów pracownikom ﬁrm zewnętrznych.

NIE

DOPUŚCIĆ OBCYCH

Niejednokrotnie po wygaśnięciu umowy konta współpracowników nie są wyłą-

czane ani usuwane z katalogów korporacyjnych, takich jak np. Active Directory. Równie często konta te przez długi czas pozostają przypisane do grup, dzięki którym współpracownicy mieli zapewniony dostęp do określonych zasobów. Jednak najważniejsze, że takie rozwiązania jak katalog Active Directory nie obejmują swoim mechanizmem zarządzania lokalnymi kontami znajdującymi się w systemach operacyjnych (root, administrator), bazach danych (sa, sys, sysdba) i urządzeniach sieciowych (cisco, admin). A to do nich mają dostęp współpracownicy zewnętrzni, często z wykorzystaniem tych samych reguł bezpieczeństwa, ja-

kie stosowane są w przypadku pracowników wewnętrznych. Tego typu konta powinny być zarządzane za pomocą rozwiązań klasy Privileged Password Management, takich jak oprogramowanie Dell TPAM. Umożliwia ono pełną kontrolę dostępu do kont tzw. superużytkowników oraz zapewnia ochronę i zarządzanie hasłami do tych, często współużytkowanych, kont. Dzięki rozwiązaniu Dell TPAM administrator zyskuje pełną kontrolę nad tym, kiedy współpracownicy korzystają z uprzywilejowanych kont, a po każdym użyciu hasła do takiego konta, może być ono zmienione na zupełnie nowe.

Dell Total Privileged Account Management to system przeznaczony do: • zarządzania kontami współużytkowanymi oraz hasłami do kont użytkowników, • kontroli dostępu zewnętrznych dostawców, • kontroli dostępu programistów do środowiska produkcyjnego, deweloperskiego i testowego, • kontroli kont użytkowników o najwyższych uprawnieniach (Super-User Privilege Management) wykorzystywanych w systemach operacyjnych, aplikacjach, bazach danych oraz urządzeniach sieciowych, • monitorowania komend wykonywanych przez użytkowników w środowisku produkcyjnym, • kontroli i audytu wykorzystania współużytkowanych haseł administracyjnych, • rozwiązywania problemów z wbudowanymi hasłami uprzywilejowanych kont w skryptach oraz aplikacjach.

VADEMECUM CRN wrzesień 2015

adv_Quest-Dell.indd 40

2015-09-10 22:12:55

OGRANICZENIE

DOSTĘPU DO SYSTEMÓW OSOBOM TRZECIM

Kluczowe systemy komputerowe każdej firmy powinny być umieszczone w strefach, do których żaden pracownik – wewnętrzny czy zewnętrzny – nie ma bezpośredniego dostępu. Nawet jeżeli posiada hasła do kont istniejących w tych systemach, jego sesje powinny być nawiązywane pośrednio, za pomocą rozwiązań typu proxy, umożliwiających odseparowanie stacji roboczej od serwera. Daje to gwarancję, że do serwera nie przeniknie potencjalnie zainfekowany kod. Typową praktyką stosowaną w celu zapewnienia bezpiecznego nawiązywania połączenia z chronionymi serwerami jest uruchamianie proxy w sieci VPN. W ten sposób serwery zostają całkowicie odizolowane, a dostęp do nich możliwy jest tylko z adresów IP przypisanych do systemu proxy, co zapewniają odpowiednio skonﬁgurowane reguły polityki bezpieczeństwa na zaporach ogniowych. Rozwiązanie proxy musi zapewniać wprowadzenie mechanizmów kontroli nawiązywania sesji (np. konieczności uzyskania akceptacji nawiązania połączenia przez wyznaczoną osobę), czasu trwania sesji oraz weryﬁkacji tożsamości osoby nawiązującej sesję. Dell TPAM jest przykładem systemu, który łączy wszystkie wymienione cechy. Korzyścią płynącą z zastosowania tego rozwiązania jest wyeliminowanie ryzyka uruchomienia ze stacji złośliwego oprogramowania, które może zostać wykorzystane do uzyskania nieautoryzowanego dostępu do monitorowanych serwerów. TPAM zapewnia również funkcje zarządzania hasłami do kont, za pomocą których zestawiane są połączenia z reje-

Kradzież danych ponad 20 mln osób 9 lipca br. administracja prezydenta Stanów Zjednoczonych ujawniła, że prywatność ponad 21,5 mln osób została naruszona w efekcie spektakularnego włamania do federalnych systemów informatycznych, o wiele bardziej groźnego w skutkach, niż początkowo sądzono. Wynikiem incydentu była kradzież numerów ubezpieczenia społecznego (Social Security Numbers, odpowiednika polskiego PESEL-u), wzorów odcisków palców, adresów zamieszkania, historii chorób i innych prywatnych informacji ponad 19,7 mln obywateli (chodzi o osoby, które podlegały procedurom weryﬁkowania przez urzędników w przypadku ubiegania się o pracę w administracji prezydenta) oraz ponad 1,8 mln danych ich bliskich i znajomych. Według redaktorów „New York Times” kradzież ta miała związek z innym głośnym incydentem, w którym przestępcy zdobyli dane ponad 4,2 mln pracowników federalnych. W obu przypadkach stwierdzono, że haker uzyskał dostęp do systemów informatycznych dzięki temu, że zdobył i wykorzystał login i hasło pracownika zewnętrznego.

strowaniem sesji – po zamknięciu sesji hasło może być automatycznie zmieniane.

BEZPIECZNY TPAM Oprogramowanie Dell TPAM zapewnia automatyzację, kontrolę, rejestrację i zabezpieczenie całego procesu przydzielania i udostępniania pracownikom oraz współpracownikom firmy poświadczeń koniecznych do wykonywania ich obowiązków. To sprawdzone w praktyce rozwiązanie, łatwe do zintegrowania z innymi systemami w środowisku klasy enterprise. Cechuje je maksymalny nacisk na kwestie bezpieczeństwa, bardzo krótki okres wdrożenia, bogate opcje konfiguracyjne oraz przystosowanie do pracy w rozproszonych centrach przetwarzania danych. Jeżeli administratorzy w firmie klienta deklarują, że nie spotkali się z przypadkiem ataku za pomocą „skradzionego” konta, oznacza to tylko, że zarządzany przez nich mechanizm dostępu do kont uprzywilejowanych nie został jeszcze złamany. W klasycznej infrastrukturze nie wystarczy zastosowanie narzędzia, które tylko śledzi aktywność użytkowników korzystających z dostępu do kont. Konieczne jest posiadanie rozwiązania, które nie tylko rejestruje sesje, ale także aktywnie zarządza hasłami do kont uprzywilejowanych i eliminuje ryzyko wykorzystania ich do włamania. Niestety, każda firma powinna założyć, że jest stale narażona na atak i bez mechanizmów ochrony w każdej chwili może stać się jego ofiarą.

Dystrybutorem oprogramowania Dell Software jest wrocławska ﬁrma Quest Dystrybucja. Jako oficjalny Partner Wsparcia Technicznego Dell Software i Value Added Distributor od ponad dziesięciu lat oferuje rozwiązania wspierające zarządzanie środowiskiem IT tego producenta. Quest Dystrybucja zajmuje się zarówno sprzedażą licencji i odnowy pomocy technicznej, jak też zapewnia wsparcie w zakresie implementacji i wykorzystania oferowanego oprogramowania. Inżynierowie dystrybutora wspierają partnerów w projektowaniu i wdrażaniu systemów zarządzania kontami uprzywilejowanymi (PAM) oraz tożsamością i dostępem (IAM). Mają wieloletnie praktyczne doświadczenie zebrane podczas pełnienia obowiązków architektów i analityków systemów oraz bezpośredniego udziału we wdrażaniu systemów zarządzania bezpieczeństwem dostępu do informacji oraz infrastruktury klucza publicznego (PKI).

Dodatkowe informacje: MARIUSZ PRZYBYŁA, KONSULTANT IDM, QUEST DYSTRYBUCJA, M.PRZYBYLA@QUEST-POL.COM.PL VADEMECUM CRN wrzesień 2015

adv_Quest-Dell.indd 41

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI DELL SOFTWARE I QUEST DYSTRYBUCJA.

Zaletą tej metody zarządzania jest również zgromadzenie w jednym miejscu informacji o tym, kto, kiedy i dlaczego uzyskał dostęp do konta uprzywilejowanego. Warto zwrócić także uwagę, że wybrane rozwiązanie powinno zapewniać interfejs programistyczny API umożliwiający integrację mechanizmu zarządzania hasłami i ich repozytorium z systemami i aplikacjami wykorzystywanymi w przedsiębiorstwie.

2015-09-10 22:13:29

KLASYFIKACJA ATAKÓW ŹRÓDŁO ZEWNĘTRZNE (ZDALNE) Atak przeprowadzony z systemu znajdującego się poza siecią ofiary (najczęściej przez Internet).

WEWNĘTRZNE (LOKALNE) Atak przeprowadzony z systemu podłączonego do zagrożonej sieci. Cyberprzestępca musi mieć fizyczny dostęp do sieci lub posiadać konto na jednym z serwerów. Przeważnie zna ludzi oraz politykę wewnętrzną firmy. Nie wszystkie wewnętrzne ataki są celowe, w niektórych przypadkach zagrożenie może sprowadzić niefrasobliwy pracownik, który ściągnie i uruchomi wirusa, czyli nieświadomie wprowadzi go do wnętrza sieci.

ROZPROSZONE Agresor inicjuje wiele jednoczesnych uderzeń na jeden lub wiele celów. Zwykle takie działanie przebiega w dwóch fazach. Początkowo cyberprzstępca musi przygotować węzły, z których atak taki mógłby być przeprowadzony. Polega to na ich znalezieniu i zainstalowaniu oprogramowania, które będzie realizowało właściwą fazę ataku rozproszonego. Cechą charakterystyczną drugiej fazy jest wysyłanie pakietów z węzłów pośredniczących a nie z hosta atakującego. Atak rozproszony charakteryzuje się utajnieniem jego źródła, zmasowaną siłą i wreszcie trudnością w jego zatrzymaniu. Umożliwia cyberprzestępcy poszerzenie wiedzy na temat obranego celu. Klasycznym przykładem tego typu agresji jest DDoS (Distributed Denial of Service).

POŚREDNIE Aby ukryć oryginalne źródła ataku cyberprzestępca wykorzystuje systemy i urządzenia pośredniczące. Najczęściej są to systemy typu open proxy i open relay lub inne rozwiązania, umożliwiające dalsze przekazywanie łączności sieciowej bez odpowiedniego filtrowania. Atak po-

VAD_infografika_1.indd 42

średni może być również przeprowadzony na etapie wykorzystania luk w zabezpieczeniach. Po złamaniu zabezpieczeń zaufanego serwisu WWW, przestępca wykorzystuje go jako źródło rozpowszechniania destrukcyjnych programów używanych następnie do włamywania się do wybranych komputerów.

BEZPOŚREDNIE Atak przeprowadzony bezpośrednio na zagrożone systemy (zdalnie lub lokalnie) bez użycia rozwiązań i urządzeń pośredniczących. Bazuje na wykrytych lukach, których specyfikacja uniemożliwia wykorzystanie pośredników do przekazania strumienia ataku. Taka forma agresji bardzo często jest kierowana na cel za pomocą wcześniej przejętych systemów. W ten sposób cyberprzestępca ma możliwość przeprowadzenia bezpośredniej napaści, a przez pełną kontrolę nad przejętym systemem „atrapą” zatarcia śladów oryginalnego źródła ataku.

SKUTEK UDANY ATAK Uderzenie kończy się osiągnięciem zamierzonego celu, np. przeskanowaniem sieci lub wykryciem luki w firmowym zabezpieczeniu, która może być wykorzystywana do kolejnych napaści czy włamań. Następnie atakujący zaciera za sobą ślady i opuszcza wybrany cel. Udany skutek ataku możemy podzielić na: • aktywny – w wyniku agresji system komputerowy traci integralność (np. atak włamywacza, który usuwa pewną ilość

ważnych danych oraz powoduje zmianę działania programów); ewentualnie możemy mieć do czynienia z modyfikowaniem strumienia danych lub tworzeniem danych fałszywych, • pasywny – polega na wejściu do systemu bez dokonywania w nim żadnych zmian (np. atak włamywacza, który kopiuje pewną ilość ważnych danych, nie powodując zmian w działaniu programów); atakiem pasywnym może być także podsłuchiwanie lub monitorowanie przesyłanych danych (w tym przypadku celem cyberprzestępcy jest odkrycie zawartości komunikatu lub

2015-09-14 23:58:29

NA SYSTEMY IT CEL PRZERWANIE PRACY Atak polegający na częściowym zniszczeniu systemu lub spowodowaniu jego niedostępności (niezdolności do normalnego użytkowania). Przykładem może być fizyczne zniszczenie fragmentu komputera lub sieci, np. uszkodzenie dysku czy też przecięcie linii łączności między wybranymi komputerami.

PRZECHWYCENIE INFORMACJI Podstawą tego typu agresji jest naruszenie poufności. Występuje wtedy, gdy ktoś niepowołany uzyskuje dostęp do zasobów systemu komputerowego (np. podsłuch pakietów w celu przechwycenia danych w sieci i nielegalne kopiowanie plików lub programów).

MODYFIKACJA DANYCH Atak polega na zdobyciu dostępu do zasobów przez niepowołaną osobę, która wprowadza do nich jakieś zmiany w celu uzyskania wyższych praw lub otrzymania dostępu do danego systemu (np. zmiana wartości w pliku z danymi, wprowadzenie zmiany w programie w celu wywołania innego sposobu jego działania lub modyfikacja komunikatów przesyłanych w sieci).

PODROBIENIE DANYCH

NIEUDANY ATAK

Napaść skutkująca naruszeniem autentyczności danych. Na przykład podczas ich przesyłania z jednego komputera do drugiego, trzeci blokuje transmisję, a sam wprowadza do systemu drugiego komputera fałszywe obiekty (chociażby nieautentyczne komunikaty do sieci).

Rozpoczęty atak nie kończy się osiągnięciem zamierzonego celu. Na przykład na skutek przeskanowania sieci agresor wykrywa lukę w zabezpieczeniu, wykorzystuje ją do uderzenia, które jednak okazuje się nietrafne i kończy niepowodzeniem. Brak możliwości zatarcia śladów powoduje ryzyko wykrycia ataku jak i samego cyberprzestępcy.

Włamanie w celu uzyskania poufnych informacji. Skradzione dane mogą zostać użyte do różnych celów lub sprzedane. Zjawisko to nasiliło się w ostatnich latach, a przeprowadzone badania wskazują, że ataki APT często są inicjowane przez placówki rządowe różnych krajów.

analiza przesyłanych danych); ataki pasywne są bardzo trudne do wykrycia, ponieważ nie wiążą się z modyfikacjami jakichkolwiek danych.

VAD_infografika_1.indd 43

KRADZIEŻ INFORMACJI (ATAK APT)

KRADZIEŻ TOŻSAMOŚCI Przedmiotem kradzieży stają się informacje osobiste, co ma na celu przejęcie czyjejś tożsamości. Używając takich informacji włamywacz może wyrobić sobie określone dokumenty, wyłudzić kredyt lub dokonać zakupów w sieci. Jest to coraz powszechniejsza forma włamania sieciowego powodująca globalnie wielomiliardowe straty.

BLOKADA DOS (DENIAL OF SERVICE) Zalanie systemu (lub sieci) ruchem, aby zablokować ruch pochodzący od użytkowników. Atakom takim ulegają pojedyncze komputery lub grupy komputerów, co uniemożliwia korzystanie z określonych usług. Celem agresji mogą być systemy operacyjne, serwery, routery i łącza sieciowe. Istnieje kilka typów ataków DoS. Dwa podstawowe to: • zalewanie synchroniczne serwera pakietami rozpoczynającymi nawiązanie połączenia; pakiety te zawierają nieprawidłowy źródłowy adres IP; serwer nie odpowiada na żądania użytkowników, ponieważ jest zajęty generowaniem odpowiedzi na fałszywe zapytania, • ping śmierci (ping of death) – do urządzenia sieciowego wysyłany jest pakiet o rozmiarze większym niż maksymalny (65 535 bajtów); taki pakiet może spowodować awarię systemu. O wiele bardziej wyrafinowaną i potencjalnie bardziej szkodliwą odmianą ataku DoS jest atak DDoS (Distributed Denial of Service). Do jego przeprowadzenia służą najczęściej komputery zombie, nad którymi przejęto kontrolę przy użyciu specjalnego złośliwego oprogramowania. Na dany sygnał komputery zaczynają jednocześnie atakować system ofiary, zasypując go fałszywymi próbami skorzystania z usług, jakie ten oferuje.

2015-09-14 23:58:42

Fot. © alexey_boldin – Fotolia.com

ZABEZPIECZANIE URZĄDZEŃ PRZENOŚNYCH

Bezpieczeństwo mobilne – szansa na duże zyski

Według analityków gwałtownie rośnie popyt na rozwiązania do ochrony danych zgromadzonych w urządzeniach przenośnych. Wygląda na to, że „pociąg ruszył” i już najwyższa pora, aby do niego wskoczyć. Rafał Janus

skali globalnej niemal 60 proc. smartfonów to własność firm. Gartner zauważa, że przedsiębiorcy instalują w urządzeniach swoich pracowników średnio 8–15 aplikacji mobilnych. Przy

VADEMECUM CRN wrzesień 2015

czym nie są to już tylko proste narzędzia pracy, jak program pocztowy czy kalendarz. Coraz częściej w smartfonach i tabletach instaluje się aplikacje biznesowe (np. CRM), służące do zarządzania najważniejszymi danymi. Jednocześnie

według analityków w 2017 r. aż połowa zatrudnionych będzie oczekiwać od pracodawców zgody na używanie prywatnych urządzeń do celów służbowych. Równolegle rośnie świadomość konieczności zapewnienia bezpieczeństwa danych

w urządzeniach mobilnych. Przekłada się to na wzrost popularności takich rozwiązań, jak Mobile Device Management lub Mobile Application Management. Analitycy z Allied Market Research spodziewają się, że światowy rynek zabezpieczeń BYOD będzie wart w 2020 r. aż 24,6 mld dol. Do tego czasu ma rosnąć średnio w tempie 36,3 proc. rocznie. Według majowego raportu tej firmy obecnie aż trzy czwarte zabezpieczeń tej klasy trafia do korporacji, a pozostałe – do klientów z sektora MŚP. Specjaliści prognozują, że sprzedaż małym i średnim firmom będzie rosła szybciej niż dużym klientom korporacyjnym. Warto dodać, że jeszcze szybciej, bo w tempie 46,2 proc. rocznie, ma zwiększać się zbyt zabezpieczeń przeznaczonych specjalnie do ochrony tabletów.

bezpieczNy byod Wydatki na ochronę urządzeń mobilnych na początku wydają się wysokie, jednak dużych przedsiębiorstw nie trzeba szczególnie przekonywać do stosowania takich zabezpieczeń. Po prostu w korporacjach korzyści z ich wdrożenia są znaczące, szczególnie w porównaniu z tymi, które mogą osiągnąć firmy z sektora MŚP. Obecnie klienci kupują głównie rozwiązania Mobile Device Management, uznając, że w całości zaspokajają ich potrzeby w zakresie bezpieczeństwa BYOD. Natomiast w nadchodzących latach będzie rósł udział w ogólnej sprzedaży takich narzędzi, jak Mobile Application Management, Mobile Content Management oraz Mobile Identity Management. Wydaje się, że popularyzacja wiedzy o rozwiązaniach bezpieczeństwa BYOD oraz wprowadzenie na rynek szerokiej gamy aplikacji do zastosowań biznesowych będzie zwiększać zainteresowanie przede wszystkim narzędziami MAM. Eksperci przewidują też, że w nadchodzących latach będzie następowała integracja platform do zarządzania sprzętem mobilnym z analogicznymi rozwiązaniami znanymi ze świata komputerów PC (przykładowo, w systemie Windows od wersji 8.1 są już wbudowane specjalne interfejsy API do komunikacji z systemami MDM). Kolejnym zauważalnym trendem jest rozwi-

Bezpieczne gadżety Oprócz rozbudowanych programowych platform ochronnych, istnieją też inne sposoby zabezpieczania urządzeń mobilnych. Warto zwrócić uwagę na sporą grupę zabezpieczeń sprzętowych, służących do bardzo różnych zadań. Ciekawym przykładem jest specjalna obudowa, która zasłania soczewki kamer w smartfonie, w czasie kiedy nie są one używane (jeśli do urządzenia ktoś się włamie, nie będzie miał możliwości zobaczenia czegokolwiek za pomocą kamery). Od dość dawna stosowane są specjalnie nakładki na ekrany uniemożliwiające osobie postronnej podejrzenie wyświetlanych treści.

janie systemów bezpieczeństwa przez samych producentów urządzeń mobilnych. Dostawcy wyposażają je w zabezpieczenia, które umożliwiają m.in. „podział” urządzenia na strefę prywatną i służbową.

lider, Nie zNaczy Najlepszy W raporcie „Magic Quadrant for Enterprise Mobility Management Suites”, który został opublikowany w czerwcu

2015 r., znalazło się aż 12 firm. Pięć z nich analitycy umieścili w kategorii liderów: AirWatch by VMware, MobileIron, Citrix, IBM oraz Good Technology. Warto jednak podkreślić, że ranking Gartnera nie powinien być podstawowym kryterium decydującym o wyborze określonego rozwiązania klasy Enterprise Mobility Management. Nie w każdym przypadku oferta liderów będzie optymalna. Konieczne jest dokładne zdefiniowanie wymagań dotyczących rozwiązania EMM i scenariuszy wykorzystania urządzeń mobilnych. Na tej podstawie można przygotować krótką listę produktów i dopiero wówczas wybrać rozwiązanie, które najlepiej zaspokaja potrzeby konkretnego użytkownika.

ochroNa urządzeń i aplikacji Głównym elementem systemów Mobile Device Management jest centralny serwer, który umożliwia administratorom zarządzanie regułami, urządzeniami i kontami użytkowników zgodnie z korporacyjną strategią pracy mobilnej. Dzięki temu urządzenia przenośne zyskują dostęp do żądanych zasobów, a pracownicy mogą wykorzystywać aplikacje mobilne do zastosowań biznesowych. Część rozwiązań MDM wymaga stosowania

Najczęstsze obawy dotyczące stosowaNia w firmie urządzeń mobilNych 44%

szkodliwe oprogramowanie infekujące urządzenia mobilne

25% 33% 32%

wyciek firmowych danych

42%

korzystanie przez pracowników z niezabezpieczonych sieci wi-fi

kradzież lub zgubienie sprzętu

wykorzystanie prywatnych urządzeń do celów służbowych

poważne obawy

20% 37% 18% 25% 14% bardzo poważne obawy

Źródło: Forrester, „The Future Of Mobile Security: Securing The Mobile Moment”, 2015

VADEMECUM CRN wrzesień 2015

ZABEZPIECZANIE URZĄDZEŃ PRZENOŚNYCH agentów do kontrolowania urządzeń, ale są również systemy, które działają w architekturze bezagentowej. Ponadto centralny serwer do zarządzania sprzętem mobilnym z reguły umożliwia integrację z różnymi systemami, np. Active Directory, DNS, SMTP lub z serwerem SQL. Często spotykanym rozwiązaniem jest wykorzystanie oprogramowania MDM do zabezpieczania dostępu do korporacyjnej poczty. Służy ono jako proxy, które umożliwia dostęp do skrzynek e-mail tylko zaufanym urządzeniom, a pozostałe blokuje. Administrator może definiować własne reguły dostępu, np. dopuszczać tylko sprzęt zarządzany przez MDM, ale taki, który spełnia jeszcze inne warunki (np. system operacyjny nie może być zrootowany). Inne spojrzenie na problem zarządzania urządzeniami mobilnymi leży u podstaw rozwiązania Mobile Application Management – czyli zarządzanie nie sprzętem, ale aplikacjami (z reguły systemy MDM oferują obie funkcje). Poszczególne programy są uruchamiane w bezpiecznych kontenerach (tzw. sandbox), a pozostałe nie otrzymują dostępu do zarezerwowanych dla nich zasobów ( jeden kontener można rozszerzyć i chronić kilka aplikacji). Elementem MAM bywa też korporacyjne repozytorium aplikacji dopuszczonych do instalacji przez

92%

70%

51%

Firmy coraz częściej kupują pracownikom nie tylko notebooki

• 92% firm – notebooki • 70% firm – smartfony • 51% firm – tablety

użytkowników urządzeń mobilnych, zarządzane przez dział IT. MAM występuje w dwóch podstawowych formach. Pierwsza to aplikacje prekonfigurowane (ewentualnie zintegrowane z systemem zarządzania sprzętem mobilnym) w taki sposób, aby zwiększyć możliwości administrowania nimi. Najczęściej są to typowe programy biurowe i pracy grupowej, np. poczta elektroniczna, kalendarz, kontakty, bezpieczna przeglądarka internetowa. W drugim przypadku korporacyjne reguły są wymuszane na aplikacjach mobilnych z wykorzystaniem pakietów SDK (Software Development Kit) lub przez umieszczanie tego oprogramowania w kontenerach.

SEBASTIAN KISIEL Lead System Engineer, Citrix Systems Poland

Polskie firmy nie mogą odciąć się od nowych trendów i coraz częściej wyrażanych oczekiwań pracowników. Dlatego wzrasta liczba przedsiębiorstw interesujących się wdrożeniem i już stosujących poszczególne rozwiązania do ochrony urządzeń przenośnych. By jednak umiejętnie dbać o bezpieczeństwo mobilne, trzeba chronić nie tylko urządzenia, ale przede wszystkim zasoby. Stąd coraz większe zainteresowanie rozwiązaniami EMM, zawierającymi funkcje systemów MDM, MAM oraz MCM.

VADEMECUM CRN wrzesień 2015

MOBILNA TOŻSAMOŚĆ Pracownicy korzystają zwykle nie tylko ze smartfona, ale również z tabletu i notebooka. Co więcej, często ten sprzęt jest ich własnością. W efekcie przedsiębiorstwa muszą kontrolować nie tylko to, kto łączy się z firmową siecią, ale także, czy używa do tego autoryzowanego urządzenia. W rezultacie jednym z filarów bezpieczeństwa mobilnego stają się rozwiązania Mobile Identity Management. Tożsamość użytkownika jest z reguły określana z wykorzystaniem elektronicznych certyfikatów. Można ją jednak weryfikować za pomocą różnych innych rozwiązań, np. czytników biometrycznych lub tokenów. W przyszłości roz-

Źródło: Aruba Networks

wiązania MIM będą analizowały wiele zmieniających się parametrów (tzw. kontekst). Podczas uwierzytelniania będzie więc brany pod uwagę nie tylko użytkownik i urządzenie, z którego korzysta, ale także takie czynniki, jak fizyczna lokalizacja (biuro, dom, publiczny punkt dostępowy, miejsce określane za pomocą położenia geograficznego). Na podstawie tych parametrów użytkownik będzie otrzymywał różne uprawnienia w dostępie do firmowych zasobów. W ciągu najbliższych trzech lat takie możliwości powinny stać się wręcz standardem w rozwiązaniach do zarządzania sprzętem mobilnym.

ANTYWIRUS W SIECI Myśląc o ochronie urządzeń przed szkodliwym oprogramowaniem i zabezpieczaniu ruchu sieciowego, trzeba uwzględniać wydajność smartfona (lub tabletu) i czas pracy na baterii. Antywirus zainstalowany w urządzeniu końcowym spowalnia jego pracę i zwiększa zużycie prądu. Rozwiązaniem problemu jest przeniesienie zabezpieczeń poza urządzenie. Dobrze sprawdzi się antywirus sieciowy zintegrowany z MDM, który monitoruje zawartość telefonu. Podobnie można postąpić w przypadku mechanizmów filtrowania ruchu i całą komunikację do urządzenia mobilnego „przepuszczać” przez zaporę sieciową. Administrator zyskuje wówczas możliwość wyboru kategorii blokowanych

Fuzje i przejęcia Ochrona urządzeń mobilnych to stosunkowo nowy obszar, będziemy więc obserwować typowe dla tego stadium rozwoju zjawiska rynkowe: konsolidację oraz współpracę między producentami. Przykładowo, na początku 2014 r. VMware kupił za około 1,2 mld dol. firmę AirWatch, która była liderem w segmencie rozwiązań do zarządzania sprzętem mobilnym. SAP we współpracy z VMware opracował platformę bezpieczeństwa nastawioną na ochronę aplikacji mobilnych. Z kolei Check Point zdecydował się w bieżącym roku na przejęcie firmy Lacoon Mobile Security, która zajmuje się dostarczaniem systemów bezpieczeństwa dla urządzeń mobilnych.

stron, których lista jest automatycznie aktualizowana przez dostawcę systemu MDM. Takie podejście zapobiega również przedostawaniu się do urządzeń szkodliwego oprogramowania.

OCHRONA PLIKÓW Ważnym elementem związanym z trendem BYOD jest ochrona plików. Polega przede wszystkim na szyfrowaniu przechowywanych danych oraz komunikacji sieciowej (stosuje się też inne zabezpieczenia, m.in. wyłączanie ekranu po upływie określonego czasu i wymuszanie ponownego wpisania kodu PIN przy próbach uzyskania dostępu do poufnych danych). Jednakże takie podejście nie jest w pełni skuteczne. Użytkownicy często obchodzą zabezpieczenia, przesyłając po-

ufne dane na zewnątrz w wiadomościach elektronicznych lub po prostu kopiują je do prywatnych komputerów, które nie są objęte korporacyjnymi regułami. Dlatego w firmach bardzo ważna jest wewnętrzna ochrona danych lub stosowanie narzędzi do zarządzania uprawnieniami dotyczącymi poszczególnych plików. Przykładem jest ich szyfrowanie, w odróżnieniu od szyfrowania całych woluminów czy sieciowych tuneli VPN. Wtedy można zarządzać dostępem do dokumentów z wykorzystaniem infrastruktury klucza publicznego (Public Key Infrastructure). Tak zaszyfrowane pliki będą chronione niezależnie od miejsca, w którym są przechowywane. Poznanie ich zawartości jest bowiem niemożliwe bez podania klucza. Drugim sposobem rozwiązania problemu jest zarządzanie uprawnieniami dotyczącymi działań na plikach (nie tylko dostępu do nich). Służące do tego mechanizmy umożliwiają określenie, kto może dany dokument odczytać, wyedytować, skasować czy wysłać e-mailem. Z reguły są wyposażone również w funkcję szyfrowania pojedynczych plików. Kluczowa pod kątem skuteczności zarządzania uprawnieniami jest jednak rzetelna klasyfikacja plików. Firmy mogą także stosować systemy kontrolowania portów USB w komputerach biurowych w taki sposób, aby nie można było za ich pośrednictwem uzyskiwać dostępu do prywatnych dokumentów w urządzeniach pracowników.

URZĄDZENIA NIEKONIECZNIE PRYWATNE

Koncepcja BYOD rodzi wiele problemów związanych z bezpieczeństwem w fir-

BARTOSZ DUDZIŃSKI

BOGDAN LONTKOWSKI dyrektor regionalny Landesk na Polskę, Czechy, Słowację i kraje bałtyckie

Rynek zabezpieczeń urządzeń mobilnych jest w Polsce bardzo perspektywiczny, co widać po znacznie większej liczbie nowych projektów w ostatnim czasie. Istnieją różne modele sprzedaży takich rozwiązań. Mali resellery, którzy mają dobre relacje z klientami, mogą liczyć na przychód z pośrednictwa w sprzedaży i wsparcie firmy Landesk w zakresie przygotowania oferty oraz przeprowadzenia wdrożenia. Partnerzy dysponujący odpowiednią infrastrukturę i kompetencjami mogą pójść o krok dalej i zaoferować klientom nie tylko produkty, ale również usługi.

mowym środowisku IT. Przykładowo, dużym wyzwaniem jest prowadzenie testów penetracyjnych, jeśli pracownicy łączą się z siecią korporacyjną za pomocą swoich urządzeń. Poza tym szybko rośnie ilość szkodliwego oprogramowania infekującego smartfony. To zjawisko jest jak śniegowa kula – im częściej korzystamy z urządzeń mobilnych, tym stają się one bardziej atrakcyjnym celem dla cyberprzestępców. Warto zatem wskazywać przedsiębiorcom rozwiązanie pośrednie – CYOD (Choose Your Own Device). Zapewnia ono korzyści płynące z BYOD i zarazem ułatwia zapewnienie bezpieczeństwa firmowych danych. Jego podstawą jest założenie, że pracownicy mogą wybierać sprzęt mobilny tylko z listy urządzeń zaaprobowanych i w pełni kontrolowanych przez firmowy dział IT.

IT Architect, IBM

Resellerzy mają kilka wariantów świadczenia usług na bazie MDM. W najprostszym partner na bazie chmury producenta MDM udostępnia funkcje tego oprogramowania swoim klientom, a oni samodzielnie zarządzają sprzętem mobilnym. W rozszerzonym wariancie reseller może też świadczyć usługi zarządzania sprzętem w imieniu klienta, w indywidualnie określonym zakresie. W opcji najbardziej zaawansowanej reseller świadczy usługi MDM za pomocą systemu zainstalowanego w swojej serwerowni, nie korzysta z chmury producenta.

POMOC TECHNICZNA Polityka bezpieczeństwa urządzeń mobilnych powinna obejmować również wsparcie techniczne dla ich użytkowników. Brak takiej pomocy prowadzi do włamań oraz obniża satysfakcję z pracy. Wsparcie może również przybrać formę usługi oferowanej przez resellera. VADEMECUM CRN wrzesień 2015

ZABEZPIECZANIE URZĄDZEŃ PRZENOŚNYCH

LetMobile – brama do bezpieczeństwa BYOD LANDESK oferuje firmom jedyną w swoim rodzaju ochronę firmowej poczty elektronicznej na urządzeniach mobilnych.

programowanie LetMobile Secure Mobile Email skutecznie chroni dostęp do firmowej poczty, kontaktów i kalendarza za pomocą natywnych aplikacji na urządzeniu mobilnym. Innowacyjna technologia bramy sieciowej zapewnia bezpieczeństwo usług bez przejmowania kontroli nad urządzeniem a także zakłócania dotychczasowego sposobu pracy i przyzwyczajeń użytkownika. Rozwiązanie można zaoferować przedsiębiorstwu dowolnej wielkości, aby pozwalało pracownikom korzystać z firmowej poczty na prywatnych smartfonach i tabletach, nie narażając swych zasobów na niebezpieczeństwo.

OsObisty sprzęt służbOwy Obecnie wszystkie urządzenia mobilne są osobiste, nawet te, które należą do firmy. Użytkownicy wynoszą je z biura do domu, przemieszczają się z nimi w galeriach handlowych, chodzą do kina i na koncerty. Rozwiązanie LetMobile umoż-

liwia przedsiębiorstwom osiągnięcie większej produktywności wynikającej m.in. z wykorzystania prywatnych urządzeń do pracy, a jednocześnie zapewnia im najwyższy poziom bezpieczeństwa danych i zgodności z przepisami. Jest tak zaprojektowane, by działy IT mogły w pełni chronić i kontrolować firmowe dane, a użytkownicy nie odczuwali związanego z tym dyskomfortu. LetMobile Secure Mobile Gateway jest unikatową techniką, gdyż z jednej strony zapobiega utracie i kradzieży danych, z drugiej – chroni firmową sieć przed nieautoryzowanym dostępem. W odróżnieniu od klasycznych rozwiązań – których skuteczność zależy od zaimplementowanych w urządzeniach zabezpieczeń, często utrudniających życie użytkownikom – LetMobile po prostu chroni przepływ danych. Gdy wykorzystuje się LetMobile, firmowe dane i hasła nigdy nie są przechowywane w smartfonie czy tablecie. Funkcje kontroli dostępu w czasie rzeczywistym i ochrony DLP monitorują,

Charakterystyka rozwiązania LetMobile Bezproblemowy dla użytkownika sposób korzystania • Pracownicy mogą mieć dostęp do firmowej poczty z dowolnego urządzenia i natywnej dla niego aplikacji e-mail. • Środowisko firmowe zintegrowane z prywatnym – nie trzeby tworzyć kontenerów ani instalować oddzielnych aplikacji. • Wysoki poziom bezpieczeństwa – przechowywanie danych poza urządzeniem • Wieloskładnikowe uwierzytelnianie (tożsamość użytkownika, urządzenie i lokalizacja).

VADEMECUM CRN wrzesień 2015

• Korporacyjne dane i hasła nigdy nie są przechowywane w urządzeniu mobilnym. • Każdy dostęp podlega ochronie DLP. • Wszystkie dane są przesyłane za pomocą szyfrowanych połączeń (SSL). Egzekwowanie zgodności z przepisami i audyt bezpieczeństwa • Można definiować zasady dostępu i ochrony DLP, bazując na tożsamości użytkownika, typie urządzenia i poziomie jego ochrony, geolokalizacji, adresie IP, czasie, a także klasyfikacji treści.

kto ma dostęp do jakich danych, skąd, w jakim czasie itp. LetMobile zapewnia ochronę przed utratą, kradzieżą, niekontrolowanym współużytkowaniem urządzeń oraz złośliwymi atakami w prosty sposób – firmowych danych nie ma w urządzeniach.

trudnO skraść

tO,

czegO nie ma

Secure Mobile Email jest jedynym rozwiązaniem, w którym do odczytywania i wysyłania wiadomości z firmowej skrzynki pocztowej korzysta się z natywnych aplikacji e-mail na urządzeniach mobilnych. Użytkownicy muszą tylko wprowadzić hasło, a gdy jest poprawne, mogą przeglądać firmowe e-maile. Co ważne, treść korespondencji jest odtwarzana przez serwery LetMobile, a załączniki nie są przesyłane do użytkowników. W ich miejsce jest tworzony link, w który użytkownik klika, by zobaczyć ich treść. Załączników nie można zachować

• Kontrola i zarządzanie dostępem użytkowników i urządzeń do zasobów przedsiębiorstwa. • Konfigurowanie limitów czasu dostępu, czarnych i białych list, ograniczeń geolokalizacji, blokowanie/filtrowanie/maskowanie treści i wiele innych funkcji. • Rejestrowanie dostępu, audytowanie i raportowanie pod kątem zgodności z przepisami. Ekonomiczne wdrożenie i zarządzanie • Instalacja w nowym urządzeniu trwa kilka minut. • Skalowalny serwer bramy jest oferowany zarówno jako rozwiązanie SaaS z chmury, jak i lokalnie (on-premise).

• Nie ma potrzeby dokonywania zmian w istniejącej infrastrukturze pocztowej. • Ustanawianie polityki bezpieczeństwa przy użyciu intuicyjnej konsoli do zarządzania. • Opcjonalna samoobsługa dla użytkownika, odciążająca dział IT w firmie. • Ograniczenie wykorzystania danych przy roamingu. Zastępuje tradycyjne rozwiązanie kontenerowe • Bezpieczniejsze niż większość innych systemów. • Jedyne rozwiązanie, które można zastosować w prywatnych domowych urządzeniach.

LETMOBILE TO TERAZ LANDESK Przedsiębiorstwa rozwijają aplikacje mobilne i webowe, by ulepszać swoje procesy

• Ekonomiczne rozwiązania dające dostęp do firmowej poczty wielu użytkownikom i urządzeniom. Obsługa wszystkich popularnych systemów i urządzeń • Serwery: Exchange (w tym warianty hostowane), Google Apps, Lotus. • Systemy: iOS, Android, Windows Mobile. • Integracja z rozwiązaniami antywirusowymi i DLP. Różne modele wdrażania • Software as a Service (SaaS). • Lokalnie (on-premise). • Usługa zarządzana.

BOGDAN LONTKOWSKI dyrektor regionalny LANDESK na Polskę, Czechy, Słowację i kraje bałtyckie

Dzięki rozszerzeniu oferty LANDESK o LetMobile nasi partnerzy zyskują dostęp do unikalnego rozwiązania ochronnego dla mobilnego biznesu. Zapewnia ono funkcje zabezpieczania poczty e-mail, aplikacji i treści oraz zarządania nimi. Daje użytkownikom dostęp do firmowych danych, ale żadne nie są przechowywane w smartfonie czy tablecie, a więc nie ma ryzyka ich utraty. LetMobile doskonale uzupełnia inne rozwiązania LANDESK, służące do kontroli i zabezpieczania urządzeń mobilnych – takie jak Mobility Manager – oferując niezbędną ochronę wszystkim przedsiębiorstwom, dla których wyciek danych może być bardzo kosztowny.

biznesowe. Zwiększanie zdalnego dostępu do firmowych sieci i zasobów z urządzeń mobilnych wiąże się z poważnymi wyzwaniami dotyczącymi ochrony danych. Od ponad roku, po przejęciu LetMobile przez firmę LANDESK, Secure Mobile Gateway uzupełnia jej asortyment przeznaczony dla mobilnej firmy. Dzięki kompleksowej ofercie producenta resellerzy mogą pomóc przedsiębiorstwom i ich zespołom ds. bezpieczeństwa zaspokajać potrzeby użytkowników – przez objęcie ochroną nie urządzeń mobilnych tylko treści i aplikacji. Aby wdrażać LetMobile i inne produkty z oferty dla mobilnej firmy, trzeba wziąć udział w szkoleniu lub skorzystać z pomocy autoryzowanego partnera LANDESK. Sprzedaż rozwiązania jest prowadzona przez dystrybutora – firmę Alstor.

Dodatkowe informacje: BOGDAN LONTKOWSKI, DYREKTOR REGIONALNY LANDESK NA POLSKĘ, CZECHY, SŁOWACJĘ I KRAJE BAŁTYCKIE, BOGDAN. LONTKOWSKI@LANDESK.COM VADEMECUM CRN wrzesień 2015

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ LANDESK.

w pamięci urządzenia, chyba że zezwoli na to administrator. Wszystkie załączniki opuszczające bezpieczną strefę LetMobile są sprawdzane i śledzone. Hakerzy najczęściej uzyskują dostęp do firmowych zasobów, kradnąc dane uwierzytelniające. Powszechnie używany mechanizm ActiveSync, zapewniający dostęp do platform komunikacyjnych, przechowuje nazwy użytkowników, hasła i adresy serwerów pocztowych w urządzeniu mobilnym. Gdy urządzenie wysyła te informacje np. przez przejęty przez hakerów hotspot, mogą oni je przechwycić i wykorzystać do ataku na firmową sieć.

Secure Mobile Gateway natomiast wykorzystuje zgłoszoną do urzędu patentowego technikę, która „w locie” generuje złożone, dwuskładnikowe hasło, które nie może być użyte przy dostępie do sieci. Hasło to nie jest przechowywane na serwerach LetMobile. Rozwiązanie Secure Mobile Email zapewnia administratorom IT kontrolowanie zachowań użytkownika mobilnego. I to niezależnie od typu, modelu i wersji urządzenia, z którego korzysta. Mogą wykrywać anomalie, takie jak podejrzane lokalizacje sprzętu, użycie anonimizujących proxy czy nieudane próby logowania i zablokować urządzenia, np. te, na których dokonano operacji jailbreak lub rootowania. Reguły zastosowanej przez administratorów polityki bezpieczeństwa mogą być personalizowane – zarówno zasady dostępu do poczty, jaki i do załączników.

ZABEZPIECZANIE URZĄDZEŃ PRZENOŚNYCH

Mobilni pracownicy z IBM MobileFirst Firmy, które akceptują model BYOD, powinny podjąć działania podnoszące poziom bezpieczeństwa danych. Może to nie tylko uchronić je przed zagrożeniami z zewnątrz, ale również zapewnia zwiększenie mobilności pracowników.

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI IBM I AVNET.

rzedsiębiorstwa, w których dział IT chce zapewnić dostęp z prywatnych urządzeń do danych wrażliwych, muszą zacząć od zdefiniowania zasobów podlegających tej procedurze i wybrania metody bezpiecznego dostępu. Powinny w zrozumiały dla pracownika sposób określić, które zasoby będą udostępniane oraz jakie wymogi musi spełniać posadane przez niego urządzenie mobilne. Jeżeli przedsiębiorstwo przyjmie politykę CYOD (Choose Your Own Device), czyli urządzenie będzie dostarczane przez dział IT, a zadaniem użytkowników będzie wybranie odpowiadającego im modelu, administrator zostanie zobowiązany tylko do zweryfikowania udostępnianych platform pod kątem bezpieczeństwa i zgodności z firmowymi systemami IT. Natomiast jeśli dostęp będzie realizowany z dowolnego urządzenia użytkownika, pracownicy IT powinni być przygotowani na obsługę wielu systemów mobilnych. W takiej sytuacji muszą być w stanie wyegzekwować aktualizację zabezpieczeń urządzeń oraz – w przypadku utraty bądź kradzieży – bezpiecznie usunąć dane firmowe. Jednocześnie nie można

zapominać, że administratorzy IT nie powinni mieć dostępu do osobistych danych użytkowników, aby nie naruszać ich prywatności.

KONTENER W TELEFONIE Oprogramowanie MobileFirst (dawniej MaaS360), stworzone przez należącą do IBM firmę Fiberlink, umożliwia tworzenie wewnątrz mobilnych urządzeń wyizolowanych kontenerów, zarządzanych przez firmowy dział IT. W tej chronionej przestrzeni pracownicy powinni mieć m.in. takie narzędzia jak: poczta, kalendarz, baza kontaktów, a także wszystkie firmowe aplikacje. Administratorzy mogą zapewnić pełną izolację aplikacji w kontenerze od systemu operacyjnego urządzenia, co zapewnia np. brak możliwości kopiowania poza kontener znajdujących się w nim danych. MobileFirst działa we wszystkich głównych systemach operacyjnych dla mobilnych urządzeń (Android, Apple iOS, Windows Phone, BlackBerry OS itd.). Użytkownik może korzystać z kontenera tylko wtedy, gdy urządzenie mobilne spełnia reguły zdefiniowane przez administratora (np. ma zainstalowany odpowiedni system operacyjny i aktual-

Wybrane rozwiązania z rodziny MobileFirst • MobileFirst Mobile Device Management – zarządzanie dostępem do korporacyjnych danych z urządzeń mobilnych, zarówno prywatnych, jak i dostarczanych przez pracodawcę (m.in. monitoring ustawień bezpieczeństwa, zdalne wsparcie dla użytkowników, analityka i raportowanie). • MobileFirst Secure Productivity Suite – tworzenie w urządzeniach mobilnych kontenerów chroniących firmowe dane przed wyciekiem (rozszerzone uprawnienia dla administratorów dotyczące zarządzania bezpieczeństwem danych). • MobileFirst Mobile Application Management – dodatkowe zabezpieczenia dla danych przetwarzanych w aplikacjach na telefonach i tabletach (ochrona przed nieautoryzowanym dostępem do danych, brakiem szyfrowania itp.).

VADEMECUM CRN wrzesień 2015

RAFAŁ OWCZAREK Professional Services Engineer, Avnet

Prywatne telefony i tablety nieuchronnie stają się częścią firmowej infrastruktury IT, a więc wymagają odpowiedniego zabezpieczenia. Praktyka dowodzi, że całkowite zakazanie pracownikom korzystania z prywatnych urządzeń do służbowych celów się nie sprawdza. Z reguły i tak próbują za ich pomocą uzyskać dostęp do służbowych zasobów na własną rękę, często z pominięciem wszelkich zasad bezpieczeństwa, narażając firmę na wyciek poufnych informacji.

ne oprogramowanie antywirusowe, nie ma złamanych zabezpieczeń typu jailbreak itd.). Dostęp do kontenera może być chroniony hasłem. Dzięki MobileFirst administrator może też zapewnić dostęp do wewnętrznej sieci firmy i znajdujących się tam danych bez korzystania z połączenia VPN. Natomiast gdy pracownik odchodzi z przedsiębiorstwa, administrator może w bezpieczny sposób usunąć firmowe zasoby z jego urządzenia, pozostawiając dane prywatne nienaruszone.

Dodatkowe informacje: RAFAŁ OWCZAREK, PROFESSIONAL SERVICES ENGINEER, AVNET, RAFAL.OWCZAREK@AVNET.COM

ZABEZPIECZANIE URZĄDZEŃ PRZENOŚNYCH

Ochrona aplikacji mobilnych ze SnoopWall AppSHIELD Rozwiązanie AppSHIELD ﬁrmy SnoopWall służy do ukrywania aplikacji mobilnych przed systemem operacyjnym telefonu lub tabletu. W ten sposób chroni je przed spooﬁngiem, podsłuchiwaniem, kradzieżą haseł, podglądaniem lokalizacji użytkownika, skanowaniem numerów kont i kart kredytowych, kwot depozytów bankowych oraz informacji prywatnych – nazwiska, adresu i innych.

programowanie SnoopWall AppSHIELD to rozwiązanie klasy intrusion prevention. Za jego rozwój odpowiada m.in. Gary Miliefsky – właściciel ﬁrmy SnoopWall, ale też współzałożyciel Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych. Powstało w reakcji na fakt, że udostępniane obecnie mobilne aplikacje przetwarzające poufne informacje nie są skutecznie chronione.

BEZPIECZNA IZOLACJA DANYCH

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI SNOOPWALL I AKBIT.

W ostatnich latach przez aplikacje mobilne wykradziono dane o wartości sięgającej już pół miliarda dolarów. Fakt ten dowodzi, że stosowane obecnie metody zabezpieczeń – szyfrowanie czy wielostopniowa autoryzacja – są zupeł-

GARY MILIEFSKY CEO, SnoopWall Twórcy aplikacji często nie mają eksperckiej wiedzy dotyczącej bezpieczeństwa oprogramowania. Pracując pod presją czasu, dostarczają rozwiązania zawierające mnóstwo luk, które mogą wykorzystać cyberprzestępcy. Takie przedsiębiorstwa jak banki, sieci sprzedażowe czy platformy zakupowe powinny zwracać znacznie większą uwagę na potrzeby klientów – nie tylko dotyczące funkcjonalności mobilnych aplikacji, ale przede wszystkim ich bezpieczeństwa.

nie nieskuteczne i konieczne W POSZUKIWANIU jest całkowicie nowe podejINTRUZA TM ście do zagadnień ochroSnoopWall, oprócz oproAppSHIELD gramowania AppSHIELD, ny danych w aplikacjach mobilnych. Mimo ogromoferuje także sprzętowe nej popularności mobilnych rozwiązanie NetSHIELD platform zakupowych i apliłączące cechy bezagentowekacji bankowych wciąż wielu go NAC i systemu badania podatności klasy blackbox. Urządzenia klientów nie zdecydowało się na ich używanie ze względu na obawę przed są bardzo proste w instalacji, nie wysłabym zabezpieczeniem swoich magają integracji z firmową infradanych personalnych. strukturą, ale zapewniają AppSHIELD powstał skuteczne blokowanie w celu rozwiązania tego intruzów pojawiaspecyficznego problejących się zarówmu. Izoluje aplikacje mobilno w sieciach ne od systemu operacyjnego, aby kablowych, jak ich użytkownicy mogli swobodnie dokoi bezprzewodowych. Dodatkowo NetSHIELD, dzięki wbunywać zakupów lub operować na koncie bankowym. Dzięki temu AppSHIELD za- dowanemu centralnemu zarządzaniu pewnia bankom i sieciom sprzedażowym oraz skalowalności urządzeń, doskonaogromną przewagę nad konkurencją, daje le radzi sobie w sieciach rozproszonych bowiem pełne poczucie bezpieczeństwa i służy do zabezpieczenia zarówno małego oddziału firmy, jak i dużej, rozbudowawszystkim użytkownikom ich aplikacji. Oprogramowanie SnoopWall może nej infrastruktury w korporacji. Ciekawym rozwiązaniem jest także być wbudowane w każdą aplikację mobilną. Sprawdza się tam, gdzie zawodzą MobileSHIELD przeznaczony do badatradycyjne rozwiązania bezpieczeństwa nia bezpieczeństwa urządzeń mobilnych. – antywirusy, firewalle, moduły szyfru- Dzięki możliwości współpracy z urządzejące i mechanizmy uwierzytelniania. niami SnoopWall NetSHIELD pomaga Rozwiązanie jest oferowane w dwóch administratorom wyeliminować zagromodelach. W pierwszym partner kupuje żenia pojawiające się w przypadku stopakiet programistyczny SDK i samodziel- sowania modelu BYOD. nie integruje go z aplikacją, która ma być chroniona. Drugi model polega na umożliwieniu inżynierom SnoopWall kontaktu z zainteresowanym klientem. Wówczas wdrożenie realizowane jest w Polsce bezpośrednio przez pracowników Snoop- Dodatkowe informacje: KRZYSZTOF MELLER, CEO, AKBIT, SALES@AKBIT.PL Wall, a partner otrzymuje marżę.

VADEMECUM CRN wrzesień 2015

adv_Akbit_SnoopWall.indd 52

2015-09-10 22:21:03

Samsung KNOX – dwa telefony w jednym Dzięki Samsung KNOX właściciele telefonów i tabletów z systemem Android mogą bezpiecznie korzystać z korporacyjnych informacji i łączyć się z ﬁrmowymi serwerami, a nie muszą rezygnować ze swobody używania telefonów i pobierania dowolnych aplikacji.

BEZPIECZEŃSTWO BEZ KOMPROMISÓW

KNOX dzieli telefon lub tablet na dwie (lub więcej) odseparowane od siebie „części” (kontenery) – prywatną, w której nie ma żadnych ograniczeń dotyczących użytkowania, i służbową, w której dane są zaszyfrowane i dodatkowo zabezpieczone przed nieuprawnionym dostępem. Integracja sprzętowa środowiska KNOX ze smartfonami i tabletami Samsung sprawia, że szyfrowanie

danych nie wpływa zauważalnie na czas pracy urządzenia mobilnego. W części służbowej przechowywane są dane z zatwierdzonych przez Samsung pod kątem bezpieczeństwa aplikacji biznesowych (m.in. program pocztowy, kontakty, kalendarze, udostępnianie plików, CRM, business intelligence). Są w ten sposób chronione przed złośliwym oprogramowaniem, które może pojawić się w części niezabezpieczonej (próba wyłudzenia poufnych informacji), a także

przed dostępem osób niepowołanych w przypadku kradzieży lub zgubienia urządzenia. Korzystanie ze sprzętu wyposażonego w rozwiązanie Samsung KNOX gwarantuje pracownikom znacznie większą wygodę niż w przypadku, gdyby musieli nosić ze sobą dwa urządzenia – prywatne i służbowe. Firmom natomiast zapewnia znaczne zmniejszenie kosztów. Korzystające z tego rozwiązania działy IT otrzymują przy okazji możliwość zarządzania zainstalowanymi na telefonie aplikacjami biznesowymi za pośrednictwem usługi EAS (Exchange Active Server). Platforma KNOX jest ponadto kompatybilna z powszechnie używanymi rozwiązaniami infrastruktury korporacyjnej i zapewnia m.in. sieci VPN zgodne z normą FIPS, szyfrowanie na urządzeniu,

zabezpieczenie przed wyciekiem danych, jednokrotne logowanie firmowe (Enterprise Single Sign-On – SSO), usługi katalogowe Active Directory i uwierzytelnianie wieloskładnikowe z wykorzystaniem Smart Card.

WSPÓŁPRACA Z BRANŻĄ IT Samsung, jako twórca platformy KNOX, aktywnie współpracuje z innymi graczami z branży IT, aby zapewnić jak najszerszą jej zgodność z popularnymi rozwiązaniami. Przykładem może być zagwarantowana ostatnio współpraca Samsung KNOX z rozwiązaniem AnyConnect 4.0 stworzonym przez Cisco, czyli zaawansowaną platformą VPN dla przedsiębiorstw. Kolejną firmą, z którą Samsung rozpoczął ostatnio współpracę, jest Trustonic, lider systemów klasy Trusted Execution Environment dla urządzeń mobilnych. Wspólnie opracowano rozwiązanie Trustonic dla KNOX, dzięki któremu powstała wydajna platforma bezpiecznego uwierzytelniania użytkownika, logowania jednym hasłem i korzystania z tokenów. Interfejs użytkownika Trustonic zainstalowany jest fabrycznie w smartfonach Samsung GALAXY S6 i S6 Edge. Znajdzie się także w wielu innych urządzeniach mobilnych z serii GALAXY po aktualizacji oprogramowania.

Dodatkowe informacje: ŁUKASZ KOSUNIAK, ENTERPRISE MARKETING MANAGER, SAMSUNG, L.KOSUNIAK@SAMSUNG.COM VADEMECUM CRN wrzesień 2015

adv_Samsung.indd 53

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ SAMSUNG.

amsung KNOX jest kluczowym elementem systemu MDM. Wpisuje się idealnie w coraz popularniejsze trendy korzystania z prywatnych urządzeń do służbowych celów (Bring Your Own Device) i odwrotnie (Company Owned, Personally Enabled). Używanie tej platformy nie narusza polityki bezpieczeństwa obowiązującej w ﬁrmie ani prywatności pracowników. Najwyższy poziom zabezpieczeń gwarantowany przez Samsung KNOX docenił m.in. Departament Obrony Stanów Zjednoczonych, który dopuścił do użytku w swoich sieciach urządzenia mobilne wykorzystujące to rozwiązanie. W lutym br., w ramach 20. edycji nagród Annual Global Mobile Awards, platforma Samsung KNOX otrzymała wyróżnienie jako „Najlepsze rozwiązanie bezpieczeństwa/zabezpieczenia przed nadużyciami”. Nagrodą przyznawaną przez Stowarzyszenie Operatorów Sieci Telefonii Komórkowej (GSMA) na zakończenie targów MWC, wyróżnia się rozwiązania w dziedzinie bezpieczeństwa mobilnego dla przedsiębiorstw. W Polsce z platformy KNOX korzysta m.in. grupa LOTOS.

2015-09-10 22:22:23

PRZECHOWYWANIE DANYCH

Nieprzerwany dostęp do informacji w cenie System przechowywania danych powinien być zaprojektowany w taki sposób, aby w razie awarii ﬁrma w ogóle nie odczuła przestoju. Odzyskiwanie informacji z backupu powinno być traktowane jako ostateczność. KRZYSZTOF JAKUBIK

ystemy pamięci masowych wyposażone są w wiele mechanizmów, które zapewniają stały dostęp do przechowywanych w nich danych. Wśród najważniejszych są: replikacja, kopie migawkowe (snapshot) i tzw. ciągła ochrona danych (continuous data protection). Jednak ich skuteczność w dużym stopniu zależy od właściwego doboru metody zabezpieczania danych do potrzeb i budżetu ﬁrmy oraz konﬁguracji potrzebnych mechanizmów. Konsultacje w tym zakresie to znakomita okazja dla resellerów, aby cieszyć się z dodatkowego zarobku.

Podstawowym sposobem ochrony danych w macierzach dyskowych jest połączenie napędów w strukturę RAID. Metoda ta jest stosowana praktycznie od momentu powstania pierwszych macierzy dyskowych, a jej rozwój powoduje coraz bardziej niezawodne odzyskiwanie danych. Nie sprawdza się jednak, gdy awarii ulega cała macierz (zasilacze, kontrolery) lub gdy logiczna struktura danych zostaje uszkodzona i trzeba szybko odzyskać ich poprzednią wersję. Dlatego opracowano kilka metod ich ochrony, aby użytkownikom zapewnić ciągłość pracy.

Jedną z najczęściej stosowanych jest replikacja stanowiąca odpowiednik RAID 1, ale dokonywana nie między dyskami, ale całymi macierzami. Istnieją dwa modele. W przypadku pierwszej replikacji, a więc synchronicznej, dane są zapisywane na obu macierzach w czasie rzeczywistym. Stosowana jest ona najczęściej tam, gdzie obie macierze znajdują się w tym samym centrum danych lub są oddalone od siebie na odległość maksymalnie kilkudziesięciu kilometrów. Z kolei replikacja asynchroniczna polega na tym, że dane są kopiowane na drugą macierz z pewnym opóźnieniem. Ta metoda jest z reguły sto-

VADEMECUM CRN wrzesień 2015

Txt_przechowywanie danych.indd 54

2015-09-14 22:32:11

sowana, gdy oba urządzenia znajdują się w oddalonych od siebie centrach danych.

KOPIE MIGAWKOWE Z punktu widzenia użytkownika snapshot to po prostu bardzo często wykonywana zapasowa kopia danych. Jednak mechanizm zarządzania tym procesem raczej nie uzasadnia nazywania jej backupem. W trakcie wykonywania snapshotu obraz dysku jest „zamrażany” i w takiej postaci jest wykonywana jego kopia, ale równocześnie zapisywane są wszystkie informacje powstałe od momentu tego zamrożenia. Dba o to oprogramowanie wbudowane w macierz dyskową (i to jest najczęściej stosowany model), ale możliwe jest też realizowanie tego procesu przez serwer z zainstalowaną specjalną aplikacją. W trakcie odzyskiwania danych administrator może uzyskać dostęp do kopii z każdego momentu w czasie, gdy wykonany był snapshot.

CONTINUOUS DATA PROTECTION Mechanizm ciągłej ochrony danych zapewnia ich kopiowanie przez cały czas. W tym modelu odnotowywane są wszystkie zmiany dokonane w systemie, wykonywany jest odpowiedni zapis w tzw. dzienniku ( journal), a dane kopiowane na oddzielny dysk. Gdy zajdzie taka potrzeba, analiza zapisów w dzienniku umożliwia odzyskanie właściwych danych, z różnych momentów w czasie. Taka metoda daje dużą przewagę nad replikacją danych, w ramach której na zapasowej macierzy dyskowej odwzorowywany jest stan z macierzy podstawowej, ale np. w razie uszkodzenia logicznej struktury pliku zostanie on skopiowany i nadpisze poprawny plik. W przypadku takich mechanizmów jak kopie migawkowe czy ciągła ochrona danych problem ten nie występuje, ponieważ administrator ma dostęp do różnych wersji danego pliku.

SZYFROWANIE Nie jest to, co prawda, ochrona przed utratą dostępu do danych, ale wręcz celowe utrudnienie dostępu do nich. Może być przeprowadzane w czasie rzeczywistym

w zainstalowanych w macierzy specjalnych, samoszyfrujących dyskach (Self-Encrypting Drive, SED), ewentualnie chwilę po zapisaniu plików lub w nocy (data-at-rest). Funkcje ta realizowane są przez kontroler macierzowy, więc wpływa na wydajność macierzy, ale umożliwia zastosowanie znacznie tańszych dysków, które nie są wyposażone w mechanizm szyfrowania. Generalnie jest raczej mało prawdopodobne, że cała macierz dyskowa lub pojedyncze dyski zostaną skradzione, chociaż oczywiście takie sytuacje też czasami się zdarzają. Szyfrowanie stanowi ochronę w przypadku, gdy ﬁrmy przetwarzające poufne lub tajne informacje przekazują dyski do serwisu lub utylizacji.

PRZEMYSŁAW KUCHARZEWSKI dyrektor operacyjny, Eptimo

Firmy coraz chętniej korzystają z mechanizmów replikacji. Dzięki temu wiele z nich może już rozważać rezygnację z backupu. Ważne tylko, aby zapewniły sobie możliwość uzyskania dostępu do starszych wersji danych, np. przy użyciu mechanizmu continuous data protection. Stworzone w ten sposób środowisko jest zdecydowanie łatwiejsze w utrzymaniu i nie generuje tylu problemów z bieżącą obsługą, jak tradycyjny backup.

PAMIĘCI FLASH Komercyjne wykorzystanie dysków SSD z pamięciami ﬂash prawie od początku budziło wątpliwości w związku z trwałością układów NAND, na których zapisywane są dane. Przeprowadzone badania wskazywały, że wystarczy około tysiąc cykli zapisu, aby komórki pamięci traciły swoje właściwości i przechowywane w nich dane były zagrożone utratą. Dziś wobec tej grupy produktów wciąż taka opinia pokutuje, chociaż nie jest już aktualna. Dostawcy układów pamięci ﬂash cały czas pracują nad ich rozwojem. Obok zapewniających małą pojemność kości SLC (Single-Layer Cell) z jedną warstwą komórek, powstały kości MLC (Multi-Layer Cell) o większej pojemności z kilkoma takimi warstwami. Producenci stworzyli też kilka rodzajów pamięci z takimi układami, w tym do zastosowań konsumenckich (cMLC) i profesjonalnych (eMLC). Równolegle dostawcy macierzy dyskowych, w których wykorzystywane są dyski SSD, zaczęli pracę nad specjalnym oprogramowaniem, które w odpowiedni sposób zarządza procesem zapisywania danych. Tak, aby zminimalizować liczbę zapisów w danej komórce, a tym samym przedłużyć jej żywotność. Niektórzy z dostawców macierzy wyposażonych wyłącznie w dyski SSD wręcz stosują w nich pamięci klasy cMLC. Uzasadniają to tym, że stworzony przez nich mechanizm zapisu danych gwarantuje ich trwałość w komórkach pamięci nawet przez

pięć lat (więcej na ten temat w CRN Polska nr 9/2015, „Macierze all-ﬂash – fakty i mity”).

OCHRONA PRZED KATASTROFĄ Zabezpieczanie danych znajdujących się w macierzach dyskowych służy szybkiemu przywróceniu dostępu do nich pracownikom, gdy wystąpi awaria lub katastrofa (pożar budynku, zalanie itp.). Podobnie jak w przypadku backupu, całą procedurę odzyskania dostępu do danych trzeba regularnie testować. Każdy z pracowników, który będzie brał udział w procesie odzyskiwania dostępu do danych, musi mieć określone zadania do wykonania. Ale niestety, w trudnych przypadkach często teoria nie sprawdza się w praktyce. Gdy nastąpi katastrofa wykonanie zadań przez niektórych pracowników może być niemożliwe z różnych powodów – dlatego coraz więcej dostawców pracuje nad mechanizmami automatycznego przywracania dostępu do danych i odtwarzania stanu sprzed awarii, pozwalając administratorom na reakcję w późniejszym czasie (wymianę uszkodzonych dysków, zasilaczy, kontrolerów itp.). Integratorzy, oprócz wdrażania rozwiązań tego typu, mogą świadczyć usługi konsultacji dotyczących procesów disaster recovery, a także brać na siebie odpowiedzialność za prowadzenie testów ich skuteczności. VADEMECUM CRN wrzesień 2015

Txt_przechowywanie danych.indd 55

2015-09-14 22:32:30

PRZECHOWYWANIE DANYCH

Alstor: pamięci masowe dla każdego przedsiębiorstwa Alstor od samego początku istnienia specjalizuje się w dostarczaniu rozwiązań pamięci masowych. Ma w ofercie zarówno systemy do przechowywania danych, jak i do ich zabezpieczania oraz długoterminowej archiwizacji.

odstawą oferty systemów pamięci masowych Alstor są macierze dyskowe ﬁrmy Infortrend. Rodzina urządzeń Infortrend EonStor DS składa się z czterech modeli: DS1000, DS2000, DS3000 i DS4000, które różnią się wydajnością, możliwością skalowania pojemności oraz liczbą interfejsów. Macierze DS1000 i DS2000 sprawdzają się przede wszystkim w małych serwerowniach. Urządzenia z serii DS3000 mogą być wykorzystane do budowy wydajnych i niezawodnych systemów wirtualizacji VMware ESX lub Microsoft Hyper-V ze scentralizowaną pamięcią dyskową. Seria DS4000 polecana jest tam, gdzie wymaga się bardzo wysokiej wydajności, dużych możliwości rozbudowy pojemności i różnorodności interfejsów. W modelach DS1000/2000/3000 prędkość odczytu wynosi 5,5 GB/s a zapisu 1,9 GB/s, w macierzach DS4000 – odpowiednio 11 GB/s i 4,2 GB/s, co zapewnia płynną pracę tych urządzeń nawet przy dużym obciążeniu.

Kolejną wartą zainteresowania grupą produktów Infortrend jest seria EonNAS. Systemy NAS z serii 1000 to rozwiązania w obudowach typu rack, przeznaczone na rynek MŚP, zaprojektowane do współużytkowania plików, aplikacji IP oraz FC SAN i backupu danych. EonNAS 3000 to bardzo wydajny, zuniﬁkowany serwer, wyposażony w redundantne kontrolery active/active

Trzy pytania do… JERZEGO ADAMIAKA, KONSULTANTA DS . SYSTEMÓW PAMIĘCI MASOWYCH , ALSTOR CRN Na co klienci zwracają obecnie uwagę, wybierając pamięci masowe? JERZY ADAMIAK Obserwujemy coraz większe zainteresowanie kwestiami związanymi z wydajnością. Widać to szczególnie, gdy klienci mogą wybrać między klasyczną macierzą dyskową ze zwykłem kontrolerem a rozwiązaniem, w którym funkcje ochrony danych RAID realizowane są przez system opera-

oraz system ZFS zapewniający pełną integralność danych. Jego pojemność można rozbudować aż do ponad 2 petabajtów przestrzeni dyskowej. Macierze standardowo są wyposażone w interfejsy 1 GbE, ale dzięki modułowej konstrukcji można je rozbudować o dodatkowe gniazda na kartach rozszerzeń. Dostępne są karty z portami 1 i 10 GbE oraz 16 Gb FC.

cyjny, a nie przez kontroler. Ponieważ różnica w wydajności jest bardzo duża, wybór staje się coraz bardziej oczywisty. Rośnie też zainteresowanie dyskami SSD, wykorzystywanymi najczęściej do budowy warstwy szybkich nośników w macierzach dyskowych, pełniącej de facto funkcję rozbudowanego cache’u. Klienci doceniają tę możliwość, ponieważ na ogół zwykły cache, bazujący na pamięci RAM, trudno rozbudować do pojemności większej niż 32–64 GB. CRN Czy do oferty Alstor traﬁą też macierze all-ﬂash? JERZY ADAMIAK Tak, portfolio produktowe wzbogaca o takie urządzenia Infortrend, nasz główny dostawca rozwiązań macierzowych. Producent ten zdecydował się sprzedawać dwa najbardziej wydajne modele swoich macierzy – DS3000 i DS4000 – w wersji wypełnionej wyłącznie dyskami SSD. Będzie to bardzo korzystne cenowo rozwiązanie. Z testów

VADEMECUM CRN wrzesień 2015

adv_Alstor_storage_1.indd 56

2015-09-14 22:06:41

RDX – TWARDE W KASETACH

DYSKI

Urządzenia RDX to rozwiązania pamięci masowej, wykorzystujące dyski twarde o pojemności od 320 GB do 2 TB, zainstalowane w wymienialnych, odpornych na wstrząsy i wytrzymałych kasetach. Alstor ma w ofercie rozwiązania RDX produkcji połączonych niedawno ze sobą firm Tandberg Data i Overland Storage. Systemy RDX zapewniają niezawodny i wygodny backup – charakteryzują się dużo krótszym niż w przypadku taśm czasem dostępu do danych. Łatwe w użyciu oprogramowanie dołączone do napędów RDX umożliwia deduplikację danych i upraszcza zdefiniowanie procesu backupu. Trwałość zapisanych na kasetach RDX danych oceniono na minimum dziesięć lat. Wszystkie te zalety sprawiają, że RDX są idealne dla małych i średnich przedsię-

biorstw. Tandberg Data ma w ofercie także sieciową bibliotekę z wymiennymi nośnikami dyskowymi RDX QuikStation, zaprojektowaną w celu zapewnienia ochrony danych w małych i średnich przedsiębiorstwach oraz korporacjach.

ZMIENIACZE I BIBLIOTEKI Oferta automatycznych rozwiązań taśmowych połączonych firm Overland Storage i Tandberg Data obejmuje nową serię NEOs, składającą się z trzech rodzin urządzeń: zmieniaczy StorageLoader oraz bibliotek taśmowych T24 i T48. Ich główne wspólne cechy to: – możliwość wyboru napędów taśmowych LTO-5 lub LTO-6 oraz interfejsu SAS lub FC, – wymienne magazynki umożliwiające hurtowe ładowanie taśm i ich łatwe przechowywanie poza główną siedzibą firmy, – zdalne zarządzanie za pomocą przeglądarki WWW. Autoloadery StorageLoader to proste, bardzo ekonomiczne rozwiązania z jednym napędem LTO i ośmioma kieszeniami na taśmy. Biblioteki taśmowe z serii NEOs T24 to z kolei proste rozwiązania z jednym lub dwoma napędami LTO oraz 12 lub 24 kieszeniami na taśmy. Natomiast seria NEOs T48 składa się

przeprowadzonych przez Storage Performance Council wynika, że to bardzo wydajne macierze za rozsądne pieniądze. Urządzenia te wyposażono w obecny w kontrolerze i dyskach interfejs SAS 3.0, zapewniający przepustowość rzędu 12 Gb/s. CRN Na ile koszty zakupu systemu pamięci masowych i jego utrzymania stanowią wyzwanie dla klientów? JERZY ADAMIAK Niestety, koszty nadal są jednym z głównych kryteriów wpływających na podejmowanie decyzji. W firmach, które nie są objęte regulacjami nakazującymi zabezpieczanie danych w odpowiedni sposób, zarządy bardzo skrupulatnie weryfikują zasadność wydatków i szczególną uwagę zwracają na ceny. Jesteśmy w tej dobrej sytuacji, że większość dostawców, których rozwiązania oferujemy, ma w portfolio także rozwiązania w wersji ekonomicznej, na które może sobie pozwolić praktycznie każda firma. Nadzieję na wzrost popytu budzi także fakt, że obecnie raczej nie zdarza się, żeby klient zrezygnował całkowicie z danego projektu ze względu na jego cenę. Raczej zastanawia się, jak dany projekt zmodyfikować, zaplanować rozwój w przyszłości itd.

z zaawansowanych rozwiązań zawierających od jednego do czterech napędów LTO oraz 48 kieszeni.

ARCHIWIZACJA

NA DYSKACH

Alstor ma w ofercie również doskonałe rozwiązanie archiwizacyjne Imation Nexsan Assureon, które ułatwia spełnienie wymogów prawnych (m.in. HIPAA, SOX, SEC-17) dotyczących długoterminowego, bezpiecznego przechowywania danych. Urządzenie zapewnia doskonałą integralność danych dzięki mechanizmowi sygnatur generowanych dla każdego pliku, przechowywaniu dwóch kopii każdego pliku oraz funkcjom okresowego sprawdzania poprawności struktury danych i jej ewentualnego automatycznego naprawiania. Poufność informacji zapewniana jest przez śledzenie i rejestrowanie każdego dostępu do nich. Przechowywane dane mogą być oczywiście szyfrowane oraz dodatkowo chronione dzięki replikacji. Assureon może być stosowany w wielu dziedzinach, takich jak np. ochrona zdrowia (do przechowywania wyników badań, informacji z serwerów PACS i innych systemów medycznych) czy finanse (do przechowywania rekordów baz danych i dokumentów zgodnie z regulacjami prawnymi). Urządzenie umożliwia przechowywanie od 2,7 TB do wielu petabajtów danych bez żadnych ograniczeń, w odróżnieniu od konkurencyjnych rozwiązań, które limitują liczbę przechowywanych obiektów. W każdej chwili możliwa jest też rozbudowa urządzenia – zwiększenie jego pojemności oraz mocy obliczeniowej.

Dodatkowe informacje: JERZY ADAMIAK, KONSULTANT DS. SYSTEMÓW PAMIĘCI MASOWYCH, ALSTOR, J.ADAMIAK@ALSTOR.COM.PL VADEMECUM CRN wrzesień 2015

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ ALSTOR.

Od niedawna Alstor oferuje też serwery NAS firmy Seagate. Pierwsza z dwóch linii produktów to rozwiązania o pojemności do 30 TB dla małych firm, mieszczące od dwóch do sześciu dysków w obudowie desktop. Druga to produkty Business Storage NAS, w obudowach typu rack 1U, w wersjach z czterema lub ośmioma dyskami. Rodzinę tę uzupełnia jeden model Business Storage Windows Server, wyposażony w cztery dyski oraz jeden wymienny, służący do backupu. Urządzenia przystosowane są do pracy w firmach zatrudniających od 100 do 250 pracowników.

PRZECHOWYWANIE DANYCH

Dane zawsze bezpieczne w macierzach Lenovo

W czerwcu br. Lenovo po raz pierwszy w Europie wprowadziło do oferty macierze dyskowe przeznaczone do pracy w sieci SAN. Dwa nowe urządzenia, o symbolach S2200 i S3200, oferują unikalne w tym segmencie cenowym możliwości związane z bezpieczeństwem przechowywanych informacji.

acierze Lenovo Storage S2200 i S3200 to rozwiązania klasy entry i midrange. Są przeznaczone głównie dla małych i średnich firm, które potrzebują bardzo dobrej wydajności i skalowalności w przystępnej cenie. Zapewniają bogaty zestaw funkcji (spotykanych wcześniej w bardziej zaawansowanych urządzeniach), takich jak: automatyczne przenoszenie danych między warstwami nośników o różnej wydajności (automated storage tiering), dynamiczne przydzielanie przestrzeni dyskowej (thin provisioning), cache na dyskach SSD, kopie migawkowe i samoszyfrujące dyski. Urządzenia te są przystosowane do pracy jako repozytorium dla baz danych, aplikacji oraz środowisk wirtualizacyjnych. Mogą też być wykorzystywane w projektach konsolidacji pamięci masowych.

PARAMETRY I POZYCJONOWANIE Do obu macierzy producent oferuje napędy mechaniczne z interfejsami NL-SAS (7,2 tys. obr./min) i SAS (10 oraz 15 tys.

obr./min), a także dyski SSD (nie można instalować własnych napędów, wszystkie dostarczane są przez Lenovo i muszą być certyfikowane przez producenta). Mechaniczne dyski są dostępne w wersji szyfrowanej SED (Self-Encrypted Drives). Obudowa Lenovo Storage S2200 mieści 12 twardych dysków o średnicy 3,5 cala lub 24 napędów 2,5-calowych. Macierz wyposażona jest w maksymalnie dwa kontrolery działające w trybie active-active, każdy z dwoma portami do wyboru: Fibre Channel 8 Gb/s, Ethernet iSCSI 1/10 Gb/s lub SAS 6/12 Gb/s (w jednej macierzy nie wolno mieszać rodzajów portów). Do macierzy można dołączyć maksymalnie trzy półki dyskowe, rozbudowując jej maksymalną pojemność do 48 dysków 3,5-calowych lub 96 napędów 2,5-calowych. Macierz S3200 zapewnia podobne funkcje jak model S2200, ale ma dwa razy większą wydajność i skalowalność (do siedmiu półek dyskowych, po cztery porty I/O na kontroler). Ważną różnicą jest też dostępność kontrolerów hybrydowych, wyposażonych w dwa porty FC 16 Gb/s

MARCIN CZERWIŃSKI EMEA Enterprise Solution Services Consultant, Lenovo Enterprise Business Group

Macierze dyskowe S2200 i S3200 zostały zaprojektowane z myślą o tym, aby zapewnić małym i średnim firmom jak największe bezpieczeństwo zgromadzonych danych – zarówno ochronę przed ich utratą, jak też ciągłość pracy, gwarantującą możliwość nieprzerwanego prowadzenia działań biznesowych.

i dwa Ethernet-iSCSI. Urządzenie standardowo jest wyposażone w dwa kontrolery. Użytkownicy macierzy S3200 mogą wykonać dwukrotnie więcej kopii migawkowych niż w modelu S2200. Producent zagwarantował ochronę inwestycji klientów przez możliwość rozbudowania macierzy S2200 do modelu S3200, bez przenoszenia danych i rekonfiguracji hostów. Dzięki temu, że wszystkie metadane dotyczące zapisanych informacji na dyskach znajdują się w module midplane, wystarczy szybka wymiana kontrolera na nowy (do tej operacji konieczne jest jednak wyłączenie urządzenia).

BEZPIECZEŃSTWO DANYCH Podstawowym rozwiązaniem zapewniającym dostęp do danych jest zdublowanie kluczowych elementów macierzy w celu wyeliminowania tzw. pojedynczego punktu awarii: zasilaczy oraz kontro-

VADEMECUM CRN wrzesień 2015

MICHAŁA GĄSIORA, PRODUCT MANAGERA ODPOWIEDZIALNEGO ZA SERWERY I PAMIĘCI MASOWE,

LENOVO

CRN Rozwój oferty pamięci masowych Lenovo jest efektem utworzenia działu rozwiązań dla firm, oferującego przede wszystkim serwery kupione od IBM-a. Czy i w jakim stopniu ma miejsce współpraca producentów dotycząca systemów pamięci masowych? MICHAŁ GĄSIOR Po przejęciu od IBM-a rozwiązań serwerowych zrezygnowaliśmy całkowicie z urządzeń klasy NAS i skupiliśmy się na systemach dyskowych klasy podstawowej, podłączanych do sieci SAN. Obecnie wprowadzamy do oferty dwie macierze, które zostały od początku zaprojektowane przez inżynierów Lenovo. Dla niektórych mylące może być to, że ich dokumentacja techniczna ulokowana jest na serwerach IBM-a. Zdecydowaliśmy się na to, ponieważ wciąż znajdują się tam dokumenty dotyczące rozwiązań serwerowych i nie chcieliśmy tworzyć dwóch odrębnych repozytoriów wiedzy. W ofercie mamy też macierz dyskową Storwize V3700, której producentem jest IBM, a my sprzedajemy ją w modelu OEM. Planujemy jednak rozbudowywanie portfolio pamięci masowych o kolejne własne systemy. CRN Do jakiego typu klientów kierujecie ofertę pamięci masowych?

lerów i znajdujących się w nich portów. Wymienione komponenty pracują w trybie aktywnym, więc gdy jeden z nich ulegnie awarii, drugi natychmiast automatycznie przejmuje jego zadania. Macierze serii S2200/S3200 od podstaw zaprojektowano dla zapewnienia dostępności 99,999 proc., co rzadko ma miejsce w sprzęcie tej klasy. Ciekawostką jest fakt, że zapis danych do pamięci cache w macierzach S2200 i S3200 odbywa się równolegle w obu kontrolerach. W dotychczas używanych macierzach dyskowych tej klasy z reguły informacje zapisywane są w jednym kontrolerze i synchronizowane z drugim, co zmniejsza wydajność całego rozwiązania w związku z koniecznością potwierdzenia poprawności synchronizacji. Ważnym wyróżnikiem nowych urządzeń jest też to, że do podtrzymania

MICHAŁ GĄSIOR Macierze Lenovo Storage S2200 są przeznaczone dla klientów, którzy widzą potrzebę wdrożenia pierwszego systemu macierzowego w sieci SAN, bo „wyrośli” już z dysków wbudowanych w serwery, bądź ich systemy NAS przestały wystarczać. Natomiast model S3200 jest dla tych, którzy potrzebują większej pojemności i wydajności pamięci masowych. Co ważne, gdy ilość danych przetwarzanych przez klienta korzystającego z macierzy S2200 znacznie wzrośnie, może bardzo łatwo rozbudować ją do modelu S3200 – wystarczy kupienie kontrolera S3200 i zainstalowanie go. Nie jest potrzebne przenoszenie danych, można od razu korzystać ze wszystkich zapisanych informacji. Wymontowany kontroler S2200 natomiast można zainstalować w jednej posiadanych lub dokupionych półek dyskowych i w ten sposób stworzyć drugą pełnoprawną macierz, która będzie pełnić np. rolę urządzenia backupowego. CRN Jakie kompetencje powinien mieć partner, żeby sprzedawać macierze dyskowe Lenovo? MICHAŁ GĄSIOR Produkty te nie są trudne w instalacji i obsłudze, ale oczywiście trzeba mieć podstawową wiedzę z zakresu pamięci masowych. Obecnie prowadzimy cykl szkoleń w całej Polsce, organizujemy też pokazy dla partnerów i klientów w naszym laboratorium. Jeszcze w bieżącym roku rozpoczniemy cykl klasycznych szkoleń certyfikacyjnych, dzięki którym każdy reseller będzie mógł zyskać pełną wiedzę o tym produkcie. Ale partnerzy nie muszą zdobywać certyfikatów, by otrzymać wsparcie techniczne oraz ceny specjalne. Natomiast dla partnerów ze statusem Premium i Gold mamy przygotowane dodatkowe bonusy posprzedażowe, których wysokość zależy od zrealizowanego obrotu.

pamięci cache w przypadku awarii zasilania nie jest wykorzystana bateria, ale tzw. superkondensator. Funkcjonuje jak bateria, ale czas jego ładowania wynosi tylko 2–3 minuty, a jego żywotność określa się na około dziesięć lat. Dla zwykłej baterii wynosi ona rok lub dwa lata, więc z reguły konieczna jest jej wymiana w trakcie eksploatacji macierzy. Najczęściej wiąże się to z koniecznością wyłączenia urządzenia, co skutkuje niedostępnością danych dla firmowych aplikacji biznesowych. Zastosowanie samoszyfrujących dysków SED chroni zgromadzone na nich dane przed dostępem niepowołanych osób. To idealne zabezpieczenie w przypadku kradzieży całego urządzenia lub samych dysków, ale też chroni dane, gdy macierz lub pojedyncze dyski muszą trafić do serwisu lub utylizacji.

Modele S2200 i S3200 projektowane były tak, aby spełniać wymogi militarnego standardu MIL-STD (obecnie trwa finalizacja certyfikacji zgodności z tym standardem). Urządzenia mogą pracować w bardzo dużym zakresie temperatury, są odporne na wibracje, zanieczyszczenie powietrza, działanie szkodliwych gazów itp. Autoryzowanymi dystrybutorami oferującymi macierze Lenovo Storage S2200 i S3200 są: AB, ABC Data, Action, Arrow ECS, Avnet, RRC i Tech Data.

Dodatkowe informacje: MICHAŁ GĄSIOR, SERVERS & STORAGE PRODUCT MANAGER, MGASIOR@LENOVO.COM VADEMECUM CRN wrzesień 2015

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ LENOVO.

Trzy pytania do…

PRZECHOWYWANIE DANYCH

IronKey Workspace zapewnia bezpieczną pracę Często podróżujący lub przemieszczający się pracownicy mogą skorzystać z bezpiecznej pamięci USB z zainstalowanym systemem Windows.

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI IRONKEY I ALSTOR.

amięci IronKey Workspace są przeznaczone dla pracowników, którzy podczas wykonywania zawodowych zadań przetwarzają poufne informacje, natomiast rzadko lub wcale nie korzystają z komputera w miejscu pracy. Producent oferuje trzy modele pamięci: W300, W500 i W700 (każdy wyposażony w interfejs USB 3.0 i dostępny w wersji o pojemności 32, 64 lub 128 GB), które różnią się przede wszystkim stopniem zabezpieczenia danych. Są certyﬁkowane przez Microsoft do pracy w środowisku Windows To Go. Umożliwia ono zainstalowanie w pełni funkcjonalnego systemu operacyjnego Windows w wersji 8, 8.1 i 10 Enterprise bezpośrednio w pamięci IronKey i uruchamianie go w bezpiecznym, szyfrowanym sprzętowo 256-bitowym kluczem XTS-AES środowisku (sprzętowego szyfrowania nie zapewnia tylko model W300, w jego przypadku trzeba korzystać z wbudowanego w Windows mechanizmu Microsoft BitLocker). Zainstalowany w pamięci system można uruchomić na wszystkich komputerach PC, Mac oraz na wybranych tabletach pracujących w systemie Windows (np. zapasowych urządzeniach w biurze – w przypadku awarii głównego komputera, prywatnych komputerach lub sprzęcie w siedzibie klienta, na lotnisku itp.). W pamięci USB z systemem Windows To Go może się znajdować pełna kopia środowiska desktopowego.

BEZPIECZNE I WYDAJNE Dzięki przetwarzaniu danych w bezpiecznym środowisku sprzęt pracowników jest chroniony przed wyciekiem informacji. Dział IT zyskuje przy tym gwarancję, że pracownicy, współpracownicy i partnerzy korzystają ze środowiska stworzonego i zarządzanego przez administratorów. Pamięci IronKey zostały przetestowane w wyjątkowo trudnych warunkach – były

i przenośnymi twardymi dyskami z rodziny Enterprise. Oprogramowanie to gwarantuje także: tworzenie reguł polityki bezpieczeństwa, narzucanie Możliwość bezpiecznego wykorzystania stopnia skomplikowania hasła DOWOLNEGO komputera PC i określanie czasu, po którym się ono dezaktualizuje, limitu błędnych wprowadzeń hasła itd. Możliwość Zdalnie można też resetować uruchomienia Windows na komputerze Mac urządzenia, kasować hasła, aktualizować polityki, wymuszać tryb tylko do odczytu, dezaktywować, a nawet niszczyć zdalnie Proste działanie: urządzenia (wewnątrz obudowy 1 podłącz IronKey do portu USB dochodzi wówczas do mikrowy2 uruchom komputer buchu) – gdziekolwiek na świecie 3 potwierdź tożsamość 4 pracuj bezpiecznie się znajdują, wystarczy, że zostaną podłączone do komputera z dostępem do Internetu. poddane wielogodzinnym testom ciągłeDzięki narzędziu Workspace Provisiogo zapisu i odczytu. Ich obudowa jest od- ning Tool możliwe jest szybkie wyposażeporna na wodę, pył i wstrząsy (zgodność nie wielu urządzeń IronKey Workspace z amerykańskim wojskowym standardem w system Windows 8/8.1 lub Windows 10, MIL-STD-810F). Mogą pracować w tem- co ułatwia pracę administratorom w duperaturze 0–40 O C i być przechowywane żych środowiskach, gdzie często dochodzi do zmian kadrowych. Statystyki dowow temperaturze -40–85 O C. IronKey Workspace zapewnia wydaj- dzą, że zainstalowanie tego systemu na ność znacznie przekraczającą wymaga- 14 urządzeniach trwa ok. 20 minut. nia systemu Windows To Go odnośnie do Dystrybutorem pamięci IronKey w Poltransferu danych. Sekwencyjny odczyt sce jest Alstor. Resellerzy mogą zapisać się odbywa się z prędkością do 400 MB/s, do programu partnerskiego i zyskać dostęp a zapis – 316 MB/s. do narzędzi marketingowych oraz sprzedażowych na stworzonym specjalnie dla CENTRALNE ZARZĄDZANIE nich portalu. Mogą też brać udział w szkoIronKey zapewnia centralne zarządzanie leniach oraz rejestrować projekty, rezernawet tysiącem urządzeń, także sprzę- wując sobie tym samym ceny specjalne. tem wykorzystywanym przez użytkowników, którzy łączą się z serwerem nie przez ﬁrmową sieć, lecz wyłącznie przez Internet. Służy do tego (dostępne jako opcja) oprogramowanie Enterprise Management Server, które umożliwia zarzą- Dodatkowe informacje: KRZYSZTOF KRAWCZYK, dzanie urządzeniami IronKey: z rodziny DYREKTOR DZIAŁU ZARZĄDZANIA SYSTEMAMI IT, Workspace, zwykłymi pamięciami USB ALSTOR, K.KRAWCZYK@ALSTOR.COM.PL

IronKey Workspace

VADEMECUM CRN wrzesień 2015

adv_Alstor_IronKey.indd 60

2015-09-10 22:33:57

Profesjonalna ochrona danych w środowisku Windows Poniższa graﬁka przedstawia porównanie IronKey Workspace z laptopem bazując na podstawie kilku kryteriów mających kluczowe znaczenie w IT.

Laptop • Lokalny system operacyjny podatny na ataki lub niewłaściwe użycie • Niewielkie zainteresowanie szyfrowaniem dysków twardych

IronKey Workspace

Bezpieczeństwo

• Wszystkie dane przechowywane lokalnie na nośniku IronKey • Nie pozostawia żadnych danych i śladów użycia na urządzeniu, do którego jest podłączony • Nośnik zaszyfrowany sprzętowo

dyrektorów IT uważa, że szyfrowanie oraz inne technologie zapobiegające utracie danych są ważne (rok wcześniej: 49%*)

• Kopia systemu operacyjnego, centralne zarządzanie aplikacjami • Fizyczne bezpieczeństwo, lokalne zarządzanie szyfrowaniem

Zarządzanie

• Kopia systemu operacyjnego, centralne zarządzanie aplikacjami • Fizyczne bezpieczeństwo, centralne zarządzanie szyfrowaniem • Możliwość zdalnego usuwania danych

Wdrożenie

• Przystosowany do pracy z dziesiątkami urządzeń oraz centralnego zarządzania • Łatwy do przenoszenia i przechowywania • Lekki i kompaktowy – z łatwością zmieści się w kieszeni

• Wymaga skatalogowania, utworzenia kopii systemu operacyjnego, przetestowania • Potrzebuje zasilacza i akcesoriów • Nieporęczny

organizacji odnotowało przypadki kradzieży lub zaginięcia laptopów. Ponad połowa zgłosiła naruszenie bezpieczeństwa.**

• Zgubiony lub skradziony nośnik jest bezużyteczny • Zabezpieczony przed ﬁzycznym uszkodzeniem i próbami manipulacji • Solidny i wodoodporny, spełnia specyﬁkacje wojskowe

Wytrzymałość

28 765

to średnia liczba informacji ujawnionych lub skompromitowanych podczas jednorazowego przypadku naruszenia danych wśród amerykańskich ﬁrm.*** Laptop dla ﬁrmy kosztuje ok.

1500 dolarów

Cena Koszt pamięci IronKey to ok.

179 dolarów Średni koszt pojedynczego naruszenia bezpieczeństwa danych wśród amerykańskich ﬁrm*** to

łącznie z licencją Windows Software Assurance

5,4 miliona dolarów

*Ponemon Institute, 2013 State of the Endpoint Report **IDC Executive Brief, Laptop Theft: The Internal and External Threats - 2012 ***Ponemon Institute, 2013 Cost of Data Breach Study: Global Analysis

adv_Alstor_IronKey.indd 61

2015-09-10 22:34:30

KOPIE ZAPASOWE I ARCHIWIZACJA

Ochrona danych coraz bardziej profesjonalna Obecnie trudno jest znaleźć przedsiębiorstwo bez systemu tworzenia kopii zapasowych, ale wciąż jest wiele takich, w których skuteczność tego procesu można znacznie poprawić. KRZYSZTOF JAKUBIK Według badań IDC obecnie na świecie 20 proc. cyfrowych danych znajduje się w chmurze, ale w 2020 r. współczynnik ten ma wzrosnąć do 40 proc. Wraz z ich przyrostem, liniowo rośnie ilość miejsca potrzebnego na wykonywanie kopii zapasowych, ale nie jest to jedyny „generator” kosztów. W wielu przedsiębiorstwach często okazuje się, że moc serwerów backupu lub przepustowość sieci przestają

być wystarczające. Ponadto środowisko IT, które umożliwia zabezpieczanie i archiwizację danych, robi się na tyle skomplikowane, że konieczne jest zatrudnienie dodatkowego personelu. – Rynek rozwiązań backupu i archiwizacji generalnie jest dojrzały, ale cały czas ewoluuje – mówi Ryszard Regucki, dyrektor kanału sprzedaży w regionie Europy Wschodniej w Commvault. – Rośnie po-

jemność nośników, pojawiają się też nowe metody na ograniczenie ilości danych zapisywanych w ramach kopii zapasowej. Wiele ﬁrm stosuje różne rozwiązania do ochrony danych, ale resellerzy nadal mogą proponować im sprzedaż nowych systemów, uzupełnionych np. o mechanizmy deduplikacji. Wyzwań w obszarze backupu jest sporo. Według analityków w najbliższym czasie bardzo szybko będzie roz-

VADEMECUM CRN wrzesień 2015

Txt_kopie zapasowe.indd 62

2015-09-14 22:38:57

wijał się segment związany z backupem między różnymi usługami w chmurze. Dostawcy zaklinają się, że dane przechowywane w ich infrastrukturze są bardzo bezpieczne, jednak ostatnio życie kilkakrotnie brutalnie zweryfikowało te deklaracje. Przynajmniej raz w roku niedostępny jest nawet Gmail, z którego korzysta niemały odsetek firm. Kilka rozwiązań do backupu poczty z Gmaila czy Office’a 365 dostępnych jest już teraz, ale w najbliższym czasie z pewnością będzie można zaobserwować wysyp podobnych systemów przygotowanych z myślą o ochronie danych z innych usług. Zresztą popularność tego typu rozwiązań będzie rosła nie tylko z powodu możliwej niedostępności danej usługi. Gdy użytkownik zrezygnuje z subskrypcji Office’a 365, Microsoft skasuje jego dane po 90 dniach. Tymczasem z powodów prawnych wiele firm musi przechowywać swoją korespondencję znacznie dłużej. Wówczas jedynym rozwiązaniem będzie oprogramowanie umożliwiające profesjonalną archiwizację e-maili, która gwarantuje trwałość zabezpieczonych danych.

NA JAKIM NOŚNIKU ROBIĆ BACKUP? Wybór właściwego nośnika do backupu od lat budzi emocje. Wielokrotnie „pogrzebana” stara, dobra taśma nadal jest popularna. Mimo że dostęp do zapisanych na niej danych bywa utrudniony i trwa długo, administratorzy doceniają fakt, że jest to rozwiązanie stabilne i sprawdzone. Zaletą taśm jest bardzo duża pojemność, ale też to, że samo przechowywanie danych na taśmie nie wiąże się z jakimkolwiek poborem prądu. W małych ﬁrmach, w których macierze dyskowe wykorzystywane do backupu mają tylko kilka lub kilkanaście dysków, zalety taśm nie mają większego znaczenia. Za to w rozległej infrastrukturze IT roczne oszczędności tylko na samym prądzie mogą iść w tysiące złotych. Przy czym backup to nie jedyne zastosowanie dla taśm. – Zapytania o taśmowy backup wciąż się pojawiają, ale jest ich mniej niż w zeszłym roku – twierdzi Jerzy Adamiak, konsultant ds. systemów pamięci masowych w ﬁrmie Alstor. – Natomiast rośnie

popularność taśm w rozwiązaniach archiwizacyjnych. Widać, że administratorzy zaakceptowali system plików Linear Tape File System, zaprezentowany stosunkowo niedawno, bo kilka lat temu. Przez długi czas szukano możliwości wykorzystania nośnika, który – tak jak taśma – byłby wymienny i jednocześnie zapewniał szybszy dostęp do danych. Reguły polityki bezpieczeństwa w wielu ﬁrmach nakazują bowiem systematyczne wywożenie z siedziby przynajmniej jednej kopii zapasowej. Przez pewien czas pokładano nadzieję w nośnikach optycznych i magnetooptycznych, ale dziś ich zastosowanie spadło prawie do zera – przede wszystkim ze względu na małe pojemności. Dekadę temu powstał standard RDX, który ma wszystkie cechy rozwiązania idealnego. 2,5-calowe dyski twarde umieszczone w kasetach odpornych na uszkodzenia mogą być wywiezione z siedziby ﬁrmy po zrobieniu kopii i zapewniają bardzo szybki dostęp do zapisanych danych. Ich cena oczywiście jest wyższa niż w przypadku rozwiązań taśmowych, ale nadal akceptowalna. Niestety, standard ten przyjmuje się w Polsce bardzo powoli. Wzrost popularności modelu usługowego przyniósł też możliwość backupu bezpośrednio do zasobów w chmurze

WOLFGANG MAY Channel Manager CEE, Barracuda Networks

Backup i archiwizacja są procesami, którymi interesować się będzie coraz więcej ﬁrm. Resellerzy mogą na tym tylko skorzystać – obok klasycznej odsprzedaży i integracji rozwiązań, mogą też proponować klientom skorzystanie z rozwiązań wirtualnych oraz usług świadczonych w chmurze. Mimo pewnych obaw, które model chmurowy obecnie wywołuje, korzyści w postaci elastyczności i redukcji kosztów mówią same za siebie, a liczba klientów korzystających z takich rozwiązań będzie znacząco rosła.

publicznej. Taki sposób zabezpieczania danych może się sprawdzić głównie w małych ﬁrmach, gdzie ilość danych nie jest duża. Co prawda, za niewielkie pieniądze można kupić usługę „no limits”, ale pojawia się wiele innych ograniczeń lub niedogodności. Należy do nich wiarygodność dostawcy usługi, konieczność stałego i szybkiego dostępu do Internetu,

Usługi zarządzanego backupu w chmurze szansą dla resellerów W Europie klienci dość sceptycznie podchodzą do backupu w chmurze. Natomiast w Stanach Zjednoczonych ten rodzaj usługi kwitnie. Firma CloudBerry Lab przeprowadziła ankietę wśród 434 integratorów i dostawców usług zarządzanych, w której pytała o wpływ usług backupu na ich biznes. Biorąc pod uwagę, że trendy obecne na rynku amerykańskim są powielane w Europie po 2–3 latach, być może tak będzie i w tym przypadku. Poniżej kluczowe informacje z opublikowanego raportu: – 79 proc. ankietowanych wskazało, że zainteresowanie usługami zarządzanego backupu w chmurze znacznie wzrośnie w ciągu najbliższego roku, – 51 proc. respondentów przyznało, że trudno byłoby im stworzyć konkurencyjną ofertę, gdyby nie mogli zaproponować klientowi backupu w chmurze, zaś tylko 29 proc. ankietowanych twierdzi, że backup w chmurze praktycznie nie przynosi im żadnych zysków, – dwa najważniejsze czynniki dotyczące usług backupu w chmurze to niezawodność i cena, – usługi zarządzanego backupu w chmurze przynoszą trzykrotnie większe zyski niż odsprzedawanie zwykłego backupu w chmurze, – główne obawy to brak gwarancji poufności danych i ich niedostępność w przypadku braku lub bardzo wolnego łącza internetowego.

VADEMECUM CRN wrzesień 2015

Txt_kopie zapasowe.indd 63

2015-09-14 22:39:16

KOPIE ZAPASOWE I ARCHIWIZACJA a także brak możliwości zgodnego z prawem backupowania w tym modelu i poufnych danych. Mimo wielu wysiłków ze strony ﬁrm świadczących takie usługi na backup ﬁrmowych danych w chmurze decydują się nieliczni. Przedsiębiorstwa, które nie muszą wywozić nośnika z siedziby, mogą realizować backup na dysk – ta metoda jest obecnie najczęściej stosowana. Można do tego wykorzystać coraz popularniejsze urządzenia, które są przeznaczone wyłącznie do tego celu, ewentualnie skonstruować własne środowisko, w którym ustanowiony zostanie serwer backupu zapisujący dane na dołączonej do niego macierzy dyskowej.

WARTO WIEDZIEĆ, CZYLI BACKUPOWE PUŁAPKI

W każdej dziedzinie związanej z ochroną danych można natknąć się na wiele pułapek, ale w przypadku backupu jest ich wyjątkowo dużo. Warto wystrzegać się głównie tych związanych z kosztami. Tym

Szczególnie szybko będzie rozwijał się backup w chmurze. bardziej że backup to tylko rodzaj ubezpieczenia na wypadek utraty danych – nie zapewnia on ﬁrmom żadnych konkretnych korzyści usprawniających ich pracę. Przede wszystkim konieczne jest określenie całościowych kosztów związanych z użytkowaniem systemu, w tym uwzględnienie wydatków na administrację, zasilanie, konieczność dokupowania nośników w przypadku ich awarii lub znacznego rozrośnięcia się całego środowiska. Ważne jest też zweryﬁkowanie modelu licencjonowania oprogramowania służącego do backupu. Niektórzy jego dostawcy pobierają opłaty dosłow-

nie za wszystko (za każdą stację, z której wykonywana jest kopia, za nowe wersje systemu operacyjnego, za ilość zabezpieczanych danych itp.). Częstym błędem popełnianym przez klientów jest pomijanie kwestii organizacyjnych, związanych z utrzymaniem środowiska backupu. Zakładają oni, że raz wdrożone rozwiązanie i zdefiniowany proces będą trwały wiecznie. To duży błąd, bo poprawności wykonania backupu trzeba doglądać niemal codziennie, a przynajmniej raz w roku dogłębnie weryfikować możliwość odtworzenia danych z kopii zapasowej. W firmach, które nie mają wyznaczonej osoby odpowiedzialnej za ten proces, taką usługę mogą – oczywiście za dodatkową opłatą – świadczyć resellerzy. W każdym razie nigdy nie można pozostawić środowiska backupu samemu sobie. Różnego typu problemy pojawiają się zazwyczaj bardzo szybko, a brak reakcji wychodzi na jaw w najmniej oczekiwanym momencie. Niezmiernie ważną rzeczą jest czas odtworzenia zabezpieczonych danych i łatwość uruchomienia tego procesu. Ma to szczególne znaczenie w przypadku, gdy danych jest dużo. W sytuacji awaryjnej często emocje biorą górę, warto więc przeprowadzić testy i być gotowym na odtworzenie systemu (np. dysponować zapasowymi dyskami). Jeżeli firma decyduje się na backup w miejscu, z którego odtworzenie trwa długo (np. w chmurze), warto też dokonać podziału danych na takie, do których dostęp musi być przywrócony bardzo szybko, i takie, na które można chwilę poczekać.

RYNEK URZĄDZEŃ I OPROGRAMOWANIA DO BACKUPU

Na rynku rozwiązań do backupu i archiwizacji nie ma rewolucji. Już od pewnego czasu widać proces ujednolicania oferty przez dostawców oprogramowania. Ci, którzy specjalizowali się w backupie klasycznych serwerów i plików, szybko uzupełniają swoje rozwiązania o backup wirtualnych środowisk. Z kolei Veeam, który osiągnął bardzo duży sukces właśnie w dziedzinie backupu wirtualnej infrastruktury, zapowiedział rozszerze-

KRZYSZTOF RACHWALSKI dyrektor regionalny na rynkach Europy Wschodniej, Veeam Software

Firmom zależy Fi l przede wszystkim na zapobieganiu przestojom i coraz więcej z nich jest zainteresowanych sprawnym odzyskiwaniem danych bez względu na skalę awarii. Przedsiębiorstwa nie interesują się już długością „okna backupowego”, ale kładą nacisk na zmniejszanie wskaźników RPO i RTO. Dotychczas kopia zapasowa traktowana była jak polisa ubezpieczeniowa. Teraz ﬁrmy zauważają, że dzięki wirtualizacji i korzystaniu z nowoczesnego oprogramowania do backupu możliwe jest zapewnienie dostępności i ciągłości biznesowej przy stosunkowo niskich kosztach.

nie swojego oprogramowania o inne rozwiązania do sporządzania kopii danych. Pierwszym krokiem tego producenta było udostępnienie bezpłatnego oprogramowania do backupu stacji roboczych. Jak pokazuje jednak stosowana wcześniej taktyka firmy, celem jest zdobycie doświadczenia i finalnie zaproponowanie komercyjnego rozwiązania. O tym, że na rynku oprogramowania do backupu jest „nudno”, świadczy tegoroczny raport Gartner Magic Quadrant dotyczący opisywanego segmentu. Tradycyjnie liderami pozostały takie firmy, jak Commvault, EMC, IBM i Symantec. Miano wizjonerów przyznano Actifio i Veeam, zaś jako challengera wskazano tylko jedną firmę – HP. Pozostali dostawcy to gracze niszowi. Identycznie jak rok temu wygląda także sytuacja w przypadku rozwiązań sprzętowych przeznaczonych do backupu. Według danych IDC pierwsze miejsce na tym rynku niepodzielnie zajmuje EMC z udziałem wynoszącym ponad 50 proc. Na drugiej pozycji jest Symantec (kilkanaście procent, wartość udziału waha się w zależności od kwartału), a na kolejnych IBM, HP, Barracuda, Quantum i Dell – każda z nich z kilkuprocentowym udziałem.

VADEMECUM CRN wrzesień 2015

Txt_kopie zapasowe.indd 64

2015-09-14 22:39:36

Backup wirtualnych środowisk z Altaro – szybki, prosty i skuteczny Altaro VM backup to potężne, ale jednocześnie bardzo proste i szybkie w konﬁguracji narzędzie do backupu wirtualnych środowisk zarządzanych przez oprogramowanie Microsoft Hyper-V i VMware. kownika (kolejkowanie zadań lub ich jednoczesne wykonywanie). Unikalną funkcją jest też mechanizm przyrostowej selekcji plików do skopiowania – ReverseDelta, który zapewnia wydajność procesu większą o ok. 300 proc. niż osiągana standardowymi metodami. Ta stworzona przez Altaro technika zapewnia zapisywanie jedynie różnic (tzw. delt) pomiędzy poszczególnymi wersjami zmienionego pliku, zamiast kopiowania całego pliku po każdej zmianie. Większość rozwiązań do backupu przechowuje wyjściową wersję pliku i zapisuje zmiany od pierwszego backupu. W efekcie po kilku tygodniach lub miesiącach proces odzyskiwania staje się niezwykle złożony. Dzięki ReverseDelta ostatni backup jest zawsze pełnym plikiem, a w razie potrzeby uzyskania dostępu do najbardziej aktualnej jego wersji administrator może skorzystać bezpośrednio z dysku backupowego i nie musi odbudowywać pliku z poszczególnych delt.

STANDARDOWE I NIEOGRANICZONE Oprogramowanie Altaro VM Backup oferowane jest w trzech wersjach: Free (backup do dwóch wirtualnych maszyn na host), Standard (backup do pięciu wirtualnych maszyn na host) oraz Unlimited (backup nielimitowanej liczby wirtualnych maszyn). W wersji Unlimited zapewniono też wsparcie dla woluminów CSV działających w klastrach CSV oraz przywracanie pojedynczych elementów z Exchange. Backupowi mogą być poddawane wszystkie systemy operacyjne obsługiwane przez Microsoft Hyper-V oraz VMware. Altaro VM Backup musi być zainstalowany na maszynie z systemem Windows lub hoście Hyper-V. Jako host mogą funkcjonować systemy: – dla Hyper-V: Windows Server 2008 R2/ /2012/2012 R2/Core, – dla VMware: ESXi 5.0/5.1/5.5/6.0 vCenter 5.0/5.1/5.5/6.0. Natomiast jako docelowe miejsca backupu mogą być wykorzystywane zewnętrzne dyski USB i eSATA, systemy NAS i SAN, iSCSI, serwery plików typu UNC oraz dyski RDX. Dystrybutorem oprogramowania Altaro jest ﬁrma ed&r Polska.

Dodatkowe informacje: JAKUB SIEŃKO, DYREKTOR HANDLOWY, ED&R, JSIENKO@EDR.PL VADEMECUM CRN wrzesień 2015

adv_ed&r-Altaro.indd 65

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI ALTARO SOFTWARE I ED&R.

oﬁgurację backupu każdej maszyny wirtualnej można przeprowadzić w pięciu krokach dzięki oprogramowaniu Altaro VM Backup. Zapewnia ono także przywracanie pojedynczych wirtualnych maszyn zamiast całego hosta. Altaro VM Backup ma wiele funkcji ułatwiających zarządzanie środowiskiem backupu. Jedną z ciekawszych jest Drive Swap, która zapewnia zmienianie dysków będących nośnikiem backupu według przyjętego dziennego harmonogramu. Jako nośniki można wykorzystać dyski USB, SATA i eSATA – poszczególne urządzenia są automatycznie rozpoznawane przez oprogramowanie Altaro, dzięki czemu ograniczone jest ryzyko ludzkiego błędu polegającego na podłączeniu niewłaściwego urządzenia. Poza tym, zamiast konﬁgurować harmonogram dla każdej wirtualnej maszyny, można stworzyć grupę maszyn, których kopie zostaną wykonane zgodnie z preferencjami użyt-

2015-09-11 00:00:27

KOPIE ZAPASOWE I ARCHIWIZACJA

Commvault:

zunifikowana platforma przynosi więcej korzyści Stworzone przez Commvault oprogramowanie do backupu i archiwizacji Simpana zapewnia wysoki poziom integracji z aplikacjami i systemami zarządzającymi środowiskami wirtualnymi. Producent współpracuje z różnymi dostawcami pamięci masowych, aby zagwarantować uniwersalność swojego rozwiązania.

procesie zabezpieczania danych Simpana wykorzystuje wiele nowoczesnych technik, takich jak tworzenie kopii migawkowych. Wpływa to na skrócenie czasów Recovery Time Objective i Recovery Point Objective. W efekcie

odzyskane dane są bardzo aktualne, a proces ich przywracania po awarii zostaje skrócony do minimum. Dzięki automatyzacji procesu prowadzenia backupu oraz zastosowaniu deduplikacji gromadzonych danych klienci zyskują możliwość zwiększenia efektyw-

Trzy pytania do… RYSZARDA REGUCKIEGO, DYREKTORA KANAŁU SPRZEDAŻY W REGIONIE EUROPY WSCHODNIEJ, COMMVAULT CRN Jak w ostatnim czasie zmieniają się potrzeby firm związane z backupem i archiwizacją?w RYSZARD REGUCKI Klienci coraz częściej dostrzegają wyzwania w obszarze zarządzania danymi poddanymi backupowi oraz archiwizacji, co stawia nas, dostawcę zintegrowanego rozwiązania, na uprzywilejowanej pozycji. Przede wszystkim średnie i duże ﬁrmy zauważyły korzyści płynące z połączenia środowisk backupu i archiwizacji, częściowo z uwagi na fakt, że prawo bądź wewnętrzne regulacje zmuszają je do odpowiedniego zabezpieczenia danych i zagwarantowania przejrzystości tego procesu. Oczywiście, nie bez znaczenia jest też bardzo szybki przyrost ilości danych oraz potrzeba skutecznej ochrony informacji o specyﬁcznej strukturze, np. z systemów monitoringu i inteligentnego opomiarowania. CRN Z czego wynika chęć integracji backupu z archiwizacją? Przez wiele lat były to przecież odrębne procesy, każdy realizowany w innym celu…

ności pracy i ograniczenia kosztów przechowywania informacji. Nowatorskie podejście ﬁrmy Commvault do ochrony danych zostało docenione przez wiele instytucji i przedsiębiorstw na całym świecie, a także przez Gartnera, którego analitycy od pięciu lat uznają rozwiąza-

RYSZARD REGUCKI Cele rzeczywiście są różne, ale to nie przeszkadza w integracji backupu i archiwizacji. Dotychczasowe ich rozdzielenie wynikało głównie z ograniczeń technicznych oraz wysokich cen niektórych typów nośników. Jeszcze dekadę temu tylko nielicznym przychodziło do głowy tworzenie długoterminowego archiwum na twardych dyskach, a dziś – dzięki spadkom cen napędów – w wielu ﬁrmach jest to standard. Integracja tych procesów przynosi oszczędności, bo nie ma konieczności utrzymania dwóch środowisk zarządzania danymi i dwóch oddzielnych repozytoriów danych. CRN Przez długie lata trzeba było namawiać ﬁrmy, aby robiły backup. Archiwizacji nie robił prawie nikt. Jak bardzo w ostatnim czasie wzrosło przekonanie klientów o konieczności zabezpieczania danych? RYSZARD REGUCKI Klienci coraz lepiej rozumieją strukturę posiadanych danych i widzą, jak szybko rośnie ich ilość. Dzięki temu obserwują też, że zarządzają pewną pulą niezmieniających się danych, które z różnych powodów nie mogą zostać skasowane i że ich przechowywanie w profesjonalnie zorganizowanym archiwum może być tańsze. Jako dostawca oprogramowania do backupu i archiwizacji prowadzimy też wiele projektów, w ramach których pomagamy klientom oceniać, czy powinn archiwizować swoje dane, jakie mogą uzyskać dzięki temu korzyści i jak zorganizować cały ten proces. Do prowadzenia działań edukacyjnych zachęchamy także autoryzowanych partnerów Commvault.

VADEMECUM CRN wrzesień 2015

adv_CommVault.indd 66

2015-09-14 23:33:14

INNOWACYJNY BACKUP I ARCHIWIZACJA W oprogramowaniu Simpana ﬁrmy Commvault zastosowano technikę ułatwiającą tworzenie kopii migawkowych – IntelliSnap. Współpracuje ona z mechanizmami snapshotów stosowanymi w macierzach dyskowych i zapewnia długotrwałe przechowywanie oraz łatwe wyszukiwanie i odzyskiwanie danych z kopii zapasowych. Żadne inne rozwiązanie na rynku nie zapewnia tak szerokiej integracji z macierzami dyskowymi oraz możliwości granularnego odzyskiwania danych z kopii migawkowej (nawet w przypadku maszyn wirtualnych) i eksportowania kopii do systemów archiwizacji. Commvault opracował także rozwiązanie Simpana OnePass, które scala proces tworzenia kopii zapasowych, archiwizacji i raportowania w jedną operację. Oprócz backupu i archiwizacji plików system OnePass zapewnia też ochronę danych z systemów pocztowych Exchange. Oprogramowanie Simpana już od dawna umożliwia użytkownikom redukcję objętości zabezpieczanych danych. W najnowszej wersji zaimplementowany został mechanizm deduplikacji czwartej już generacji. Eliminowanie duplikatów może odbywać się zarówno podczas procesu kopiowania danych, jak i po nim, już na nośnikach z wykonaną kopią. Innowacją w oprogramowaniu Simpana jest także funkcja DASH Copy, która zmienia proces wykonywania replikacji danych. Wykorzystuje unikalny sposób zarządzania deduplikacją, który zapewnia użytkownikom tworzenie wielu kopii danych. Można to określić jako replikowanie tylko unikalnych danych po procesie deduplikacji, dzięki czemu minimalizowany jest ruch w sieci rozległej (WAN). Funkcję DASH Copy można wykorzystać do szybkiego tworzenia kopii danych w innej lokalizacji, co umożliwia ich odzyskanie w przypadku awarii. W rezultacie nie trzeba wykonywać klasycznej i kosztownej replikacji bazującej na macierzach.

Korzyści ze skonsolidowanego backupu i archiwizacji z Commvault Simpana • Ograniczenie kosztów dzięki jednemu rozwiązaniu do tworzenia kopii zapasowych, Disaster Recovery, archiwizacji, replikacji, wyszukiwania i eDiscovery. • Zagwarantowanie krótkich czasów RPO i RTO, dzięki wykorzystaniu szybkich i wydajnych kopii migawkowych z granularnym odzyskiwaniem. • Ochrona urządzeń końcowych dzięki zintegrowanym kopiom danych z laptopów i desktopów, webowe i mobilne aplikacje zapewniające użytkownikom bezpieczny zdalny dostęp do danych i ich współużytkowanie. • Możliwość świadczenia usług ochrony danych w modelu chmury prywatnej lub publicznej, dzięki separacji zasobów i zaawansowanym mechanizmom. • Zwiększenie wydajności dzięki konsolidacji i automatyzacji procesów. • Duża skalowalność dzięki globalnej deduplikacji i zabezpieczeniom wykorzystującym szybkie kopie migawkowe. • Zwiększenie produktywności użytkowników dzięki bezpiecznemu, samoobsługowemu, opartemu na rolach dostępowi do wszystkich zindeksowanych danych. • Zaawansowany silnik raportowania, zautomatyzowane mechanizmy zarządzania i rozwiązywania problemów.

Funkcja DASH Copy jest również znakomita do obsługi rozproszonych baz, w przypadku których użytkownicy chcą zachować lokalną, nieduplikowaną kopię danych oraz szybko i skutecznie przesyłać drugą kopię do zapasowej lokalizacji. Wszystkie funkcje oprogramowania Simpana opracowano od podstaw w ﬁrmie Commvault, bez wykorzystywania technologii i uzupełnień pochodzących z innych producentów. A, co najważniejsze, działanie systemu nie wymaga skomplikowanych i czasochłonnych skryptów usprawniających jego pracę.

WSPARCIE DLA PARTNERÓW Commvault oferuje swoje rozwiązania wyłącznie w kanale partnerskim. Firmy zainteresowane odsprzedażą rozwiązań do backupu i archiwizacji Simpana powinny rozważyć przystąpienie do programu partnerskiego PartnerAdvantage. Oferuje on tradycyjny model sprzedaży licencji i usług, jak również możliwość rozpoczęcia współpracy jako dostawca usług w modelu Cloud Service Provider. Producent przykłada dużą wagę do udziału partnerów w projektach – dba, aby byli przygotowani do świadczenia usług doradczych, pomagali klientom w analizowaniu ich problemów, umieli rozpoznać potrzeby, zasugerować naj-

lepsze podejście odnośnie zabezpieczenia danych oraz wskazać i różnice między długoterminowym przechowywaniem i szybkim backupem oraz korzyści z ich zastosowania. Dla partnerów przygotowane są specjalne programy szkoleniowe, dzięki którym zyskują szansę poszerzenia wiedzy niezbędnej do realizacji bardziej skomplikowanych projektów. Autoryzowani partnerzy Commvault mogą liczyć na pełne wsparcie w zakresie doradztwa i sprzedaży oprogramowania Simpana oraz powiązanych z nim usług. Wysokość uzyskiwanych rabatów oraz funduszy marketingowych jest uzależniona od uzyskanego statusu (Platinum, Gold, Authorized). Do dyspozycji resellerów jest system rejestracji projektów, zestaw technicznych i sprzedażowych szkoleń certyﬁkacyjnych oraz portal partnerski, który zawiera szczegółowe informacje dotyczące wyceny i wiele materiałów marketingowych. Autoryzowanym dystrybutorem ﬁrmy Commvault w Polsce jest S4E.

Dodatkowe informacje: RYSZARD REGUCKI, DYREKTOR KANAŁU SPRZEDAŻY W REGIONIE EUROPY WSCHODNIEJ, COMMVAULT, RREGUCKI@COMMVAULT.COM VADEMECUM CRN wrzesień 2015

adv_CommVault.indd 67

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ COMMVAULT.

nie Simpana za niekwestionowanego lidera w obszarze backupu.

2015-09-14 23:33:30

KOPIE ZAPASOWE I ARCHIWIZACJA

Bezpieczeństwo i backup dostępne dla każdej firmy Barracuda Networks od początku istnienia była obecna na rynku rozwiązań bezpieczeństwa, a kilka lat temu rozszerzyła ofertę o systemy backupu danych. Produkty te umożliwiają optymalizację kosztów związanych z ich wdrażaniem oraz zarządzaniem zasobami IT.

arracuda Networks oferuje swoje rozwiązania wyłącznie za pośrednictwem kanału partnerskiego. Dba o to, aby zapewnić takie warunki współpracy, które przyniosą korzyści zarówno resellerom, jak i klien-

tom końcowym. W tym celu w kwietniu 2015 r. wprowadzono nowe zasady programu partnerskiego, które zapewniają resellerom odpowiednie narzędzia wspomagające sprzedaż. Beneﬁcjentami są przede wszystkim regionalni part-

nerzy producenta, którzy zyskują szansę poprawy swojej pozycji konkurencyjnej na rynku dzięki ulepszonemu procesowi rejestrowania transakcji, ochronie serwisowej obejmującej więcej modeli oraz wyższym rabatom.

Badanie: coraz większe oczekiwania wobec infrastruktury Na zlecenie Barracuda Networks ﬁrma Freeform Dynamics przeprowadziła badanie, w ramach którego zapytała ponad 600 pracowników działów biznesowych i informatycznych z przedsiębiorstw średniej wielkości z Wielkiej Brytanii, Francji i Niemiec o wpływ, jaki ewoluujące praktyki biznesowe wywierają na istniejącą infrastrukturę IT. Wyniki badania wskazały kilka trendów biznesowych, które wpływają na coraz większe obciążenie środowisk IT, ale ujawniły też brak pewności dotyczącej właściwego wyboru rozwiązań wśród osób, których zadaniem jest adaptowanie istniejącej infrastruktury informatycznej do nowych wymagań. Uczestnicy ankiety wskazali, jakie nowe modele biznesowe wpływają na wydajność sieci. Wymienili m.in. coraz częstsze korzystanie w chmurze z kluczowych funkcji biznesowych, tj. poczta e-mail i CRM (69 proc.), coraz powszechniejszy dostęp zdalny i mobilny do sieci biznesowych (62 proc.) oraz ogólny wzrost natężenia i różnorodności ruchu sieciowego (58 proc.). Natomiast jako obszary, które mogą sprawić problemy w przyszłości, wskazywa-

no najczęściej: nowe i zmieniające się przepisy (34 proc.), użycie usług w chmurze (34 proc.) oraz łączność M2M i Internet rzeczy (32 proc.). Przy nieustannie rosnącym obciążeniu sieci, wyniki badania wskazują na wydajność (74 proc.), niezawodność (66 proc.) oraz bezpieczeństwo sieci (66 proc.) jako obszary, którym należy poświęcić najwięcej uwagi. Chociaż sytuacja w nich się poprawia, to wciąż konieczne są inwestycje w infrastrukturę. Ponadto ponad 61 proc. respondentów uważa, że przygotowanie dla zarządu biznesowego uzasadnienia modernizacji firmowych sieci i pozyskanie na to funduszy stanowi obecnie poważny problem. Odpowiadając na pytanie, czy istniejąca infrastruktura w firmie poradzi sobie z nowymi wyzwaniami, 94 proc. ankietowanych wyraziło wątpliwości. Największa obawy budziła konieczność uwzględnienia nowych regulacji prawnych. 63 proc. badanych nie było w pełni przekonanych, że systemy działające obecnie w ich firmach umożliwią zachowanie zgodności z przyszłymi, bardziej surowymi przepisami. Połowa uczestników sondażu nie była też pew-

na, czy zdoła spełnić rosnące wymagania w jednym lub wielu obszarach związanych z ogólnym rozwojem biznesowym (45 proc.), łącznością o znaczeniu krytycznym dla funkcjonowania ﬁrmy (46 proc.) lub wykorzystaniem infrastruktury chmurowej (47 proc.). W związku ze zmieniającymi się wymaganiami biznesowymi coraz więcej specjalistów IT przewiduje, że trzeba będzie podejść do nich w bardziej pomysłowy sposób. 56 proc. respondentów już teraz widzi potrzebę stosowania bardziej wyspecjalizowanych/zaawansowanych rozwiązań informatycznych, a 34 proc. twierdzi, że będą one potrzebne w przyszłości. Co więcej, 51 proc. badanych podkreśla pilną konieczność zastosowania nowego podejścia do infrastruktury, a 32 proc. mówi, że prawdopodobnie okaże się to niezbędne w późniejszym okresie. Wielu ankietowanych uważa też, że nowe sposoby monitorowania sieci i zarządzania nią będą coraz ważniejsze (60 proc. – już teraz; 26 proc. – w dłuższej perspektywie) dla utrzymania jej wydajności w miarę rosnącego obciążenia.

VADEMECUM CRN wrzesień 2015

adv_Barracuda.indd 68

2015-09-11 00:02:22

W ramach nowego programu partnerzy wybrani do świadczenia usług zarządzanych mogą wykorzystywać w tym celu zaporę ogniową NG Firewall i rozwiązania do backupu. Zwiększono również rabaty oraz limity zakupu produktów i usług Barracuda Networks, których mogą używać partnerzy we własnych środowiskach, wykorzystując je do szkoleń oraz do ochrony i backupu swoich danych. Resellerzy biorą także udział w szkoleniach prowadzonych w ramach internetowego Uniwersytetu Barracuda Networks. Dystrybutorem rozwiązań Barracuda Networks w Polsce są firmy: Dagma i Contica Solutions.

Z szerokiej oferty rozwiązań bezpieczeństwa Barracuda Networks, przeznaczonych zarówno dla dużych przedsiębiorstw, jak i małych oraz średnich firm, szczególną popularnością cieszą się zapory Barracuda NG Firewall. Rozwiązania, przygotowane w różnych wersjach sprzętowych i jako maszyny wirtualne, to zapory nowej generacji, stworzone z myślą o szybkim wdrożeniu i łatwym zarządzaniu w rozproszonych środowiskach. Działając jako uniwersalne firewalle, oferują ochronę przed przestojami w ruchu i degradacją jakości połączeń, a także zapewniają rozbudowane możliwości kontroli działań użytkowników i aplikacji, z których korzystają. Zapory NG Firewall umożliwiają administratorom wybór optymalnej sieciowej ścieżki dla najważniejszego ruchu, nadanie mu pierwszeństwa i zapewnienie dostępności łącza. Za pomocą Barracuda NG Control Center zarządzanie wieloma jednostkami NG Firewall trwa tyle samo, co jedną – przekłada się to na optymalizację kosztów związanych z obsługą infrastruktury IT. Wszystkie ustawienia dotyczące urządzeń, klientów oraz reguł polityki bezpieczeństwa są kontrolowane z centralnego serwera Barracuda NG Control Center.

BACKUP I REPLIKACJA Barracuda Networks oferuje także kompletne, zintegrowane z chmurą rozwiązanie Barracuda Backup do ochrony danych

w środowiskach fizycznych i wirtualnych, umożliwiające równoczesną replikację danych do zapasowej serwerowni. Jest ono łatwe i szybkie we wdrożeniu oraz zarządzaniu, a dzięki pełnej integracji z chmurowymi usługami Barracudy zapewnia nieograniczoną ilość miejsca na firmowy backup. Dzięki szerokiej gamie obsługiwanych środowisk oraz integracji z usługą CudaDrive.com, a także usługami wymiany plików od innych dostawców, klient może przy pomocy jednego uniwersalnego rozwiązania Barracudy zastąpić kosztowne i skomplikowane systemy backupu złożone z modułów różnych producentów. Oprogramowanie to gwarantuje także bezpieczną replikację danych do usługi Barracuda Cloud Storage. Rozwiązania do backupu firmy Barracuda Networks zostały docenione przez analityków IDC, którzy w raporcie za I kwartał 2015 r. w umieścili je na pierwszym miejscu w kategorii zintegrowanych, wyspecjalizowanych urządzeń do backupu (Purpose Built Backup Appliance).

ty i udostępnianie osobom pracującym zdalnie każdej wiadomości, jaką kiedykolwiek wysłali lub otrzymali. Dostęp do korespondencji jest możliwy z każdego miejsca na świecie i niemal z każdego urządzenia. Rozwiązanie to oferuje również prostą w zarządzaniu platformę typu eDiscovery, przydatną na wypadek konieczności odzyskania wybranych wiadomości e-mailowych w związku z obowiązującymi przepisami prawnymi lub na okoliczność przeprowadzenia procesu dowodowego. System Barracuda Message Archiver może być backupowany z wykorzystaniem rozwiązania Barracuda Backup. Maile z archiwum mogą być też współużytkowane i udostępniane za pomocą usługi CudaDrive.com. Barracuda Message Archiver zmniejsza zapotrzebowanie na miejsce, a tym samym redukuje koszty przechowywania korespondencji. Wbudowane mechanizmy kompresji i deduplikacji zapewniają zmniejszenie ilości miejsca potrzebnego do przechowywania archiwum e-maili.

ARCHIWIZACJA FIRMOWEJ POCZTY

Wszystkim przedsiębiorstwom, które chcą zoptymalizować dostęp do korporacyjnych wiadomości e-mail, producent oferuje rozwiązanie Barracuda Message Archiver. Umożliwia ono zmniejszenie rozmiarów repozytorium firmowej pocz-

Dodatkowe informacje: BIURO: TEL. 223 070 285, DZIAŁ HANDLOWY: EMEAINSIDESALES_TEAM@BARRACUDA.COM VADEMECUM CRN wrzesień 2015

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ BARRACUDA NETWORKS.

ZAPORY ŁATWE W ZARZĄDZANIU

KOPIE ZAPASOWE I ARCHIWIZACJA

BackupAssist v8 chroni wszystkie dane Oprogramowanie BackupAssist v8 firmy Cortex I.T. Labs zapewnia proste i szybkie tworzenie kopii zapasowych oraz ochronę danych dzięki automatycznym, planowanym backupom środowiska Windows Server. Z tego rozwiązania korzystają na świecie tysiące firm, szkół, jednostek rządowych i pozarządowych. Jego wyłącznym dystrybutorem w Polsce jest Sun Capital.

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI CORTEX I.T. LABS ORAZ SUN CAPITAL.

ackup Assist to wszechstronne rozwiązanie, które umożliwia tworzenie backupów lokalnych i w chmurze – od pojedynczych plików po całe serwery (m.in. Active Directory, Exchange i SQL), zarówno fizyczne, jak i wirtualne. Administratorzy mają do dyspozycji wiele funkcji zapewniających zaplanowanie najlepszej dla firmy strategii backupu i stworzenie odpowiedniego harmonogramu. Jako docelowe miejsce przechowywania danych można wybrać zewnętrzne twarde dyski (także RDX), nośniki optyczne i flash, lokalne katalogi na backupowanym komputerze, a także zasoby sieciowe (NAS i iSCSI). W oprogramowanie wbudowany też został moduł tworzenia harmonogramu rotacji nośników zawierających kopię zapasową danych. Odzyskiwanie danych z kopii zapasowej również charakteryzuje się dużą elastycznością. Możliwe jest przeglądanie jednej lub kilku kopii backupowych naraz w celu odnalezienia pliku, folderu lub aplikacji, ale też odzyskiwanie wiadomości e-mail, kontaktów czy zapisów w kalendarzu i przesyłanie bezpośrednio do uruchomionej aplikacji Exchange. Administrator może również przywrócić cały serwer SQL lub wybrane bazy danych, a także maszyny wirtualne Hyper-V lub znajdujące się w nich dane. Oprogramowanie BackupAssist gwarantuje przywrócenie danych po poważnej awarii chronionych systemów IT. Dzięki innowacyjnemu środowisku RecoverAssist możliwe jest tworzenie bootowalnych nośników i szybkie przywracanie dowolnego komputera do stanu sprzed awarii.

VADEMECUM CRN wrzesień 2015

Nowe funkcje oprogramowania BackupAssist v8 • Weryfikacja poprawności wykonania kopii • Optymalizacja backupu dzięki mechanizmom przyrostowym • Wydajne granularne przeszukiwanie i podgląd elementów Exchange • Kontrola wykorzystania dysku • Wsparcie dla Windows Server 2012 R2 i szybki backup Hyper-V

Zarządzanie backupami tworzonymi przez oprogramowanie BackupAssist, monitoring ich przebiegu oraz dostęp do finalnych raportów są ułatwione dzięki centralnej konsoli. Poza tym narzędzie MultiSite Manager umożliwia wdrożenie oprogramowania BackupAssist na wielu komputerach (także znajdujących się w oddalonych od siebie miejscach) i zdalne zarządzanie takim środowiskiem backupu. Tworzenie i przeglądanie raportów ułatwia dostępna w chmurze usługa Central Monitoring Console.

– Exchange Granular Restore – wyszukiwanie i odzyskiwanie pojedynczych elementów środowiska Exchange 2007, 2010 i 2013 (funkcje System Protection, File Protection i File Archiving). Utracone obiekty można przywracać i przesyłać bezpośrednio do uruchomionego serwera Exchange lub pliku PST. – Hyper-V Granular Restore – szybki dostęp do plików znajdujących się w kopii wirtualnej maszyny, bez potrzeby odzyskiwania jej w całości. Zgodność ze środowiskiem Hyper-V 2008, 2008 R2, 2012 i 2012 R2. – SQL Add-On – ciągły backup serwerów SQL, nawet jeśli znajdują się w nich uruchomione bazy danych. Umożliwia przywrócenie w ciągu 15 minut ostatniej wersji bazy danych ze środowiska SQL Server 2005, 2008, 2008 R2, 2012 i 2014. – Rsync Cloud – szyfrowany backup danych do chmury dla użytkowników pracujących poza siedzibą przedsiębiorstwa. Dane przygotowane do skopiowania są kompresowane w celu optymalnego wykorzystania pasma łączności z Internetem. – Zip To Tape – backup plików na napęd taśmowy, zgodnie z przyjętym schematem rotacji nośników. Kopiowane dane są kompresowane i szyfrowane.

DODATKI DO BACKUPASSIST Producent oprogramowania BackupAssist oferuje także kilka dodatkowych modułów, dzięki którym administratorzy mogą dopasować do własnych potrzeb środowisko backupu i przywracania danych. Są wśród nich:

Dodatkowe informacje: KRZYSZTOF KONIECZNY, PREZES ZARZĄDU SUN CAPITAL, KKONIECZNY@SUNCAPITAL.PL

Bezpieczne informacje na serwerach QNAP Wersja 4.2 oprogramowania QTS zarządzającego serwerami QNAP zapewnia funkcjonalność spotykaną dotychczas wyłącznie w systemach klasy enterprise.

GRZEGORZ BIELAWSKI Country Manager, QNAP

Funkcjonalność oprogramowania QNAP została rozbudowana w reakcji na uwagi naszych klientów, którzy oczekiwali znacznego skrócenia czasu odzyskiwania danych. Podkreślali, że coraz częściej potrzebują zabezpieczenia także otwartych plików, a jednocześnie zagwarantowania spójności struktury wykonanej kopii.

ma też wbudowane narzędzie do weryﬁkowania wydajności, zapewniające mierzenie liczby wykonywanych operacji wejścia-wyjścia na sekundę (IOPS). Dodatkowo wszystkie woluminy i LUN-y, a także współużytkowane katalogi mogą być szyfrowane 256-bitowym kluczem AES.

UPROSZCZONY przeglądania i odzyskiwania zgromadzonych danych. Kopie migawkowe można też replikować na urządzenia QNAP znajdujące się poza siedzibą ﬁrmy i – w razie potrzeby – stamtąd odtwarzać dane (cały obraz lub pojedyncze pliki). Nowością, niespotykaną dotychczas w urządzeniach tej klasy, jest funkcja automatycznego przenoszenia danych między warstwami składającymi się z nośników o różnej wydajności (Automated Storage Tiering).

NIE TYLKO SNAPSHOTY… Nowa wersja oprogramowania QNAP gwarantuje, że w procesie replikacji będą kopiowane tylko zmienione bloki danych. Dzięki temu zdecydowanie zmniejszone zostały wymagania dotyczące koniecznej przepustowości łącza internetowego. QNAP wyposażył też swoje serwery NAS w agenty współpracujące z oprogramowaniem wirtualizacyjnym Microsoft i VMware. Zapewniają one komunikację między NAS-em oraz oprogramowaniem Windows Server i VMware vSphere, co gwarantuje spójność wykonywanych kopii aplikacji i systemów operacyjnych. Dzięki nowemu oprogramowaniu w serwerach NAS możliwe jest wykorzystanie jednego lub kilku dysków SSD (połączonych w RAID 1 lub RAID 10) jako bufora cache – zarówno tylko do odczytu, jak i do odczytu oraz zapisu. Oprogramowanie

BACKUP

Gdy konieczne jest przeniesienie dużej ilości danych na inny serwer NAS firmy QNAP, można wykorzystać do tego zewnętrzne półki dyskowe (oba urządzenia muszą zapewniać współpracę z nimi). Wówczas po skopiowaniu danych na dyski znajdujące się na takiej półce wystarczy odłączyć ją od jednego serwera i podłączyć do drugiego. Wszystkie dane od razu będą widoczne dla uprawnionych serwerów i użytkowników. Nowe oprogramowanie QTS zapewnia tworzenie wielu różnych wersji backupu danych z serwera NAS oraz backup na nośniki znajdujące się zarówno w centrum danych, jak i poza siedzibą firmy. Wbudowany mechanizm pozwala na ochronę plików w kilku wersjach, przypisywanie stempli czasowych do folderów oraz prowadzenie replikacji w czasie rzeczywistym (Real-Time Remote Replication). Zapewniono także łatwy backup osobistych i firmowych kont Gmail, w ramach którego odzyskiwane dane trafiają bezpośrednio na serwer poczty. Autoryzowanymi dystrybutorami serwerów plików QNAP w Polsce są: ABC Data, EPA Systemy i Konsorcjum FEN.

Dodatkowe informacje: GRZEGORZ BIELAWSKI, COUNTRY MANAGER, QNAP, GBIELAWSKI@QNAP.COM VADEMECUM CRN wrzesień 2015

adv_Qnap.indd 71

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ QNAP.

owe funkcje związane są przede wszystkim z backupem i przechowywaniem danych w chmurze. Wprowadzono możliwość kopiowania bloków, dzięki czemu powstał mechanizm tworzenia kopii migawkowych (snapshot) całych woluminów lub jednostek LUN. Funkcja QNAP Snapshot zapewnia wykonywanie 1024 kopii migawkowych i jest dostępna na urządzeniach z serii: TS-x53, TS-x63, TS-x70, TS-x71, TS-x79, TS-x80. Nowa funkcja Copy on Write gwarantuje bardzo szybkie wykonywanie backupu i odzyskiwanie danych (znacznie skrócono czasy RPO i RTO). Mechanizm kopiujący wykrywa, z jakiej aplikacji pochodzą dane, dzięki czemu poprawnie wykonuje kopie otwartych plików, aby można było później je odtworzyć. W menedżerze oprogramowania QTS znacznie uproszczono interfejs użytkownika. Wprowadzono hierarchiczne zarządzanie kopiami migawkowymi za pomocą przeglądarki internetowej. Z każdej kopii można błyskawicznie wykonać klon w celu

2015-09-11 00:05:59

KOPIE ZAPASOWE I ARCHIWIZACJA

Kopie zapasowe i odzyskiwanie danych z Backup Exec 15 Oferowany przez firmę Veritas Backup Exec 15 umożliwia wydajne i łatwe wykonywanie zapasowych kopii danych z całej infrastruktury IT (wirtualnej, fizycznej lub chmury) oraz ich odzyskiwanie. Oprogramowanie można zintegrować z platformami wirtualizacyjnymi VMware vSphere i Microsoft Hyper-V.

eliminując konieczność zakupu ackup Exec 15 to rozwiądodatkowych systemów pamięci zanie uniwersalne. Z wymasowych i zarządzania nimi. konanej kopii danych w ciągu kilku minut można odzyskać wszystko, włącznie z maszykopia na dowolnym nami wirtualnymi, aplikacjami, bazami danych, plikami, folderami nośniku i pojedynczymi obiektami aplikacji. Backup Exec może chronić od Dla partnerów i klientów firmy jednego do wielu tysięcy serweVeritas przez całą dobę dostęprów i maszyn wirtualnych oraz ny jest zespół wsparcia techniczzarządzać całym tym środowinego zapewniający odpowiednią skiem z jednej konsoli administratora, zapewniając tym samym pomoc w przypadku problemów. Veritas jest obecnie częścią firmy symantec, a jako Dzięki temu minimalizowane jest jego optymalną wydajność i efekryzyko przestoju w wyniku braku tywność. Gwarantuje elastyczną niezależny podmiot będzie funkcjonować na całym świecie pod nazwą Veritas technologies corp. od stycznia 2016 r. możliwości uzyskania dostępu do ochronę środowisk VMware, Hypotrzebnych informacji. Poza tym per-V oraz innych platform wirtuw okresie trwania umowy można całkoOprogramowanie Backup Exec oferu- alizacyjnych, a także maszyn fizycznych wicie za darmo aktualizować licencje je pełną ochronę środowiska wirtualne- z systemami Windows i Linux. OprograBackup Exec do nowszych wersji, gdy tyl- go i Software Defined Data Center, w tym mowanie to wyposażono w opcje, dzięki ko stają się one dostępne. Zainteresowane także nowych funkcji Software Defined którym można zapisać kopie zapasowe osoby mogą też pobrać bezpłatną 60-dnio- Storage, takich jak VMware Virtual SAN na praktycznie każdym urządzeniu pawą wersję próbną ze strony internetowej (5.5 i 6.0), oraz wirtualnych woluminów. mięci masowej, np. na dyskach i taśmach, www.backupexec.com/trybe. Ponadto można łatwo tworzyć gotowe do na hostach zewnętrznych lub w chmurze użycia wirtualne kopie systemów fizycz- – w takich serwisach jak Amazon Web nych w celu odzyskiwania danych w cią- Service (AWS) czy Gateway VTL. Szybki backup Szybkie i sprawne odzyskiwanie danych gu kilku minut po awarii albo do migracji „z każdego miejsca i w dowolne miejsce” w modelu P2 V. z deduplikacją Backup Exec znacznie redukuje czas poGlobalna deduplikacja danych Backup z jednoprzebiegowej kopii zapasowej jest trzebny na tworzenie kopii zapasowych Exec pomaga sprostać wyzwaniu, jakim zdecydowanie prostsze z Backup Exec. i odzyskiwanie danych. Korzystając z sze- jest rosnąca ilość przechowywanych in- Dotyczy to całych aplikacji oraz pojedynrokiej gamy metod przeprowadzania formacji. Minimalizuje czas tworzenia czych plików, folderów i obiektów aplitych procesów, firmy mogą zmniejszać kopii zapasowych i ilość miejsca na dys- kacji granularnych z Exchange, Active ich koszty i ograniczać ryzyko przesto- ku potrzebnego do ich przechowywa- Directory, SQL Server i SharePoint. Adjów. Bez względu na to, czy kopie zapaso- nia oraz zmniejsza ruch w sieci. Backup ministratorzy IT mogą liczyć też na inwe przechowuje się na dyskach, taśmach Exec deduplikuje dane podczas wszyst- teligentne indeksowanie i katalogowanie czy w chmurze, dane są chronione i łatwo kich etapów tworzenia kopii zapasowych danych zebranych w kopiach zapasowych, (z serwerów fizycznych i wirtualnych), aby nie trzeba było tracić cennego czasu je odzyskać.

VADEMECUM CRN wrzesień 2015

ŁATWA OBSŁUGA

GWARANTUJE SZYBKIE PRZYWRÓCENIE DANYCH

W systemie Backup Exec możliwe jest monitorowanie każdego etapu tworzenia kopii zapasowych i odzyskiwania danych za pomocą łatwego w użyciu interfejsu z intuicyjnymi pulpitami nawigacyjnymi i kreatorami. Zadania tworzenia kopii zapasowej tworzy się za pomocą kilku kliknięć. Podobnie szybko weryfikuje się ich stan i odtwarza dane. Prócz tego centralna konsola administracyjna umożliwia sprawne zarządzanie procesami backupu realizowanymi w różnych miejscach. Backup Exec zapewnia wgląd w cały proces tworzenia kopii zapasowych i odzyskiwania danych, dzięki czemu można podjąć odpowiednie działania, wtedy gdy są one potrzebne. Ułatwione jest poszukiwanie konkretnych informacji w wykonanych kopiach zapasowych, w tym danych ze skrzynek pocztowych (według tematu), baz danych Microsoft SQL (według treści rekordu) lub danych SharePoint (według nazwy dokumentu). Program można tak skonfigurować, by inteligentnie przeglądał sieć w poszukiwaniu serwerów, maszyn wirtualnych i aplikacji narażonych na ryzyko utraty danych. Rozwiązanie Veritasu zapewnia wybór modelu licencjonowania i dostosowanie go do środowiska klienta. Od października bieżącego roku zasady wykupu li-

Dziesięć powodów, dla których warto przeprowadzić upgrade do Backup Exec 15 1. Niewiarygodna szybkość pracy Nieważne, czy backupowane są fizyczne serwery, czy wirtualne maszyny VMware lub Hyper-V, proces ten odbywa się znacznie szybciej niż w poprzednich wersjach, dzięki czemu możliwe jest skrócenie czasu okna backupowego. 2. Wydajna deduplikacja Szybki przyrost ilości danych może wydawać się groźny w kontekście konieczności dodatkowych inwestycji w systemy pamięci masowych. Problem jednak nie jest aż tak duży, ponieważ w każdym środowisku znajduje się wiele duplikatów już przechowywanych informacji. Radzi sobie z nimi deduplikacja blokowa, która jest szczególnie efektywna w środowiskach backupu. 3. Łatwość obsługi Intuicyjne kreatory upraszczają proces tworzenia kopii zapasowych, a aktualizowane na bieżąco wskaźniki w panelu raportowym zapewniają wgląd w środowisko backupu i ułatwiają jego monitorowanie. 4. Optymalna ochrona wirtualnych maszyn Integracja z Microsoft Volume Shadow Copy Service (VSS) oraz VMware vStorage APIs for Data Protection (VADP) zapewnia spójny backup wszystkich wirtualnych maszyn przy zmniejszonym zapotrzebowaniu na moc procesora, pamięć RAM i liczbę operacji wejścia-wyjścia. 5. Jeden produkt dla środowiska fizycznego i wirtualnego Backup Exec 15 jest w stanie zabezpieczyć dane z dowolnej liczby każdego rodzaju serwerów, od jednego do wielu tysięcy. 6. Backup na każdy rodzaj nośnika Dane mogą być zapisywane na dysku, taśmie, macierz dyskowej lub w chmurze. 7. Szybkie wyszukiwanie i odzyskiwanie danych Dzięki tworzeniu inteligentnych indeksów i katalogów administrator nie musi tracić czasu na poszukiwanie informacji, które trzeba odzyskać. 8. Scentralizowane zarządzanie Jedna konsola administracyjna zapewnia skrócenie czasu potrzebnego na weryfikację poprawności wykonywania backupu. 9. Łatwość wdrożenia Różne modele licencjonowania ułatwiają dobór opcji najlepiej dostosowanych do indywidualnych potrzeb klienta. 10. Obsługa najnowszych wersji oprogramowania VMware Granularne odzyskiwanie informacji z dowolnych wirtualnych maszyn (również większych niż 2 TB) i dysków z partycjami GPT.

cencji będą prostsze i ograniczone do dwóch modeli. W pierwszym klienci będą dokonywać opłaty za każdy terabajt zabezpieczanych danych, a w cenę zostaną wliczone wszystkie agenty i inne opcjonalne moduły. Natomiast w drugim modelu klient będzie płacił za każdy zabezpieczany moduł – serwer backupu, agenta, aplikację oraz bazę danych.

Dodatkowe informacje: KAMIL STAŚKO, PRODUCT MANAGER VERITAS, VERACOMP, KAMIL.STASKO@VERACOMP.PL VADEMECUM CRN wrzesień 2015

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI VERITAS I VERACOMP.

na sprawdzanie, co jest w środku, podczas wyszukiwania konkretnych informacji. Oprogramowanie Backup Exec skutecznie przywraca dane bezpośrednio z kopii zapasowej. Ma również wbudowany moduł Disaster Recovery dla systemów fizycznych i wirtualnych, aby pomóc ograniczyć przestoje w przypadku awarii, eliminując ryzyko zakłóceń w działalności firmy. Jeśli nastąpi poważna awaria, odzyska od zera dane z całego serwera i umieści je w tym samym urządzeniu lub w nowym w czasie liczonym w minutach, a nie godzinach lub dniach. Może również konwertować dane z serwerów fizycznych lub zapisywać ich kopie zapasowe w maszynach wirtualnych. W wyniku tej konwersji powstaje zestaw kopii zapasowych oraz całkowicie funkcjonalna maszyna wirtualna, gotowa do natychmiastowego użycia.

KOPIE ZAPASOWE I ARCHIWIZACJA

Skazani na archiwizację – bezpieczne i efektywne zarządzanie pocztą Przedsiębiorstwa często uznają archiwizację poczty elektronicznej za zło konieczne, a ich zaangażowanie w tym zakresie jest nikłe. Takie podejście można zmienić dzięki oprogramowaniu ﬁrmy Cryoserver, które jest proste we wdrożeniu i użytkowaniu, a jednocześnie zapewnia profesjonalną obsługę pocztowego archiwum.

iczba wiadomości pocztowych nieustannie rośnie, co rodzi nowe wyzwania dla przedsiębiorstw. Większość działów IT w ﬁrmach ma niemałe problemy z zadaniami dotyczącymi poczty: utrzymaniem serwisów pocztowych, bezpiecznym przechowywaniem najważniejszych danych, odnajdywaniem zaginionych wiadomości, wdrożeniem mechanizmów business continuity oraz disaster recovery dla poczty, zarządzaniem procesami eDiscovery, odzyskiwaniem wiadomości z plików PST itd. Poza tym zarządzanie pocztą staje się bardzo kosztowne, ze względu na potrzebne do tego zasoby. W tej sytuacji dla wielu przedsiębiorstw dobrym wyjściem jest wdrożenie systemu archiwizacji poczty. Przez blisko 15 lat obecności ﬁrmy Cryoserver na rynku wielu klientów wy-

Cryoserver pomaga w wyszukiwaniu wiadomości • Zapewnia użytkownikom odszukanie zaginionych lub skasowanych wiadomości, wykorzystując bardzo szybką i intuicyjną wyszukiwarkę. • Prosty interfejs rozwiązania gwarantuje szybki dostęp do danych. • Umożliwia tworzenie zaawansowanych zapytań w celu bardziej precyzyjnego wyszukiwania. • Replikuje strukturę katalogów z MS Outlook w interfejsie archiwum Cryoserver. • Zapewnia dostęp do wiadomości archiwalnych także z mobilnych aplikacji (Android, iOS, Windows Phone i BlackBerry). • Interfejs użytkownika dostępny w 16 językach, także po polsku.

brało jej rozwiązania i sukcesywnie rozbudowuje swoje środowisko. Długoterminowe przechowywanie wiadomości w drogiej przestrzeni dyskowej serwera pocztowego często nie

jest możliwe ze względu na zbyt ograniczone zasoby. Cryoserver oferuje mechanizmy kompresji danych i deduplikacji, dzięki czemu można zaoszczędzić nawet 75 proc. miejsca na serwerze. Jeden

Case study: wdrożenie Cryoserver w firmie RED RED jest międzynarodowym dostawcą rozwiązań SAP. Korzysta z produktów Cryoserver od wielu lat, a w ostatnim czasie dokonywał całościowej zmiany platformy archiwizacji (sprzętu i oprogramowania), włącznie z przeniesieniem jej do środowiska wirtualnego. Administratorzy firmy RED zdecydowali o migracji większości zasobów IT do chmury. Rozpoczęto od zmiany poczty na Office 365, więc zastosowanie usługi Microsoft do archiwizacji również było oczywiste. Okazało się jednak, że Office 365 nie spełnia bardzo wysokich wymagań postawionych przez RED. Konieczność zapewnienia szybkiego dostępu do wiadomości spowodowała, że potrzebne było skorzystanie z innego rozwiązania. Zdecydowano się na przeniesienie całości archiwum poczty w chmurze

do CryoCloud, ponieważ to rozwiązanie doskonale współpracuje praktycznie z każdym środowiskiem pocztowym. Luke Braham, IT Manager w RED, podsumował: – Office 365 nie oferuje najlepszych opcji wyszukiwania, natomiast Cryoserver potrafi zachwycić szybkością znajdowania potrzebnych wiadomości w sekundę i to według dowolnych parametrów, także z uwzględnieniem słów kluczowych w załącznikach. Jeśli z naszej firmy odchodzą jacyś pracownicy, to teraz, mając Cryoserver, od razu możemy skasować ich skrzynki i odzyskać miejsce oraz licencję na serwerze. Jednocześnie nadal mamy pełny dostęp do wszystkich wiadomości takiego użytkownika za pomocą interfejsu Cryoserver.

VADEMECUM CRN wrzesień 2015

adv_Akbit_Cryoserver.indd 74

2015-09-11 00:12:44

źródłem wiadomości. Jeśli w przedsiębiorstwie prowadzone jest wewnętrzne dochodzenie w sprawie np. naruszeń pracownika, archiwum dostarczy informacji o wszystkich jego wiadomościach w sekundę. Odtwarzanie tych samych wiadomości z backupu, zwłaszcza na taśmach, może być procesem czasochłonnym i mocno obciążyć dział IT. Wiadomości pocztowe często zawierają bardzo istotne dane dotyczące kontraktów z partnerami biznesowymi. W przypadku spornych sytuacji ważne jest, by można było pokazać wiarygodną wiadomość, najlepiej z zaufanego źródła. Cryoserver bezpiecznie przechowuje kopie wszystkich wiadomości, które traﬁają do serwera pocztowego. Umożliwia to przedstawienie – w sytuacjach krytycznych – jakie były rzeczywiste ustalenia z danym kontrahentem. Cryoserver oferuje także bezpieczne aplikacje dla wszystkich platform mobilnych (Android, iOS, BlackBerry i Windows Mobile Phone), umożliwiające przeszukiwanie archiwum. Dzięki temu, będąc na spotkaniu, łatwo odszukać wiadomość wysłaną do klienta np. pół roku wcześniej. Wiadomości pocztowe są jednak bezpieczne, bo nie przechowuje się ich w aplikacji mobilnej. Jeśli telefon zostanie zagubiony bądź skradziony, wiadomości pocztowe

i zawarte tam dane pozostają bezpieczne w centralnym archiwum.

ŁATWIEJSZE

PRZENOSZENIE SERWERA POCZTOWEGO

Migracja zasobów między różnymi środowiskami pocztowymi jest nie lada wyzwaniem. Problemy techniczne, błędy występujące podczas importu danych, a także czasochłonne konsultacje mogą bardzo utrudnić cały proces. Jeśli klient planuje przejść na rozwiązanie w chmurze, pocztę hostowaną albo Oﬃce 365, rozwiązanie Cryoserver może uprościć cały proces, przyspieszyć import danych i obniżyć koszty użytkowania takiego środowiska nawet o 70 proc. Zapewni również stały dostęp do e-maili, a przestoje podczas migracji nie będą już problemem. Właściwa dbałość o serwer pocztowy jest kluczowa dla jego poprawnej i wydajnej pracy. Kiedy w przedsiębiorstwie klienta zbierze się duża liczba wiadomości z ostatnich kilku lat, czas niezbędny dowykonania operacji serwisowych może wydłużyć się nawet kilkakrotnie. Z Cryoserver wszystkie zaplanowane prace serwisowe można przeprowadzić o 50 proc. szybciej. Wyłącznym dystrybutorem rozwiązania Cryoserver w Polsce jest AKBIT.

Dodatkowe informacje: KRZYSZTOF MELLER, CEO, AKBIT, SALES@AKBIT.PL VADEMECUM CRN wrzesień 2015

adv_Akbit_Cryoserver.indd 75

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI CRYOSERVER I AKBIT.

z dużych uniwersytetów w Wielkiej Brytanii po wdrożeniu systemu archiwizacji Cryoserver zredukował przestrzeń niezbędną do przechowywania wiadomości pocztowych z 12 do 2 TB. Oprogramowanie Cryoserver „rośnie” razem z przedsiębiorstwem – zapewnia środowisku pocztowemu wysoką dostępność i dużą skalowalność, niezależnie, czy trzeba zarchiwizować 120 kont pocztowych, czy serwer pocztowy z 16 tys. skrzynek. Optymalny koszt zakupu i utrzymania powoduje, że rozwiązanie jest dostępne dla każdej ﬁrmy. Dlatego stosują je takie przedsiębiorstwa jak banki czy ubezpieczalnie, ale także zakłady przemysłowe, placówki edukacyjne i ochrony zdrowia oraz jednostki rządowe i samorządowe. Większość pracowników wie, że łatwo utracić lub przypadkowo usunąć ważną wiadomość, a trudno ją odnaleźć – często kończy się to zgłoszeniem do działu IT. Użytkownicy Cryoserver mogą samodzielnie znaleźć każdą wiadomość, korzystając z bardzo intuicyjnej wyszukiwarki. System dostarczy wynik po chwili, zazwyczaj w czasie krótszym niż sekunda. Firmy korzystające z Cryoserver szacują redukcję zgłoszeń do działu helpdesk o ponad 25 proc. Wiadomości przechowywane w kliencie pocztowym z reguły nie są zabezpieczone w żaden sposób, łatwo je zatem zmodyﬁkować czy spreparować, nawet przy użyciu notatnika. Dopiero profesjonalnie zabezpieczone archiwum (szyfrowanie i podpis cyfrowy) staje się wiarygodnym

2015-09-11 00:12:56

KOPIE ZAPASOWE I ARCHIWIZACJA

Jak dzięki chmurze,

zapewnić dostępność IT Powodzenie planów biznesowych w dużej mierze zależy obecnie od wyeliminowania lub zminimalizowania przestojów, które mogą powodować wielomilionowe straty.

edług Veeam coraz więcej ﬁrm rezygnuje z tradycyjnego backupu i przechodzi na rozwiązania najnowszej generacji, które zapewniają wysoką dostępność środowisk IT w nowoczesnych centrach danych. Spostrzeżenia te potwierdzają wyniki tegorocznego raportu Gartner Magic Quadrant dotyczącego korporacyjnego oprogramowania do backupu i urządzeń zintegrowanych. Autorzy raportu wskazują, że ﬁrmy coraz częściej wybierają rozwiązania zapewniające rozszerzone możliwości ochrony danych

w porównaniu z tradycyjnym oprogramowaniem tego typu. Dzieje się tak, ponieważ menedżerowie uświadamiają sobie potrzebę tworzenia zapasowych kopii danych z wykorzystaniem wielu metod i miejsc ich składowania.

KOSZTOWNE PRZESTOJE Według Veeam Data Center Availability Report 2014 duże ﬁrmy korzystające z tradycyjnego backupu nie mają zagwarantowanej ciągłości biznesowej, a awarie aplikacji zdarzają się w nich średnio 13 razy w roku. Nieplanowane przestoje po-

Trzy pytania do… KRZYSZTOFA RACHWALSKIEGO, DYREKTORA REGIONALNEGO NA RYNKACH EUROPY WSCHODNIEJ, VEEAM SOFTWARE

CRN Jakie trendy związane z ochroną danych będzie można zaobserwować w nadchodzących miesiącach? KRZYSZTOF RACHWALSKI Rosnąca konkurencja w każdym sektorze biznesu sprawia, że ﬁrmy nie mogą pozwolić sobie na przestoje, a ochrona newralgicznych danych staje się dla nich kwestią być albo nie być. Możemy się zatem spodziewać, że nacisk na zapewnienie ciągłości biznesowej i skuteczności odzyskiwania danych w przypadku awarii stanie się jeszcze silniejszy. Przedsiębiorstwa coraz śmielej sięgają po rozwiązania chmurowe. Zauważają, że cloud computing także w dziedzinie zabezpieczenia danych zapewnia zwiększenie elastyczności biznesowej, a jednocześnie ograniczenie kosztów i komplikacji związanych z infrastrukturą i procedurami. CRN Co przekonuje partnerów Veeam do oferowania klientom rozwiązań chmurowych?

wodują straty sięgające nawet 2,3 mln dol. rocznie. Przerwy w pracy skutkują obniżeniem produktywności, które powoduje spadek przychodów. Tradycyjny backup nie gwarantuje też pełnej ochrony, ponieważ jedna na sześć prób przywrócenia danych z kopii zapasowej kończy się niepowodzeniem. Obecnie ﬁrmy nie mogą pozwolić sobie na tak kosztowne przestoje. Ze względu na potrzebę całodobowego dostępu do danych i aplikacji, czas ich odtworzenia w przypadku awarii musi być liczony w sekundach lub minutach, a nie godzi-

KRZYSZTOF RACHWALSKI Veeam dzięki chmurze umożliwia partnerom VCP poszerzenie oferty usług. W przeciwieństwie do wielu producentów tradycyjnych rozwiązań do backupu nie oferujemy własnej chmury, lecz umożliwiamy to partnerom, którzy dzięki temu mają szansę nawiązać z klientami ścisłe relacje jako zaufani doradcy. Zarówno obecni partnerzy VCP, jak i nowi dostawcy usług Veeam, mogą wykorzystać Veeam Cloud Connect do powiększenia grona klientów i uzyskania nowego źródła przychodów. Wielu partnerów VCP oferuje również usługi projektowania infrastruktury na wypadek awarii oraz testowania zaplanowanych scenariuszy procesu odzyskiwania danych. CRN Czy w Polsce działają już dostawcy IT uczestniczący w programie Veeam Cloud Provider? KRZYSZTOF RACHWALSKI Tak, do programu przystąpiła ﬁrma Integrated Solutions, która wraz z Orange Polska dostarcza oprogramowanie i usługi Veeam, umożliwiając klientom w pełni zintegrowaną, szybką i bezpieczną metodę tworzenia oraz przywracania danych z kopii zapasowych z chmury w modelu Backup as a Service. Na świecie w programie VCP uczestniczy już 8500 dostawców usług i rozwiązań chmurowych, z czego co dziesiąty ma licencję na oferowanie usług Veeam Cloud Connect. Ponieważ zainteresowanie tym programem na świecie stale rośnie, pozyskanie do niego kolejnych ﬁrm w naszym kraju wydaje się tylko kwestią czasu.

VADEMECUM CRN wrzesień 2015

adv_Veeam.indd 76

2015-09-11 00:15:02

nach i dniach. Veeam stawia sobie za cel osiągnięcie wskaźnika czasu i punktu przywracania (RTPO) poniżej 15 minut we wszystkich aplikacjach. Tylko wówczas klienci mogą spokojnie realizować cele biznesowe, bo unikną ryzyka kosztownych przestojów lub utraty danych.

ZASADA DZIAŁANIA ROZWIĄZANIA VEEAM CLOUD CONNECT

ALTERNATYWA Przedsiębiorstwa rezygnujące z tradycyjnego backupu najczęściej wybierają modernizację swojego centrum danych, wykorzystując wirtualizację, funkcje ochrony danych zintegrowane w pamięciach masowych i archiwizację w chmurze. Warto jednak podkreślić, że zagwarantowanie dostępności i bezpieczeństwa danych nie polega wyłącznie na używaniu najnowocześniejszych technologii informatycznych. Potrzebne jest także konsekwentne stosowanie odpowiednich procedur. Eksperci Veeam zalecają, aby działy IT przestrzegały zasady 3-2-1: trzy kopie danych na dwóch różnych urządzeniach lub nośnikach, z ktorych jeden jest przechowywany poza siedzibą firmy. Pakiet Veeam Availability Suite zawiera funkcję Veeam Cloud Connect, która umożliwia działom IT spełnienie trzeciego z tych wymogów bez inwestowania w zewnętrzną infrastrukturę. Dzięki zasobom chmurowym posiadanym przez dostawcę usługi klienci nie muszą samodzielnie budować i utrzymywać zapasowej infrastruktury poza siedzibą firmy, co przynosi im wymierne oszczędności. Rozwiązanie Veeam Cloud Connect zapewnia klientom w pełni zintegrowane, szybkie i bezpieczne usuwanie skutków awarii. Po pierwsze, ułatwia rozszerzenie infrastruktury backupu w celu tworzenia kopii zapasowych w chmurze poza siedzibą firmy. Po drugie, użytkownicy, którzy będą korzystać z Veeam Cloud Connect w ramach zapowiadanego na 2015 r. pakietu Veeam Availability Suite v9, otrzymają w pełni zintegrowane, bezpieczne i efektywne narzędzie do tworzenia replik w chmurze. Umożliwia ono ochronę krytycznych aplikacji ze znacząco lepszymi niż dotychczas wskaźnikami czasu i punktu przywracania danych.

SZANSA DLA PARTNERÓW Veeam Cloud Connect doceniają nie tylko użytkownicy końcowi. Duże zainteresowanie widać także ze strony partnerów, którzy w tym rozwiązaniu zyskują możliwość budowania usług z wykorzystaniem zasobów własnego centrum danych. Podstawowa konﬁguracja rozwiązania bazującego na tej funkcji jest prosta i trwa niespełna 10 minut. Obejmuje wszystkie mechanizmy infrastrukturalne i administracyjne, których potrzebuje dostawca usług, aby zaoferować klientom zewnętrzne repozytorium kopii zapasowych. Zastosowany model biznesowy stwarza szanse partnerom, dostawcom usług IT, którzy mogą uzyskać nowe, cykliczne przychody zarówno od dotychczasowych, jak i nowych klientów, rozwijając swoją obecność na rynkach Backup as a Service oraz Data Recovery as a Service. Usługo-

dawcy nie konkurują z Veeam, ponieważ producent nie ma swojej chmury i nie oferuje bezpośrednio klientom własnych usług BaaS czy DRaaS. Dostawca usług w chmurze może łatwo nawiązać współpracę z Veeam. Wypełnienie odpowiedniego wniosku na stronie www.veeam.com/pl zajmuje tylko kilka minut. Po jego pozytywnym rozpatrzeniu partner uzyskuje dostęp do portalu Veeam ProPartner, w którym znajdzie pełną ofertę materiałów marketingowych, handlowych i technicznych.

Dodatkowe informacje: SYLWESTER DERDA, MARKETING MANAGER BALTICS & SEE, VEEAM SOFTWARE, SYLWESTER.DERDA@VEEAM.COM VADEMECUM CRN wrzesień 2015

adv_Veeam.indd 77

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ VEEAM SOFTWARE.

TRADYCYJNEGO BACKUPU

2015-09-11 00:15:13

UTYLIZACJA NOŚNIKÓW

Niszcz dyski i zarabiaj Elementem ochrony danych jest ich utylizacja. Zwiększone zapotrzebowanie na takie usługi to dobry prognostyk dla zysków integratorów. Tomasz KozłowsKi

VADEMECUM CRN wrzesień 2015

ezpieczeństwo informatyczne, rozumiane jako kompleksowo zorganizowany system procedur, powinno być realizowane w każdym przedsiębiorstwie. Jednym z istotnych elementów polityki bezpieczeństwa IT są działania związane z fizycznym zabezpieczaniem nośników danych, ich transportem oraz niszczeniem. Odpowiednie wytyczne znajdują się w wymogach normy ISO (ISO:27 001 lub 17 799) oraz ustawach: o ochronie danych osobowych, o ochronie informacji niejawnych oraz o rachunkowości. Obecnie Komisja Europejska pracuje nad projektem rozporządzenia o ochronie danych osobowych (General Data Protection Regulation) na terenie wspólnoty. Dokument zakłada, że przedsiębiorstwa będą miały obowiązek usuwania takich informacji na żądanie lub wtedy, gdy ich przetrzymywanie nie będzie dłużej konieczne. Zostaną również zobligowane do stosowania ściśle określonych zasad przetwarzania danych osobowych. Dla firm będzie to oznaczało potrzebę nowego zdefiniowania wewnętrznych procedur w zakresie niszczenia danych. Na przykład do zwracania baczniejszej uwagi na właściwe zarządzanie ryzykiem, szczególnie towarzyszącym kasowaniu danych, recyklingowi nośników oraz ich niszczeniu. Z kolei dla integratorów i resellerów zajmujących się dostarczaniem profesjonalnych usług i narzędzi do kasowania danych nowe regulacje będą się wiązały ze zwiększonym zapotrzebowaniem przedsiębiorstw na certyfikowane rozwiązania.

BEZPIECZNIE NIE TYLKO W SEJFIE

JAKUB STĘPNIAK Key Account Manager, Diskus

Nowością na rynku jest sprzęt służący do fizycznego niszczenia nośników SSD. Nowoczesne dyski twarde – takie, których pojemność przekracza 1 TB pamięci – wymagają demagnetyzerów cechujących się znacznie wyższą siłą impulsu niż urządzenia produkowane jeszcze pięć lat temu. Najnowsze demagnetyzery są wyposażane w oprogramowanie, które ułatwia np. dokumentowanie bezpiecznego procesu kasowania. Firmy specjalizujące się w świadczeniu profesjonalnych usług kasowania danych wprowadzają do oferty tzw. mobilne centra kasowania danych. To specjalnie przystosowane samochodowe laboratoria ze sprzętem, który umożliwia demagnetyzowanie oraz fizyczne niszczenie nośników w siedzibie klienta. Cały proces odbywa się pod nadzorem kamer i gwarantuje pełną kontrolę procesu niszczenia oraz jego bezpieczeństwo.

brycznie wbudowanym dyskiem oraz stosunkowo niedrogie kasetki, prostej konstrukcji.

W WALIZCE, CZYLI HERMETYCZNIE I ANTYWSTRZĄSOWO Niezależnie od wielkości przedsiębiorstwa warunkiem ochrony poufnych danych jest składowanie nośników nie tylko w jednym miejscu. Dlatego przygotowane wcześniej kopie elektronicznej dokumentacji warto gromadzić poza siedzibą firmy i wtedy potrzebny jest ich bezpieczny transport. Oczywiście wszystko zależy od polityki bezpieczeństwa prowadzonej przez przedsiębiorstwo, a także od procedur w zakresie certyfikacji ISO. Część klientów wymaga od integratora zniszczenia nośników w ich własnej siedzibie. Wówczas nie musi on dbać o zapewnienie bezpiecznego transportu. Będą jednak tacy, którzy zamówią przewóz nośników i ich zniszczenie w wybranym, specjalistycznym laboratorium. Odpowiedni poziom bezpieczeństwa danych podczas transportu zapewniają specjalne walizki. Charakterystyczną

Niezależnie od działań instytucji unijnych polscy przedsiębiorcy coraz częściej sięgają po sprawdzone produkty służące do ochrony danych wrażliwych. Na zyski mogą liczyć integratorzy, którzy świadczą usługi fizycznej ochrony nośników danych w czasie ich składowania i transportu. Warto mieć też w ofercie narzędzia do kasowania i niszczenia danych. Wśród dużej liczby oferowanych rozwiązań do ochrony fizycznej nośników wyróżnić można specjalne rodzaje sejfów. Wybrane modele zapewniają zabezpieczenie przed kradzieżą oraz działaniem czynników fizycznych, np. wody i ognia. Stanowią dobrą ochronę cennych nośników z danymi również przed upadkiem z wysokości, eksplozją, a nawet impulsem elektromagnetycznym. Do zabezpieczenia sejfu z danymi wykorzystywane są różne zamki (elektroniczny z wyświetlaczem, mechaniczny z kluczem lub ich kombinacja) oraz czyt• Bezpowrotne, fizyczne zniszczenie niki linii papilarnych. Trzeba także zwródanych i nośnika Ô niszczarki. cić uwagę na urządzenia, które nie tylko • Bezpowrotne zniszczenie danych pełnią rolę typowego sejfu, ale umożliwiai nośnika Ô demagnetyzery, ją bezpośrednie podłączenie chronionetechnologia LiquiData. go napędu do komputera przez interfejs • Skasowanie danych przechowyUSB 2.0, 3.0 lub eSATA. W ten sposób wanych na nośniku z zachowaniem można korzystać z dysków twardych lub jego użyteczności Ô rozwiązania przenośnych pamięci USB bez otwieraprogramowe do usuwania danych nia sejfu. W ofercie rynkowej znajdziemy z nośników magnetycznych. również zaawansowane produkty z fa-

Usługi kasowania danych

DEMAGNETYZER WYPOSAŻONY W INTERFEJS TCP / IP, KTÓRY UMOŻLIWIA KOMUNIKACJĘ Z OPROGRAMOWANIEM NARZĘDZIOWYM.

VADEMECUM CRN wrzesień 2015

UTYLIZACJA NOŚNIKÓW cechą ich budowy jest wyprofilowana przestrzeń w komorze ładunkowej, co ogranicza uszkodzenia nośników spowodowane wstrząsami i uderzeniami. Hermetyczne zamknięcia zapewniają ochronę przed wysoką temperaturą, kurzem i wilgocią. Obudowa złożona z podwójnych ścianek pochłania energię ewentualnych uderzeń, redukuje wstrząsy przenoszone na nośniki oraz zapewnia ich izolację termiczną. Walizki mają zamki ochronne, specjalne plomby lub kłódki. Klienci mogą też wybrać specjalistyczne modele o podwyższonej wytrzymałości na wibracje i wstrząsy, zmiany temperatury lub wyładowania elektrostatyczne. Ciekawym rozwiązaniem są walizki wyposażone w moduł GPS, który umożliwia śledzenie w czasie rzeczywistym lokalizacji konkretnego bagażu. Ponadto każde nieautoryzowane otwarcie walizki jest natychmiast rejestrowane, a do właściciela danych wysyła się powiadomienie o tym fakcie.

ZGNIEŚĆ, ROZDROBNIĆ CZY ROZPUŚCIĆ Według specjalistów z branży bezpieczeństwa IT rośnie popyt na usługi nieodwracalnego kasowania danych. Jednym z użytecznych sposobów niszczenia nośników z danymi jest oczywiście użycie niszczarek. Wszystkie są konstruowane zgodnie ze standar-

Zdaniem integratora  Michał Dziamba, właściciel firmy Agam Dla integratora najbardziej korzystne jest świadczenie usług kasowania danych u klienta. Wypożyczanie klientom degaussera na odpowiednią, wykupioną liczbę cykli kasowania danych to także dobry pomysł na biznes. Ofertę firmy może też wyróżnić usługa transportu konwojowanego.

 Marcin Lisek, External Account Manager, Ensalta Certyfikowane niszczenie danych odbywa się trójfazowo (programowe usuwanie danych, niszczenie mechaniczne nośników z danymi z wykorzystaniem Degaussera i fizyczne niszczenie nośników za pomocą różnego rodzaju urządzeń np. niszczarek sprzętowych). W innych przypadkach nie można uzyskać certyfikatu, lecz jedynie dokument potwierdzający przeprowadzenie np. demagnetyzacji lub tylko zniszczenia fizycznego. Czy firma korzysta z transportu nośników, czy preferuje ich niszczenie na miejscu, zależy od jej polityki oraz procedur w zakresie certyfikacji ISO. Zdarza się więc niszczenie nośników u klienta, jak również ich przewożenie i niszczenie w laboratorium.

WALIZKA NA DEMAGNETYZER PRODEVICE ASM120 ZAPEWNIA NIEZAWODNĄ OCHRONĘ URZĄDZENIA PRZED KURZEM, WODĄ, WSTRZĄSAMI ORAZ KOROZJĄ. WZMOCNIONE ZAWIASY ORAZ NAROŻNIKI GWARANTUJĄ TRWAŁOŚĆ I PEŁNE BEZPIECZEŃSTWO URZĄDZENIA.

dami bezpieczeństwa, ale zawsze przed wyborem konkretnego urządzenia warto sprawdzić przyznane mu certyfikaty. W zależności od metody działania niszczarki dzielą się na programowe oraz sprzętowe. Pierwsze kasują dane z dysków twardych o różnej pojemności i pochodzących od różnych producentów za pomocą specjalnego oprogramowania. Z kolei w niszczarkach sprzętowych nośniki są zgniatane, łamane i poddawane rozdrobnieniu. Możliwe jest także połączenie obu metod w jednym urządzeniu. W sprzedaży znajduje się wiele modeli niszczarek sprzętowych o rozmaitych parametrach. Tańsze oferują tylko funkcję zgniatania dysków twardych, droższe zaś doskonale radzą sobie z wieloma rodzajami nośników, także z płytami CD, DVD, kartami pamięci flash, a nawet telefonami komórkowymi. Niektóre urządzenia są wyposażone w akcesoria, które umożliwiają niszczenie dysków SSD przez ich wielopunktowe dziurawienie. Interesującą odmianę stanowią niszczarki z wyświetlaczem LCD, wskazującym liczbę bieżących cykli niszczenia oraz ogólną liczbę nośników, które zostały zutylizowane. Zwykle obsługa tych urządzeń nie nastręcza trudności, wystarczy włożyć dysk twardy do specjalnej komory, a resztę wykonuje niszczarka. Chcąc dokonać korzystnego wyboru urządzenia do fizycznego niszczenia nośników danych, warto pamiętać o jednej z bardzo istotnych cech, jakimi charakteryzują się te produkty, a mianowicie o ich szybkości pracy. Wybrane modele niszczą w czasie 9 s dwa zwykłe dyski twarde oraz osiem dysków pochodzących z laptopa. Ze względu na wysokie ceny tych urządzeń resellerzy mogą wzbogacić swoją ofertę o usługę niszczenia danych, co może przynieść im wymierne korzyści finansowe. Gdy zachodzi potrzeba bezpowrotnej utylizacji wrażliwych danych, np. księgowych lub takich, którym wygasł termin przechowywania,

DEGAUSSER MEDIAERASER MD 205 WYRÓŻNIA SIĘ SIŁĄ GENEROWANEGO POLA MAGNETYCZNEGO O INDUKCJI NIE MNIEJSZEJ NIŻ 18 TYS. GAUSSÓW.

VADEMECUM CRN wrzesień 2015

BEZPŁATNA ADAM KOSTECKI specjalista do spraw rozwoju i bezpieczeństwa, Kroll Ontrack

Wprowadziliśmy do naszego portfolio rozwiązanie Hosted Erase umożliwiające kasowanie nośników za pomocą oprogramowania Blancco Management Console, bez jego instalacji i konfiguracji. Narzędzie jest bowiem oferowane w aplikacji webowej. Umożliwia zarówno przedsiębiorstwom, jak i resellerom zakup liczby licencji odpowiadającej faktycznemu zapotrzebowaniu. Usługa ta zapewnia małym i średnim przedsiębiorstwom uniknięcie kosztów instalacji, eksploatacji i administracji serwerów czy baz SQL, zazwyczaj związanych z procesem kasowania. Resellerzy mogą skontaktować się z naszą firmą w celu zamówienia określonej liczby licencji lub nabycia i bezpośredniego wdrożenia usługi kasowania danych.

można skorzystać z demagnetyzera nazywanego także degausserem. Urządzenie wytwarza silny impuls elektromagnetyczny, który usuwa wszelkie zapisy z nośników magnetycznych, np. dysków twardych, dysków przenośnych, taśm do streamerów typu LTO, DDS, 8 mm i innych. Po usunięciu danych dyski twarde i taśmy nie nadają się do ponownego wykorzystania. W sprzedaży są demagnetyzery o różnych rozmiarach (walizkowe i stacjonarne). Walizkowe zapewniają resellerowi oferowanie usług w siedzibie klienta, ale to nie wszystko. Firmy IT zainteresują zapewne nowe funkcje tych urządzeń, m.in. wbudowany system przedpłat Pre-Paid Management System, dzięki któremu możliwe jest używanie demagnetyzera w modelu „pay-per-use”. Innym rozwiązaniem, które warto polecić uwadze resellerów, jest wprowadzona na rynek przez Kroll Ontrack w czerwcu 2015 r. usługa Hosted Erase. Umożliwia ona zdalne kasowanie danych za pomocą oprogramowania Blancco Management Console z takich urządzeń jak: telefony komórkowe, laptopy, desktopy i serwery. Do najważniejszych zalet rozwiązania Hosted Erase należą: – scentralizowane zarządzanie procesem kasowania danych przez stronę internetową, – rejestrowanie każdej akcji kasowania danych z komputera lub urządzenia przenośnego, – prosta instalacja oprogramowania Blancco Management Console na komputerach użytkowników w celu bezpiecznego usuwania danych z komputerów i urządzeń mobilnych, – szeroki wybór metod i opcji kasowania danych, – serwis i wsparcie ze strony Kroll Ontrack. Mówiąc o sposobach niszczenia nośników danych, nie sposób pominąć metody LiquiData, opracowanej przez polską firmę BOSSG Data Security. Proces chemicznej dezintegracji nośników magnetycznych jest podzielony na cztery etapy. Klienci mają możliwość zniszczenia swoich danych w laboratorium stacjonarnym lub w mobilnym centrum utylizacji zamówionym pod wskazany adres.

PRENUMERATA POLSKA ZAŁÓŻ KONTO NA CRN.pl

wypełniając odpowiedni formularz

Prenumera ta jest aktualna p rzez 12 miesięcy. Pod koniec te okresu wys go yłane jest przypo m o możliwoś nienie ci jej przedłuż enia. Więcej informacji:

Jakub Kielak, 22 44 88 485, prenumerata@crn.pl

Dołącz do grona najlepiej poinformowanych osób w branży IT! VADEMECUM CRN wrzesień 2015

UTYLIZACJA NOŚNIKÓW

Skuteczne kasowanie danych w modelu „pay-per-use” Jeszcze w bieżącym roku DISKUS wprowadzi do oferty nowy demagnetyzer ProDevice ASM240. Za jego pomocą sam producent, a także jego partnerzy będą świadczyć usługi kasowania informacji z nośników magnetycznych.

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ DISKUS.

suwanie danych znajdujących się na twardych dyskach (oraz na innych nośnikach magnetycznych – taśmach czy dyskietkach) z wykorzystaniem demagnetyzerów to najskuteczniejsza i najbardziej popularna wśród profesjonalnych metod. Obecnie standardowo używa się w tym celu demagnetyzerów komorowych, w których umieszcza się dysk z danymi przeznaczonymi do usunięcia, aby poddać go działaniu pola elektromagnetycznego o odpowiedniej sile. W gronie dostawców tego typu rozwiązań liderem jest ﬁrma DISKUS z Krakowa. Jej inżynierowie zaprojektowali rodzinę demagnetyzerów ProDevice. Pierwsze takie urządzenie było oznaczone symbolem ASM120. Praktyka i doświadczenie zdobyte przy jego tworzeniu oraz wnioski ze współpracy z dużą grupą użytkowników umożliwiły skonstruowanie nowego modelu – ProDevice ASM240. Urządzenie ma pojawić się na rynku w drugiej połowie 2015 r. DISKUS, jako ﬁrma świadcząca usługi niszczenia danych, gwarantuje klientom skuteczność potwierdzoną certyfikatami (m.in. ISO 9001:2008). Producent prowadzi też sprzedaż demagnetyzerów własnej marki resellerom w 29 krajach świata, którzy mogą odsprzedawać je dalej bądź wykorzystywać do świadczenia usług kasowania danych.

PEŁNE RAPORTY O NISZCZENIU Aby bezpiecznie, nieodwracalnie i skutecznie usunąć zapisane na dysku informacje, demagnetyzer musi się charakteryzować odpowiednimi parametrami. W nowym modelu wygodę obsługi poprawia zapadkowy mechanizm, automatycznie wysuwający nośnik z komory

kasowania. Gdy limit zostanie wyczerpany a zajdzie kolejna potrzeba usunięciadanych, oferujący usługę demagnetyzacji reseller będzie mógł zdalnie zaprogramować urządzenie do dalszej pracy.

K ASOWANIE PRZEZ SIEĆ

kasującej. Siła generowanego impulsu magnetycznego jest większa niż w poprzednim modelu, a czas kasowania danych z jednego nośnika magnetycznego jest krótszy. Każdy etap procesu usuwania danych jest odpowiednio dokumentowany, a klient zachowuje pełną kontrolę nad całą procedurą. Po jej zakończeniu otrzymuje certyﬁkat, który potwierdza poprawność kasowania danych. Demagnetyzer ProDevice ASM240 może być używany w modelu „pay-per-use”. Służy do tego wbudowany w urządzenie system przedpłat PPMS (Pre-Paid Management System). Umożliwia określenie dowolnej liczby cykli kasowania, po przekroczeniu której następuje automatyczna blokada urządzenia. Po uiszczeniu opłaty przez klienta demagnetyzer można zdalnie odblokować. Taki model opłaty za wykorzystanie urządzenia powstał specjalnie z myślą o resellerach, którzy chcieliby świadczyć usługi demagnetyzacji. Mogą odpłatnie wypożyczyć klientowi demagnetyzer, programując go na określoną liczbę cykli

ProDevice ASM240 pracuje również w trybie sieciowym. Zapewnia to administratorowi zarządzanie urządzeniem z dowolnego miejsca. Możliwość pracy w sieci jest przydatna zwłaszcza dla klientów korporacyjnych oraz innych przedsiębiorstw, które mają wiele regionalnych oddziałów. Nowością wyróżniającą ProDevice ASM240 spośród urządzeń do kasowania danych jest usługa ProCloudService. Zapewnia zapisanie historii oraz pełnego raportu z sesji kasowania w wydzielonej dla klientów DISKUS przestrzeni w chmurze. Warto zwrócić uwagę także na funkcje oprogramowania ProDevice ASM240, którymi mogą być zainteresowane przedsiębiorstwa szczególnie dbające o bezpieczeństwo danych. Umożliwia ono m.in. tworzenie raportów z procesu niszczenia zawierających dane rejestrowe konkretnego klienta (nazwę ﬁrmy, lokalizację, dane operatora urządzenia). Demagnetyzer współpracuje także z opcjonalnie dołączanym do niego skanerem rozpoznającym typ niszczonego nośnika. Orientacyjna cena demagnetyzera ProDevice ASM 240 dla klienta końcowego wynosi 22,5 tys. zł netto.

Dodatkowe informacje: JAKUB STĘPNIAK, KEY ACCOUNT MANAGER, DISKUS, JAKUB.STEPNIAK@DISKUS.PL

VADEMECUM CRN wrzesień 2015

adv_Diskus.indd 82

2015-09-11 00:16:23

WSZYSTKIE NUMERY

OBEJRZYSZ ONLINE NA

.PL

www.crn.pl/magazyn-crn/poprzednie-wydania maj 2015

luty 2015

15 ień 20 wrzes

listopad 2014

wrzesień 2014

ZAPRASZAMY DO LEKTURY!

maj 2014

Zespół redakcyjny Vademecum: Krzysztof Jakubik, Tomasz Janoś, Rafał Janus, Tomasz Kozłowski, Dorota Smusz Kierownik projektu Vademecum: Jacek Goszczycki

1-1 CRN.indd 2015.indd 1 vademecum3 1

9/11/15 PM 11/09/154:07 14:15

ZASILANIE I KLIMATYZACJA

Blackout i wszystko ciemne

Gdy w lecie nastąpiły ograniczenia dostaw energii elektrycznej, do klientów musiało dotrzeć, że w biznesie zasilacze UPS to produkty pierwszej potrzeby. TOMASZ JANOŚ

VADEMECUM CRN wrzesień 2015

Txt_zasilanie.indd 84

2015-09-14 22:43:27

egoroczne lato z rekordową temperaturą przyniosło niebywałe zainteresowanie wszelkiego rodzaju klimatyzatorami i wentylatorami. Czy związane z anomaliami pogodowymi problemy z energią wywołają podobny popyt na urządzenia do zasilania gwarantowanego? Niewykluczone, bo w sierpniu gównym tematem w niemal wszystkich polskich mediach stały się ograniczenia dostaw energii. Dla wielu była to sytuacja jak z PRL-u. Ale przecież już ponad rok temu Najwyższa Izba Kontroli ostrzegała, że pierwsze przerwy w dostawach prądu mogą wystąpić w 2015 r., w związku z remontami i wyłączeniem starych bloków energetycznych. Przypomnijmy, że blisko 55 proc. prądu w Polsce wytwarzają „wiekowe”, bo ponad 30-letnie siłownie, które nie są w stanie nadążyć za rosnącym popytem na energię. W efekcie Polskie Sieci Energetyczne – jako dyspozytor Krajowego Systemu Energetycznego – wprowadziły w ubiegłym miesiącu 20. stopień zasilania. PSE prognozują, że największe trudności wystąpią we wrześniu 2016 r., ze względu na zaplanowane na ten czas remonty i wyłączenia. Warto uświadomić klientom, że problemy z zasilaniem będą się tylko pogłębiać.

Na marginesie: w klimatyzacji też się dzieje Klimatyzacja precyzyjna jest dziedziną techniki, w której – zdaniem Sławomira Kubiczka, cooling sales managera w dziale IT Business ﬁrmy Schneider Electric – inwestycje producentów w zakresie rozwoju zwracają się bardzo szybko. Dlatego każdy z nich co roku szykuje nowości. Zarówno inwestorzy, jak i projektanci poszukują nowych rozwiązań, aby zoptymalizować systemy chłodzenia i – w dłuższej perspektywie – zminimalizować koszty związane z utrzymaniem infrastruktury. Dlatego zmiany następują bardzo szybko. Dowodem ich tempa niech będzie fakt, że jeszcze kilka lat temu nie do pomyślenia była wysoka temperatura (powyżej 30oC) w centrach przetwarzania danych. Dziś w dużych ośrodkach stają się one wymogiem, z którym producenci muszą się zmierzyć. Wszystko po to, by optymalizować koszty związane z zużyciem energii przez urządzenia klimatyzacyjne. Są one w infrastrukturze tym elementem, który daje w tym zakresie największe możliwości. W rezultacie – jak twierdzi Sławomir Kubiczek – budżety największych producentów przeznaczone dla działów R&D stanowią 5–10 proc. całego zysku.

Przykładowo, bardzo wrażliwe na niską jakość zasilania są sterowane przez mikroprocesory linie przemysłowe. Coraz szersze wykorzystanie skomplikowanego sprzętu medycznego w ochronie zdrowia stawia również tę branżę w pierwszym szeregu klientów. Tradycyjnych zasilaczy UPS używa także handel. Postęp technologiczny w dziedzinie zasilania gwarantowanego sprawia, że klienci z sektorów gospodarki, w których najważniejsze jest zachowanie ciągłości działania, myślą o kupnie systemów UPS i wymianie przestarzałych zasilaczy na najnowsze produkty.

IM GORZEJ, TYM LEPIEJ

Powszechna wiedza o złym stanie elektrowni i problemach w sieci przesyłowej musi się w końcu przełożyć na wzrost sprzedaży na rynku zasilania gwarantowanego. Podobnie jak rosnąca świadomość finansowych skutków przestojów w biznesie. Konwergencja sieci przesyłających zarówno dane, jak i głos, coraz większa zależność biznesu od nieprzerwanej komunikacji ze światem zewnętrznym, wartość informacji przechowywanych w firmowych repozytoriach – to wszystko tworzy dobre perspektywy dla firm działąjących na rynku zasilania gwarantowanego. Chociaż wciąż większość systemów zasilania gwarantowanego ochrania cyfrowe dane oraz systemy informatyczne i telekomunikacyjne, zastosowanie dla UPS-ów znajdują coraz to nowe branże.

ROZWÓJ BEZ REWOLUCJI Współczesne zasilacze można uznać za rozwiązania bardzo dojrzałe technologicznie. Z uwagi na to zasilanie gwarantowane może osobie niewtajemniczonej wydawać się dziedziną mało rozwojową, w której nie zachodzą jakieś przełomowe zmiany. Przeciwko takiemu twierdzeniu protestuje Paweł Umiński, Channel Sales Manager w Emerson Network Power. – Możliwości rozwoju jest wiele. Producenci pracują nad ograniczeniem gabarytów urządzeń, dążąc do ich kompaktowości. Dotyczy to także zestawów bateryjnych, które dodatkowo są testowane pod kątem pracy w wyższej temperaturze. Innowacyjny zestaw bateryjny to taki, który jest mniejszy, lżejszy i odporny na warunki środowiska centrum danych – wylicza Paweł Umiński.

Rzeczywiście, w ostatnich latach pojawiło się wiele nowych konstrukcji, które były odpowiedzią na rosnące wymagania dotyczące z jednej strony ograniczania kosztów, z drugiej – jak największej efektywności działania. W zakresie podstawowych zadań UPS-ów producenci skupili się na opracowywaniu kompaktowych konstrukcji, o dużej gęstości mocy i jak najwyższej sprawności. Producenci dążą też do tego, aby sprzęt był łatwo zarządzalny i prosty w serwisowaniu.

KOMPAKTOWE, EFEKTYWNE I ZARZĄDZALNE Aby ograniczyć przestrzeń zajmowaną przez UPS-y, przeprojektowano tradycyjne konstrukcje, wyposażając je w nowoczesne układy DSP (Digital Signal Processor), które ograniczają liczbę komponentów potrzebnych w systemie. Procesory DSP mogą kontrolować wiele funkcji: wspomagać ładowanie baterii, działanie prostowników i przetwornic. Wielkość UPS-ów pozwoliło ograniczyć przy tym wprowadzenie tranzystorów IGBT (Insulated Gate Bipolar Transistor). Zastosowanie technologii IGBT wpłynęło nie tylko na zmniejszenie wagi, rozmiaru i kosztów rozwiązań, ale także zwiększyło sprawność energetyczną zasilaczy i zapewniło niemal bezgłośną pracę systemu (nie biorąc pod uwagę szumu wentylatorów). Nowe beztransformatorowe systemy UPS mogą osiągać sprawność powyżej 96 proc., pracując wyłącznie VADEMECUM CRN wrzesień 2015

Txt_zasilanie.indd 85

2015-09-14 22:43:42

ZASILANIE I KLIMATYZACJA w topologii online. Natomiast gdy działają w trybie nazywanym przez producentów „ekologicznym” (a będącym formą topologii line interactive bądź standby), dochodzą do sprawności 99 proc. Wprowadzenie tranzystorów IGBT przyspieszyło rozwój systemów bez wewnętrznych transformatorów. Takie konstrukcje pojawiły się w połowie lat 90. ubiegłego wieku w mniejszych zasilaczach. W tradycyjnych rozwiązaniach UPS wykorzystuje się transformatory na wejściu zasilacza, by mogły podczas spadków napięcia podwyższać je i stabilizować, co eliminuje potrzebę przełączania systemu w tryb pracy na bateriach. Nowsze systemy wykorzystują układy IGBT do bardziej wydajnej konwersji wejściowego zasilania AC na DC, dzięki której magistrala DC i przetwornica mogą bez przechodzenia na baterie utrzymywać stabilne napięcie wyjściowe w większym zakresie napięcia wejściowego i zmian częstotliwości. Jeszcze nie tak dawno UPS o mocy 30–50 kVA w zupełności wystarczył do zapewnienia zasilania gwarantowanego dla mniejszego centrum danych. Jednak w ostatnim czasie – w wyniku daleko idącej konsolidacji infrastruktury – pojedyncza szafa wypełniona czterema serwe-

rami blade może wymagać zasilania rzędu 20–30 kVA. Trzeba też uwzględnić oczekiwania klientów, którzy dysponują ograniczoną przestrzenią w centrum danych na systemy zasilania gwarantowanego. Biorąc to pod uwagę, producenci zaczęli

Dzięki wyeliminowaniu transformatora spadły ceny zasilaczy. oferować beztransformatorowe zasilacze UPS większych mocy. Dzięki wyeliminowaniu transformatora ceny zasilaczy znacząco spadły. Są jednak klienci, którzy w swoich centrach danych nadal stawiają na konstrukcje oparte na transformatorach, uważając je za bardziej skuteczne. Zdaniem dostawców promujących systemy beztransformatorowe powinni oni rozważyć zastosowanie nowych, tańszych

i bardziej efektywnych systemów modularnych w nadmiarowych konfiguracjach – N+1, a jeśli budżet pozwoli – 2N czy nawet 2(N+1). Dzięki redundancji w przypadku awarii dodatkowe jednostki będą w stanie zasilić wszystkie urządzenia. Kolejnym argumentem ma być to, że nawet w układach N+1 lub 2 N zajmą one mniej miejsca w centrum danych niż klasyczne transformatorowe zasilacze. Postęp technologiczny w systemach UPS dotyczy głównie warstwy komunikacyjnej z powodu rosnącej popularności protokołu SNMP. Ułatwia to monitorowanie procesów zachodzących w UPS-ie przez sieć komputerową i zintegrowanie sprzętu z centralną konsolą zarządzania. Gdy zasilacze chronią system informatyczny firmy, oprogramowanie zarządzające daje wgląd w ich działanie i zapewnia, że wszystko zostanie bezpiecznie wyłączone, jeśli przerwa w dopływie energii przekroczy czas podtrzymania. Stale też monitoruje kondycję zasilaczy i przy użyciu poczty elektronicznej lub SMS-ów śle zawiadomienia o przekroczeniu zadanych parametrów. Warto też zwrócić uwagę na integrację nowoczesnych zasilaczy z systemami zarządzania środowiskami zwirtualizowa wanymi. Ułatwia to migrację „na żywo” maszyn wirtualnych w razie awarii zam silania i tym samym zachowanie pełnej sil ciągłości działania. cią – Dodatkowe funkcje UPS-ów wynikają najczęściej z rozwoju systemów zarządzania. Brak kompatybilności z jakimś dz op oprogramowaniem, mimo doskonałośc ści produktu, może się skończyć fiaskiem sprzedażowym. Chociaż rozwiązania ofesp rują tak szeroki wachlarz możliwości, że ru pr przeciętny użytkownik często wykorzystuje tylko ich część, „wyścig zbrojeń” trwa stu – mówi m Szymon Grajek, główny konstruktor w firmie EVER. to

MODULARNOŚĆ ZGODNA Z TRENDAMI MIMO ROZWOJU NOWYCH TECHNIK MAGAZYNOWANIA ENERGII – TAKICH JAK ULTRAKONDENSATORY, FLYWHEEL CZY OGNIWA PALIWOWE – TRADYCYJNE AKUMULATORY WCIĄŻ POZOSTAJĄ PODSTAWOWYM SPOSOBEM OCHRONY PRZED KRÓTKOTRWAŁYMI PRZERWAMI W ZASILANIU W CENTRACH DANYCH

(FOT. MAXWELL).

Po Powszechnym trendem w centrum danych jes jest podejście modularne, umożliwiające elastyczne zwiększanie zasobów obliczeniowych, pamięciowych i sieciowych. Z początku systemy zasilania gwarantowanego nie nadążały za zmianami. Pomogło

VADEMECUM CRN wrzesień 2015

Txt_zasilanie.indd 86

2015-09-14 22:44:22

Im sprawniejszy i elastyczniejszy jest system UPS, tym większe oszczędności energii w centrum danych. Nowe modularne zasilacze mogą być skalowalne zarówno pionowo (w ramach jednej obudowy), jak i poziomo (przez dokładanie kolejnych obudów z modułami), umożliwiając precyzyjne dostosowywanie mocy do wymagań związanych z zasilaniem. Tę precyzję zwiększa dostępność modułów o coraz mniejszej mocy – system można rozbudowywać przy użyciu np. „klocków” o mocy 10 kVA. W modularnych zasilaczach UPS, pracujących w układzie równoległym, został wyeliminowany pojedynczy punkt awarii przez zdecentralizowanie statycznych układów obejściowych i kontrolnych. Działają one obecnie w układzie rozproszonym – w każdej jednostce, a nie jak dawniej – centralnie. W ten sposób konstrukcje modularne mają wbudowaną redundancję, która znacząco zwiększa dostępność zasilaczy UPS. Jeśli jeden z modułów przestaje działać, obciążenie automatycznie zostaje przejęte przez pozostałe.

godziny

Baterie kwasowo-ołowiowe

Ultrakondensatory $100/kW

}

$300/kW

an m zy t r dt sz po ko s zy a cz ks zy ię żs m w u dł ty

Baterie litowo-jonowe

Do zastosowań z bardzo krótkim czasem podtrzymania (uzyskanie dłuższego jest w tych technologiach nieopłacalne)

$1,000/kW

$3,000/kW Źródło: Schneider Electric

kondensatory i ogniwa paliwowe, jednak nadal ogromna większość klientów wybieraz akumulatory kwasowo-ołowiowe, wynalezione już ponad 150 lat temu! Dlaczego tak się dzieje, że operatorzy centrów danych wolą zapewnić dłuży czas ich działania (np. 15 minut) na potężnych zestawach bateryjnych zamiast mieć do dyspozycji np. 30 sekund, ale jednocześnie znacząco zaoszczędzić dzięki korzystaniu ze wspomnianych alternatywnych technologii (wydłużanie czasu podtrzymania za ich pomocą jest zupełnie nieopłacalne) albo niewielkich baterii?

A CO Z MAGAZYNOWANIEM ENERGII? Jest jednak obszar, w którym zmiany praktycznie nie zachodzą, choć wszyscy od wielu lat czekają na rewolucję. Zupełnie odmieniłaby nie tylko branżę zasilania, ale nasze codzienne życie. Mimo wielkich zmian w innych technologiach, sposób magazynowania energii wciąż stawia wielki opór postępowi. Co prawda pojawiły się takie rozwiązania, jak dynamiczne magazynowanie energii przy użyciu systemu ﬂywheel, ultra-

Baterie niklowo-kadmowe

Rozwiązania Flywheel

Koszty

Czas podtrzymania

MAŁYM MODUŁOM

A CZAS PODTRZYMANIA

minuty

WIĘKSZA PRECYZJA DZIĘKI

KOSZTY MAGAZYNOWANIA ENERGII

sekundy

właśnie wprowadzenie konstrukcji modularnych. Umożliwiają zaoszczędzenie przestrzeni w centrum danych, która może być wykorzystana na dodatkowe serwery i pamięć masową. Przede wszystkim zaś zapewniają klientowi mniejszy stres podczas planowania początkowej mocy i ułatwiają przewidywanie późniejszych potrzeb rosnących, w miarę rozwoju środowiska informatycznego.

CZAS TO... BACKUP W analizie przeprowadzonej przez Schneider Electric zwraca się uwagę, że im bardziej systemy informatyczne stają się podstawą działalności biznesowej, tym dłuższego czasu podtrzymania wymagają centra danych. W sytuacji kryzysowej dodatkowy czas dla personelu centrum danych to premia, która może przynieść rozwiązanie problemu. Powodem awarii bywa trywialny ludzki błąd, przysłowio-

wa „wyciągnięta wtyczka”, na znalezienie której potrzeba jednak nie sekund, lecz minut. Co więcej, ponieważ centra danych stosują oprogramowanie monitorujące działanie systemów, to gdy zdarzy się awaria, automatycznie wyzwalany jest proces backupu najistotniejszych danych. Gdy się zakończy, pozostała energia zgromadzona w akumulatorach jest używana do bezpiecznego wyłączania serwerów, by mogły bez problemów podjąć działanie, gdy wróci zasilanie. Dlatego dodatkowy czas ma tak dużą wartość. Gdy się go zapewni, baterie wciąż są nie do pobicia przez rozwiązania wykorzystujące ﬂywheel i ultrakondensatory – zarówno pod względem kosztów, jak i niezawodności oraz dostępności. W rezultacie – mimo rozwoju nowych technik magazynowania energii – akumulatory wciąż pozostają podstawowym sposobem ochrony przed krótkotrwałymi przerwami w zasilaniu w centrach danych. A zasilacze UPS dodatkowo zabezpieczeniem przed bardzo groźnymi skutkami zakłóceń z sieci elektrycznej o złej jakości zasilania. VADEMECUM CRN wrzesień 2015

Txt_zasilanie.indd 87

2015-09-14 22:44:40

ZASILANIE I KLIMATYZACJA

EVER:

nowa seria zasilaczy UPS polskiego producenta Urządzenia SINLINE RT i RT XL uzupełniają ofertę EVER w zakresie zaawansowanych zasilaczy skonstruowanych w topologii line-interactive.

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ EVER.

niemal 20 lat EVER, polski producent rozwiązań zasilania gwarantowanego, projektuje UPS-y wyróżniające się na rynku jakością, parametrami technicznymi oraz konkurencyjną ceną. W swojej historii firma wprowadzała na rynek wiele innowacyjnych rozwiązań, teraz także trafia do sprzedaży nowatorska seria urządzeń. Zasilacze UPS EVER SINLINE RT i RT XL są przeznaczone głównie do zabezpieczania kluczowych elementów infrastruktury informatycznej, takich jak: serwery, sprzęt sieciowy, urządzenia do przechowywania danych oraz stacje robocze. Obudowa w wersji rack lub tower umożliwia zarówno umieszczanie zasilaczy w szafie 19”, jak i ustawianie w pozycji pionowej (urządzenie wolno stojące).

UNIKALNE ROZWIĄZANIA W STANDARDZIE Wyróżnikiem nowych zasilaczy marki EVER jest standardowo wbudowany interfejs sieciowy (będący opcją dodatkową w rozwiązaniach innych pro-

Co dla partnerów?  Atrakcyjny stosunek ceny urządzeń do ich parametrów  Wsparcie cenowe podczas realizacji projektów  Możliwość zaimplementowania dodatkowych funkcji na kartach rozszerzeń (dot. SINLINE RT XL)

 Łatwy kontakt z działem IT producenta w kwestii rozwiązywania problemów i usprawniania oprogramowania PowerSoft

 Program Demo  Dodatkowe opcje serwisowe dla wymagających  Indywidualna opieka ze strony kadry menedżerskiej producenta nad firmami z kanału partnerskiego – specjalistyczne wsparcie autoryzowanych partnerów, obejmujące m.in. szkolenia

ducentów). Monitoring parametrów pracy UPS-a można prowadzić za pomocą protokołu SNMP lub przeglądarki WWW. Użytkownicy docenią także łatwe rozpoznawanie sprzętu przez interfejs komunikacyjny HID USB. Modele z rodziny SINLINE RT XL zapewniają korzystanie z dodatkowych funkcji po zastosowaniu opcjonalnych kart rozszerzeń (np. EPO, RS-232 czy MODBUS). Istotną zaletą nowej serii SINLINE RT XL jest współczynnik mocy PF równy je-

MARCIN GRZYBOWSKI Business Unit Manager, AB

Od 10 lat współpracujemy z firmą EVER. Jej oferta stale i dynamicznie się rozwija. Obecnie prezentowana nowość – seria UPS SINLINE RT – umożliwia nam oferowanie wysokiej klasy rozwiązań rodzimego producenta. EVER wytwarza nowoczesne, światowej klasy urządzenia, wyróżniające go na konkurencyjnym rynku. Z racji mniejszej skali działania i doskonałej znajomości oczekiwań klientów, polski producent jest w stanie dostosować swoje rozwiązania do oczekiwań i wymogów rodzimych odbiorców.

VADEMECUM CRN wrzesień 2015

den (moc czynna jest taka sama jak moc pozorna), co oznacza, że UPS 3000 VA ma moc czynną 3000 W. Zestaw gniazd wyjściowych – standard polski (French) i IEC320-C13 w wersji RT, a także dodatkowe gniazdo IEC320-C19 w kilku modelach z rodziny RT XL – umożliwiają podłączenie różnorodnych urządzeń bez dodatkowych listew zasilających czy też przejściówek. Atutem serii SL RT XL z punktu widzenia administratora jest możliwość sterowania gniazdami wyjściowymi ( jedna sekcja gniazd sterowalnych), za pomocą panelu użytkownika w urządzeniu lub podłączonego do UPS-a komputera z zainstalowanym oprogramowaniem PowerSoft.

SPRAWDZONE ROZWIĄZANIA I DUŻO NOWYCH MOŻLIWOŚCI Seria EVER SINLINE RT i RT XL została wyposażona w znany już z wcześniej

SEBASTIAN WARZECHA Sales Director, EVER

Wsłuchujemy się w sygnały dochodzące do nas z rynku. Nie zawsze możemy zrealizować zawarte w nich sugestie, ale skrzętnie je notujemy. Z takich informacji powstają u nas założenia nowych rozwiązań. Pracując nad kolejnymi produktami, staramy się nie pominąć rozwiązań, które ułatwiają codzienną pracę ich użytkowników. To nasi klienci współtworzą nowe rozwiązania, choć niewielu ma tego świadomość.

oferowanych serii zasilaczy system CDS (Clear Digital Sinus), gwarantujący wysokiej jakości sinusoidalny przebieg napięcia podczas pracy na baterii. Nowością jest bezprzerwowy system AVR, zapewniający, oprócz popularnej funkcji podwyższania i obniżania napięcia wyjściowego, ciągłość zasilania na wyjściu podczas przejść między jego stopniami (zerowy czas przełączania). Nową serię wyróżnia także rozwiązanie, które umożliwia określenie wymaganego minimalnego poziomu naładowania akumulatorów, po osiągnięciu którego zasilacz UPS samoczynnie włączy zasilanie gniazd wyjściowych. To istotne w przypadku powtarzających się w krótkim czasie zaników zasilania, które grożą rozładowaniem akumulatorów. EVER w nowej serii zaawansowanych zasilaczy UPS zapewni również zdalną aktualizację oprogramowania sprzętowego (firmware’u).

posażone w nowe funkcje. Komunikacja odbywa się za pomocą interfejsu HID USB lub protokołu SNMP i gwarantuje monitorowanie pracy zasilaczy oraz kontrolowanie stanów awaryjnych, związanych z zakłóceniami lub przerwami w dostawach energii elektrycznej. Eksploatacja i obsługa zasilaczy z nowej serii jest prosta, łatwo też wymieniać

akumulatory, szczególnie w przypadku instalacji urządzeń w szafie typu rack. Nie ma potrzeby demontowania zasilacza, bo uzyskanie dostępu do akumulatorów wymaga tylko zdjęcia przedniego panelu. Urządzenia z nowej serii SINLINE RT i SINLINE RT XL wraz z pozostałymi rozwiązaniami producenta są do nabycia u dystrybutorów EVER oraz u autoryzowanych partnerów handlowych. Dystrybutorami producenta w Polsce są: AB, ABC Data, Action, Incom, Tech Data i Veracomp.

Dodatkowe informacje: PAWEŁ PAWLAK, KEY ACCOUNT MANAGER, TEL. 666-351-463, P.PAWLAK@EVER.EU, UPS@EVER.EU

PROSTOTA I INTUICYJNOŚĆ OBSŁUGI

Zasilacze z serii SINLINE RT i RT XL wyposażono w graficzny wyświetlacz LCD, na którym prezentowane są najważniejsze parametry urządzenia w dwóch wersjach językowych (do wyboru: polskiej lub angielskiej). Producent dołożył wszelkich starań, by korzystanie z menu było w pełni intuicyjne. Testy wewnętrzne z udziałem osób, które po raz pierwszy używały panelu, potwierdzają, że cel został osiągnięty. Trzy przyciski umieszczone na przodzie umożliwiają sterowanie UPS-em. Do zarządzania zasilaczami i monitorowania ich pracy EVER udostępnia autorskie oprogramowanie PowerSoft, które w związku z zaawansowanymi możliwościami nowej serii zostało wyVADEMECUM CRN wrzesień 2015

ZASILANIE I KLIMATYZACJA

Bezpieczeństwo i ciągłość funkcjonowania centrum danych Emerson Network Power zabezpiecza i optymalizuje krytyczną infrastrukturę centrów danych, zapewniając wszystkie elementy ochrony, w tym skalowalne zasilanie, niezawodną klimatyzację precyzyjną i zdalny monitoring gwarantujący sprawne ich działanie.

merson Network Power oferuje rozwiązanie zasilania gwarantowanego najnowszej generacji – Trinergy Cube – przeznaczone do dużych serwerowni i centrów danych. Ten modułowy system ze zoptymalizowaną wydajnością cechuje średnia sprawność na poziomie aż 98,5 proc. Minimalizacji epła w centrum rozpraszania energii i ciepła danych sprzyja natomiast specjalnie do tego zaprojektowana architektura Trinergy Cube. Pomaga ograniczyć zapotrzebowanie na korzystanie z urządzeń klimatyzacyjnych, a tym samym ich zużycie. Integratorzy mają wyjątkowe możliwości

dostosowywania Trinergy Cube do potrzeb klienta, bowiem skalowalność tego urządzenia (przy gęstości mocy na moduł nawet 400 kVA) zapewnia spełnienie dowolnych wymagań wobec systemu zasilania – od 250 kW do 3 MW, a nawet do 20 MW w układzie równoległym. Tę najwyższą dostępną czynną moc znamionową uzyskuje się dzięki modułowości aż

w trzech wymiarach: w pionie, poziomie i prostopadle. Modułowość w pionie umożliwia serwisowanie modułów mocy podczas pracy zasilacza UPS. Pozioma modułowość zapewnia skalowanie mocy, bez wyłączania systemu, przez dodawanie kompletnych modułów mocy UPS obok siebie i wokół szafy (wejść/wyjść). Z kolei modułowość modu prostopadła gwarantuje pracę z ośmioma kompletnymi zasilaczami UPS (z pełną liczbą modułów mocy) w układzie równoległym. Dzięki modułom o wysokiej gęstości mocy Trinergy Cube jest dziś jedynym statycznym zasilaczem UPS na rynku, zdolnym osiągnąć 3 MW

VADEMECUM CRN wrzesień 2015

adv_Emerson.indd 90

2015-09-11 00:20:16

TRZY TRYBY OCHRONY Skalowalność w zakresie mocy to tylko jeden z wielu dowodów elastyczności Trinergy Cube. System działa w trzech trybach. Bez szkody dla jakości i dostępności zasilania są one aktywowane tak, aby dostosować do potrzeb klienta poziom ochrony i wydajność rozwiązania. Tryb VFI daje maksymalną kontrolę zasilania, zapewniając najwyższy poziom jego kondycjonowania i chroniąc zabezpieczane urządzenia przed wszelkimi zakłóceniami w sieci elektrycznej. Maksymalną oszczędność energii gwarantuje natomiast tryb VFD, w którym system wykrywa, kiedy kondycjonowanie jest niepotrzebne, i w takim przypadku umożliwia przepływ energii przez linię obejściową. Ostatni tryb (VI) zapewnia wysoką sprawność i kondycjonowanie zasilania, kompensując współczynnik zawartości harmonicznych (THDi), współczynnik mocy (PF) oraz spadki i wzrosty napięcia zasilającego. Ciągłość działania centrum danych zależy od niezawodności zasilania. Aby ją zwiększyć, w Trinergy Cube wprowadzono wiele usprawnień. Rozwiązanie m.in. sprawdza stan swoich tranzystorów IGBT, kondensatorów, wentylatorów, styków i akumulatorów, a w razie potrzeby informuje administratora o konieczności konserwacji. Dzięki precyzyjnemu śledzeniu zdarzeń, rejestracji przebiegów napięć i analizie zawartości harmonicznych prądu i napięcia, możliwe jest wykrywanie zjawisk zewnętrznych, które mają wpływ na dostępność usług centrum danych. Trinergy Cube rejestruje też wszystkie istotne dane – od wydajności po parametry opisujące czas własnej pracy. Uzyskanie tych informacji zapewnia kontrolę i optymalizację wykorzystania przestrzeni ﬁzycznej centrum danych oraz zwiększa jego efektywność energetyczną.

WYDAJNE I EKONOMICZNE CHŁODZENIE

W centrum danych duża uża fach liczba urządzeń w szafach kalą w połączeniu z dużą skalą przetwarzania danych moiem się że skutkować pojawieniem w (hotspot), tzw. gorących punktów w na dostępność mających fatalny wpływ ﬁzycznych i wirtualnych serwerów. Aby temu przeciwdziałać, Emerson Network Power oferuje zaawansowane rozwiązania do zarządzania energią cieplną. Są to m.in. agregaty wody lodowej z freecoolingiem i systemem chłodzenia adiabatycznego. Chronią ciągłość pracy aplikacji typu Business Critical Continuity, działających w trybie 24/7/356. Charakteryzują się bardzo skuteczną pracą w trybie freecoolingu. Co więcej, są wyposażone w system zwiększający efektywność energetyczną agregatu, zarówno w danej chwili, jak przez cały rok (bazujący na zraszaniu powietrza chłodzącego skraplacz). Dotychczas stosowane systemy zraszania wymagały korzystania ze stacji uzdatniania wody, co zwiększało koszty i zmniejszało korzyści z procesu adiabatycznego schładzania powietrza. W agregatach Liebert AFC zastosowano klasyczny system zraszania zwykłą wodą wodociągową, co nie ma wpływu na niezawodność rozwiązania. Mogą one pracować w kilku trybach, w zależności od temperatury zewnętrznej, wykorzystujących freecooling, chłodzenie adiabatyczne, obie techniki równocześnie i dodatkowo sprężarki. Inne rozwiązanie, Liebert PCW, to precyzyjne, oszczędne systemy chłodzenia dostosowane do rozwiązań cloud computing. Zakres mocy chłodzonych wodą urządzeń dla centrów danych zwykle wynosi od 60 kW aż do kilkudziesięciu MW. To kompleksowe rozwiązanie obejmuje nie tylko jednostki chłodzące, ale również agregaty wody lodowej o najlepszej sprawności, gwarantujące niezawodność centrów danych. Z kolei moduł Liebert EFC jest wyposażony w takie zaawansowane technologie, jak pośrednia wymiana ciepła przez powietrze lub chłodzenie wyparne. Rozwiązanie może obniżać temperaturę powietrza, wykorzystując zasadę chłodzenia

wyparnego. Proces ten polega na parowaniu wody pod ciśnieniem, co powoduje ogrzewanie otaczającego powietrza. Dzięki niemu moduł może osiągać częściową efektywność wykorzystania energii (pPUE) równą 1,03, przy maksymalnej sprawności energetycznej i minimalnych kosztach operacyjnych.

USŁUGA ZDALNEGO MONITOROWANIA I DIAGNOSTYKI Systemy zasilania i klimatyzacji precyzyjnej – od których zależy ciągłość działania centrum danych – muszą być utrzymywane w optymalnym stanie przez cały okres eksploatacji. Dzięki usłudze zdalnego monitorowania i diagnostyki LIFE.net, dział serwisowy Emerson Network Power może monitorować system i zapobiegać wystąpieniu stanów alarmowych. Objęte usługą LIFE zasilacze UPS i jednostki do zarządzania energią cieplną są zaprogramowane do komunikacji z centrami serwisowymi i przesyłania danych w regularnych odstępach czasu lub w momencie aktywacji alarmu. Gwarantuje to natychmiastowe wskazanie najlepszego sposobu działania, zapewniając szybką reakcję na zdarzenie i wczesną interwencję wykonywaną zdalnie lub, jeśli to konieczne, na miejscu – przez inżyniera serwisowego. Klienci regularnie otrzymują szczegółowe raporty zawierające informacje o stanie systemu, działaniu jednostek oraz trendach w wybranych okresach.

Dodatkowe informacje: PAWEŁ UMIŃSKI, CHANNEL SALES MANAGER, EMERSON NETWORK POWER, TEL. 500-105-463, PAWEL.UMINSKI@EMERSON.COM VADEMECUM CRN wrzesień 2015

adv_Emerson.indd 91

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ EMERSON NETWORK POWER.

w pojedynczej jednostce. Co więcej, system można skonﬁgurować na wiele różnych sposobów – ustawiając moduły szeregowo, w kształcie litery L lub tyłem do siebie. Dzięki temu oraz dużej mocy przypadającej na moduł można w pełni wykorzystać powierzchnię w centrum danych.

2015-09-11 00:20:29

ZASILANIE I KLIMATYZACJA

Uniwersalne rozwiązania Eaton Firma Eaton oferuje pełne portfolio rozwiązań zapewniających ciągłość pracy przedsiębiorstw. Są wśród nich zarówno zasilacze awaryjne, jak i klimatyzatory precyzyjne oraz szafy serwerowe ułatwiające właściwe rozmieszczenie sprzętu w serwerowni.

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ EATON ELECTRIC.

aton od początku istnienia tworzy własne rozwiązania, bazując na informacjach płynących od klientów. Dzięki temu może poszczycić się tysiącami interesujących wdrożeń, które zapewniły użytkownikom ciągłą i bezpieczną pracę. Ciekawymi przykładami są rozwiązania zastosowane w firmie E4 Computer Engineering oraz na uniwersytecie Eastbourne College (na zdjęciu).

mogą łatwo i skutecznie monitorować całą posiadaną infrastrukturę IT, w tym zasilacze UPS i ePDU. Inną kluczową zaletą 9PX jest fakt, że oprogramowanie Intelligent Power współpracuje z mechanizmami migracji maszyn wirtualnych do lokalizacji rezerwowej, tym samym zapewniając integralność danych i eliminując przestoje.

ZASILACZ DO WIRTUALIZACJI

Jedno z ciekawszych wdrożeń Eaton zrealizował na brytyjskim uniwersytecie w Eastbourne. Wykorzystywany jest tam informatyczny system intranetu, który służy ok. 1200 użytkownikom pracującym w dwóch placówkach. Wyzwanie pojawiło się, gdy zarząd uniwersytetu, dysponujący ograniczonym budżetem,

Włoskie przedsiębiorstwo E4 Computer Engineering specjalizuje się w dostarczaniu wysokowydajnej infrastruktury komputerowej dla placówek naukowych i badawczych, a także rozwiązań dla centrów przetwarzania danych, przeznaczonych dla przedsiębiorstw. Firma szczyci się referencjami, które otrzymała od najbardziej prestiżowych europejskich ośrodków badawczych, takich jak CERN w Genewie i włoski Państwowy Instytut Fizyki Nuklearnej. Inżynierowie spółki opracowali rozwiązanie wirtualizacyjne E4 VSTONE, służące do budowy chmur prywatnych, które firma oferuje swoim klientom. Ale wyzwaniem, przed którym stanęli, było dobranie zasilacza awaryjnego odpowiedniego dla platform wirtualizacyjnych. Finalnie zdecydowano o wyborze gotowego do integracji ze środowiskami wirtualizacyjnymi vSphere i Hyper-V zasilacza UPS Eaton 9PX. Rozwiązanie to zostało wybrane także ze względu na możliwość jego integracji ze wszystkimi funkcjami zarządzania energią. Dzięki temu jego użytkownicy za pomocą jednego panelu zarządzania

VADEMECUM CRN wrzesień 2015

INTEGRACJA CENTRÓW DANYCH

ADRIAN PECYNA Product Manager, Eaton Electric

Centrum danych w każdej firmie, jako element o kluczowym znaczeniu, musi być efektywnie zorganizowane, chronione i zarządzane. Zadaniem informatyków jest utrzymywanie infrastruktury technicznej w stanie umożliwiającym jej funkcjonowanie, nawet przy ograniczonych środkach i rosnącej złożoności systemów. Eaton dostarcza rozwiązania, które w tym pomagają. Nasi inżynierowie współpracują z partnerami, aby precyzyjnie dobierać poszczególne komponenty do potrzeb każdego klienta.

zdecydował o połączeniu trzech małych centrów przetwarzania danych w jedno, lepiej kontrolowane i bardziej wydajne środowisko. Ważne było także, aby wdrożone rozwiązanie zapewniało łatwą i niedrogą rozbudowę centrum danych. Początkowo szkoła zwróciła się do firmy Eaton z prośbą o dostarczenie szaf informatycznych, w których zostałyby zainstalowane serwery. Natomiast podczas negocjacji zarysowała się szansa rozszerzenia współpracy. Okazało się bowiem, że bogata oferta rozwiązań producenta zapewnia pozyskanie wszystkich głównych elementów infrastruktury niezbędnych do realizacji projektu. Finalnie Eaton dostarczył dwa trójfazowe zasilacze UPS Eaton 9355 o mocy 15 kVA każdy, cztery szafy montażowe Delta³ (DRS) mieszczące 96 serwerów, jednostki dystrybucji zasilania oraz system klimatyzacji CRAC. Aby zagwarantować dodatkową ochronę, zainstalowane na uniwersytecie szafy montażowe Delta³ wyposażono w zamki otwierane kartą magnetyczną. Do nowej serwerowni Eastbourne College został też dostarczony system klimatyzacji o mocy chłodzenia 15 kW (zadana temperatura otoczenia 24°C), który zapewnia tradycyjny obieg powietrza chłodzącego pod podłogą i powracającego nad urządzeniami znajdującymi się w pomieszczeniu.

Dodatkowe informacje: ADRIAN PECYNA, PRODUCT MANAGER, EATON ELECTRIC, ADRIANPECYNA@EATON.COM

AKTUALIZACJA TO ZA MAŁO. POTRZEBNA JEST EWOLUCJA! Rozwiązania do zarządzania zasilaniem firmy Eaton do wirtualnych i fizycznych aplikacji IT:

Eaton 5P UPS 650–1550 VA

(wymaga karty sieciowej)

Eaton 5PX UPS 1500–3000 VA

K u p UPS lub eP DU fir m y Eato n do k ońc a li s to p ad a 2015 r., a o t rz y m a sz do d at k o w y ro k g wa ra n cji g rat is !

Eaton 9PX UPS 5–22kVA

Eaton ePDU G3

Oprogramowanie Intelligent Power – dołączone ZA DARMO do wszystkich urządzeń s

Koniec wsparcia dla Windows Server 2003 Ze względu na to, że usługa pomocy technicznej dla systemu Windows Server 2003 zostanie wkrótce zakończona, być może już zaktualizowaliście swoją infrastrukturę informatyczną, dokonaliście wirtualizacji lub przenieśliście się do chmury. Jednak niezależnie od tego, czy rozwijaliście się, czy nie, zarządzanie zasilaniem będzie kluczowe dla waszej efektywności, ciągłości procesów oraz opłacalności. Dzięki firmie Eaton możecie wyjść poza rozwiązania dnia dzisiejszego i zabezpieczyć się na przyszłość. Aby zagwarantować, że zarządzanie zasilaniem będzie odbywać się zgodnie z wymogami waszego serwera, skontaktuj się z Eaton przez naszą witrynę internetową: www.eaton.pl/WindowsEOS

I cokolwiek robisz, aktualizacja to za mało. Potrzebna jest ewolucja!

www.eaton.pl/WindowsEOS

ZASILANIE I KLIMATYZACJA

Zasilacze UPS PowerWalker do centrów danych Trójfazowe zasilacze awaryjne PowerWalker z rodziny Voltage Frequency Independent to zaawansowane technicznie UPS-y on-line, których moc może sięgać nawet 320 kVA.

asilacze UPS on-line chronią przed wszystkimi zagrożeniami pochodzącymi z sieci elektroenergetycznej. Są zbudowane w technologii podwójnej konwersji. Najpierw pochodzący z sieci prąd zmienny (AC) jest przez prostownik przetwarzany na stały (DC). W kolejnym kroku falownik konwertuje prąd DC ponownie na AC, którym jest zasilany chroniony sprzęt. W ten sposób zabezpieczane urządzenia są zupełnie odizolowane od sieci elektroenergetycznej i zasilane wyłącznie prądem, który ma idealne parametry wyjściowe, bez względu na jakość prądu dostarczanego z sieci. Kolejną zaletą UPS-ów on-line jest fakt, że w przypadku przerwy w dostawie zewnętrznego zasilania czas przełączania na bateryjne zasilanie awaryjne jest równy zeru. Ma to szczególne znaczenie dla czułych urządzeń, które tworzą firmowe systemy IT, oraz dla zachowania nieprzerwanej pracy w firmie. Dodatkowo UPS on-line zapewnia najbardziej precyzyjną regulację napięcia wyjściowego. Trójfazowe zasilacze on-line z rodziny PowerWalker VFI są zaprojektowane do zabezpieczania wszelkich krytycznych aplikacji w przedsiębiorstwach. Znajdują zastosowanie w serwerowniach i centrach danych, służą do ochrony zasilania sprzętu medycznego, przemysłowego itp. UPS-ami PowerWalker VFI można zarządzać przez porty USB, RS-232 lub sieć komputerową (za pomocą specjalnego modułu SNMP), wykorzystując różne systemy operacyjne. Upraszcza to utrzymanie rozwiązania, monitorowanie napięcia, stanu naładowania, zużycia baterii itp. Istnieje również specjalny moduł do komunikacji zasilaczy z serwerami IBM AS-400.

VADEMECUM CRN wrzesień 2015

Charakterystyka modułowego zasilacza PowerWalker VFI MP 3/3 • UPS od 15 do 150 kVA on-line (do 10 modułów) • 3 fazy na wejściu, 3 fazy na wyjściu • Równoległa i równoległa nadmiarowa (N+X) konfiguracja systemu ze zintegrowaną komunikacją • EPO, port pomiaru temperatury baterii, 3 inteligentne porty, RS-232, RS-485, zintegrowany MBS (Maintenance Bypass Switch) • 7-calowy kolorowy panel dotykowy • Moduły wymieniane w trybie hot-swap w obudowach dostosowanych do mocy 90, 120 i 150 kVA

MODUŁOWE ZASILACZE VFI MP 3/3 Wśród urządzeń dla przedsiębiorstw dużą popularnością cieszą się rozwiązania modułowe. Dzięki swej konstrukcji oferują użytkownikom elastyczność wdrożenia. Gdy system informatyczny się rozrasta i zwiększa się obciążenie, można łatwo i ekonomicznie skalować architekturę zasilania gwarantowanego przez dodawanie kolejnych modułów, nie trzeba kupować nowych systemów UPS. Użytkownicy mogą więc ograniczać inwestycje, stosując model biznesowy „pay-as-you-grow”. Zasilacze UPS on-line PowerWalker VFI MP 3/3 umożliwiają klientom dobranie zasilania w zakresie od 15 do 150 kVA (do 10 modułów po 15 kVA). Taka moc jest wymagana przez serwerownie, centra danych, gdzie zainstalowany jest sprzęt o dużym jej poborze. Moduły pracują równolegle, więc nie trzeba synchronizować i konfigurować ich pracy ani instalować dodatkowego okablowania. Dzięki zastosowaniu równoległego nadmiaro-

wego (N+X) systemu zasilania nie ma pojedynczego punktu awarii (Single Point of Failure). Moduły mogą być wymieniane bez przerywania pracy zasilacza (hot-swap). Każdy z nich to kompletny zestaw UPS, który trzeba tylko zamontować w przeznaczonej do tego obudowie. Nie są potrzebne specjalne rozwiązania sterujące pracą równoległą lub równoważeniem obciążeń. PowerWalker VFI MP 3/3 doskonale sprawdza się w nadmiarowym zasilaniu gwarantowanym – w konfiguracji N+2 niezawodność zasilacza wzrasta do 99,99 proc., a średni czas bezawaryjnej pracy (MTBF) przekracza 10 mln godzin! Po dodaniu jeszcze jednego nadmiarowego modułu niezawodność rozwiązania osiąga 100 proc. UPS wyposażony jest w trzy wielofunkcyjne inteligentne porty, zapewniające połączenia USB, RS-232, SNMP, AS400, NMC, oraz karty CMC i zoptymalizowany do pracy ze sprawnością ponad 93 proc. W ofercie Impaktu są trzy rodzaje obudów PowerWalker VFI MP 3/3 o tych

ŁUKASZA WARDAKA, DYREKTORA DZIAŁU SIECIOWEGO, IMPAKT CRN Jaką pozycję w ofercie PowerWalker zajmują UPS-y dla przedsiębiorstw? ŁUKASZ WARDAK PowerWalker kładzie coraz mocniejszy nacisk na ofertę zasilaczy trójfazowych. Obecnie obejmuje ona już ponad 30 modeli, a w niedalekiej przyszłości będzie ich jeszcze więcej. Wszystkie modele 3/3, 3/1 i jednofazowe o mocy 10 kVA znajdują zastosowanie w wielu sektorach, np. publicznym i finansowym. Są też wykorzystywane w przemyśle, gdzie podłącza się do nich wszelkiego rodzaju maszyny. Natomiast w biurowcach służą jako centralny UPS dla wielu stanowisk komputerowych, a w centrach danych – jako awaryjne zasilanie dla serwerowni. Przykładem może być nasz nowy budynek magazynowo-biurowy, w którym UPS VFI 40000TP BI zastąpił ponad 100 małych UPS-ów, wykorzystywanych w starej siedzibie.

samych wymiarach, ale przeznaczone do zasilaczy różnej mocy – 90, 120 i 150 kVA (inne okablowanie, MBS itp.). Wszystkie mieszczą dziesięć modułów, więc na przykład UPS z obudową 90 kVA i dziesięcioma modułami będzie pracował w systemie równoległym 6+4. Sześć modułów (6 x 15 kVA = 90 kVA) da wystarczającą moc dla obciążeń, a cztery dodatkowe będą służyły jako rezerwa bezpieczeństwa. Jeśli jakiś moduł zawiedzie, można go łatwo odłączyć i wymienić bez przerywania pracy systemu.

CRN Czy tego typu rozwiązania są przeznaczone tylko dla przedsiębiorstw? ŁUKASZ WARDAK Część klientów wykorzystuje nasze rozwiązania również do zasilania awaryjnego domów jednorodzinnych, w których – przez połączenie z agregatem prądotwórczym – potrafią zapewnić zasilanie awaryjne nawet przez kilka dni. Mamy też informacje od klientów o podłączaniu modeli trójfazowych do pomp ciepła. CRN Jakie korzyści daje resellerowi współpraca z Impaktem w zakresie trójfazowych UPS-ów PowerWalker? ŁUKASZ WARDAK Proponujemy jakość klasy A w cenie klasy B. Oferujemy wsparcie techniczne przez wykwalifikowanych inżynierów z Polski, Niemiec i Tajwanu, którzy przeszli szkolenie w dziedzinie rozwiązań trójfazowych w fabrykach producenta. Zapewniamy pomoc w doborze modeli do konkretnej inwestycji i szkolenia dla instalatorów oraz klientów. I w naszym kraju, i w całej Europie zauważalny jest znaczący wzrost udziału tego rodzaju zasilaczy UPS w całkowitej sprzedaży producenta. Dlatego Impakt, wyłączny przedstawiciel PowerWalker w Polsce, aktywnie poszukuje dystrybutorów i resellerów chętnych do współpracy w zakresie sprzedaży i wdrażania UPS-ów trójfazowych.

ZASILACZE Z SERII VFI TAP 3/3 Dostawcy UPS starają się pochwalić jak najwyższą sprawnością swoich zasilaczy. W nowych rozwiązaniach bardzo zbliżyła się do 100 proc. Jednak gdy obciążenie spada, sprawność zasilaczy gwałtownie maleje. Seria PowerWalker VFI TAP 3/3 stanowi rozwiązanie tego problemu. Poszczególne modele skonstruowano w taki sposób, by uzyskiwać sprawność powyżej 94 proc., a w trybie ECO nawet ponad 98 proc. Mają moc do 80 kVA i za-

Charakterystyka zasilacza PowerWalker VFI TAP 3/3 • Trójfazowy UPS on-line o mocy do 80 kVA • Może być głównym/jedynym źródłem gwarantowanego zasilania w centrum danych • Tryb Hot Parallel Connection – dzielenie obciążenia bez komunikacji między UPS-ami • Sprawność powyżej 94 proc. • Inteligentne zarządzanie ładowaniem baterii, przedłużające ich żywotność. • Zwarta konstrukcja ograniczająca koszty instalowania, okablowania i utrzymania

pewniają równoległe połączenie czterech systemów (maksymalna moc 320 kVA). Doskonale pełnią rolę głównego/jedynego zasilania gwarantowanego dla centrum danych. Zwiększona sprawność w trybie bypass sprawia, że łatwo radzą sobie ze wszelkiego rodzaju problemami związanymi ze złą jakością zasilania. W serii VFI TAP 3/3 do wyboru są zasilacze o mocy 20, 30, 40, 60 i 80 kVA. Jeśli chodzi o zasilacze o mocy od 20 do 40 kVA, można wybrać jednostkę z akumulatorami (podseria BI) lub bez akumulatorów w zestawie (podseria BE). Urządzenia o mocy 60 i 80 kVA są sprzedawane bez akumulatorów (podseria BX) i przygotowane do pracy z zewnętrznymi modułami bateryjnymi.

Dodatkowe informacje: ŁUKASZ WARDAK, DYREKTOR DZIAŁU SIECIOWEGO, IMPAKT, LUKASZ.WARDAK@IMPAKT.COM.PL VADEMECUM CRN wrzesień 2015

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI POWERWALKER I IMPAKT.

Trzy pytania do…

CYFROWA TELEWIZJA PRZEMYSŁOWA

Systemy monitoringu wideo Włączenie do oferty wideomonitoringu IP nie powinno przysparzać integratorom wielkich problemów. Zdaniem przedstawicieli branży posiadają już zdecydowaną większość potrzebnych kompetencji, a resztę zdobędą u dostawców tego typu rozwiązań. TOMASZ JANOŚ 96

VADEMECUM CRN wrzesień 2015

txt_monitoring wideo.indd 96

2015-09-14 22:50:18

Dlatego w końcu zdarzyło się to, co musiało się zdarzyć. Przełom nastąpił w 2014 r., w którym – według światowych analityków – kupiono więcej cyfrowych rozwiązań do monitoringu wideo niż analogowych. I chociaż w Polsce w ubiegłym roku pewną przewagę miały jeszcze systemy starszego typu, różnica ta powinna szybko się zmniejszać. – Nowe projekty dotyczą niemal wyłącznie rozwiązań IP. Z analogowymi kamerami mamy do czynienia przede wszystkim w obiektach, w których zostały one wcześniej zainstalowane i klient nie chce się pozbywać urządzeń, w które w przeszłości zainwestował niemałe środki– twierdzi Jakub Kozak, Sales Manager, Poland and Baltics w Axis Communications. W takich przypadkach starsze rozwiązania są – za pomocą koderów konwertujących sygnał na cyfrowy – integrowane z rozbudowywanym systemem i nowymi kamerami IP. Wyniki sprzedaży światowych dostawców rozwiązań cyfrowych są niezwykle obiecujące. W ciągu minionych czterech lat jej wartość podwoiła się i – według prognoz – to samo stanie się w ciągu kolejnych czterech lat. Dlatego warto wykorzystać szansę i w swojej ofercie umieścić rozwiązania monitoringu wideo.

SZYBKA ADAPTACJA DO OFERTY

rzez długie lata wideomonitoring skutecznie opierał się postępowi technicznemu. Funkcjonował jako ostatnia już kategoria elektronicznego wyposażenia ﬁrmy, oparta głównie na rozwiązaniach analogowych. Jednak klienci od kilku lat coraz wyraźniej dostrzegają przewagę urządzeń cyfrowych. To zasługa dużo lepszej jakości obrazu, większej funkcjonalności, skalowalności i możliwości integracji z innymi systemami IT w ﬁrmie. Poza tym nie kierują się już tylko niższą ceną rozwiązań analogowych. Uwzględniają także całkowite koszty użytkowania, które w przypadku sprzętu IP są zdecydowanie niższe. Doceniają też korzyści niematerialne, takie jak chociażby wyższa skuteczność ochrony obiektu.

Opór przed podjęciem tego kroku powinna zmniejszyć świadomość, że każdy integrator IT, dzięki swojej dotychczasowej działalności, zdobył już doświadczenie, które jest wymagane do stworzenia systemu wykorzystującego kamery IP. Przez lata instalował i konﬁgurował serwery, urządzenia pamięci masowej, aplikacje, rozwiązania bezpieczeństwa sieciowego, przełączniki i routery oraz wszystkie inne komponenty potrzebne do zapewnienia komunikacji przewodowej i bezprzewodowej. A przecież dokładnie ta sama infrastruktura jest wykorzystywana do budowy bazującego na sieci IP systemu monitoringu wideo. Co ważne, wiedza dotycząca tworzenia takiej sieci jest najczęściej nieosiągalna dla tych, którzy dotąd zajmowali się instalowaniem rozwiązań analogowych.

Pozostałe kompetencje integrator może oczywiście zdobyć dzięki szkoleniom prowadzonym przez dostawców. W ten sposób pozna m.in. najlepsze praktyki wdrażania systemów bezpieczeństwa ﬁzycznego, chociażby sposoby takiego rozmieszczania kamer, by ochrona obiektu była jak najbardziej skuteczna. Dostawcy zwykle organizują praktyczne warsztaty, podczas których uczą, jak określać obszar pokrycia monitoringiem, jak dobierać optykę urządzeń i obliczać inne parametry, np. całkowitą przestrzeń dyskową potrzebną do zapisu zgodnego z polityką przechowywania danych u klienta. Jeśli integratora nadal nie opuszczają wątpliwości, powinien wziąć pod uwagę, że kiedyś w takiej samej sytuacji byli ci, którzy zastanawiali się nad rozszerzeniem swojej oferty o rozwiązania VoIP. Gdy szybko się zdecydowali, to – po krótkim okresie nadrabiania braku wiedzy o telefonii IP – mogli liczyć na większe zyski. Teraz, gdy VoIP stał się już standardem w ofertach integratorów, dochody z takich rozwiązań nie są już szczególnie atrakcyjne.

PRZEWAGA PO STRONIE IT Rynek monitoringu wideo nie był dotąd zdominowany przez integratorów IT. Sprzedażą i wdrożeniami zajmowali się głównie instalatorzy rozwiązań analogowych, często odpowiedzialni także za inne elementy infrastruktury budynków. Teraz, gdy następuje techniczny przełom, klienci coraz częściej skłaniają się ku ofertom typu „wszystko w jednym”, zamiast szukać oddzielnych systemów od dostawców IT, monitoringu i kontroli dostępu. Ci, którzy na to się nie zdecydują, muszą liczyć się z uruchomieniem w ich siedzibie nawet trzech odrębnych sieci, którymi trzeba będzie zarządzać za pomocą różnych, niepołączonych ze sobą narzędzi. Firmy IT mają wystarczającą wiedzę, by zintegrować to wszystko w jeden system, co dla klienta oznacza niższe koszty, zarówno infrastruktury, jak i operacyjne. Mało prawdopodobne, by wielu instalatorów analogowych systemów monitoringu i dostępu zdołało się przestawić VADEMECUM CRN wrzesień 2015

txt_monitoring wideo.indd 97

2015-09-14 22:50:43

CYFROWA TELEWIZJA PRZEMYSŁOWA na rozwiązania IP. Resellerzy IT zyskują więc przewagę i szansę na dodatkowe dochody. Powinni się jednak pospieszyć, bo instalatorów chętnych do zajęcia miejsca nie brakuje – na rynku monitoringu IP coraz energiczniej zaczynają działać ﬁrmy ochroniarskie. Przewaga integratorów nad dotychczasowymi instalatorami rozwiązań analogowych polega na tym, że osobami kontaktowymi u klienta będą najczęściej pracownicy działu IT. Ponieważ system dozoru wideo będzie działać z wykorzystaniem sieci, którą się zajmują, nie obejdzie się bez pytań o wpływ na przepustowość, bezpieczeństwo informatyczne (przede wszystkim o politykę przechowywania zarejestrowanych obrazów) i sprawy związane z utrzymaniem systemu. Integrator ma doświadczenie w prowadzeniu takich rozmów, będzie więc postrzegany jak partner, który lepiej rozumie potrzeby klientów.

WIĘCEJ NIŻ OBRAZ Standaryzacja produktów bazujących na sieci IP i otwarte platformy programowe do zarządzania monitoringiem dają wolną rękę w wyborze kamer, serwerów i pozostałych elementów potrzebnych do zbudowania systemu. Co więcej, umożliwiają jego selektywne modernizowanie, czyli wymianę tylko wybranych elementów. Tym różnią się od tradycyjnych rozwiązań, które – gdy skończy się ich cykl użytkowania – muszą być wymieniane w całości. Ponieważ elementy monito-

ringu są połączone przez sieć IP, mogą współpracować z innymi urządzeniami sieciowymi. Ułatwia to znajdowanie nowych zastosowań, które zwiększą bezpieczeństwo przedsiębiorstwa i podniosą biznesową wartość wdrożonego systemu. Megapikselowe kamery IP zapewniają wartość dodaną na kilka sposobów. Jeden jest taki, że kamera zastępuje kilka urządzeń analogowych. Otrzymuje się obraz cyfrowy, a duża rozdzielczość urządzeń przekłada się na wielką ilość dostarczanych informacji. Można więc wykorzystać różne algorytmy i moc procesorów do analizowania danych pod różnym kątem. System może służyć do proaktywnego działania – zdarzenia są identyﬁkowane w czasie rzeczywistym i automatycznie wyzwalają się reakcje stosowne do rodzaju incydentu. Do podstawowych funkcji należą: rozpoznawanie numerów tablic rejestracyjnych pojazdów (automatyzacja pracy systemów dozorowych na parkingach), rozpoznawanie twarzy (przyda się w systemach służących ograniczeniu liczby kradzieży w sklepach) oraz uzyskiwanie różnego rodzaju danych statystycznych. – Tak naprawdę nikt nie potrzebuje samych kamer. Klienci chcą rozwiązań, które rozwiążą ich problemy, coraz częściej niezwiązane z bezpieczeństwem, ale optymalizacją procesów biznesowych – twierdzi Jakub Kozak z Axis. Dlatego obecnie trendem w monitoringu są rozwiązania całościowe, w których coraz więcej elementów systemu jest ze sobą zintegrowanych.

JAKUB KOZAK Sales Manager, Poland and Baltics w Axis Communications

T Tradycyjni instalatorzy zabezpieczeń po szkoleniach dobrze sobie radzą z doborem urządzeń czy projektowaniem ich rozmieszczenia w nadzorrowanej przestrzeni. Czymś zupełnie nowym jest dla nich stworzenie infrastruktury informatycznej – dobranie odpowiednich przełączników sieciowych, oprogramowania zarządzającego, serwerów czy macierzy do zapisu materiału wizyjnego. Z kolei firmy informatyczne, które zaczynają brać udział w projektach obejmujących nadzór wizyjny, nie mają żadnego problemu z warstwą sieciową. Umieją również łatwo ocenić aplikacje typu VMS i odpowiednio zaspokajac konkretne potrzeby klientów. Tym, co wymaga trochę czasu, jest zbudowanie u integratorów IT solidnych kompetencji w zakresie zabezpieczeń. Dlatego na rynku nie ma wielu firm, które sprawnie łączą wiedzę z obu obszarów. Zapewne będzie ich przybywać w branży IT, ponieważ firmom informatycznym łatwiej jest zdobyć wiedzę z zakresu zabezpieczeń niż instalatorom kompetencje w zakresie sieci IP.

Przedsiębiorstwa z branż, które najwięcej inwestują w monitoring wideo, np. placówki handlowe, mogą z czasem zainteresować się możliwościami systemów kamer IP nie tylko związanymi z bezpieczeństwem. Duża ilość informacji zawartych w rejestrowanym obrazie zapewnia analizowanie zachowania klientów, np. określenie miejsc w sklepach, w których spędzają najwięcej czasu. Zintegrowanie z siecią IP daje dużą elastyczność w tworzeniu systemu monitoringu. Wykorzystanie z jednej strony łączności bezprzewodowej i topologii sieciowych point-to-point, point-to-multipoint czy mesh, z drugiej – zasilania przez sieć Ethernet (PoE) bardzo ułatwia umieszczanie kamer i innych elementów systemu dokładnie tam, gdzie powinny być zastosowane.

KAMERY IP TO TYLKO FRONT-END Przejście z analogowego monitoringu wideo wykorzystującego taśmy lub urządzenia DVR (Digital Video Recorder) do sieciowych rozwiązań wykorzystujących protokół IP znacząco rozszerza możliwości zapisu obrazu. Zastosowanie urządzeń przetwarzających (kodujących) sygnał z analogowych kamer na cyfrowy pozwoli zintegrować także starsze, używane dotychczas przez klienta rozwiązania z nowymi wielopikselowymi kamerami sieciowymi. Ale żeby to wszystko działało jak należy, potrzeba niezwykle starannego doboru zasobów dyskowych. Ich wielkość zależy od spodziewanej objętości zapisu (czasu rejestracji i rozdzielczości obrazu), od wymaganych polityk przechowywania zapisanych plików, od planowanego stopnia ochrony danych (poziomu RAID, schematów backupu) itp. Pomóc w obliczeniach mogą chociażby kalkulatory ze stron producentów pamięci masowych. Dostawcy dysków zwracają uwagę, że zwykłe desktopowe napędy nie spełniają wyśrubowanych wymagań monitoringu wideo. Zdaniem Norberta Koziara, senior sales managera WD, wybór takich dysków to dość częsty błąd popełniany przez integratorów. Napędy zaprojektowane

VADEMECUM CRN wrzesień 2015

txt_monitoring wideo.indd 98

2015-09-14 22:51:14

UMIEJĘTNOŚCIĄ, KTÓRĄ KONIECZNIE TRZEBA NABYĆ, JEST JAK NAJLEPSZE WYKORZYSTYWANIE ISTNIEJĄCEGO OŚWIETLENIA DO ZWIĘKSZANIA SKUTECZNOŚCI KAMER (FOT.: TINY SOLUTIONS).

specjalnie do monitoringu są optymalizowane do zapisu ciągłego – większy bufor pozwala na zapis wielu strumieni HD. – To daje im znaczną przewagę nad dyskami do desktopów, które racują średnio 5 dni w tygodniu przez 8–9 godzin – twierdzi Norbert Koziar. W związku z tym, że nośniki do systemów monitoringu pracują w rejestratorach, które najczęściej nie posiadają efektywnego chłodzenia, zostały przystosowane do pracy w temperaturze wyższej niż dyski klasy desktop. W przypadku małych instalacji integrator musi wytłumaczyć klientowi, że użycie serwera, na którym działają wszystkie systemy ﬁrmy, do zapisu monitoringu wideo (w celu ograniczenia kosztów) nie będzie dobrym wyjściem. Klient powinien zdać sobie sprawę, że ze względów bezpieczeństwa i wydajności (wysoka jakość zapisu) potrzebna będzie wydzielona infrastruktura sieciowo-serwerowo-pamięciowa. W większych instalacjach hybrydowych i tych, w których stosuje się wyłącznie z kamery IP, warto rozważyć stworzenie sieci pamięci masowej (SAN). Taka sieć (wykorzystująca technologię FC bądź iSCSI) zapewnia dużą wydajność i wysoki poziom niezawodności (dzięki zastosowaniu macierzy z nadmiarowymi kontrolerami, zasilaczami i wentylatorami). Stosowanie licznych kamer, rygorystyczne przepisy dotyczące przechowywania plików wideo oraz coraz szersze możliwości analitycznych narzędzi monitoringu powodują, że danych do przechowania jest coraz więcej. Na rynku dostępne jest oprogramowanie, które

umożliwia optymalizację kosztów i wydajności zapisu przez inteligentne łączenie lokalnych zasobów dyskowych z pamięcią w chmurze obliczeniowej. Przy czym świadczenie usługi monitoringu wideo z chmury może być dla resellera sposobem na biznes. Argumentami dla klientów są w tym przypadku: wygoda (dostęp z każdego miejsca i dowolnego urządzenia do systemu monitoringu)

Integratorzy IT mają przewagę nad dostawcami analogowych systemów. i bezpieczeństwo związane z przechowywaniem zapisu z dala od chronionego obiektu.

PRAKTYKA WAŻNA RZECZ… W tej części wiedzy, którą musi dołożyć integrator do swoich kompetencji, największe znaczenie ma, oczywiście, strona praktyczna. Przede wszystkim należy dobrze poznać potrzeby klienta. Ponieważ najczęściej nie jest on pewien, co i jak powinien chronić, projekt trzeba zacząć od rekonesansu w obiekcie i audytu istniejącej infrastruktury sieciowej. Odpowiedni wywiad z klientem, dotyczący możliwych dróg kradzieży, zagrożeń

dla ludzi i zasobów, ułatwia szczegółowe określenie obszarów przedsiębiorstwa, które powinny być chronione. Dane zebrane w wyniku takiego badania upraszczają wybór produktów, których należy użyć do stworzenia systemu monitoringu. Zdecyduje o tym środowisko, w jakim będą funkcjonowały kamery, i stwierdzenie, ile urządzeń potrzeba wewnątrz, a ile na zewnątrz budynku. Ważne jest także, czy będą one działały w oświetleniu naturalnym, czy sztucznym, w pełnym świetle, czy w zupełnej ciemności. Umiejętnością, którą koniecznie trzeba nabyć, jest jak najlepsze wykorzystywanie istniejącego oświetlenia do zwiększania skuteczności kamer. W wielu przypadkach pozwoli to na zainstalowanie urządzeń mniej czułych, zamiast tych najdroższych, które potrafią szybko reagować w każdych warunkach oświetleniowych. Wdrożenie może dotyczyć wyłącznie monitoringu wideo, ale może także obejmować inne elementy systemu bezpieczeństwa fizycznego, takie jak oparty na kartach zbliżeniowych mechanizm kontroli dostępu, zamki magnetyczne, czujniki dymu, pasywne detektory podczerwieni itp. Ich zainstalowanie wcale nie musi być skomplikowaną czynnością, tylko dla wykwalifikowanych elektryków, ale zadaniem, które – po odpowiednim przeszkoleniu – potrafi wykonać integrator. W dodatku, jeśli czujnik w zamku u drzwi zostanie zintegrowany z kamerą przez port I/O, można ograniczyć stopień wykorzystania monitoringu wideo, a więc i jego koszty. W takim przypadku zamiast ciągłej rejestracji, obraz jest nagrywany jedynie wtedy, gdy drzwi zostaną otwarte. Można też połączyć system z czujnikami ruchu, wyzwalającymi nagrywanie. W ten sposób – jak już wspomniano – znacznie ograniczy się zarówno zużycie pasma w sieci, jak i pamięci masowej przeznaczonej na nagrania wideo. Tego typu wskazówek, na które składa się know-how wykwalifikowanego dostawcy systemów monitoringu, jest więcej. Na pewno warto je poznać i zdecydować się na pracę w tym segmencie rynku. Szanse na rozwój daje np. świadczony z chmury model VSaaS, który zapewnia szybki dostęp do większej mocy obliczeniowej i przestrzeni zapisu. VADEMECUM CRN wrzesień 2015

txt_monitoring wideo.indd 99

2015-09-14 22:51:32

CYFROWA TELEWIZJA PRZEMYSŁOWA

Profesjonalny monitoring wideo w każdej branży tylko z ACTi ACTi od kilku lat pracuje nad dostosowaniem oferty do potrzeb ﬁrm z różnych segmentów rynkowych. Dzięki takiemu podejściu w portfolio producenta znajduje się już ponad 200 modeli kamer, a także dziesiątki typów rejestratorów i wiele pakietów oprogramowania.

ednym z ważniejszych filarów oferty firmy ACTi staje się oprogramowanie. Zapewnia ono dokładną analizę obrazu i zdobycie w ten sposób dodatkowej wiedzy biznesowej, co już od kilku lat jest świętym Graalem branży wideomonitoringu. Na samym początku skupiano się na takich funkcjach jak rozpoznawanie tablic rejestracyjnych lub wszczęcie alarmu, kiedy w obserwowanej przez operatora strefie pojawił się jakiś przedmiot lub z niej zniknął bądź gdy naruszona została przez intruza zdefiniowana wcześniej przestrzeń. Tego typu funkcje są dziś już dość popularne i oferowane przez większość producentów oprogramowania czy kamer z analizą obrazu z wideomonitoringu.

100

Użytkownicy systemów nadzoru wideo oczekują jednak zdecydowanie więcej. Chcą, aby szczegółowa analiza zarejestrowanego obrazu dawała informacje pomocne w prowadzeniu biznesu. Dlatego powstały systemy klasy VAS (Vertical Application Suite), które, bazując na obrazie z monitoringu wideo, nie tylko zapewniają bezpieczeństwo, ale także ułatwiają np. zarządzanie sieciami sklepów. Tworzą bowiem mapy przepływu klientów (tzw. Heat Maps), które są przydatne zarówno dla działów sprzedaży, jak i marketingu. Dzięki takiemu rozwiązaniu właściciele sklepów mogą prowadzić dokładną analizę: ilu klientów odwiedziło ich placówki, w którym miesiącu ruch był największy oraz jakie towary, na której półce najbardziej przyciągały wzrok kupujących. Oczywiście, niektóre z tych informacji można zdobyć także w inny sposób, np. analizując zestawienia sprzedaży. Jednak nie pokażą one ścieżki, którą poruszają się klienci w sklepie, ani towarów, które wzięli do ręki, ale chwilę później odłożyli z powrotem na półkę.

WYCIĄGNĄĆ JAK NAJWIĘCEJ Z OBRAZU Dzisiaj coraz mniej dziwią systemy liczące osoby w danym pomieszczeniu lub wybranym okresie czy wręcz analizujące płeć, a nawet wiek klientów. Do standardowych funkcji zalicza się też możliwość połączenia systemów POS z rozwiązaniem monitoringu, dzięki czemu w momencie skanowania kodu kreskowego wirtualny paragon, zawierający nazwę produktu i cenę, jest nanoszony na obraz z kamery. Oczywiście, potencjalnych zastosowań inteligentnej analizy obrazu IVS (Intelligent Video Surveillance) można znaleźć zdecydowanie więcej i to nie tylko w branży handlowej. Analiza obrazu może być prowadzona za pomocą oprogramowania zarządzającego, ale także bezpośrednio w kamerze, dzięki czemu zmniejszane jest obciążenie serwerów i rejestratorów, do których kamera przesyła już gotowy wynik analizy. Jedną z pierwszych kamer, w jakich zostanie zaimplementowania tego typu analiza obrazu oraz funkcja liczenia obiektów i osób, będzie model ACTi E38, który zostanie wprowadzony do sprzedaży jeszcze we wrześniu br. Co ciekawe, kamera ta, prowadząc zaawansowaną analizę obrazu, może zapisywać materiał z prędkością nawet 60 kl./s w rozdzielczości Full HD. Funkcję liczenia osób można z powodzeniem wykorzystać nie tylko w sektorze handlowym, ale np. w komunikacji miejskiej czy kolejowej. Integratorzy, którzy chcą zaistnieć na tym rynku, muszą

VADEMECUM CRN wrzesień 2015

adv_FEN_Acti.indd 100

2015-09-11 00:22:22

MACIEJA CENKIERA, MONITORING IP BUSINESS UNIT MANAGERA, KONSORCJUM FEN CRN W jakich obszarach dostawcy rozwiązań do monitoringu obecnie rozbudowują ofertę? MACIEJ CENKIER Zmiany są nieustanne, ale rok 2015 w przypadku firmy ACTi okazał się pod tym względem wyjątkowy. Producent położył ogromny nacisk na rozwiązania przeznaczone do zastosowania w konkretnych branżach, czego efektem jest m.in. znacznie rozbudowana oferta dla sektora transportowego. Rozwinięto także zainstalowane w kamerach oprogramowanie do inteligentnej analizy obrazu oraz rozbudowano ofertę o spersonalizowane systemy VAS. CRN A jak partnerzy i klienci w Polsce postrzegają markę ACTi?

zadbać, aby współpracować z producentami spełniającymi szereg branżowych wymogów i dostosowującymi swoje produkty do obowiązujących w danym sektorze norm i standardów. ACTi stara się stawić czoła tym wymogom, czego efektem jest m.in. wyposażenie kamer do monitoringu wizyjnego stosowanego w taborze kolejowym w złącza M12 stosowane powszechnie w tym segmencie oraz spełniające normę EN50155.

K AMERY DO MONITORINGU DLA WIELU BRANŻ

ACTi ma bardzo bogatą i wciąż rozwijaną ofertę kamer do cyfrowego monitoringu. Jeszcze we wrześniu bieżącego roku do portfolio producenta wprowadzone zostaną modele serii Q1xx, typu covert, wyposażone w obiektywy pinhole oraz fisheye. To kamery o bardzo małych rozmiarach, dzięki czemu ich montaż będzie prosty, a urządzenia prawie niezauważalne. Uzupełnią one dotychczasowe portfolio kamer kopułkowych pracujących w trybie dziennym, ale także tych dzienno-nocnych, wyposażonych w diody IR LED.

MACIEJ CENKIER Bardzo dobrze, z każdym rokiem jest coraz silniejsza i bardziej rozpoznawalna. Świadczyć może o tym także zdecydowany wzrost liczby integratorów uzyskujących status ACTi Elite Partner. Takim tytułem mogą posługiwać się tylko firmy, które znacząco angażują się w budowanie innowacyjnych rozwiązań wideomonitoringu i analizy zbieranych danych. CRN W jakim zakresie Konsorcjum FEN, jako dystrybutor z wartością dodaną, może zapewnić partnerom dodatkowe wsparcie? MACIEJ CENKIER W 2015 r. rozbudowaliśmy zakres prac działu wsparcia o ofertę usług profesjonalnych. Jedną z nich jest wstępne konfigurowanie urządzeń zgodnie z oczekiwaniami klienta i dostarczenie gotowego do uruchomienia systemu, co zapewnia oszczędność czasu w okresie instalacji. Nasi inżynierowie często przeprowadzają też szkolenia certyfikujące dla partnerów oraz prezentacje sprzętu u potencjalnych klientów, ponieważ ich potrzeby za każdym razem są inne. Nie ustajemy także we wspieraniu partnerów przez dostarczanie potrzebnej im wiedzy, jak też w tworzeniu atrakcyjnych ofert, pozwalających na uczestniczenie w najbardziej ambitnych projektach.

Szeroka oferta ACTi, w której jest wiele rodzajów kamer, zapewnia bogaty zakres rozdzielczości. Standardem są dziś stosowane w branży transportowej kamery o rozdzielczości 2 megapikseli, ale w ofercie znajdują się także urządzenia o większych rozdzielczościach – nawet 10 megapikseli. Jedną z ciekawszych pozycji, jakie zostały wprowadzone przez ACTi do oferty w bieżącym roku, jest pierwsza kamera szybkoobrotowa (model I910) z matrycą o rozdzielczości 4 megapikseli, wyposażona w 33-krotny zoom optyczny (f4,5–148,5 mm), która pozwala na pracę w temperaturze od -40 do +50 stopni Celsjusza. Podobne urządzenie (model I912), ale do zastosowania wewnątrz budynków, jest w sprzedaży od sierpnia 2015 r.

MOBILNA

czas podróży. Gdy pojazd trafi do zajezdni, wszystkie zarejestrowane dane są przenoszone drogą bezprzewodową na centralny serwer. Tego typu mobilne rejestratory mogą być również wyposażone w moduły 3G/GSM, co pozwala na dość precyzyjne określenie ich położenia. Zebrane w ten sposób dane można przenieść do systemów VAS i przekazywać dalej, już w postaci użytecznej dla społeczeństwa informacji (np. czas przybycia autobusu lub tramwaju na przystanek bądź podawana w Internecie aktualna pozycja pociągu na mapie kraju).

REJESTRACJA

Równie ważnym jak kamery elementem systemu wideomonitoringu są rejestratory obrazu. ACTi ma ciekawą ofertę także w tym zakresie. Dla firm transportowych lub operatorów kolejowych przeznaczone są miniaturowe, mobilne urządzenia przechowujące dane zapisywane pod-

Dodatkowe informacje: MACIEJ CENKIER, MONITORING IP BUSINESS UNIT MANAGER, KONSORCJUM FEN, MONITORING@FEN.PL VADEMECUM CRN wrzesień 2015

101

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI ACTI I KONSORCJUM FEN.

Trzy pytania do…

CYFROWA TELEWIZJA PRZEMYSŁOWA

Bezpieczne obiekty z kamerami Axis Axis Communications co roku wprowadza na rynek kilkadziesiąt nowych urządzeń i rozwiązań, także opr opracowanych z myślą o małych i średnich ﬁrmach. Mogą być stosowane st zarówno w ramach systemów bezpieczeństwa, jak i analizy a biznesowej, np. do weryﬁkacji przepływu klientów.

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ AXIS COMMUNICATIONS.

2015 r. do oferty trafiły urządzenia z serii AXIS A F, które charakteryzują się bardzo małymi rozmiarami modułów optycznych, umożliwiającymi prowadzenie dyskretnego nadzoru. Reprezentujące tę serię urządzenie AXIS F44 wyposażono w unikalną funkcję: przy użyciu tylko jednej jednostki głównej można prowadzić równoczesny nadzór z czterech kamer o wysokiej rozdzielczości HDTV, rozmieszczonych w różnych punktach. Kolejne ciekawe urządzenia należą do serii AXIS M10. Są to niewielkie, inteligentne kamery, które doskonale nadają się do ochrony małych firm, sklepów, restauracji czy hoteli. Urządzenia te zapewniają wiele indywidualnie konfigurowanych strumieni wideo oraz audio, a także bezprzewodową łączność z firmową siecią. Małym i średnim przedsiębiorstwom producent proponuje również stałopozycyjne kamery z serii AXIS M11 oraz kopułkowe kamery z serii AXIS P32. Urządzenia AXIS M11 mają kompaktową i ekologiczną konstrukcję – w 45 proc. zostały wyprodukowane z materiałów pochodzących z recyklingu. Przeznaczone są do montażu zarówno wewnątrz, jak i na zewnątrz budynków. Dzięki funkcji zasilania kamery przez Ethernet (PoE) można ograniczyć liczbę kabli, a tym samym zmniejszyć koszty instalacji. Urządzenia z serii AXIS P32 gwarantują bardzo szczegółowe nagrania podczas prowadzenia dyskretnego nadzoru wizyjnego. Przykładowo, kamera AXIS P3215 zapewnia wyjątkową jakość obrazu w rozdzielczości HDTV 1080p. Ten model wyposażono także w inteligentne funkcje, np. detekcję ruchu oraz działań

102

przestępczych. Zainstalowany w kamerach AXIS P32 licznik pikseli umożliwia użytkownikowi sprawdzenie w dowolnym momencie pracy urządzenia, czy rozdzielczość sﬁlmowanego obiektu lub twarzy w pikselach spełnia warunki określone w przepisach lub specyﬁczne wymagania oprogramowania, na przykład do analizy biometrycznej.

W ZESTAWIE Z OPROGRAMOWANIEM

Wszystkie wymienione urządzenia Axis oferuje również w gotowych zestawach, składających się z czterech kamer oraz oprogramowania Axis Camera Companion (przeznaczonego do systemów zawierających do 16 kamer) lub Axis Camera Station (obsługa maks. 100 urządzeń). Axis Camera Companion to łatwe do instalacji i intuicyjne w obsłudze oprogramowanie do zarządzania materiałem wizyjnym. Umożliwia bezprzewodowy dostęp do nagrań i ich podgląd w czasie rzeczywistym nawet na urządzeniach przenośnych – smartfonach, tabletach czy laptopach. Natomiast oprogramowanie AXIS Camera Station zostało stworzone z naciskiem na łatwą i intuicyjną obsługę, dzięki czemu każdy użytkownik może efektywnie zarządzać zdarzeniami i szybko eksportować materiał dowodowy w wysokiej rozdzielczości. Zapewnia rozbudowę systemu nadzoru i bezproblemowe dołączanie nowych urządzeń do sieci IP.

NIE

TYLKO DO OCHRONY

Do tej pory systemy nadzoru wizyjnego wykorzystywane były w placówkach

handlowych głównie w celu poprawy bezpieczeństwa i zapobiegania kradzieżom. Obecnie jednak najnowocześniejsze instalacje IT mogą także wspomagać sprzedaż oraz działania marketingowe i wpływać na poprawianie wyników sprzedaży. Służą temu specjalne algorytmy współdziałające z urządzeniami rejestrującymi przepływ klientów. Umożliwiają one poznawanie wymagań nabywców dzięki analizie ich zachowania w przestrzeni sklepowej (służą do tego tzw. mapy ciepła). Co więcej, kamery wyposażone w funkcje zliczania klientów zapewniają określenie rzeczywistej liczby odwiedzających sklep, a także wspierają kierowników sklepu w organizacji pracy personelu, wskazując liczbę osób oczekujących w kolejkach do przymierzalni bądź kasy. Istotną zaletą rozwiązań z zakresu sieciowego nadzoru jest także możliwość zintegrowania ich np. z punktami sprzedaży (POS) oraz elektronicznymi systemami monitorowania towarów (EAS). Wszystkie rozwiązania Axis bazują na otwartym protokole IP, dzięki czemu można je łatwo integrować z istniejącą infrastrukturą IT. Są elastyczne i skalowalne, a przy tym od razu po instalacji współpracują z ﬁrmową siecią, routerami, monitorami, komputerami, tabletami i smartfonami.

Dodatkowe informacje: AGATA MAJKUCIŃSKA, KEY ACCOUNT MANAGER, AXIS COMMUNICATIONS, AGATA.MAJKUCINSKA@AXIS.COM

VADEMECUM CRN wrzesień 2015

adv_Axis.indd 102

2015-09-11 00:24:00

Zabezpiecz dodatkowe przychody.

Odkryj nowe możliwości z rozwiązaniem nadzoru wizyjnego Axis. Zdobądź nowe źródła przychodów, wybierając rozwiązanie nadzoru wizyjnego Axis. Dzięki migracji z systemów analogowych na cyfrowe Twoje możliwości są coraz większe. Wykorzystaj je – relacje biznesowe i wiedza, które już posiadasz, zapewnią Ci szybki start.

Odkryj nowe możliwości na www.axis.com/companion

Dystrybutorzy w Polsce:

axis_ad_smb-retail_crn_197x265_pl_1505.indd 1

7/05/2015 9:22:02 AM

CYFROWA TELEWIZJA PRZEMYSŁOWA

Monitoring wideo wymaga specjalnych dysków Projektanci systemów monitoringu wizyjnego często popełniają błąd polegający na wyborze niewłaściwych dysków, na których zapisywane będą cyfrowe obrazy. Aby dane były poprawnie chronione i zawsze dostępne, konieczne jest skorzystanie z profesjonalnych napędów. Takie dyski oferuje ﬁrma WD.

tandardowe twarde dyski, przeznaczone do montażu w komputerach stacjonarnych, konstrukcyjnie są przystosowane do intensywnej eksploatacji przez osiem godzin dziennie, pięć dni w tygodniu. Tymczasem rejestratory cyfrowe, zapisujące obraz z kamer, działają nieprzerwanie, przez 24 godziny na dobę, i rejestrują kilka strumieni wideo jednocześnie. Do tego rodzaju zastosowań niezbędne są dyski klasy surveillance, zaprojektowane specjalnie do systemów monitoringu wizyjnego.

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ WD.

DO WSZYSTKICH REJESTRATORÓW W 2014 r. firma WD wzbogaciła ofertę o specjalną rodzinę twardych dysków do rejestracji danych przesyłanych z kamer. Zostały zaprojektowane do pracy w różnorodnych, nietypowych środowiskach dozoru wideo (DVR, NVR, CCTV, IPTV) i z różnymi zestawami aplikacji. Niezależnie od rodzaju obiektu, w którym prowadzony jest monitoring (banki, sklepy, zakłady usługowe, kasyna, siedziby firm czy urzędy administracji państwowej i organów ścigania), dyski WD zapewniają odpowiednią wydajność, pojemność i niezawodność. Podłączone do systemu dozorowego kamery mogą obserwować zarówno puste place czy parkingi (i aktywować zapis tylko w momencie wykrycia ruchu), jak i wnętrza sklepów lub stacji kolejowych, gdzie nieustannie prze-

104

VADEMECUM CRN wrzesień 2015

wijają się setki ludzi. W związku z tym natężenie ilości danych przesyłanych z kamer może się znacznie zmieniać w czasie i przyjmujący je dysk musi być gotowy na takie zmiany. Statystycznie stosunek liczby operacji zapisu do operacji odczytu wynosi w systemach monitoringu 9:1. Aby napędy zapewniały właściwą wydajność i umożliwiały rejestrację danych spływających w wielu strumieniach, konieczna jest odpowiednia konstrukcja ich kontrolerów. Wyzwaniu temu sprostano, tworząc oprogramowanie AllFrame zainstalowane w firmware twardego dysku. Aktywnie monitoruje ono obciążenie napędu i kontroluje liczbę rejestrowanych strumieni oraz natężenie danych w każdym z nich. Jako cache wykorzystuje pamięć podręczną dysku o pojemności 64 MB, co zapewnia nieprzerwany zapis z wielu strumieni danych jednocześnie.

JAKI DYSK WYBRAĆ? WD ma w ofercie dwie rodziny dysków do systemów cyfrowego monitoringu. Dyski WD Purple, o pojemności od 1 do 6 TB, przeznaczone są do montażu w rejestratorach DVR mieszczących do ośmiu napędów, w których zapisywane są dane z maksymalnie 32 kamer. Wbudowany w dyski mechanizm transmisji strumieniowej ATA oraz oprogramowanie AllFrame ograniczają zjawisko pikselizacji oraz eliminują przerwy w zapisie obrazu wideo występują-

Zalety dysków twardych do systemów monitoringu • Specjalna konstrukcja przystosowana do ciągłej pracy w rejestratorach monitoringu wizyjnego i zapisu danych z wielu kamer • Możliwość instalacji w macierzach dyskowych • Możliwość rozbudowy systemów monitoringu o dodatkowe dyski • Obniżone zużycie energii

ce często, gdy w cyfrowych rejestratorach instalowane są klasyczne twarde dyski. Na początku 2015 r. do oferty WD wprowadzone zostały dwa modele dysków (4 TB i 6 TB) z nowej rodziny WD Purple NV, przystosowane do wydajnej i niezawodnej pracy nawet przy bardzo dużym obciążeniu. Są przeznaczone do montażu zarówno w rejestratorach DVR, jak i w profesjonalnych macierzach dyskowych NVR mieszczących więcej niż osiem dysków i zapisujących jednocześnie dane nawet z 64 kamer. Autoryzowanymi dystrybutorami dysków WD są firmy: ABC Data, Action, EPA Systemy, Incom i Tech Data.

Dodatkowe informacje: NORBERT KOZIAR, SENIOR SALES MANAGER EASTERN EUROPE, WD, NORBERT.KOZIAR@WDC.COM

Monitory EIZO do... monitoringu Systemy monitoringu wizyjnego działają skutecznie i bez przerwy dzięki temu, że stosowany jest w nich specjalistyczny sprzęt. Profesjonalne monitory, przystosowane do wyświetlania obrazu z systemów dozoru cyfrowego, ma w ofercie EIZO.

MONITOR SIECIOWY

NA ZŁE

Na szczególną uwagę zasługuje monitor DuraVision FDF2304W-IP, który wyświetla obraz wideo nawet z 16 różnych kamer IP, a sygnał dostarczany jest przez kabel sieci LAN. Ponieważ urządzenie to może działać bez podłączania do komputera, praktycznie nie ma ograniczeń co do jego miejsca umieszczenia w nadzorowanej placówce. Monitor DuraVision FDF2304W-IP zapewnia pięć różnych układów widoku – może równocześnie wyświetlać obraz z 1, 4, 8, 9 lub 16 kamer. Zapożyczona z monitorów dla graczy funkcja Smart Insight automatycznie wykrywa słabo widoczne obszary i dopasowuje poziom jasności każdego piksela tak, aby odtworzyć obraz z realistyczną głębią. Dzięki tej funkcji kształty, które do tej pory trudno było zobaczyć na cyfrowych obrazach, stają się dobrze widoczne. EIZO jako członek organizacji Open Network Video Interface Forum zapewnia bezproblemową współpracę monitora ze wszystkimi dołączonymi do niego kamerami IP zgodnymi ze standardem ONVIF Proﬁle S.

Drugim interesującym urządzeniem jest monitor DuraVision FDF2306W o przekątnej 23 cale. Zastosowano w nim unikalną technikę opracowaną przez specjalistów EIZO, o nazwie Visibility Optimizer. Jej zadaniem jest poprawa jakości wyświetlanego obrazu, bez względu na warunki, w jakich pracują kamery. Dzięki funkcji Defog zwiększona zostaje czytelność obrazów zniekształconych przez warunki atmosferyczne, takie jak mgła czy śnieg. Natomiast funkcja Low-Light Correction wykrywa na ekranie ciemne obszary, w których trudno dostrzec szczegóły, i dostosowuje jasność każdego piksela. W efekcie obraz staje się znacznie bardziej czytelny – ciemne miejsca zostają rozjaśnione, natomiast kolory w jaśniejszych obszarach nie są wyblakłe.

WARUNKI POGODOWE

gujące sygnały wideo w standardach NTSC, PAL i SECAM, umożliwiające podłączenie np. kamer przemysłowych. W celu zredukowania zakłóceń w wejściu Composite zainstalowano obwód separujący sygnał Y/C dla standardu NTSC, który oddziela informacje o jasności (Y) od informacji o kolorze (C). Wszystkie monitory EIZO są projektowane, produkowane i testowane w fabryce w Japonii. Gwarantuje to odpowiednią dbałość o jakość urządzeń oraz ich dostosowanie do konkretnych potrzeb odbiorców, zwłaszcza w przypadku specjalistycznych zastosowań. Poza tym polski dystrybutor – ﬁrma Alstor – zapewnia partnerom i użytkownikom końcowym pełne wsparcie techniczne, obejmujące również serwis. Więcej informacji na stronie www.eizo.pl.

PRZEZ

PROFESJONALISTÓW DLA PROFESJONALISTÓW

W zależności od modelu monitory EIZO z serii DuraVision wyposażone są w analogowe (D-Sub) i cyfrowe (HDMI, DVI) wejścia do podłączenia komputera PC oraz wejścia Composite (BNC) obsłu-

Dodatkowe informacje: DOMINIK TROJANOWSKI, EIZO BUSINESS UNIT DIRECTOR, ALSTOR, D.TROJANOWSKI@EIZO.PL VADEMECUM CRN wrzesień 2015

adv_Alstor-Eizo_1.indd 105

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI EIZO I ALSTOR.

echą charakterystyczną takich monitorów powinna być przede wszystkim wyjątkowo trwała konstrukcja, umożliwiająca pracę w trybie ciągłym. Bardzo ważna jest też duża precyzja odwzorowania pokazywanych obrazów. Oferowane przez EIZO monitory do systemów nadzoru wizyjnego z serii DuraVision to specjalistyczne rozwiązania z licznymi funkcjami poprawiającymi czytelność obrazu. Urządzenia mają przekątną od 10 do 25,5 cala, są wyposażone w ekrany tradycyjne lub panele dotykowe, mogą pracować w trybie 24/7, objęto je 2-letnią gwarancją.

105

2015-09-11 00:28:32

CYFROWA TELEWIZJA PRZEMYSŁOWA

Dyski do systemów bezpiecznego i inteligentnego monitoringu wizyjnego W bogatym portfolio twardych dysków ﬁrmy Seagate znajdują się napędy zaprojektowane specjalnie do zastosowania w cyfrowych rejestratorach do monitoringu wizyjnego (SDVR), rejestratorach sieciowych (NVR) oraz scentralizowanych lub bazujących na chmurze systemach monitoringu do analizy danych wideo.

ybór odpowiedniego dysku do zastosowania w systemie monitoringu wiąże się z koniecznością analizy sposobu użycia danego napędu. Należy zacząć od sprawdzenia planowanego stopnia obciążenia systemu bezpieczeństwa, aby określić niezbędną wydajność dysku. Czy system będzie służył do analizy treści wideo (np. wykorzystywać takie opcje, jak programy do rozpoznawania twarzy), czy raczej do nagrywania treści i odtwarzania ich jedynie do oceny konkretnego zdarzenia? Jeżeli dyski zawierające dane do analizy będą obciążane w dużym stopniu, bardzo ważne jest, est, aby zastosować napędy o najwyższym ym poziomie wydajności, wykrywania błędów i ich korekcji w celu zapewnienia bezpieczeństwa i integralności danych. Obok wydajności bardzo ważną kwestię stanowi też pojemność mność całego systemu. Nabiera to szczególnego ególnego znaczenia w kontekście faktu, że kamery zapewniają coraz większą rozdzielczość zdzielczość obrazu i częstotliwość jego rejestracji. Należy także pamiętać, że efektywność transferu plików o wielkich wielkich rozmiarach wiąże się z zapotrzebozapotrzebowaniem na dużą przepustowość, pustowość, a także zaawansowane ne funkcje korekcji błędów, zapewniające ewniające zachowanie spójności ci danych podczas transmisji. Coraz więcej ﬁrm m podlega prawu, rzechowywanie które nakazuje przechowywanie w przez wskazawszystkich zapisów

106

ny okres. Jedną z tego typu regulacji jest ustawa o bezpieczeństwie imprez masowych, w której art. 11 pkt. 3 nakazuje przechowywanie wszystkich nagrań przez okres co najmniej 60 dni. Wkrótce pod obrady parlamentu ma traﬁć też projekt ustawy, która będzie regulować zasady instalowania kamer w miejscach publicznych, budynkach użyteczności publicznej i zakładach pracy (planowany w nim okres przechowywania danych wynosi minimum 30 dni, a maksimum – 90 dni). A zatem, projektując system monitoringu wideo i dobierając do niego twarde dyski, trzeba zwracać uwagę również na tego typu kryteria obowiązujące w danej branży oraz

fakt, że wiele przedsiębiorstw ma swoje wewnętrzne regulacje dotyczące okresu przechowywania danych.

DYSKI DO MONITORINGU Seagate oferuje dwie rodziny dysków przeznaczonych specjalnie do systemów monitoringu wideo. Już od ponad dekady w sprzedaży są dyski SV35 (modele o pojemności 1, 2 i 3 TB) z interfejsem SATA 6 Gb/s i pamięcią cache 64 MB. Zapewniają one odczyt danych z szybkością 210 MB/s, a ich prędkość obrotowa wynosi 7200 rpm. Nowością wprowadzoną na rynek przez No producenta są dyski z rodziny Surveillanprod ce H HDD, obejmującej modele o bardzo duże dużej rozpiętości pojemności – od 1 do 6 TB. Napędy mają 64 MB pamięci cache 6 TB (m (modele 5 i 6 TB – 128 MB), a ich prędkość obrotowa to 5900 rpm. Ciekawym ko rozwiązaniem jest wyposażenie tych ro dy dysków w sensor kompensujący wibracje, w które wpadają czasami napędy bra znajdujące się w cyfrowych rejestratozna rach wideo. Zastosowano też w nich zoptymalizowaną wersję ﬁrmware’u, dzięki tyma czemu efektywna wydajność modeli z noczem wej rodziny jest podobna jak w dyskach SV35 o większej prędkości obrotowej. Napędy Surveillance HDD charakteNa ryzują się małą emisją ciepła i niskim poryzu borem prądu, dzięki czemu zapewniają bore instalatorom systemów nadzoru dużą insta ela elastyczność w projektowaniu rozwiązań dla klientów. Aby oszczędzać w

VADEMECUM CRN wrzesień 2015

adv_Seagate_1.indd 106

2015-09-14 23:44:02

Trzy pytania do… MARCINA KACZORA, TERRITORY SALES REPRESENTATIVE, SEAGATE CRN Jakie są główne korzyści płynące ze stosowania dysków Surveillance HDD? MARCIN KACZOR Dyski z rodziny Surveillance to nowość w naszym portfolio. Mają większą pojemność niż znane już od lat dyski SV35, zapewniają mniejszy pobór mocy i są tańsze. Dlatego są przeznaczone głównie do instalacji w rejestratorach mieszczących mniej dysków, gdzie potrzeba napędów o większej pojemności. Ważne jest też, że w takich urządzeniach nie jest zalecane stosowanie najbardziej wydajnych dysków, ponieważ mogą ulegać przegrzaniu, a w efekcie rośnie ryzyko ich awarii. Zresztą z reguły mniejsze środowiska nie wymagają bardzo dużej wydajności i dyski Surveillance są w zupełności wystarczające. Poza tym, napędy Surveillance są tańsze od modeli z rodziny SV35, dzięki czemu obecnie są najbardziej konkurencyjnym rozwiązaniem tego typu na rynku. CRN Użytkownikom dysków z serii SV35 i Surveillance oferujecie opcjonalne usługi odzyskiwania danych. Czym różnią się one od usług świadczonych przez laboratoria firm trzecich? MARCIN KACZOR Firmy, które wraz z dyskami kupią usługę Rescue, mają zagwarantowane odzyskanie danych z prawdopodobieństwem wynoszącym ponad 90 proc., podczas gdy skuteczność tego procesu w innych laboratoriach wynosi 60–70 proc. My znamy nasze dyski najlepiej, więc zawsze będziemy mogli zaoferować krótszy czas odzyskania i zapewnić większą jego skuteczność. Rescue to rodzaj ubezpieczenia obowiązującego przez cały okres gwarancji nośnika – za każdy dysk klient dopłaca 20 dol. Ma wówczas zagwarantowaną usługę bez żadnych dodatkowych opłat, a w innych firmach odzyskiwanie danych kosztuje kilka tysięcy złotych. Uproszczona jest też cała procedura przekazywania nośnika – klient oddaje uszkodzony dysk i odbiera dane na identycznym, ale nowym. Korzyści z tej usługi dla naszych partnerów są takie, że mogą zarobić dodatkową marżę, a do tego zdjęta jest z nich odpowiedzialność za uszkodzony dysk, którą przejmuje Seagate. CRN Jakich zmian na rynku monitoringu wideo w najbliższym czasie mogą się spodziewać resellerzy? MARCIN KACZOR Widać bardzo duże zainteresowanie firm rozwiązaniami, które nie tylko zapewniają bezpieczeństwo, ale także umożliwiają wydobycie z zarejestrowanego obrazu dodatkowych informacji biznesowych. Oprócz rejestracji obrazu mamy zatem zaawansowaną analizę ruchu w różnych placówkach i zainteresowania oferowanym przez sklepy towarem oraz funcję rozpoznawania twarzy itp. Wartość zebranych w ten sposób danych może być bardzo duża, dlatego resellerzy i integratorzy powinni budować takie rozwiązania ze sprawdzonych komponentów, aby zminimalizować ryzyko przestoju całego systemu.

Dodatkowe informacje: MARCIN KACZOR, TERRITORY SALES REPRESENTATIVE, SEAGATE, MARCIN.KACZOR@SEAGATE.COM VADEMECUM CRN wrzesień 2015

107

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ SEAGATE.

energię, dyski zwalniają, gdy żaden ruch nie jest wykrywany przez kamery, ale błyskawicznie wracają do pracy na pełnych obrotach, gdy uruchomi się kamera nadzoru. Seagate nie zaleca stosowania klasycznych dysków do rejestracji danych w systemach monitoringu wideo ze względu na specyficzną proporcję liczby cykli zapisu i odczytu. W systemach nadzoru ok. 90 proc. transferu stanowi zapis danych, a odczyt – tylko 10 proc. W tradycyjnych macierzach, serwerach czy stacjach roboczych proporcje te są odwrócone. Poza tym dyski do systemów monitoringu zostały przystosowane do ciągłej pracy w trybie 24/7, podczas gdy konstrukcja zwykłych napędów zapewnia ich trwałość przy pełnym obciążeniu nieprzekraczającym 10 godzin dziennie. Firmy resellerskie i integratorskie, które chciałyby instalować dyski Seagate Surveillance HDD w oferowanych przez siebie systemach nadzoru wizyjnego (rejestratorach wideo lub macierzach dyskowych przechowujących dane z kamer), producent zaprasza do udziału w programie Seagate Partner Program. Zapewnia on resellerom wyłączny dostęp do narzędzi i usług służących do skutecznej sprzedaży produktów tej marki. Uczestnicy programu zyskują nie tylko wsparcie marketingowe (dostęp do dokumentów i materiałów graficznych) oraz sprzedażowe (publikacja informacji o firmie na wheretobuy.seagate.com), ale także pełną pomoc techniczną i gwarancyjną. Zarejestrowani partnerzy zyskują priorytetowy dostęp do pracowników działu wsparcia Seagate, którzy potrafią odpowiedzieć na wszelkie pytania dotyczące urządzeń i ich konfiguracji, a także udzielić porad związanych z rozwiązywaniem problemów technicznych. Autoryzowani resellerzy firmy Seagate za zakup produktów, udział w szkoleniach, przekazywanie opinii i inne formy współpracy otrzymują punkty w programie SPPRewardsPLUS. Mogą je wymieniać na pieniądze, a także na wybrane pozycje z bogatego katalogu nagród, kuponów itd. Autoryzowanymi dystrybutorami dysków Seagate w Polsce są firmy: AB, ABC Data, Asbis, Avnet i Incom.

CYFROWA TELEWIZJA PRZEMYSŁOWA

Integracja współczesnych systemów zabezpieczeń

Kluczowym trendem widocznym na rynku rozwiązań ochrony osób i mienia jest integracja różnych podsystemów w celu zwiększenia ich skuteczności. Istotne jest również bezpieczeństwo samych systemów oraz danych transmitowanych w ramach ich wewnętrznej infrastruktury.

drębne zarządzanie różnymi systemami zabezpieczeń fizycznych, które z czasem stawały się coraz bardziej rozbudowane, jest coraz mniej efektywne. Powoduje to zmniejszenie skuteczności wykrywania zdarzeń alarmowych oraz wydłużenie czasu ich weryfikacji, a – co za tym idzie – czasu reakcji na nie. Dlatego obserwujemy tendencję coraz większej integracji współczesnych systemów zabezpieczeń. Idealnym mechanizmem do efektywnego zarządzania różnymi rozwiązaniami jest zintegrowany system zarządzania bezpieczeństwem (Security Management System). C&C proponuje partnerom rozwiązanie SMS iProtect. Umożliwia ono zintegrowaną konfigurację wielu systemów zabezpieczeń, ich efektywne monitorowanie i zarządzanie nimi. Może obejmować różne rozwiązania np. monitoring wizyjny, kontrolę dostępu, sygnalizację włamania i napadu, sygnalizację pożarową, komunikację interkomową. Platforma iProtect zapewnia również integrację z innymi rozwiązaniami stosowanymi w firmie, m.in. do rejestracji czasu pracy i automatyki budynkowej.

Szybkość reakcji w Sytuacjach alarmowych Platforma SMS iProtect oferuje wspólną bazę danych, obejmującą informacje o użytkownikach systemów, ich uprawnieniach i zdarzeniach. W momencie wystąpienia zdarzenia alarmowego w jednym z systemów zabezpieczeń (np. przyłożenia skradzionej karty do czytnika kontroli dostępu, detekcji ruchu przez system sygnalizacji włamania, detekcji

108

VADEMECUM CRN wrzesień 2015

pozostawionego przedmiotu przez system monitoringu wizyjnego) operator otrzymuje pełny zestaw niezbędnych informacji, takich jak: – lokalizacja źródła alarmu (miejsce prezentowane na planie obiektu), – podgląd obrazu z najbliższej kamery monitoringu wizyjnego, – lista niezbędnych kroków do wykonania (np. „zadzwoń na policję”, „otwórz drzwi”, „rozbrój strefę alarmową”). Dzięki platformie iProtect operator może szybko zweryfikować wystąpienie zdarzenia alarmowego i wykonać wszystkie działania wymagane w przypadku danego typu zdarzenia. System zapewnia również automatyczne wykonywanie zdefiniowanych procedur w momencie wykrycia danego zagrożenia. Jednak kluczowe działania wykonane są przez operatora.

zintegrowane zarządzanie Elementy wykonawcze poszczególnych systemów zabezpieczeń komunikują się w czasie rzeczywistym z serwerem centralnym SMS iProtect za pomocą infrastruktury TCP/IP. Dzięki temu możliwe jest objęcie tym systemem zarówno pojedynczych budynków, jak i wielu odległych od siebie obiektów. W przypadku budynków usytuowanych w różnych miejscach szczególnie istotne jest to, że systemy zabezpieczeń działają autonomicznie w każdym z nich. W momencie przerwania połączenia między serwerem centralnym SMS iProtect a poszczególnymi obiektami systemy lokalne funkcjonują całkowicie niezależnie. Po ponownym nawiązaniu połączenia lokalne i centralne bazy danych (zawierające m.in. informacje o zdarzeniach i uprawnieniach) synchronizują się.

DANE BEZPIECZNE WEWNĄTRZ SYSTEMU

Bardzo ważną rolę odgrywa przesyłanie danych między sprzętowymi elementami systemów zabezpieczeń, a także ich przechowywanie. W przypadku platformy SMS iProtect do zabezpieczenia danych przesyłanych przez poszczególne urządzenia wykorzystywane są zaawansowane protokoły szyfrujące. W komunikacji między stacją operatorską a serwerem wykorzystywany jest protokół SSL. Dane z centralnego serwera do kluczowych sterowników wykonawczych są zabezpieczane protokołem szyfrującym AES-256. Podsystemem szczególnie narażonym na działanie osób trzecich, głównie w zakresie prób podsłuchu transmisji, jest kontrola dostępu. Platforma iProtect w pełni zabezpiecza transmisję – od karty przez czytnik zbliżeniowy i sterownik, aż do serwera centralnego. Wykorzystuje w swoich czytnikach najbezpieczniejsze standardy komunikacji zbliżeniowej,

Zalety platformy SMS iProtect • Umożliwia objęcie zintegrowaną ochroną zarówno pojedynczych budynków, jak oddalonych od siebie obiektów.

• Zapewnia skrócenie czasu weryfikacji zdarzenia alarmowego oraz zwiększenie skuteczności działań operatora.

• Do zabezpieczenia przesyłanych danych między poszczególnymi urządzeniami wykorzystywane są zaawansowane protokoły szyfrujące.

• Dzięki rozbudowanym filtrom gwarantuje uzyskanie raportów zawierających dowolny zestaw informacji wymaganych przez użytkownika systemu.

• Jest wyposażona w interfejsy umożliwiające integrację różnorodnych rozwiązań innych producentów.

• Umożliwia dopasowanie systemu do bieżących potrzeb klienta oraz łatwą rozbudowę systemu w przyszłości.

• Aplikacja kliencka jest dostępna w wersji webowej i nie uzależnia operatora od konkretnej platformy sprzętowej czy wersji systemu operacyjnego.

m.in. Mifare DESFire EV1 i Legic advant, które gwarantują ochronę danych identyfikacyjnych przesyłanych podczas procesu autoryzacji. Kolejną ważną kwestią jest zapewnienie ciągłości poprawnej pracy najważniejszych elementów systemów zabezpieczeń, czyli centralnych serwerów. W tym celu w chronionych obiektach instalowane są dwa serwery platformy iProtect. Jeden z nich pełni funkcję serwera głównego, drugi jest serwerem redundantnym, który przejmuje działanie serwera głównego w przypadku jego awarii. Dodatkowo każdy serwer SMS iProtect co określony czas tworzy automatycznie kopię bazy danych i zapisuje ją lokalnie na serwerze lub w dowolnej innej przestrzeni dyskowej.

NADAWANIE UPRAWNIEŃ Istotnym aspektem poprawnego funkcjonowania systemów zabezpieczeń jest polityka bezpieczeństwa, która obowiązuje w przedsiębiorstwie. W jej ramach

szczególne znaczenie ma odpowiednie określenie uprawnień i odpowiedzialności, zarówno operatorów platformy zarządzającej systemami zabezpieczeń, jak i korzystających z nich użytkowników. Platforma SMS iProtect zapewnia dowolną konfigurację uprawnień nadawanych poszczególnym użytkownikom systemu. Dzięki temu np. inny interfejs i zakres danych będzie miał do dyspozycji pracownik ochrony, inny administrator IT, a jeszcze inny pracownik działu kadr. Możliwe jest także dzielenie bazy danych w ramach jednego serwera fizycznego, co sprawia, że poszczególni operatorzy zarządzają bezpieczeństwem tylko wybranych grup użytkowników i urządzeń (np. z konkretnego piętra obiektu w przypadku korzystania z niego przez wiele firm). Poza tym dostępna w systemie iProtect funkcja audytu umożliwia zapis wszelkich działań operatora dokonywanych w systemie (np. zmiany uprawnień użytkownika, otwarcia drzwi osobie trzeciej), co ułatwia kontrolę jego pracy.

MACIEJ FLIS kierownik ds. produktu, C&C Partners

Jako producent i dystrybutor systemów zabezpieczeń, pełnimy rolę eksperta, doradcy, który rozmawia z klientem końcowym i sugeruje mu rozwiązania dostosowane do jego potrzeb, pomagając w wyborze. Natomiast wszystkie systemy z naszej oferty są wdrażane przez partnerów specjalizujących się w instalacjach niskoprądowych. Oczywiście C&C służy pomocą na każdym etapie realizacji projektu.

Dodatkowe informacje: MACIEJ FLIS, KIEROWNIK DS. PRODUKTU, C&C PARTNERS, M.FLIS@CCPARTNERS.PL VADEMECUM CRN wrzesień 2015

109

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ C&C PARTNERS.

Platforma SMS iProtect zapewnia centralne zarządzanie wszystkimi zintegrowanymi w niej systemami zabezpieczeń i znacznie ułatwia ich monitorowanie. Można także za jej pomocą wykonywać wiele codziennych czynności, np.: – mieć podgląd obrazu z systemu monitoringu wizyjnego i sterować kamerami obrotowymi, – zmieniać stan strefy alarmowej (np. uzbrojenie/rozbrojenie strefy), – nawiązywać połączenia lub odtwarzać komunikaty w systemie interkomowym, – zmieniać stan przejścia przez system kontroli dostępu (np. wymagające autoryzacji kartą/otwarte/zamknięte), – sterować elementami automatyki budynkowej (np. roletami i windami).

Indeks firm AB ��59, 88, 89, 107 ABC Data��4, 59, 71, 89, 103, 104, 107 ACTi ��100, 101 Actifio��64 Action��59, 89, 104 ADI Global Distribution ��103 Agam��80 AirWatch ��45, 47 Akamai ��12 Akbit��4, 36, 37, 52, 74, 75 Alstor ��49, 56, 57, 60, 61, 63, 105 Altaro��65 Anixter ��103 APC��112 Arbor Networks ��12, 28, 29 Arpol ��103 Arrow ECS ��59 Aruba Networks ��46 Asbis ��107 Avast ��34 AVG��34 Avira ��34 Avnet �� 50, 51, 59, 107 Axis Communications ��97, 98, 102, 103 Bakotech�� 2 Barracuda Networks��63, 64, 68, 69 Bitdefender ��33 BOSSG Data Security ��81 C&C Partners��108, 109 Check Point Software Technologies ��4, 16, 17, 47 Cisco Systems ��9, 11, 18 Citrix �� 45, 46, 93 Clico��16, 17 Commvault�� 62, 64, 66, 67 Comodo ��34 Cortex I�T� ��70 COMPUTER RESELLER NEWS POLSKA WYDANIE SPECJALNE, 16 września 2015 ISSN 1640-9183 REDAKCJA: 02-674 Warszawa, ul. Marynarska 15 tel. (22) 360-38-00, redakcja@crn.pl, www.CRN.pl Tomasz Gołębiowski (redaktor naczelny) tomasz.gołebiowski@crn.pl, tel. (22) 44-88-488 Dorota Smusz (sekretarz redakcji) dorota.smusz@crn.pl, tel. (22) 44-88-350 Krzysztof Jakubik (redaktor prowadzący) krzysztof.jakubik@crn.pl, tel. 660-73-30-90 Tomasz Janoś, tomasz.janos@crn.pl Rafał Janus, rafal.janus@crn.pl Tomasz Kozłowski, tomasz.kozlowski@crn.pl KIEROWNIK PROJEKTU VADEMECUM: Jacek Goszczycki, tel. (22) 360-36-78 jacek.goszczycki@burdamedia.pl

Cryoserver��74, 75 Dagma ��4 Dell Software ��22, 40, 41 Dell SonicWALL ��26, 27, 64 Diskus ��79, 82 Eaton Electric��92, 93 ed&r ��65 EIZO��105 EMC ��64 Emerson Network Power ��85, 90, 91 Ensalta ��80 EPA Systemy�� 71, 104 Eptimo ��24, 55 Ever�� 86, 88, 89 Extreme Networks ��20,21 F5 Networks ��12, 18 Fiberlink ��50 Fortinet��10, 13, 14, 15 F-Secure�� 32 Good Technology ��45 HP ��64 IBM ��45, 47, 50, 51, 64 Imation��57 Impakt��94, 95 Incom��104, 107 Infortrend��56 Intel Security (McAffe) ��34 IronKey ��60, 61 Kaspersky Lab��34 Konsorcjum FEN ��71, 100, 101 Kroll Ontrack��81 Lacoon Mobile Security �� 47 Landesk ��47, 48, 49 Legrand��24 Lenovo��58, 59 ManageEngine��19 Marken ��33 Maxwell ��86

ŁAMANIE I GRAFIKA: Aneta Mikulska, Karol Laskowski FOTOGRAFIA NA OKŁADCE: © Dreaming Andy FOTOGRAFIE: Focus Images Tomasz Pisiński, Marek Zawadzki, archiwum KOREKTA: Lidia Sadowska-Szlaga KIEROWNIK PRODUKCJI: Tomasz Gajda, tomasz.gajda@burdamedia.pl KOORDYNATOR PRODUKCJI: Jan Kutyna, jkutyna@burdamedia.pl PRENUMERATA: Jakub Kielak, jakub.kielak@crn.pl, prenumerata@crn.pl WYDAWCA: Burda Communications Sp. z o.o. 02-674 Warszawa, ul. Marynarska 15 ZARZĄD: Regional Director Poland & Czech Republic: Margaret Ann Dowling

110 VADEMECUM CRN maj 2015

Microsoft ��34, 63, 71, 93 MobileIron��45 MWT Solutions ��19 NagaraID Security �� 23 Overland Storage��57 Palo Alto Networks �� 32 Panda Security�� 32, 35 Perceptus��22, 23 PowerWalker��94, 95 Qihoo 360 ��34 QNAP ��71 Quantum��64 Quest Dystrybucja ��40, 41 RSA��10 RRC��25, 26, 27, 59 S4E�� 67 Samsung �� 53 SAP �� 47 Schneider Electric��85, 87, 112 Seagate ��57, 106, 107 SnoopWall��52 Sophos ��34, 36, 37 Sun Capital��70 Symantec��32, 34, 38, 39, 64, 72 Tandberg Data ��57, 89 Tech Data��59, 104 Tiny Solutions��99 Trend Micro��34 Utiamco ��22, 23 Veeam Software ��64, 76, 77 Veracomp��14, 15, 18, 72, 73, 89 Veritas ��39, 72, 73 Versim ��20, 21 VMware��45, 47, 71, 93 WD ��98, 99, 104 WatchGuard Technologies�� 2 Zebra�� 25 Zycko��28, 29

Dyrektor Generalny: Justyna Namięta Prokurent/Chief Financial Officer: Tomasz Dziekan Doradca Zarządu ds. Edytorskich: Krystyna Kaszuba Dyrektor Wydawniczy: Edyta Pudłowska Brand Manager: Ewa Korzańska, tel. (22) 360-36-55, ewa.korzanska@burdamedia.pl REKLAMA: Burda Media Polska Sp. z o.o. 02-674 Warszawa, ul. Marynarska 15 tel. (22) 360-36-03, faks (22) 360-39-80 Commercial Director of Advertising Sales, Corporate Publishing & Business Development: Barbara Topol Sales Director Men & Special Interest: Katarzyna Nowakowska

HANDLOWCY: Head of Sales: Agata Myśluk, tel. (22) 360-36-75, agata.mysluk@burdamedia.pl Account Executive: Szymon Zięborak, tel. (22) 360-36-76, szymon.zieborak@burdamedia.pl PROJEKTY SPECJALNE: Senior Marketing & Sales Development Manager: Jacek Goszczycki, tel. (22) 360-36-78 jacek.goszczycki@burdamedia.pl Group Account Manager Digital Sales: Agata Domalska, agata.domalska@burdamedia.pl DRUK: LCL Dystrybucja Sp. z o.o. Reklamy przyjmowane są w siedzibie wydawnictwa. Za treść ogłoszeń redakcja nie ponosi odpowiedzialności. © Copyright 1998 Burda Communications sp. z o.o. Wszelkie prawa zastrzeżone. Computer Reseller News Polska contains articles under license from CMP Media Inc. © 1998 CMP Media Inc. All rights reserved. Burda Communications należy do: Ogólnopolskiego Stowarzyszenia Wydawców i Izby Wydawców Prasy

KORZYSTAJ Z NASZEJ WIEDZY I ROZWIJAJ SWÓJ BIZNES Z CRN POLSKA, NAJLEPIEJ POINFORMOWANYM PISMEM B2B IT! MIESIĘCZNIK CRN POLSKA

ISSN 1640-9183

KWARTALNIK VADEMECUM VAR-ÓW I INTEGRATORÓW

WYDANIE SPECJALNE

luty 2014

Komputery medyczne Profesjonalny sprzęt diagnostyczny str. 12

Centrum danych Informatyczne serce szpitala str. 32

Sieć w szpitalu i w przychodni Bezpieczny dostęp do danych

Rozwiązania zania IT

str. 40

dla placówek ochrony zdrowia

WYDANIA SPECJALNE kwiecień 2014

www.crn.pl ISSN 1429-8945

WYDAN IE OKOLIC ZNOŚCI

h i s t o r i a

OWE

25 lat polskiego rynku IT

przeszłość – teraźniejs zość

– przyszłość

.PL 1-1 CRN.indd 1 reklama.wizerunkowa.CRN+vademecum.indd 1

9/11/15 PM 11/09/154:50 16:12

Streszczenie

Spis treĹ&#x203A;ci