Arquitectura de ti: La nueva cara de las TI
Un marco basado en la nube, funcionando en una red de servidores virtuales es que la nueva imagen de lo moderno infraestructura.
Paul Yu
Teniendo en cuenta las tendencias principales de la industria y la tecnología cambiante paisaje, CIOs y líderes tecnológicos tienen una oportunidad para repensar el papel que desempeña en su estrategia organizacional. Trabajando con la división de servicios de Microsoft, pueden adoptar una infraestructura basada en la nube que se maximiza las inversiones. Microsoft Services tiene una estratégica, ágil y económico enfoque para desarrollar e implementar estos marcos.
Como una referencia arquitectónica para otras organizaciones de seguridad, vamos a examinar una Microsoft implementación de servicios para el cliente de un gobierno civil federal. Facetas destacables de esta arquitectura incluyen una Microsoft plataforma estrategia, un enfoque de nube primero a él, un datacenter mínima huella de servidor y confiabilidad del servicio seguridad end-to-end. Toda la arquitectura planificación, despliegue y componentes descritos aquí fueron entregados por los ingenieros y consultores de Microsoft.
Capturar la nube
Un aspecto central de la estrategia de arquitectura del cliente consiste en servicios de la nube de Microsoft, particularmente el Office 365 para empresas y asesor del centro de sistema. Estos servicios ofrecen la productividad de la empresa familiar y herramientas de gestión, reduciéndola de gestión y los costos y aumentar la agilidad y confiabilidad. Exchange Online y Office Professional Plus desplegaron toda la organización.
El cliente utiliza todas las capacidades de intercambio en línea generales, tales como acceso a correo electrónico, calendario y contactos en ordenadores y dispositivos. También utiliza las características críticas para facilitar el cumplimiento de seguridad y directrices de auditorías e integrarse con otras plataformas de la empresa. Estas características incluyen políticas de retención de mensajes y servicios de descubrimiento de descubrimiento electrónico, Hosted cifrado de mensajes cifrados con destinatarios externos, permitir/bloquear/cuarentena (ABQ) para administración de dispositivos habilitados para ActiveSync granular, y la integración de mensajería unificada con el cliente local Lync infraestructura.
Asesor es otro servicio de nube clave, que el cliente utiliza para recopilar datos de servidores de Microsoft local. El cliente también puede generar alertas para identificar problemas o desviaciones con respecto a la configuración y uso. El servicio de puerta de enlace de asesor local, que es un servicio necesario, reside en un servidor de aplicaciones de sistema centro 2012 multifunción ejecutando Windows Server 2008 R2 SP1.
Clientes de asesor están instalados en todos los servidores. Esto permite que el monitor el sistema operativo de la empresa, Active Directory, anfitrión de Hyper-V, SQL Server 2008 R2 y cargas de trabajo de Lync Server 2010. El cliente puede ver las alertas y obtener orientación de remediación conectando al portal Asesor online por navegador.
Además de servicios en la nube, hay una serie de servicios local para virtualización, directorio y Federación, infraestructura de clave pública (PKI), red, gestión unificada de sistemas y comunicaciones. El cliente ha tenido estos servicios implementados a través de un híbrido de servidores físicos y virtuales, que se estandardizan en Windows Server 2008 R2 SP1 Datacenter Edition y Enterprise Edition.
Servicios de virtualización
Virtualización de servidores significativamente mejora la eficiencia de los recursos informáticos disponibles y reduce la sobrecarga administrativa de mantenimiento del servidor físico. Se trata de un elemento importante de la infraestructura del cliente local. Hay dos pares de los ejércitos de Hyper-V dedicados, cada corriente Windows Server 2008 R2 SP1 Datacenter Edition.
Dos de los servidores llevamos sólo internas máquinas virtuales (VMs) y proporcionan características clave tales como clúster compartido volúmenes (CSV) con VM migración en vivo. Los otros dos son servidores independientes y red perimetral de host VMs. Todos los hosts de Hyper-V en el medio ambiente usan almacenamiento clusterizado de SAN.
Servicios de dominio de Active Directory
Como con la mayoría de las organizaciones, servicios de Active Directory local existen para proporcionar un número de capacidades relacionadas con la identidad. Central estas capacidades son servicios de Active Directory dominio (AD DS), que prestan servicios de directorio localizado y un single sign-on (SSO) enfoque crítico para la autenticación de Office 365. Hay dos dedicados controladores de dominio de AD DS que proporciona servicios DNS para toda la organización y directorio. Uno es un servidor físico y el otro es una máquina virtual.
Servicios de Federación de Active Directory
Junto con AD DS, servicios de Federación de Active Directory (AD FS) 2.0 proporciona un enfoque SSO para Office 365 por federar con el Gateway de la Federación de Microsoft. Esto permite a todos los usuarios del cliente, cuyas identidades se basan en un dominio de la FED, usar su local credenciales de AD DS para autenticar automáticamente a servicios en línea.
Otro aspecto clave de AD FS 2.0 es el conjunto de reglas de política de acceso de cliente que restringir el acceso basado en la localización de la computadora o el dispositivo que hace la solicitud. Esto no asegura que ninguna computadora — con la excepción de dispositivos de acceso a Exchange Online para Exchange ActiveSync, puede siempre acceso Office 365 servicios a menos que dichos servicios se encuentran en la red de la organización.
Para proporcionar servicios de Federación, AD FS se ejecuta en dos pares separados de servidores dedicados. Un par tiene dos servidores de Federación virtual configurados con Network Load Balancing (NLB). El otro es un par de independiente, con servidores proxy virtual en la red perimetral, también en una configuración de NLB.
Sincronización de directorios
Trabajando con AD DS y AD FS, también hay directorio sincronización servicios local para apoyar SSO para Office 365. El cliente utiliza la herramienta de sincronización de directorios de Microsoft Online Services para sincronizar los datos de Active Directory local — que incluye usuarios, grupos y contactos, con infraestructura de directorio de Office 365. Identidades son autoritarias, manejado y dominado sólo local. Servicios de sincronización de directorios se instalan en un servidor único, dedicado y virtual.
Servicios de certificados de Active Directory
Debido a este cliente es un organismo civil federal, debe apoyar la patria seguridad presidencial Directiva 12 (HSPD12) con controles de acceso lógico para todos sus equipos Unidos a un dominio. Con la excepción de algunas cuentas de alta seguridad, todas las cuentas de administrador de servicios de certificados de Active Directory (AD CS) utilizadas para administrar rutinariamente la infraestructura de la organización se aplican con sesión de tarjeta inteligente de verificación (PIV) identidad personal solamente.
Todas las estaciones de trabajo también se aplican con sólo sesión de tarjeta inteligente PIV. Todos los equipos en esta agencia tienen Federal Information Processing Standard (FIPS) compatible con 201 PIV middleware software de terceros instalado.
También hay un módulo de seguridad de terceros de hardware (HSM), que atiende FIPS 201-obediente basadas en hardware criptográfico. El cliente utiliza esto en conjunto con varias máquinas virtuales dedicados para apoyar su topología de servidores PKI. Servicios de AD CS root certificate authority (CA) residen en un servidor fuera de línea, de CA virtual independiente. La AD CS que emite servicios CA está en un servidor virtual de CA. Por último, los servicios de certificate revocación lista (CRL) distribución punto (CDP) están en un servidor Web virtual.
Servicios de red
Hay un par de servidores virtuales multifunción para proporcionar servicios de red comunes como protocolo de configuración dinámica de Host (DHCP), archivo y servicios de impresión y documentos. Servidor DHCP se implementa a través de cada servidor para proporcionar mayor tolerancia y aprovecha una configuración de 80/20 para equilibrar la distribución del ámbito de direcciones.
Hay un sistema de archivos distribuido (DFS) Replication (DFS-R) y espacios de nombres DFS implementados en ambos servidores para proporcionar acceso altamente disponible y simplificado a archivos. Para obtener un mayor rendimiento y disponibilidad, redirección de carpetas y archivos sin conexión se implementan también a través de la estación de trabajo de directiva de grupo. Esto redirige la ruta de carpetas locales, tales como documentos, a un destino de carpeta DFS Namespace, mientras el almacenamiento en caché el contenido localmente.
Finalmente, imprimir y Document Services se configuran en un único servidor para compartir impresoras en la red, configurar servidores de impresión y centralizar las tareas de administración de impresora de red.
Comunicaciones unificadas
La Agencia ha establecido una red de comunicaciones de toda la organización, unificada basada en Lync Server 2010. Ha implementado estos servicios a través de seis servidores virtuales dedicados, cada uno con funciones específicas. Dos servidores Standard Edition virtuales proporcionan características IM, presencia, Conferencia y voz. Estos servidores se alojan entre hosts clusters de Hyper-V para asegurar la resistencia de la voz.
Capacidades de conferencias Enterprise Voice y marcado ejecutan en un único servidor virtual de mediación. Esto traduce de señalización y proveedor de servicios de medios de comunicación sobre un tronco de protocolo de iniciación de sesión (SIP) de telefonía por Internet de la organización. Un tercero, controlador de frontera de sesión local también soporta conectividad de tronco SIP para el servidor de mediación como parte de la infraestructura de tronco SIP.
Hay una zona de escritorio y común de terceros que teléfonos IP optimizado para Lync desplegado a lo largo de la Agencia. Estos teléfonos ejecutan al cliente Lync Phone Edition y están directamente atados a estaciones de trabajo para proporcionar capacidades de integración de Lync mejoradas.
Un cuarto virtual Monitoring Server proporciona servicios de monitoreo. Este servidor recoge datos sobre la calidad de los medios de comunicación de la red, así como registros de error de llamada y llamada registros de detalle. Esta información se utiliza para solucionar problemas de llamadas fallidas y medir los niveles de uso de varias características de Lync Server. Para los servicios requeridos de SQL, el Monitoring Server utiliza una remota dedicada SQL Server 2008 R2 SP1 Enterprise Edition instancia ejecutándose en un servidor físico multifunción.
El último conjunto de servidores de Lync son un par de independiente, servidores virtuales borde que residen en la red perimetral. Estos servidores ejecutar las características Online mensajería unificada de Exchange, como llaman a notificaciones y voz servicios de acceso (que incluyen correo de voz).
Gestión integrada
Para una plataforma de gestión integrada que cubre el centro de datos servidores y dispositivos cliente, el cliente utiliza el sistema centro 2012. Los componentes de gestión de la infraestructura de base y conjuntos de herramientas ayudan a configuración, monitoreo y operaciones. Estos componentes se implementan a través de tres servidores virtuales dedicados, cada utilizando una instancia de SQL Server 2008 R2 Enterprise Edition remota ejecuta en un servidor físico, multifunción.
System Center 2012 Configuration Manager y sistema centro 2012 Endpoint Protection proporcionan infraestructura unificada para administrar y proteger los entornos físicos y virtuales de cliente de la organización. Configuration Manager administra en forma centralizada todas las actualizaciones de software, implementación de aplicaciones, seguridad informes y punto final. Todos los ordenadores en el medio ambiente tienen los clientes Configuration Manager y Endpoint Protection instalados, incluyendo redes perimetrales.
La agencia también utiliza los valores de cumplimiento junto con líneas de base de seguridad Security Compliance Manager (SCM) 2.5. Todos los servidores en el entorno son endurecidos con la línea de base de servidor de miembro SCM. Porque SCM ofrece cumplimiento paquetes de configuración de ajuste, Configuration Manager regularmente evalúa e informes sobre cumplimiento de seguridad SCM para todos los servidores.
Sistema centro 2012 Administrador de protección de datos (DPM) se encarga de recuperación y protección de datos basada en disco de todos los servidores. Similar al administrador de configuración, el cliente DPM es necesaria en todos los servidores, incluyendo redes perimetrales.
System Center 2012 Operations Manager se encarga de supervisión de servicios críticos. Basados en fórmulas de regla personalizada, genera alertas para situaciones específicas de la disponibilidad, rendimiento, configuración y seguridad. Por ejemplo, son por los administradores de correo electrónico cada vez que se modifican las cuentas y grupos de administrador de servicio de AD DS específicos o cuando ciertos AD DS servicio Registro de administradores en la red. Gerente de operaciones también proporciona notificación cuando servidores críticos, tales como DCs, se apaga y reinicia.
En la oficina y en movimiento
Para estaciones de trabajo, el cliente utiliza un ordenador portátil y la solución de acoplamiento como un reemplazo de escritorio tradicional. Todas las estaciones de trabajo ejecutan una imagen personalizada de Windows 7 Service Pack 1 que incluye aplicaciones de productividad fundamentales, tales como Office 365 Outlook Professional Plus y el cliente Lync 2010.
Inicialmente creado local, Microsoft imagen despliegue acelerador de solución proporciona las actualizaciones trimestrales administradas. Para la implementación de la estación de trabajo, el cliente utiliza la implementación del administrador de configuración de sistema operativo. Así, pueden implementar las estaciones de trabajo en cualquier parte de la red corporativa.
Hay un número de diferentes controles aplicados a configuraciones relacionadas con la seguridad. Para control de acceso, todas las estaciones de trabajo emplean lectores de tarjetas inteligentes integrado, software de middleware FIPS 201-compatible con terceros PIV y políticas de aplicación de PIV tarjeta inteligente Inicio de sesión. Configuración de directivas de grupo restringido y artículos de preferencia de usuario Local y grupo gestión de forma centralizada todos los usuarios locales, grupos, pertenencia a grupos y contraseñas.
Endurecimiento general, todas las estaciones de trabajo utilizan los ajustes de National Institute of Standards y tecnología (NIST) Estados Unidos gobierno configuración inicial (USGCB) Grupo política. Actualmente, el cliente está esperando una actualización para el sistema centro administrador de configuración de extensiones para la validación de USGCB Protocolo de automatización de contenido de seguridad informes que apoya sus versiones actuales de Configuration Manager y el cliente de Windows.
El cliente del sistema centro 2012 Endpoint Protection está instalado en todas las estaciones de trabajo, así como todos los otros equipos. Esto proporciona las características críticas, tales como integración de Firewall de Windows, inspección de la red y un antivirus, el motor de protección anti-malware. Cifrado de unidad BitLocker ofrece protección de datos y es necesaria en todas las estaciones de trabajo. Datos de restricción configuración de directiva de grupo requieren todas las unidades de almacenamiento extraíble para configurarse con BitLocker To Go.
Dispositivos móviles que ejecutan Windows Phone 7.5 se expiden a todos los usuarios de la Agencia. Microsoft Office Mobile incluye versiones móviles de aplicaciones de oficina familiares. Exchange ActiveSync proporciona sincronización asegurado con Office 365 Exchange Online y estricto dispositivo directivas, como requisitos de contraseña alfanumérica, complejo, dispositivo poner en cuarentena y las capacidades de Information Rights Management (IRM).
Por lo tanto, como puede ver, esta agencia de gobierno ha implementado una sofisticada infraestructura de ti que consta de elementos basados en la nube y virtuales desde el lado del servidor tanto el lado del cliente. Este es un ejemplo excelente de un entorno de ti verdaderamente moderno.
.jpg)
Paul Yues un Consultor dentro de Microsoft Services y una arquitectura de ti y asesor. Ha trabajado en Microsoft durante 13 años, proporcionando la arquitectura de soluciones empresariales a las empresas comerciales y organizaciones del sector público. Llegar a él en Paul.Yu@microsoft.com.