מחשבות בנושא NSX

פעמיים בשנה, במהלך כל השירות הצבאי שלי, מפקד היחידה היה מעביר שיעור לכלל הלוחמים. כל שיעור התחיל באותה דוגמא על סילוני, אחד הלוחמים, שרצה לשמור על הבית שלו והיו לו גדר וכלב שמירה וכל מני אמצעי שמירה אחרים. אחד הלקחים המשמעותיים בשיעור היה העובדה ש"קו המגע לעולם יפרץ". פורץ נחוש מספיק תמיד ימצא דרך לפרוץ אל הבית של סילוני וסילוני חייב להגן גם מבפנים. סילוני גם היה מאד מוטרד מהמנקה שבא פעם בשבוע ולוודא שהיא באה לבד ושהיא אכן מי שהיא אומרת שהיא אחרי הכל לא כל פורץ נראה כמו פורץ וקשת האיומים היא רחבה ומגוונת. זה היה שיעור נהדר על ההבדלים בין טקטיקה ולאסטרטגיה, בין תכנית סדורה לגמישות מחשבתית ובין רצוי למצוי. מאד אהבתי את השיעורים האלו ואני זוכר חלקים שלמים מהם עד היום.

עשור לאחר השירות הסדיר שלי, בערך, קיבלתי את תפקיד איש הפריסייל הראשון שלי בחברת "אינטרנט זהב" שלימים התאחדה עם "קווי זהב" שלימים התאחדה עם "פרטנר". אותם ימים נדמו לי כימים של פריחה בתחום אבטחת המידע, חברות רבות עדיין פעלו כמעט ללא כל אמצעי אבטחת מידע וחלק מהשיחות שלנו עם לקוחות עדיין עסקו בשאלה אם בכלל צריך להתקין חומת אש בארגון, האם יש צורך להשקיע בהתקנת תוכנת אנטי-וירוס טובה ועוד כל מני דיוני בסיס כאלו. מכרנו מאות יחידות חומרה של checkpoint ולצד זאת ביצענו גם לא מעט הטמעות של מוצרים יחודיים יותר כמוצרי One Time Password OTP, מוצרי NAC ופה ושם אפילו דיברנו על חומות אש אפליקטיביות, WAF, למרות שעבור מרבית הלקוחות הישראלים באותה תקופה היו מוצרים אלו יקרים מדי. מרבית הלקוחות הרלוונטיים, לקוחות ה Web,  הבינו את החשיבות של כלים אלו אבל גם עבורם לפעמים העלות הכספית היתה גבוהה ממה שנראה היה להם מוצדק לשלם.

אותם ימים היו גם ימי ראשית הווירטואליזציה בתחום השרתים בארץ. כנסים רבים עסקו אז בהצגה ראשונית של VMware vSphere וכמו רבים מסביבי די נדהמתי כשהדגימו ביצוע vMotion של שרת וירטואלי בין שרתים פיזיים תוך שידור של סרט באיכות גבוהה מבלי שהסרט אפילו מגמגם (נדמה לי שזה היה "רובוטריקים").

עבר עוד עשור מאז, וירטואליזציה של שרתים היא כבר הסטנדרט בתעשייה ומרבית השרתים בעולם הם שרתים וירטואליים, וירטואליזציה של מערכות אחסון אינה חידוש אמיתי ואפילו וירטואליזציה של רשתות תקשורת היא מושג מאד ותיק לכל מי שמכיר רשתות Multi-Protocol Label Switching MPLS או Virtual Route Forwarding VRF. גם בתחום אבטחת המידע חלו שינויים מרחיקי לכת. ראשית, כמו שמפקד פלוגת מפקדה הוא היום מפקד הפלוגה הטכנו-לוגיסטית, גם תחום אבטחת המידע שינה לעצמו את השם לתחום ה"סייבר". שנית, באופן קצת יותר מהותי, גם תעשיית ה IT הפנימה ש"קו המגע לעולם יפרץ". אם בעבר חומת אש בנקודת הכניסה לרשת ותוכנת אנטי-וירוס על השרתים ותחנות הקצה היו מערך אבטחת המידע כולו, היום ברור כי מערך אבטחת המידע חייב להיות מערך רב שכבתי הכולל כלי בקרה וניטור, כלי תגובה וכלי ניתוח ושכמו תמיד, עדיין ולמרות הכל, מתקפות רבות מתרחשות בתוך ומתוך הארגון ובתוך הסביבה קשה כיום לראות ולהכיל אותן.

כחלק מהאבולוציה בעולם אבטחת המידע, מתפשטת התפיסה הנקראת Trust No One לפיה אין יותר חלוקה של הרשת הארגונית לאזורים בטוחים או מבודדים. כל שרת, מכונה ומשתמש הם סכנה פוטנציאלית ברשת, גם לאחר הזדהות בכניסה ועמידה בתנאי הסף לשימוש ברשת כמו עדכניות תוכנות ההגנה וכו'. על מנת ליישם תפיסה זו בפועל, יש צורך בעדכון טופולוגית הרשת שכן, עד היום, מרבית כלי השליטה והניתוח היו עיוורים לנעשה בתוך התת-הרשת, בתוך ה VLAN. מרבית כלי הניתוח והשליטה פעלו במעבר בין תת הרשתות, רק כאשר שרת פונה אל שרת ברשת אחרת התעבורה נבדקת בחומת האש או מתג הליבה.

פתרון NSX של חברת VMware (באמצעות רכישה של חברת Nicira) הינו פתרון וירטואליזציה של רשתות תקשורת. הפתרון עושה שימוש בטכנולוגית  vCloud Networking and Security vCNS ו"רוכב" על virtual distributed switch. באמצעות NSX, כל שרת פיזי, Host, כולל באופן מובנה בתוך תשתית הווירטואליזציה, Hyper-Visor, גם מתג Layer-2, נתב Layer-3, חומת אש וכלי איזון עומסים Load Balancer. כתבתי למעלה שווירטואליזציה של רשתות תקשורת היא לא רעיון חדש והיא לא אבל היישום של NSX, ש"עולה" רמה אל תוך תשתית הווירטואליזציה הוא חידוש מאד משמעותי. כלל האכיפה והבקרה מתבצעות בצמוד לכל שרת וירטואלי, אין צורך במעבר של Session כל הדרך אל כרטיס הרשת הפיזי של השרת המארח, דרך המתגים ועד לחומת האש לביצוע אכיפה.

הפתרון מאפשר למעשה ליצור תת רשת לכל שרת וירטואלי ולכל שרת וירטואלי סט הגדרות המוצמדות אליו ועוברות איתו בין שרתים מארחים ואפילו בין סביבות כולל במעבר לDatacenter אחר, במידה וגם בו מוטמע NSX כמובן. תצורה זו נקראת בשם Micro-Segmentation היות ויחידת הבקרה שלנו משתנה, מישור הייחוס שלנו אינו עוד VLAN אלא פנים ה VLAN, אנו מודעים עכשיו גם לנעשה בין שני שרתים וירטואליים ה"מדברים" ביניהם על גבי אותו שרת מארח, בלי אפילו לצאת למתג החיצוני, "שיחה" שבעבר היתה בדרך כלל חומק מהרדאר נאכפת ומנוטרת במלואה כיום.

eastwest

כפי שניתן לראות בתמונה מעלה, בעבר, גם שני שרתים וירטואליים על אותו שרת מארח היו צריכים לפנות אל חומת האש ולעבור 6 תחנות בדרך, hope, ואילו שימוש ב NSX מאפשר תקשורת ישירה ללא כל Hope ללא ויתור על סט החוקים המנוהל על ידי חומת האש הארגונית.

פתרון NSX הוא לא אי בודד בים ולא מוצר אבטחת מידע עצמאי אלא פתרון תשתית המאפשר eco-system שלם, שיתוף הפעולה בין VMware ויצרני אבטחת המידע והתקשורת המובילים בעולם מאפשר התממשקות בין תשתית ה NSX  למוצרי Palo-Alto, Checkpoint, F5 ואחרים כך שכל ארגון המטמיע פתרון NSX יכול להמשיך ולבחור את הכלים הטובים ביותר בעיניו בשיטת Best of Breed. אם למשל ארגון בוחר להטמיע חומת אש של חברת Palo-Alto, כלל בסיס החוקים והחכמה מנוהל על ידי חומת האש אך האכיפה בפועל מתבצעת על ידי NSX. תוצר נוסף של יישום פתרון בצורה זו הוא חסכון משמעותי בתעבורה בתוך חדר השרתים ועומס מופחת על חומת האש עצמה.

nsxecosystem

מעבר ליכולות אבטחת מידע, הזכרתי גם את נושא המיתוג והניתוב. על ידי שימוש ב virtual distributed switch עם יכולות Layer-2 ו layer-3, מאפשרת תשתית ה NSX גמישות ודינאמיות רבה בהגדרת רשתות התקשורת. למעשה, אנו יכולים להגדיר את רשת התקשורת בתוך חדר השרתים כרשת שטוחה ברמה הנמוכה, רמת המתגים, וכלל הגדרות הסגמנטציה של הרשת מתבצעות ברמה הגבוהה, רמת תשתית הווירטואליזציה hyper-Visor. גם במעבר בין רשתות וטווחי כתובות NSX יוצר את סט החוקים באופן יחידני, Ad-Hoc, על מנת לאפשר תעבורה במידה והיא מורשית על ידי סט החוקים.

פתרון NSX הוא יישום מרשים ויעיל לרעיון קיים. וירטואליזציה של רשתות תקשורת היא לא רעיון חדש אבל היישום הזה מאד מרשים, היכולת להקים ולהוריד מאות סביבות ולרבב סביבה אחת בתוך סביבה שניה רלוונטית לחתכי לקוחות מסויימים, ספקי שירות או סביבות מעבדה גדולות למשל. גם לקוחות המקימים ומעדכנים באופן תדיר סביבות לימוד והדרכה יכולים להנות מהפרדת רשתות והקמה של סביבות בלחיצת כפתור, בשילוב עם פתרון vRealize Automation. היכולת לבצע הפרדה מלאה של סביבות, micro segmentation או guest isolation היא יכולת שרלוונטית לכל לקוח שמבין שמתקפות יכולות לבוא גם מתוך הסביבה ולהתפשט בתוך מה שעד היום היה נחשב, בטעות, כאזור מוגן ומאובטח. קו המגע לעולם יפרץ.

השרטוט מטה מראה את ההבדלים ברישוי בין הגרסאות, הדגשתי באדום את החלק הכי חשוב לדעתי. לא משנה איזו רמת רישוי נרכוש, היא תכלול את יכולת Distributed switching and routing שהיתה עד היום כלול רק ברישוי vSphere ברמות רישוי גבוהות ויקרות ולכן יכולת זו היתה חסם עיקרי לאימוץ פתרון NSX על ידי לקוחות בעלי סביבות פשוטות, קטנות או אילוצי תקציב אגרסיביים. פתרון NSX מתקרב בעדכון רישוי זה לחתך מאד רחב של לקוחות שעד היום נאלצו לוותר למרות הבנה של הצורך

nsxlic

שימוש נוסף ומאד מעניין לפתרון NSX הוא בעולם של שרידות מרובת אתרים. חברות רבות מציעות מערכות אחסון בתצורת active/active geo-cluster. נציין את NetApp Metro-Cluster או IBM SVC כדוגמא. פתרונות אלו מאפשרים ללקוחות להקים תשתית אחסון שרידה בין שני אתרים פיזיים ופתרון NSX מפשט את הקמת תשתית השרתים שמעל למערכות אחסון אלו. אם בעבר היתה חובה להקים תשתית layer-2 על מנת לשמר את טווח כתובות ה IP של השרתים בדילוג בין חדרי השרתים, כיום ניתן באמצעות NSX ל"ייצר" תשתית Layer-2 מעל תשתית Layer-3 כמעט ללא הכנה מוקדמת ובכך לפשט מעבר שרתים בין האתרים באופן חלקי או מלא.שרת וירטואלי "לוקח איתו" את סט החוקים וההגדרות שלו והתשתית תספק לו את כלל הקישוריות הנדרשת. כמובן שהפתרון נתמך באופן מלא על ידי פתרון הניהול Site Recovery manager SRM על מנת לבצע בלחיצת כפתור את תהליך המעבר בין האתרים אך התהליך פשוט מאי פעם.

לסיכום, מפת האיומים על הבית של סילוני מורכבת ודינאמית מאי פעם אך גם הכלים שעוזרים לו להתמודד משתפרים והופכים עם הזמן לזמינים יותר, זולים יותר ופשוטים יותר להטמעה. אני אוהב את VMware NSX. הפתרון יחסית פשוט להטמעה, נותן מענה למגוון צרכים ואתגרים ובניגוד לעבר גם מתומחר באופן הגיוני.

 

שלכם,

ניר מליק

מודעות פרסומת

אבטחת מידע בסיסית – התגוננות אישית

disclaimer

אני לא מומחה אבטחת מידע, זה לא תחום העיסוק העיקרי שלי, אבל אני חושב שיש כמה דברים פשוטים ובסיסיים ששווה להזכר בהם, לחזור עליהם, כי הם לא נוגעים למערכות יקרות ומורכבות להטמעה אלא לכמה דברים פשוטים שישפרו משמעותית את אבטחת המידע האישית שלנו ושל הארגונים בהם אנו עובדים, ששווה ליישם אותם בעצמנו ולספר עליהם לסובבים אותנו, גם לשכנים הפחות טכניים מאיתנו, כדי שידעו ממה להשמר ואיך להשמר גם בלי להיות בעצמם מומחים גדולים לאבטחת מידע, בלי "להסניף פאקטות" או לכתוב שורות קוד אל תוך הלילה.

אני חוזר ומבהיר שאין לי כאן יומרה בפוסט הזה לכסות את כל הנדרש לאבטחת מידע ברמה של ממשלות או ארגוני ביון אלא כמה עיצות כלליות למשתמש הפשוט, דברים שכל אחד מאיתנו יכול ליישם בעצמו כדי לשמור על עצמו ועל המידע שנגיש לו.

הזדהות חכמה

ראשית, אני ממליץ לכל מי שעוד לא ביצע זאת, לעצור את הקריאה ולהפעיל את יכולת הזיהוי הכפול, 2 factor authentication, בכל שירות שתומך בכך, המהדרין יטענו שזה הזמן גם לשקול לשלילה המשך שימוש בשירות שאינו תומך בכך.

יכולת ההזדהות הכפולה מחייבת אותנו לבצע הזדהות באמצעות שני אמצעים שונים. האמצעים הנפוצים ביותר כיום הוא הססמא שלנו ("something you know") ומספר חד פעמי הנשלח אל הטלפון הנייד שלנו ("something you have"). הרעיון הוא להקשות על פורץ לפרוץ אל החשבונות שלנו. אם הפעלנו יכולת הזדהות כפולה, לא מספיק עכשיו לנחש מה הססמא שלנו אלא גם לגנוב את הטלפון הנייד שלנו כדי להשתמש במספר החד פעמי שנשלח אליו בעת התחברות ולאחר הקלדת ססמא נכונה.

דוגמאות:

עבור כלל שירותי גוגל ניתן להכנס לקישור הבא ולהפעיל את האפשרות – https://www.google.com/landing/2step/

עבור שירות לינקדאין יש להעמיד את סמן העכבר מעל תמונת הפרופיל על מנת לחשוף את האפשרות Privacy & Settings

עבור אמאזון יש אל פרטי החשבון, ללחוץ על change account settings, לבחור ב edit ואז ב advanced security settings

ודוגמא אחרונה, עבור הבלוגרים, כאן ב wordpress, יש להכנס לפרטי החשבון, לבחור ב security ולעבור לטאב של Two-Step Authentication

חשוב לזכור, בדיוק כמו ססמא מאובטחת, גם הפעלת הזדהות כפולה אינה חסינה לחלוטין בפני נסיונות חדירה, ראו למשל במקרה כאן בו תוקפים מתחזים לחברת גוגל על מנת לבקש מהמשתמשים את קוד האימות שקיבלו:

http://news.softpedia.com/news/hackers-find-clever-way-to-bypass-google-s-two-factor-authentication-505138.shtml

התחזות ודיוג – קצת תשומת לב

הדבר הבא עליו אני רוצה לדבר הפעם הוא דיוג, Phishing. דיוג הוא נסיון לגניבת מידע על ידי התחזות. בדוגמא מטה מדובר על התחזות לאתר אינטרנט. המטרה היא לגרום לגולש תמים לנדב את פרטי הכניסה שלו לאתר מאובטח. במקרים רבים, שניה נוספת של תשומת לב מספיקה כדי לעלות על נסיון ההתחזות ולמנוע פגיעה, מספיקה שניה אחת של תשומת לב כדי לראות מי מבין אתרי האינטרנט המוצגים מטה הוא אתר של חברת התשלומים paypal ומי הוא אתר מתחזה.

paypal
ניתן לראות בקלות את ההבדל בין שמות האתרים וכי הדפדפן מסמן בירוק בולט כי האתר הינו אתר מהימן. המשמעות היא שלפעמים מאד קל להבדיל ורק צריך לשים לב שבעוד הם נשמעים דומה, microsoft.com אינו מוביל לאותו מקום כ micosoft.com

תשומת לב לפרטים היא לדעתי אחת העיצות הכי טובות בתחום אבטחת המידע האישית. צריך להפעיל הגיון פשוט בכל אינטראקציה ברשת. אם מקבלים למשל הודעת דוא"ל מהבנק והפניה היא אל "לקוח יקר שלנו" במקום פניה אישית אלינו או לחלופין אם הבנק מבקש שנשלח לו בחזרה את הססמא שלנו, צריך לזכור שלבנק שלנו יש הרבה מאד מידע ספציפי שלנו שכל יעודו לאמת שאנחנו מי שאנחנו אומרים שאנחנו ולכן לא הגיוני לא שיפנה אלינו בבתואר כל כך כללי ולא שיבקש מאיתנו לשלוח אליו ססמא שהוא עצמו מנפק לנו.

במיילים מסוג זה בהם אנו מתבקשים לבצע הזדהות כלשהיא, מומלץ שלא ללחוץ על הקישור המצורף בתוך הודעת הדוא"ל אלא לפתוח בעצמנו דפדפן, להקליד את הכתובת הנכונה ולהכנס בעצמנו אל האיזור המאובטח של החשבון שלנו.

בשנתיים האחרונות חלה עליה מאסיבית במקרים בהם נפגע אדם או ארגון מתוכנת כופרה, ransomware, המצפינה את המידע הנגיש כך שהאדם או הארגון מחוייבים לשלוח תשלום יקר על מנת לקבל את מפתח ההצפנה. לעיתים תוכנה זדונית זו מוחדרת אל המחשב ללא מעורבות ישירה של המשתמש בעת גלישה לאתר נגוע למשל, אך לעיתים המשתמש הוא המפעיל הישיר של הקובץ הנגוע, למשל בפתיחת קובץ מצורף בדוא"ל. גם כאן יעזור להפעיל הגיון פשוט. בדוגמא שנתקלתי בה בעצמי לאחרונה, נשלחה הודעה אל רשימת תפוצה כללית של עובדי חברה. ההודעה נשלחה לכאורה מבנק אמריקאי גדול וכללה קובץ מצורף. הנושא היה "זיכוי של $500,000". במקרה זה, הדבר הראשון שצריך לחשוב עליו הוא שבנק אמריקאי גדול המזכה את החברה שלי לא ישלח את הודעת הזיכוי לכלל רשימת אנשי המכירות אלא לאיש או אשת ההכספים המתנהלים מולו ישירות. ברור שהמטרה של השולח היתה לדוג את העובד שיהיה סקרן מספקי לבדוק על מה מזכים אותנו על כזה סכום.

הערת שוליים – ה FBI ממליץ שלא לשלם כופר בשום מצב:

http://www.welivesecurity.com/2016/05/09/fbi-ransomware-extortionists/

ויש כמובן כלים שמנסים להתמודד עם מתקפות כופרה כמו הכלי החינמי הבא –

http://www.pcworld.com/article/3049179/security/free-bitdefender-tool-prevents-locky-other-ransomware-infections-for-now.html

החשיבות של תשומת לב והכירות של כל אחד מאיתנו עם האיומים הבסיסיים הקיימים היא עצומה, מתקפות רבות הינן מתקפות לא מתוחכמות מבחינה טכנולוגית, התחכום מאחוריהן הוא תחכום אנושי, פסיכולוגי, המכוון לתקוף חולשות אנושיות ולא חולשות של מערכות. לאחרונה ראינו עליה במספר מתקפות ממוקדות בהן עובדים בחברה מקבלים הודעות פנימיות, שנראות כמו בקשות מהנהלת החברה, אך למעשה מהוות התקפה שמטרתה לקבל פרטים חסויים על עובדים בחברה. במקרים רבים נעשה שימוש ברשתות חברתיות על מנת לגלות אם מנהל בכיר בחברה נמצא בחופשה והיכן הוא נופש על מנת להוסיף נופך אישי ואמין להודעות התקיפה "אני בהונדורס וקשה לי להתחבר למשרד, תשלח לי בבקשה באופן בהול רשימה של כלל העובדים ופרטי חשבונות הבנק שלהם". דוגמא זו אינה יחודית לעולם העסקים ובשנים האחרונות רואים גם עליה למתקפות על אנשים פרטיים.

כפי שאפשר לראות בדוגמאות מטה, לא מורכב במיוחד להתחזות ברשתות החברתיות ולשלוח סימני מצוקה. כדאי לזכור שחבר שנמצא בכלא בטורקיה לא ישלח הודעה בפייסבוק ושאי אפשר לאתר אף אחד עם צילום של גב כרטיס האשראי שלנו. חובה להפעיל שיקול דעת והכי פשוט זה להרים טלפון. אם המנכ"ל בכנס בפולין סביר להניח שאין לו צורך בהול ברשימת חשבונות הבנק של כלל עובדי החברה, וצריך להפעיל שיקול דעת האם הבקשה הזו הגיונית גם אם הוא יושב לידכם על אחת כמה וכמה אם הוא בכנס בחו"ל.

https://www.theguardian.com/money/2013/nov/13/stranded-traveller-phishing-scam

http://www.motke.co.il/index.php?idr=400&p=2010505

header_33532010505

קלאסיקה מודרנית

מי שטרם ביטל את יכולות המקרו בחבילת ה Office שלו מוזמן לעשות את זה מייד, שימוש במתקפות מקרו היה מאד פופולרי בעשור הקודם והיות וכולנו חשבנו שמה שהיה פעם כבר טופל וחוסל תוקפים רבים משתמשים שוב ביכולת בסיסית זו על מנת לתקוף

https://support.office.com/en-us/article/Enable-or-disable-macros-in-Office-documents-7b4fdd2e-174f-47e2-9611-9efe4f860b12

היגיינה אישית

לסיום, אני ממליץ בחום על שימוש בתוכנות אנטיוירוס גם עבור המחשב וגם עבור הטלפון הנייד. התקנת אנטיוירוס על הטלפון הנייד קלה ופשוטה כמו כל התקנת אפליקציה מחנות האפליקציות. יש גם תוכנות חינמיות אך כמובן שזה תחום עיקרי בו לא רצוי להתקמצן וכדאי לקנות רישוי מספק מוכר כמו סימנטק, מקאפי וכו'.

עבור המחשב, כל מערכת הפעלה windows בגרסאות האחרונות כוללת יכולות defender מובנות, לכל הפחות אנא מכם הפעילו יכולת זו. שוב, בהתאם למטרת פוסט זה, כנראה שאם אתם מומחי אבטחת מידע של NSA זה לא הכלי בשבילכם אבל זה באמת מינימום הכרחי עבור מי שלא מתמצא בנושא ולא יודע להתקין תוכנות על המחשב שלו. כדאי מאד להפעיל את הכלי ולדאוג לעדכונים אוטומטיים.

defender

שלכם,

ניר מליק

*עיצה כללית שתמיד טובה כדרך חיים ורלוונטית גם בהקשר זה – גבו את המידע שלכם!

SolidFire – a brave new world

בתחילת השנה השלימה NetApp רכישה של חברה צעירה בשם SolidFire.

פרשנים רבים, שלא ירדו לפרטים הטכניים המעניינים באמת, התרכזו רק בעובדה שמערכת האחסון כוללת דיסקים מסוג SSD בלבד ולעגו ל NetApp על רכישה זו ופירשו אותה כבלבול וחוסר מיקוד.

הו, איזו טעות.

החלק הכי פחות מעניין במערכות האחסון של SolidFire הוא המדיה.

בשבוע שעבר הוכרזה הגרסא העדכנית של מערכת ההפעלה של SolidFire, Element (יסוד או יסודות). כיאה לשמה לכל גרסא שם קוד על שם יסוד לפי הסדר בטבלה המחזורית ושם הקוד של הגרסא הנוכחית הינו Fluorine (פלואור), היסוד התשיעי בטבלה המחזורית בהתאמה לגרסא 9 של מערכת ההפעלה.

מערכות אחסון מבית SolidFire הינן מערכות מבוססות חומרה בתצורת 1U הניתנות להטמעה ב Cluster המונה 4 עד 100 יחידות (Node). כל יחידה כוללת יכולת עיבוד ונפח אחסון כך שהגידול ליניארי לחלוטים בבסיסו. ניתן לשלב בין יחידות הכוללת נפח גדול יותר ויחידות הכוללות נפח קטן יותר על מנת להתאים לדרישות הנפח וכן לשלב יחידות חזקות וחלשות יותר על מנת להתאים לדרישות הביצועים. כאן מתחיל החלק המעניין באמת. כל יחידה (Node) מקושרת אל ה Cluster בשני כבלי 10Gb בלבד, מערכת ההפעלה תזהה את היחידה החדשה ובאופן אוטומטי תכניס אותה ל Cluster, תכיל עליה את כלל ההגדרות הנדרשות, תעביר אליה חלק מעומס העבודה ובכך מסתיים הליך הרחבת ה Cluster.

ה Cluster פועל בתצורת Shared Nothing ומסוגל להתמודד עם נפילה של דיסק, מעבד או Node שלם באופן מיידי ואוטומטי.

המערכת כוללת באופן מובנה יכולות חסכון בנפח, De-duplication, Compression, Zero Detection, Thin Provisioning הפועלות כולן In-Line וכולן במוד של Global Efficiency כלומר חלות על כלל נפח המידע במערכת.

מנגנון ה QoS המובנה במערכת יחודי בעובדה שהוא מספק לא רק יכולת Limit, אכיפה מפני "התפרעות" של צרכן, אלא גם Guaranty, יכולת הבטחת רמת שירות לצרכן. מערכת הניהול והבקרה תדווח באופן מיידי על חריגה מהיכולת של כלל ה Cluster לעמוד ב SLA שהוגדר והובטח לצרכנים השונים. מנגנון זה הוא הבסיס ליכולת Multi-Tenancy בהיבט של אבטחת רמת השירות.

אחד המרכיבים העיקריים במבנה מערכת האחסון הוא ההתממשקות לכלי ניהול חיצוניים. כלל יכולות המערכת ניתנות לניהול באמצעות Rest API ולקוחות רבים כלל אינם משתמשים בממשק הניהול הטבעי של המערכת אלא מבצעים את כלל משימות האחסון דרך Open Stack, Powershell וכו'.

אחד החידושים הכי משמעותיים בגרסא העדכנית הוא שינוי מודל הרכש של המערכת. בעבר, ניתן היה לרכוש את המערכת בשני אופנים עיקריים. האופן הראשון מוכר ונפוץ מאד בעולם האחסון. הלקוח יכול היה לרכוש רכיבים פיזיים, Nodes, וכל רכיב פיזי היה כולל את הרישוי כך שחידוש השירות היה כולל חומרה ותוכנה, הוצאה משירות של רכיב פיזי חייבה גם הוצאה משירות של הרישוי של הרכיב וכו'. במודל זה כמובן שעמדה לזכות הלקוח חובתו של היצרן להתחייב לאיכות רכיבי החומרה, תקינות שלהם, התאמה מיטבית בין החומרה לתוכנה וכו'.

המודל השני היה מודל של תוכנה בלבד. מודל זה הידוע בשם Element X, אפשר ללקוחות גדולים לעשות שימוש בחומרה שלהם, כל אחד משיקוליו הוא, היו כאלו שרצו ליצור חומרה יחודית להם והיו כאלו שפשוט רצו לנצל את חוזי הרכש הטובים שלהם עם היצרנים השונים ובכך לחסוך בעלויות רכש. במודל זה כמובן שחלק מהאחריות לתקינות מערכת האחסון עבר מהיצרן אל הלקוח המספק ומתחזק את החומרה.

המודל החדש מאפשר למעשה להפריד את הרכש לחומרה ולתוכנה אך עדיין לרכוש את שניהם מ SolidFire. המשמעות היא שהלקוח יכול לרכוש רק את מה שנדרש לו, מתי שנדרש לו, ועדיין להנות מאחריות מלאה של היצרן לכלל רכיבי המערכת.

אחת הדוגמאות היא ללקוח שצריך יחסית מעט נפח אך כמות גדולה מאד של ביצועים. לקוח כזה יכול לרכוש רישוי על פי נפח ולפרוס את הרישוי שלו על כמה רכיבים פיזיים, Nodes, שידרש על מנת לספק את כלל הביצועים.

חידוש נוסף בגרסא זו הוא שיפור משמעותי של ההתממשקות אל יכולת VMware VVOL הכוללת אינטגרציה מלאה בין מנגנון ה QoS של מערכת האחסון אל מנגנון ה VVOL ובכך להבטיח רמת שירות עבור שרת וירטואלי בודד במערכת.

יכולת אחרונה עליה אעדכן הפעם היא יכולת מובנית לגיבוי המידע אל Object Storage. בהתאם לתפיסת ה Data fabric עליה כתבתי בעבר, מערכת האחסון מאפשרת כמובן לבצע רפליקציה בין מערכות אחסון זהות כמקובל, וניתנות לגיבוי באמצעות כלי גיבוי כגון CommVault, אך מאפשרות באופן מובנה גם לבצע גיבוי ל S3, Swift או NetApp StorageGRID ולבצע שחזורים אל מערכות SolidFire אחרות במידת הצורך במקרי DR למשל.

מי קהל היעד העיקרי? ספקי שירות. בין אם ספקי שירות חיצוניים כספקי ענן ציבורי ובין אם ספקי שירות פנימיים כגופי פיתוח גדולים. גופים אלו זקוקים למערכת המאפשרת אוטומציה מלאה של תהליכים, רכש במודל גרנולרי בהתאם לצריכה בפועל, זמינות מאד גבוה והבטחת שירות למספר גדול מאד של צרכנים שונים.

שלכם,

ניר מליק

ONTAP 9 is here – continued

בפוסט הקודם התחלתי לסקור את החידושים ב ONTAP 9. אני חייב להמשיך ולהציג את שאר השינויים כדי לפנות מקום גם להכרזות האחרונות של SolidFire אז נצא לדרך.

כמו בפוסט הקודם גם כאן אין קשר בין סדר ההופעה לדרגת החשיבות, צוללים קדימה!

ביצועים – ONTAP 9 תספק שיפור של 60% בכמות ה IOps עבור אותה חומרה לעומת ONTAP 8.3.1 !

ניהול מפתחות הצפנה –  אין יותר חובה להשתמש בפתרונות ניהול מפתחות חיצוניים, ניתן לייצר ולאחסן את מפתחות ההצפנה על גבי מערכת האחסון עצמה. טהרנים ישאלו אם יש הרבה הגיון לניהל את מפתח ההצפנה על יעד ההצפנה עצמו ולהם אענה מראש שמרבית הלקוחות לא הצפינו מידע עד היום בכלל בדיוק בגלל החובה להשתמש בכלים חיצוניים יקרים. מי שעדיין צריך באמת רמה גבוה יותר של הצפנה עדיין יכול להשתמש בכלים חיצוניים אבל לדעתי מדובר כאן בפתרון מאד ייחודי ללקוחות שרוצים לשמור על רמה סבירה של אבטחת מידע ועד היום היו מנועים מכך לחלוטין

ועכשיו לאחד החידושים היותר מעניינים בהשקה זו המקושרים ישירות לתפיסת ה Data Fabric עליה כתבתי בעבר ולפיה NetApp מאפשרת לנו ליישם את הפתרונות שלה בדרך שלנו. NetApp FAS היא מערכת מוגדרת מראש בה היצרן מספק לנו את התוכנה ביחד עם החומרה ובכל ניתן להתחייב על רמות זמינות וביצועים ולא רק על יכולות. עבור לקוחות המעדיפים להשתמש בחומרה אחרת, זולה יותר פשוטה יותר או פשוט נגישה יותר עבורם הושק אתמול מוצר חדש בשם ONTAP Select.

ONTAP Select הינו פתרון תוכנה בלבד המקנה את כלל יכולות ONTAP על גבי כולל שירותי קבצים NFS או CIFS ושירותי בלוק iSCSI. כלל יכולות חסכון הנפח כלולות כולל DeDuplication, Compression ו Compaction החדשה וכן כלי הרפליקציה Snap Mirror וכלי הגיבוי Snap Vault.

ניתן להטמיע את ONTAP Select על גבי VMware ESXI או על גבי KVM בתצורות SIngle Node או 4-Node Cluster על מנת לספק זמינות ושרידות.

כמובן שקיימת תמיכה מלאה בעלי הניהול OnCommand ובכלי ה Snap manager על מנת כאמור לא להתפשר על יכולות ועדיין לאפשר גמישות במבנה הרכישה וההטמעה.

היות ומערכת ההפעלה זהה לחלוטין ניתן לרפלק ולגבות את המידע בין מערכות ONTAP Select, מערכות ONTAP על גבי FAS או AFF ולמערכות ONTAP Cloud הרצות בסביבות ענן ציבוריות.

ontap select.png

שיפורים נוספים ביכולת ADP מגדילים עוד יותר את יחס הנטו\ברוטו בפתרונות AFF, יחס שהופך קריטי ככל שהדיסקים הנתמכים גדלים. זוכרים שכתבתי על דיסיקם בגודל 16TB? בשנה הבאה מתוכננים דיסקים בנפח 32TB ויחס של עשרים ואחת לאחת (21:1) בין דיסקי מידע ודיסקי Parity יהיה סופר רלוונטי וחשוב ובטח נראה עוד שיפורים בעניין הזה בהכרזות הבאות.

נראה לי שזהו להפעם, אני צריך להתחבר לשידור מ solidfire.com כדי להכין את הפוסטים הבאים

שלכם,

ניר מליק