Arquitetura de TI: A nova face da TI

Uma estrutura baseada em nuvem, executando em uma rede de servidores virtuais é que o novo olha do moderno-infra-estrutura.

Paul Yu

Considerando as tendências da grande indústria e a tecnologia de rápida mutação paisagem, CIOs e líderes de tecnologia têm uma oportunidade para repensar o papel que desempenha na sua estratégia organizacional. Trabalhando com a divisão de serviços da Microsoft, eles podem adotar uma infra-estrutura baseada em nuvem que ele maximiza investimentos. Microsoft Services leva uma estratégica, econômica e ágil abordagem para desenvolvimento e implantação de tais estruturas.

Como uma referência arquitectónica para outras organizações de segurança, vamos examinar um Microsoft implantação orientada por serviços para um cliente do governo civil federal. Notáveis facetas desta arquitetura de IT incluem uma estratégia da plataforma Microsoft com foco, uma abordagem de nuvem-primeiro a ele, uma pegada de servidor de datacenter mínimo, confiabilidade de serviço e segurança de ponta a ponta. Toda a arquitetura de planejamento, implantação e componentes aqui descritos foram entregues por engenheiros e consultores da Microsoft.

Capturar a nuvem

Um aspecto central da estratégia de arquitetura do cliente, este envolve serviços de nuvem da Microsoft, nomeadamente Office 365 para empresas e conselheiro do centro de sistema. Esses serviços oferecem produtividade de empresa familiar e ferramentas de gerenciamento, enquanto reduzindo-a gestão e os custos e aumentar a agilidade e confiabilidade. Exchange Online e Office Professional Plus foram implantado em toda a organização.

O cliente usa todos os recursos Online do Exchange gerais, como o acesso a email, calendário e contatos em computadores e dispositivos. Ele também usa recursos críticos para facilitar a conformidade com diretrizes de auditoria e de segurança e integração com outras plataformas corporativas. Esses recursos incluem políticas de retenção de mensagens e serviços de descoberta para detecção eletrônica, criptografia hospedada por sistema de mensagens criptografadas com destinatários externos, permitir/bloquear/quarentena (ABQ) para gerenciamento de dispositivos habilitados para ActiveSync granular, e integração de Unificação de mensagens com o cliente Lync infra-estrutura no local.

Advisor é outro serviço de nuvem chave, que o cliente usa para coletar dados de servidores de Microsoft no local. O cliente também pode gerar alertas para identificar problemas ou desvios em relação a configuração e utilização. O serviço de gateway de conselheiro no local, que é um serviço necessário, reside em um servidor de aplicativo de System Center 2012 multi-função com Windows Server 2008 R2 SP1.

Clientes de assessor é instalados em todos os servidores. Isso permite que o monitor da empresa o sistema operacional, Active Directory, host Hyper-V, SQL Server 2008 R2 e cargas de trabalho do Lync Server 2010. O cliente pode ver os alertas e obtenha orientação de remediação, ligando para o portal do Orientador online, navegador da Web.

Além de serviços baseados em nuvem, há uma série de serviços no local para virtualização, diretório e Federação, infra-estrutura de chave pública (PKI), rede, gerenciamento unificado de comunicações e sistemas. O cliente teve esses serviços implementados através de um híbrido de servidores físicos e virtuais, que são padronizados no Windows Server 2008 R2 SP1 Datacenter e Enterprise Editions.

Serviços de virtualização

Virtualização de servidor significativamente melhora a eficiência dos recursos computacionais disponíveis e reduz a sobrecarga administrativa de manutenção do servidor físico. Este é um elemento considerável de infraestrutura do local do cliente. Existem dois pares de dedicado hosts Hyper-V, cada execução Windows Server 2008 R2 SP1 Datacenter Edition.

Dois dos servidores hospedam somente internas máquinas virtuais (VMs) e fornecem características tais como Cluster compartilhado Volumes (CSV) com VM live migração. Os outros dois são servidores autônomos e rede de perímetro do host VMs. Todos os hosts Hyper-V no ambiente usam cluster armazenamento SAN.

Serviços de domínio Active Directory

Tal como acontece com a maioria das organizações, serviços do Active Directory local existem para fornecer um número de recursos relacionados à identidade. Centrais para estes recursos são os serviços de domínio Active Directory (AD DS), que prestam serviços de diretório localizadas e uma single sign-on (SSO) abordagem crítica para o Office 365 autenticação. Existem dois controladores de domínio do AD DS com dedicado que fornecem serviços DNS para toda a organização e o diretório. Um é um servidor físico, e o outro é uma VM.

Serviços de Federação do Active Directory

Em conjunto com o AD DS, os serviços de Federação do Active Directory (AD FS) 2.0 fornece uma abordagem SSO para Office 365, federar com o Microsoft Federation Gateway. Isso permite que todos os usuários do cliente, cujas identidades são baseadas em um domínio federado, use seu local as credenciais do AD DS para autenticar automaticamente para serviços on-line.

Outro aspecto importante do AD FS 2.0 é o conjunto de regras de política de acesso de cliente que restringem o acesso com base na localização do computador ou do dispositivo solicitante. Isso garante que nenhum computador — com excepção dos dispositivos acessando Online Exchange Exchange ActiveSync— nunca pode acesso serviços de Office 365, a menos que esses serviços estão localizados na rede da organização.

Para fornecer serviços de Federação, o AD FS é executado em dois pares separados de servidores dedicados. Um par tem dois servidores de federação virtual configurados com o balanceamento de carga com a rede (NLB). O outro é um par de autônomo, com servidores proxy virtual localizado na rede de perímetro, também em uma configuração do NLB.

Sincronização de diretórios

Trabalhando com AD DS e do AD FS, há também directory sincronização serviços no local para apoiar o SSO para Office 365. O cliente usa a ferramenta de sincronização de diretório de Microsoft Online Services para sincronizar dados do Active Directory no local — que inclui os usuários, grupos e contatos — com infra-estrutura de diretório do Office 365. Identidades são autoritativas, gerenciado e dominado somente no local. Serviços de sincronização de diretório são instalados em um servidor único, dedicado e virtual.

Serviços de certificados do Active Directory

Porque este cliente é uma agência federal civil, deve apoiar Homeland Security presidencial directiva 12 (HSPD12) com controles de acesso lógico para todos os seus computadores associados a um domínio. Com exceção de algumas contas altamente seguras, todas as contas de administrador de serviços de certificado do Active Directory (AD CS) usadas para administrar rotineiramente a infra-estrutura da organização são impostas com logon de cartão inteligente de verificação (PIV) identidade pessoal só.

Todas as estações de trabalho são também aplicadas com logon de cartão inteligente somente PIV. Todos os computadores da Agência tem Federal Information Processing Standard (FIPS) compatível com 201 PIV middleware software de terceiros instalado.

Há também um módulo de segurança de hardware de terceiros (HSM), que fornece o FIPS compatível com 201 baseados em hardware criptográficos serviços. O cliente usa isso em conjunto com várias VMs dedicados a apoiar a sua topologia de servidor PKI. Serviços de autoridade de certificado de raiz do AD CS residirem em um servidor de CA virtual de off-line, independente. O AD CS que emite serviços de CA é um servidor virtual do CA. Por último, os serviços de ponto (CDP) de distribuição de CRL (lista) revogação certificado estão em um servidor Web virtual.

Serviços de rede

Há um par de servidores virtuais multi-função implantados para fornecer serviços comuns de rede como DHCP Dynamic Host Configuration Protocol (), arquivo e serviços de impressão e documentos. DHCP Server é implantado em cada servidor para fornecer tolerância a falhas de aumento e utiliza uma configuração de 80/20 para equilibrar a distribuição de espaço de endereços.

Existe sistema de arquivos distribuídos (DFS) DFS-R (replicação) e Namespaces DFS implantados em ambos os servidores para fornecer acesso altamente disponível e simplificado para arquivos. Para aumento de desempenho e disponibilidade, redirecionamento de pastas e arquivos off-line também são implantados por meio de diretiva de grupo de estação de trabalho. Este redireciona o caminho das pastas locais, tais como documentos, para um destino de pasta DFS Namespace, enquanto o armazenamento em cache o conteúdo localmente.

Finalmente, imprimir e Document Services estão configurado em um único servidor para compartilhar impressoras na rede, configurar servidores de impressão e centralizar as tarefas de gerenciamento de impressora de rede.

Comunicações unificadas

A Agência estabeleceu uma rede de comunicações unificada de toda a organização com base no Lync Server 2010. Ele tem implantado esses serviços através de seis servidores virtuais dedicados, cada um com funções específicas. Dois servidores virtuais de Standard Edition fornecem recursos de mensagens instantâneas, presença, conferência e voz. Esses servidores são hospedados em clusterizados hosts Hyper-V para assegurar a resiliência de voz.

Capacidades de conferência Enterprise Voice e discagem executar em um único servidor de mediação virtual. Isto traduz a sinalização e fornecedora de serviços de mídia sobre um tronco de protocolo de iniciação de sessão (SIP) de telefonia via Internet da organização. Terceiros, controlador de borda de sessão local também oferece suporte a conectividade de tronco SIP para o servidor de mediação como parte da infra-estrutura do tronco SIP.

Há área de desktop e comum de terceiros que IP telefones otimizados para Lync implantado em toda a Agência. Estes telefones executar o cliente de Lync Phone Edition e estão diretamente amarrados a estações de trabalho para fornecer recursos aprimorados de integração do Lync.

Um quarto virtual Monitoring Server fornece serviços de monitoramento. Este servidor coleta dados sobre a qualidade dos meios de comunicação de rede, bem como registros de erro de chamada e registros de detalhes. Esta informação é usada para solucionar problemas de falhadas de chamadas e medir os níveis de utilização de vários recursos de servidor de Lync. Para serviços SQL necessários, o Monitoring Server usa uma remota, dedicada SQL Server 2008 R2 SP1 Enterprise Edition instância em execução em um servidor físico multi-função.

O último conjunto de servidores Lync são um par de autônomos, servidores de borda virtual que residem na rede de perímetro. Esses servidores que execute os Exchange Online recursos Unificação de mensagens, como chamam notificações e voz, serviços de acesso (que incluem correio de voz).

Gestão integrada

Uma plataforma de gestão integrada, abrangendo o datacenter servidores e dispositivos de cliente, o cliente usa o System Center 2012. Os conjuntos de ferramentas e componentes de gerenciamento de infra-estrutura de núcleo ajudam com a configuração, monitoramento e operações. Esses componentes são implantados em três servidores virtuais dedicados, cada um usando uma instância remota do SQL Server 2008 R2 Enterprise Edition executado em um servidor físico, multi-função.

System Center 2012 Configuration Manager e System Center 2012 Endpoint Protection fornecem uma infra-estrutura unificada para gerenciar e proteger os ambientes de cliente físico e virtual da organização. Configuration Manager gerencia centralmente todas as atualizações de software, implantação de aplicativo, segurança relatando e ponto final. Todos os computadores no ambiente têm os Configuration Manager e Endpoint Protection clientes instalados, incluindo redes de perímetro.

A agência também utiliza as definições de conformidade juntamente com linhas de base de segurança de segurança Compliance Manager (SCM) 2.5. Todos os servidores no ambiente são endurecidos com a linha de base de servidor de membro SCM. Porque SCM oferece conformidade pacotes de configuração de configuração, o Configuration Manager regularmente avalia e relatórios de conformidade de segurança SCM para todos os servidores.

System Center 2012 Data Protection Manager (DPM) lida com a proteção de dados baseada em disco e recuperação para todos os servidores. Semelhante ao Gerenciador de configuração, o cliente do DPM é necessária em todos os servidores, incluindo redes de perímetro.

Gerente de operações do System Center 2012 manipula serviços críticos de monitoramento. Com base nas fórmulas de regra personalizada, ele gera alertas para situações específicas de disponibilidade, desempenho, configuração e segurança. Por exemplo, os administradores são por correio electrónico sempre que grupos específicos de administrador de serviço AD DS e as contas são modificadas ou quando certos AD DS serviço log de administradores logon na rede. Operations Manager também fornece notificação quando servidores críticos, tais como controladores de domínio, são desligados e reiniciados.

No escritório e em movimento

Para estações de trabalho, o cliente usa um laptop e solução de encaixe, como um substituto de desktop tradicional. Todas as estações de trabalho executar uma imagem personalizada do Windows 7 SP1 que inclui aplicativos de produtividade fundamentais, como o Office 365 Outlook Professional Plus e o cliente de Lync 2010.

Inicialmente criado no local, solução de acelerador de implantação de imagem de Microsoft fornece atualizações trimestrais gerenciadas. Para a implantação de estação de trabalho, o cliente usa a implantação do Gerenciador de configuração do sistema operacional. Desta forma, ele pode implantar estações de trabalho em qualquer lugar na rede corporativa.

Há uma série de diferentes controles aplicados nas configurações relacionadas à segurança. Para controle de acesso, todas as estações de trabalho empregam políticas de execução de logon de cartão inteligente PIV, FIPS compatível com 201 PIV middleware software da terceira e leitores de cartão inteligente interna. Configurações de diretiva de grupo restrito e itens de preferência do usuário Local e grupo gerenciar centralmente todos os usuários locais, grupos, associações de grupo e senhas.

Para proteção geral, todas as estações de trabalho usam as configurações de Instituto Nacional de padrões e tecnologia (NIST) dos Estados Unidos governo configuração da linha de base (USGCB) grupo política. O cliente está actualmente a aguardar uma atualização para o sistema Center Configuration Manager extensões para validação da USGCB Security Content Automation Protocol relatórios que suporta suas versões atuais do Configuration Manager e o cliente do Windows.

O cliente do System Center 2012 Endpoint Protection é instalado em todas as estações de trabalho, bem como todos os outros computadores. Isso fornece recursos críticos, como a integração do Windows Firewall, inspeção de rede e um antivírus, mecanismo de proteção anti-malware. Criptografia de unidade de disco BitLocker oferece proteção de dados e é requerida em todas as estações de trabalho. Dados escrevendo restrição as configurações de diretiva de grupo exigem que todas as unidades de armazenamento removível para ser configurado com o BitLocker To Go.

Dispositivos móveis que executam o Windows Phone 7.5 são emitidos para todos os usuários da Agência. Microsoft Office Mobile inclui versões móveis dos aplicativos conhecidos do Office. Exchange ActiveSync fornece sincronização segura com o Exchange Online do Office 365 e políticas restritivas de acesso de dispositivo, tais como requisitos de senha complexa, alfanuméricos, quarentena de dispositivo e recursos de gerenciamento de direitos de informação (IRM).

Então, como você pode ver, esta agência de governo implantou uma sofisticada infra-estrutura de TI consiste em elementos virtuais e baseados em nuvem do lado do servidor e do lado do cliente. Este é um excelente exemplo de um ambiente de TI verdadeiramente moderno.

Paul Yu

Paul Yué consultor sênior na Microsoft Services e uma arquitetura de TI e planejamento orientador. Já trabalhou na Microsoft há 13 anos, fornecendo a arquitetura de soluções corporativas para empresas comerciais e organizações do setor público. Contatá-lo em Paul.Yu@microsoft.com.

Conteúdo relacionado