MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Últimos posts

Categorias

Arquivo

Tags

MITRE–Comparação entre EDRs

Um dos itens mais importantes nos últimos anos é a capacidade dos antivírus tradicionais versus os antivírus de nova geração (NGAV) alem de ferramentas com essas capacidades como o ATA e o ATP Marcelo de Moraes Sincic | Buscar por 'comportamental' (marcelosincic.com.br)

Com a evolução destes produtos o termo EDR se tornou muito comum e novas denominações como XDR (Extended Detection and Response) para definir estes produtos que usam inteligência artificial baseada em SaaS.

Como Avaliar um EDR?

Essa é a pergunta que muitos agora fazem, antes utilizávamos métodos de detecção de virus com um pendrive cheio de malwares, mas agora com o EDR e XDR estes testes baseados em assinatura de código (DAT) não são suficientes.

Para avaliar as capacidades, o MITRE, muito conhecido pela base de conhecimento MITRE ATT&CK® criou uma série de testes que as empresas de segurança executam e publicam os resultados dos seus EDRs.

Quanto maior o numero de passos detectados, melhor será a visibilidade do ataque que foi deflagrado.

Como Acessar e Ler o Ranking do MITRE ENGENUITY | ATT&CK Evaluations?

Acesse o site ATT&CK® EVALUATIONS (mitre-engenuity.org) e poderá ter um overview do processo, onde verá que já existem 3 diferentes “rounds”:

  • APT3 – Ataques que foram detectados e atribuídos ao governo chinês, baseado em roubo de identidade, movimentação lateral com scripts, rootkits e bootkits
  • APT29 – Ataques que foram detectados desde 2008 pelo governo russo baseados em PowerShell e WMI
  • Carbanak+FIN7 – Hoje um dos mais especializados, visam instituições financeiras utilizando os mais diversos tipos de ataques com sofisticação suficiente para se passarem por ferramentas administrativas dos SOs e até PDV

Uma vez entendendo os 3 diferentes conjuntos de teste, em geral avaliamos o Carbanak+FIN7 que é o mais sofisticado e atual.

Destaque para o comparativo entre os produtos, por exemplo se utilizarmos Microsoft x McAfee é possível saber as formas e técnicas em que cada um dos NGAV utilizaram para detectar os ataques.

Comparative-1

Nessa comparação podemos ver o detalhamento do tipo de ataque e o nível de log que o EDR irá gerar, clicando no link [1] que o NGAV da Microsoft criou:

Comparative-1-Details

Já o detalhamento de cada fabricante indica um resumo da eficiência em detectar os passos e gerar os EDRs para cada conjunto de ataques submetidos:

Detalhamento-1

O quadro acima mostra o numero de passos mínimo definido pelos algoritmos e quantas ações o EDR da Microsoft conseguiu identificar, o que representam passos antes e depois do ataque realizado.

Abaixo do quadro de resumo poderá ver o detalhamento dos ataques realizados com base na matriz do MITRE e ver por round a tática, técnica, sub técnica e passos que o EDR identificou. Ao clicar nas técnicas é possível ver os detalhes de cada item

Detalhamento-2

Outro interessante dado disponível são os resultados dos testes, esse retorna o EDR gerado:

Tecnica aplicada

Como Reproduzir o Mesmo Ambiente Validado nos Testes?

Talvez você já possua um dos fabricantes que foram testados, mas não tem certeza se tem os pacotes e configurações corretas.

Afinal, é importante lembrar que os testes acima são conduzidos pelos fabricantes e submetidos para publicação, então sabemos que utilizaram um conjunto de ferramentas e configurações bem construídas.

Por conta disso, os fabricantes publicam um relatório que está disponível no mesmo site, por exemplo no caso de Microsoft vemos os produtos e configurações utilizadas:

Vendor Configuration

Azure Purview como Ferramenta de Governança e Compliance

Desde a muito mantemos diagramas de bancos de dados em arquivos lógicos, que são utilizados pelos DBAs e desenvolvedores para criação de aplicações e recentemente de outras funções para dashboards.

Porem com o avanço de leis de compliance como GDPR e LGPD conhecer quem tem acesso e como acessa dados sensíveis se tornou um recurso essencial.

Muitas ferramentas de DLP já fazem com o uso de conectores esse mapeamento, como por exemplo o Security Center pode estender para SQL Server nos planos pagos.

Mas e se possuimos multiplas bases de dados em diferentes produtos, plataformas e serviços?   Neste caso temos o Azure Purview.

O que o Purview oferece?

Com o catálogo de conectores você poderá incluir diversas fontes de dados que vão de SQL e Oracle a AWS S3 e Azure BLOB e descobrir o que está sendo disponibilizado e automaticamente mapear classificações e sensibilidade dos dados.

Por exemplo, quem são os usuários que consomem no Power BI uma determinada base de dados que contem cartões de crédito?    Quais storage accounts possuem dados não estruturados contendo documentos pessoais dos clientes ou exames médicos?

Nessa linha de atuação é que teremos o Purview atuando, tanto para catalogar dados sensiveis como funcionar como um dicionário de dados e mapeamento de acesso aos dados da empresa pelo Power BI, por exemplo.

Requisitos do Purview

Para utilizar o Purview será necessário criar uma instancia de execução (começa com C1 de 4 “unidades”), um Hub de Eventos e uma Storage Account

image

image

O custo do Purview é computado pelas unidades e tambem pelos scans que são efetuados, sendo que alguns ainda estão em preview e com custo zero até 02/Agosto quando escrevo este artigo Pricing - Azure Purview | Microsoft Azure

Acessando o Purview Studio

Toda a administração é feita pelo Studio, onde criamos os conectores e realizamos os scans.

Importante: O acesso aos dados é utilizado a managed account com o nome do recurso que você criou e seguindo os passos para cada tipo de recurso que irá mapear.

clip_image001

Registrando as Fontes de Dados

O Purview já traz uma série de conectores:

clip_image001[5]

O passo a passo abaixo é a conexão com a fonte de dados SQL Database. Primeiro definimos a fonte de dados e a coleção, que nada mais é do que antes da conexão criar agrupamentos como podem ser visto na tela anterior.

clip_image001[7]

Na sequencia definimos como será acessado os dados, pois na configuração acima vemos o servidor e banco de dados mas ainda não fizemos o acesso. Para isso será definido o tipo de identidade, sendo que no exemplo utilizei a managed account dando as permissões de read no SQL Server Management Studio (link no see more):

clip_image001[11]

Essa configuração de acesso são os SCANS, onde vão as definições do que será acessado, no exemplo por ser uma conexão SQL Server o database. Na sequencia verá que selecionei as tabelas e quais classificações quero mapear (note que são as mesmas do Office 365):

clip_image001[13]

clip_image001[15]

Uma vez configurados os scans você poderá definir se ele será executado uma unica vez ou de forma recorrente, sendo que isso pode ser feito abrindo os objetos abaixo da coleção, onde podem ser visto a lista, acessados os diferentes processos e os detalhes:

clip_image001[19]

clip_image001[22]

clip_image001[17]

Classificando e detalhando os dados mapeados

Uma vez os scans executados, automaticamente o Purview irá criar os assets como pode ser visto na função Browse Assets como a sequencia abaixo:

clip_image001[24]

clip_image001[26]

Uma vez aberta uma base de dados mapeada podemos definir detalhes, por exemplo criar uma classificação de dados para a base inteira, definindo quem são os donos/arquitetos dos dados e até definir para cada coluna um tipo especifico:

clip_image001[28]

clip_image001[30]

clip_image001[32]

clip_image001[34]

clip_image001[36]

clip_image001[38]

Nessa sequencia de telas podemos ver que os contatos são importantes para identificar quem conhece e mapeou aquela base de dados. Tambem vemos como definir descrição e classificação de dados individualmente, alem das que o Purview automaticamente já detectou.

Ainda nos assets posso vizualizar uso de dados, por exemplo quais bases de dados estão sendo usadas no Power BI de usuários PRO?   O Purview permitirá que vc tenha essa visualização como abaixo:

clip_image001[40]

clip_image001[42]

Customizando dados sensíveis e criando o glossário

Nos exemplos acima e na interface do Purview podem ser vistos dois itens, um já conhecido que é a classificação automática de sensibilidade e outra que é o glossário.

A classificação já tem pré-carregados os dados do Office 365 que são padrão dos compliances que a Microsoft já fornece, mas você poderá customizar novos assim como é feito no Compliance do Office 365:

clip_image001[44]

Alem disso poderá criar termos de glossário que nada mais são do que um dicionário de dados para consulta. É importantíssimo que isso seja feito, pois será uma base de dados para que administradores e outros especialistas consigam saber por exemplo, de bases de dados especificas.

Uma vez criado os verbetes do glossário, em cada fonte de dados, tabela e coluna será possivel identificar essa classificação como já mostrado na tela de dados da tabela.

clip_image001[46]

Interessante que para os itens é possível incluir atributos, ou seja indicar que se classificar uma tabela ou coluna como confidencial indicar um atributo obrigatório para escrever o motivo:

clip_image002

CONCLUSÃO

Uma vez mapeados com o Purview é possivel ter visibilidade de uso dos dados sensiveis, classificação dos dados em geral e montar um dicionario de dados moderno.

Posted: fev 20 2022, 21:15 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Utilizando o Azure Application Insigths na Analise de Vulnerabilidades

Uma das ferramentas que são criadas costumeiramente nas aplicações Web hospedadas, o Azure Application Insigths, é subutilizado pelos time de desenvolvimento, operações e segurança.

O que é possivel com o App Insights?

O App Inisgths captura log e executa tarefas para avaliar performance, estabilidade e estatísticas de uso de um web app.

Quando comparado a outras ferramentas comuns com o Google Analytics é importante lembrar que o App Insigths tambem funciona como um APM (App Performance Monitoring) detalhando funções e linhas de código como chamadas a banco de dados, que estão gerando lentidão.

Particularmente gostou muito de algumas funções Smart detection settings que são regras comuns para detecção de tendências ou problema, além de métricas e as Live Metrics como abaixo. Alias, veja que a página de contato já demonstra um ataque simulado na chamada da página de contato:

Performance

Metricas-1

Outra função interessante que utilizo com frequencia em projetos é Avaliabiliy onde podemos criar regras de teste com páginas especificas em diversas localidades do Azure para funcionar como o antigo Global Monitoring Service.

image

O foco neste post não é detalhar as funções de APM, mas sim o uso pelo time de segurança.

Como o App Insights é útil para Segurança?

Primeiro temos o Application Map de onde iniciamos as analises. Basicamente ele é um modelo simples de dependencias e comunicação de dentro e de fora, incluindo as analises de disponibilidade que mostramos anterioremente.

Application Map

Mas ao retirar o WAF para gerar os logs e demonstrar nesse post, o resultado foi muito rápido como pode ser visto no diagrama abaixo.

Veja que os dois endereços na parte inferior são fontes desconhecidas e poderiam ser ataques, enquanto também se vê claramente os rastreadores e robôs do Google e outro site, mas estes não seriam o problema.

Ataque-1

Ao pedir acima os detalhes de pacotes e comunicação trocada com o meu blog com este endereço é possivel ver o que eles tentaram e quantas vezes.

Ataque-2

O passo seguinte é clicarmos em Samples ou na lista do lado direito para analisar as queries que foram recebidas.

Como pode ser visto abaixo, é possivel identificar de onde e como o acesso foi realizado por esse dominio que estava analisando os detalhes.

Ataque-3

Mas vamos deixar rodando por mais tempo com o WAF desativado e veremos com um histórico detalhadas.

Validando ataques reais

Agora com mas tempo exposto (como gostamos de correr risco Smile) o meu blog pôde ter mais dados para serem demonstrados.

Vamos abrindo em detalhes os itens no mapa onde demonstraram as estatisticas de falhas ocoridas.

Na primeira tela de detalhes vemos que só de falhas nas ultimas 24 horas eu recebi mais de 11 mil chamadas!!!

Failures-1

Mas a alegria se transforma em tristeza, ou melhor preocupação, essas 11290 chamadas na verdade fazem parte de um ataque orquestrado por força bruta…

Failures-2

Agora vamos começar a entender melhor o que estão tentando fazer no meu blog. Para isso vamos fazer uma “caminhada” pelos dados do App Insigths.

Do lado esquerdo já podemos ver que os ataques se deram por tentar enviar parametros e listas diretamente nas páginas do blog.

Failures-3

Abrindo mais detalhes consigo descobrir que a fonte do ataque são PCs na China usando um SDK especifico. Em alguns casos é possivel ver tambem o IP e com isso criar uma lista de bloqueio ou potenciais atacantes.

Failures-4

Segue um outro exemplo mais recente que teve quase a mesma origem (outra cidade chinesa), mas com detalhes de sofisticação onde foi utilizado um script e não apenas um SQL Injection:

Failures-4a

Continuando a caminhada posso ver a sequencia que o “usuário” utilizou no meu site, vejam que a lista de tentativas foi grande, e muitas vezes na mesma página:

Failures-5

O ataque na tela acima é um SQL Injection muito comum de ser utilizado em sites web por atacantes. Veja detalhes em CAPEC - CAPEC-66: SQL Injection (Version 3.5) (mitre.org)

O que fazer ao detectar um ataque ao site site ou aplicação?

Em geral os Web Application Firewall seguram boa parte dos ataques que vimos acontecer no meu blog em 24 horas, tanto que eu não fazia ideia antes que poderiam chegar a quase 12 mil em apenas 24 horas.

Mas mesmo que tenha um WAF é importante que monitore constantemente o numero de falhas em páginas para identificar se é um problema de aplicação ou um ataque que está tentando encontrar as vulnerabilidades, como os exemplos acima do meu site.

Outra importante ação é ajudar os desenvolvedores e não aceitar comandos diretamente do POST e muito menos concatenar cadeias de caracteres  dentro de parâmetros e comandos internos.

Utilize tambem uma biblioteca de desenvolvimento robusta, por exemplo no meu teste de exposição não tive o blog invadido pois o próprio .NET já possui filtros para evitar comandos enviados diretamente no POST ou URL.

Como um recurso mais sofisticado para ataques direcionados, veja a opção Create Work Items onde poderá criar automações, por exemplo barrar um determinado serviço ou até derrubar um servidor quando detectar uma anomalia muito grande!

Relembrando que o App Insights se integra ao Log Analytics para consultas e ao Sentinel para segurança inteligente de Threats!!!!

Conclusão

Se não conhece, não tem habilitado ou não utiliza o App Insights comece agora!

Não o limite a analises de performance e sessões, aprenda a ler também os indícios de falhas de segurança antes que uma invasão ocorra.

Posted: fev 08 2022, 01:28 by msincic | Comentários (0) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5

Auditando acesso a dados sensiveis no Azure SQL Database

A algumas semanas atrás publiquei o artigo sobre o uso do Azure Purview como Ferramenta de Compliance (marcelosincic.com.br) e recebi varios questionamentos sobre auditoria no acesso a dados sensiveis.

Essa é uma duvida comum, pois o Purview identifica dados sensiveis nas diversas fontes de dados mas ele não faz auditoria do acesso a estes dados com log das consultas.

Para auditar o acesso é necessário usar as ferramentas de cada fonte de dados, uma vez que são diferentes. Por exemplo acesso a arquivos ou troca de dados é feito pelo DLP do Office 365 (Information Protection), acesso no SQL Server, etc.

Azure SQL Data Discovery & Classification

Parte da solução do Log Analytics, uma vez configurado terá acesso a estatisticas e detalhamento dos acessos.

As duas primeiras capturas abaixo são o meu painel do LAW com os 6 quadros do Solution onde posso identificar quem foram os IPs, usuários e dados acessados.

01

02

E ao clicar em qualquer um dos quadros terá acesso a consulta que gerou os dados, o que irá incluir um dado muito importante que é o SQL utilizado para acessar os dados, permitindo visualizar em detalhes o que foi visto pela sintaxe do comando!

03

Configurando o SQL Data Discovery & Classification

A configuração do recurso não é complexa e pode ser feita em poucos minutos através do próprio portal do Azure.

04

Existem duas formas de classificar os dados, a primeira é manual. Para isso acesse a opção Classification no painel acima e inclua manualmente as tabelas e respectivas colunas.

A fazer isso irá identificar o grupo e a criticidade dos dados da coluna para serem categorizados.

05

A segunda forma de categorizar dados é utilizando as regras de classificação automáticas que ainda está em Preview mas já é possivel visualizar os resultados.

Clique no botão Configure no painel do recurso e terá acesso aos labels de criticidade, que são os mostrados quando no modo manual incluimos as colunas.

06

Veja que no exemplo acima eu criei a minha própria classificação como “LGPD” e nela inclui alguns nomes de colunas que entendo serem necessárias (apenas como exemplo).

Para criar os conteudos que irão fazer parte automática da classificação, clique no botão Manage information types e verá os tipos já criados e poderá incluir novos tipos. No exemplo abaixo inclui RG, CPF e CNPJ mas poderia ter colocado alias como, por exemplo “raz%soci%” ou outros com coringas (%).

07

Importante: Aqui estamos classificando NOMES DE COLUNAS e não DADOS.

Log Analytics Solutions

Uma vez definidas as regras ou colunas com dados sensiveis, o Log Analytics ao qual o banco de dados está mapeado irá mostrar a solução instalada para gerar os gráficos que inclui no inicio deste artigo.

08

09

Porem, notará que no painel de monitoração irá aparecer uma mensagem dizendo que este tipo de painel (View) está sendo depreciado e que vc deveria criar um Workbook com as consultas. Isso não é necessário fazer agora, pois o recurso da solução irá funcionar normalmente.

Mas se desejar criar um workbook, clique nos quadros de recurso abrindo as consultas e as copie em um workbook customizado.

Acesso Condicional com Uso de GPS

Uma mudança importante implantada em Preview no final de Novembro no Azure Active Directory é a localização por GPS.

Anteriormente só tinhamos a opção de usar o endereço IP, porem se a empresa utilizasse proxies externos ou o funcionário estivesse em uma rede com VPN como é o caso agora de muitos antivirus modernos com Web Protection, temos um problema!

Agora é possivel incluir nas politicas de acesso condicional que o usuário habilite o GPS do celular e com isso ter a localização geográfica real ao invés do IP.

Para isso entre nas politicas de Localizações e utilize a opção Determinar localização por coordenadas GPS:

image

Login
Marcelo de Moraes Sincic | Lync Server
MVP: System Center Cloud and Datacenter Management, MCT, MCSE, MCITP, MCPD, MCDBA
MVP Logo

Últimos posts

Categorias

Arquivo

Tags

Desenhando Soluções de Microsoft Lync 2013

Uma das tarefas de arquitetura é determinar posicionamento, carga, roles e configurações de um produto.

Em muitos produtos a Microsoft fornece aplicativos que permitem fazer o desenho  da topologia com informações detalhadas, e um destes é o Microsoft Lync Server 2013 Planning Tool disponivel em http://www.microsoft.com/en-us/download/confirmation.aspx?id=36823

A ferramenta é simples de instalar, mas muito útil e fornece informações que serviram de base para o desenho final. É importante lembrar que ferramentas de design de topologia servem de referência, mas cabe ao arquiteto utilizar estas informações para fazer o desenho final da solução desejada.

Irei neste artigo detalhar a ferramenta e a cada dado especificado tentar colocar o que será afetado na topologia conforme a opção escolhida.

 

Utilizando o Lync Planning Tool – Definição de Roles

Ao abrir a ferramenta podemos ver diversos detalhes e iniciar o processo. Do lado esquerdo temos uma série de links para entender a ferramenta, a barra de ferramentas com as funcionalidade de geração das planilhas Excel (XML) e desenho em Visio. No centro temos como ler um design salvo (File…Open…botão Display) ou criar um novo desenho em Design Sites:

09-09-2013 07-29-38

Ao iniciar o desenho de uma nova topologia será necessário inserir os dados de como o cliente irá utilizar o Lync. O primeiro destes dados é sobre Audio/Video conferencia que influirá diretamente no número de Frontend Servers necessários, apesar de ser ponto a ponto (peer-to-peer) quando utilizado o Lync Client:

09-09-2013 07-29-53

Dial-In é o recurso do Lync de permitir que um usuário entre na conferencia diretamente por um telefone comum utilizando um número criado para cada meeting. É importante lembrar que este recurso depende da integração entre o Lync e o PBX VoIP:

09-09-2013 07-30-11

Web Conferencing são as reuniões (meetings) entre usuários de Lync Client e usuário externos na internet. Diferente da primeira opção (Audio/Video), aqui estamos identificando que o cliente irá fazer reuniões com usuários não locais, o que é bem diferente e irá impactar em Edge Server e Frontend Servers:

09-09-2013 07-30-33

Enterprise Voice é o recurso da integração do Lync Server com o PBX VoIP, que alem da integração entre o cliente do Lync e o telefone também faz o encaminhamento de mensagens para o Exchange, o Voice Admissions para conferencias (Dial-in Conference) e outros recursos. Essencial lembrar que para isso é necessário ter a licença Lync Enterprise para o cliente e o servidor. Habilitar esta configuração impacta no numero de Frontend, Mediation e Gateway Server (se o PBX não é diretamente compatível com o Lync):

09-09-2013 07-30-47

Quando se implementa o recurso acima (Enterprise Voice) é possivel criar a integração entre o Lync Server e o Exchange Server. Por exemplo, ao receber uma mensagem na caixa postal do ramal esta mensagem é transformada em texto pelo reconhecimento de voz do Lync Server e enviada para o email do usuário em forma de texto e arquivo de som anexado. Esta configuração exige o Exchange Server 2010 e preferencialmente o Exchange 2013, alem de impactar no número de Frontend Servers:

09-09-2013 07-31-01

O CAC(Call Admission Control) é um recurso do Lync quando integrado ao PBX para trazer qualidade as ligações. Com ele o Lync controla a banda de VoIP fazendo o roteamento para linhas comuns (PSTN) quando a internet WAN utilizada para ligações IP estiver com tráfego alto.  É essencial para garantir qualidade nas ligações em sistemas integrados:

09-09-2013 07-31-14

A monitoração irá gerar dados detalhados da qualidade e utilização do Lync para estatisticas e geração de relatórios, o que permitirá ao administrador verificar a demanda e priorizar os investimentos na topologia quando precisar de expansões. Esta função é uma role separada de outras, apesar de ser possível ser compartilhada em um mesmo servidor físico Frontend:

09-09-2013 07-31-25

O Archive é o recurso que no Outlook cria uma pasta “Conversation History” ou um botão de histórico no Lync Client. Ele pode ser configurado para utilizar o SQL Server ou o Exchange 2013. O ideal é sempre utilizar o Exchange, assim a integração com o Outlook é garantida, porem apenas com o Exchange 2013 ela é possível. Utilizar o SQL Server irá criar uma base de dados pequena, uma vez que no IM (Instant Messenger) não costumamos utilizar imagens ou sons. É uma role separada, podendo ser compartilhada com outras roles assim como as outras:

09-09-2013 07-31-36

O Chat Persistente é um recurso utilizado para habilitar uma tab no cliente Lync 2013 onde é possivel criar conversações que ficam arquivadas e disponiveis para leitura posterior pública ou limitada a uma lista de usuários especificadas pelo criador da conversação. Impacta no número de Frontend Servers e no espaço utilizado no banco de dados do Lync:

09-09-2013 07-31-47

É a role que suporta o acesso para dispositivos móveis, lembrando que o Lync 2013 já possui clientes para iOS, Android e Windows Phone, permitindo inclusive chamadas de voz. Impacta no número de servidores Frontend e principalmente Edge Servers:

09-09-2013 07-31-56

O recurso de federação permite que os clientes do Lync internos se conectem com clientes MSN e outros. Com este recurso é possivel que os usuários corporativos usem o Lync para conversar com usuários Microsoft Live e impacta no número de Edge Servers necessários, e está disponivel gratuitamente no Lync 2013 para a licença Enterprise:

09-09-2013 07-32-07

Alta disponibilidade irá definir a necessidade de cluster do SQL Server e pools de Frontend e Edges Servers:

09-09-2013 07-32-17

Obviamente, serve apenas como informativo para os relatórios de ranges de IPs necessários no projeto final:

09-09-2013 07-32-27

 

Utilizando o Lync Planning Tool – Definição de Sites

No próximo passo é necessário definir quantos sites o cliente possui, o que será utilizado em cada site e para quantos usuários.

Note que as perguntas anteriores servem para indicar os recursos que serão considerados nesta fase. Ou seja, é possivel alterar as opções anteriores por clicar nos checkboxes em cada site. Conferir com cuidado o que cada site utilizará de recursos é importante neste ponto, já que em geral cada site tem diferentes necessidades:

09-09-2013 07-33-11

Esta opção serve apenas como informativo para o numero de certificados e o desenho final gerado, com os sites existentes no clientes:

09-09-2013 07-33-27

As próximas duas telas definem métricas de reuniões e voz que serão consumidas. Estes dados são baseados em experiência e histórico que podem ser obtidas com o pessoal de telecomunicações do cliente:

09-09-2013 07-33-37

09-09-2013 07-33-46

Para integração com o PBX é possivel utilizar gateways (equipamentos dedicados a fazer o roteamento entre o PABX tradicional e o Lync), SIP Truking (integração direta com o PBX VoIP e o Lync) ou conexão já existente. Estas definições são realizadas pelo pessoal de telecomunicações previamente ao design do Lync:

09-09-2013 07-33-56

Neste ponto definimos o percentual de usuários que tem ramais integrados para Unified Messaging. Na maioria das empresas não são todos os funcionários que possuem ramal próprio ou que precisem deste recurso, por exemplo para mesas de atendimento rotativo. Este dado é definido pelo cliente em questionários prévios:

09-09-2013 07-34-05

Defina quantos usuários irão fazer acesso externo, o que implica em mais servidores Edge do Lync:

09-09-2013 07-34-17

Defina quantos usuários utilizaram o recurso de Chat Persistente. Este dado é díficil de ser levantado, já que dificilmente a empresa terá isso antes do projeto. Porem, pode-se usar o percentual padrão de 20% que são aqueles que utilizam recursos assim, já que a grande maioria usa apenas o IM, sem criar salas de discussão. Um bom parametro para saber se este recurso é muito utilizado é por verificar a utilização de Pastas Públicas do Exchange:

09-09-2013 07-34-27

Defina o percentual de usuários que utilizarão os clientes Android, iOS e Windows Phone:

09-09-2013 07-34-35

Mediation Server é a role que faz integração entre o PBX e o Lync. Defina se irá utilizar um servidor único ou compartilhado para esta função. Obviamente que impacta no número de servidores e depende do número de ramais existentes no PBX:

09-09-2013 07-34-45

Por último defina sites que se conectam a sua estrutura. Neste caso são locais que conectam nos servidores localizados no site que foi definido e não locais onde haverá estrutura separada de servidores, o que e considerado outro site:

09-09-2013 07-37-02

Terminado de definir os dados do site, pode-se repetir a operação várias vezes para outros sites, lembrando que entende-se como "Central Site” aqueles locais onde haverá servidores Lync:

09-09-2013 07-37-15

 

Utilizando o Lync Planning Tool – Visualizando Resultados

09-09-2013 07-38-19

Ao clicar no botão Draw no final dos questionários podemos ver a topologia básica necessária, com os sites definidos.

Note que na lateral direita temos a configuração total de servidores necessários, onde temos a necessidade de servidores fisicos e roles:

09-09-2013 07-38-36

Clicando em cada site é possivel ver a estrutura sugerida, como o exemplo abaixo. Veja que na lateral direita em Ações é possivel retornar ao desenho global e ter acesso aos documentos online da Microsoft para as tarefas de planejamento, bem como a documentação de construção do ambiente:

09-09-2013 07-39-31

Ainda em cada site é possivel ver detalhes (3 abas seguintes), como a topologia IP para os servidores Edge com os ranges necessários, bem como as URLs. Importante que os ranges de IP e os nomes são apenas sugestões e precisam ser alterados para se adequar ao ambiente do cliente:

09-09-2013 07-41-18

09-09-2013 07-41-42

09-09-2013 07-41-53

 

Utilizando o Lync Planning Tool – Exportando os Dados

Utilizando a barra de ferramentas do Planning Tool vemos a possibilidade de criar um arquivo Visio com todos os diagramas gráficos mostrados nas imagens anteriores ou criar uma planilha Excel com os relatórios:

09-09-2013 07-38-49

O Visio exportado concentra todos os desenhos de topologia global e de sites separados em abas, podendo ser útil para apresentar ao cliente visualmente o design, uma vez que é possivel alterar os desenhos já que são baseados em stencils e não gráficos:

09-09-2013 07-43-13

A planilha Excel traz os relatórios de dados detalhados em abas, incluindo informações adicionais como o hardware necessário para cada servidor, o posicionamento e as configurações de firewall e certificados. Esta planilha é essencial na seção de requisitos a ser entregue ao cliente para preparação da implementação do ambiente Lync 2013:

09-09-2013 07-44-39

 

CONCLUSÃO

A ferramente Lync Server 2013, Planning Tool é um recurso inestimável para quem faz arquitetura de soluções tanto para pequenas quanto grandes empresas. Seus relatórios de necessidades de certificado, firewall e configurações ajudam mesmo quando estamos falando de um único servidor para todas as funções.

Posted: set 09 2013, 09:57 by msincic | Comentários (4) RSS comment feed |
  • Currently 0/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Login