Cosa è il Sistema Casu Cad?
Nell’ambito dello sdoganamento, e nelle operazioni portuali in generale, uno snodo importante è costituito dai Centri di Assistenza Doganale.
STS Casu CAD è uno dei nostri centri di assistenza, certificato con qualifica AEOs “AA”.
Ma come funziona il sistema operativo che coadiuva la logistica, la contabilità e le operazioni aziendali?
In questa rubrica del doganalista ci concentriamo sul funzionamento interno del nostro sistema CAD, con lo sguardo dall’interno del consulente informatico di STS Casu, Alessio Ferretti, perchè conoscere il come e il perchè di un buon funzionamento è importante tanto quanto il cosa.
Andiamo a vedere nel dettaglio.
Il sistema Casu Cad ha in se diversi elementi come:
Parco Macchine
- 1 Cluster HA/IBM composto da 2 Hosto con VMWare Professional Plus connessi via SAS ad una SAN dedicata. Tutto il sistema presenta processori, ram, connessioni, alimentazioni e ventole ridondate. I virtualizzatori contengono:
- 2 windows server utilizzati come primary e backup domain controller che svolgono le classiche funzioni di amministrazione e controllo del dominio microsoft sul quale sono attestati i client.
- 1 server Linux Centos utilizzato per il database MySQL
- 1 application server Linux Debian
- 2 Windows Terminal server
- 1 server IBM utilizzato come archivio di posta collegato in rete ad una NAS dedicata;
- 1 NAS Netgear a 4 baie utilizzate per i backup in rete (3 dischi da 2 TB in RAID 5);
- 1 NAS QNAP 2 baie utilizzato per i backup in rete ed in cloud (2 dischi da 1 TB in RAID 1);
- 1 NAS QNAP 8 baie utilizzato per i backup Veeam (8 dischi da 2 TB in RAID 6)
Connessioni ad internet, rete interna, VPN
- Le connessioni internet del terminal server avvengono tramite una coppia di linee in fibra da 100 MBit con ip pubblico statico. In caso di guasto sulla linea le tempistiche dichiarate dalla ditta fornitrice sono entro le 48 ore. Nel caso in cui si riscontrino problemi sulle due linee principali è attiva una terza linea in fibra che percorre un sentiero di accesso diverso, ed un modem radio per avere una quarta possibilità di accesso ad internet ed ai servizi cloud.
- La rete interna è unica: 172.16.112.0/24;
- La rete dei server è separata da quella dei client: 172.16.113.0/24
- I collegamenti per l’assistenza SIS sono mantenuti attraverso delle VPN.
- E’ stato implementato anche un sistema di controllo per poter concedere un collegamento in VPN ad utenti che vogliano lavorare remotamente.
Struttura del sistema informativo aziendale
Il programma Seven è installato nella Seven Box, ridondata, mentre la base dati è gestita dal server Linux Centos sul quale è installato MySQL. Un application server di natura Linux serve da motore per la nuova generazione degli applicativi e per i processi asincroni a servizio dell’intero sistema.
Tutte le macchine sono virtuali e sono ospitate all’interno del cluster in alta affidabilità VMWare, composto da 2 host che forniscono potenza di calcolo e da una SAN con dischi SAS ad alta velocità come datastore globale.
Sistema Contabile e Operativo Logistica
- Le applicazioni informatiche sono state esternalizzate e la gestione è a SIS srl informatica e sistemi. L’accesso alle applicazioni è regolato mediante password di protezione che scade ogni 90 giorni ed è conforme ai requisiti di complessità.
Backup
Al fine di ottenere una elevata sicurezza in relazione all’Integrità del patrimonio informativo aziendale, si è scelto di adottare differenti tipi di backup a seconda della tipologia dei dati trattati.
- Macchine virtuali: tutte le macchine virtuali vengono salvate mediante l’ausilio del software Veeam Backup, il quale permette di effettuare salvataggi sia totali che incrementali delle macchine virtuali “a caldo”. Ogni giorno viene effettuato un salvataggio incrementale degli interi server utilizzando come destinazione il QNAP a otto baie descritto in precedenza. Viene effettuato inoltre un backup totale con il medesimo sistema tutte le domeniche.
- Base dati: trattandosi del cuore del sistema informativo, oltre al backup dell’intera macchina virtuale, viene effettuato un dump dell’intero database della macchina linuz e compresso in formato .gx. Al termine della procedura viene inviato un report dettagliato via mail. I file vengono quindi copiati sui due NAS descritti precedentemente. Su ogni NAS vengono tenute 3 copie settimanalmente oltre a quelle contenute sulla macchina stessa. Il percorso di rete dal quale effettuare il ripristino è \\172.16.112.97\backups\DB\CASU\DUMPS e i tempi di ripristino sono proporzionali alle dimensioni dei file di salvataggio.
Ripristino
Per ripristinare i dati è necessario:
- Scaricare da uno dei molteplici supporti descritti in precedenza contenenti i backup il file DBCASU.sql.gz;
- Estrarre il file DBCASU.sql
- Importare quest’ultimo all’interno di una macchina MySQL
- Nel caso dei documenti archiviati otticamente è sufficiente copiare i file dai backup e non è necessaria alcuna procedura di esrazione.
La gestione della posta elettronica è stata delegata ai servizi Google con la quale è stato stipulato un contratto che prevede una disponibilità di spazio illimitata. Gli utenti mantengono comunque sul loro personal computer una copia dei messaggi scambiati negli ultimi 3 mesi.
Sito Esterno di Disaster Recovery
L’intera macchina database e l’intero application server, tutte le notti, attraverso un job di replica, vengono copiate su un server esterno, anch’esso provvisto di Hypervisor VMWare.
Fruibilità del dato
I dati sono integralmente e continuamente fruibili in produzione
Ripristino
Per ripristinare integralmente il sistema in seguito ad una rottura fatale del server occorre:
- Estrarre dai backup le macchine virtuali;
- Allineare, se necessario, sorgenti e software per il funzionamento del sistema informativo
- Copiare dai backup eseguibili e dati nel nuovo ambiente
Protezione dei sistemi informatici
- I computer aziendali sono dotati di antivirus F-SECURE, regolarmente licenziato ed installato, per i quali vengono scaricati automaticamente gli aggiornamenti periodici sulle definizioni. Ogni macchina è protetta, come firewall, da Windows Defender, e l’accesso è regolato da una password di protezione che viene aggiornata ogni 90 giorni, ed è conforme alle regole di complessità.
- Dagli attacchi esterni la rete è protetta da una coppia di firewall Watchguard M370 che forniscono anche una funzione di antivirus “perimetrale” e vietano la navigazione su siti non inerenti alle attività lavorative (porno, violenza, ecc.).
Vengono periodicamente eseguiti test di scansione delle porte di accesso.
I diritti di accesso al sistema informativo vengono rilasciati mediante creazione di utenze da parte di SIS Informatica e Sistemi S.r.l. che è anche responsabile del funzionamento e della loro sicurezza mentre la parte di protezione dall’esterno è affidata a Domino S.r.l.
I server, situati presso la sede di STS S.p.a. in via Pietro Chiesa 7 sono collegati a gruppi di continuità al fine di garantire il funzionamento anche durante un guasto elettrico di breve durata.
Per garantire sicurezza e segretezza dei file è previsto l’accesso alle macchine mediante l’utilizzo di una password di protezione che viene aggiornata ogni tre mesi ed è conforme ai requisiti di complessità.