FAQ - Vládny cloud

Často kladené otázky

Všeobecné

Otvoriť všetky

Privátny Vládny cloud je platforma cloud computing-u štátnej správy, ktorá dynamicky poskytuje a uvoľňuje zdieľané technické zdroje (servery, storage, databázy, aplikácie a podobne).

Služby je možné rozdeliť do troch skupín:

IKT infraštruktúrne IaaS služby ako sú: sieťová a bezpečnostná infraštruktúra, pripojenia na internet a siete štátnej správy, serverové platformy, úložiská dát, zálohovacia infraštruktúra atď. Platformové služby PaaS ako napríklad: webové servery, aplikačné servery, integračné komponenty a platformy, databázy a pod. Rôzne softvérové služby SaaS ako napríklad: email a kolaboračné nástroje, DMS, ERP, CRM, a podobne.

Podrobný zoznam aktuálne poskytovaných služieb je možné nájsť v katalógu služieb. Cieľový stav navrhovaných služieb sa mení na základe aktuálnych požiadaviek zákazníkov služieb na základe rozhodnutia vlastníka cloudu.

Kritická komunikácia je komunikácia medzi Zmluvnými stranami v čase zaznamenania výpadku poskytovaných služieb.

Legislatíva, povaha a charakter informačných systémov a dát určených na prevádzku v štátnom cloude si vyžaduje špecifické požiadavky na architektúru, bezpečnosť, fyzické umiestnenie, DR a garantovanú dostupnosť.

Cloud má oddelenú fyzickú a logickú topológiu. Bol navrhnutý tak, aby škáloval všetkými smermi. Pri nedostatku serverovej kapacity sa doplnia do systému servery, pri nedostatku diskovej kapacity sa doplnia disky do úložísk alebo sa rozšíri počet úložísk. Pri saturovaní firewallov sa doplnia ďalšie. Toto všetko bez potreby zmeny logickej topológie a minimálnym až nulovým dopadom na prevádzku existujúcich systémov v cloude.

Všetky cloudové služby majú stanovenú aj garantovanú SLA.

Zákazník cloudu má prístup do systému service desk, cez ktorý je možné zadávať incidenty, problémy a vyžiadať dodatočné informácie ku cloudovým službám.

Nie, systémy, ktoré majú dostatok kvalitnej a bezpečnej IKT infraštruktúry a nepotrebujú nové cloudové služby, sa odporúča nemigrovať. V prípade zásadnej aktualizácie, potreby nových cloudových služieb alebo upgradu infraštruktúry z rôznych príčin sa odporúča migrovať systémy do cloudu.

Vládny cloud bol navrhnutý a implementovaný v súlade so štandardmi ISO 27000 noriem.

Nie, súčasťou služieb vládneho cloudu sú aj ceny licencií. Napr. pri výbere služby virtuálneho servera s operačným systémom Windows je súčasťou ceny služby operačný systém Windows ako aj virtualizačná platforma na ktorej je daný server prevádzkovaný (VMware).

V prevádzke sú služby IaaS, ktoré sú zverejnené v katalógu služieb. Zákazníci zo štátnej správy môžu žiadať ministerstvo vnútra o vytvorenie infraštruktúrneho prostredia pre ich informačný systém. Spravidla sa vytvárajú 4 prostredia: vývojárske, testovacie, integračné a produkčné. Prostredia sú určené na vývoj, testovanie, nasadzovanie a prevádzku nových IT systémov a aktualizácií v integrovanom prostredí štátnej správy.

Pri vytváraní prvého projektu vo Vládnom cloude postupujte podľa dokumentu, ktorý nájdete na tejto stránke v sekcii DOKUMENTY , dokument "VYTVORENIE PRVÉHO PROJEKTU VO VLÁDNOM CLOUDE".

Nie, ale prevažná väčšina nových IT systémov by mala byť navrhnutá tak, aby bol cloud pripravený.

Nekritická komunikácia je komunikácia medzi Zmluvnými stranami v čase bezporuchového stavu poskytovaných služieb a nemajúca vplyv na zmenu alebo zánik tejto Zmluvy.

Cieľový zoznam cloudových služieb sa mení podľa aktuálnych požiadaviek zákazníkov cloudu a na základe rozhodnutia vlastníka cloudu. Ani stav IaaS služieb zatiaľ nie je kompletný. Je potrebné dobudovať DR IaaS služby a rozšíriť cloud aj do datacentra v správe Ministerstva Vnútra, ktoré je popri Ministerstve Financií vlastníkom vládneho cloudu.

Cloudové služby sú bezplatné. Každá požiadavka o zriadenie cloudových služieb podlieha schvaľovaniu Poskytovateľom cloudových služieb. Poskytovateľ zhodnotí požiadavky v kontexte disponibilných kapacít cloudu. Po schválení požiadaviek sú cloudové služby automatizovaným spôsobom vytvorené a sprístupnené odberateľovi.

Prístup ku cloudovým službám je možný nezávisle od lokality prevádzky cloudových služieb alebo lokality prístupu k nim a bez osobného kontaktu s poskytovateľom cloudových služieb. Po zadaní, schválení a nasadení cloudových služieb má odberateľ automatizovaným spôsobom vytvorený aj VPN prístup, ktorým pristupuje ku cloudovým službám.

Nie, všetky prostredia sú určené pre štátnu správu na podporu vývoja služieb v integrovanom prostredí štátnej správy. Dodávatelia za účelom ladenia, testovania, nasadzovania a podpory ich systémov v prostredí štátnej správy môžu dostať prístup do týchto prostredí.

Áno, vládny cloud je kontinuálne aktualizovaný proti najnovším bezpečnostným hrozbám. Súčasťou riešenia je aj množstvo bezpečnostných nástrojov ako SIEM, NBAD a DDOS zabezpečujúcich zvýšenú ochranu prevádzkovaných systémov. Pre prostredie vládneho cloudu boli úspešne realizované aj penetračné testy organizáciou CSIRT.

Základným princípom cloudových riešení je zdieľanie ICT zdrojov medzi jednotlivými IT službami, čím je dosiahnutá vyššia utilizácia. Pri IaaS službách je zdieľaná sieťová infraštruktúra a CPU virtuálnych serverov. RAM a HDD sú plne alokované pre pridelený virtuálny server. V prípade identifikácie výkonnostných problémov je možné službu povýšiť na službu s vyššími výkonnostnými parametrami.

Služby ktoré v súčasnosti nie sú poskytované v rámci riešenia vládneho cloudu sú adresované v štúdii uskutočniteľnosti "Zavedenie služieb Platform as a Service". V prípade že služba ktorú požadujete nie je súčasťou štúdie uskutočniteľnosti napíšte svoju požiadavku na cloudinfo@minv.sk.

Technické

Otvoriť všetky

Vládny cloud poskytuje iniciálne templaty vybraných operačných systémov a infraštruktúru potrebnú na ich aktualizácie. Momentálne sú k dispozícii Microsoft aktualizácie týchto klasifikácií: Critical Updates, Definition Updates, Drivers, Feature Packs, Security Updates, Service Packs, Tools, Update Rollups, Updates. Sú poskytované pre tieto produkty: Windows Server 2012, Windows Server 2012r2, Office 2013 family, MS SQL Server 2012 (možnosť vyšpecifikovať ďalšie produkty) Jazyková podpora English (možnosť vyšpecifikovať ďalšie). Za aktualizáciu prevádzkovaných virtuálnych serverov je zodpovedný používateľ IaaS služieb.

Používateľ cloudových služieb môže takéto podporné služby implementovať v existujúcom IaaS prostredí cloudu alebo ich sprístupniť z externého prostredia.

Okrem zabezpečenia aktualizácií poskytuje vládny cloud napríklad synchronizáciu času prostredníctvom protokolu NTP. Ďalšie služby sa postupne vo vládnom cloude zavádzajú. Zoznam dostupných služieb je uvedený v aktuálnej verzií katalógu služieb.

Red Hat Enterprice Linux 7.4 (64bit) Red Hat Enterprice Linux 6.6 (64bit) CentOS 7-1611 (64 bit) CentOS 6.7 (64Bit) Microsoft Windows Server 2012 R2 (64bit) AIX 7.1 TL3 (64Bit)

Systémové zabezpečenie je na komunikačnej úrovni infraštruktúry. V cloude je pre vaše systémy vytvorené izolované výpočtové prostredie, na ktoré viete pristupovať len pomocou VPN. Nad systémami, ktoré umiestnite do cloudu, máte plnú kontrolu.

Pre každý projekt je vytvorený systém izolovaných sietí a výpočtových prostredí. Projekt je sieťovo izolovaný od ostatných projektov a môže mať izolované výpočtové prostredia v rámci projektu (napr.: produkčné, testovacie, vývojové). To znamená, že systémy vytvorené v rámci jedného výpočtového prostredia nevidia systémy v inom výpočtovom prostredí, hoci sú v jednom projekte.

Máme dve dátové centra DC Tajov a DC Kopčianska.

Podrobný zoznam aktuálne poskytovaných služieb je možné nájsť v katalógu služieb. Ako príklad IaaS služieb uvádzame: virtualizované serverové platformy x86 (Windows alebo Linux) a RISC (Unix) rôznej veľkosti (S, M, L, XL) v štyroch bezpečnostných zónach (DMZ, prezentačná, aplikačná a databázová) pre štyri dedikované navzájom od seba oddelené cloudové IaaS prostredia (vývojové, testovacie, predprodukčné a produkčné). Ku každému serveru je možné prideliť úložiská dát rôznej kapacity, priepustnosti a rýchlosti odozvy. Pre každé prostredie je potrebné zadefinovať komunikačné požiadavky a prípadné požiadavky na zálohovanie.

Nie, v cloude sú presne definované štandardy a poskytované služby. Používateľ cloudových služieb si musí vybrať z vyhradených operačných systémov, veľkostí serverov a pripojených diskových priestorov.

OpenStack IaaS technologická platforma v súčasnosti nepodporuje prístup viacerých virtuálnych serverov k jednému blokovému zariadeniu / virtuálnemu disku. V prípade potreby je možné využiť zdieľanie dát prostredníctvom služieb NFS, CIFS, atď.

Cloudové prostredie využíva niekoľkoúrovňovú bezpečnostnú ochranu a analýzu zloženú z produktov (napr. Firewall, IPS, IDS, DDoS, SIEM, NBAD a ďalšie.) viacerých renomovaných vendorov. Systémy umiestnené v cloude musia prechádzať celým bezpečnostným perimetrom na základe projektami definovaných pravidiel.

Cloud poskytuje bezpečnú infraštruktúru potrebnú na prevádzku informačných systémov. Bezpečnosť samotných informačných systémov je v kompetencii organizácií využívajúcich cloudové služby.

Z katalógu služieb je pre takéto účely možné vybrať operačný systém CentOS.

Platforma pre automatizáciu systémov v cloude sa nazýva orchestračná vrstva. V tomto cloude je použitá orchestračná vrstva na báze OpenStack technológie s podporou virtualizačných vrstiev (hypervízorov) Vmware a PowerVC. OpenStack je iniciatíva s účasťou mnohých renomovaných spoločností pre tvorbu orchestračného prostredia. Viac na http://www.openstack.org.

Pri vytváraní projektu umožňuje vládny cloud vytvorenie viacerých vrstiev a prostredí. Vrstvy sú označené DMZ, V1, V2, V3. Hierarchia vrstiev je nasledovná : DMZ/V1 – V2 – V3. Komunikácia je povolená len medzi susediacimi vrstvami. Komunikácia do externých sietí (napr. GOVNET, Internet) je povolená len z vrstvy DMZ. Servery štandardnej trojvrstvovej aplikácie (WEB/APP/DB), ktorá je dostupná z externej siete je potrebné umiestniť nasledovne :

DMZ – WEB
V2 – APP
V3 – DB

V prípade, že jeden server zabezpečuje viacero funkcií (napr. WEB/APP), umiestňujeme servery nasledovne :

DMZ – WEB/APP
V2 – DB

V prípade prepojenia vládneho cloudu s internou sieťou vašej organizácie vytvorením site-to-site VPN tunela je WEB servery poskytujúce služby do internej siete potrebné umiestniť do vrstvy V1. Prostredia umožňujú separáciu produkčných, testovacích a iných inštancií projektu. Komunikácia medzi prostrediami nie je možná. Vládny cloud umožňuje vytvorenie 4 prostredí. V rámci vrstvy prostredia zdieľajú jeden IP rozsah.

Ukončenie životnosti projektu prebieha v dvoch fázach. Prvá fáza je zablokovanie projektu. Tento stav nastáva ihneď vtedy, keď zákazník požiada o zrušenie projektu. Projekt nie je dostupný, jeho virtuálne servery sú vypnuté, ale na vymazanie sa čaká počas určenej retenčnej doby. Po uplynutí retenčnej doby sú všetky virtuálne servery a ich disky vymazané. To znamená, že pôvodné dáta nie sú adresovateľné. Na všetky záznamové média je uplatnená disk retention policy, kedy v prípade závady je disk ponechaný vo vlastníctve prevádzkovateľa.

Výkonnosť služieb je určovaná vlastnosťami virtuálneho servera a vlastnosťami externého virtuálneho disku. Virtuálny server je určený šablónami s trojicami hodnôt (vCPU, vRAM, vHDD), externý virtuálny disk je určený veľkosťou (variabilná, zhora ohraničená hodnota) a rýchlosťou prístupu s označením Tier1, Tier2, Tier3 (zostupne). Virtuálne disky požadovanou kvalitou Tier1 sú umiestnené na SSD diskoch a ich použitie je povolené len v produkčnom výpočtovom prostredí. Všetky šablóny pre virtuálne servery a prístupové rýchlosti jednotlivých „Tier“ úrovní sú popísané v katalógu služieb.

Virtuálny server je inštalovaný na diskoch Tier2. Externé virtuálne disky je možné vyrobiť na Tier1, Tier2 alebo Tier3 (kvalitatívny popis nájdete v katalógu služieb) s využitím nasledujúcich pravidiel:

Tier1 – disky tohto typu je povolené vytvárať len v produkčnom prostredí, využíva sa prístupová rýchlosť SSD diskov
Tier2 – bežné disky pre štandardné aplikácie
Tier3 – pomalšie disky typické pre použitie so zálohovacími archivačnými aplikáciami

V súčasnosti je vládny cloud pripojený do externých sietí GovNet, Internet , MVNet – DC Tajov, DC Kopčianska – obsahuje aj pripojenie KTI . Prostredie vládneho cloud je technologicky pripravené na pripojenie do ďalších sietí, pričom ich pripojenie je závislé od požiadaviek konkrétnych systémov a možnosti na strane subjektov prevádzkujúcich externé siete.

Áno.

Monitoring služieb IaaS vo vládnom cloude je implementovaný v zákazníckom rozhraní CSP formou nasledujúcich prevádzkových parametrov:

virtual server status (hodnota bude reprezentovaná ikonou, VM beží alebo nebeží)
uptime (časová hodnota definujúca dĺžku behu virtuálneho servera od posledného štartu)
grafické znázornenie utilizácie parametrov virtuálneho servera RAM, CPU, HDD Vládny cloud disponuje taktiež s enterprise monitoring systémom zabezpečujúcim monitoring kompletnej IKT infraštruktúry na úroveň jednotlivých komponentov.

Áno, v súčasnosti vládny cloud umožňuje v rámci IaaS služieb zálohovanie snímkov (snapshotov) virtuálnych serverov so všetkými jeho diskami, ktoré sú v pravidelných intervaloch ukladané na TIER III diskoch a následne na páskových médiách. Odporúčanie pre používateľov IaaS služieb je využiť existujúce snímkovanie virtuálnych serverov s vlastným postupom zálohovania súborového systému prípadne databáz a podobne. V budúcnosti sa uvažuje so zriadením centralizovanej služby zálohovania na báze SaaS.

Často kladené otázky

Všeobecné

Čo je privátny Vládny cloud?

Aké služby bude cloud poskytovať?

Čo je kritická komunikácia?

Prečo štát buduje svoj vlastný cloud a nepoužije komerčne dostupné cloudové riešenia (napr. Amazon cloud, Microsoft Azure a pod.)?

Čo ak sa raz naplní kapacita cloudu?

Mám garantované SLA pre cloudové služby?

Ako nahlasujem incidenty na cloudových službách?

Je potrebné migrovať všetky IT systémy štátnej správy do cloudu?

Je vládny cloud certifikovaný na ISO 27000?

Pre využitie služieb vládneho cloudu je potrebné aj zakúpenie licencií?

Aké služby sú v aktuálnom katalógu?

Ako postupovať pri vytvorení prvého projektu v cloude?

Je možné prevádzkovať všetky IT systémy z cloudu?

Čo je nekritická komunikácia?

Je katalóg IaaS služieb konečný?

Ako sú spoplatnené služby cloudu?

Ako budem pristupovať ku cloudovým službám?

Je testovacie prostredie určené komerčným dodávateľom?

Je vládny cloud bezpečný na prevádzku IT systémov štátu?

Sú vo vládnom cloude poskytnuté zdroje zdieľané medzi projektami?

Ako mám postupovať ak potrebujem službu ktorá nie je súčasťou katalógu služieb vládneho cloudu?

Technické

Kto je zodpovedný za aktualizáciu operačných systémov?

Čo ak potrebujem využívať podporné služby, ktoré vládny cloud neposkytuje?

Ktoré podporné služby poskytuje vládny cloud?

Aké sú dostupné verzie operačných systémov v rámci katalógu služieb?

Ako je zabezpečené aby iní zákazníci nemohli vidieť/pristupovať k mojím systémom vo vládnom cloude?

Ako sú izolované jednotlivé projekty v cloude?

Aké sú časti vládneho cloudu?

Aké IaaS služby sú v aktuálnom katalógu služieb?

Môžem si do cloudu umiestniť virtuálny appliance?

Podporuje prístup viacerých virtuálnych serverov k jednému diskovému priestoru?

Aká je zabezpečená bezpečnosť systémov umiestnených v cloude?

Ako sú rozdelené kompetencie v oblasti bezpečnosti systémov umiestnených v cloude?

Môžem do cloudu migrovať celý virtuálny server vrátane operačného systému?

Je možné v cloude prevádzkovať systému na báze open-source?

Aká platforma je využitá na automatizácie systémov?

Ako navrhnúť architektúru informačného systému, taká by bol v súlade s architektúrou vládneho cloudu?

Čo sa stane s dátami po vymazaní projektu?

Akú výkonnosť služieb mám očakávať od cloudových služieb?

Aký typ diskového priestoru si mám vybrať?

Do ktorých externých sietí je pripojený vládny cloud?

Má používateľ cloudu administrátorské privilégiá k jednotlivým virtuálnym serverom?

Je vo vládnom cloude implementovaný monitoring služieb?

Poskytuje vládny cloud službu zálohovania?