Gestire al meglio un'infrastruttura IT

I dipartimenti IT spendono fino all'80% del tempo nelle attività di gestione dell'esistente. Con le soluzioni System Center di Microsoft è possibile automatizzare i processi di gestione aumentando la produttività dell'azienda
I dipartimenti IT spendono fino all'80% del tempo nelle attività di gestione dell'esistente. Con le soluzioni System Center di Microsoft è possibile automatizzare i processi di gestione aumentando la produttività dell'azienda

La maggior parte delle risorse di un reparto IT sono quasi sempre destinate a svolgere una fondamentale attività di gestione ordinaria e straordinaria dell’infrastruttura aziendale, affinché se ne possa garantire il corretto funzionamento e le migliori performance possibili.

Molte inchieste hanno dimostrato come tali attività di management assorbano circa l’80% del tempo del personale addetto: questo dato già da solo è sufficiente per capire come sia importante utilizzare strumenti che consentano di raggiungere un optimum, ottenendo i massimi risultati di gestione per la propria infrastruttura nel minor tempo possibile. L’obiettivo è quindi di fornire agli addetti IT tool in grado di diminuire la pressione lavorativa dovuta a queste attività di management, liberando risorse ore-uomo per altri e nuovi progetti di impresa, vitali per la crescita aziendale ed il mantenimento del business in linea con il mercato mondiale.

Microsoft, basandosi sulle esigenze degli amministratori IT del proprio parterre clienti, ha studiato nuove soluzioni di management mirate a semplificare le azioni di gestione compiute quotidianamente.

Microsoft ha racchiuso tutti gli strumenti deputati ad una corretta ed organizzata gestione delle infrastrutture informatiche aziendali nella grande famiglia dei prodotti System Center , nella quale è possibile individuare software e soluzioni specifiche, studiate per rendere un fattivo supporto alle attività fondamentali di management della struttura IT.

I tools messi a disposizione da Redmond alla clientela sono stati suddivisi in base alle diverse realtà ed alle più disparate esigenze aziendali: basandosi sulla pluriennale esperienza nel supporto al mondo business, Microsoft ha notato nel corso degli anni che le attività che rientrano nel grande novero della “gestione” dell’infrastruttura sono molteplici e diverse, anche se in realtà presentano tratti di caratteristiche comuni che consentano un loro raggruppamento nelle seguenti grandi categorie:

– Gestione delle configurazioni e del cambiamento
– Monitoring e controllo
– Protezione dei dati e continuità del business

Questi gruppi di attività vengono ripetuti continuamente e su larga scala ed è per questo che si prestano egregiamente ad un’automazione pianificata. A tal proposito, Microsoft ha individuato un modello a quattro stadi per classificare la maturità di un’azienda nella gestione delle proprie infrastrutture, che include una fascia base, una standard, una razionalizzata ed una dinamica: questa classificazione vuole far comprendere ai clienti che razionalizzare la gestione delle infrastrutture IT significa poter passare da un livello di organizzazione ad un altro, rendendo l’IT una risorsa aziendale sempre più strategica e sempre meno legata a semplice funzione di assistenza.

Microsoft sa bene che permettere agli amministratori IT di automatizzare delle operazioni ripetitive può significare avere necessità di uno strumento di scripting evoluto e completo ed è per questo che tutti i tools racchiusi in System Center si basano su una tecnologia sempre più pervasiva ed importante, riconoscibile in PowerShell .
Si tratta di una potente shell di comandi giunta alla sua seconda versione e corredata da un avanzato linguaggio di scripting basato sul Framework.NET. PowerShell si presenta come la combinazione di una serie di componenti definiti cmdlets (command lets, serie di comandi), che altro non sono che classi.NET progettate per sfruttare al meglio le caratteristiche dell’ambiente. Questa sua natura, rende PowerShell un linguaggio ad oggetti, in quanto tale piattaforma è in grado di far passare i dati da una cmdlet ad un’altra non come semplice pipeline di testo ma come oggetti dotati di una struttura ben precisa, sfruttando tutte le potenzialità che questa tipologia di sistema possa offrire. PowerShell è estensibile e fornisce agli amministratori IT dei modelli di provider estensibili, con la quale si ha la possibilità di accedere e manipolare non solo il file system, ma anche altre strutture dati gerarchiche, come ad esempio il Registro di Windows, consentendo l’accesso agli alberi “HKLM” (HKEY_LOCAL_MACHINE) e “HKCU” (HKEY_CURRENT_USER). PowerShell fornisce provider per differenti librerie tra le quali quelle dei certificati di sicurezza, delle variabili d’ambiente e tante altre, alle quali è poi possibile aggiungere i provider create ad uso e consumo dagli utenti stessi. Come parte integrante dei nuovi sistemi operativi targati Microsoft nelle edizioni Windows 7 e Windows Server 2008 R2, PowerShell è stata arricchita di funzionalità di significativa importanza, riassumibili in:

Funzione di Remoting : per supportare al meglio le infrastrutture IT non di sede, PowerShell permette di eseguire dei comandi/script in modalità remota da un computer verso un altro, con conseguente possibilità di aprire e gestire a distanza le shell dei comandi di computer connessi al proprio network, garantendo comunque massimi livelli di sicurezza ed affidabilità;

Funzione di Job in background : per poter garantire la continuità lavorativa, con PowerShell è possibile eseguire uno script o un comando come processo secondario in background, consentendo agli utenti di tornare immediatamente ad avere il completo controllo della shell per procedere oltre con il proprio lavoro, senza dover per forza attendere che venga terminata l’esecuzione del task in corso;

Funzione di Transazione : grazie alla quale, gli addetti IT hanno la possibilità di identificare un intero blocco di comandi come un’unica transazione, andando a meglio specificare la necessità che ogni comando appartenente al blocco si debba concludere senza errori affinché l’operazione di interesse e quindi l’intera transazione possa essere considerata come eseguita correttamente.

L’uso della transazione garantisce che qualora anche uno solo dei comandi inclusi fornisca un errore di esecuzione, vengano ad essere annullati gli effetti dei singoli comandi precedenti appartenenti alla transazione e fino ad allora eseguiti.
Si capisce quindi come le tante potenzialità offerte da un così imponente programma di scripting non possano che aver obbligato Microsoft a scegliere PowerShell come lo strumento di amministrazione di tutti i suoi prodotti e la base delle console di amministrazione di tutti i sistemi System Center e di tante altre soluzioni di ultima generazione edite da Redmond.
Per ottimizzare i workflow relativi alla gestione delle configurazioni, degli asset e delle modifiche , Microsoft ha invece approntato System Center Configuration Manager 2007 R2 , un apposito strumento dedicato all’automazione del change management. Questo prodotto è stato studiato appositamente per svolgere differenti mansioni, schematizzabili come segue:

Distribuzione del sistema operativo e degli applicativi all’intera infrastruttura IT aziendale : Configuration Manager 2007 R2 assolve contemporaneamente ad ambedue le funzioni, sollevando gli amministratori IT dal dover usare differenti soluzioni software, grazie alla completa integrazione con Microsoft Application Virtualization 4.5 , la piattaforma che consente agli amministratori IT di gestire e distribuire le applicazioni sfruttando la tecnologia della virtualizzazione, grazie alla quale è possibile eseguire il packaging, la distribuzione sui client, l’esecuzione, l’aggiornamento, l’inventario ed i report sulle applicazioni virtualizzate. Inoltre, SCCM 2007 R2 permette di distribuire immagini di sistemi operativi in multi cast, in modo semplice e consentendo anche di fare provisioning degli OS senza creare precedentemente i record. La distribuzione delle immagini è corredata dalla possibilità di fornire credenziali per l’esecuzione delle azioni Run Command Line, implementando le procedure di Run As per le applicazioni come SQL Server, che devono essere installate con uno specifico account;

Raccolta delle informazioni sugli asset aziendali e sull’uso del software e verifica della configurazione dei computer : SCCM 2007 R2 integra un servizio che deriva dall’evoluzione dello strumento SMS 2003 Client Health, che si occupa in modo automatico e secondo le esigenze del personale IT di interrogare e di raccogliere tutte le informazioni utili a definire in modo completo lo stato dei client e le loro attività. I dati raccolti vengono poi presentati gli amministratori IT sotto forma di indicatori chiave e report di facile lettura e veloce comprensione;

Verifica della conformità della configurazione dei computer rispetto a policy predefinite e distribuzione dei correttivi di sicurezza : System Center Configuration Manager 2007 R2 è integrato perfettamente con Forefront Client Security , la soluzione di sicurezza Microsoft per la protezione da malware per desktop, laptop e server. Questa simbiosi è garantita altresì dalla presenza del Configuration Pack, progettato per determinare lo stato degli agent di Forefront Client Security sulle macchine protette e gestite da Configuration Manager 2007 R2. L’amministratore può accedere ai report contenenti informazioni riguardanti lo stato di Forefront Client Security attraverso l’infrastruttura di reporting del Desired Configuration Management .

Tutte le attività fino ad ora elencate possono essere eseguite dagli amministratori IT in modo completamente automatizzato e, secondo le esigenze di ogni infrastruttura, anche in modo differenziato secondo specifichi criteri, riguardanti le tipologie di computer o di utenti, e quindi di target, oppure scegliendo su quali sedi aziendali intraprendere le azioni di management della struttura IT.
Per migliorare le attività di monitoring delle performance e controllo del corretto funzionamento dell’infrastruttura , Systeme Center è corredato dall’applicativo System Center Operations Manager 2007 R2 , che controlla le prestazioni dei server Microsoft, UNIX e Linux e dei carichi di lavoro su di essi presenti, riducendo i costi e velocizzando il delivery dei servizi IT. La possibilità di monitorare prodotti non-Microsoft deriva dall’implementazione di tecnologie come Simple Network Management Protocol (SNMP) e dall’integrazione delle soluzioni dei partner Microsoft per sistemi non appartenenti alla filiera Microsoft. Le attività di controllo e monitoring vengono erogate grazie a tutta una serie di Management Pack (enumerabili in circa 50 pacchetti estendibili con un semplificato sistema di Management Pack Authoring) che includono sistemi di contatori, di regole e di parametri per verificare il corretto funzionamento dei diversi oggetti monitorati, consentendo ai team IT di identificare e risolvere gli eventuali problemi che bloccano o rallentano la distribuzione dei servizi IT agli utenti aziendali. Inoltre, System Center Operations Manager 2007 R2 è perfettamente integrato sia con System Center Virtual Machine Manager 2008 , implementando, la tecnologia Performance Resource and Optimization (PRO) , sia con l’ Active Directory . La prima sinergia permette di ottimizzare le risorse hardware ed i carichi di lavoro virtualizzati, automatizzando le attività di routine ed offrendo avanzate funzionalità di reporting e monitoraggio, allo scopo di incrementare il livello di efficienza e garantire un maggiore controllo dell’ambiente virtuale. La seconda simbiosi, grazie alla sicurezza role-based ed alle nuove tecnologie, permette di rendere ancora più semplice le azioni di monitoraggio e di configurazione del deployment anche in ambienti complessi e strutturati. Insomma, con System Center Operations Manager 2007 R2 è possibile controllare il corretto funzionamento dell’intero stack applicativo, dall’hardware alle applicazioni, anche in caso di servizi compositi e distribuiti.
Infine, per agevolare le attività di gestione poste in atto dal dipartimento IT con lo specifico intento di proteggere i dati e garantire la continuità del business, Microsoft mette a disposizione il System Center Data Protection Manager 2010 , la cui disponibilità nella versione definitiva è stata annunciata alla fine dell’appena trascorso mese di Aprile al Microsoft Management Summit 2010 . Questo sistema di protezione permette di garantire differenti funzionalità, grazie alle sue immense potenzialità: è in grado di effettuare il backup continuo dei dati da disco a disco a tape (backup a tre livelli) e la sua completa integrazione con i sistemi di virtualizzazione permettono di operare anche il backup di macchine virtuali in esecuzione su Hyper-V senza provocare l’interruzione del servizio e liberando gli amministratori IT dalla necessità di installare degli agent appositi. Inoltre, DPM è capace di procedere al ripristino di interi sistemi persi o di singoli file corrotti, anche se residenti all’interno di macchine virtuali. Con l’avvento della nuova versione 2010, sono state introdotte notevoli novità tecnologiche di importanza rilevante e così riassumibili:

Gestione della protezione dei laptop remoti : con DPM 2010 si realizza completamente la possibilità di inoltrare policy di sicurezza definite centralmente verso i laptop “on the road” definite, in modo che il laptop risulti protetto anche quando non è direttamente connesso alla rete aziendale;

Migliore integrazione con le piattaforme virtuali : il migliorato supporto alle piattaforme Hyper-V R2, al Live Migration, al Cluster Shared Volume (CSV) garantisce la completa protezione delle soluzioni virtuali e degli host di virtualizzazione, con la possibilità di recuperare anche un singolo file contenuto in un VM tramite apposite funzionalità di recovery, senza la necessità di installazione di un agent dedicato;

Supporto completo a sistemi di SQL Server, Exchange e SharePoint : grazie a mirati miglioramenti tecnologici, DPM è in grado di garantire la migliore protezione ed il completo recovery di SQL Server, Exchange e SharePoint in caso di perdita o corruzione dei dati archiviati in questi sistemi;

Supporto alle repliche site-to-site : in DPM è possibile programmare ed eseguire in modo automatizzato repliche site-to-site verso un’altro server DPM o verso un provider nel cloud per implementare scenari di disaster recovery;

Significative capacità di scalare in ambienti enterprise : ogni singolo server DPM 2010 è ora in grado di proteggere:

– 100 server in produzione
– 1000 client Windows
– 2000 database SQL
– 25TB di dati di una farm SharePoint con 1M di item
– 40TB di database Exchange;
– Soluzioni tecnologiche all’avanguardia per la gestione centralizzata del System State e le capacità di Bare Metal Recovery.

I tre prodotti, fino ad ora analizzati, sono in realtà completati nelle funzioni da altrettanti componenti della famiglia System Center, studiati appositamente per risolvere particolari esigenze e necessità raffinate che si verificano in seno alle infrastrutture IT delle aziende di maggiori dimensioni. Infatti, le imprese che implementano sistemi di virtualizzazione possono sicuramente trarre notevoli vantaggi dall’uso del System Center Virtual Machine Manager 2008 R2 , studiato appositamente per semplificare la gestione centralizzata degli host di virtualizzazione e delle macchine virtuali. Allo stesso modo, con System Center Service Manager 2010 è possibile ottimizzare l’automazione e l’integrazione dei servizi IT e la gestione delle richieste di servizio, in quanto questo prodotto targato Microsoft è dotato di un motore di workflow, progettato per definire sequenze di operazioni e raccogliere dati sull’infrastruttura IT da Operations Manage e Configurations Manager, consentendo l’esecuzione di report dettagliati sul funzionamento dell’infrastruttura e l’aderenza agli SLA definiti. Infine, con Opalis , è possibile automatizzare l’esecuzione di azioni che interressano prodotti e servizi anche non-Microsoft di differente natura, ottenendo come vantaggi immediati la possibilità di implementazione del best practice, di riduzione degli errori e dei tempi di intervento.
Nonostante le soluzioni fino ad ora presentate siano prettamente riservate ad imprese di ampio respiro, Microsoft ha pensato pure ad soluzioni adatte anche ad aziende di piccole e medie dimensioni, alle quali è dedicata la soluzione di gestione delle infrastrutture IT System Center Essential 2010 , anch’essa annunciata al Microsoft Management Summit 2010. Questa piattaforma riunisce in sé le principali funzioni dei prodotti Operations Manager, Configuration Manager e Virtual Machine Manager, per adattarsi agli ambienti ed alle infrastrutture minori, consentendo la gestione integrata di un numero massimo di 50 server fisici e 500 client Windows. La nuova versione porta con sé una serie di novità ed una nuova architettura modulare,con la quale gli addetti IT aziendali sono in grado di spostare le funzionalità di reportistica su di un secondo server, di scaricare in automatico i Management Pack e di utilizzare appositi strumenti per capire quali server siano i candidati ideali per essere virtualizzati, curando la migrazione P2V (Phisical to Virtual) dei server o V2V (Virtual to Virtual, ad esempio da VMware ad Hyper-V).
In definitiva, sia che si tratti di un’infrastruttura IT imponente sia che si debba lavorare in strutture aziendali medio-piccole, le soluzioni Microsoft sono adatte ad organizzare al meglio l’esecuzione delle operazione di management, apportando differenti vantaggi, quali: la riduzione dei costi di gestione; l’aumento dell’efficienza, della flessibilità e disponibilità dell’infrastruttura; l’emancipazione da attività ripetitive di risorse umane preziose, da re-indirizzare verso attività aziendali più strategiche; un aumento della produttività generale. Gestire un client significa garantire il mantenimento di un alto livello qualitativo delle performance dell’infrastruttura IT, ma comporta la necessità di appurare che siano sempre rispettate le configurazioni di dettaglio dell’hardware e del software della macchina. A tal proposito, Microsoft ha basato i propri ambienti client sulla piattaforma Active Directory, che permette di migliorare il management centralizzato delle configurazioni client, soprattutto grazie a due differenti tipologie di strumenti, come le Group Policy e le Group Policy Preferences .

Le Group Policy rispondono all’esigenza di configurare alcune impostazioni in modo tale che non possano essere eluse e modificate dagli utenti in alcun modo. Queste sono di indubbia utilità per poter configurare in modo centralizzato su ogni singolo client del network le funzionalità di sicurezza fornite dal firewall , decidendo in modo centralizzato quali applicazioni possano comunicare via rete, quali siano le porte aperte sui client per ricevere connessioni in ingresso, ma anche quali porte siano aperte o chiuse in uscita e quali comunicazioni di rete siano messe in sicurezza utilizzando il protocollo IPSec. In questo modo, i reparti IT avranno la reale possibilità di controllare e bloccare il traffico Peer-To-Peer via LAN o di bloccare la diffusione di worm e malware, creando addirittura configurazioni e profili differenti a seconda che i computer si colleghino alla rete di Dominio, ad una rete pubblica o da casa.
Un altro scenario tipico di utilizzo delle Group Policy riguarda la configurazione centralizzata di Internet Explorer , attraverso il quale, ad esempio, è possibile configurare lo SmartScreen filter affinché gli utenti non siano autorizzati in alcun modo a navigare su siti di phishing o scaricare file da siti non sicuri a rischio malware. Allo stesso modo, sempre grazie alle Group Policy sarà possibile bloccare completamente i livelli di sicurezza delle differenti aree di navigazione, relative all’intranet, ad Internet, ai siti attendibili ed a quelli a rischio.
Gli scenari di applicazione delle Group Policy non finiscono certo qui, in quanto questa piattaforma centralizzata per il management delle configurazioni è in grado di agire a differenti livelli, garantendo la possibilità di:

– attivare le funzionalità di AppLocker, per bloccare sulle macchine Windows 7 l’esecuzione di software non autorizzati, sfruttando le firme MD5 o l’hash SHA-1 degli applicativi, il loro percorso nel filesystem e l’origine del programma (ad esempio,se il programma viene eseguito da Internet, dalla intranet aziendale o dal computer locale);
– restringere i permessi degli utenti sulle macchine locali;
– attivare o disattivare componenti e servizi di sistema;
– configurare il funzionamento dei componenti di sistema;
– gestire la configurazione del Windows Firewall e di Internet Explorer, come già visto poc’anzi.

Le Group Policy Preferences sono invece utili a personalizzare e pre-configurare alcuni parametri, che eventualmente potranno poi essere ulteriormente modificati dagli utenti, senza la necessità di utilizzare script o di effettuare operazioni manuali – e costose – sulle macchine. Gli amministratori IT possono trovare nelle Group Policy Preferences un sistema centralizzato, con il quale, ad esempio, è possibile:

– popolare in modo predefinito la lista dei Trusted Sites di Internet Explorer, lasciando comunque agli utenti la possibilità di aggiungere i propri siti o di cancellare quelli non utili;
– distribuire dei mapping di unità verso share di rete;
– configurare il valore di chiavi di registry;
– configurare Stampanti o elementi del Pannello di Controllo;
– gestire (creazione, sostituzione, modifica, cancellazione) di file (anche .ini ), directory e voci di registry;
– la configurazione di sorgenti di dati ODBC (per utenti e computer);
– la configurazione di connessioni VPN e Dial-up .

Nonostante firewall e Group Policy possano essere molto utili per mettere in sicurezza in modo centralizzato i client della propria rete aziendale, è comunque necessario possedere un buon antivirus per mantenere il network e le risorse interne immuni a virus e malware di ogni genere. Per venire incontro a questa ulteriore esigenza dei propri clienti e partner, Microsoft ha reso disponibile il ForeFront Client Security , un antivirus in grado di proteggere i computer da codice malevolo come virus, worm, trojan e rootkit contenuti nei file scaricati da Internet, nei documenti condivisi, nei dispositivi di memorizzazione rimovibili e nei programmi di installazione originali o piratati. Forefront Client Security , che nella prossima versione verrà presentato ai propri utenti con il nome di ForeFront Online Protection , integra un pluri-premiato ed efficientissimo motore di scansione antivirus ed antimalware, che permette agli amministratori di rete di avere sempre una panoramica di cosa stia avvenendo nei server e nei client aziendali e quali software malevoli stiano mettendo a rischio la sicurezza dei sistemi, della rete, degli utenti e dei dati, evidenziando la presenza di più account con privilegi amministrativi, la disabilitazione degli aggiornamenti automatici, la presenza di account Guest o di share di rete attive, l’attivazione dell’accesso anonimo dalla rete, l’abilitazione di servizi potenzialmente a rischio e tanto altro ancora. Infine, è da ricordare che i prodotti della famiglia ForeFront sono studiati per garantire la sicurezza a livello di traffico email, di sistemi di instant messaging e di documenti presenti nello SharePoint Server aziendale.

La corretta gestione dei client della rete aziendale non può che passare anche attraverso il continuo e costante aggiornamento delle applicazioni e del sistema operativo. Proprio per l’update dell’OS, si può ricorrere all’uso di Windows Server Update Services , uno strumento gratuito che permette di eseguire automaticamente ed in locale il download degli aggiornamenti provenienti di Microsoft Update e da Windows Update e grazie al quale, i responsabili IT possono far puntare i client aziendali verso il server WSUS locale, facendo scaricare da qui gli aggiornamenti necessari ad ogni macchina della rete. In questo modo, si ha la possibilità di ridurre notevolmente il traffico Internet e di decidere quali aggiornamenti saranno resi disponibili per quella tipologia di client aziendali.