01 · so: debian stretch 9 cpu: 1 core, 4vcpu – 2ghz memória: 4gb disco rígido: 40gb softwares...
TRANSCRIPT
J C M CONSU LTOR E S B P O | E s t r u t u r a T é c n i c a d a I n f r a e s t r u t u r a d e S e g u r a n ç a d a I n f o r m a ç ã o
01
J C M C O N S U L T O R E S . C O M . B R
J C MC O N S U LTO R E S .C OM . B R
J C M C O N S U LTO R E S
ESTRUTURA TÉCNICA DA INFRAESTRUTURA
DE SEGURANÇA DA INFORMAÇÃO
J C M CONSU LTOR E S B P O | E s t r u t u r a T é c n i c a d a I n f r a e s t r u t u r a d e S e g u r a n ç a d a I n f o r m a ç ã o
02
J C M C O N S U L T O R E S . C O M . B R
SUMÁRIO
HISTÓRICO DE REVISÃO .............................................................................. 3
ARQUITETURA ........................................................................................... 3
HARDWARE................................................................................................ 4
SERVIDOR DE APLICAÇÃO ......................................................................... 4
SERVIDOR DE BANCO DE DADOS ................................................................ 4
SERVIDOR DE PROXY REVERSO .................................................................. 4
SOFTWARES – SERVIDOR DE APLICAÇÃO - PRODUÇÃO .................................... 4
TOMCAT PARA O SISTEMA JCM ................................................................. 4
TOMCAT PARA O MÓDULO DE FOLHA ......................................................... 4
TOMCAT PARA O MÓDULO DE PORTAL DO PARTICIPANTE ............................. 5
TOMCAT PARA O MÓDULO DE APLICATIVO ................................................. 5
DEMAIS SOFTWARES ................................................................................ 5
AMBIENTE DE HOMOLOGAÇÃO .................................................................... 6
INFRAESTRUTURA DE SEGURANÇA ............................................................... 7
ARQUITETURA DO AMBIENTE.................................................................... 7
PAINEL DE STATUS GERAL PROXY-REVERSO ................................................ 8
PAINEL DE STATUS ................................................................................... 9
GERAL SERVIDORES DE APLICAÇÃO ..........................................................10
J C M CONSU LTOR E S B P O | E s t r u t u r a T é c n i c a d a I n f r a e s t r u t u r a d e S e g u r a n ç a d a I n f o r m a ç ã o
03
J C M C O N S U L T O R E S . C O M . B R
J C M CONSU LTOR E S B P O | E s t r u t u r a T é c n i c a d a I n f r a e s t r u t u r a d e S e g u r a n ç a d a I n f o r m a ç ã o
04
J C M C O N S U L T O R E S . C O M . B R
HISTÓRICO DE REVISÃO
Responsável Data de Alteração Aprovado Por
Gustavo Soares 22/06/2020 (criação) Rafael Franco
ARQUITETURA
O sistema JCM é totalmente web e possui uma arquitetura em 4 camadas, sendo elas Apresentação, Segurança, Aplicação e Banco de Dados.
A camada de Apresentação, é independente de sistema operacional. Os browser homologados são: Google Chrome (última versão), Mozilla Firefox (última versão), Internet Explorer (última versão), Microsoft Edge (última versão).
A camada de Segurança é onde são implementados os mecanismos de defesa do sistema para invasões. É também nessa camada onde é feito o balanceamento de carga do sistema e o controle de alta disponibilidade, caso ocorra qualquer queda em um dos servidores de aplicação, essa camada é responsável por direcionar o tráfego para outro servidor. Abaixo há uma descrição completa dessa infraestrutura de segurança.
A camada de Aplicação é onde está configurada a parte da lógica do sistema, parte do processamento do sistema é executado na camada de aplicação.
A camada de Banco de Dados, ou camada de persistência, é onde os dados são armazenados, parte do processo do sistema também é realizado na camada de banco de dados, para não sobrecarregar o servidor de aplicação.
A política de backup do sistema é configurada na camada de banco de dados.
Ao final desse documento, há um diagrama dessas quatro camadas.
J C M CONSU LTOR E S B P O | E s t r u t u r a T é c n i c a d a I n f r a e s t r u t u r a d e S e g u r a n ç a d a I n f o r m a ç ã o
05
J C M C O N S U L T O R E S . C O M . B R
HARDWAREPara instalação do sistema JCM os seguintes requisitos de hardware são necessários.
Servidor de Aplicação
SO: Windows Server 2008 ou mais recente CPU: 1 Core, 4 vCPU – 2.6Ghz Memória: 20GB RAM Disco Rígido: De acordo com sizing do cliente.
Servidor de Banco de Dados
SGBD: SQL SERVER 2008 ou mais recente CPU: 1 Core, 4 vCPU – 2.6Ghz Memória: 20GB RAM Disco Rígido: De acordo com sizing do cliente.
Servidor de Proxy Reverso
SO: Debian Stretch 9 CPU: 1 Core, 4vCPU – 2Ghz Memória: 4GB Disco Rígido: 40GB
SOFTWARES – SERVIDOR DE APLICAÇÃO - PRODUÇÃONa instalação do ambiente de produção do JCM os seguintes softwares e versões são utilizados.
Tomcat para o sistema JCM
Versão: 7.0.70 64 bits Download: clique aqui Versão do Java: Java 7 64bits Configurações de Memória:
-Initial Memory: 1024MB -Maximum Memory: 4096MB -Perm Size: 1024MB -Maximum Perm Size: 4096MB
Inicialização: Automática
Tomcat para o módulo de Folha
Versão: 7.0.70 64 bits Download: clique aqui
J C M CONSU LTOR E S B P O | E s t r u t u r a T é c n i c a d a I n f r a e s t r u t u r a d e S e g u r a n ç a d a I n f o r m a ç ã o
06
J C M C O N S U L T O R E S . C O M . B R
Versão do Java: Java 7 64bits Configurações de Memória:
-Initial Memory: 1024MB -Maximum Memory: 4096MB -Perm Size: 1024MB -Maximum Perm Size: 4096MB
Inicialização: Automática
Tomcat para o módulo de Portal do Participante
Versão: 8.5.46 64 bits Download: clique aqui Versão do Java: Java 8 64bits Configurações de Memória:
-Initial Memory: 1024MB -Maximum Memory: 2048MB
Inicialização: Automática
Tomcat para o módulo de Aplicativo
Versão: 8.5.46 64 bits Download: clique aqui Versão do Java: Java 8 64bits Configurações de Memória:
-Initial Memory: 512MB -Maximum Memory: 2048MB
Inicialização: Automática
Demais Softwares
• 7Zip 64bits (última versão)• Google Chrome (última versão)• Notepad++ (última versão)• Client SQL Server 2008 64bits• Power BI – Versão 2.74• Pentaho
AMBIENTE DE HOMOLOGAÇÃOO ambiente de homologação deve ser uma cópia fidedigna do ambiente de produção para que seja possível realizar todos os tipos de teste, inclusive os de performance.
J C M CONSU LTOR E S B P O | E s t r u t u r a T é c n i c a d a I n f r a e s t r u t u r a d e S e g u r a n ç a d a I n f o r m a ç ã o
07
J C M C O N S U L T O R E S . C O M . B R
INFRAESTRUTURA DE SEGURANÇA O sistema de segurança possui um cluster TOMCAT em sua estrutura, composto por:
- Um servidor, nomeado como PROXY-REVERSO, com suporte a segurança utilizando um WAF ( firewall de aplicação WEB), com configurações avançadas para proteção da rede, tais como SQL Injection, Cross Site Scripting (XSS) e Brute Force. Desempenha em paralelo o papel de balancear as conexões entre o cluster de aplicação Tomcat.
Este cluster é composto por mais dois servidores que atuam em paralelo, permitindo que ocorra mais requisições com menor tempo de resposta e assim, aumentando a escalabilidade da aplicação.
O servidor, nomeado como PROXY-REVERSO, é composto pela seguinte configuração:
- Sistema operacional Debian Stretch 9 (em sua última versão suportada atualmente pelo datacenter)
- NGINX (versão 1.18.0)
- MODSEC (versão 3.0.4)
- OWAP (versão 3.2).
Ambos pontos do cluster possuem um downtime de até 1 (hum em extenso) minuto e, sendo restabelecido sua conectividade e estando operacional após este período. Mensalmente é feito um stress-test no cluster, para poder se garantir a sua operacionalidade, mesmo em períodos de muito transporte de dados e tráfego de comunicação.
Abaixo podemos ver uma ilustração que representa a estrutura utilizada atualmente pelo sistema e como suas conexões foram feitas e as devidas configurações de cada ponto. Arquitetura do Ambiente
J C M CONSU LTOR E S B P O | E s t r u t u r a T é c n i c a d a I n f r a e s t r u t u r a d e S e g u r a n ç a d a I n f o r m a ç ã o
08
J C M C O N S U L T O R E S . C O M . B R
Painel de status GERAL PROXY-REVERSO
O gráfico acima é uma visualização do status do servidor em um dado momento, tendo um dashboard específico para tal finalidade, e onde podemos ver 3 gráficos na imagem, sendo eles:
Número de conexões processadas: é possível visualizar a quantidade de conexões que foram feitas por hora. Útil para saber horários de maior pico e necessidades maiores de observações. Número de conexões ativas: Quantidade de conexões ativas por servidor
Número total de conexões: Mostra a soma da quantidade de conexões feitas por hora a um determinado servidor.
J C M CONSU LTOR E S B P O | E s t r u t u r a T é c n i c a d a I n f r a e s t r u t u r a d e S e g u r a n ç a d a I n f o r m a ç ã o
09
J C M C O N S U L T O R E S . C O M . B R
Painel de status
O gráfico acima é uma visualização do status de uptime do servidor durante períodos, permitindo sua visualização em um dashboard específico para tal finalidade, e onde podemos ver 3 gráficos na imagem, sendo eles:
Parte roxa: Servidor de aplicação.
Parte azul: Servidor de banco de dados.
Parte amarela: Servidor de aplicação.
J C M CONSU LTOR E S B P O | E s t r u t u r a T é c n i c a d a I n f r a e s t r u t u r a d e S e g u r a n ç a d a I n f o r m a ç ã o
010
J C M C O N S U L T O R E S . C O M . B R
Geral servidores de aplicação
O gráfico acima é uma visualização do status de monitoramento de propriedades físicas e lógicas do servidor durante o momento em que se visualiza o gráfico, permitindo uma melhor visualização e entendimento de como o servidor está com a carga de processamento, em um dashboard específico para tal finalidade, e onde podemos ver 2 gráficos na imagem, sendo eles:
Uptime: possibilita ver o tempo de uptime (tempo que o servidor está executando sem nenhuma interrupção.
Usos: possibilita ver, em um único lugar, o uso da CPU, RAM e memória swa naquele momento.
Uso dos discos: capacidade total de armazenamento de cada disco e quanto está sendo usado no momento em que se olha para ele.
Com todos estes gráficos em mãos, é possível monitorar serviços e servidores em tempo real, permitindo assim lançar alertas aos responsáveis para uma ação corretiva em menor tempo possível para que as aplicações e clientes não sintam nenhuma consequência.
Os alertas são disparados de acordo com cada configuração e necessidades, a saber:
- Consumo exagerado de CPU
- Memória
- Disco
- Perda de conexão entre a aplicação e o banco de dados
E vários outros serviços de gestão interna.
Tais alertas são enviados via e-mail, SMS e WhatsApp.
J C M CONSU LTOR E S B P O | E s t r u t u r a T é c n i c a d a I n f r a e s t r u t u r a d e S e g u r a n ç a d a I n f o r m a ç ã o
011
J C M C O N S U L T O R E S . C O M . B R
Belo Horizonte / MG
Av. Afonso Pena, 2.951FuncionáriosCEP: 30130-006tel: +55 31 2128-3585 fax: +55 31 2128-3550email: [email protected]
Brasília / DF
SAS, Quadra 1, Bloco MEd. Libertas Brasilissala 911/912 - Asa SulCEP: 70070-935tel: +55 61 3322-8088 email: [email protected]
Jaraguá do Sul / SC
Av. Getúlio Vargas,8272° andar - CentroCEP: 89251-000tel: +55 47 3276-1010fax: +55 47 3276-1010email: [email protected]
Vitória / ES
Rua Neves Armond, 2107º andar - Praia do SuáCEP: 29052-280tel: +55 27 3315-5354fax: +55 27 3025-5801email: [email protected]
Rio de Janeiro / RJ
Av. Erasmo Braga, 27713° andar - CentroCEP: 20020-000tel: +55 21 2526-7007 fax: +55 21 2526-7007email: [email protected]
São Paulo / SP
Rua Tabapuã, 627 4º andar - Itaim BibiCEP: 04533-012tel: +55 11 3286-0532 fax: +55 11 3262-4261email: [email protected]
J C M C O N S U LTO R E S .C OM . B R