Martin Kameniar
17. septembra 2024

Hybridné riešenia dávajú vo výrobe zmysel. Ako aj príprava infraštruktúry na rozširovanie do cloudu

Ikonický podnik českej značky Remoska prešiel procesom IT transformácie. Je vzorom pre iných priemyselných výrobcov v tom, ako využiť automatizáciu a digitalizáciu vo svoj prospech, zefektívniť výrobu, zminimalizovať výpadky, rozšíriť kapacity, zvýšiť konkurencieschopnosť či zoptimalizovať spotrebu energií. S pomocou Soitronu získala fabrika modernú a silne zabezpečenú architektúru postavenú na najmodernejších technológiách. Séria rozhovorov s našimi Soitron expertami nám postupne priblížila tento úspešný projekt z pohľadu komunikačnej infraštruktúrybezpečnosti. Teraz sa v debate s naším špecialistom Martinom Kameniarom, Infrastructure Business Unit Managerom, naň pozrieme z pohľadu serverovej infraštruktúry.

Vieme, že v Remoske bola vybudovaná kvalitná sieťová infraštruktúra zabezpečená proti kybernetickým incidentom. Prebehla tam implementácia IP telefónie, bol zavedený IoT energetický monitoring, boli zintegrované systémy ako ERP, MES či iné interné programy. Čo všetko sme realizovali v tomto podniku z pohľadu dátovej infraštruktúry?

Zjednodušene povedané v Remoske sme postavili dátové centrum s integráciou do cloudu. Chcel by som však zdôrazniť, že do veľkej miery to bolo o spolupráci medzi jednotlivými technickými oddeleniami v rámci Soitronu. Vždy to začína návrhom infraštruktúry riešenia. Pri implementácii už ide o zladenie práce jednotlivých Soitron tímov. Keď sa nad tým spätne zamyslím, išlo o fyzickú inštaláciu serverov priamo na lokalite, vrátane UPS-iek (záložných zdrojov). Nasledovala implementácia prevádzkových služieb cez virtualizačnú platformu od vendora VMware, potom vytvorenie Active Directory. Určite nemožno zabudnúť na Backup riešenie. Okrem virtualizácie prebehla aj integrácia SaaS (Software as a Service) služieb.

Akých konkrétne?

Dnes sú to hlavne Microsoft 365 služby. Do budúcna by sa mohli využívať služby v zmysle rozširovania ochrany virtuálnych serverov a koncových staníc. Viem si predstaviť vytváranie archívov v rámci cloudového prostredia. Prichádzali by do úvahy aj iní vendori okrem Microsoft, ako napríklad Amazon (AWS) či Google. Dnes je multicloud nový trend.

Keď sa vrátim ešte k predošlej otázke, tak poskytujeme aj SLA (Service Level Agreement) na celé prostredie.

Myslíš tým poskytovanie supportu nad celým riešením?

Presne tak. Výrobné podniky nemajú často žiadne IT oddelenie alebo ho tvorí len jeden IT-čkár. Práve preto môže byť takáto servisná zmluva, uzatvorená s IT poskytovateľom, nápomocná. To bol aj prípad Remosky, kde poskytujeme všetko od A po Z a tým „Z“ myslím práve SLA zmluvu. V rámci nej robíme napríklad monitoring prostredia. Teda máme okamžite prehľad o tom, ak niečo vypadne a vieme hneď reagovať. Tiež je zakúpený support na jednotlivé hardvérové komponenty. Vedieme CMDB databázu, kde máme evidované všetky exspirácie licenčných kľúčov. Vieme, kedy je potrebné obnoviť backup či support na hardvér od vendora. Čo je určite veľké odbremenenie fabriky, aby toto všetko sledovala. Môže sa to zdať ako drobnosť, ale keď toto všetko nikto nesleduje a nastane nejaká kritická situácia či výpadok, firma zrazu zistí, že nemá zakúpenú podporu a nemôže teda požiadať vendora o nový disk alebo výmenu čohokoľvek. Je to veľký problém.

Zároveň ste robili aj podporné služby pre ostatné Soitron tímy…

Určite, napríklad pre Network a Security, pretože celé riešenie bolo postavené na vysokej bezpečnosti. Keďže ide o výrobný podnik, tak bolo potrebné komunikovať aj s dodávateľmi výrobných strojov. Museli nám zadefinovať, aký virtuálny server potrebujú či aký má mať výkon. Tiež bolo potrebné vyšpecifikovať celú komunikačnú maticu nie len pre aplikačné servery, ale i prevádzkové. Počas celého projektu bola veľmi dôležitá vzájomná kooperácia a komunikácia rôznymi smermi.

Hovorili sme spolu o integrácii Microsoft Office 365 služieb do cloudu. Aké výhody prináša priemyselnému podniku cloudové riešenie?

Cloudové prostredie všeobecne ponúka podnikom možnosť rozširovania ich služieb či aplikácií. Nemusí to byť hneď, ale možno o 2-3 roky, keď to budú potrebovať. Dnes je tu umelá inteligencia (AI) a môžeme si všimnúť, že rôzni vendori už začínajú integrovať AI do svojich riešení. Typickým príkladom je napríklad Microsoft Azure, ktorý začína implementovať AI do svojho prostredia. Systémák napíše „Priprav mi dizajn na také a také prostredie“ a AI vygeneruje návrh. V tomto duchu by mala každá jedna spoločnosť myslieť tak trochu vizionársky. Byť do budúcna otvorená možným integráciám.

Napadá ti ešte nejaké ďalšie praktické uplatnenie v rámci cloudu? Či už v Remoske alebo všeobecne v iných výrobných fabrikách?

Pokiaľ viem, Remoska uvažuje v budúcnosti spustiť novú, tzv. inteligentnú Remosku, ktorá sa bude dať ovládať z mobilných zariadení a dokáže zbierať telemetrické dáta. Keďže počet Remosiek pripojených v rôznych časoch počas dňa bude značne kolísať, musí byť kapacita serverov flexibilná. Na pružnosť vo využívaní kapacity serverov je cloud ideálny. Práve v takýchto prípadoch, keď spoločnosť poskytuje zákazníkom nejakú online službu, musí v prvom rade zabezpečiť jej vysokú dostupnosť. Napríklad v rámci Microsoft Azure existuje Azure Front Door, ktorý ponúka CDN (Content Delivery Network) a v rámci sveta zaručuje prevádzku s vysokou dostupnosťou jednotlivých služieb. Vývojár samotnej aplikácie aj Remoska, ako poskytovateľ tejto služby, má v rámci cloudu podstatne širšie možnosti.

Často sa vraví, že výhodou cloudu je škálovateľnosť. Čo to znamená?

Fyzické servery tvoria procesory, RAM-ky, disky, storage. Pripojenie jednotlivých komponentov prebieha manuálne. Zvyšovanie alebo znižovanie výkonu sa potom nedá realizovať úplne bez výpadku. Zároveň je tam aj fyzické obmedzenie. V rámci cloudu aplikácií nám škálovateľnosť umožňuje neobmedzene a flexibilne pracovať so zdrojmi. Počas nejakého obdobia, keď je napríklad sezónne nízky dopyt zákazníkov, možno znížiť výkon relatívne jednoducho. Keď je, naopak, v nejakom období vysoký dopyt, dá sa navýšiť výkon virtuálne úplne bez problémov. V cloude je možné celý tento proces zautomatizovať, takže nebudú zaznamenané žiadne výpadky.

Pre výrobné podniky je typické on-premise prostredie, ktorého protipólom je práve cloud. Idú tieto dva prístupy dokopy?

Vo všeobecnosti odporúčam fabrikám hybridný model. Ten im dáva možnosti pripraviť si architektúru infraštruktúry tak, aby ponúkala rozširovanie sa do cloudu vtedy, keď to budú potrebovať. Moja rada je využiť všetky výhody hybridu – myslieť otvorene, strategicky. Samozrejme, bezpečne, to je prvoradé.

Moje dlhoročné skúsenosti mi tento trend aj potvrdzujú. Otvorenosť voči cloudu a hybridným modelom sa za posledné roky výrazne zvýšila. Začalo to už pred covidovým obdobím.

Robotník v továrni

Keď už sme pri bezpečnosti, ako vníma výrobný sektor potrebu mať zabezpečené prostredie?

Bezpečnosť dnes chápem ako štandard. Je dôležité, aby každá spoločnosť vnímala hrozby z vonku a útoky, ktoré na ňu číhajú. Dnes sú výrazne sofistikovanejšie, ako boli v minulosti. Preto je dôležité začať s postupným overovaním aktuálneho stavu a s nasadzovaním bezpečnostných opatrení, pokiaľ sú potrebné. Prax nám potvrdzuje, že zákazníci to začínajú vnímať ako prioritu. I keď priemyselné podniky majú toto vnímanie trošku oneskorené, až keď sa stanú “obeťou” útoku.

Je dôležité si uvedomiť, že každá zmena, či už ide o zvyšovanie bezpečnosti alebo prechod do cloudu, znamená automaticky zníženie komfortu. Avšak neznamená to zníženie efektivity práce. Napríklad zvýšenie zabezpečenia formou dvojfaktorovej autentifikácie je dnes už nevyhnutná vec a stáva sa bežne aplikovanou aj vo výrobných fabrikách.

Čo by si poradil priemyselným továrňam, ak zvažujú realizáciu IT zmien v súvislosti so zaistením chodu ich výroby?

Odporučil by som im vytvoriť si vyhodnotenie aktuálneho stavu, teda vykonať analýzu existujúceho prostredia. Vďaka nej zistia, kde sa nachádzajú a v akom stave majú IT infraštruktúru. Existujú nástroje, pomocou ktorých to vedia urobiť aj vo vlastnej réžii. Ale, samozrejme, vieme im s tým pomôcť aj my. Získajú tak nezávislý pohľad na ich IT prostredie.

Zároveň by som im radil vytvoriť si aj finančnú analýzu. Podľa nej budú vedieť, akú veľkú finančnú investíciu si vyžaduje daná zmena. Nemusí to byť realizované hneď najbližšie mesiace, pokojne si to môžu rozdeliť do niekoľkých rokov. Postupovať by mali podľa prioritizácie – od najrizikovejších až po tie najmenej rizikové. Zároveň by si mali pomenovať svoje očakávania od týchto zmien. Napokon pripraviť reálny plán týchto zmien, teda ako bude prebiehať integrácia, inštalácia, migrácia a pod.

Napríklad v Soitrone, spolu s našou partnerskou spoločnosťou Millennium, robíme tzv. Business Value Assessment. Ide o technickú a finančnú analýzu, čo by spoločnosť stálo, keby chcela preprogramovať existujúce on-premise „legacy” aplikácie na cloudové. V rámci tejto analýzy sa pozeráme pomocou rôznych nástrojov na infraštruktúru, to znamená na server, aké má CPU, aké Windowsové či Linuxové licencie používa. Kolegovia z Millennia sa pozerajú na zdrojové kódy aplikácií. Spoločne vieme vytvoriť záver – reálne vyhodnotíme, aká bude časová, technická a finančná náročnosť tejto zmeny. Firma sa na základe toho môže rozhodnúť, či sa jej oplatí prechod do cloudovej aplikácie realizovať alebo pôjde do iného riešenia.

Čo ak továreň vie, že chce realizovať zmenu, ale nevie, ako a čím začať?

Každé prostredie, každý zákazník je úplne iný, ako aj jeho požiadavky a očakávania. Neexistuje jednoznačné zovšeobecnenie. Ale položme si otázku, čo sa stane, ak fabrika stratí svoje dáta alebo vypadne výroba na X hodín. Na tomto poďme stavať. Čiže začíname pri tom, že sa pozrieme na infraštruktúru, na jednotlivé stavebné kamene, ako napríklad servery, sieť, firewall a či má firma všetko aktualizované. Preverujeme, či spoločnosť používa segmentáciu siete, či majú oddelené prístupy do siete na základe oddelení alebo rolí užívateľov a pod.

Absolútne dôležité z pohľadu ochrany dát a minimalizovania výpadkov sú Backup plán a Disaster Recovery plán. Je potrebné mať pomenovanú jednoznačnú postupnosť, ako sa správať pri výpadku celého riešenia. Tiež je dôležité mať aj záložné riešenie, geograficky oddelené alebo práve v rámci cloudu. To, či to bude postavené v inom datacentre alebo v cloude, je v zásade jedno. Je vhodné mať popísané, ako postupovať a čo robiť. Keď dôjde k výpadku, začne veľký chaos. Vďaka tomuto plánu možno postupovať pragmaticky, s chladnou hlavou, presne podľa zadefinovaných krokov.

Z pohľadu prevádzkovej infraštruktúry sa opäť vraciam k aktuálnosti operačných systémov. Je to dôležité oproti minulému obdobiu, pretože dnes takéto diery v operačných systémoch jednotlivých verzií využívajú čoraz častejšie hackeri na prieniky do vnútra firmy.

V konečnom dôsledku aj koncový užívateľ je bod, ktorý je kritický. Preto odporúčam pozrieť sa na koncovú stanicu, či sa tam ukladajú dáta, či možno sťahovať dáta. Práve vo výrobných podnikoch by v niektorých prípadoch nemalo byť umožnené sťahovať dáta. Tiež je podstatné sa zamerať na to, či sú všetky dáta ukladané na server. V prípade, ak sa prenáša notebook, je potrebné skontrolovať, či je šifrovaný. Určite je dobré mať aj prístup do sieťovej infraštruktúry cez VPN-ku. Ak na toto všetko podnik nemá priestor, tak sme tu my, Soitron. Vieme jeho prostredie zanalyzovať, navrhnúť riešenie a previesť digitálnou transformáciou.

Ak by si mal popísať výhody z pohľadu Remosky. Čo jej takéto riešenie prinieslo?

V prvom rade bezpečnosť. Potom spoľahlivosť prevádzky a vysokú dostupnosť dát. Istotu, že keby to náhodou celé padlo, tak sa podarí výrobu veľmi rýchlo rozbehnúť. Nemusia sa starať o chod IT, to im supportujeme my. Remoska sa môže sústrediť na výrobu, čo je jej hlavný predmet podnikania. Vďaka cloudovému riešeniu získala neobmedzené možnosti rozširovania svojich služieb, čím výrazne zvýšila svoju konkurencieschopnosť na trhu. Ak firma zaspí v napredovaní pri poskytovaní služieb , konkurencia ju veľmi rýchlo predbehne.

Viem, že v Remoske sme použili aj pôvodný server zo starej fabriky, ktorý slúži na zálohovanie.

Samozrejme, ak je to možné, vieme vyhovieť zákazníkovi v tom, že jeho existujúce hardvérové vybavenie znovu zrecyklujeme a použijeme na niečo iné, aby sa nemuselo vyhadzovať. Napríklad ho možno použiť v inej lokalite ako testovacie prostredie a pod. Teda, aby bolo znovu využiteľné na niečo, čo neohrozuje prevádzku a výrobu.

Je ešte niečo, čo sme v Remoske nerealizovali a prichádza do úvahy pre iné továrne?

Vždy je niečo, čím sa dá aktuálny stav ešte vylepšovať. Napadá mi napríklad správa koncových staníc, ktorú v Remoske nemajú. Tá umožňuje inštaláciu aplikácií na diaľku alebo vytvorenie tzv.  Golden Image, t. z. štandardizovaného operačného systému, ktorý sa inštaluje na počítač užívateľa.

Vylepšovať stále viac a viac sa dá bezpečnosť. V priemyselnom prostredí mi dáva zmysel outsourcing služieb SOC (Security Operation Centre). Fabriky často nemajú dostatočne personálne pokryté interné IT oddelenie. Preto mi príde ako vhodné riešenie dohľadové centrum kybernetickej bezpečnosti, ktoré by ich upozorňovalo na hrozby a chránilo pred incidentmi.

Ďakujem za rozhovor.

Súvisiace články