Incapsula, la nota CDN e Firewall ci svela i suoi progetti per il futuro.

incapsula-cdn-waf-expansion-plans-mapCome leggiamo dalla loro newsletter appena giunta per email, Incapsula la una nota CDN con funzioni di WAF (Web Application Firewall) e DDOS mitigation, già recensita QUI, ha dei seri piani per il futuro prossimo.

Dopo la recente acquisizione da parte di Imperva, (azienda leader nel settore Data protection e IT Security) infatti ha annunciato con notevole entusiasmo che aumenteranno datacenter e banda a disposizione fino a raggiungere cifre davvero considerevoli.

Ecco cosa scrivono su : http://www.incapsula.com/blog/cdn-expansion-plans-map.html

Incapsula e i 30 datacenter per la fine dell’anno.

E ‘ bello essere in grado di unire una organizzazione che si muove veloce come Incapsula. Oggi voglio discutere di questo slancio, condividendo i nostri piani di espansione della rete per il 2014.

Con il primo trimestre dietro di noi, e con tre nuovi datacenter già attivi, siamo entusiasti di annunciare il nostro impegno a raddoppiare le dimensioni della rete di Incapsula – espansione da 16 a 30 punti di presenza (POP) entro la fine dell’anno.

Con questi nuovi data center ci aspettiamo la capacità di rete complessiva di Incapsula di oltre 1,5 Tbp/s. Inoltre, ciascun POP di Incapsula sarà configurato per memorizzare nella cache ben 30 volte più della sua capacità attuale con l’aggiunta di una nuovi switch con una maggiore densità di porte.

Località dei nuovi Datacenter

Le posizioni dei nostri data center in arrivo sono stati accuratamente scelti per la connettività di rete ottimizzata e per la loro capacità di riflettere le reali esigenze dei nostri clienti, dunque aumentare la presenza della rete in regioni ad alta richiesta, oltre a fornire una copertura in nuove posizioni geografiche.

Ecco l’elenco di tutti i POP candidati nel loro ordine alfabetico:

Atlanta, USA
Auckland, Nuova Zelanda
Lima, Perù
Hong Kong, Cina
Madrid, Spagna
Milano, Italia
Città del Messico, Messico
Mumbai, India
Sao Paulo, Brasile
Seoul, Corea del Sud
Toronto, Canada
Vienna, Austria
Varsavia, Polonia

Anche mentre parliamo, alcuni di questi luoghi sono già in fase di implementazione iniziale, e pochi sono a pochi passi di distanza dall’attivazione ufficiale.  E’ anche possibile che una posizione di alcuni dei luoghi si sposterà, a seconda della disponibilità di risorse di rete locale.

Questo è come la nostra rete sarà simile entro la fine dell’anno:

global-cdn-expansion-map

2013 ottima annata ma solo un “riscaldamento”

Nel 2013 il numero di siti protetti da Incapsula è cresciuto di oltre il 600 per cento. Oggi, Incapsula è la piattaforma di Application Delivery scelta per decine di migliaia di organizzazioni, tra cui alcuni dei più grandi marchi del mondo di elettronica di consumo, rivenditori online, istituzioni finanziarie e società SaaS di spicco.

L’anno scorso, per accogliere la nostra crescita, siamo cresciuti la nostra capacità di rete a oltre 600Gbps, espandendolo di oltre il 500 per cento. Abbiamo anche introdotto una serie di importanti aggiornamenti di servizi, tra cui statistiche in tempo reale, nuovi controlli Cache , un sistema integrato di autenticazione a due fattori e una sfilza di altre caratteristiche.

Quest’anno continuiamo ad espandere la nostra lista di servizi, così come le nostre capacità di networking. Nel primo trimestre del 2014 abbiamo già aumentata capacità di sicurezza del Incapsula con le nostre nuove regole di firewalling per il nostro motore di filtering. Più di recente, abbiamo ampliato la nostra offerta con il nostro Layer 7 Load Balancer – primi a fornirlo  nel suo genere come soluzione di high avalaibility per i nostri clienti Enterprise.

WAF, Web Application Firewall e Proxy per mitigare attacchi DDoS

La nostra espansione della rete rapida non è solo alimentata dalla propria crescita di Incapsula, ma anche dalla crescita di attacchi DDoS volumetrici. Dall’inizio del 2013, abbiamo assistito ad un aumento senza precedenti del numero di grandi minacce DDoS al punto in cui uno ogni tre attacchi all’ora raggiunge oltre 20 Gbps e DDOS da oltre 100 Gbps non sono più rari.

Con diversi grandi DDoS  che si verificano su una base quotidiana, e con sempre più siti web in cerca di Incapsula per la protezione, sapevamo che era il momento di investire; non solo per la necessità di oggi, ma anche per gli obiettivi di domani.

DREAMSNET.IT e Incapsula. Servizi di consulenza e protezione DDOS

Come azienda abbiamo valutato, analizzato e già trattato le varie CDN che il mercato offre, rilevando in Incapsula attualmente la migliore soluzione per il Firewalling a livello di applicazioni Web, nonchè come protezione DDOS per utenti commerciali vittime di attacchi DDOS di notevole portata.

Effettiamo consulenza di DDOS Mitigation, nonchè configurazione e installazione di Incapsula come elemento vitale per la disponibilità dei servizi.

Ottenere l’IP statico con Alice Business con router alternativo o proprietario.

router-alice-alternativo-ip-staticoUna delle esigenze più comuni in ambito di connettività ADSL è quella di poter disporre di un indirizzo IP statico su Alice Business utilizzando un router proprietario e non i classici router  Telecom.

Questo può avvenire per i più svariati motivi, siano essi esigenze puramente tecniche (fare VPN, sicurezza internet, QoS, Videosorveglianza, ecc.) tramite apparati proprietari dedicati, siano essi per riciclare un vecchio router in nostro possesso ed evitare di pagare il canone di noleggio a Telecom Italia, nonchè per rimpiazzare un router Alice magari rotto, nell’attesa che l’assistenza Telecom ce ne fornisca uno nuovo.

L’IP statico è un comodo servizio che a volte è vitale quando si desidera essere raggiunti su Internet, o si voglia pubblicare dei servizi online, come webserver, ftp, database o altri servizi che hanno necessariamente di avere un indirizzo IP statico.

Telecom Italia dice chiaramente che l’ip statico è attivabile e configurabile esclusivamente tramite l’utilizzo di un loro router.

Omette volutamente di informare l’utente finale che si potrebbe tranquillamente sostituire con uno proprietario inserendo una configurazione ad-hoc sul nostro router.

La configurazione per usare l’ip statico su router alternativo è valida per la totalità dei router ADSL oggi in commercio, siano essi di fascia alta come CISCO, Lynksys, Zyxel, o router più economici come TP-Link, Netgear, Dlink, ecc…

Gli step da fare sono pochi, semplici ed accessibili anche agli utenti meno esperti.

Il concetto è semplice : individuare il MAC ADDRESS del router Telecom Alice, e utilizzarlo come stringa di login nella configurazione del nostro router, avendo cura di scriverlo a lettere maiuscole.

Il MAC address è quello che potete trovare sotto il router ADSL come mostrato in figura.

router-alice-ip-aleternativo-indirizzo-mac

Esso è una serie di caratteri esadecimali a volte in alcuni modelli separati dai due punti “:”, che non debbono essere presi in considerazione nella procedura che andremo ad illustrare.

Per assegnare l’IP statico di Alice Business ad un router non fornito da Telecom Italia è sufficiente impostare i seguenti valori di user e password:

USER: MACADDRESSDELROUTERTELECOM–0013C8-t@alicebiz.it
PASSWORD: alicenewag

Se ad esempio il MAC ADDRESS del router Telecom Italia Alice fosse 00:11:22:33:44:55:66 la user da inserire nel router dovrebbe essere 00112233445566–0013C8-t@alicebiz.it mentre la password è sempre e in ogni caso alicenewag

I parametri da settare inoltre nella sezione ADSL (chiamata anche WAN o Internet in alcuni router) del vostro router proprietario sono :

Encapsulation: RFC 2516 PPPoE
Multiplexing: LLC

QoS Type: UBR

VPI: 8
VCI: 35
DSL Modulation: Multimode

Con questi semplici accorgimenti potrete assicurarvi il diritto di utilizzare il router che più preferite invece dei soliti Router Alice, che sicuramente e in moltissimi casi hanno funzionalità e caratteristiche che lasciano molto a desiderare.

Raid Hardware VS raid software su server Linux. Alcune dovute considerazioni.

raid-hardware-vs-softwareQuest’articolo nasce da dovute considerazioni elucubrate nel corso di ormai oltre 10 anni di sistemistica spinta su server Linux.
La scintilla che ha dato fuoco alle polveri è stata il sorgere di una seria problematica avvenuta nella sede di un nostro cliente che mi ha fatto trarre finalmente le giuste conclusioni su un argomento molto importante e molto discusso, ovvero il confronto tra RAID hardware e RAID software.

Il termine RAID sta per Redundant Array of Independent Disks.
L’idea di base dietro al RAID è quella di combinare più dischi in un array che superi le prestazioni di un disco unico, grande e costoso. Questo array di dischi viene visto dal sistema operativo come un unico dispositivo.

Non ci addentreremo in una spiegazione esaustiva sulle varie tipologie di RAID, evitando di addentrarci sui pregi e difetti di RAID0, RAID1, RAID5 e RAID10, ci accingeremo soltanto a menzionare una tipologia di RAID molto in voga in ambiti di aziende di piccole (ma anche grandi) dimensioni, ovvero il RAID 1.

RAID1 è una tipologia di RAID definita anche mirroring, dove il dato scritto in una unità disco, viene duplicato in modo speculare sull’altra unità disco identica all’altra.

Il vantaggio di questa tecnologia è quella di garantire una duplicazione dei dati tale da permettere nonostante la rottura di un disco l’operatività del server, nonchè la rimozione del disco difettoso, la sostituzione e il riallineamento del nuovo disco nell’array.

Esistono sostanzialmente 2 modi di mettere in funzione un array RAID su Linux : Hardware o Software.

RAID Hardware

Si intende un Array RAID Hardware, una coppia di unità disco, controllate da un CONTROLLER fisico.
Le soluzioni hardware gestiscono il sottosistema RAID indipendentemente dall’host e presentano all’host un singolo disco per array.
Un sistema RAID esterno sposta tutta “l’intelligenza” gestita dal RAID in un controller situato nel sottosistema del disco esterno. Tutto il sottosistema è collegato a un calcolatore tramite un normale controller RAID e compare come un singolo disco.

Essi normalmente garantiscono operazioni molto utili per la Business Continuity come l’hot-swap (rimozione a caldo di un disco), e una velocità di trasferimento dati molto elevata completamente a carico del controller.

Vengono normalmente consigliati per ogni tipo di RAID e sono a “furor di popolo” preferibili ad un RAID software.

Successivamente vedremo che questi vantaggi hanno un costo (oltre ai circa 300€ del prezzo di un buon controller come quelli della 3WARE ad esempio).

RAID Software

Il RAID Software implementa i vari livelli di RAID nel codice del kernel riguardante la gestione del disco (block device). Offre inoltre la soluzione in assoluto meno costosa: non sono richiesti costosi controller dedicati o chassis hot-swap, e il RAID software funziona sia con dischi IDE meno costosi sia con dischi SCSI, sia con dischi SATA e successivi.
Con le CPU dell’ultima generazione, le prestazioni di un RAID software possono eccellere quelle di un RAID hardware.

Per RAID software in ambiente Linux, si intende all’unanimità il driver MD del kernel Linux.

Essa è una soluzione RAID Software completamente indipendente dall’hardware, di eccelsa stabilità, con una gestione ad-hoc tramite semplici comandi shell presenti nel pacchetto mdtools.

Quale soluzione utilizzare ?

Qualora il vostro problema non sia prettamente di tipo economico in cui sareste per cause di forza maggiore a scegliere un RAID Software, vorremmo discutere l’altra opzione disponibile, ovvero quella di installare un controller RAID Hardware.
Vi serve davvero in fondo ? Cosa vi da in più di tangibile rispetto ad un RAID Software ?

Quante cose non vi sono mai state dette in merito sulla verità della battaglia Raid Hardware VS Raid Software ?

E’ giunto il momento di scoprirlo.

Alcuni fatti sorprendenti sul RAID Hardware e RAID Software.

1. Esiste il 100% di probabilità che il tuo volume RAID si guasterà.

Partire con questa mentalità (che aumenta col trascorrere del tempo trasformandosi da possibilità in certezza), vi metterà nella condizione di fare il giusto affidamento sulle tecnologie RAID per quello che sono, ma sopratutto quello che non sono.
Un RAID non è un backup, avere un sistema RAID non vi proteggerà da cancellazioni, modifiche, attacchi hacker o rotture disco. I backup vanno fatti esternamente a prescindere dal backup o meno e dell’eventuale eccesso di fiducia riposto in esso.

Come avete pianificato il disaster recovery ?

2. Il RAID software è quasi sempre una scelta migliore rispetto ad un RAID hardware.

Il RAID software ha fatto notevoli passi da gigante negli ultimi anni (a partire dal 2012), divenendo un prodotto qualitativamente eccelso.
Il RAID hardware ha invece ben 3 punti chiave a suo sfavore:

Primo: Il costo. Sicuramente non proibitivo ma comunque un buon deterrente alle piccole aziende.
Secondo : Il controller RAID. Se lui si rompe, il volume RAID smette di funzionare. Il controller è un punto di rottura singolo.
Terzo : se la scheda RAID si rompe, avrete bisogno di rimpiazzarla con un modello identico per ripristinare il volume RAID e i relativi dati.

In parole povere, il RAID software non costa nulla (se non la briga di configurarlo) e se il controller del disco sulla motherboard si guastasse (o anche l’intera scheda madre), basterebbe semplicemente rimuovere i dischi, spostarli su un’altra macchina per avere un sistema perfettamente funzionante.

E’ anche vero che un RAID hardware è più veloce di un RAID software, ma la differenza non è sostanziale, e la flessibilità e la stabilità del RAID software mette in secondo piano qualche megabyte di velocità in più del RAID hardware.

L’unica scelta sensata per un RAID hardware su Linux è quella di esigere indiscutibilmente il massimo delle prestazioni di I/O su disco. Con i nuovi dischi SSD che stanno entrando prepotentemente anche nel mercato Server, vien da chiedersi ancora una volta in più se davvero avete reale bisogno di tutta questa velocità, o se due dischi SSD in RAID1 software possano in qualche modo soddisfare anche l’utente più esigente.

In rete ci sono molte letture e benchmark sulla comparazione tra raid hardware e software, ma la maggior parte di essi non sono aggiornati ed effettivamente dal 2012 ormai possiamo disporre anche a livello software di caratteristiche fino a poco tempo fa riservate solo a soluzioni hardware.

  • Hot swapping col RAID software. SATA 3G e SATA 6G rendono questo possibile. Se un disco si rompe, si può rimuovere a caldo senza downtime e interruzioni servizio.
  • Il RAID software consuma una piccolissima fetta di potenza CPU. In test reali eseguiti su Debian, CentOS, RedHat, questa piccolissima fetta ammonta ad appena il 2% fino al 5% in situazioni di elevato traffico. Su sistemi moderni multicore, l’impatto sulle prestazioni è praticamente nullo.
  • Il RAID software lavora perfettamente con i dischi SSD di ultima generazione e con il loro sistema di caching. I dati più letti vengono migrati su una cache superveloce.
  • Il RAID software supporta appieno volumi di dimensioni variabili che possono essere estesi aggiungendo nuovi dischi. (Discorso valido sopratutto per ZFS, ma anche altri come LVM vanno bene lo stesso).

3. Alcune “schede RAID” non sono veri RAID hardware ma fake-raid.

Negli ultimi anni molti controller SATA (spesso inclusi direttamente nelle schede madri) hanno dichiarato di offrire RAID hardware. In realtà sono dei semplici controller disco a cui viene implementato un RAID software a livello BIOS.
Nessun processore dedicato al RAID, nessun vantaggio aggiunto a quello di un RAID software su Linux.

Come si riconoscono questi controller e queste schede madri ? Ovviamente dal prezzo.
Una scheda venduta a 50€ non potrà sicuramente un vero RAID hardware considerando che un prodotto buono (ma non eccelso) della 3WARE nonlo si trova al di sotto dei 300€.

Oltretutto queste schede solitamente offrono supporto e funzionalità solamente a sistemi operativi Microsoft Windows.

Uno sguardo alle realtà aziendali.

Per fare un paragone, un server di fascia alta corredata da un controller RAID harware anch’esso di fascia alta, è un po’ come una Ferrari. Va bene fare un grosso investimento iniziale per acquistarla, ma bisogna essere altrettanto lungimiranti di conoscere i costi di manutenzione e il costo di riparazione in caso di guasti e rotture.

Cosa succede se si guasta un server del genere ? Esiste in azienda un server per una sostituzione immediata ? E se si guasta un controller, ne avete subito uno pronto per un ripristino “immediato” della produttività aziendale ?
In molte piccole e medie realtà a volte capita persino di non avere a disposizioni nemmeno dischi di spare (di riserva) per sostituire un eventuale disco danneggiato, figuriamoci altro.

Se pensate pertanto di volere una vita facile, in cui la sicurezza dei dati è prioritaria al piccolo incremento di prestazioni che un controller RAID hardware può offrirvi, scegliete pure con serenità una soluzione di RAID software su Linux. Linux è decisamente maturo per dare il massimo ad un costo minimo, e vi metterà al riparo da eventuali rischi che non siete ancora disposti a correre e a sostenere economicamente.

Considerate inoltre la frequenza di rottura di un controller RAID hardware. La foto qui sotto è stata scattata durante la scrittura di questo post ed è la testimonianza di un server HP Proliant bello costoso che dopo la rottura del controller RAID ha iniziato a scrivere dati RANDOM sulle due unità disco rendendo entrambi i volumi praticamente inutilizzabili. Backup ripristinato su un server Linux con RAID1 software !

HP Proliant controller RAID rotto

 

 

Ripristino di un PC fisico con Windows 98 su VMWare Workstation 10 ed Acronis True Image Home.

Qualche giorno fa avevamo riparato un vecchio Pentium II con equipaggiato Windows 98. L’operazione era stata semplice in quanto era tutto funzionante eccetto l’alimentatore che era stato prontamente sostituito con un nuovo.

2014-03-19 15.36.32

Il PC era in dotazione ad una nota autoscuola locale e pertanto conservava dati storici gestionali, che di tanto in tanto hanno ancora bisogno di essere consultati.

Riamane dunque tutt’ora sensato avere in dotazione un vecchio Windows 98 (a distanza di ormai ben 16 anni) che funzioni bene perlomeno in relazione all’utilizzo a cui è stato destinato.

Ieri ci giunge notizia che il PC aveva dei problemi con degli strani BEEP e nessun segno di vita all’avvio. Appena consegnato l’abbiamo collegato al banco prova per renderci conto dopo aver smontato una ad una tutte le periferiche, che la scheda madre non dava segni di vita, ne tantomeno il BIOS che letteralmente non si avviava.

Dunque, dopo aver constatato l’impossibilità di sostituire la motherboard con una equivalente per Pentium II, è stato deciso di rimboccarsi le maniche e virtualizzare la macchina fisica su un software di Virtualizzazione (già menzionato a proposito di diverse emulazioni QUI ), per dar la possibilità di continuare ad usare il PC come se fosse in modalità nativa.

Backup partizioni con Acronis True Image Home 10

Pertanto abbiamo proceduto a smontare i dischi e avviare un backup totale di partizioni e MBR (Master Boot Record) tramite Acronis True Image Home 10 (un software molto potente e professionale per il backup e il ripristino di singoli file, cartelle, o intere partizioni). Alcuni professionisti consigliano di effettuare il backup e di convertire i file .tib prodotti con VMWare vCenter Converter, per poi importarli direttamente in VMWare.

La pratica vuole, che invece le ultime versioni di Acronis True Image Home (dalla 8 in poi nello specifico) generi archivi .tib incompatibili con VMWare vCenter Converter e pertanto bisogna procedere al restore del backup all’interno della macchina virtuale precedentemente creata.

Creazione della Macchina Virtuale

La macchina virtuale è stata creata dalle impostazioni di VMWare Workstation 10 precedentemente installato e scaricabile da http://www.vmware.com/products/workstation/workstation-evaluation utilizzando una configurazione pressochè identica al sistema fisico originale, ovvero : 1 processore, 1 core, 80 GB di Hard Disk, 512 MB di RAM, e un disco IDE.

configurazione-vmware
Abbiamo poi creato dall’interfaccia di Acronis True Image Home 10, un disco di BOOT in cui tramite le utility Acronis, abbiamo ripristinato il backup all’interno della macchina virtuale.

Per creare il CD (o se volete la ISO) dovete lanciare l’Acronis Media Builder :

acronis-media-builder

e successivamente avviare la macchina virtuale creata con VMWare Workstation ed effettuare il restore del backup che avete precedentemente eseguito.

Primo avvio del sistema recuperato e virtualizzato.

Al primo avvio, è ovvio dover riaggiornare e configurare tutti i driver che vengono trovati, che nel nostro caso sono stati già completamente inseriti compatibili nel database dei driver inclusi nell’installazione di Windows 98. E’ bastato pertanto andare avanti con installa, in un loop piuttosto lungo date le numerose periferiche PCI bridge rilevate, per poter effettuare il primo accesso in modo immediato e indolore.

L’unica nota dolente è stata per la scheda video non rilevata immediatamente che ha necessitato dell’ulteriore installazione dei VMWare Tools (installazione sempre consigliata), per poter disporre di una scheda video perfettamente funzionale sia nella combinazione colori che nella risoluzione del monitor.

Fatto questo, abbiamo riavviato di nuovo per goderci perfettamente l’ambiente virtualizzato e perfettamente funzionante.

2014-04-11 09.47.30e dismettere il vecchio PC ormai defunto :

computer-autoscuola-civitanova-marche

Open Source sul Web. Un’infografica sulla diffusione del software open source in ambito Web.

Di seguito un’interessante infografica che dimostra con una statistica inopinabile la diffusione e la penetrazione di software open source a livello Web.
Tra essi troviamo webserver, CMS, Sistemi Operativi come Linux, Linguaggi Server Side come PHP. Io personalmente avrei aggiunto anche altri componenti come server DNS (bind ad esempio), Mailserver come Postfix, EXIM, Qmail, o altri software open source che pur non avendo referenze “dirette” con l’ambito Web, hanno comunque una forte affinità affinchè un sito web possa disporre di tutte le funzionalità classiche come la mail ad esempio.

Si coglie l’occasione per ricordare che forniamo consulenza sistemistica su software open source e ottimizzazioni server e siti web.

Statistiche open source siti web

Aruba Cloud, la rimozione di un disco su Linux può impedirne l’avvio

Quello che andrò a descrivere è il comportamento che ho riscontrato al momento della rimozione di un disco ad un’installazione Linux Debian 7 su un’istanza Cloud Aruba.

Per essere brevi avevo in fase iniziale a livello di filesystem, uno schema del genere :

/dev/sda1 -> Sistema operativo (20 GB) – Montato su /
/dev/sdb1 -> Directory siti Web (100 GB) – Montato su /disk2
/dev/sdc1 -> Backup directory siti Web (80 GB) – Non montato
/dev/sdd1 -> Database MySQL – Montato su /mysqldisk

I disco numero 3 /dev/sdc1 era stato copiato su uno spazio più grande, passando da 80 GB a 100GB, e dopo aver rimontato il nuovo spazio sul suo vecchio punto di mount /disk2 e dopo averne accuratamente appurato il corretto funzionamento,
è stato rimosso in quanto non più necessario.

Al riavvio del server, il sistema non andava Up, non era possibile pingarlo, per cui ho pensato realmente che ci fosse stato qualche serio problema in fase di avvio a livello di partizioni.

Ho dovuto provvedere ad avviare la console di ripristino che nel mio caso si è trattato essendo di un Cloud Server e non di un server dedicato, non di un normale KVM over IP ma di un accesso remoto tramite RDP di VMWare vSphere del cloud Aruba, che dopo avermi fatto scaricare un paio di ActiveX per IE che mi hanno avviato una connessione VPN e fatto accedere tramite browser a una sessione RDP.

A quel punto ho notato l’errore in cui veniva menzionata l’inesistenza delle partizioni, e un bel prompt di login di emergenza.

Decido di loggarmi e facendo un fdisk -l mi accorgo che i dispositivi sono stati mappati sotto nomi diversi.

In parole povere :

/dev/sdd1 era diventato /dev/sdc1

Mi sono prestato ad editare con VI (editor di testo) il file /etc/fstab contentente le informazioni necessarie al montaggio delle periferiche disco e partizioni del sistema, modificando il dispositivo /dev/sdd1 in /dev/sdc1.

Un restart del sistema con un classico shutdown -r now e il sistema era di nuovo UP e funzionante.

Attenzione dunque a rimuovere dischi, potreste incappare nella stessa problematica.

Aruba Cloud. Vantaggi e svantaggi del cloud a confronto di server dedicati. Benchmark e non solo.

Scrivo questo post, in quanto in questi giorni sto seguendo un’importante azienda che sviluppa soluzioni ecommerce su Magento, nell’ottimizzare l’hosting per velocizzare sensibilmente la navigazione e l’user experience nei loro siti web.

La ricetta per far ciò è stata quella ben più volte menzionata e documentata in questo blog :

  • PHP 5.5
  • Zend OpCache (dato che abbiamo montato PHP 5.5) al posto del “solito” APC
  • Redis, che abbraccia la filosofia NOSQL come gestore cache e sessioni di Magento
  • Memcache
  • Percona Server – un fork molto stabile e performante di MySQL
  • Nginx, un webserver con gli steroidi che rimpiazzi egregiamente il lento (seppur ottimo) Apache.

La “ricetta” è quella ormai evangelizzata da tutti gli esperti sistemisti che sappiano il fatto loro e che abbiano la necessità di gestire picchi di utenze importanti e carichi elevati.

Ricetta che mi ha dato grossissime soddisfazioni anche su portali famosi come “Il fatto Quotidiano” e “tuttoandroid.net”

La scelta dell’hosting è stata invece “obbligata” su un player importantissimo a livello italiano, che si può definire tranquillamente scelta del mercato : Aruba.

Più precisamente data la necessità di avere una High Availability senza single point of failure, è stato scelto il Cloud di Aruba.

Se è vero che dal punto di vista sistemistico, feature come l’allocazione dinamica delle risorse e la scalabilità sono il forte di ogni Cloud che si rispetti, è anche vero che approfondendo meglio la soluzione proposta da Aruba ci si accorge che non sono tutte rose e fiori.

Ecco un elenco di gravi difetti che ho riscontrato a livello prestazionale sottoponendo la nostra istanza allocata a dei benchmark e comparati ad altre realtà che conosco bene, come un server dedicato con doppio disco RAID su Hetzner (noto hosting provider tedesco).

CPU

E’ evidente come già descritto nelle loro linee guida che “Ogni CPU Virtuale acquistata prevede una potenza minima riservata e garantita di almeno 0,5 core fisici di una CPU Intel Xeon serie 5600.
Dunque acquistare 4 CPU equivale nella peggiore delle ipotesi avere a disposizione una potenza di calcolo pari a 2 core di un Intel Xeon 5600, senza nemmeno il supporto del multithreading.
Caratteristiche senz’altro discutibili considerando anche il posizionamento di questa CPU nella classifica di CPU Benchmark.

Dal punto di vista di un sistemista bisogna per ovvi motivi ragionare nell’ottica della situazione peggiore, sopratutto quando si intende progettare un servizio di hosting dimensionato alle reali esigenze dell’utente finale.

Per avere insomma 8 core reali  su Aruba Cloud dovrei comprare ben 16 vCore. Su un server dedicato invece avrei potuto beneficiare di 4 core reali visti come 8 thread.

Scegliendo l’hypervisor VMWare (il più costoso ma anche il migliore) il costo per 1 singola CPU virtuale è di € 0,025/Ora che significa esattamente 18 euro / mese.
Avendo la necessità di garantirci almeno 4 core reali (ricordando che la potenza minima riservata e garantita è della metà) dovremmo moltiplicare per 8 questo valore : 144 € / mese !

RAM

La RAM è del tutto fisica e dedicata. Nulla da criticare se non fosse il costo sicuramente non trascurabile.
Per ogni GB infatti il costo è di € 0,005 / ora, che significano ben 3,60 euro / mese.
Considerato che un server in produzione ai giorni d’oggi non ha meno di 8 GB di RAM, parliamo di ben 28,8 € / Mese.

DISCO

Questa è la nota più dolente di tutti. Il motivo per cui non consiglierei mai a nessuno di utilizzare questa piattaforma Cloud per progetti commerciali di qualsiasi tipo.
In primis perchè il costo è proibitivo. Secondariamente perchè le prestazioni sono davvero troppo basse per il prezzo pagato.

Ipotizziamo un taglio disco di 100 GB (valore reale del sistema per cui sto prestando consulenza), costando € 0,003 / Ora ogni 10 GB, significa ben 21,6 € / Mese

Costi a parte, considerando che chi fa serio business difficilmente si fa problemi sui costi se il servizio ha un alto valore aggiunto, in questo caso va evidenziato un dettaglio fondamentale : le prestazioni di I/O talmente scarse da poter diventare il collo di bottiglia per l’intera architettura.

Pur notando empiricamente dei transfer rate non ottimali in routine di copia file, abbiamo voluto testare scientificamente le prestazioni con un benchmark dei dischi e comparandolo coi risultati di un server dedicato con dischi da 6 Gb/s 7200 rpm in RAID1 – Software.

Aruba Cloud :

  • Timing cached reads: 8834 MB in 2.00 seconds = 4419.74 MB/sec
  • Timing buffered disk reads: 28 MB in 3.80 seconds = 7.37 MB/sec

Hetzner – Server Dedicato con dischi RAID

  • Timing cached reads: 24252 MB in 2.00 seconds = 12145.40 MB/sec
  • Timing buffered disk reads: 344 MB in 3.00 seconds = 114.65 MB/sec

Emerge eloquentemente e senza ombra di dubbio che le performance disco della Cloud di Aruba sono dalle 3 alle 20 volte inferiori a quelle del server dedicato preso come riferimento per il confronto.

Valori indubbiamente bassi per servire grosse quantità di file, ma sopratutto per essere alla base dello storage di grosse basi di dati su MySQL o PostgreSQL, laddove la tendenza del mercato oggi è quella di usare dispositivi di archiviazione a stato solido come drive SSD o periferiche dedicate come Fusion IO.

Sento il dovere di dover chiarire un concetto, nel caso venisse fraintesa l’analisi dei valori : questi dati riguardano esclusivamente il Cloud Aruba e non l’architettura Cloud in generale.
Va detto infatti che altri competitor come Amazon AWS, Azure, o Linode danno valori decisamente ottimi.

Ad esempio un hdparm -tT su una Linode 2048 (virtualizzata XEN): Timing buffered disk reads: 254 MB in 3.01 seconds = 84.48 MB/sec

Cosa vogliamo dimostrare con questa analisi ? Tutto e niente.

Dipende da quello che si deve fare e sopratutto chiedersi (e rispondersi) se veramente il Cloud Aruba è la soluzione adatta al nostro progetto e alle nostre esigenze.

Valutare i “vecchi” sistemi dedicati e compararli sopratutto nel caso di prestazioni spinte.

A livello di costi non ci sono ovviamente paragoni, pur essendo per loro natura prodotti simili, ma non equivalenti e quindi difficilmente comparabili.

Per puro sfizio ecco il preventivo di una configurazione Aruba Cloud per garantire prestazioni equivalenti ad un server di fascia medio alta Hetzner

hetzner-server-dedicato

aruba-cloud-preventivo

Emergono due ulteriori conclusioni importanti :

Le risorse allocabili sono limitate, e 8 CPU e 32 GB di RAM sono valori BASSI in un contesto reale, tanto che non riesce ad eguagliare minimamente la comparazione con il server dedicato preso come esempio.
I costi sono decisamente alti : al lordo dell’iva sono 448 € contro i 99 € (iva compresa) dell’offerta tedesca.

Insomma, ne avremmo abbastanza per mettere online almeno 4 server dislocati geograficamente e garantirci un H/A tramite ridondanza geografica.

Qualora abbiate esigenza di progettare o ottimizzare i vostri servizi online contattateci pure, sapremmo sicuramente consigliarvi la soluzione da adottare e il partner più indicato per il vostro business.

Red Hat annuncia RHEL 7 Beta.

Red-Hat-7-RHEL-7Un certo numero di voi hanno posto la domanda, e ora abbiamo la risposta – RHEL 7 beta è ora disponibile!

Oggi è una tappa emozionante per Red Hat come condividiamo la notizia della disponibilità beta di Red Hat Enterprise Linux 7.

Con l’annuncio di oggi, stiamo invitando i clienti Red Hat, partner e membri del pubblico per fornire un feedback su quello che riteniamo sia il nostro rilascio più ambizioso fino ad oggi. Red Hat Enterprise Linux 7 è progettato per offrire un sostegno per le future architetture applicative offrendo allo stesso tempo la flessibilità, la scalabilità e le prestazioni necessarie per distribuire attraverso bare metal, macchine virtuali e infrastrutture cloud.

RHEL 7 Beta mette in mostra centinaia di nuove funzionalità e miglioramenti, soprattutto in queste zone:

  • Linux Containers
  • Performance Management
  • Physical and Hosted In-place Upgrades
  • File Systems
  • Networking
  • Storage
  • Windows Interoperability
  • Subsystem Management

RHEL 7 per gli sviluppatori

Con Red Hat Enterprise Linux, gli sviluppatori possono creare applicazioni moderne che possono essere tranquillamente distribuite in produzione utilizzando le più recenti tecnologie stabili, tra cui:

Inoltre, con l’ultima OpenJDK7, potrete sperimentare i tempi di avvio più rapidi per le applicazioni. Inoltre è possibile installare ed eseguire il debug con più JDK in parallelo, pur avendo accesso agli ultimi aggiornamenti che vengono rilasciati a monte.

Ecco l’annuncio ufficiale : http://www.redhat.com/about/news/archive/2013/12/red-hat-announces-availability-of-red-hat-enterprise-linux-7-beta

CloudFlare vs Incapsula vs ModSecurity. Analisi comparativa su quale scegliere e perchè.

Tutti amano le comparazioni non è vero? Ancora di più se a confronto ci sono CloudFlare vs Incapsula vs ModSecurity, 3 nomi che conosci sicuramente, messi a dura prova da Zero Science Lab, un team di ricercatori macedoni, attivi nel campo della sicurezza informatica e della ricerca di vulnerabilità all’interno dei software. Se hai sempre desiderato una comparazione tra CloudFlare, Incapsula e ModSecurity è arrivato il momento di leggere con attenzione questo post.

CloudFlare, Incapsula e ModSecurity sono tre prodotti completamente differenti. Dico quasi perchè visto dall’esterno ModSecurity ad esempio non ha nulla da spartire con CloudFlare ed Incapsula, data la sua natura di WAF puro. Cos’è un WAF? La nocciola non c’entra nulla, e neanche i wafer. Un WAF è un acronimo che sta per Web Application Firewall, un software che ha il compito di fare Virtual Patching. Quanti paroloni! Ma cercherò di rendere la cosa più semplice anche per i novizi.

WAF e Virtual Patching

Hai presente le patch? Le pezze, quelle che devi applicare ad un software di tanto in tanto. Ci sono patch per WordPress, ci sono patch per Joomla. Le patch chiudono dei buchi, delle debolezze del codice che possono essere sfruttate per danneggiare un sito web. Il patching classico prevede che il produttore rilasci un aggiornamento del codice che tu dovrai applicare sul tuo sito web. Non sempre questi aggiornamenti però vengono rilasciati con tempestività. Dalla scoperta di una vulnerabilità fino al rilascio della patch potrebbero passare svariate settimane, se non mesi. Questo a causa delle tempistiche che ha ogni rilascio del codice. Oppure in quel momento potresti trovarti nella situazione di non poter aggiornare il sito perchè il codice è troppo personalizzato e rischieresti di rompere qualcosa. Il virtual patching invece permette di mettere una “pezza sulla pezza”. Il virtual patching è una patch virtuale che può essere applicata ad uno strato diverso da quello su cui vive il codice.

ModSecurity è un firewall per applicazioni web che opera a livello HTTP e fa un lavoro di patching virtuale, bloccando le minacce prima che raggiungano il codice vulnerabile.

In tutto questo CloudFlare e Incapsula si differenziano da ModSecurity perchè oltre alla funzione di WAF includono anche e soprattutto delle funzioni per velocizzare i siti web che fanno uso di essi. Si parla e si scrive veramente tanto di CloudFlare e Incapsula ma i dati ed i vantaggi reali sono ancora abbastanza nebulosi e si va quasi sempre per sentito dire. Zero Science Lab ha voluto fare un pò di luce sull’efficacia e sull’utilità di CloudFlare, Incapsula e ModSecurity svelando alcuni dettagli che ti lasceranno sicuramente molto sorpreso. Posso comunque anticiparti che CloudFlare esce come sconfitto illustre nel confronto con Incapsula e ModSecurity.

Zero Science Lab ha messo a confronto i piani più costosi: la versione Business di CloudFlare (200 dollari al mese!), la versione Business di Incapsula (59 dollari al mese). ModSecurity invece è free, distribuito gratuitamente. L’azienda che lo sviluppa, TrustWave Lab offre comunque delle regole commerciali a pagamento. Le regole sono in parole povere lo scheletro di funzionamento di ModSecurity. Per ogni minaccia esiste una regola che se fatta scattare blocca l’attacco. Un insieme di regole gratuite sono liberamente disponibili per il download.

CloudFlare vs Incapsula vs ModSecurity: l’installazione

Nel report di Zero Science Lab il confronto tra i prodotti inizia con una panoramica sulle modalità di installazione.
Posso dirti che sia Incapsula, sia CloudFlare non richiedono un intervento fisico sul server, nè sul sito web. L’attivazione di questi prodotti avviene quasi esclusivamente via browser. L’azione richiesta è la modifica dei record DNS ed NS del sito web che stai per proteggere, in modalità leggermente differenti per Incapsula e CloudFlare, ma abbastanza simili.

L’installazione di ModSecurity richiede invece un intervento fisico sul server all’interno del quale deve essere attivato. L’ultima installazione di cui mi sono occupato ad esempio è stata per un cliente con grossi problemi su Joomla. Tra vecchie versioni e l’impossibilità di aggiornare in tempi brevi l’unica alternativa tra deface e problemi continui è stata quella di installare ModSecurity.
Il setup di Mod Security non è alla portata di tutti e richiede delle competenze specifiche, soprattutto nella gestione delle regole. Un WAF configurato male è quasi come non averlo mai installato.

CloudFlare vs Incapsula vs ModSecurity:  l’efficacia

Qui iniziano le vere sorprese. Credo che un’immagine in questo caso possa valere più di mille considerazioni:

cloudflare-incapsula-modsecurity

Efficacia di CloudFlare come WAF : QUASI NULLA
Efficacia di Mod Security come WAF: OTTIMA
Efficacia di Incapsula come WAF: OTTIMA

Veniamo ai numeri.

Su 54 iniezioni SQL CloudFlare ne blocca 0. Incapsula ne blocca 53, ModSecurity ne blocca 54.
Su 46 attacchi XSS CloudFlare ne blocca 0. Incapsula ne blocca 43, ModSecurity ne blocca 46.
Su 23 attacchi LFI/RFI CloudFlare ne blocca 0. Incapsula ne blocca 19, ModSecurity ne blocca 21.

I numeri parlano da soli ! Zero Science dice a riguardo che “Though CloudFlare is presented as, besides other things, a very proficient web application firewall, we concluded that’s just a marketing sales point and nothing more“. Nonostante CloudFlare venga presentato tra le altre cose come un buon WAF, nella realtà si tratta solo di una trovata pubblicitaria e nient’altro.

Tra l’altro per quanto riguarda gli attacchi di test andati a buon fine a causa di alcuni difetti nelle regole anti intrusione, sia ModSecurity che Incapsula hanno risposto prontamente rilasciando degli aggiustamenti al codice delle rules. Nessun commento invece (almeno così mi sembra) da parte di CloudFlare.

Ci tengo a ribadire che CloudFlare, Incapsula e ModSecurity sono tre software molto diversi l’uno dall’altro. La principale caratteristica in comune è la funzione di WAF, web application firewall. A giudicare dai risultati del confronto ModSecurity non ha rivali.
CloudFlare e Incapsula si distinguono rispetto a ModSecurity per le funzionalità avanzate di acceleratore per siti web e di protezione contro gli attacchi DoS e DDOS. Nel confronto questi aspetti specifici non sono stati presi in considerazione ma posso assicurarti che per quanto riguarda l’accelerazione dei siti web sia Incapsula che CloudFlare svolgono un ottimo lavoro. Per quanto riguarda la capacità di difesa contro gli attacchi DoS l’efficacia è buona. Ti ricordo inoltre che Mod Security non ha compiti di accelerazione web, nè funzioni di difesa contro i DoS e DDOS.

CloudFlare vs Incapsula vs ModSecurity: configurazione ed opzioni

Incapsula offre una gestione più approfondita rispetto a CloudFlare mentre Mod Security non ha un pannello di controllo. Per quest’ultimo infatti la possibilità di intervenire sulle regole e sui registri è limitata alla sola interfaccia da console, via SSH (tranne ovviamente per le soluzioni a pagamento come ASL).

CloudFlare viene criticato dai più esperti per le scarse informazioni che il prodotto fornisce al cliente: poche info sulle minacce bloccate. Forse alla luce di questo pentesting risulta un pò più chiaro il perchè.

Incapsula invece offre buone possibilità di controllo delle regole di sicurezza, notifiche per le allerte di attacco ed uno storico dettagliato.

CloudFlare vs Incapsula vs ModSecurity: il responso

Il responso di questo pentesting vede fallire clamorosamente CloudFlare, almeno sotto il punto di vista dell’application firewall.
Incapsula si difende bene ma per scelta della compagnia le regole che dovrebbero bloccare gli attacchi sono volutamente non troppo aggressive per poter bilanciare la sicurezza con l’usabilità. Uno dei problemi maggiori dei WAF infatti sono i falsi positivi. Quei blocchi cioè che fermano anche le richieste HTTP lecite. ModSecurity sotto questo punto di vista è abbastanza aggressivo e questo forse è il suo unico difetto.

Conclusioni

E’ veramente molto difficile comparare. E chiunque potrà sollevare un’eccezione appellandosi al fatto che non è possibile mettere a confronto dei prodotti che sono molto differenti l’uno dall’altro. In questo caso però credo che il lavoro di Zero Science sia stato encomiabile, se non altro perchè sono state messe in luce delle (presunte) gravi carenze su un prodotto come CloudFlare che fa dell’application firewall uno dei suoi cavalli di battaglia. Le risposte al come ed al se queste mancanze siano reali o meno viene a mio parere proprio dal fatto che sia Incapsula sia ModSecurity hanno preparato degli aggiustamenti per quelle regole di sicurezza che durante il pentesting non hanno funzionato. Sarebbe stato interessante conoscere la replica di CloudFlare al whitepaper di Zero Science.

Per il momento alla luce delle analisi di Zero Science la realtà è una sola: se stai cercando un WAF non scegliere CloudFlare.

Riferimenti: CloudFlare Versus Incapsula Versus ModSecurity:

http://packetstormsecurity.com/files/120407/wafreport2013.pdf

Il corretto uso della mail aziendale ai tempi della crisi. Come gestire il cambio personale ed i licenziamenti.

turnoverIn questo  breve articolo andremo a vedere quali sono i casi più problematici nell’utilizzo delle email aziendali, valutare una corretta assegnazione delle risorse ai dipendenti, e ovviare a problemi che possono insorgere a fronte del cambio personale o una riduzione dello stesso.

Assegnare le dovute risorse al giusto modo.

Uno dei problemi più frequenti che vediamo in tutte le aziende è quello di associare al dipendente una mail personale di tipo nome.cognome@nomeditta.it

Per quanto il formato sia corretto, l’uso di questa mail è legata strettamente alla persona fisica che ne viene in possesso.

Cosa succederebbe ad esempio se il nostro commerciale Paolino Paperino decidesse di cambiar lavoro ?

Dovremmo dismettere l’account paolino.paperino@paperopoli.it e far in modo che tutti i clienti e fornitori che fino ad oggi (per svariati anni) si siano rivolti a quell’indirizzo email, si rivolgano al nuovo commerciale all’indirizzo gastone.paperone@paperopoli.it

Ciò potrebbe destare problemi non indifferenti, che potrebbero influenzare la produzione della vostra azienda. Problemi che comunque andremo a risolvere nella sezione seguente chiamata “Dimettere un’indirizzo email”.

Tornando a noi invece, e rimanendo in tema di assegnazione delle risorse, l’azienda avrebbe fatto bene ad assegnare gli indirizzi email associando la mansione del dipendente, ovvero commerciale.
Se così fosse stato fatto, il nostro dipendente Paolino Paperino avrebbe potuto comunicare tramite l’indirizzo mail commerciale@paperopoli.it.

Il suo nome sarebbe solo stato messo in firma alle email, e sui biglietti da visita. Alla sua sostituzione, il suo successore Paperoga, non avrebbe fatto altro che sostituire la firma in fondo alla mail con il suo nome, e continuato ad usare l’indirizzo commerciale@paperopoli.it

Nel caso in cui possano coesistere più commerciali operanti su territori diversi, avrebbe senso creare indirizzi del tipo commercialecentro@paperopoli.it, commercialesud@paperopoli.itcommercialenord@paperopoli.it

Inoltre specificando il ruolo e la mansione nell’indirizzo email, piuttosto che il nome e cognome si evita di incappare in quelle situazioni in cui non si riesca a comprendere il nome o cognome al telefono e dunque l’indirizzo a cui scrivere.

Se fossi il direttore acquisti e volessi dettare il mio indirizzo mail al mio fornitore per telefono, come riuscirei a specificare in modo semplice un nome come Khristian Wachosky ? Lo spelling aiuta certo, ma dettare direzione@azienda.it è sicuramente più facile e più udibile.

La regola dunque è : evitate di usare nomi e cognomi dei dipendenti come indirizzi email. Si finisce sempre per creare confusione ai vostri fornitori e clienti, qualora il dipendente se ne vada o cambi mansione.

Qualora abbiate usato questa pessima e triste prassi, e abbiate bisogno di far in modo di continuare a ricevere (ed inviare) le comunicazioni dai vostri corrispondenti, potete approfondire uno schema di approccio su come limitare i danni.

Dimettere un’indirizzo email

Arrivati a questo punto, significa che il guaio è stato fatto. Non disperate comunque, ecco gli step da seguire per una gestione ottimale della sostituzione personale.

  1. Dal pannello di controllo della mail aziendale (o fate fare al vostro tecnico o sistemista informatico) create la nuova casella per il nuovo dipendente Paperoga Paperone, che avrà la mansione di commerciale, ovvero commerciale@paperopoli.it
  2. Dallo stesso pannello di controllo impostate un ALIAS che vada da paolino.paperino@paperopoli.it a commerciale@paperopoli.it
    In questo modo tutte le email destinate a paolino.paperino@paperopoli.it saranno dirottate e consegnate nella casella email commerciale@paperopoli.it
  3. Allo stesso modo, sempre dal solito pannello impostate un autorisponditore che comunichi al mittente la dismissione imminente del vecchio indirizzo paolino.paperino@paperopoli.it con un testo semplice ed esaustivo come il seguente.
    Attenzione. Si informa che l’indirizzo paolino.paperino@paperopoli.it non è più attivo e sarà a breve dismesso. Per contattare il commerciale usate commerciale@paperopoli.it
    Questo è un messaggio automatico. Per favore non rispondere. Grazie.

 

Fatto questo nel giro di qualche settimana inizierete a vedere che tutti i corrispondenti inizieranno ad utilizzare il nuovo indirizzo al posto del vecchio, ed a quel punto potrete cancellare in modo definitivo l’indirizzo email di Paolino Paperino.

Ci fa premura ricordare che “prevenire è meglio che curare” e in un mercato del lavoro così flessibile, instabile e mutabile non ha senso associare email personali a dipendenti che sosteranno solo qualche anno o mese nella nostra azienda.

Qualora abbiate bisogno di una consulenza sistemistica per risolvere problematiche di questa natura, contattateci pure ai recapiti nella pagina contatti.