Server Baremetal Proxmox

HPE ProLiant MicroServer G8, con CPU quad-core da 2.5 GHz, 16 GB RAM ECC DDR3, SSD MLC Transcend 512 GB per l'OS e 4 HDD Western Digital Red 4 TB in RAID 5 per i dati

Il sistema è stato progettato per una piccola azienda con la necessità di avere un server Baremetal per virtualizzare diversi sistemi operativi al fine di avere una strategia di Disaster Recovery che minimizzasse eventuali downtime in caso di problemi.

Per soddisfare queste esigenze si è deciso di utilizzare un HP MicroServer Gen8 e di upgradarlo con una CPU Xeon, ed installando il bay frontale per il 5° disco al posto dell'unità ODD. Nel cassetto frontale è stata quindi installata una SSD MLC dedicata all'Hypervisor Proxmox. Negli alloggiamenti inferiori sono stati installati quattro Hard Disk configurati in RAID 5 dedicati all'archiviazione dei dati.

Il server è installato in rete in modalità headless, senza monitor e tastiera ed è stato programmato affinché all'avvio basti inserire un'apposita unità USB per decriptare il file system criptato ed avviare il sistema.

L'unità USB deve avere una precisa etichetta e deve contenere un'apposita chiave di decriptazione in un preciso percorso. Una volta avviato il sistema è possibile rimuovere in totale tranquillità l'unità USB. In caso di necessità, se non dovesse essere possibile usare l'unità USB perché andata persa o perché corrotta, il server è stato configurato affinché sia possibile collegarlo a monitor e tastiera per sbloccare il file system digitando una password. Senza l'unità USB di sblocco e senza la password è impossibile decriptare il file system, avviare il sistema ed accedere ai dati su di esso archiviati.

Il server Baremetal è completamente autonomo, il titolare dell'attività deve solo accenderlo e verranno avviati un Sistema Operativo Debian ed un Sistema Operativo Windows Server.

Debian eroga un File Server Samba, un Cloud Server Nextcloud ed un Server OpenVPN.

Windows eroga un software gestionale non disponibile per Linux.

Particolare attenzione è stata prestata nella progettazione della strategia di backup dei dati:

• Proxmox esegue quotidianamente una snapshot di Debian e Windows.
• Tutti i computer Windows dello studio sono stati dotati di un client che ogni ora esegue automaticamente un backup incrementale dei loro nuovi dati sullo spazio condiviso del File Server Linux.
• I dati archiviati sul File Server, i dati archiviati sul Cloud Privato sono tutti protetti da un sistema di backup completamente automatizzato, che esegue dei backup incrementali con versioning in una zona del file system ad accesso limitato, in questo modo i dati sono protetti da attacchi informatici (virus o cryptolocker) e da errori umani. Il backup incrementale nella zona ad accesso limitato viene eseguito automaticamente ogni notte e viene conservata una copia di ogni giorno degli ultimi 7 giorni, una copia di ogni settimana delle ultime 4 settimane ed una copia di ogni mese degli ultimi 3 mesi.
• Tutti i dati sono ulteriormente protetti grazie ad un sistema di backup parzialmente automatico, che esegue un backup incrementale dei dati su un unità USB esterna. Collegando al server un'unità USB con una specifica etichetta ed un specifico percorso di archiviazione, il sistema avvia in automatico un backup incrementale copiando i nuovi dati sull'unità USB esterna ed invia una notifica via email al termine dell'operazione per permettere di rimuovere in sicurezza l'unità USB.

Tutti i dati aziendali sono quindi al sicuro poiché salvati sui computer Windows, sul Server Linux e su un disco USB esterno.

La sicurezza del server è garantita da diversi livelli di firewall (iptables, ipset, modsec, fail2ban) e da diversi certificati (ssl, ssh). Nessuna persona non autorizzata può accedere al server, ogni accesso non autorizzato viene bloccato e l'ip sorgente viene bannato. ll server aggiorna inoltre quotidianamente la blacklist di indirizzi IP malevoli da bannare con ipset scaricando dai nostri sistemi la lista aggiornata con i nuovi indirizzi che sono continuamente catturati dalla nostra rete di honeypot sparsi sul territorio italiano.

Il server è configurato con un sistema di Monitoring/Alerting che controlla in tempo reale che tutto l'hardware ed il software funzionino correttamente ed invia un email al proprietario in caso di malfunzionamenti. Particolare attenzione è prestata al controllo dello stato di salute dei dischi del server, il sistema di Monitoring controlla in tempo reale i dati SMART dei dischi ed il sistema di Alerting notifica eventuali problemi al titolare dello studio in modo che i dischi possano essere sostituiti prima che si rompano e si perdano i dati. Inoltre i tre dischi sui quali sono archiviati i dati sono configurati in RAID5, ciò significa che se anche uno dei tre dischi dovesse rompersi i dati non andrebbero persi.

Il server è infine protetto da un UPS ed è in grado di rilevarne il livello di carica in modo da spegnersi correttamente in caso di mancanza prolungata della corrente. In caso di mancanza di corrente, prima di spegnersi, il server è in grado di far spegnere correttamente anche tutti i computer Windows dello studio.

La connessione è fornita da un FTTC Tim che offre una velocità di Download pari a 73.63 Mbit/s ed una velocità di Upload pari a 21.60 Mbit/s.

Il sistema è completamente GDPR Compliant, i dati sono archiviati sul server privato che è protetto da avanzate misure di sicurezze che annullano quasi totalmente il rischio di Data Breach.