62
DATA CENTER UNICO PER LE AMMINISTRAZIONI DEL TRENTINO LINEE GUIDA BOZZA 30 dicembre 2011
DATA CENTER UNICO PER LE AMMINISTRAZIONI DEL TRENTINO
LINEE GUIDA
BOZZA
30 dicembre 2011
DATA CENTER UNICO LINEE GUIDA
pag. 0/2
INDICE
1 PREMESSA ....................................................................................................... 1
2 CONTESTO ....................................................................................................... 3
3 OBIETTIVI ......................................................................................................... 6
4 DIMENSIONI DEL PROBLEMA ..................................................................... 8
4.1 SCOMPOSIZIONE IN AMBITI DI INTERVENTO ........................................ 11
5 STATO DELL’ARTE ....................................................................................... 17
5.1 VISTA TECNOLOGICA ........................................................................................ 17
5.2 VISTA SERVIZI ....................................................................................................... 20
6 ESIGENZE E CRITICITÀ DA RISOLVERE NEL BREVE-MEDIO
PERIODO ................................................................................................................. 21
6.1 POSSIBILI SINERGIE .................................................................................................. 21
7 ATTIVITÀ NEL BREVE/MEDIO PERIODO ................................................. 24
ALLEGATO 1. DETTAGLI DATA CENTER ...................................................... 27
AZIENDA PROVINCIALE PER I SERVIZI SANITARI ............................................................. 27
COMUNE DI TRENTO ............................................................................................................. 37
INFORMATICA TRENTINA ..................................................................................................... 42
TRENTINO NETWORK ........................................................................................................... 50
ALLEGATO 2. VISTA COMPONENTI TECNOLOGICHE SINET ................... 56
DATA CENTER UNICO LINEE GUIDA
pag. 1/59
1 PREMESSA
Il Programma di Sviluppo Provinciale per la XIV Legislatura, nell’ambito delle strategie generali per lo sviluppo economico del Trentino, definisce, tra l’altro, linee prioritarie ed azioni strategiche per la diffusione dell’Information & Communication Technologies (ICT) nell’Asse 1-Capitale Umano, nell’Asse 2- Capitale produttivo e nell’Asse 5-Capitale ambientale e infrastrutturale. In particolare, tra le principali misure strategiche a sostegno dello sviluppo del Capitale umano, nel quadro degli interventi volti a favorire la Società dell’informazione, è indicata la realizzazione di un centro unico di gestione dei dati (data center) a servizio del sistema ICT, in modo da migliorare il sistema in rete delle Pubbliche Amministrazioni al servizio dei cittadini. Nel Documento di attuazione 2011-2013 del Programma di sviluppo provinciale approvato dalla Giunta provinciale con deliberazione n. 2473 di data 29 ottobre 2010, è parallelamente prevista l’attuazione di un sistema centralizzato di salvataggio dei dati e delle informazioni gestionali della Provincia presso il Data Center di Informatica Trentina, al fine di garantire una maggior sicurezza nel trattamento dei dati e anche una razionalizzazione della spesa, e definire le modalità di estensione di questi servizi alle sedi decentrate della Provincia raggiunte dalla connessione in fibra ottica.
Il presente documento prende le mosse dalle succitate linee strategiche e, coerentemente a quanto stabilito dalla deliberazione della Giunta provinciale n. 1458/2011, mira a definire le linee guida ai fini della strutturazione del Progetto “Datacenter unico per le Amministrazioni del Trentino”, attraverso la definizione di progetti di adeguamento ed evoluzione delle infrastrutture ICT attuali a supporto dell’erogazione del Sistema Informativo Elettronico del Trentino (SINET), per la messa in comune e la condivisione degli investimenti tecnologici e applicativi a favore altresì del riuso delle soluzioni e dei servizi già positivamente collaudati sul territorio provinciale.
A questo scopo si è reso necessario costituire un Gruppo di Lavoro, al quale partecipano i rappresentanti dell’Università degli Studi di Trento e dell’Assessorato alla Salute e Politiche Sociali e i principali soggetti facenti parte del Sistema Informativo Elettronico del Trentino (SINET): la Provincia autonoma di Trento, il Comune di Trento, l’Azienda Provinciale per i Servizi Sanitari, la Società Informatica Trentina e la Società Trentino Network, che ad oggi hanno già attivato ed in esercizio proprie strutture di Datacenter, con peculiarità proprie talvolta legate alla specificità dei servizi erogati.
Il documento è organizzato come segue: a valle della premessa, le prime quattro sezioni descrivono il contesto di riferimento, gli obiettivi di progetto, le dimensioni del problema, lo stato dell’arte infrastrutturale e tecnologico di ogni soggetto gestore di datacenter al fine di individuare, successivamente e secondo direzioni strategiche definite, le componenti tecnologiche da mettere a fattor comune, quelle da
DATA CENTER UNICO LINEE GUIDA
pag. 2/59
mantenere e quelle su cui investire, distinguendole da quelle da dismettere e migrare rispetto a quelle da aggiornare e presidiare in ottica di datacenter centralizzato multiutente.
Nelle successive due sezioni sono invece illustrate le esigenze e le criticità da risolvere nel breve periodo con una proposta di interventi da attuare nel corso del 2012.
Le sezioni sono corredate da allegati tecnici che dettagliano:
le componenti tecnologiche e le metodologie presenti nei singoli Data Center in
termini di: risorse professionali per il governo e l’erogazione dei servizi, logistica e
impianti, reti e sistemi, middleware (logica e dati), servizi, dati, sicurezza, funzioni
trasversali, linguaggi e ambienti, sistemi di monitoraggio e controllo con l’obiettivo
di individuare le componenti critiche, quelle obsolete e quelli abilitanti ad una
futura sinergia,
una vista d’insieme delle componenti tecnologiche del SINET,
gli interventi necessari nel breve-medio periodo per ogni singolo Data
Center.
DATA CENTER UNICO LINEE GUIDA
pag. 3/59
2 CONTESTO
La crescita progressiva dell’utilizzo delle tecnologie informatiche nell’ambito della
Pubblica Amministrazione ha permesso che la quasi totalità dei procedimenti
amministrativi basi almeno una fase del proprio iter su sistemi e applicazioni
informatiche.
Grazie alla sempre maggior disponibilità della rete a Banda Larga infatti, sia per i
cittadini che per le Amministrazioni Locali, si sono diffusi sistemi che permettono la
condivisione di dati on-line e l’accesso a servizi da remoto limitando la necessità di
spostamenti e garantendo la rapida disponibilità delle informazioni richieste.
Attraverso portali tematici il cittadino può oggi accedere a informazioni sanitarie,
turistiche, culturali, di formazione etc. in qualsiasi ora del giorno ben al di fuori dei
normali orari di sportello degli specifici uffici.
Per le amministrazioni pubbliche è ormai di estrema importanza la disponibilità di
servizi quali la posta elettronica, il mandato informatico (MIF), l’accesso ad
Internet e la disponibilità di applicazioni che per loro natura comportano la
dematerializzazione delle informazioni quali l’e-procurement (Mercurio) e il
protocollo informatico (P.I.Tre), oltre a quelle di dominio quali ad esempio il SIO
(Sistema Informativo Ospedaliero).
Ciascuna amministrazione locale ha pertanto adottato o ha la necessità di dotarsi di
soluzioni tecnologiche, di hardware e software, per garantire la qualità e l’efficienza
dei servizi erogati ai cittadini o da fruire nell’ambito della stessa amministrazione,
rendendo rilevante se non fondamentale il problema della continuità e della
affidabilità dei servizi erogati, molto spesso in orario di fruizione esteso (H24).
Ciò deve valere anche in casi disastrosi così come previsto dal d.lgs. n.235/2010
del Codice dell’Amministrazione Digitale (CAD) che impone a tutte le Pubbliche
Amministrazioni l’obbligo di assicurare la continuità dei propri servizi, quale
presupposto per garantire il corretto e regolare svolgimento della vita nel Paese,
predisponendo un adeguato piano di Disaster Recovery.
Gli investimenti necessari a mantenere aggiornati i sistemi e a far fronte alle sempre
maggiori richieste in termini di performance, funzionalità, capacità elaborative, sono
in continua crescita e questo si traduce nella necessità di individuare soluzioni che,
messe a fattor comune, permettano di ridurre i costi aumentando l’efficienza e
garantendo l’innovazione e la flessibilità di fruizione.
La disponibilità di una rete a banda larga che sul territorio provinciale si sta
estendendo capillarmente grazie alla infrastruttura in fibra ottica e alla copertura
WiFi, è sicuramente un fattore abilitante all’utilizzo delle nuove tecnologie e dei nuovi
modelli di business, quali il Cloud Computing.
Il “Cloud Computing” è un insieme di modelli di servizio che si sta diffondendo con
grande rapidità e ha aperto un potenziale nuovo mondo ricco di risposte alla
DATA CENTER UNICO LINEE GUIDA
pag. 4/59
domanda di servizi di qualità e disponibili in tempi brevi. Il Cloud Computing
rappresenta infatti un’importante risorsa per la nuova relazione che si crea tra dati,
informazioni, software, piattaforme e infrastrutture hardware: un insieme di
tecnologie informatiche che, sfruttando anche le tecniche di virtualizzazione,
permettono l'utilizzo flessibile di risorse hardware (storage, CPU) o software
distribuite in remoto. Queste risorse possono essere fornite su richiesta in base al
quantitativo effettivamente utilizzato (pay-per-use) ed in base alla modalità di
fruizione: Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) e
Infrastructure-as-a-Service (IaaS) garantendone la disponibilità in tempi brevi.
Con l’utilizzo delle nuove tecnologie la sicurezza, tradizionalmente concentrata sul
blocco degli accessi non autorizzati, si sta evolvendo in attività di “monitoraggio dei
comportamenti” con l’obiettivo di rilevare attività sospette nel flusso costante di
eventi discreti generati da molteplici sorgenti quali le reti, i sistemi e le applicazioni.
Monitorare ed analizzare in tempo reale le attività registrate nei diversi ambiti è di
fondamentale importanza per garantire la sicurezza, l’affidabilità, la continuità dei
servizi erogati e per intercettare e bloccare le attività sospette o non autorizzate.
Inoltre l’uso di nuove tecnologie IT può supportare iniziative volte alla tutela
dell’ambiente (“IT for Green”) permettendo da un lato la riduzione della necessità di
spostamenti fisici e quindi dell’inquinamento ad esempio con il telelavoro, dall’altro il
risparmio energetico con l’adozione di soluzioni tecnologiche performanti, modulari e
scalabili. In tal senso lo stesso dimensionamento dei centri di elaborazione dati, i
Data Center, che in passato comprendeva una fase di analisi della situazione
attuale, una stima delle probabili necessità a dieci–quindici anni e quindi il
successivo dimensionamento tenendo conto della crescita stimata (con il risultato di
avere enormi spazi iniziali inutilizzati, sistemi di continuità elettrica e
condizionamento sovradimensionati), viene ora effettuato utilizzando un approccio
incrementale secondo il quale si costruisce di volta in volta e solo se e quanto
necessario.
In tale contesto si inserisce il cambiamento in atto nella Società Informatica Trentina
che, al servizio delle PA trentine, sta evolvendo nell’ottica di passare da Data Center
del SIEP a Centro Servizi delle Pubblica Amministrazione Trentina fornendo servizi a
valore aggiunto caratterizzati da elevata disponibilità ed affidabilità. Con la Direttiva
strategica della Giunta Provinciale, la Provincia Autonoma di Trento ha definito le
linee guida e l’orientamento strategico a cui allineare il modello di business di
Informatica Trentina nell’ottica di evolvere verso un modello di erogazione dei
servizi ICT al servizio di tutte le realtà pubbliche presenti sul territorio trentino
(Centro servizi Territoriali – CST) divenendo quindi strumento di sistema per la
diffusione delle tecnologie ICT per il settore pubblico, per la promozione
dell’innovazione del sistema economico trentino e per la cooperazione con il sistema
DATA CENTER UNICO LINEE GUIDA
pag. 5/59
delle imprese locali.
Il cambiamento in corso rappresenta il momento per rivedere il modello dei servizi
e adeguare l’organizzazione ed i processi operativi. Il Centro Servizi Territoriali
infatti non è da intendersi unicamente come spazio fisico, architetture, tecnologie,
apparecchiature e software, ma anche come organizzazione composta da personale
con skill, competenze e responsabilità diverse e precisi processi di erogazione dei
servizi.
In questo contesto il Data Center unico si pone come opportunità per integrare i vari
soggetti secondo logiche di coordinamento degli interventi e delle iniziative, di
condivisione delle infrastrutture, di riuso delle applicazioni, di standardizzazione
delle tecnologie, di razionalizzazione dei processi e di uniformità dell’offerta dei
servizi.
Si può quindi affermare che il sistema “Data Center Territoriale” non è da
considerarsi solamente nella sua accezione fisica ma anche e soprattutto come
un insieme logico di funzionalità, processi, organizzazioni e servizi.
In quest’ottica è necessario identificare in modo formale la struttura amministrativa e
organizzativa preposta alla Governance del Data Center unico identificando precise
responsabilità e competenze in termini di regia, di coordinamento, di titolarità delle
scelte e di erogazione dei servizi. Il disegno e l’organizzazione di questa struttura
diventano un tema strategico rispetto alle:
funzioni di coordinamento dello sviluppo del sistema, quali le scelte strategiche,
la definizione di un piano generale degli interventi e degli investimenti, il
monitoraggio e la supervisione complessiva del sistema;
funzioni di coordinamento dell’erogazione del servizio e di gestione delle
emergenze quali il coordinamento delle unità operative, la definizione dei piani di
aggiornamento evolutivo del sistema, la realizzazione dei progetti innovativi,
l’assicurazione degli standard di sicurezza definiti, la cooperazione sistematica
con le Amministrazioni nell’ottica del miglioramento continuo dei servizi.
Alla struttura preposta alla Governance dovrebbero essere affidati i seguenti compiti:
l’emissione e l’aggiornamento di un Piano strategico, condiviso dalle
Amministrazioni, che descrive l’evoluzione delle macrofunzioni del Sistema e dei
Servizi, nonché l’evoluzione dell’assetto della struttura organizzativa preposta allo
sviluppo ed all’esercizio del Data Center territoriale e le informazioni necessarie
per la programmazione della relativa spesa,
l’assunzione, sulla base delle esigenze delle varie Amministrazioni, delle
decisioni strategiche in merito alle caratteristiche tecnico organizzative che il
sistema ed i servizi erogati dovranno rispecchiare a medio ed a lungo termine,
la definizione dei requisiti per la sicurezza e la continuità operativa,
la definizione e l’attivazione delle iniziative progettuali e/o gestionali.
DATA CENTER UNICO LINEE GUIDA
pag. 6/59
3 OBIETTIVI
Partendo dal presupposto che la creazione del Data Center Territoriale si pone come
obiettivo primario l’ottimizzazione dei costi complessivi a carico del budget della
Pubblica Amministrazione Locale, razionalizzando le risorse disponibili, è necessario
individuare una strategia di intervento in grado di garantire integrazione e
conseguentemente aggregazione delle risorse IT ad oggi disponibili.
Per assicurare efficienza alle attività di gestione e conduzione operativa delle
infrastrutture tecnologiche è possibile intervenire da un lato standardizzando i servizi
e le tecnologie a supporto, dall’altro condividendo le infrastrutture e i servizi.
Infatti, tanto più elevata è la standardizzazione dei servizi e delle componenti
tecnologiche che si riesce a realizzare, maggiore è il risparmio perseguibile in
termini di costi di gestione. Le risorse necessarie e le competenze che queste
risorse devono possedere possono essere posti in relazione diretta con la
numerosità e la complessità delle tipologie hardware impiegate, con la numerosità
delle diverse configurazioni (a parità di hardware) e con l’ampiezza delle piattaforme
software e middleware utilizzate.
Allo stesso modo l’uniformità di visione tecnica e tecnologica dei team di
supporto è un elemento essenziale per mantenere bassi i costi di gestione. A
parità di obiettivi perseguiti in termini di monitoraggio, di attività a supporto
dell’erogazione dei servizi e di strumenti tecnologici utilizzati per il provisioning delle
piattaforme e l’automazione dei processi di erogazione, due approcci non uniformi
potrebbero determinare il raddoppio degli sforzi che è necessario sostenere sia in
termini di skill, sia in termini di numerosità delle risorse.
L’identificazione di un insieme di modelli, costituiti da componenti standard riusabili
(pattern architetturali) e associati ad una serie di definizioni, di linee guida e di best
practice da mettere a disposizione dei singoli progetti per gli Enti pubblici trentini è
quindi il punto di partenza per garantire, all’interno del SINET, uno sviluppo coerente,
efficiente e soprattutto pronto a cogliere i vantaggi offerti dalle nuove tecnologie.
Mettere a fattor comune le problematiche e i costi connessi alla gestione delle
infrastrutture di Data Center, alle licenze di software e middleware in uso, alla
gestione operativa in termini di risorse umane coinvolte nel Data Center e di servizi
erogati (dalla posta elettronica, al back up), permette di razionalizzare gli
investimenti, a vantaggio della qualità, efficienza ed alta disponibilità.
Il Data Center deve poter inoltre far fronte ad eventi volontari o calamità naturali che
potrebbero danneggiarne il patrimonio informativo, provocando indisponibilità
prolungata dei sistemi; devono quindi essere soddisfatti i requisiti di sicurezza, di
qualità ed affidabilità necessari a garantire la continuità operativa e la qualità dei
servizi erogati.
A tal fine è importante che vengano intraprese iniziative volte a implementare
DATA CENTER UNICO LINEE GUIDA
pag. 7/59
soluzioni organizzative e tecnologiche mirate al mantenimento dei servizi ritenuti
essenziali a fronte di eventi disastrosi, con livelli di ripristino dell’operatività (RTO –
Recovery Time Objective e RPO - Recovery Point Objective) noti e definiti a priori.
La realizzazione di un piano di continuità operativa, come indicato nel Codice
dell’Amministrazione Digitale, prevede la stesura e il periodico aggiornamento dei
piani di Business Continuity, Disaster Recovery e Vulnerability Assesment. Tali piani
non riguardano solo la componente tecnologica ma anche gli aspetti di processo,
organizzativi, di formazione e di comunicazione. E’ evidente che l’esigenza di
garantire l’erogazione dei servizi primari richiede un importante sforzo organizzativo
ed economico sia per la sua attivazione che per il suo mantenimento nel tempo. La
standardizzazione dei servizi e delle componenti tecnologiche e il conseguente
efficientamento dei costi di gestione, sono presupposti per l’attivazione e la
condivisione di soluzioni di continuità operativa efficaci ed economicamente
sostenibili.
DATA CENTER UNICO LINEE GUIDA
pag. 8/59
4 DIMENSIONI DEL PROBLEMA
La Giunta Provinciale ha elaborato un progetto che prevede la realizzazione di un
polo tecnico-scientifico, il cosiddetto “ICT Village” ubicato presso l'area “ex-
Italcementi”. Il progetto di riqualificazione dell’area prevede l’integrazione di diverse
tipologie di intervento e la presenza di una pluralità di funzioni, tra cui un nuovo
compendio scolastico ed un Distretto dell’Information and Communication
Technology (ICT), all’interno del quale ubicare i centri di ricerca, lo sviluppo e l’alta
formazione, compresa la nuova sede di Informatica Trentina. In questo polo è
previsto anche un Data Center funzionale a soddisfare le esigenze delle Pubbliche
Amministrazioni del Trentino.
In attesa della disponibilità degli spazi presso l’ICT Village, un primo passo verso la
realizzazione di un Data Center unico è costituito dalla possibilità di introdurre ed
implementare in prima istanza un modello di Data Center multipolare,
interconnettendo i principali Data Center operativi nel territorio quali Informatica
Trentina, Trentino Network, Azienda Sanitaria, Comune di Trento, realizzando in tal
modo un Campus caratterizzato da:
condivisione delle scelte strategiche, ottimizzando costi e investimenti;
condivisione delle conoscenze specialistiche, tecniche e operative,
riducendo i costi di gestione;
rischio distribuito (ridotta vulnerabilità ai disastri in considerazione della
distanza fisica tra i vari centri di elaborazione dati);
possibilità di crescita incrementale dei servizi in erogazione, in funzione
della disponibilità di più risorse elaborative distribuite;
aumento della flessibilità, qualità, affidabilità dei servizi erogati attraverso un
sistema condiviso di monitoraggio e presidio (Control room);
standardizzazione dei servizi erogati a vantaggio della sicurezza (fisica e
logica) e della continuità operativa;
ottimizzazione e riduzione dei consumi energetici, in ottica Green IT
attraverso la condivisione delle risorse elaborative.
Questo modello è attuabile nel Trentino grazie alla disponibilità di connessioni ad
alta velocità in fibra, ridondate e scalabili, infrastruttura che permetterà di realizzare,
nel futuro, un Data Center unico, anche come infrastruttura fisica, a servizio del
SINET.
In questa logica di Data Center multipolare, salvaguardando gli investimenti già
effettuati in termini di centri di elaborazione dati finora allestiti autonomamente dalle
varie amministrazioni, è possibile da subito condividere e fare sinergia su nuovi
servizi mettendo in comune eventualmente spazi ed apparecchiature informatiche
DATA CENTER UNICO LINEE GUIDA
pag. 9/59
già disponibili. Inoltre la disponibilità di più sedi sulle quali distribuire le
apparecchiature fisiche, permetterebbe di conseguire evidenti benefici relativamente
allo sviluppo di iniziative progettuali volte a potenziare le soluzioni attualmente
disponibili per la Business Continuity (Cluster metropolitani, Electronic Vaulting)
migliorando il grado di sicurezza complessiva del sistema informativo per il territorio.
La mappatura di quanto già disponibile e delle esigenze future delle varie
Amministrazioni Locali rappresenta un punto di partenza necessario e fondamentale
al fine di mettere a fattor comune le risorse disponibili in termini di spazio,
apparecchiature informatiche installate e tecnologie conosciute, tenendo in
considerazione gli investimenti già effettuati per i centri di elaborazione dati finora
allestiti autonomamente dalle singole entità.
A questo proposito nei paragrafi successivi viene riportata, per ciascun soggetto
gestore di Data Center, una descrizione dell’infrastruttura tecnologica ed
organizzativa in essere con l’obiettivo di individuare fattori critici e fattori abilitanti ad
una futura sinergia.
E’ da evidenziare che, in caso di Data Center unico, anche come infrastruttura fisica,
acquista ulteriore e primaria importanza il tema del Disaster Recovery. Uno studio
mirato su tale problematica è urgente ed attivabile sin da subito essendo
indipendente e non pregiudicando le scelte future e gli investimenti in ambito
tecnologico e più genericamente nella sicurezza. E’ necessario individuare vincoli e
criticità di ciascuna realtà prima ancora che effettuare scelte tecnologiche o di
locazione fisica.
Affrontando il tema del Data Center unico dal punto di vista dei servizi erogati, si
possono identificare le seguenti principali famiglie:
Funzioni di Data Center: approvvigionamento, infrastruttura, sicurezza,
monitoraggio e controllo,
Servizi per le Amministrazioni: Intranet, Posta, Videoconferenza, Contabilità,
Cedolini paga, …
Servizi per il cittadino e le imprese: Portali informativi/di servizio, Certificazioni,
Trasporti, Sanità, Cultura, Catasto, …
DATA CENTER UNICO LINEE GUIDA
pag. 10/59
Data Center unico
All’interno di questi è importante identificare i servizi “core” cioè quelli ritenuti
essenziali e di vitale importanza per il “business” della specifica Amministrazione la
cui governance non può essere delegata oppure può esserlo solo a fronte di precise
regole e vincoli.
Il fatto di identificare i servizi condivisibili ed erogabili in maniera unitaria per le
Amministrazioni del SINET ed implementarli all’interno del Data Center unico ed
eventualmente attraverso servizi di terze parti, abilita la possibilità di rendere
interoperabili i servizi (es. anagrafica), il riutilizzo e l’ottimizzazione di alcune
componenti software, il consolidamento dell’infrastruttura hardware a supporto e
quindi il contenimento della spesa.
In ottica di cogliere i vantaggi che offrono la virtualizzazione ed in prospettiva i servizi
forniti nel cosiddetto “Cloud computing”, sono da valutare i servizi e le funzioni del
Data center che per motivi di opportunità, specificità, nel rispetto delle normative,
nonché vantaggi economici potrebbero essere erogati al di fuori del Data Center
della singola Pubblica Amministrazione e al di fuori del Data Center Unico (in ottica
public cloud).
Considerazioni simili si possono applicare anche ai dati che per loro natura possono
essere:
- critici e strategici e necessitano quindi di essere mantenuti nel tempo,
archiviati a garanzia della legittimità dei procedimenti amministrativi; tali dati,
per loro natura devono essere mantenuti all’interno dell’Amministrazione;
- altri dati che potrebbero richiedere elaborazioni e correlazione con altre
informazioni in tempo reale, con grande potenza di calcolo, ma che non
DATA CENTER UNICO LINEE GUIDA
pag. 11/59
necessitano di particolari politiche di archiviazione. Tali dati potrebbero essere
elaborati e gestiti al di fuori della Pubblica Amministrazione.
Nella prima categoria ricadono i dati strategici ed istituzionali la cui crescita è
costante nel tempo e quindi pianificabile. Rientrano in tale gruppo ad esempio i dati
anagrafici, i dati economici, i dati agganciati a persone fisico / giuridiche, a iter
procedurali, al territorio.
Nella seconda rientrano i dati prodotti dai cittadini, quali mail, foto etc, attraverso
applicazioni di collaborazione, piuttosto che direttamente da sensori di rilevazione
ambientali, videosorveglianza, etc. Questi dati sono destinati ad aumentare in modo
esponenziale producendo i così detti “Big Data“.
4.1 SCOMPOSIZIONE IN AMBITI DI INTERVENTO
Nella corretta erogazione dei servizi all’interno di un Data Center giocano ruolo
fondamentale le componenti infrastrutturali, la logistica e gli impianti, l’infrastruttura
di rete e i sistemi elaborativi interconnessi, il middleware, il sistema di archiviazione
dati, la Storage Area Network (SAN), il tutto interconnesso e protetto da una
specifica infrastruttura di sicurezza. Le funzioni trasversali utilizzate, quali linguaggi e
DATA CENTER UNICO LINEE GUIDA
pag. 12/59
ambienti, le risorse professionali a disposizione per il governo e l’erogazione dei
servizi e i sistemi di monitoraggio e controllo disponibili sono altre componenti,
ciascuna delle quali è caratterizzata da specifiche problematiche e prerogative; le
scelte architetturali di ciascun ambito devono essere funzionali a perseguire
l’obiettivo comune di razionalizzare gli investimenti per garantire servizi efficienti, ad
alta disponibilità.
E’ quindi importante evidenziare le peculiarità e i punti di attenzione da porre a
ciascun ambito.
Logistica e impianti: dimensionamento degli spazi e tipologia degli impianti di
alimentazione e condizionamento a disposizione dei centri di elaborazione e impianti
di sicurezza allestiti per la salvaguardia del patrimonio informativo.
La continua evoluzione dei sistemi e l’incremento annuo richiesto in termini di
consumi delle infrastrutture IT fa privilegiare soluzioni modulari, scalabili rispetto alle
tradizionali soluzioni caratterizzate dalla necessità di un sovradimensionamento
iniziale dei sistemi e delle infrastrutture, a discapito dell’efficienza energetica. La
disponibilità di spazi per una rapida crescita costituisce un importante elemento di
flessibilità anche se la disponibilità di sistemi sempre più compatti permette di
contenere la necessità di estendere gli spazi fisici ed eventualmente di ridurli.
Reti e sistemi: tecnologie in uso per realizzare la rete di Data Center, l’eventuale
rete SAN, e come le diverse piattaforme elaborative comunicano sia all’interno del
centro che verso l’esterno.
Particolare attenzione va rivolta ai sistemi di Backup, di Storage, componenti
abilitanti per una condivisione futura finalizzata all’incremento dell’affidabilità e della
continuità operativa dei servizi. L’utilizzo della tecnologia FCoE (Fibre Channel over
Ethernet), in grado di garantire nel prossimo futuro l’interoperabilità della rete di
trasmissione dati con quella relativa alla trasmissione Fiber Channel (usata per
implementazioni in Storage Area Network), permette la convergenza
dell’infrastruttura con evidenti risparmi in termini di cablaggi e risorse necessarie e
con un incremento delle performance dei sistemi.
La disponibilità di una adeguata banda di connessione alla rete Provinciale, ad
Internet e tra i vari Data Center costituisce prerequisito per la realizzazione di
possibili future sinergie. Particolare attenzione è da porre alle soluzioni tecnologiche
utilizzate all’interno della rete di Data Center privilegiando quelle aperte ad una
futura estensione del Data Center stesso su più sedi distaccate.
Middleware: strumenti quali DBMS, Web server, Application server, sistemi di
gestione dei contenuti ed altri strumenti.
DATA CENTER UNICO LINEE GUIDA
pag. 13/59
L’uniformità delle architetture di middleware utilizzate è fondamentale per garantire
sinergia, facilità di gestione, interoperabilità tra le varie realtà con l’obiettivo di
definire un’insieme di servizi trasversali, riusabili, condivisi ed indipendenti dalla
tecnologia di implementazione.
Servizi: servizi erogati attraverso una specifica infrastruttura di Data Center
individuando i fruitori e i livelli di criticità degli stessi.
I servizi possono essere differenziati dal punto di vista del target user che può
essere il cittadino, le amministrazioni, altri servizi di back end. In ottica Cloud i
modelli di servizio che governano l’utilizzo delle risorse sono: Servizi di infrastruttura
(IaaS - Infrastructure as a Service), servizi generati dalla condivisione di particolari
software (SaaA – Software as a Service), servizi basati sulla condivisione di
particolari piattaforme (Paas – Platform as a Service). Condividere tali modelli è
fondamentale al fine di assicurare un utilizzo razionale, efficiente delle risorse a
disposizione garantendo inoltre la rapida disponibilità dei mezzi necessarie nei
tempi e modi richiesti.
Particolare attenzione va posta ai requisiti di qualità; in particolare per quanto
riguarda il passaggio in produzione, vanno individuate specifiche procedure di test, di
validazione e di collaudo dei servizi a garanzia di alta affidabilità e disponibilità.
Catalogo servizi, Portafoglio servizi: Il catalogo servizi unisce tutti gli elementi
dell'infrastruttura IT (server, reti e storage) per favorire la rapida implementazione di
servizi di business end-to-end. Il catalogo di servizi consente di implementare
soluzioni standard in grado di semplificare la gestione; è funzionale alla
predisposizione di un portafoglio servizi che raccoglie e descrive i servizi erogati.
“Il Portafoglio dei Servizi descrive i servizi in termini del valore di business,
articolando le esigenze dei clienti e le corrispondenti risposte del fornitore. Per sua
natura la descrizione in termini di valore di business utilizza un linguaggio proprio del
marketing che permette di comparare la propria offerta con quella degli altri fornitori.
Il Portafoglio dei Servizi funge da strumento per le decisioni…” (da ITIL v3, “Service
Strategy”).
La messa a catalogo dei propri servizi è un primo importante passo per ottimizzare
l'erogazione degli stessi sia dal punto di vista economico che per quanto riguarda
l’efficienza e l’affidabilità. Evidenziare le criticità, le peculiarità di ciascuna servizio, i
diversi requisiti di “liveness” è fondamentale nell’ottica di assicurare la continuità
operativa della pubblica amministrazione. Aspetto fondamentale è rilevare la
tipologia di erogazione dei servizi; le problematiche e le opportunità variano infatti a
seconda che siano erogati nel proprio Data Center, su macchine fisiche o virtuali,
piuttosto che fruiti in modalità Cloud (private o public).
DATA CENTER UNICO LINEE GUIDA
pag. 14/59
Dati: i dati che una Pubblica Amministrazione deve trattare, elettronicamente,
possono essere di diverso tipo e una loro corretta classificazione permette di
garantire gli adeguati requisiti di sicurezza, affidabilità, integrità, riservatezza.
Suddividere i dati in dati importanti e “segreti”, dati importanti e “non segreti”, ogni
altro dato (rif. “Una strategia di Legislatura per l’innovazione sui servizi abilitata
dall’Information & Communication Technologies (ICT)”) permette di individuare
soluzioni tecnologiche differenti e ottimizzate per il loro trattamento. Mentre è
opportuno che i primi vengano mantenuti nel proprio storage, nel proprio Data
Center, i secondi possono essere esternalizzati fruendo si servizi/soluzioni Cloud
che possono garantire, a minor costo, la disponibilità delle informazioni in qualsiasi
momento, con qualsiasi strumento, uniformando ed efficientandone la consultazione
e l’elaborazione. La corretta classificazione dei dati è fondamentale per permetterne
la gestione, in particolare dal punto di vista del backup, conciliando le esigenze di
sicurezza, integrità dei dati e compliance rispettando criteri di gestibilità tutelando il
patrimonio informativo costituito dai dati personali. Diverse tipologie di dato sono
caratterizzate da diversi requisiti di backup in base alla criticità dello stesso: dati che
devono sempre essere salvati (dati medici/sanitari ad alta criticità), dati che devono
essere salvati ma di criticità media (dati amministrativi), dati di poca importanza (foto
personali o altro) per i quali non è necessario il salvataggio, dati che vanno salvati in
maniera sintetica (salvando solo l’ultimo aggiornamento o parte di quello).
Sicurezza: l’espansione e l’evoluzione dell’ICT, in particolare lo sviluppo delle
infrastrutture di interconnessione tra i sistemi informativi e l’apertura di questi ai
cittadini per l’erogazione di taluni servizi, rendono necessaria una rigorosa
attenzione agli aspetti legati alla sicurezza. Questa è da intendersi come “sistema”
che investe più ambiti costituiti da risorse umane, applicative, tecnologiche e
logistiche che sono funzionali all’erogazione di ciascun servizio. La sicurezza ICT ed
i servizi ad essa connessi riguardano ambiti differenti che possono essere suddivisi
in tre grandi famiglie a seconda che le funzioni e servizi siano legati alla sicurezza
organizzativa e operativa (filtraggio contenuti, controllo accessi, gestione
autorizzazioni etc), alla sicurezza dei dati, (copie di backup, ripristino dati) piuttosto
che alla continuità operativa e quindi alla disponibilità dei servizi e alla capacità del
loro ripristino (Business Continuity e Disaster Recovery).
Funzioni trasversali: la mappatura delle informazioni circa lo stato dei servizi erogati
è fondamentale al fine individuare le componenti che, messe a fattor comune,
possono garantire un’economia di scala, attraverso il loro riuso oltre che la loro
l’interoperabilità. L’interoperabilità, la multicanalità e il riuso sono caratteristiche
verso cui si stanno orientando le nuove tecnologie e metodologie quali XML, SOAP,
WSDL raccomandate da consorzi quali W3C ed ISO. Ciò garantisce la cooperazione
DATA CENTER UNICO LINEE GUIDA
pag. 15/59
e lo scambio di informazioni o di servizi tra i sistemi in maniera completa e priva di
errori. Allo stesso modo, l’uniformità di visione tecnica e tecnologica è un elemento
essenziale per mantenere bassi i costi di gestione. A parità di obiettivi perseguiti in
termini di monitoraggio, di attività a supporto dell’erogazione dei servizi e di strumenti
tecnologici utilizzati per il provisioning delle piattaforme e l’automazione dei processi
di erogazione, due approcci non uniformi determinano il raddoppio degli sforzi che è
necessario sostenere sia in termini di skill, sia in termini di numerosità delle risorse.
Risorse professionali: figure professionali coinvolte nella gestione e conduzione
operativa del Data Center con il dettaglio del ruolo, della specializzazione, delle
competenze tecniche e sistemistiche sviluppate nei diversi ambiti e del numero di
persone coinvolte.
Considerata la criticità dei servizi erogati e molto spesso fruiti in orario esteso (H24),
risulta necessario garantire un’azione di presidio al di fuori dell’orario di lavoro.
Conoscere se e in quale modalità viene garantita tale azione di presidio e di primo
intervento è abilitante alla condivisione, in taluni ambiti, di competenze e disponibilità
di personale tecnico.
Sistemi di monitoraggio e controllo: i sistemi di monitoraggio e di controllo sono
utilizzati per governare l’infrastruttura, le componenti tecnologiche e i servizi erogati.
Disporre di un sistema di monitoraggio in grado di rilevare tempestivamente
eventuali situazioni di criticità, di allarme, possibilmente prima ancora che i servizi
erogati subiscano interruzioni, è di fondamentale importanza. Di norma ogni
piattaforma tecnologica dispone di un proprio sistema di controllo implementato su
diverse soluzioni tecnologiche. La disponibilità di un sistema che integri in un’unica
piattaforma le funzionalità di monitoraggio dell’infrastruttura, della rete e dei sistemi,
è garanzia della capacità di individuare tempestivamente e proattivamente i guasti
che possono tradursi in interruzioni di servizio. Per essere efficace, un sistema di
monitoraggio deve essere costantemente consultato e presidiato da personale
tecnico in grado di rilevare sul nascere le anomalie.
Opportunità di innovazione: il contesto tecnologico è in continua e rapida evoluzione;
una delle tecnologie emergenti che potrebbe determinare un radicale cambiamento
dell’attuale modello di erogazione e fruizione dei servizi è il così detto “Cloud
Computing”. Con questo termine si intende un insieme di modelli di servizio che si
sta diffondendo con grande rapidità e ha aperto un potenziale nuovo mondo ricco di
risposte alla domanda di servizi di qualità e disponibili in tempi brevi. Il Cloud
Computing rappresenta infatti un’importante risorsa per la nuova relazione che si
crea tra dati, informazioni, software, piattaforme e infrastrutture hardware: un
insieme di tecnologie informatiche che, sfruttando anche le tecniche di
DATA CENTER UNICO LINEE GUIDA
pag. 16/59
virtualizzazione, permettono l'utilizzo di risorse hardware (storage, CPU) o software
distribuite in remoto. Queste risorse possono essere fornite su richiesta in base al
quantitativo effettivamente utilizzato (pay-per-use) ed in base alla modalità di
fruizione: Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) e
Infrastructure-as-a-Service (IaaS) garantendone la disponibilità in tempi brevi.
Il tema relativo alla compliance dell’offerta Cloud rispetto alle norme nazionali/UE è
in rapida evoluzione. Molti sono anche i rischi connessi all’adozione di soluzioni
cloud: anzitutto quelli legati alla sicurezza e alla privacy, poi quelli connessi talvolta
alla scarsa personalizzazione del servizio, al rapporto con i fornitori, ai tempi e ai
costi del cambiamento, alla continuità del servizio in caso di malfunzionamenti o
guasti. In tal senso l’adozione di “private cloud” o “hybrid cloud”, le cosiddette
“community cloud”, possono dare maggiori garanzie in termini di affidabilità, tutela
del patrimonio informativo costituito dai dati personali rispetto alle sempre più diffuse
public cloud. Quale sia la migliore soluzione da adottare è da porre in relazione al
grado di riservatezza ed importanza associata al dato; potrebbe essere necessario
infatti, invece di adottare una strategia unitaria per tutti i dati, dover distinguere,
anche per problemi di costi, tra diverse tipologie di dato e modalità di trattamento e
quindi definire diverse politiche di archiviazione e di backup. Uno dei possibili
impieghi di servizi disponibili in Cloud è proprio quello dell’analisi e della gestione di
grandi masse di dati che, anche con l’avvio di progetti innovativi, (rif. Documento
allegato a delibera n.1510/2011) sono destinati ad aumentare considerevolmente nel
corso degli anni e a produrre non solo dati amministrativi ma anche dati provenienti
da sistemi di monitoraggio (sonde e sensori di ambiente) e dati provenienti
dall’esterno, dal cittadino.
DATA CENTER UNICO LINEE GUIDA
pag. 17/59
5 STATO DELL’ARTE
Nel presente capitolo si riporta una vista di insieme, tecnologica e dei servizi
erogati, al fine di meglio definire il contesto e le dimensioni del problema
evidenziando sia i fattori comuni sia le specificità di questi soggetti facenti parte del
Sistema Informativo Elettronico del Trentino (SINET) e che alla data dispongono di
una propria struttura di Data Center.
Al fine di mappare le risorse disponibili e le esigenze future delle varie
Amministrazioni Locali, vengono riportate le descrizioni di dettaglio, suddivise per
Data Center, organizzate secondo lo schema in livelli descritto in precedenza con
l’obiettivo di individuare le componenti critiche, quelle obsolete e quelle abilitanti ad
una futura sinergia. Sono inoltre riportate, mediante rappresentazione grafica, le
viste delle tecnologie presenti alla data in ogni Data Center raggruppate in famiglie
di componenti.
Cercando di metter a fattor comune le diverse esigenze ed idee in merito ai servizi
erogati, è stato dato avvio ed è tuttora in corso, un’attività di sintesi finalizzata ad
identificare i servizi che per ciascuna Amministrazione sono ritenuti “core”, quelli che
possono essere erogati in modo “condiviso”, quelli “esternalizzabili” verso il Data
Center unico e/o verso un Data Center di terzi parti.
5.1 VISTA TECNOLOGICA
Al fine di avere una mappatura in ottica unitaria (SINET) che fornisca una
indicazione della varietà di situazioni attuali in allegato 1 sono state riportate le
descrizioni dei Data Center ed in allegato 2 è riportata una visione d’insieme delle
tecnologie quale risultato di una prima raccolta di informazioni riguardo le
componenti tecnologiche e le metodologie presenti nel panorama ICT.
Partendo da questo primo passo, nel quale sono state rilevate le informazioni
sull’attuale struttura tecnologica, si intende poi individuare, congiuntamente e
secondo direzioni strategiche definite, le componenti tecnologiche da mettere a fattor
comune, quelle da mantenere e quelle su cui investire, distinguendole da quelle da
dismettere e migrare rispetto a quelle da aggiornare e presidiare.
Come si evince dalle descrizioni riportate in allegato 1, ogni Data Center è
caratterizzato da particolari caratteristiche talvolta legate alla specificità dei servizi
erogati. In particolare, per quanto riguarda l’interconnessione e l’ubicazione delle
diverse sedi si evidenzia che:
DATA CENTER UNICO LINEE GUIDA
pag. 18/59
APSS dispone di tre Data Center operativi più una serie di locali tecnici, tipicamente
presso gli ospedali periferici che ospitano materiale ITC (generalmente
apparecchiature di rete, in qualche caso raro server in via di dismissione o server
gestiti da soggetti terzi).
I tre Data Center, interconnessi attraverso un anello in fibra ottica, sono ubicati
presso:
- il CSS (data center principale – Trento Sud)
- l’ospedale di Trento (data center secondario -Trento Centro)
- la sede di via Degasperi (data center di Disaster Recovery – Trento Sud)
Il Comune di Trento dispone di un unico Data Center, ubicato a Trento nord, nel
quale sono dislocati tutti i server. Non esistono server in altri edifici. La connessione
al data center avviene tramite un'unica LAN, ridondata, in fibra ottica. Alcune sedi
periferiche, dove non è conveniente la connettività in fibra e non si richiede elevata
banda, sono presenti connessioni wireless basate sulla rete Winet della PAT.
La Provincia autonoma di Trento , tramite la Società Informatica Trentina, dispone
di un unico Data Center ubicato a Trento Nord nel quale sono dislocati server e
apparecchiature di rete funzionali ad erogare servizi a varie PA locali. E’
interconnessa ad Internet e alla rete provinciale Telpat attraverso link ridondati.
Trentino Network non dispone alla data di un proprio Data Center ma è in fase di
realizzazione una sede dedicata in corrispondenza del Ponte San Giorgio ( Trento
Centro). I sistemi utilizzati da TNNET sono mantenuti in Housing presso i Data
Center specializzati di Informatica Trentina, Trento Nord, e di Alpikom a Trento Sud,
in via Fersina. Tali spazi sono condivisi con le apparecchiature di Backbone e gli
armadi per l'intestazione della fibra ottica che costituisce l'infrastruttura di rete
passiva di Trentino Network.
DATA CENTER UNICO LINEE GUIDA
pag. 19/59
DATA CENTER UNICO LINEE GUIDA
pag. 20/59
5.2 VISTA SERVIZI
Al fine di avere una mappatura dei servizi in ottica unitaria (SINET) che fornisca una
indicazione della varietà di situazioni, una della attività in corso è la suddivisione dei
servizi erogati dai vari Data Center in:
funzioni di Data Center
servizi per le Amministrazioni
servizi per il cittadino e le imprese
e, analogamente a quanto fatto per la componente tecnologica, il loro
raggruppamento al fine di individuare possibili sinergie e facilitare la cooperazione
applicativa e il riuso del software.
Ciascuno di questi servizi può inoltre essere considerato dalle singole
amministrazioni come:
- servizio core : è inteso come servizio ritenuto essenziale, di vitale importanza
per il “business” della specifica Amministrazione;
- servizio condivisibile: è inteso come servizio erogabile in maniera unitaria per
le Amministrazioni del SINET attraverso il Data Center unico ed
eventualmente attraverso servizi di terze parti;
- servizio esternalizzabile: in senso stretto è inteso come servizio erogabile al
di fuori del Data Center della singola Pubblica Amministrazione e al di fuori
del Data Center Unico (in ottica public cloud).
Poiché tali indicazioni richiedono specifici approfondimenti riguardo normative,
opportunità, specificità nonché vantaggi economici della scelta, si lascia ad un
successivo approfondimento la classificare dei servizi erogati secondo i tre ambiti
individuati.
Analoga attività verrà poi applicata anche ai dati per individuare quelli critici e
strategici per l’Amministrazione rispetto ad altri che possono essere prodotti dai
cittadini, quali mail, foto etc, attraverso applicazioni di collaborazione, piuttosto che
direttamente da sensori di rilevazione ambientali, videosorveglianza, etc.
DATA CENTER UNICO LINEE GUIDA
pag. 21/59
6 ESIGENZE E CRITICITÀ DA RISOLVERE NEL BREVE-MEDIO PERIODO
Al fine di avere degli elementi di riferimento per orientare da subito le risorse
disponibili e perseguire gli obiettivi definiti, per ogni soggetto partecipante al tavolo di
lavoro sono stati raccolti gli interventi previsti nel breve-medio periodo (2012-2013)
che rappresentano elementi di evoluzione/aggiornamento dei propri Data Center
rispetto allo stato attuale e che potrebbero portare ad una ottimizzazione degli
investimenti in termini di:
realizzazione di sinergie e quindi un risparmio per via delle economie di scala
riqualificazione della spesa
miglioramento di servizio sulla base di una strategia congiunta
nonché alla decisione per qualche soggetto di anticipare alcune decisioni.
6.1 POSSIBILI SINERGIE
L’integrazione delle risorse IT, intese come infrastruttura e servizi, consente, anche
se allocate su sedi fisiche distinte, di conseguire evidenti benefici relativamente allo
sviluppo di iniziative progettuali migliorando anche il grado di sicurezza complessiva
del sistema informativo per il territorio.
E’ da tenere presente infatti che il “Data Center Territoriale” non è da considerarsi
solamente nella sua accezione fisica ma anche e soprattutto come un insieme
logico di funzionalità, processi, organizzazioni e servizi.
Per rispondere alla richiesta di individuare ambiti di intervento che nel breve e medio
periodo potrebbero da subito determinare possibili sinergie tra i principali soggetti di
riferimento della PA locali coinvolte, sulla base degli elementi dettagliati in allegato 3
“Interventi previsti nel breve-medio periodo”, sono stati individuati alcuni interventi
raggruppati nelle tre azioni descritte nella seguente tabella:
DATA CENTER UNICO LINEE GUIDA
pag. 22/59
Azione Esempi di
intervento
Logica di
intervento Riflessi sulla spesa
a)
Garantire la maintenance
e supportare la crescita
infrastrutturale
(HW,SW,..) sulla base
dei trend storici
•Potenziamento HW
•Licenze
•Adeguamento
infrastruttura (spazio
disco, ..)
Acquisti congiunti
(logiche centrale
acquisti) per HW e
SW
Effetti: efficienza derivante da
economie di scala/potere
negoziale e minori risorse
dedicate a processi di
acquisto e gestione
contrattuale
Spesa: conto esercizio
b)
Generare nuovi servizi a
disposizione sia della
PAT sia degli altri Enti
PA, in ottica di
condivisione
•Estensione control
center
•Antivirus
Costruzione di
servizi standard
omogenei in logica
unitaria multiutente
Effetti: spese aggiuntive (nuovi
servizi) ottimizzate rispetto ad
azioni singole
Spesa: conto capitale/ conto
esercizio
c)
Business Continuity,
Disaster Recovery,
Aumentare la sicurezza
nei DC
•Servizi di DR
•Connessioni
ridondate
Attivazione servizio
di terzi per DR per
3 anni
Effetti: spese aggiuntive (nuovi
servizi) ottimizzate rispetto ad
azioni singole
Spesa: conto capitale/ conto
esercizio
In merito al punto a), interventi atti a garantire il mantenimento e la crescita
infrastrutturale delle componenti ICT dei soggetti coinvolti (spesa corrente nel
triennio), applicando delle sinergie tramite contrattazioni e acquisti unitari (logica
centrale acquisti), si stima di poter avere un risparmio sulla spesa corrente derivante
da economie di scala, efficientamento delle procedure di acquisto e di gestione dei
contratti e di incremento del potere contrattuale. Ciò consentirebbe sia di contenere il
fisiologico aumento annuale di questa componente di spesa dell’ICT, sia di mettere
in comune e condividere le scelte tecnologiche nonché il riuso di soluzioni e servizi,
presupposto necessario per un Data Center unitario.
Il gruppo di lavoro in questo ambito ha individuato alcune voci di spesa cui i soggetti
coinvolti dovranno far fronte nel breve periodo. I principali interventi individuati come
prioritari e in scadenza nel beve periodo sono: licenze Oracle, licenze Microsoft,
licenze VMware, contratti per la manutenzione di Hardware fuori garanzia, acquisto
di componenti per il potenziamento dell’infrastruttura (Storage, apparati di rete,
server blade, …). E’ in particolare da rilevare, per ciascun ambito, la tipologia e la
durata dei contratti in essere, al fine di capire su quali prodotti è possibile sin da
subito avviare negoziazioni congiunte.
DATA CENTER UNICO LINEE GUIDA
pag. 23/59
In merito al punto b), nuovi servizi o servizi esistenti ritenuti strategici e di
interesse dai vari soggetti coinvolti e che sono da mettere a fattor comune per
un’implementazione condivisa, sono state identificate alcune iniziative ritenute
prioritarie: servizio di posta con strumenti di collaborazione, infrastruttura Antivirus
centralizzata con funzionalità di antivirus Web e DLP, servizi di Hosting
(fisico/virtuale) e servizi File/AD/Printer server soprattutto per gli Enti locali.
Gli sviluppi futuri e le implementazioni di tali servizi, tenendo conto delle scelte
architetturali già effettuate, delle tecnologie emergenti e delle priorità, verranno
definiti in appositi gruppi di lavoro tecnici.
In particolare per quanto riguarda il tema della Posta elettronica, a fronte del forte
interesse comune, si ritiene di attivare da subito un task sul tema più ampio della
collaborazione unificata.
In merito al punto c), servizi finalizzati a garantire la continuità operativa delle PA
attraverso l’individuazione di comuni soluzioni di Business Continuity e Disaster
Recovery, tutti i soggetti coinvolti hanno manifestato l’importanza di avviare il prima
possibile un progetto condiviso per realizzare le funzionalità di continuità operativa e
di gestione di eventi disastrosi anche alla luce di quanto previsto dal Codice
dell’Amministrazione Digitale e in particolare dal d.lgs. n.235/2010 che impone a
tutte le Pubbliche Amministrazioni l’obbligo di assicurare la continuità dei propri
servizi, quale presupposto per garantire il corretto e regolare svolgimento della vita
nel Paese. Tale intervento è infatti avviabile da subito ed è indipendente e non
pregiudica le scelte future e gli investimenti in ambito tecnologico e più
genericamente nella sicurezza.
Si ritiene quindi, all’interno di un gruppo di lavoro congiunto, di avviare le attività che
riguardano la componente logico funzionale di rilevazione puntuale e la condivisione
delle necessità dei vari soggetti in ambito Disaster Recovery prima ancora di arrivare
ad una scelta per la locazione fisica o le scelte tecnologiche. Tutto ciò fermo
restando la necessità di provvedere a realizzare gli interventi che ciascuna
amministrazione, per propria competenza e limitatamente alle situazioni di criticità
individuate, ha già intrapreso o pianificato nell’immediato.
DATA CENTER UNICO LINEE GUIDA
pag. 24/59
7 ATTIVITÀ NEL BREVE/MEDIO PERIODO
La prima attività prevista è l’affidamento di un supporto tecnico/organizzativo per lo
studio per delineare i passi per arrivare a definire il “Data Center unico”.
Obiettivo è di produrre entro xxx un documento di impostazione strategica che, alla
luce della attuale configurazione e dei trend tecnologici, delinei i passi supportati dai
relativi studi di fattibilità per definire l’architettura tecnico-otrganizzativa per il Data
Center unico.
Con riferimento agli interventi per il breve-medio periodo individuati nel precedente
capitolo che potrebbero da subito determinare possibili sinergie tra i principali
soggetti di riferimento della PA locali coinvolte, sono stati individuati, sulla base delle
necessità/criticità e delle priorità espresse dai vari soggetti, i seguenti principali
ambiti che saranno attivati nel corso del 2012: acquisizione unitaria di licenze e
contratti di manutenzione, posta elettronica e strumenti di collaborazione, servizi di
provisioning, soluzioni di Business Continuity e Disaster Recovery, proposta di un
progetto di innovazione.
Per ognuno di questi interventi verranno:
definiti degli specifici gruppi di lavoro,
individuati i piani di lavoro ed effettuato uno studio di fattibilità ed una macro
stima economica per la realizzazione.
1. Acquisizione unitaria di licenze e contratti di manutenzione
Ogni soggetto ha la necessità di effettuare periodicamente interventi atti a garantire il
mantenimento e la crescita infrastrutturale delle componenti ICT. Si intende quindi,
in una logica simile alla centrale acquisti, applicare delle sinergie ed effettuare
contrattazioni e acquisti unitari per ottenere un risparmio sulla spesa corrente
derivante da economie di scala, efficientamento delle procedure di acquisto e di
gestione dei contratti e di incremento del potere contrattuale.
Sono pertanto in fase di raccolta le informazioni relative alla tipologia e alla durata
dei contratti in essere, al fine di capire su quali prodotti è possibile sin da subito
avviare negoziazioni congiunte.
Tale iniziativa sarà svolta in parallelo alle altre attività individuate ed in modo
disgiunto rispetto al progetto per la definizione del Data Center unico.
2. Posta elettronica e strumenti di collaborazione
Progetto per uniformare egli attuali diversi sistemi di posta elettronica presenti
presso i soggetti SINET con un unico servizio per la gestione centralizzata di
DATA CENTER UNICO LINEE GUIDA
pag. 25/59
messaggistica, calendari, contatti, note, riunioni, che risponda alla necessità degli
utenti di condividere informazioni, comunicare e lavorare insieme.
Il servizio dovrebbe essere integrato con un sistema per la gestione documentale
(Document Management System), di contenuti (Content Management System) e di
comunicazione unificata (Unified Communication).
Il servizio di Posta elettronica e strumenti di collaborazione avrà le seguenti
caratteristiche:
offerto come SaaS dal centro servizi del Data Center Unico
gestione ordinaria a carico dell’utente oppure, se richiesto, come servizio
erogato da Data Center (creazione, modifica e cancellazione account e liste di
distribuzione, policy, ecc.)
scalabile in base alle esigenze della singola Amministrazione
ad alta disponibilità (99.9%) in modo da garantire la continuità operativa
utilizzabile con le stesse modalità e funzionalità dalla rete provinciale Telpat e
da qualsiasi rete privata
utilizzabile con le stesse modalità e funzionalità, dalla maggiore varietà
possibile di dispositivi fissi e mobili (PC, Tablet, Smatphone)
utilizzabile con le stesse funzionalità anche in modalità clientless e in modo
nativo sui diversi dispositivi
possibilità di distribuire i dati su storage privati (nel Data Center unico) e
pubblici
integrabile con i servizi di gestione dell’identità degli utenti (IAM) delle singole
Amministrazioni
integrabile con servizi di gestione documentale, di gestione dei contenuti e di
comunicazione unificata
dimensioni dei repository scalabili in funzione delle specifiche esigenze delle
Amministrazioni.
I vari soggetti migreranno i loro account di posta elettronica attuale sul nuovo
servizio, specificando quali mailbox dovranno risiedere su storage privati (ospitati nel
Data Center PAT) e quali su storage pubblici.
Il gestore del servizio dovrà assicurare la trasparenza della fase di transizione e
supportare le richieste personalizzazione delle interfacce dei portali.
3. Servizi di provisioning
Assicurare garanzie di continuità e di sicurezza ai servizi IT dell’Amministrazione
pubblica offrendo un servizio di Provisioning per server e Desktop virtuali nelle tre
modalità:
IaaS – Infrastructure as a service
PaaS – Platform as a service
SaaS – Software as a service.
DATA CENTER UNICO LINEE GUIDA
pag. 26/59
In questo modo l’Amministrazione, a seconda della modalità scelta, può continuare a
erogare i propri servizi, essendo però liberata da tutte le problematiche di tipo
logistico (condizionamento, protezione antincendio, garanzia di continuità di
alimentazione elettrica, etc), di necessità di disporre di conoscenze tecnico-
specialistiche sempre aggiornate in campo IT e di quelle riguardanti il backup e
l’eventuale ripristino dei dati.
L’esigenza di attivare da subito questi servizi è stata posta in particolare per i comuni
e gli altri Enti locali del Trentino per i quali esistono reali situazioni di criticità e di
difficoltà nella gestione dei propri server locali.
4. Soluzioni di Business Continuity e Disaster Recovery
Progetto atto a garantire la continuità operativa delle PA attraverso l’individuazione di
comuni soluzioni di Business Continuity e Disaster Recovery” attraverso la
definizione di una strategia comune per affrontare/implementare i suddetti temi in
ottica di:
ottemperanza del d.lgs. n.235/2010 del Codice dell’Amministrazione Digitale
(CAD) entro marzo 2012,
effettiva necessità di garantire la disponibilità e l’affidabilità dei servizi individuati
come essenziali.
5. Proposta di un progetto di innovazione
La Pubblica Amministrazione del Trentino produce quotidianamente una enorme
quantità di dati pubblici che però, per motivi logistici non sono accessibili al Cittadino:
informazioni geografiche, meteorologiche, statistiche,….
In questo ambito si potrebbe identificare un progetto condiviso di innovazione per
rendere disponibili e accessibili in modo semplice e strutturato le informazioni
distribuite all’interno delle PA in modo disomogeneo.
DATA CENTER UNICO LINEE GUIDA
pag. 27/59
ALLEGATO 1. DETTAGLI DATA CENTER
AZIENDA PROVINCIALE PER I SERVIZI SANITARI
APSS dispone attualmente di 3 Data Center operativi più una serie di locali tecnici,
tipicamente presso gli ospedali periferici che ospitano materiale ITC (generalmente
sono apparecchiature di rete, in qualche caso raro anche vecchi server in via di
dismissione o server gestiti da soggetti terzi). I tre Data Center sono:
- presso il CSS (Data Center principale)
- presso l’ospedale di Trento (Data Center secondario)
- presso la sede di via Degasperi (Data Center di Disaster Recovery)
Logistica e impianti: i 3 Data Center sono ospitati in 3 computer Room che hanno le
seguenti superfici:
Data Center CSS circa 150 mq
Data Center Via Degasperi circa 60 mq
Data Center S. Chiara circa 45 mq
Presso i Data Center del CSS ci sono due UPS 1 da 60 kVA ed 1 da 90 kVA con un
modulo di backup da 45 kVA non in linea. Presso il Data Center di via Degasperi ci
sono 2 UPS da 40 kVA ognuno, mentre il Data Center del S. Chiara è alimentato
dagli UPS della palazzina Uffici dell’ospedale (utenza condivisa).
Tutti tre i Data Center dispongono di Gruppo elettrogeno. Gli impianti di
condizionamento sono stati recentemente rivisitati i tutti e tre i Data Center. Presso il
Data Center del CSS ci sono 3 condizionatori e 6 sistemi split. Presso il Data Center
di via Degasperi ci sono due condizionatori con 4 sistemi split, presso il Data Center
del S.Chiara c’è un condizionatore unico. Tutti e tre i Data Center dispongono di
sistema di telecontrollo sia per la continuità elettrica che per la temperatura. I Data
Center del CSS e di Via Degasperi sono protetti da controllo accessi. Il Data Center
del S.Chiara si trova in un’area normalmente chiusa a chiave e presidiata durante il
giorno da personale del Servizio Sistemi Informativi. I Data Center del CSS e di via
Degasperi sono video sorvegliati.
Reti e sistemi (livello fisico):
Presso i Data Center APSS sono presenti varie tipologie di componenti tecnologiche.
Le piattaforme hardware sono abbastanza diversificate poiché al di là della politica
standard promossa dal SSI entrano spesso nel Data Center tecnologie che
provengono da gare per l’acquisizione di specifiche componenti applicative che, in
particolar modo in ambito sanitario, prevedono vincoli specifici sia sull’ambiente
hardware che sul software di base (sistema operativo, database, middleware).
Anche in virtù di queste specificità nei Data Center APSS sono presenti server in
DATA CENTER UNICO LINEE GUIDA
pag. 28/59
tecnologia SUN/Oracle (piattaforma standard per APSS per i sistemi corporate)
server IBM e HP (piattaforma standard per i sistemi dipartimentali) sia in formato
blade che in formato stand-alone. Esistono inoltre server DELL acquisiti per
specifiche applicazioni sanitarie.
L’hardware di rete è composto quasi esclusivamente di switch Cisco di varie tipologie
(per il backbone -10Gbps, per il building – 1 Gbps e per la distribuzione di piano
10/100/100 Mbps.
In termini di sistemi operativi sono presenti in APSS e considerati strategici: Solaris
in varie versioni sulle piattaforme con le applicazioni più critiche, VmWare,
Windows2008, Linux Red Hat e CentOS in varie versioni. Sono presenti anche altri
sistemi operativi di importanza relativa come Windows 2000, Windows 2003, alcune
distribuzioni di Linux. I client operano attualmente su Windows XP e si sta valutando
l’ipotesi di migrazione a Windows7 a 64 bit. APSS prevede di realizzare in tempi
rapidi una flotta di thin client in parziale sostituzione dei PC.
La virtualizzazione dei server è un processo già operativo in APSS da alcuni anni.
Viene applicato in linea di massima per i sistemi dipartimentali e per componenti di
sistemi critici. La tecnologia utilizzata è VmWare. La stessa tecnologia è utilizzata
anche per la virtualizzazione dei client.
La virtualizzazione si avvale normalmente di piattaforme blade e di storage su SAN.
E’ allo studio l’uso della virtualizzazione con la tecnologia Linux RedHat.
I collegamenti dei CED alla rete provinciale sono rispettivamente di
1 Gbps – CED CSS
2 Gbps – CED S. Chiara.
Il CED di Disaster Recovery è collegato con circa 40 fibre ottiche al CED CSS.
middleware (logica e dati): In termini di RDMS sono presenti e considerati strategici
Oracle11g, MS-SQL Server 2008 e MySQL. Sono presenti e rimarranno presenti
ancora per vario tempo versioni meno recenti di Oracle e MS-SQL, Informix e
Postgres.
La tecnologia di posta elettronica è basata su MS Exchange 2003 (da sostituire a
breve con MS Exchange 2010) con client Outlook e OWA. Per l’archiviazione dei dati
non strutturati, comprese le caselle di posta è in uso la tecnologia Symantec
Enterprise Vault. Sono presenti varie tecnologie di portali, sia basate su prodotti di
mercato sia sviluppate in house o da fornitori di software applicativo. Anche per esse
spesso la scelta è stata obbligata da vincoli di contesto non derogabili.
Come software di interoperabilità è stato adottato MIRTH, prodotto open source che
è anche un progetto specifico per la sanità in cui la comunità è impegnata per
sviluppare una serie di add-on dedicati alla interazione fra sistemi sanitari secondo
standard internazionali. In termini di content management sono presenti alcuni
prodotti quali Adobe Life Cycle che APSS ritiene strategico per la sua evoluzione e
DATA CENTER UNICO LINEE GUIDA
pag. 29/59
Alfresco o Documentum correlati ad altre piattaforme applicative. Sul versante della
Business Intelligence e del Reporting sono attualmente presenti le tecnologie di
QlikView, di SAP/ BO BI, e parzialmente di SAS e Cogito.
Come application server sono presenti in APSS e ritenuti strategiche le tecnologie
Apache HHTP Server, Tomcat 7 e JBOSS 5.x. Sono presenti anche altre tecnologie
derivanti da sviluppi del passato quali MS IIS 6 e 7, JBOSS 3.x e 4.x, Tomact 6,
Oracle Weblogic. Sono inoltre utilizzati Tools quali Eclipse SOA e TIGRIS Argo UML.
I lingiaggi di programmazione più importanti sono Java 1.6, Eclipse INDIGO 3.7 e
PHP. Sono utilizzati anche MS Visual Studio .NET, Visual Basic, ASP.NET,
Netbeans e la B-shell.
servizi: I servizi erogati sono prevalentemente servizi applicativi (sanitari ed
amministrativi). Le applicazioni attualmente gestite sono oltre 200. Vengono erogati
anche servizi di infrastruttura quali posta elettronica, File Server, Printer Server,
Archiviazione, Videocomunicazione su DeskTop, Videostreaming,
Videoregistrazione di eventi, accesso ad Internet, accesso alla rete aziendale via
VPN, Teletimbratura. Sono presenti anche servizi di Hosting.
Nei Data Center APSS ci sono sistemi la cui gestione è affidata a soggetti terzi
(outsourcers) come ad esempio il RIS e il PACS. Nei Data Center APSS ci sono
sistemi la cui manutenzione hardware e/o software è affidata a soggetti esterni. Nei
Data Center APSS ci sono sistemi che appartengono a soggetti terzi. Vari servizi
erogati in APSS sono gestiti da soggetti terzi che dispongono dei relativi sistemi
presso le proprie sedi in modalità SaaS e PaaS come ad esempio il CUP.
Al Data Center accedono circa 9.500 utenti di cui circa 7.500 sono dipendenti APSS,
circa 1.500 sono utenti convenzionati come ad esempio MMG, ASPS, enti
accreditati, associazioni di volontariato, dipendenti PAT, dipendenti comunali, ecc. A
breve dovrebbero aggiungersi le farmacie e le comunità terapeutiche e le
associazioni collegate alle attività socio-sanitarie. Gli ultimi 500 sono fornitori di
servizi (di manutenzione, di consulenza, di supporto tecnico).
dati: I dati gestiti da APSS sono tipicamente dati sanitari e dati amministrativi. In
particolare i dati sanitari gestiti sono i dati propri e quelli di altri enti convenzionati
quali ad esempio il San Camillo, l’Eremo, Villa Bianca, ecc. Alcuni dati sono messi a
disposizione di vari soggetti esterni quali, ASPS, MMG, comunità terapeutiche,
soggetti accreditati, associazioni di volontariato, ecc. A breve, con il progetto TREC,
verranno gestiti anche dati dei singoli cittadini.
I dati possono essere classificati come dati di produzione, dati di test e dati di
sviluppo. I dati di produzione sono circa 30 TB (di cui una decina non backuppati) ed
incrementano di circa il 20% anno. I dati di test variano nel tempo ma sono stimabili
DATA CENTER UNICO LINEE GUIDA
pag. 30/59
in circa altri 20 TB. I dati di sviluppo sono stimabili in qualche TB (anch’essi variabili
nel tempo.
In linea ci sono circa 20 TB di dati di produzione a cui si aggiungono circa altri 10 TB
di dati su sistemi di test o di sviluppo. Il sistema di archiviazione dispone di circa 80
TB in linea ed è occupato circa al 25%. I dati archiviati non in linea sono circa 0,5
PB.
La tabella seguente riporta lo stato dei server nei tre Data Center.
Report sulle caratteristiche generali del parco server APSS
Numero di server presenti nel DB (attivi e dismessi): 375
Numero di server installati ed attivi: 294
Numero di server FISICI installati ed attivi: 139
Numero di server VIRTUALI installati ed attivi: 150
Numero di server ALIAS installati ed attivi: 5
Numero di server installati in attesa di upgrade: 1
Numero di server gestiti da SSI: 265
Numero di server NON gestiti da SSI: 29
Numero di server Domain Controller: 6
Numero di DB Server: 47
Numero di Application Server: 142
Numero di Web Server: 17
Numero di Omni Server: 31
Numero di Print Server: 1
Numero di File Server: 9
Numero di server di Produzione: 217
Numero di server di Servizio: 18
Numero di server di Test: 32
Numero di server nel dominio APSS: 240
Numero di server in altri domini: 54
Numero di server in manutenzione Gold (interventi in 4 ore): 18
Numero di server in manutenzione Silver (interventi in 8 ore): 11
Numero di server in manutenzione su chiamata: 27
Gli storage presenti alla data in APSS sono 37 per un totale di:
Numero di Storage SUN: 26 40 TB
Numero di Storage IBM: 7 20 TB
Numero di Storage NETAPP: 2 20 TB
Numero di Storage EMC: 2 180 TB
Sullo storage APSS prevede una evoluzione per isole. La forte evoluzione
tecnologica degli ultimi 5 anni su questo settore, ancora in atto, e quindi la
DATA CENTER UNICO LINEE GUIDA
pag. 31/59
turbolenza del mercato, non suggeriscono grandi investimenti concentrati ma un
progressivo adeguamento dei sistemi alle necessità contingenti anche utilizzando
fornitori diversi per avvantaggiarsi dalla concorrenza che è molto forte. Sui sistemi
disco la tecnologia FC ampiamente adottata in APSS sarà progressivamente
sostituita dalla tecnologia SAS per i sistemi con maggiori requisiti di performance o
da tecnologia SSD.
Attualmente sono presenti in APSS 3 SAN in tecnologia FC: una dedicata ai sistemi
di classe enterprise, una dedicata ai sistemi dipartimentali ed una dedicata alla TAN.
I vari storage si appoggiano ad una o più delle SAN a seconda delle necessità di
storage necessarie alle applicazioni.
Il nuovo sistema di backup per APSS è in fase di acquisizione.
Il backup viene fatto centralmente presso il Data Center CSS.
Il backup aziendale segue oggi una politica basata sulla selezione dei dati che
necessitano di backup, effettuazione di backup full per tutti i dati su base
settimanale, effettuazione di backup differenziale quotidiana. Rispetto a questa
regola generale ci sono deroghe connesse alla criticità di alcuni sistemi per cui il
backup viene svolto in modalità full tutti i giorni ed in alcuni casi anche più volte al
giorno.
Il backup viene svolto parzialmente sui disco (per alcuni sistemi critici) e
completamente su nastro, per tutti i sistemi locali e remoti. Di ogni backup su nastro
viene eseguita una doppia copia (trasportata quotidianamente in altra sede
aziendale in armadio ignifugo).
I nastri di backup vengono mantenuti per anno, per mese (ultimi 12 mesi), per
settimana (le ultime 4 settimane). Le ultime 4 settimane vengono mantenute in linea.
Il sistema di backup si integra con il sistema di archiviazione dei dati non strutturati.
Alcuni dati particolari (alcuni video, immagini in movimento e filmati) non vengono
inseriti nel processo di backup ma ne vengono semplicemente salvate delle copie.
Vengono fatti periodicamente test di restore (parziali).
sicurezza: Le tecnologie di sicurezza maggiormente presenti in APSS sono Cisco
ASA, Cisco ACS Radius, Cisco WCS, Cisco LWAP Controller, McAfee EWSA, MS
Forefront Threat Management Gateway, IMPRIVATA OneSign, Symantec EV,
Hobbit. Inoltre sono presenti Cisco PIX e Symantec End Point Protection e
Symantec Antivirus.
Per la gestione degli incidenti sono in funzione varie procedure standardizzate ed un
sistema informatizzato di supporto sviluppato internamente (CRASH). Data anche la
criticità estrema di alcuni sistemi aziendali (tipicamente i sistemi sanitari ed in
particolari quelli rivolti all’emergenza) è stata predisposta da vari anni una struttura
organizzativa denominata SICO (Sicurezza Informatica e Continuità Operativa) che
DATA CENTER UNICO LINEE GUIDA
pag. 32/59
ha prodotto nel tempo documentazione, procedure, tools e processi strutturati per
gestire le situazioni di emergenza.
Ogni anno, almeno una volta all’anno, vengono simulati incidenti gravi su sistemi
critici e vengono analizzati i processi di intervento definiti, la correttezza e
l’adeguatezza della documentazione di supporto, la fruibilità delle procedure, l’abilità
e le conoscenze dei professionisti che intervengono, i tempi di risposta e di
soluzione. L’esecuzione di test richiede una preparazione molto onerosa e
movimenta decine di professionisti. I risultati servono come input per la continua
calibrazione e ottimizzazione del processo.
Per ovviare a situazioni di disastro sono state predisposte anche procedure
alternative ad uso dei dipartimenti più “sensibili” che si avvalgono o meno di
tecnologie ICT alternative.
Ogni anno viene redatto il Business Continuity Plan, il Disaster Recovery Plan e il
Vulnerability Assesment Plan prendendo in considerazione gli aspetti di processo, gli
aspetti organizzativi, gli aspetti di formazione, gli aspetti di comunicazione e gli
aspetti tecnologici. Il SICO sviluppa con continuità proposte di miglioramento.
I sistemi aziendali sono classificati sotto il profilo della necessità di protezione
secondo le indicazioni del CNIPA in sistemi critici, sistemi vitali, sistemi importanti e
altri sistemi. Per i sistemi critici e per i sistemi vitali sono previste specifiche misure di
sicurezza secondo un piano che viene rivisto ogni anno (politiche di sicurezza). Ogni
anno viene formalizzata l’aderenza della situazione reale alle politiche di sicurezza in
vigore.
Sono inoltre predisposti degli SLA (benchmark di servizio) per i servizi critici e per
alcuni servizi vitali e viene misurato periodicamente lo scostamento dal benchmark
stabilito.
Come accennato sono state predisposte con la collaborazione dei tecnici SSI delle
procedure alternative ad uso degli utenti maggiormente dipendenti dalle tecnologie
ICT a garanzia della business continuity in caso di indisponibilità dei supporti
informatici.
In termini di Disaster Recovery è in funzione un Data Center di disaster recovery che
ospita dei sistemi in grado di subentrare a quelli di produzione in tempi certi in caso
di disastro sulla computer room principale. Non tutti i sistemi sono in grado di
ripartire in caso di disastro ma tutti quelli critici e parte di quelli vitali. Il DR Plan
fornisce indicazioni di tipo operativo e gestionale. Il recupero dei dati è comunque
garantito dai processo di backup/restore.
funzioni trasversali: Linguaggi e ambienti,....:
risorse professionali: per il governo e l’erogazione dei servizi: Presso i Data Center
opera il seguente personale:
DATA CENTER UNICO LINEE GUIDA
pag. 33/59
- 1 dirigente
- 3 sistemisti in ambito Solaris / Linux
- 2 sistemisti in ambito VMWARE Windows
- 3 DB administrator
- 1 sistemista dedicato ai backup
- 2 sistemisti di rete
- 8 referenti applicativi
- 2 tecnici di turno (TdT) a rotazione fra tutto il personale SSI con funzioni di raccolta
delle segnalazioni ed effettuazione del primo intervento o escalation.
Le competenze e le conoscenze tecniche non sono rigidamente determinate. La
classificazione indicata sopra è pertanto solo indicativa. Ogni sistemista conosce vari
ambienti e conosce anche certi contesti applicativi. Parallelamente ogni referente
applicativo conosce anche varie piattaforme di sistema operativo e di software di
base.
La gestione dei DC è effettuata con attività di presidio durante il normale orario
lavorativo e tramite una funzione di pronta disponibilità (reperibilità in orario notturno
e prefestivo e festivo). In orario lavorativo è attivo un servizio di TdT (tecnico di turno)
svolto da due persone a rotazione fra tutti i tecnici del SSI con vari compiti di
monitoraggio dei sistemi e sorveglianza delle segnalazioni degli utenti. Il servizio di
TdT è svolto su base settimanale.
Il servizio di reperibilità è svolto anch’esso su base settimanale ed è presidiato da 4
colonne. Ogni giorno pertanto sono 4 i tecnici SSI in regime di reperibilità. La
reperibilità è svolta da 21 tecnici a rotazione secondo un calendario predisposto ad
inizio anno.
sistemi di monitoraggio e controllo: le tecnologie di management dei sistemi utilizzate
sono in parte sviluppate internamente come TINCA (per il controllo dei servizi di
assitenza tecnica) e Castoro (per il controllo delle misure di sicurezza e gli
adempimenti privacy) ed in parte sono prodotti di mercato come Hobbit per il
controllo dei sistemi e dei livelli di servizio e Cisco LMS per il controllo della rete.
Il sistema di monitoraggio aziendale è costituito dalla piattaforma Xymon (ex Hobbit)
che è un software open source che è stato personalizzato internamente. Per la rete
si utilizzano anche prodotti specifici come Cisco LMS ed MRTG. Per la Wan sono
utilizzati anche tools forniti da Trentino Network e da Informatica Trentina.
In generale i sistemi di system management e di network management non sono
molto utilizzati poiché le operazioni di troubleshouting e di problem solving in caso di
problemi sono normalmente più efficaci utilizzando le componenti di controllo e
supervisione delle piattaforme utilizzate e dei prodotti specifici.
DATA CENTER UNICO LINEE GUIDA
pag. 34/59
Nel passato sono stati adottati molti sistemi di monitoraggio e controllo ma con scarsi
risultati e nel tempo molti di questi prodotti sono stati abbandonati in quanto poco
utili.
DATA CENTER UNICO LINEE GUIDA
pag. 35/59
DATA CENTER UNICO LINEE GUIDA
pag. 36/59
DATA CENTER UNICO LINEE GUIDA
pag. 37/59
COMUNE DI TRENTO
Il Comune di Trento dispone di un unico data center nel quale sono dislocati tutti i
server. Non esistono server in altri edifici. La connessione dai PC, dislocati nei vari
edifici, al data center avviene tramite un'unica LAN in fibra ottica. Solo per alcune
sedi periferiche, dove non è conveniente la connettività in fibra e non si richiede
elevata banda, sono presenti connessioni wireless basate sulla rete Winet della
PAT.
Logistica e impianti: il datacenter è costituito da un unico locale di circa 75 mq. Tale
locale è alimentato da due circuiti elettrici indipendenti a 380 V, provenienti da 2 UPS
di circa 50 KVA l'uno. Tali UPS possono essere alimentati direttamente dalla cabina
elettrica oppure, in caso di indisponibilità di tale alimentazione, da gruppo
elettrogeno.
Il condizionamento viene effettuato mediante due condizionatori indipendenti da
circa 35 KW l'uno; è pure presente un sistema di freecooling che entra in funzione
quando la differenza fra temperatura esterna e temperatura interna è di almeno 7
gradi.
Il datacenter è videosorvegliato dalla centrale operativa della Polizia Locale. Inoltre è
presente un sistema di allarme che impedisce l'accesso al datacenter da parte di
persone non autorizzate.
All'inteno del datacenter è presente un sistema di rilevazione fumi. In caso di
incendio, nel locale viene iniettato gas inergen ad alta pressione in grado di bloccarlo
sul nascere. Inoltre è presente un rilevatore di temperatura che invia degli SMS di
allarme quando questa supera un valore soglia. E' infine presente la possibilità di
informare i responsabili di eventuali assenze di alimentazione elettrica.
Reti e sistemi (livello fisico): il datacenter è collegato alla rete comunale, costituita
da una grande MAN in fibra ottica che unisce tutti gli edifici dove sono dislocati i vari
Servizi dell'Amministrazione. Solo alcune sedi periferiche (alcune Circoscrizioni,
alcuni Poli Sociali, tutti gli asili nido e le scuole materne) sono collegate in rete
wireless (rete winet della PAT), non essendo economicamente conveniente
l'installazione di fibra.
La rete è costituita da switch HP Procurve 2650 POE di livello 2, dislocati
generalmente, in ogni edificio, uno per piano e da switch HP Procurve 5400 di
livello 3, uno per edificio, collegato in fibra 1 Gbps ad altri due switch, dello stesso
tipo, di altri edifici della rete comunale, a formare un unico anello in grado di
garantire la necessaria ridondanza.
I sistemi operativi presenti sono 3:
Sistema Operativo OS400 versione 6 per le applicazioni legacy ed il database DB2
DATA CENTER UNICO LINEE GUIDA
pag. 38/59
Windows 2003 server per i file server, per i domain controller ed server applicativi
sui quali girano applicazioni generalmente acquistate da terze parti che richiedano
espressamente tale sistema operativo
Linux Debian Squeeze per i server delle applicazioni, sviluppate internamente od
acquistate da fornitori esterni, per i server dedicati alla sicurezza (firewall, proxy,
reverse proxy etc) ed alla fonia (asterisk).
E' in corso un processo di virtualizzazione dei server che prevede a regime l'uso di
soli server fisici Linux Debian (ad eccezione del sistema IBM che rimane per
esigenza di mantenimento delle applicazioni legacy) e la gestione interattiva delle
macchine virtuali mediante software Proxmox.
Middleware (logica e dati): in termini di RDMS sono presenti IBM DB2, considerato
il DBMS di riferimento per l'Amministrazione, e, solo per particolari applicazioni (es.
cartografia, rete civica etc) il DBMS open Postgres.
Per la posta elettronica viene utilizzato un server Lotus Domino ma è in fase di
valutazione la conservazione o meno di tale ambiente.
Come software di interoperabilità si usa esclusivamente la tecnologia web-services.
Come application server si utilizzano server linux, Tomcat 6, Apache, Struts ed il
linguaggio java. Il tool standard di sviluppo è IBM Eclipse. La connessione ai dati del
DB2 avviene tramite JDBC; non si usano Javabeans.
Servizi: i servizi erogati sono i classici servizi comunali. Le procedure più ricche e
complesse sono anagrafe, contabilità, personale e stipendi, tributi, licenze edilizie,
cartografia ma esistono centinaia di altre applicazioni verticali per coprire esigenze
specifiche dei vari Servizi comunali.
Ai server accedono circa 1300 utenti comunali ed inoltre, via Telpat od Internet, i
cittadini ed Enti esterni quali ad esempio le Comunità di Valle ed altri Comuni.
Dati: i dati gestiti dal Comune di Trento sono i tipici dati strutturati
dell'Amministrazione comunale (es. anagrafe) ai quali vanno aggiunti i documenti
prodotti dai vari dipendenti che vengono generalmente memorizzati in cartelle di file
server windows, sulle quali operano backup giornalieri. I dati complessivi, strutturati
e non, ammontano a circa 3 TB, completamente backuppati sia su disco, per
permettere un veloce ripristino, sia su nastro per garantire la storicità dei dati degli
ultimi 20 giorni lavorativi e di tutti i fine mese.
Mentre i dati strutturali risiedono, nella maggior parte, su dischi del sistema AS400
(sono solo esclusi i dati presenti su DBMS Postgres installati su server linux), quelli
non struitturati sono dislocati su un pool di dischi gestiti con tecnologia SAN.
Il backup viene effettuato quotidianamente disco -> disco e disco -> nastro. Il primo
serve per velocizzare eventuali operazioni di recupero. Il secondo, oltre alla storicità
DATA CENTER UNICO LINEE GUIDA
pag. 39/59
dei dati, garantisce il disaster recovery, che attalmente viene realizzato ponendo
ogni giorno i nastri di backup in cassaforte ignifuga.
I nastri di backup sono mantenuto per l'intero mese. Inoltre vengono mantenuti a
tempo indeterminato i backup di fine mese.
Periodicamente vengono fatti test di restore.
Sicurezza: le tecnologie di sicurezza è interamente open. Il proxy è costituito da una
piattaforma linux sul quale è installato squid; il firewall da un cluster linux con
piattaforma shorewall. Il server per le VPN si basa sul prodotto openvpn. Esistono
inoltre sistemi complementari quali ad esempio il motore di content filtering
DansGuardian ed il motore antivirus, per i download web, basato su clamav.
L'antivirus per i client è MacAfee distribuito con server centralizzato EPO. La rete
wireless presente in Biblioteca ed in Consiglio Comunale è del tutto separata da
quella comunale; su quest'ultima possono accedere solo i dipendenti dal loro posto
di lavoro. Fanno eccezione alcuni telelavoratori e le aziende fornitrici autorizzate che
possono accedere ai server via openvpn.
Sistemi di monitoraggio e controllo: il monitoraggio dei server avviene con protocollo
SNMP usando la piattaforma HP SIM. Non esiste un vero e proprio monitoraggio
della rete, che comunque è ridondata, e dei client.
DATA CENTER UNICO LINEE GUIDA
pag. 40/59
DATA CENTER UNICO LINEE GUIDA
pag. 41/59
DATA CENTER UNICO LINEE GUIDA
pag. 42/59
INFORMATICA TRENTINA
Informatica Trentina dispone di un unico Data Center ubicato nel palazzo che ospita
gli uffici della Società, in via Gilli 2, a Trento.
Logistica e impianti: il Data Center è dislocato al piano terra della sede di via Gilli 2,
ed è costituito da tre sale ed una nastroteca occupando una superficie complessiva
di circa 340,00 m2.
All’interno dell’edificio, oltre alle sale ospitanti le apparecchiature
di rete e server, fanno parte integrante del Data Center gli spazi necessari per
ospitare i locali tecnologici (2 cabine elettriche e relative area quadri elettici, locali
sicurezza) pari ad una superficie di circa 90,00 m2. All’esterno dell’edificio sono
identificate delle aree necessarie ad alloggiare 2 gruppi elettrogeni e le unità
condensanti dell’impianto di condizionamento. Tale area è pari a circa 130,00 m2. Al
fine di conservare le copie di back-up dei dati che quotidianamente sono prodotti dai
sistemi di archiviazione, Informatica Trentina dispone di una cassaforte di sicurezza,
ubicata in locale sicuro fuori dalla sede di via Gilli.
Le sale di Data Center sono contigue, compartimentate in modo tale che, in caso di
incendio, a salvaguardia del contenimento dei danni, vengono isolati i vari ambienti
attraverso la chiusura automatica delle porte antincendio. Analogamente i gruppi di
condizionamento sono stati suddivisi per “sala”.
L’infrastruttura tecnologica a supporto della logistica di Data Center è in costante
aggiornamento e adeguamento. Con una potenza erogata pari a circa 300 KW e un
consumo annuo di energia elettrica che nel 2010 è stato poco superiore a circa 2,5
MW, il Data Center è caratterizzato da un incremento di fabbisogno energetico che
annualmente cresce di circa il 14%. E’ in corso l’aggiornamento dei sistemi di
continuità elettrica ( UPS) e gruppi elettrogeni; sono state a tal fine individuate
soluzioni modulari per garantire che permettano di soddisfare le esigenze, in termini
di espansioni necessarie, per i prossimo 3-5 anni. L’impianto di condizionamento
composto da 8 condizionatori ad aria da interno a sviluppo verticale con mandata
d’aria verso il basso per pavimenti sopraelevati e unità condensanti da esterno
sfrutta le potenzialità del sistema di free-cooling ad hoc installato al fine di immettere
aria fredda dall’esterno durante la stagione autunnale ed invernale permettendo così
un risparmio energetico.
Reti e sistemi (livello fisico): dal punto di vista dell’infrastruttura di rete, il Data Center
è logicamente e fisicamente suddiviso in due aree: intranet ed Internet, funzionali
queste ad erogare servizi caratterizzati da ambiti, criticità, requisiti di sicurezza ben
distinti. Un sistema di firewall garantisce l’interconnessione delle due reti; la
connessione alla rete Telpat e ad Internet è garantita da Trentino network che,
attraverso il nodo di rete ubicato nel Data Center, fornisce una connettività a 10 Gb
DATA CENTER UNICO LINEE GUIDA
pag. 43/59
in fibra ottica nel primo caso e a 450 Mb, sempre in fibra ottica, nel secondo caso.
Tutte le connessioni di rete così come le apparecchiature di attestazione delle
stesse, sono ridondate e in configurazione active-backup a garanzia dell’alta
affidabilità e continuità operativa dei servizi erogati. La rete di Data Center si basa su
tecnologia Brocade. E’ attiva una rete SAN, sempre ridondata, cui sono collegati i
principali sistemi elaborativi di Data Center. Tale rete si basa su tecnologia Cisco,
MDS. Sono di recente attivazione nuove infrastrutture che, basate su tecnologie
blade HP, utilizzano interconnessioni a 10 Gb basate su tecnologia FCoE in grado di
garantire nel prossimo futuro l’interoperabilità della rete di trasmissione dati,
ethernet, con quella relativa alla trasmissione Fiber Channel permettendo in tal modo
la convergenza dell’infrastruttura con evidenti risparmi in termini di cablaggi e risorse
necessarie con un incremento delle stesse performance dei sistemi.
Le piattaforme hardware presenti nel DC sono riconducibili alle seguenti: Sistemi
HP-UX (PA-RISC e Itanium) , Sistemi AIX, Sistemi INTEL, Mainframe corrispondenti
ai sistemi operativi HP-UX, AIX, SUN, RedHat Linux, Windows, zOS, nonché sistemi
virtuali prevalentemente in ambiente VMware. Sono attivi circa 720 server, di cui 194
virtuali suddivisi in sviluppo, test, produzione a cui vanno aggiunti circa 74 server di
clienti ospitati con contratto di housing.
Complessivamente sono in linea circa 63 Tbyte di dati.
Middleware (logica e dati): Informatica Trentina ha stabilito alcuni orientamenti
tecnologici al fine di indirizzare le scelte che devono essere effettuate per l’esercizio
di nuovi servizi. In dettaglio, rivestono particolare importanza il sistema enterprise HP
Superdome quale host delle applicazioni mission critical, l’RDBMS Oracle quale
database di categoria enterprise, l’infrastruttura di system e asset management
realizzata rispettivamente attraverso IBM Tivoli Configuration Manager e BMC
Remedy, l’infrastruttura di monitoraggio NetEye, BEA WebLogic quale application
server J2EE, Tibco quale middleware di integrazione, BEA AquaLogic User
Interaction per la realizzazione di portali enterprise, IBM Tivoli Storage Manager per
le attività di backup/restore.
Servizi: inizialmente nato e funzionale ad erogare servizi per la Provincia Autonoma
di Trento, agli uffici, agli sportelli attraverso specifiche applicazioni, quali posta
elettronica, protocollo informatico, mandato informatico, etc., il Data Center eroga
oggi servizi ai cittadini attraverso portali tematici che consentono l’accesso ad
informazioni turistiche, culturali, di formazione etc. disponibili in modalità H24. I
servizi di Housing e Hosting, sia sotto forma di server fisici che virtuali, permettono la
messa a disposizione dell’infrastruttura tecnologica caratterizzata da una potenza
computazionale scalabile, in modalità IaaS. Attraverso interfacce WEB sono erogati
una serie di servizi applicativi a disposizione delle PA locali in modalità “Software as
DATA CENTER UNICO LINEE GUIDA
pag. 44/59
a Service”, quali ad esempio il protocollo informatico. Sempre più infine sono
ospitate soluzioni applicative di terze parti particolari piattaforme on modalità
“Platform as a Service” garantendo economicità dei servizi.
Con l’obiettivo di ottimizzare l’erogazione dei servizi garantendone efficienza ed
affidabilità, è in corso la costituzione di un catalogo servizi con l’obiettivo di terminare
l’attività di predisposizione entro anno e intraprendere una nuova modalità di
erogazione dei servizi, in ottica ITLI, a partire da gennaio 2012.
Dati: attualmente Informatica Trentina è dotata di un’infrastruttura Storage Area
Network suddivisa in due FABRIC composta dalle seguenti apparecchiature: uno
Storage System di Enterprise class, XP1024 (in corso di sostituzione) con 13 TB di
spazio, uno Storage System di Enterprise class, XP10000 con 20 TB e uno Storage
System di Midrange class, N6040 con 15TB disponibili con connessione Fiber
Channel C e altri 15TB disponibili in modalità SATA. La rete SAN è costituita da due
Switch Director CISCO MDS9506 e quattro Switch CISCO MDS9124e.
Complessivamente sono in linea circa 63 Tbyte di dati.
E’ inoltre disponibile un’infrastruttura di Tape Area Network, che permette ai sistemi
contenenti una grossa mole di dati e dotati di una HBA FC dedicata, di effettuare il
salvataggio degli stessi, mediante il prodotto di backup IBM Tivoli Storage Manager,
facendoli transitare su cavi in fibra ottica e sgravando così del carico la rete LAN.
La disponibilità di diverse tecnologie permette una differenziazione del modo di
trattare gli stessi in funzione criticità, riservatezza, affidabilità richiesta con una
ottimizzazione dei costi. La sempre più crescente mole di informazioni da salvare ha
richiesto l’attivazione di un sistema di salvataggio e memorizzazione dei dati da
affiancare alla libreria IBM 3494 che produce cassette di back-up in formato tape
3592. Sono disponibili due librerie virtuali (VTL), con annessa funzione di deduplica,
che vanno ad affiancare la Tape Library IBM 3494. La Virtual Tape Library
permetterà a breve di semplificare il salvataggio in sicurezza delle copie di back-up
essendo in programma di ubicare una delle due unità presso il Data Center di APSS
ubicato in via Degasperi.
Sicurezza: a garanzia della sicurezza del patrimonio informativo custodito nel Data
Center è stata attivata una specifica infrastruttura di sicurezza che da un lato
garantisce la riservatezza, l’inviolabilità delle informazione ivi custodite, dall’altro
protegge le postazioni di lavoro dislocate negli uffici delle Pubbliche Amministrazioni
connesse, attraverso funzionalità avanzate e centralizzate quali l’URL-Filtering,
l’antivirus, l’antispamm. Dal punto di vista informatico, gli accessi alle risorse di Data
Center sono protette da due sistemi di Firewall, Intranet ed Internet a ciascuno dei
quali a sua volta fa capo uno specifico sistema di Intrusion Prevention. Per
permettere connessioni sicure, affidabili e riservate ai sistemi è attivo un sistema di
DATA CENTER UNICO LINEE GUIDA
pag. 45/59
gestione accessi in modalità VPN-SSL. Le sale di che ospitano il Data Center sono
dotate di sistema di riconoscimento accessi, sistemi di antintrusione, antincendio e,
al di fuori degli orari di lavoro, è presente una guardia armata in corrispondenza
dell’entrata dello stabile. E’ in corso un progetto finalizzato ad incrementare i livelli di
sicurezza fisica del centro con interventi specifici sia nell’ambito delle facility e
sicurezza perimetrale (quali ad esempio il potenziamento sistema di
videosorveglianza) che con interventi di tipo organizzativo e operativo. A fine di
garantire adeguati e coerenti livelli di sicurezza è stato recentemente attivato un
nuovo Sistema di Gestione della Sicurezza Informatica (SGSI) ed è obiettivo
aziendale conseguire la certificazione ISO 27001 entro dicembre 2011. A garanzia di
maggior affidabilità ed efficienza, in ottica di Disaster Recovery, sarà a breve attivato
un sistema di electronic vaulting, in sinergia con APSS che ospiterà, nel proprio Data
Center, le apparecchiature necessarie allo scopo. Attualmente, con cadenza
giornaliera, una copia delle informazioni di back-up prodotte dai sistemi attivi in IT,
sottoforma di cassette Tape 3592, viene portata in una sede remota e custodita in
apposita cassaforte.
Al fine di elaborare un piano di Disaster Recovery, per la Provincia Autonoma di
Trento oltre che per i propri servizi, è stata effettuata una Business Impact Analisys,
individuando i servizi critici cui focalizzare l’attenzione nel piano di Continuità
Operativa. Sono inoltre in fase di valutazione specifiche soluzioni di Disaster
Recovery in regime di outsourcing piuttosto che accordi di servizio e mutuo soccorso
per garantire la continuità operativa di taluni servizi ( quali ad esempio l’applicazione
Openkat per la quale è aperto un tavolo di lavoro con la Provincia di Bolzano)
Funzioni trasversali: con l’obiettivo di definire una “Reference Enterprise
Architecture” per il SINET, cioè identificare un insieme di modelli, costituiti da
componenti standard riusabili è stato istituito uno specifico gruppo di lavoro che sta
lavorando al fine di garantire uno sviluppo organico e attento alle problematiche di
interoperabilità delle varie componenti software in via di sviluppo.
Risorse professionali: all’interno della Direzione Centro Servizi Territoriali, la
“struttura Data Center” si occupa della gestione e conduzione operativa del centro
elaborazione dati. La struttura, cui fa capo un dirigente coadiuvato da personale in
staff, è a sua volta suddivisa in quattro aree con diverse e specifiche funzionalità:
Logistica, Sistemi elaborativi, Middleware e Portali, Processi Operativi di Controllo.
La prima, con l’obiettivo di garantire le condizioni logistiche di funzionamento attuale
e prospettico del Data Center occupa 4 persone. La seconda a garanzia del
funzionamento delle risorse hardware, software di base del Data Center occupa 8
persone con specifiche competenze in ambito Intel, HP-UX, SUN. 12 sono le risorse
di middleware e in ambito Portale necessarie al funzionamento del Data Center
DATA CENTER UNICO LINEE GUIDA
pag. 46/59
specializzate ciascuna in ambiti specifici. Ulteriori 9 persone sono dedicate ai servizi
tecnici ed applicativi nonché l’esecuzione delle procedure di funzionamento
operativo del Data Center (e.g., gestione delle autorizzazioni di accesso logico,
gestione schedulazioni, ecc.) e il monitoraggio del corretto funzionamento
dell’infrastruttura tecnologica del Data Center e l’attivazione di interventi di
risoluzione di eventuali problematiche di funzionamento riscontrate.
Sono quindi complessivamente impiegate all’interno della struttura 35 persone talune
impegnate in turni di reperibilità per garantire la continuità dei servizi critici al di fuori
del normale orario lavorativo, suddivisi in logistica, reti e sistemi.
Sistemi di monitoraggio e controllo: il monitoraggio dei servizi di Data Center è
garantito da una specifica piattaforma, Neteye, che, di recente attivazione, sta
unificando sotto la medesima interfaccia le piattaforme di monitoraggio per sistemi e
rete da tempo già operative , al fine di offrire una visione orientata al “servizio” del
monitoraggio. Sarà a breve operativo uno specifico servizio di Control Room che,
attraverso il sistema di monitoraggio, permetterà di individuare tempestivamente e
proattivamente eventuali guasti che potrebbero tradursi in interruzioni di servizio.
DATA CENTER UNICO LINEE GUIDA
pag. 47/59
DATA CENTER UNICO LINEE GUIDA
pag. 48/59
DATA CENTER UNICO LINEE GUIDA
pag. 49/59
DATA CENTER UNICO LINEE GUIDA
pag. 50/59
TRENTINO NETWORK
I sistemi sono mantenuti in Housing presso i datacenter specializzati di Informatica
Trentina e Alpikom, spazi condivisi con le apparecchiature di Backbone e gli armadi
per l'intestazione della fibra ottica che costituisce l'infrastruttura di rete passiva di
Trentino Network.
Logistica e impianti: I server che costituiscono i sistemi informativi di Trentino
Network sono dislocati in due locali:
Via Gilli, 2, Data Center di Informatica Trentina
Via Fersina, 23, Data Center di Alpikom
Nella prima parte del 2012 i sistemi saranno ri-distribuiti o re-ingegnerizzati tenendo
conto del nuovo datacenter ricavato nella palazzina di Ponte San Giorgio e nuova
sede di Trentino Network.
Gli attuali Data Center sono costruiti per garantire l'erogazione della potenza
necessaria alle apparecchiature server cosi come la continuità elettrica grazie
all'adozione di linee elettriche ridondate, UPS e gruppo elettrogeno.
Anche il condizionamento è monitorato e garantito da sistemi dedicati e dimensionati
secondo le necessità e l'utilizzo in ambienti Data Center.
Reti e sistemi : Trentino Network ha scelto l’hardware per l'erogazione dei servizi IT
interni o esterni sulla base di caratteristiche di sicurezza, continuità e performance.
Pertanto sono in produzione differenti brand/marche che hanno concorso in
specifiche gare per la fornitura delle apparecchiature in essere. Nel dettaglio sono
utilizzati server rack Dell, HP, Fujitsu Siemens.
Per quanto riguarda i sistemi operativi, Trentino Network, ha adottato con successo
prodotti open source a partire dalla virtualizzazione. La principale distribuzione
utilizzata è Debian alla base anche dei sistemi di virtualizzazione Proxmox che
uniscono la OS-virtualization OpenVZ alla paravirtualizzazione KVM. I sistemi host di
virtualizzazione ed i sistemi SAN sono ottimizzati per supportare la virtualizzazione
OpenVZ che garantisce le massime performance con OS Linux.
La SAN è costituita da due storage iSCSI con 11 TB ciascuno. L'architettura è stata
pensata per sfruttare a pieno le peculiarità dei sistemi di storage iSCSI e aumentare
le performance di accesso e la sicurezza dei dati. Il dimensionamento e la scelta dei
modelli è stata basata sulle esigenze di medio termine di Trentino Network e la
disponibilità di banda tra i datancenter. Attualmente sono in uso storage basati su
software Open-E ed a breve saranno attivate le feature di sincronizzazione diretta tra
gli storage attraverso la rete geografica a garanzia della continuità dei servizi e della
sicurezza dei dati. Nel 2012 sarà possibile installare i sistemi per il bilanciamento
applicativo.
DATA CENTER UNICO LINEE GUIDA
pag. 51/59
Le connettività di rete locale e rete geografica non saranno menzionate in quanto gli
elevati standard, gli stessi adottati anche per la rete di backbone che sostiene l'intero
traffico delle PA trentine, non costituiscono criticità per servizi implementati nel SI.
I sistemi operativi sulle postazioni di lavoro sono principalmente Windows XP e
Windows 7.
Middleware: Trentino Network nella ricerca di uniformità nelle tecnologie adottate
per il proprio Sistema Informativo, che si sono tradotte in semplicità di gestione e
contenimento dei costi, ha fatto precise scelte relativamente al middleware di
riferimento per le applicazioni solitamente sviluppate ad-hoc da aziende sul territorio.
In particolare come application server è stato principalmente utilizzato Zope
affiancato da Apache. Come sistemi di CMS è stato utilizzato Plone (basato su
Zope). L'ambiente di sviluppo principale è pertanto Python. Come RDBMS
principalmente PostgreSQL. Per la parte cartografica sono stati utilizzati i framework
Mapfish, Mapbuilder e le librerie Openlayer e come client di editing delle mappe
georeferenziate QGIS. Il sistema di posta elettronica interna ad oggi si basa su
postfix, dovecot, squirrelmail.
Servizi: Nei datacenter sono ospitati i sistemi per la Conduzione tecnica quali GIS,
DB Fibre e Network Management (a supporto dell'attività tecnica delle aree preposte
alla supervisione/progettazione della rete attiva e della infrastruttura passiva), per la
Conduzione servizi (supportano l'attività di attivazione e gestione dei servizi), per la
Conduzione amministrativa quali ERP, Magazzino, Gestione Risorse Umane
(supportano l'attività della direzione amministrativa e gestione personale), per la
Conduzione organizzativa (supportano trasversalmente tutte le attività aziendali al
fine di organizzare le attività ed informazioni), sistemi di Infrastruttura (servizi
trasversali e comuni alle applicazioni, necessari al buon funzionamento tecnico del
sistema informativo) e i sistemi che implementano i Servizi ai clienti (sviluppati e
personalizzati per le P.A. Trentine, legati al buon funzionamento della rete e per
questo erogati da Trentino Network).
Sicurezza: In entrambi i Data Center sono presenti sistemi di sicurezza e procedure
per la regolamentazione dell'accesso fisico ai locali. Nel dettaglio:
In Informatica Trentina gli accessi sono regolati da badge RFID con codice
personale e la gestione dei permessi di accesso è regolata secondo
procedure standard e in qualità.
In Alpikom l'accesso alla sala in gestione a Trentino Network è regolata da
personale dedicato che verifica la richiesta e chiude l'intervento in uscita dai
locali.
DATA CENTER UNICO LINEE GUIDA
pag. 52/59
I locali Data Center non sono dedicati ma condivisi con i sistemi di rete/server di
Informatica Trentina in Via Gilli e con le apparecchiature di backbone della rete
TELPAT in Alpikom.
La sicurezza di accesso alle risorse/sistemi aziendali è regolata tramite database
centralizzato di utenti e permessi (OpenLDAP).
L'autenticazione centralizzata permette di semplificare la gestione degli accessi e
migliorare la sicurezza con uno unico sistema di gestione delle policy e dei permessi.
Altri sistemi di sicurezza sono costituiti dai Firewall (Endian) in high availability, dai
sistemi di logging centralizzato degli eventi (rsyslog), dai sistemi di radius e proxy
radius (freeradius) per le autenticazioni interne ed esterne.
Il sistema di virtualizzazione insieme al backup (Bacula) garantisce la continuità
operativa ed il ripristino in tempi minimi dei sistemi corrotti o di problematiche
hardware sugli host di virtualizzazione che condividono le capacità di calcolo tra un
certo numero di macchine virtuali.
Risorse professionali: La gestione operativa per manutenzione/evoluzione del Data
Center è in carico alla struttura Sistemi Informativi e Sicurezza composta da 3 (tre)
persone. Complessivamente l'effort annuale per la gestione operativa stessa è
stimabile 1,5 anni/uomo. Tali risorse garantiscono coerenza nelle scelte
tecnico/organizzative e permettono una uniforme gestione operativa dei sistemi.
Una sola persona è dedicata a tempo pieno nella manutenzione dei sistemi e nel
supporto applicativo lato server agli utenti dei servizi interni. Tale persona è
coadiuvata delle altre che hanno specifiche e approfondite conoscenze su tematiche
differenti ma devono per lo più svolgere attività di gestione dei progetti per la corretta
evoluzione, introduzione e divulgazione di nuovi sistemi/caratteristiche a supporto
dell'attività aziendale.
Non è stato stipulato alcun contratto di reperibilità per la supervisione dei sistemi
informativi. E' in fase di valutazione l'introduzione di qualche forma di reperibilità.
Sistemi di monitoraggio e controllo: Il monitoraggio di hardware e software, delle
virtual machine e dei servizi è affidato al software opensource OpenNMS che
sostituirà l'attuale NeaNMS entro la fine del 2011. Lo stesso software è riferimento
per la conduzione tecnica e il buon funzionamento della rete sia per quanto riguarda
la continuità funzionale degli apparati sia, a partire dal 2012, per il monitoraggio
ambientale di shelter e nodi in calcestruzzo nei quali sarà intestata la nuova rete in
fibra ottica del Trentino. E' in corso la predisposizione di un servizio multitenant di
videosorveglianza, al quale alcune PA hanno già mostrato interesse, e un sistema di
controllo accessi centralizzato da affiancare al monitoraggio ambientale.
DATA CENTER UNICO LINEE GUIDA
pag. 53/59
Opportunità di innovazione: la scelta di realizzare sistemi di tipo business basandosi
principalmente sull’ open source per le componenti server e centralizzate è almeno
da un certo punto di vista classificabile come innovativa. Ulteriori opportunità
possono nascere dalla possibilità di configurare/evolvere i prodotti open source
verso necessità specifiche, cosa non sempre possibile con prodotti proprietari. Come
opportunità innovativa può anche essere visto il fatto che tali evoluzioni possono
essere condotte in partnership con aziende del territorio competenti e motivate.
DATA CENTER UNICO LINEE GUIDA
pag. 54/59
DATA CENTER UNICO LINEE GUIDA
pag. 55/59
DATA CENTER UNICO LINEE GUIDA
pag. 56/59
ALLEGATO 2. VISTA COMPONENTI TECNOLOGICHE SINET
DATA CENTER UNICO LINEE GUIDA
pag. 57/59
DATA CENTER UNICO LINEE GUIDA
pag. 58/59
DATA CENTER UNICO LINEE GUIDA
pag. 59/59
DATA CENTER UNICO LINEE GUIDA
pag. 60/59
![TECNAIR book tecnico Data center [IT]](https://static.documenti.site/doc/80x56/568bf39e1a28ab89339afcc3/tecnair-book-tecnico-data-center-it.jpg)
