‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax.

972-97442444‬‬

‫סיכום מפגש שולחן‪-‬עגול‬
‫טכנולוגיות ומתודולוגיות בתחומי סיסטם‬
‫ותשתיות‬

‫מנחים‬

‫פיני כהן‬
‫שחר מאור‬

‫‪Page 1 of 23‬‬

‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫לקוחות נכבדים שלום‪,‬‬
‫תודה על השתתפותכם במפגש שולחן עגול ‪ Round Table‬בנושא טכנולוגיות ומתודולוגיות‬
‫סיסטם ותשתיות‪.‬‬
‫מצ"ב סיכום עקרי הדברים שעלו במהלך המפגש‪ .‬במפגש עלו נושאים מהותיים שתומצתו‬
‫בסיכום כפי שעלו‪ .‬אין בסיכום זה המלצה גורפת ללקוחות אלא מתן פרספרטיבה והצגה של‬
‫ההתלבטויות שעלו במפגש כלומר "מהשטח"‪.‬‬
‫בסוף הסיכום הוספנו סיכום קצר שנכתב במועד אחר על מוצרי ניהול לסביבה וירטואלית וגם‬
‫סיכום בנושא של אבטחת מידע בסביבה וירטואלית‪.‬‬
‫בברכה‪,‬‬
‫שחר מאור ופיני כהן‬

‫‪Page 2 of 23‬‬

‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫תוכן‬
‫בשלות וירטואליזציה בשרתים ‪4........................... ................................ ................................‬‬
‫גיבויים בסביבה וירטואלית ‪5................................ ................................ ................................‬‬
‫בליידים מול פיצות ו‪ Sizing -‬בסביבה וירטואלית ‪5.................................... ................................‬‬
‫סוגיות של אבטחת מידע בסביבה ויריטואלית ‪6....................................... ................................‬‬
‫מימוש ‪6................... ................................ ................................ ................................ SRM‬‬
‫רפליקציה ברמת האחסון ו‪7............ ................................ )Continuous Data Protection( CDP -‬‬
‫‪7............. ................................ ................................ ................................ Exchange 2010‬‬
‫אוטומציה בניהול תשתיות ‪8................................ ................................ ................................‬‬
‫אחסון מול תקשורת ‪9........................................ ................................ ................................‬‬
‫ענן חיצוני ‪9...................... ................................ ................................ ................................‬‬
‫מוצרי ניהול לסביבה וירטואלית – סיכום קצר ‪01...................................... ................................‬‬
‫הצורך ‪01..................... ................................ ................................ ................................‬‬
‫דוגמאות לפתרונות בתחום ‪01.......................... ................................ ................................‬‬
‫קריטריונים לבחירת מוצר לניהול סביבות וירטואליות ‪00........................ ................................‬‬
‫הגנה על סביבות וירטואליות – ‪01........................ ................................ ................................‬‬
‫רקע‪01...................... ................................ ................................ ................................ :‬‬
‫מה הבעיה? ‪01............. ................................ ................................ ................................‬‬
‫עקרונות להגנה‪04........................................ ................................ ................................ :‬‬
‫פתרונות להגנה על סביבות וירטואליות‪07......................................... ................................ :‬‬
‫סיכום על רגל אחת ‪01.................................... ................................ ................................‬‬
‫תגובות של ספקים ‪01........................................ ................................ ................................‬‬
‫‪01......................... ................................ ................................ ................................ CA‬‬
‫‪00............. ................................ ................................ ................................ Glasshouse‬‬

‫‪Page 3 of 23‬‬

‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫בשלות וירטואליזציה בשרתים‬
‫לגבי כניסה לוירטוליזציה בייצור לקוחות סיפרו שהכניסה לייצור לקחה זמן זאת מכיוון שהיו‬
‫בעיות בעיקר ‪ IO‬ותקשורת אך הכל פתיר‪ .‬לקוחות רבים מסמנים את המספר של ‪91%‬‬
‫כמספר השרתים בייצור שיגיעו בסופו של דבר לייצור‪ .‬וירטואליזציה של שרתים רלוונטית‬
‫מאוד בתחום של ‪ DRP‬וזמינות באופן כללי‪ .‬ישנם ארגונים אשר בהגדרה לא רוכשים חומרות‬
‫חדשות לטובת פרוייקטים אלא מצרפים את התקציב לתקציב הכללי – לחווה הוירטואלית‬
‫הקיימת‪.‬‬
‫בפיתוח ובבדיקות אחוז גדול בוירטואליזציה‪.‬‬
‫בתחום ‪ DBMS‬הכניסה לסביבה וירטואלית איטית יותר זאת מכיוון שאורקל אינה תומכת‬
‫בצורה מלאה ב‪ .VMWARE -‬לייתר דיוק‪ ,‬אורקל עונה לקריאות שירות גם למערכות‬
‫שמותקנות על סביבת ‪ VMWARE‬אך רשמית אין "אישור" (כלומר ‪ )certification‬לסביבה זו‬
‫(ראה‬

‫‪http://pinicohenstki.blogspot.com/2010/11/oracle-vmware.html‬‬

‫)‪.‬‬

‫גם‬

‫בסביבת ‪ Cluster‬של אורקל לקוחות לא מכניסים מערכות לוירטואליזציה בשרתים‪.‬‬
‫בסביבת ‪ MSSQL‬נראה שלקוחות יותר מרגישים בטוח להעביר לסביבה וירטואלית‪.‬‬
‫עם זאת באפליקציות גדולות במיוחד (‪ ERP‬של ארגונים גדולים וכד') לדברי יצרני‬
‫האפליקציות עדיין לא מומלץ לעבור לסביבה וירטואלית‪ .‬לעיתים גם מספר ה‪ CPU -‬שנתמך‬
‫בסביבה וירטואלית עדיין לא מספיק‪ .‬לקוחות הזכירו שהראשות לאבטחת מידע (רא"מ)‬
‫אוסרת הצבה של מערכות מרשתות שונות באותה חווה וירטואלית‪.‬‬
‫לקוח תאר מימוש ייחודי של שבו חוות ‪ CITRIX‬של ‪ Terminal Server‬ממומשת מעל ‪.VDI‬‬
‫זאת בכדי לבצע שכפול שרתים מהיר במיוחד (למרות ש"משלמים" ‪ overhead‬של ביצועים‬
‫ושל רישוי תוכנה)‪.‬‬
‫לקוחות תארו מצב שלעיתים נדרש ידע ייעודי ברמת האפליקציה לסביבת ‪.VMWARE‬‬
‫לדוגמה בסביבת ‪ SAP‬נדרש קינפוג ספציפי של האפליקציה‪ .‬ללא קינפוג זה חוו לקוחות‬
‫בעיות ביצועים "ללא הסבר"‪ .‬ספציפית בסביבת ‪ SAP‬לקוח נתקל בזמנו במצב שבו הייתה‬
‫תקלה בסביבה וירטואלית והספק לא רצה לתמוך (כאמור בזמנו)‪ .‬אותו לקוח עצר את‬
‫הפרוייקט ועתה עובד בסביבה פיזית מסורתית‪.‬‬
‫לקוחות תארו מצב שבו בכדי להגיע לביצועים טובים יותר בסביבה וירטואלית (בעיקר‬
‫לסביבות מסדי נתונים) ניתן להשתמש ב‪ .Raw Device Mapping -RDM -‬אולם למיפוי‬
‫פיזי זה יש גם חסרונות – יכולות הניהול והגמישות נפגעות (העברה ממכונה למכונה וכד')‪.‬‬

‫‪Page 4 of 23‬‬

‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫גיבויים בסביבה וירטואלית‬
‫לקוחות מוסרים על עומסים בגיבוייים של סביבה וירטואלית כאשר היצרנים משפרים את‬
‫הטכנולוגיות בתחום זה באופן תדיר‪ .‬שימוש ב‪ agents -‬רגילים שמותקנים על כל מכונה‬
‫וירטואלית עלולים לגרום למצב של חלון גיבוי של ‪ 04‬שעות ויותר‪ .‬פתרון אחד הוא‬
‫בטכנולוגיה הנוכחית (‪ agents‬על כל מכונה ויריטואלית) לשנות את מדיניות הגיבוי לדוגמה‬
‫לעבור מגיבוי מלא יומי לגיבוי דיפרנציאלי או אינקרמנטלי (במידה ואפשרי)‪.‬‬
‫פתרון אחר אפשרי הוא גיבוי ברמת האחסון – לדוגמה גיבויים של ‪ .SNAPS‬מדובר בפתרון‬
‫נוח לתפעול אולם נכון להיום מדובר ברוב המקרים ב‪ SNAP -‬שאינו קונסיסטנטי ברמת‬
‫מערכת ההפעלה\האפליקציה‪ .‬דבר נוסף‪ ,‬לעיתים ה‪ SNAP -‬הוא של ‪ LUN‬שלם כלומר‬
‫שחזור הוא של ‪ LUN‬שלם ולא של מכונה וירטואלית אחת‪ .‬כאמור ישנם שיפורים טכנולוגיים‬
‫תדירים בתחום זה ועדיין ישנם הבדלים בין היצרנים בתחום זה‪ .‬לקוחות דיווחו גם על‬
‫הבדלים ביכולות שמתקבלות בתחום הגיבוי בין ‪ VMWARE‬לבין ‪.HyperV‬‬
‫לקוחות מתחילים להשתמש בפתרונות מתקדמים אשר מבצעים ‪ Deduplication‬ברמת ה‪-‬‬
‫‪ Source‬הוירטואלי (כלומר בודקים האם בלוקים זהים בין מכונות וירטואליות כבר הועתקו‬
‫למרכז) אולם נראה שפתרונות אלו עדיין לא בשלים לגמרי‪ .‬לדוגמה בניסוי שלקוח ביצע‬
‫באחד הפתרונות התברר שאומנם ניתן לקחת ‪ Snaps‬אבל לא הצליחו למחוק אותם (לא‬
‫ברור למה)‪.‬‬

‫בליידים מול פיצות ו‪ Sizing -‬בסביבה וירטואלית‬
‫למרות שרוב הארגונים הכניסו כסטנדט שימוש במארזי בלדיים עדיין נשמעות לעיתים‬
‫הקריאות להשאיר את הסביבות הקריטיות ביותר בפיצות (שרתי פיצה גדולים)‪ .‬זאת מן‬
‫הטעם שבבליידים אם יש בעיה ברמת ה‪ Firmware -‬כל הסביבה נופלת‪ .‬מצד שני ניהול‬
‫פיצות יותר מורכב כמו גם במדובר הרבה יותר כבלים‪.‬‬
‫כלל אצבע שהוזכר במפגש ל‪ Sizing -‬הוא שרת של ‪ SOCKEKT 0‬עם ‪ G 008‬זיכרון‬
‫יתאים לכ‪ 41 -‬מערכות ‪ VM‬כאשר הזיכרון הוא קו הבעייתי ולא ה‪.CPU -‬‬
‫בדיון עלתה גם הסוגיה של סוג המעבדים בשרתים‪ .‬האם עדיף לרכוש מעבדים עם יותר‬
‫‪ CORES‬שהנם מעט יותר איטיים וגם צורכים יותר חשמל על מעבדים עם פחות ‪?CORES‬‬
‫בסביבה וירטואלית צוואר הבקבוק הוא בד"כ זיכרון ולא מעבד‪ .‬כמו כן מעבר למעבדים בעלי‬
‫יותר ‪ CORES‬משליך על עלויות רכש אצל ספקים (המתרבים) שמחייבים את לקוחותיהם‬
‫לפי מספר ה‪ CORES -‬או לפי נוסחאות הקשורות למספר ה‪( CORES -‬ספקים כמו ‪IBM‬‬
‫ואורקל)‪.‬‬

‫‪Page 5 of 23‬‬

‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫סוגיות של אבטחת מידע בסביבה ויריטואלית‬
‫בדיון עלו כמה נושאים בהקשר של אבטחת מידע בסביבה וירטואלית‪.‬‬
‫בדומה לגיבוי בסביבה וירטואלית‪ ,‬סריקת וירוסים סטנדרטית גם היא עשויה לגרום לקריסה‬
‫של מערכות‪ .‬מדובר על סריקה מלאה שמתבצעת (בברירת מחדל) פעם בשבוע‪ .‬כאשר‬
‫סריקה זו מתבצעת בייחוד במצב של כמה מכונות וירטואליות ביחד‪ -‬החווה נחנקת‪ .‬לכן‬
‫לקוחות מוודאים שהסריקה תתבצע רק על מכונה אחת כל פעם‪ ,‬מורידים את התדירות של‬
‫סריקה מלאה לפעם בחודש כאשר כן מתבצעת סריקה יומית אך באיכות פחות טובה (לא‬
‫בודקים בסריקה את כל ההיוריסטיקות)‪ .‬יצרני פתרונות הגבוי מציעים כיום גרסאות של‬
‫מוצרים אשר סורקים חווה וירטואלית בצורה יעילה‪.‬‬
‫סוגייה נוספת שעלתה היא אבטחת המידע בתוך הסביבה הוירטואלית‪ .‬זאת מכיוון שעל פי‬
‫הנאמר בדיון אפשר לעבור מ‪ VMWARE -‬אחד לשני באותו ‪ cluster‬דרך הזיכרון ולא דרך‬
‫ה‪ virtual switch -‬של ‪ .VMWARE‬זאת מן הסתם בעיית אבטחה גדולה‪ .‬בתחום זה ישנם‬
‫פתרונות רבים (‪( ALTOR‬כיום ‪ REFLEX ,IBM ,,)JUNIPER‬וכד'‪ ,‬בנוסף לפתרונות של‬
‫‪ VMWARE‬בעצמם) כאשר אחד מהאתגרים בתחום הוא לא לפגוע בביצועים של החווה‬
‫כאשר באופן כללי הטכנולוגיה מסתכלת על דברים כמו שם השרת‪ ,‬שם האפליקציה‪ ,‬כניסות‬
‫ברגיסטרי ועל פי מידע זה מחליטה איזה תקשורת לאפשר ולאן‪.‬‬
‫מצ"ב התייחסות בנושא של אבטחת מידע בסביבה וירטואלית‪.‬‬

‫מימוש ‪SRM‬‬
‫אחד הלקוחות שיישם ‪ SRM‬של ‪ VMWARE‬סיפר על תהליך שבו בכדי ליישם את הפרוייקט‬
‫בצורה טובה היו חייבים לבצע "בדק ביית" בתחום – דברים כמו איזה מערכות עולות‬
‫ראשונות ולאחר איתור מערכות אלו התברר שכל המערכות שצריכות לעלות ראשונות –‬
‫צריכות להיות באותו ‪.LUN‬‬

‫‪Page 6 of 23‬‬

‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫רפליקציה ברמת האחסון ו‪Continuous Data ( CDP -‬‬
‫‪)Protection‬‬
‫לקוחות משתמשים ברפליקציה מסורתית ברמת האחסון (דיסק לדיסק) וגם ברפליקציה‬
‫ברמת ‪ –CDP‬משלוח ואגירה של ‪ writes‬ברמת הדיסק‪ .‬בעקרון הטכנולוגיה עובדת ברמה‬
‫טובה‪ .‬אולם לקוח תאר מצב ייחודי שבו השרתים מבצעים ‪ boot from SAN‬וכל הסביבה‬
‫כולל ה‪ Page Files -‬מרופלקים באמצעות ‪ CDP‬כולל שמירת היסטוריה (במקרה זה ‪EMC‬‬
‫‪ ) Recoverpoint‬ואז הנפחים אדירים‪ .‬כלומר יש לשקול הייטב מה מכניסים לתוך סביבת‬
‫הריפלוק‪ .‬דברים כמו ‪ Page Files‬או אזורי ‪ System‬אחרים עדיף שלא ירופלקו‪ .‬כלומר‬
‫כאשר עושים ‪ Boot from SAN‬עדיף להפנות את ה‪ Paging -‬לדיסק מקומי ולא לרפלק‬
‫אותו‪.‬‬

‫‪Exchange 2010‬‬
‫לקוחות מדווחים חוות דעת חיובית של שימוש ב‪ Log Shipping -‬של ‪.Exchange 2010‬‬
‫חלק מהלקוחות בודקים העברת ‪ Exchange 2010‬לסביבה וירטואלית‪ .‬כאשר ישנה אופציה‬
‫לשים את ה‪ Information Store -‬על שרתים פיזיים ואת שרתי ה‪ HUB CAS -‬וירטואלי‪.‬‬
‫בסביבת ‪ Exchange 2010‬חלו שינויים ארכיטקטונים מהותיים ביניהם הפסקת ביצוע‬
‫‪ Single Instance‬לקבצים מצורפים‪ .‬המשמעות היא שכאשר עוברים ל‪Exchange 2010 -‬‬
‫נפח האחסון גדול בסדר גודל של ‪ 01%‬עד ‪( 51%‬זאת לפני שמגדילים את נפח התיבות)‪.‬‬
‫בכדי להגדיל את נפח התיבות (בענן חיצוני מציעים מיקרוסופט ו‪ Google -‬נפחים של ‪G05‬‬
‫!!) ובמקביל להוריד במידה מסויימת את העלות לקוחות מתחילים לשקול בעצת מיקרוסופוט‬
‫להשתמש בדיסקים ‪ SATA‬ולא בדיסקים מהירים (‪ .)SAS-FIBER‬בישראל אין המון נסיון‬
‫בתחום זה אולם יש לבצע חישובים ‪ .IOPS‬יש מידע לפחות על לקוח אחד אשר ביצע מעבר‬
‫תצורת ‪ Exchange 2010‬על ‪ SATA‬ובגלל בעיות ביצועים צריך להגדיל את נפח האחסון פי‬
‫‪ 1‬בכדי לבצע ‪ Striping‬מספיק בכדי שיגיע ל‪ IOPS-‬הנדרש‪ .‬מצד שני יש מידע ראשוני על‬
‫לקוחות שעובדים בסביבת ‪ SATA‬ללא הפרעות‪ .‬בכל מקרה יש לבצע ‪ sizing‬מדוייק וגם‬
‫לקחת ‪.SPARE‬‬
‫מיקרוסופט גם מציעים ללקוחות קטנים להשתמש בדיסקים חיצוניים (‪ )JBODS‬ולא באחסון‬
‫מרכזי לטובת אחסון ‪ .Exchange 2010‬תצורה זו אינה מומלצת ללקוחות ‪.Enterprise‬‬

‫‪Page 7 of 23‬‬

‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫אוטומציה בניהול תשתיות‬
‫לקוחות מתחילים להכנס לפתרונות אוטומציה בסביבת תשתיות‪ .‬הסיבות העקריות שהוזכרו‬
‫הן הורדת זמני סבב‪ -‬כמה זמן לוקח "לבנות סביבה" או לבצע פעולות אחרות‪ .‬סיבה אחרת‬
‫היא יעילות בייחוד בהקשר של סביבות ניסוי זאת מכיוון שבמקרים רבים בתעשיה המשאבים‬
‫של סביבות ניסוי לא מוחזרים לשימוש חוזר לאחר תום תקופת הניסוי (כנ"ל פיתוח)‪.‬‬
‫פתרון אוטומציה אמור לכלול בין הייתר‪:‬‬
‫‪ .0‬אוטומציה בפועל ‪ -‬ביצוע פעולת בצורה אוטומטית במקום ידנית –כגון חיבור לדיסק‪ ,‬הפעלת‬
‫מדיניות אבטחת מידע‪ ,‬התקנה וכד'‬
‫‪ - Workflow .0‬אוטומציה של תהליך האישור של פעולה כולל עדכון מלאים של חומרה ותוכנה‬
‫‪ - Self Service .1‬אפשרות של המשתמשים לדרוש ולקבל שירותים בעצמם‪.‬‬
‫‪ .4‬אופציה שלעיתים לא מתקבלת בברכה (על כך בהמשך) היא ‪ Chargeback‬פנים ארגוני על‬
‫שירותי התשתיות שמתקבלים‪.‬‬

‫כאשר מסתכלים על ענן פנימי מכלילים בדרישות גם יכולות ‪ –GRID‬שהן בעיקרן הרצה‬
‫יעילה וזמינה של מערכות – התאמת כוח העיבוד הנדרש לתשתית הזמינה‪ ,‬העברה‬
‫ממצב סביבה לסביבה לפי דרישות העיבוד‪ ,‬טיפול אוטומטי בנפילות וכד'‪.‬‬
‫הוזכרו מוצרים כמו ‪ Opalis‬של מיקרוסופט וגם פתרונות של ה‪CA BMC IBM ( Big 4 -‬‬
‫‪ .)HP‬ישנם גם פתרונות ייעודיים כמו ‪ Nolio‬הישראלית‪ .‬ישנו מגוון רחב של פעולות‬
‫ותהליכים שיכול לקבל כותרת של "אוטומציה"‪ .‬החל בדברים כגון "אם נפל ‪Process‬‬
‫תבצע ‪ Restart‬עליו ותשלח מייל" וכלה בדברים כמו "הרמה של סביבה וירטואלית‬
‫הכוללת ‪ ,DBMS‬אפליקציה‪ ,‬קינפוג אבטחת מידע" וכד'‪.‬‬
‫בדיון עלתה השאלה‪ -‬באיזה מן התחומים כדאי להכנס לאוטומציה קודם ואפילו סוגייה יותר‬
‫כללית – איזה פעולות "ראויות" לאוטומציה ואיזה לא‪ .‬זאת מן החשש שאוטומציה תגרום‬
‫לאנשי הסיסטם להיות פחות "עם היד על הדופק" ותפגע במקצועיות‪.‬‬
‫אחד הלקוחות תאר מצב שבו משתמשים ב‪ life cycle manager -‬של ‪ VMWARE‬שהוא‬
‫פורטל (ישן) של ‪ .VMWARE‬לקוחות מבקשים ובונים בעצמם‪ .‬הבעיה בתצורה ספציפית זו‬
‫היא שמדובר בפתרון רק לסביבה וירטואלית‪ .‬לכן הלקוח "תפר" מעטפת עם ‪SPS-MOSS‬‬
‫בנוסף ל‪ BPM -‬ייעודי וכן מסוגלים לתת פתרון נרחב יותר בתחום של אוטומציה‪ .‬בעיקר‬
‫למפתחים‪.‬‬
‫לקוח שמטמיע כבר זמן רב פתרון אטומציה של אחד מה‪ Big 4 -‬העלה נקודה מעניינת‪.‬‬
‫פתרונות האוטומציה אמורים לטפל בנושא של ‪ Chargeback‬פנימי‪ .‬אולם הפתרונות‬
‫מבצעים התחשבנות לפי "שכירות" כאשר הארגון התחשבונות הארגונית הנוכחית (זו‬

‫‪Page 8 of 23‬‬

‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫שהכלכלנים בארגון מובילים) מתבססת על "רכש"‪ .‬כלומר לדוגמא במידה ופרוייקט קיבל‬
‫רישוי של אורקל ל‪ CORES 4 -‬למשך שנה ולאחר מכן מחזור אותו ל‪ ,Pool -‬קשה לארגון‬
‫לבצע את ההחזרה ל‪ Pool -‬מבחינת התחשבנות רשמית‪ .‬במקרה הספציפי של ארגון זה‪,‬‬
‫ברגע שרצו לוותר על ‪ Chargeback‬בהטמעת האוטומציה התברר שהמוצר לא ממש קיבל‬
‫זאת "בשלום"‪ .‬כלומר בגלל שאין ‪ – chargeback‬קשה להכניס ‪! workflow‬‬
‫נקודה זו העלתה סוגיה מהותית יותר‪ .‬ברגע שעוברים לאוטומציה‪ Workflow ,‬ו‪-‬‬
‫‪ – Chargeback‬האם רכישה של שרתים (לדוגמא) מתבצעת מתקציב הפרוייקט או מתקציב‬
‫ה‪ ?IT -‬כלומר מעבר לסביבה אוטומטית מנוהלת ומתוקצבת עשויה לגרום לכך שחלק‬
‫מתקציב התשתיות יעבור לפרוייקטים או אפילו לגורמים העסקיים‪.‬‬

‫אחסון מול תקשורת‬
‫בדיון עלתה הסוגייה שעקב ההתפתחויות הטכנולוגיות החדשות בתשתיות ה‪, Datacenter -‬‬
‫בעיקר ה‪ FCOE -‬ישנה זליגה של תחומי אחריות מתחום האחסון לתחום התקשורת‪ .‬הדבר‬
‫בלתי נמנע אולם מחייב הכשרות נוספות של אנשי התקשורת בסוגיות של אחסון‪.‬‬
‫במקביל טכנולוגיות מתקדמות בתחום המארזים (לדוגמה ‪ FlexFabric‬של ‪ )HP‬מקלות‬
‫בצורה משמעותית בתחום הכבלים הפיזיים ובכך מורידות את המשימות של אנשי‬
‫התקשורת‪.‬‬
‫בכל מקרה מדובר על תהליכים הדרגתיים זאת מכיוון שמארזים ישנים לא תומכים‬
‫בטכנולוגיות החדשות‪.‬‬

‫ענן חיצוני‬
‫בדיון עלתה סוגייה שימוש בשירותי ענן חיצוני‪ .‬אחד המשתתפים העלה את הרעיון של‬
‫שימוש בענן חיצוני של אחסון בסיטואציה מסויימת‪ .‬באותו ארגון יש מערכות ארכיון "אטיות"‬
‫שהנן בהגדרה לא קריטיות‪ ,‬בעלות רמת נגישות לא גבוה (פעם בשבוע שבועיים)‪ ,‬מערכות‬
‫שיושבות היום ב‪ .NAS -‬זהוא מידע שמוגדר כ‪ secondary -‬למידע הראשי (כלומר שומרים‬
‫ל‪ 1 -‬חודשים ורק לאחר מכן מוציאים ל‪ .)secondary‬ועלה הרעיון להעביר מידע זה לענן‬
‫אחסון חיצוני‪ .‬כנ"ל מתבצעת בחינה להעביר לענן סביבות סגורות של בדיקות‪ ,‬פיתוח‪ ,‬שלא‬
‫אמורות להיות קשורות לארגון‪ .‬מדובר על צעדים ראשוניים כאשר בעתיד הכוונה היא לצור‬
‫ענן מאוחד – היברידי‪ -‬ואז ברגע שמפתחים לא צריכים שרתים חזקים התשתיות שלהם‬
‫יעברו לענן חיצוני‪.‬‬

‫‪Page 9 of 23‬‬

‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫מוצרי ניהול לסביבה וירטואלית – סיכום קצר‬
‫הצורך‬
‫וירטואליזציה תפסה מקום מרכזי בעולם התשתיות‪ .‬עקב שימוש מורחב זה במערכות‬
‫ייצוריות עולים צרכים שאינם ממולאים בצורה המיטבית בגרסאות הבסיסיות של פלטפורמות‬
‫הוירטואליזציה (בעיקר ‪ .)VMWARE‬בין הייתר לקוחות דיברו על‪:‬‬
‫‪ .0‬מידע על בעיות ועומסים במערכת‪ ,‬הגורמים והפתרון המומלץ‪.‬‬
‫‪ . 0‬מידע על ניצול המשאבים הנוכחי והעתידי כולל מידע על משאבים שאינם מנוצלים (כולל‬
‫‪)Capacity Planning‬‬
‫‪ .1‬אבטחת מידע ברמות השונות‪ -‬הן שיפור אבטחת המידע שהפלטפורמה נותנת והן ביצוע‬
‫‪ Off load‬לפעולות אבטחת מידע (לדוגמה אם נסרק קובץ לוירוסים ואותו קובץ קיים במכונות‬
‫וירטואליות אחרות ‪ -‬אין לסרוק אותו שוב)‪.‬‬
‫‪ QOS .4‬משופר (שכפול מערכות במקרה של עומסים והכנסה לשימוש של ‪network load‬‬
‫‪.)balancer‬‬
‫ועוד ועוד‪.‬‬
‫‪ VMWARE‬עצמה (בתור שחקן מרכזי בתחום) מעודדת שימוש בכלי צד שלישי אך‬
‫בתחומים של תפעול הסביבה (ניטור‪ ,‬ביצועים‪ capacity planinng ,‬וכד') מוציאה ועוד תוציא‬
‫בעתיד כלים משלה‪ .‬בכך יש איום מסויים על השותפים בתחום זה‪ .‬זאת לעומת תחום‬
‫אבטחת המידע שבו נראה ש‪ VMWARE -‬אינה מוציאה פתרונות רבים ובכך מעודדת את‬
‫השותפים‪.‬‬

‫דוגמאות לפתרונות בתחום‬
‫בתחום זה ישנם פתרונות רבים‪ .‬ביניהם מיוצגים בישראל בין הייתר‪:‬‬
‫‪ vCenter Operations .0‬של ‪ .VMWARE‬פתרון שמגיע במספר גרסאות והמתבסס על‬
‫‪ Integrien‬שרכשה בזמנו ועל ‪ CapacityIQ‬הותיק יותר‪ .‬הפתרון חדש ועד לרגע זה לא‬
‫הצלחנו לאתר לקוחות בשלבים משמעותיים‪ .‬במוצר מוביל זה יש סוגיה לא פשוטה של עלות‬
‫(מתומחר לפי ‪ VM‬ובגרסאות המתקדמות אפשר להגיע לסכומים לא פעוטים)‪.‬‬
‫‪ vFoglight .0‬של ‪ QUEST‬בנציגות ‪ .ACS‬למוצר (‪ Vizioncore‬שנרכש בזמנו) יש מספר‬
‫לקוחות בישראל בשלבי הטמעה כאלה ואחרים‪.‬‬

‫‪Page 10 of 23‬‬

‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫‪ - Reflex .1‬שמפוץ על‬

‫ידי‬

‫‪ . http://www.innovad.co.il/homesites/pageGen.asp?Page=14363‬יש כבר מספר‬
‫לקוחות בשלבי הטמעה כאלה ואחרים‪.‬‬
‫‪ - veeam .4‬בעיקר לתחום הגיבוי אך גם לתחום הניהול‪ .‬יש רשימת מפיצים גדולה ב‪-‬‬
‫‪ . http://www.veeam.com/buy-end-user.html‬לדעתנו יש כבר הטמעות אך לא הצלחנו‬
‫לצור קשר ספציפית‪.‬‬
‫‪.5‬‬

‫‪ - Vkernel‬משווקים על ידי ‪ .Newage, Glasshouse‬הצלחנו לאתר לפחות התקנה אחת‬
‫אצל לקוח משמעותי‪.‬‬

‫‪Hyper9 .6‬‬

‫שנרכשו‬

‫על‬

‫ידי‬

‫‪solarwinds‬‬

‫‪-‬‬

‫מיוצגים‬

‫על‬

‫ידי‬

‫‪ http://www.prologic.co.il/Products.aspx‬עד לרגע זה לא הצלחנו לאתר לקוחות‪.‬‬
‫משווקים על ידי אומניטק (תחום מוצרי תוכנה)‪.‬‬
‫‪ - VMTURBO .7‬חברת ‪ . Testwize‬עד לרגע זה לא הצלחנו לאתר לקוחות‪.‬‬

‫ישנם בעולם מוצרים רבים שלא מיוצגים בישראל כגון ‪CiRBA DynamicOps fluidOps -‬‬
‫‪Xangati‬‬

‫‪Virtual Instruments‬‬

‫‪. rPath‬‬

‫ישנם גם מוצרים מתחום פתרונות השו"ב הקלאסיים‪ .IBM BMC CA HP -‬אנחנו מנסים‬
‫לאתר מידע על לקוחות בישראל‪.‬‬
‫לקוחות שונים יתאימו לעצמם פתרונות שונים‪ .‬לדוגמה‪ ,‬כל המוצרים נותנים מידע על מידת‬
‫הניצולת של המשאבים‪ .‬אולם‪ ,‬אחד הלקוחות בקש לא לכלול חלק משעות היום בדחות‬
‫הביצועים (ב‪ 00 -‬בלילה מתבצע גיבוי וסריקה לוירוסים והלקוח לא רוצה שעומס זה יכלל‬
‫בדיווחים)‪ .‬ואז הסתבר שרק חלק קטן מהמוצרים עונים על דרישה זו‪.‬‬
‫כלומר לדעת ‪ STKI‬אין מוביל ברור (למעט הפתרונות של ‪ VMWARE‬עם הפוטנציאל‬
‫הגבוהה ביותר) ולקוחות יצטרכו לבצע בחינה של המוצרים בעצמם או על ידי הסתמכות על‬
‫לקוחות אחרים (נוכל במידת האפשר לקשר בין לקוחות שכבר משתמשים במוצרים)‪.‬‬
‫נשמח לקבל פידבק ותוספות לקריטריונים למוצר שהצגנו (שהתקבלו באדיבות אחד‬
‫הלקוחות) ולקבל מידע נוסף על מוצרים והתקנות‪.‬‬

‫קריטריונים לבחירת מוצר לניהול סביבות וירטואליות‬
‫קריטריונים לבחירת מוצר לניהול סביבות וירטואליות (הבסיס התקבל מאחד הלקוחות)‪:‬‬

‫‪Page 11 of 23‬‬

‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫אפשרות לבצע ‪ chargeback‬ו‪ Self Service -‬באמצעות המוצר – ללא פירוט בשלב זה‬
‫אינטגרציה לסביבה פיזית (להסתכל ולבצע מתוך הכלי על הדיסקים (לדוגמה באיזה ‪RAID‬‬
‫נמצא ה‪ LAN ,)LUN -‬והחומרה הפיזית) – ללא פירוט בשלב זה‪ .‬לעיתים יש מוצרים‬
‫שמבצעים זאת לחלק מהתשתית – לדוגמה לתחום האחסון‪.‬‬
‫‪ QOS‬מעבר למה שסביבת הוירטואליזציה נותנת ‪ -‬אפשרות לקבוע עדיפויות בין תהליכים‬
‫עסקיים ואז בשעת עומס הכלי ינתב משאבים בהתאם עד למצב שיוריד לדוגמה מכונות‬
‫וירטואליות של בדיקות‪ .‬כולל הכנסה לשימוש של ‪ network load balancer‬שיפצל את‬
‫הקריאות בין המכונות השונות – ללא פירוט בשלב זה‬
‫נראות טובה יותר של האפליקציות ואף התהליכים העסקיים בסביבה הוירטואלית – ברגע‬
‫מסויים איפה נמצאת אפליקציה‬

‫‪ X‬או אפילו תהליך עסקי ‪.Y‬‬

‫כולל דיווח ל‪CMDB -‬‬

‫ולמערכות השו"ב– ללא פירוט בשלב זה‪.‬‬
‫גיבוי סביב וירטואלית – ללא פירוט בשלב זה‪.‬‬
‫‪ROI‬‬
‫מצא מכונות וירוטואליות שאינן בשימוש או בשימוש נמוך בהתבסס על‪:‬‬
‫‪ ‬שימוש ב‪CPU -‬‬
‫‪ ‬שימוש בזכרון‬
‫‪Disk IO ‬‬
‫‪Network IO ‬‬
‫‪ ‬אפשרות להוציא מהדוחות שעות שאינן רלוונטיות (לדוגמה בלילה שאז מתבצע גיבוי‬
‫ופעולות אנטיוירוס שאינן חלק מהפעילות השוטפת של המערכות)‬
‫‪ ‬מציאת ‪ snaps‬ישנים שאינם בשימוש‬
‫‪ ‬מציאת קבצי ‪" vmdk‬ייתומים"‬
‫‪Capacity Planning‬‬
‫מגמות שמתבססות על נתונים הסטוריים כולל‪:‬‬
‫‪ ‬המלצות לגבי איזה משאבים צריך להוסיף‬
‫‪ ‬איזה משאבים אפשר להוריד\לצמצם‬
‫‪ ‬לתמוך בשאלות של "מה יקרה אם מוסיפים ‪ X‬שרתים וירטואליים בקונפיגורציה‬
‫ספציפית"‬
‫לתמוך בשאלות של "מה יקרה אם מוסיפים ‪ X‬שרתים וירטואליים של קונפיגורציות שכבר‬
‫קיימות במערכת"?‬
‫ביצועים‬
‫‪ root cause‬בהקשר של זכרון מעבד אחסון ותקשורת‪:‬‬
‫‪ ‬איזה שרתים מושפעים‬
‫‪ ‬איזה משאב הוא הבעייתי‬
‫‪ ‬איזה שרת גורם לעומס‬
‫‪ ‬המלצות לגבי דרך פתרון‬

‫‪Page 12 of 23‬‬

‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬

‫מגמות ‪ -‬האם מדובר על מצב שקרה כבר בעבר ובאיזה תדירות‬
‫‪CPU Ready‬‬
‫השימוש ב‪ baloon drive -‬הוא גדול מ‪ % -‬מסויים‬
‫שרתים וירטואליים עם זכרון שנמצא ב‪SWAP -‬‬
‫שימוש ב‪ IO‬ברשת ‪LAN‬‬
‫‪Host n/w IOPS , data transfer and latency‬‬
‫‪Guest n/w IOPS , data transfer and latency‬‬
‫‪Datastores n/w IOPS , data transfer and latency‬‬
‫‪Storage IO Usage‬‬
‫‪Host storage IOPS, Data transfer and latency‬‬
‫‪Guest storage IOPS, Data transfer and latency‬‬
‫‪Datastores storage IOPS, data transfer and latency‬‬

‫אבטחת מידע – ראה קובץ נפרד מצורף‬
‫שימושיות ‪ Usability‬של המוצר‬
‫‪ ‬עד כמה קל לקבל עת המידע מהכלי‬
‫‪ ‬האם הקונסול המרכזי מציג את כל המידע שנדרש‬
‫‪ ‬אפשרות להסתכל כל המכונות הוירטואליות שנמצאות על משאב מסויים ולראות‬
‫איזה ‪ load‬עושה כל מכונה‬
‫‪ ‬דוחות של מכונות וירטואליות שאינן בשימוש‪ ,‬משאבים שאינם בשימוש\ניצול נמוך‬
‫עם המלצות על קונפיגורציה מומלצת‬
‫‪ ‬שלחת דוחות התראות במייל‬
‫‪ ‬ידע ונסיון בעולם ובישראל‪ .‬תמיכה בישראל‪.‬‬
‫‪ ‬עלות הכלי‬

‫הגנה על סביבות וירטואליות –‬

‫רקע‪:‬‬
‫פרויקטים של הסבת שרתי בדיקה‪ ,‬פיתוח וייצור לסביבות וירטואליות הפכו‪ ,‬כאמור‪ ,‬לנפוצים‬
‫מאוד בישראל ובעולם‪ .‬כיום ניתן למצוא ארגונים אשר כ ‪ 91%‬מסביבת הייצור (!) של שרתי‬
‫‪ WIN‬שלהם מבוססת על פלטפורמות וירטואליות (לפני שנתיים זה נחשב כנתון לא‬
‫הגיוני‪ .)...‬ארגונים בישראל מספרים כי עדיין קיימות סביבות עבודה בהן יש מכונות "כבדות"‬
‫יחסית של ‪ Unix‬או ‪ Linux‬אשר לא יעברו בקרוב לשרתים וירטואליים‪ ,‬אך המגמה של‬
‫המשך הרחבת הפרויקטים בתחום בהחלט סבירה‪.‬‬

‫מה הבעיה?‬
‫מכיוון שמדובר במגמת אימוץ מהירה מאוד של הטכנולוגיה‪ ,‬נוצר פער מסויים בין סביבת‬
‫העבודה הוירטואלית להגנה על אותה הסביבה‪ .‬האיומים הנוגעים לשרתים וירטואליים שונים‬
‫בצורה בולטת מסביבה פיסית בשני מישורים עיקריים‪ :‬איום השתלטות על ה ‪ Host‬ואיום‬
‫‪Page 13 of 23‬‬

‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫זליגת מידע בין ה ‪ Guests‬השונים‪ .‬למרות חשיבות הנושא‪ ,‬בשוק הישראלי אין הרבה‬
‫ארגונים שמיישמים כיום פיתרון יעודי להגנה על הסביבות הוירטואליות‪ .‬הסיבות לכך הן‬
‫העדר ניסיון מספק של ספקי הפתרונות בתחום והעדר מודעות‪ .‬עם זאת‪ ,‬בחלק מהארגונים‬
‫מצב זה הוא תוצאה של ניתוח סיכונים מושכל של הגורמים השונים בארגון‪.‬‬
‫מה כן עושים כדי להגן על השרתים הוירטואליים? מפרידים בין הסביבות השונות‬
‫(ייצור\בדיקה\פיתוח וכן הפרדה על פי תהליכים עסקיים\מערכות הפעלה\רגישות השרתים‬
‫וכיו"ב) וכן פועלים על פי ‪ best practices‬להקשחה והגנה על השרתים כפי שהוגדרו על ידי‬
‫ייצרני הפתרונות (הקשחת התשתית והקשחת הגישה למשאבים)‪ .‬איש תשתיות בארגון‬
‫מסויים ציין לאחרונה כי המטרה אצלם היא לבחור פיתרון מתאים לכל סביבת עבודה לפי‬
‫רגישות השרתים והמידע‪ .‬כיום לכל סביבה יש חווה משלה והשאיפה היא לרכז סביבות‪.‬‬
‫בהיבט אבטחת המידע יש בעיה להעביר את יישום המדיניות מהסביבה הפיסית לוירטואלית‪.‬‬

‫עקרונות להגנה‪:‬‬
‫בעולם הפיסי מעבר מידע בין שני שרתים מנוטר על ידי אמצעי האבטחה כדוגמת ‪ FW‬או‬
‫‪ .IPS‬בעולם הוירטואלי מעבר בין שני שרתים וירטואלים נעלם מעיני אמצעי האבטחה‬
‫הרגילים וזה יוצר בעיה גדולה מאוד‪ .‬בעיות נוספות הן השתלטות עויינת על ההוסט של‬
‫המכונה וירטואלית והשתלטות על חלק או כל ה ‪ VM‬לאחר מכן‪.‬‬
‫ישנן כמה גישות להגנה על הסביבות הוירטואליות‪:‬‬

‫‪Page 14 of 23‬‬

‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫‪ .0‬הפרדת ה ‪ VM‬לסגמנטים נפרדים ברשת‪ .‬זה מחייב להעביר את כל התעבורה בין כל‬
‫‪ VM‬דרך ‪ FW‬וכך לנטר אותה‪ .‬החיסרון –ניהול מסובך ופגיעה אפשרית בביצועים‪.‬‬
‫כיום מקובל בארץ להבצע הפרדה ברמה כזו או אחרת כאמצעי ביטחון בתיפעול‬
‫סביבות וירטואליות (לפחות ברמת סביבות העבודה)‪.‬‬

‫‪Page 15 of 23‬‬

‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫‪ .0‬גישה אחרת היא התקנה של אג'נט של ‪ FW‬על כל ‪ VM‬כך שאנחנו מונעים את‬
‫העיוורון של מערכות האבטחה בתוך הסביבה הוירטואלית‪ .‬החיסרון הוא כמובן‬
‫הכמות הגדולה של ‪ FW‬חדשים שצריך לנהל ופגיעה בביצועי המכונות הוירטואליות‪.‬‬

‫‪Page 16 of 23‬‬

‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫‪ .1‬גישה אחרונה היא התקנה של ‪ FW‬כמודול בקרנל של ההוסט עצמו אשר רץ‬
‫במהירויות גבוהות ומנטר את התעבורה בין ה ‪ VM‬השייכים לאותה מכונה שעליה‬
‫יושב ההוסט‪ .‬היתרון‪ -‬ניטור יעיל של כל התעבורה על המכונות הוירטואליות‪ .‬חיסרון‬
‫–מוצר המותקן בקרנל עם כל המשמעויות של זה‪ .‬לא כל אחד יאהב את זה‪..‬‬

‫פתרונות להגנה על סביבות וירטואליות‪:‬‬
‫מכיוון שנוספים מדי פעם פתרונות חדשים‪ ,‬בחרתי לציין מספר פתרונות נבחרים‪ .‬אני מניח‬
‫שככל שיעבור הזמן יהיו נוספים‪ .‬מכל מקום‪ ,‬אין באזכור הפתרונות משום המלצה‪.‬‬

‫‪Page 17 of 23‬‬

‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫מספר לקוחות סיפרו על בחינה של פתרונות שונים של ‪ Cisco‬כחלק מהשת"פ עם‬
‫‪ VMWare‬במתגי ‪ Nexus 1000V‬שלה‪ .‬מתג הגישה החדש הזה מאפשר התמודדות עם‬
‫הקשיים בפריסה של מכונות וירטואליות חדשות בארגון‪ ,‬תוך שמירה על הגדרות השרת‪,‬‬
‫התקשורת שלו‪ ,‬האחסון ומדיניות אבטחת המידע שדרושה בו‪ .‬מודול ה ‪ VEM‬של המתג רץ‬
‫בתוך הקרנל של מכונת ה ‪ VMWARE‬ומאפשר‪ ,‬בין השאר‪ ,‬יכולות להגדיר ‪ VLANs‬חדשים‬
‫‪ ACLs‬חדשים ותכונות אבטחה נוספות ברמת הפורט הלוגי‪ .‬אחת החוזקות המרכזיות של‬
‫המתג היא היכולות לתמוך בניידות מוחלטת של מכונות וירטואליות‪ ,‬תוך עדכון מדיניות‬
‫התקשורת ואבטחת המידע הקשורות לכל פורט לוגי ועדכון שאר הרשת בשינויים אלה‪.‬‬
‫תכונה זו חוסכת "כאבי ראש" בכל הקשור בהתמודדות על פעולות כמו ‪ vMotion‬של תחנות‬
‫לוגיות ממקום למקום ו"ריצה" אחרי עדכון הפרופילים שלהם מול שאר הרשת במיקום‬
‫החדש‪.‬‬
‫פתרונות מעניינים נוספים‪:‬‬
‫‪– IBM‬פיתרון בשם ‪.Virtual Server Security for Vmware‬‬
‫פלטפורמה שלמה הכוללת כמה פתרונות תחת קורת גג אחת‪:‬‬
‫‪ IPS‬ו‪ FireWall-‬להגנה על ‪ Data Center‬וירטואלי ואכיפה דינמית של מדיניות אבטחת‬
‫מידע על כל המחיצות‪.‬‬
‫טכנולוגית ‪ Virtual Patch‬מאפשרת הגנה בצורה אוטומטית מפני פגיעויות במחיצות‬
‫הווירטואליות במידה וה‪ patch-‬לא קיים או לא הותקן באותה מחיצה‪.‬‬
‫פונקציית ‪ Automatic Discovery‬מאפשרת גילוי של כל מחיצה חדשה אשר עולה בסביבה‬
‫וירטואלית‪ .‬הטכנולוגיה מאפשרת לעקוב בצורה אוטומטית אחרי שינועים בסביבה‬
‫הוירטואלית‪.‬‬
‫ניהול גישה ‪-‬הפתרון מנהל גישה של מחיצות וירטואליות לרשת‪ .‬במידה והמחיצה לא עומדת‬
‫בדרישות מדיניות אבטחת המידע‪ ,‬באופן אוטומטי היא תועבר לאזור ה‪ quarantine-‬או‬
‫תתאפשר גישה מוגבלת על המחיצה לצורך ‪.problem remediation‬‬
‫‪- Virtual infrastructure auditing‬הפתרון מאפשר בקרה מלאה על פעילויות של מנהלי‬
‫התשתית הוירטואלית‪ ,‬לדוגמא העלאה‪/‬הורדה‪/‬השהייה של מחיצות‪ ,‬כניסה לממשק הניהול‬
‫של התשתית הוירטואלית וכד'‪ .‬בנוסף אפשר להפיק דוחות מובנים על אירועים אלו‪.‬‬
‫פיתרון של חברת ‪ Trend-Micro‬בשם ‪.Deep Security‬‬
‫מדובר ביכולת שקיימת בתפיסה כבר כמה שנים‪ .‬התחילו למכור ב ‪ .0101‬זה היה מוצר של‬
‫‪ 3d BRIGATE‬במקור כשזו נרכשה על ידי טרנד‪.‬‬
‫לפיתרון חמישה מודולים‪ 1 :‬באפליינס וירטואלי ושני מודולים פיסיים למי שרוצה‪.‬‬
‫קיים קליינט של ‪ FW‬בעולם הפיסי‪ ,‬קליינט ‪ ,WAF- DPI‬פטצים ו‪ SAMRT‬ו ‪ .IPS‬כל הפצת‬
‫הטלאים עוברת דרך הקליינט‪ .‬גודל קליינטים‪ K411 :‬בלינוקס‪.M8- UX HP .M1.0- WIN ,‬‬
‫כמו כן קיים לוג מוניטורינג ‪-‬כל לוג ממערכת ה ‪ OS‬של השרת‪ ,‬ניטור קבצים‪ :‬מי ומה שונה‪ .‬ב‬
‫‪ UX HP‬וב ‪- AIX‬ניתן ליישם רק ‪ FM‬ו ‪ LM‬מכל המודולים‪ .‬כי אין שם כרטיסי רשת‪ .‬היכולות‬
‫בסביבות הוירטואליות כוללות‪.FM ,LM ,DPI ,FW ,AV :‬‬
‫בעולם הוירטואליים שמו אפליינס וירטואלי (‪ )DSVA‬שהוא קליינט על מערכת ‪ .OS‬מתקינים‬
‫דרייבר על המתג הוירטואלי של המכונה ה ‪ ESX‬שמדווח לאפליינס שלהם דרך מתג‬
‫וירטואלי שמשני שהם מתקינים‪ .‬אם נופל אפליינס שלהם ניתן להתקין מבעוד מועד קליינטים‬
‫על כל גסט ולגבות כך את הנפילה‪ .‬האפליינס נותן יכולות ‪ FW DPI AV‬וזה היתרון על פני‬
‫קליינט על כל גסט בנפרד‪ .‬הדיווח לקונסול יכול להגיע ישירות מכל קליינט דרך ה ‪ NIC‬ללא‬
‫צורך באפליינס הוירטואלי‪ .‬בזמן ‪- VMOTION‬צריך קליינט על כל גסט ואז אין בעיות‪.‬‬
‫עובדים דרך ה ‪ .VMSAFE‬הקונסול נקרא ‪ ,DSM‬הקליינט נקרא ‪.DSA-‬‬
‫ה ‪- DSM‬מחובר ב ‪ HTTPS‬ל ‪ TM‬לעדכונים‪ .‬ב ‪ DMS‬יש מאחורה ‪ .DB‬ב ‪ DSM‬יכולים‬
‫לנהל עד ‪ K01‬קליינטים‪ .‬אם צריך מתקינים ‪ DSM‬שני‪ .‬הפיתרון מתאים לרגולציות כמו ‪PCI‬‬
‫עם הגדרות ברירת המחדל שלו‪.‬‬

‫‪Page 18 of 23‬‬

‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫פיתרון של חברת ‪ Reflex Systems‬אשר מאפשר ויזיביליות ויכולות ניהול לסביבות‬
‫וירטואליות של ‪ VMWare‬ולתשתיות של מחשוב ענן פנימי\חיצוני‪ .‬על כל ‪ Host‬יש רגש‬
‫(‪ )sensor‬כלשהו שמתקשר עם ה ‪ VMSAFE‬ומאפשר יכולות ניהול וניטור מאוד טובות‪,‬‬
‫יכולת תיחקור‪ ,‬הצגת סימולציות במקרה של ביצוע שינויים בשרתים ועוד‪.‬‬
‫פיתרון אחר הוא של חברת ‪ Catbird‬אשר מאפשר יכולות ניהול של מדיניות אבטחתית מעל‬
‫סביבה וירטואלית‪ .‬יש לו יכולות ניהול ‪PS ,FW‬ו ופתרונות צד שלישי נוספים בתוך הסביבה‬
‫הוירטואלית‪ CATBIRD .‬היא דוגמא לחברה בגישה של אג'נטים שהוזכרו מקודם ‪ -‬יש לה‬
‫פיתרון שרץ ממש כמכונה וירטואלית נוספת כחלק מהסביבה הכללית ומנטרת משם את כל‬
‫התעבורה שרצה בין שאר המכונות הוירטואליות‪.‬‬
‫פיתרון נוסף הוא של חברת ‪( ALTOR‬היום חלק מג'וניפר)‪ .‬מדובר בפיתרון שתוכנן במיוחד‬
‫עבור סביבות וירטואליות‪ .‬מדובר ב ‪ FW‬וירטואלי שמותקן בתוך סביבה וירטואלית ואוכף‬
‫מדיניות פר מכונה‪ .‬החיסרון של הפיתרון הוא בניהול קצת חלש‪ Altor .‬הוא דוגמא ל ‪FW‬‬
‫וירטואלי המותקן בקרנל של המכונה‪ .‬הוא מסוגל לנטר ולשמור על מדיניות ניטור גם בעת‬
‫ביצוע ‪ VMOTION‬מסביבה פיסית אחת לאחרת‪.‬‬
‫פיתרון מאוד חדש (עדיין בבטא) של ‪ CA‬בשם ‪. virtual privileged manager– VPM‬‬
‫במשפחה של מוצרי ה ‪ .Access Control‬זה בעצם עטיפה של מוצר קיים והוסיפו יכולות‬
‫שרלוונטיות לוירטואלצזציה‪ .‬כיום קיימת גרסה ‪ 0‬של המוצר‪.‬‬
‫מה הפיתרון‪ :‬יש את החבילה של הקשחה של השרתים (‪, PUPM‬הרשאות לתפקידים)‪.‬‬
‫בסביבה הוירטולאית יש אדמין חזק עם גישה למאות גסטים‪ .‬מקים אותם מתבנית קבועה‬
‫מראש שצריך לשנות‪.‬‬
‫הרעיון הוא ניהול הסיכון שיש גישה חזקה ל ‪ .Hypervisor‬כלומר מדובר במענה לחשבונות‬
‫הסופר‪ ,‬מענה ברמת האודיט ו‪. network zoning‬‬
‫‪ VPM‬נותן את הפיתרון בהרמוניה עם הסביבה ‪-‬איפשור של תזוזה של שרתים וירטואלים‪,‬‬
‫שינוי הרשאות לשרתים מדי פעם ועוד‪ .‬הדינמיות נשמרת ועדיין יש אכיפה‪ .‬ניהול הגסטים‬
‫נעשה עם ‪ virtual appliance‬שאין בעיה למחוק כי כל מה שקשור אליו נשמר בסביבה‬
‫חיצונית ולא על המכונה הוירטואלית כדי שאם ימחקו אותו המידע ישמר ב ‪ DB‬אחר קיים‪ .‬לא‬
‫צריך משהו גדול מבחינת משאבים‪.‬‬
‫מתחברים לסביבה של ‪ .VMWARE‬מודעים לכל שינוי שנעשה בסביבה‪ .‬הם לא ברמת‬
‫הקרנל אלא מעל כי הלקוחות לא אוהבים את ההתקנות הללו‪ .‬חוקים עסקיים או לפי‬
‫הפרמטר של המכונה (למשל‪ :‬מכונת‪ WIN‬חדשה ‪ -‬יודעים שיש עליה ססמאות אדמין‬
‫מקומיות ‪-‬הם ינטרו אותה ויראו מי ניגש)‪.‬‬
‫יש אינטגרציה עם ה ‪- VCENTER -‬יודעים להגיד מי ניגש ומתי דרך הסביבה הזו‪ .‬הכלי יודע‬
‫לשבת על הסשן‪ ,‬לפתוח הקלטה ולתעד‪.‬‬
‫ניתן לעבוד גם דרך הפורטל של ה ‪ PUPM‬של ‪ .CA‬זה למי שרגיל ומעדיף‪ .‬פשוט פותחים‬
‫טאב חדש שנקרא ‪.CA SECURITY‬‬
‫המטרה היא לעבוד דרך הסביבה המוכרת לאדמינים ולא להכריח אותם להכנס לפורטל‪.‬‬
‫הפיתרון מתאים גם לגרסת ה ‪ PCI‬המדברת על וירטואליזציה (‪.)PCI 2‬‬
‫המערכת נותנת לאדמין התראות לגבי פעולות שהוא לא עושה כמו שצריך‪.‬‬
‫אודיט ‪-‬כמו פוליסי ב ‪ .PUPM‬הקונספט או ללא אג'נטים‪ .‬יש מדיניות שמוגדרת לפי החלטות‬
‫מראש של אבטחת מידע וזה שקוף לאדמין‪ .‬נניח מכונת ‪ WIN‬חדשה מקבלת מראש הגדרות‬
‫בסיס ללא קשר להגדרות של האדמין‪ .‬זה מעין הקשחה‪.‬‬
‫הסיבה המרכזית להעדר אג'נטים‪ :‬לאפשר דימניות ושלא יטלו הגדרות בעת קפיצה של‬
‫סביבות או שרתים מאתר אחד לאחר או בין מכונות‪.‬‬

‫‪Page 19 of 23‬‬

‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫אין חסימה של פעולות בתוך המכונה‪ .‬את זה ניתן לעשות עם ‪ AC‬הקלאסי‪ .‬פה בעיקר‬
‫לוקחים ססמאות במידת הצורך‪.‬‬
‫הקשחה של ה ‪ ESX‬ו ‪- ESXi‬ב ‪ ESXi‬אין מערכת הפעלה‪ .‬ההקשחה כאן היא לא קלאסית‪.‬‬
‫לא ניתן להתקין אגנט‪ .‬עובדים כרגע על סט יכולות שיכולים לעשות‪ :‬מניעת התחברות‬
‫ממקומות מסויימים‪ ,‬התחברות רק דרך ‪ .VCENTER‬הם מרחיבים את יכולות האדמין או‬
‫אבטחת המידע על בסיס מסמך ההקשחה של ‪ VMWARE‬שיצא באפריל ‪.0100‬‬
‫אם אני עובד לפי המסמך לבד לא אקבל את הדינמיות שאקבל עם עבודה עם ה ‪ .VPM‬הם‬
‫משנים ומשתנים עם כל סביבה חדשה עוברת דרכם‪.‬‬
‫‪- Network zoning‬היכולת למנוע דיבור בין גסטים‪ .‬הם מתממשקים ל יכולות של‬
‫‪ .VMWARE‬ידעים להגיד על מכונה מה היא ‪ LAN ,DMZ-‬וכו‪ .‬נניח אני רוצה לבודד מכונה‬
‫במעין ‪ VLAN‬אחר‪ ,‬גם אם אין ממש ‪ VLAN‬שונה‪.‬‬
‫הוא יודע לעטוף שרתי ‪ PCI‬למשל‪ .‬הפיתרון יושב על כל ‪ ESX‬רלוונטי בצורת ‪network‬‬
‫‪.appliance‬‬
‫כאמור‪ ,‬בשוק קיימים פתרונות נוספים שלא צוינו כאן‪ ,‬כמו ‪ FW‬של חברת ‪Checkpoint‬‬
‫אשר מיועד לעולם הוירטואלי ופתרונות נוספים‪.‬‬

‫סיכום על רגל אחת‬
‫נקודת הזמן הזו היא נקודה חשובה להזדמנות אסטרטגית לבחירת פתרונות חדשניים‪" .‬עוד‬
‫מעט יכנסו רגולציות והמחירים יעלו‪ "...‬כמו שחלק מהלקוחות שבחנו פתרונות סיפרו‪ .‬אולי‬
‫ניתן יהיה לחסוך כסף ע"י בחירה בפיתרון חדש‪ .‬מצד שני‪ ,‬יש לבחירה בפיתרון חדש‬
‫חסרונות רבים לצד סיכון רב יחסית‪.‬‬
‫מכל מקום‪ ,‬על הארגונים לבחון את התחום בצורה מדוקדקת כדי לוודא שניתנים מענים‬
‫לאיומים החדשים בעולם הוירטואלי‪.‬‬
‫מהתחושה שאני קיבלתי מהשוק עד עתה עושה רושם שיש פתרונות‪ ,‬הסיכון מוכר ועדיין‬
‫הלקוחות לא "רצים" לכיוון של פתרונות צד ג' על המכונות הוירטואליות שלהם‪ .‬נקודה זו‬
‫מעלה תהייה לגבי האפשרות שתחום זה יתרומם בעתיד הקרוב‪.‬‬

‫תגובות של ספקים‬
‫‪CA‬‬
‫פתרונות לניהול וירטואליזציה מבית ‪ CA‬מספקים את מענה לאתגרים אלו עם יכולת טובה‬
‫יותר של שליטה‪ ,‬הבטחה‪ ,‬אבטחה הקמה ואופטימיזציה של סביבות היברידיות‪.‬‬
‫פתרונות ‪ CA‬לסביבות אלה מספק מענה לעומקה ולרוחבה דל הסביבה ההטרוגנית‪ ,‬ומספק‬
‫פרספקטיבה מקיפה לשירות על מנת להבטיח שפריסת הווירטואליזציה מספקת את‬
‫התגובה‪ ,‬הזריזות והגמישות בסביבה תחרותית‪.‬‬
‫אתגרים מרכזיים‪:‬‬
‫חוסר ניהול נכון של הסביבה עלול להוביל למה שקרוי ‪ VM sprawl‬ו‪ VM Stall-‬הבאים לידי‬
‫ביטוי באופן הבא‪:‬‬
‫‪Page 20 of 23‬‬

‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫‪‬‬

‫‪‬‬

‫שקיפות ובקרה ‪ -‬מנהלי וירטואליזציה אינם יכולים בקלות לראות את הפריסה‬
‫הווירטואלית‪ ,‬במיוחד בסביבות גדולות‪ .‬הקלות של פריסת תשתית טומנת כשלים‬
‫כגון היכולת להימנע מאמצעים מסורתיים כמו אישור או צעדי הרכש שבעבר הבטיח‬
‫ביטחון‪ ,‬ושליטה על עלות‪ .‬כלי ניהול מסורתיים אינם יכולים להתמודד עם סוג כזה או‬
‫שיעור השינוי וכן ניתן די בקלות לאב שליטה‬
‫‪ - VM Sprawl‬ללא שקיפות ובקרה‪ ,‬ללא משאבים מיומנים לנהל וירטואליזציה‪,‬‬
‫פריסות ‪ VM‬עלולה להמשיך באין מפריע‪ .‬כתוצאה מכך‪ ,‬היא עומדת בפני התפשטות‬
‫בלתי מבוקרת של סביבות וירטואליות אשר עלולה להוביל ליכולת ירודה בביצועים‪,‬‬
‫חריגות רישוי‪ ,‬תעדוף משאבים לא נכון וכד'‬

‫פתרונות ‪CA‬‬
‫‪ - Virtual Assure ‬מספק ניהול של אירועי שבר‪ ,‬וניהול הביצועים של תשתיות‬
‫וירטואליות הטרוגניות‪ .‬התכונות העיקריות כוללות ניטור חכם של בעיית השורש (על‬
‫פני מערכות‪ ,‬רשתות‪ ,‬יישומים) כדי לסייע לבודד תקלות במהירות ולספק את‬
‫הנראות‪ ,‬הביטחון‪ ,‬ואוטומציה הדרושה כדי לתמוך בעסק‬
‫‪ -Virtual Automation ‬מספק יכולות אוטומטיות‪ ,‬לשירות עצמי וניהול מחזור החיים‬
‫של ה‪ ,VM-‬כולל הקצאה‪ ,‬ניהול מאגר משאבים‪ ,‬מעקב ‪ ,VM‬תמחיר‪ ,‬ו ‪DE‬‬
‫‪.provisioning‬‬
‫התכונות העיקריות כוללות ממשק שירות עצמי‪ ,‬הקצאה המבוססים על תבנית‪,‬‬
‫משולב‬
‫אימות‪ ,‬ניהול מדיניות תצורה ‪VM‬‬
‫‪ -Virtual Configuration ‬גילוי תצורה‪ ,‬דיווח וטיפול עבור תשתיות וירטואליות‬
‫הטרוגניות‪ .‬התכונות העיקריות כוללות גילוי של שרת היישומים‪ ,‬ערכי הבסיס תצורה‪,‬‬
‫אימות זיהוי וטיפול של תצורה ביקורת תאימות דיווח על מצב הסביבה ושינויים‬
‫בסביבה‬
‫‪ - Automation for Hybrid clouds ‬מספק אוטומציה מבוססת מדיניות עבור‬
‫הקצאה שרת‪,‬‬
‫שינוי זיהוי תצורה‪ ,‬שירות עצמי הקצאת משאבים וניהול וירטואליזציה‪ .‬התכונות‬
‫כוללות יישום מערכות גילוי‪ ,‬אוטומציה של תהליכי עבודה בתהליך‪ ,‬תצורה לניטור‬
‫וניהול לשנות זיהוי‪ ,‬ביצועים וביצוע ‪ provisioning‬לסביבות וירטואליות ופיזיות‬
‫מגוונות‬
‫‪ – CA Virtual placement manager ‬פתרון ייחודי המאפשר על בסיס ניתוח‬
‫ביצועים היסטורי מספק על בסי סניתוח אנליטי המלצות לטיוב הסביבה הווירטואלית‬
‫(הזזה של מכונות בין סביבות והקצאת משאבים מיטבית) וכן יכולת לבצע ניתוחי‬
‫‪ What-if‬עבור תהליכי רכש חומרה עתידיים‪.‬‬

‫‪Glasshouse‬‬
‫אנו עדים בתקופה האחרונה להתקדמות הלקוחות בכל הנוגע לפריסת מערכות על תשתיות‬
‫וירטואליות‪ ,‬הן ברמת ריבוי המערכות הקריטיות המקבלות את משאבי המחשוב והן ברמת‬
‫הבטחון ותאימות התשתיות הוירטואליות והיכולות המתקדמות‪ .‬אנו מאמינים כי המגמה‬
‫תימשך ונהיה עדים למערכות ליבה נוספות דוגמאת מסדי נתונים ומערכות עסקיות קריטיות‬
‫נוספות ע"ג תשתיות וירטואליות בעתיד הקרוב‪ .‬חזון זה מקבל חיזוק מהיצרנים המובילים‬

‫‪Page 21 of 23‬‬

‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫אשר מציגים פתרונות מבוססי ענן ואוטומציה אשר יאפשרו ללקוחות ליישם תשתיות‬
‫וירטואליות גדולות יותר ומורכבות יותר‪.‬‬
‫גלאסהאוס מספקת קשת רחבה של פתרונות ושירותים בתחום תשתיות ה‪ ,IT -‬עם התמחות‬
‫רבה בוירטואלזציה‪ ,‬מיחשוב ענן‪ ,‬אחסון וגיבוי‪ ,‬תכנון רציפות עסקית (‪ )BCP‬והתאוששות‬
‫מאסון (‪ ,)DRP‬בסיסי נתונים (‪ Oracle‬ו‪ )MS-SQL-‬ואספקת פתרונות ‪ .BI‬תשתיות‬
‫מבוססות ‪ UNIX, Linux‬ו‪ ,Microsoft-‬פתרונות וירטואליזציה ופתרונות לזמינות גבוהה‬
‫(‪.)High Availability‬‬
‫על הצוות המקצועי של גלאסהאוס נמנים טובי המומחים בעולם‪ ,‬הפזורים על פני מספר‬
‫מדינות באירופה‪ ,‬בארה"ב ובישראל‪ .‬על רקע זה מחזיקה החברה בהבנה טכנולוגית‬
‫מעמיקה ומומחיות ממוקדת בתחומי העיסוק שלה‪ ,‬מבלי לוותר על נקודת מבט מערכתית‬
‫ורחבה שמאפשרת לחברה להתמודד עם אתגרים מורכבים‪ .‬כחברה האוחזת בסטנדרטים‬
‫אמריקאיים מציעה גלאסהאוס גם רמת שירות גבוהה‪ ,‬לצד כלים ומתודולוגיות מוכחות‪.‬‬

‫עמוד ‪– 1‬‬
‫‪ .0‬מספר ה – ‪ CPU‬שנתמך סביבות וירטואליות מבוססת ‪ vSphere5‬הינו ‪ .32‬לאחר ש – ‪Vmware‬‬
‫הכפילו בא רבע את מספר המעבדים האפשריים למכונה בגרסא האחרונה שיצאה בסוף אוגוסט‬
‫האחרון הוסרה כמעט לחלוטין ההגבלה של דרישות ‪ CPU‬גבוהות לאפליקציות הדורשות זאת‪.‬‬
‫עמוד ‪– 4‬‬
‫‪ .0‬מגבלות העבודה עם ‪ RDM‬ו – ‪ Vmotion‬הוסרו בגרסאות ‪ vSphere4‬וניתן לבצע ‪VMotion‬‬
‫למכונות וירטואליות בעלות ‪.RDM Physical / Virtual compatibility‬‬
‫עמוד ‪– 5‬‬
‫‪ .0‬יש לשים לב להתייחס לסוגיית הרישוי של ‪ VMware‬כאשר מדברים על ‪ sizing‬נכון‪ .‬צריך לקחת‬
‫בחשבון מגבלות של ‪( vRAM per license ,cores per socket‬כמובן הדבר תלוי בגרסאות הרישוי‬
‫‪)vSphere4 / vSphere5‬‬
‫ההבדלים וההגבלות בנושאי הרישוי בין הגרסאות השונות (מתוך‬
‫‪:) http://www.vmware.com/files/pdf/vsphere_pricing.pdf‬‬

‫‪Page 22 of 23‬‬

‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫‪ .0‬על מנת לסדר עדיפויות במוצר ה – ‪ SRM‬אין צורך לשים את כלל המכונות המגונות בעדיפות עליונה‬
‫על אותו ‪ .LUN‬בתחילה המוצר מקצה את כלל רכיבי האחסון הנדרשים לאותו ‪ recovery plan‬ואז‬
‫מתחיל בסדר העלאת המכונות‪.‬‬
‫הדבר הינו נכון רק עם ישנה הפרדה של הסביבה למספר ‪ recovery plan‬המכילים מכונות שונות‪,‬‬
‫חשוב להבין שהפרדה מסוג זה אינה מומלצת‪.‬‬

‫עמוד ‪– 6‬‬
‫‪ .0‬ההמלצה היא תמיד להפנות את ה – ‪ Swap files‬של המכונות הווירטואליות לדיסק מרכזי כדי‬
‫לחסוך מקום בעת גיבויים‪ ,‬רפלקציות למיניהן וכדי להשיג דיוק גבוהה של דיסק ‪.provisioning‬‬
‫המלצה נוספת בתחום היא להפריד בין מכונות שלא משתתפות בתהליך ה – ‪ DR‬לדיסקים‬
‫נפרדים שלא מרופלקים לאתר המשני כדי לחסוך עלויות אחסון ולהימנע מהשבתת מכונות אלו‬
‫בעת ביצוע תרגילים "רטובים"‪.‬‬

‫‪Page 23 of 23‬‬

Sign up to vote on this title
UsefulNot useful