Univerzita zvýšila zabezpečení sítě a snížila náklady na správu IT
|
Situace
Univerzita Hradec Králové je akreditovaná univerzita ve městě Hradec Králové v České republice. Byla založena v roce 1989 a nabízí vysokoškolské vzdělání a příležitost k výzkumu více než 7 500 studentů. Univerzita využívá IT infrastrukturu obsahující 15 fyzických serverů a 10 virtuálních serverů s operačním systémem Windows Server® 2003, které jsou propojeny s více než 800 pracovními stanicemi pomocí vysokorychlostní sítě Ethernet. K systémovým prostředkům lze také získat přístup z místní bezdrátové sítě univerzity. Systém je nepřetržitě k dispozici všem studentům a více než 800 zaměstnanců univerzity. K síti mají přístup také zaměstnanci partnerských vysokých škola firem.
Na počátku roku 2007 zaregistrovala univerzita zvýšení počtu uživatelů, kteří přistupovali k síti z počítačů, které nesplňovaly standardní nároky na zabezpečený systém. Tito uživatelé často používali mobilní systémy, např. přenosné počítače, které běžně pracují i v jiných, nezabezpečených veřejných sítích. Uživatel si například v nezabezpečené veřejné síti stáhl e-mailovou zprávu obsahující virus a poté ji předal dalším příjemcům během připojení k univerzitní síti. Jednalo se o závažný problém v zabezpečení univerzity, který soustavně narůstal. Byl také velmi nákladný, neboť měl za následek, že správci IT museli stále častěji trávit čas vyhledáváním a odstraňováním škodlivého softwaru z univerzitní sítě. Některé z těchto virů odesílaly z univerzitní sítě do internetu velký počet spamových zpráv a působily tak problémy správcům jiných webů v internetu.
Síťový software univerzity byl nakonfigurován tak, aby každému oprávněnému počítači byla přidělena vyhrazená IP adresa. To přispívalo k omezení neoprávněného přístupu k síti a zvýšení výkonu. Někteří uživatelé si však ve svých počítačích nakonfigurovali IP adresu, kterou měli přidělenu dříve, což vedlo k dalším problémům, jejichž řešení museli správci IT věnovat nemálo času. Konflikty IP adres výrazně snižovaly výkon sítě LAN a komplikovaly vyhledávání virů a dalšího škodlivého softwaru. Správci nechtěli nakonfigurovat síťový software pro dynamické přidělování IP adres ze seznamu vyhrazených adres, neboť by to ohrozilo zabezpečení systému. Pavel Včeliš, systémový inženýr na Univerzitě Hradec Králové, řekl: „Naše IT prostředí je velmi otevřené, a čelí tedy rizikům nejrůznějších ilegálních aktivit. Musíme proto své prostředí chránit podobně, jako je tomu v každé firmě.“
Obchodní cíle
Univerzita požadovala systém poskytující mnohem lepší kontrolu nad přidělováním IP adres a přístupem k místní síti, než nabízel stávající systém.
Správci si přáli získat metodu pro sledování procesu ověřování každého uživatelského účtu a pro přidělování bezpečnostních omezení pro jednotlivé uživatele i skupiny. Protože univerzita disponuje v oblasti IT pouze omezenými finančními i lidskými zdroji, musel systém nabízet vyšší zabezpečení při minimálních nákladech a časových nárocích na správu IT.
|
Řešení
Univerzitní IT oddělení se rychle rozhodlo pro nový systém na bázi produktu Windows Server 2008 a netestovat konkurenční produkty. Systém Windows Server byl totiž používán jako základ sítě již po řadu let a IT oddělení bylo spokojeno s jeho výkonem. Při rozhodování hrál roli také požadavek na kompatibilitu s existujícím síťovým hardwarem, aby nebylo nutné vynaložit náklady a úsilí na seznámení s novými síťovými technologiemi. Pan Včeliš říká: „Naši IT specialisté znají technologie Microsoft, protože většina z našeho síťového hardwaru je založena na technologiích Microsoft. Proto jsme se rozhodli nebrat v úvahu konkurenty.“
Univerzita se zapojila do programu Microsoft Rapid Deployment Program a stala se tak jednou z organizací, které nasadily předprodejní verze systému Windows Server 2008, a mohla předat své cenné zkušenosti vývojovému týmu produktu Windows Server. Tak získala univerzita přístup k předprodejní verzi systému Windows Server 2008. Univerzita se rozhodla začít s instalací a hodnocením produktu Windows Server 2008 na testovacím systému. Tím lze minimalizovat vliv předprodejního softwaru na zbytek IT infrastruktury. V případě uspokojivých výsledků testování měla migrace zbývajících síťových serverů na produkt Windows Server 2008 proběhnout, jakmile to bude možné z kapacitních a investičních důvodů.
Veškerou správu a podporu prostředí se systémem Windows Server 2003 zajišťují dva interní IT technici, a tomuto personálu nebylo možné zadat instalaci testovacího systému. Proto univerzita zadala společnosti EMWAC Group, která poskytuje konzultační služby v oboru IT a je partnerem společnosti Microsoft® na úrovni Gold Certified Partner, zakázku na dodání testovacího systému a pomoc univerzitním IT specialistům s hodnocením tohoto softwaru. Společnost EMWAC Group pomáhala již s nasazením systému Windows Server 2003 na univerzitní síťové servery a univerzita ji považuje za důvěryhodného technologického partnera.
Společnost EMWAC Group začala s instalací testovacího systému v polovině srpna 2007 pod dohledem univerzitního IT oddělení. Testovací systém obsahuje jeden server se systémem Windows Server 2008, který je připojen prostřednictvím univerzitní sítě LAN ke 160 počítačům. Mobilní počítače, které se k univerzitní síti připojují bezdrátově, nemají prozatím k testovacímu systému přístup a přístup k testovacímu systému je dále omezen na 2 500 uživatelů.
Univerzita na testovací server nainstalovala technologii Network Access Protection (NAP), která omezuje přístup k síti v případě, že počítač nevyhovuje zásadám zabezpečení stanoveným IT oddělením. Univerzita nehodnotila nápravné služby – počítačům, které nevyhověly zásadám zabezpečení, byl odepřen přístup bez nároku na nápravu. Technologie systému Windows Server 2008 pro správu identit a řízení přístupu byly v testovacím systému použity jako pomocný prostředek pro vynucení zásad zabezpečení. Vzdálená správa testovacího systému byla zajištěna pomocí Terminálové služby, kterou však uživatelé testovacího systému neměli k dispozici.
Hodnocení testovacího systému s produktem Windows Server 2008 bylo dokončeno ke konci listopadu 2007. Během nasazení a zkušebního provozu testovacího systému nebyly zaznamenány žádné zásadní problémy. IT oddělení plánuje nasazení systému Windows Server 2008 na zbývající servery v univerzitní síti v průběhu roku 2008.
|
Přínosy
Univerzita Hradec Králové dosáhla s testovacím systémem Windows Server 2008 zvýšení zabezpečení systému, snížení nákladů na jeho správu a omezení výpadků systému.
S potěšením konstatovala, že Windows Server 2008 nabízí správcům IT nástroje, které potřebují ke zjednodušení správy sítě. Pan Včeliš dodává: „Technologie systému Windows Server 2008 nám velmi usnadňuje údržbu nového prostředí.“
Vylepšené zabezpečení systému
Technologie Network Access Protection pomáhá IT oddělení účinně vymáhat stanovené standardy zabezpečení ve všech počítačích, které se připojují k síti. Testovací server vyhodnotí u každého počítače, zda těmto zásadám vyhovuje, ještě než se připojí k síti. Tím předchází ohrožení zabezpečení, ke kterým docházelo v systému Windows Server 2003.
Během testování vyhověla technologie NAP požadavkům univerzity na snížení počtu neoprávněných přístupů. Od instalace technologie NAP nedošlo k žádným virovým nákazám ani konfliktům IP adres. Univerzita očekává, že po dokončení migrace se počet virových infekcí v klientských počítačích sníží o 60%.
„Z našeho pohledu se zabezpečení v systému s testovacím serverem zvýšilo. Nové funkce zabezpečení v systému Windows Server 2008 pomohly implementovat všechny naše bezpečnostní standardy k naší maximální spokojenosti,“ řekl Pavel Včeliš.
Nižší náklady na správu
Kromě toho, že technologie NAP umožňuje účinnější ochranu před neoprávněným přístupem k síti, podstatně také přispívá k automatizaci vynucení zásad zabezpečení. Výsledkem je 94% snížení doby, kterou správci tráví zajišťováním souladu se zásadami zabezpečení.
Od vylepšené technologie pro správu identit a přístupu v produktu Windows Server 2008 si univerzita dále slibuje usnadnění spolupráce s jinými vysokými školami a roční průměrnou časovou úsporu 2,5 hodiny na zaměstnance. Pan Včeliš prohlásil: „Testování produktu Windows Server 2008 prokázalo usnadnění údržby IT prostředí. Ušetřili jsme personální i režijní náklady na běžné úkoly správy.“ Windows Server 2008 navíc obsahuje integrované funkce zabezpečení, například službu AD RMS (Active Directory® Rights Management Services), nástroj BitLocker™ Drive Encryption a zásady skupiny, které pomáhají předcházet ztrátě duševního vlastnictví a ztrátě dat zákazníka. Univerzita předpokládá, že to umožní roční snížení nákladů o více než 60 000 EUR (40 927 USD).
Podle předpokladů IT oddělení by po dokončení migrace mohl být potenciál pro snížení nákladů ještě vyšší.
„Očekáváme, že v systému Windows Server 2008 budou správci trávit podstatně méně času řešením ohrožení zabezpečení, a náklady na správu se proto sníží,“ míní pan Včeliš.
Omezení výpadků systému
Napadne-li síť virus, často ke své replikaci zneužije výpočetního výkonu důležitých síťových prostředků, například řadičů domény nebo e-mailových serverů. Zatímco se virus šíří, může podstatně snížit výkon těchto serverů a odstranění viru si může vyžádat delší neplánovaný výpadek. Protože technologie NAP chrání před viry, předchází také sníženému výkonu serverů a výpadkům, které nastávají v důsledku virové nákazy. Hodnocení testovacího serveru tento předpoklad potvrdilo. Pan Včeliš k tomu říká: „Náš server se systémem Windows Server 2008 vykazoval solidní pokrok a zlepšení stability a dostupnosti.“
Ačkoli dosud úplná migrace na Windows Server 2008 neproběhla, očekává univerzita, že výhody zaznamenané s testovacím systémem se budou realizovat i v plně migrované síti v roce 2008. Pan Včeliš dodává: „Po vyhodnocení testovacího systému Windows Server 2008 jsme optimističtější. Jako systémový inženýr můžu spát klidněji.“
