I Servizi
I servizi coperti dal Lotto 8 del presente Accordo Quadro riguardano l’esecuzione a livello operativo delle attività di migrazione in cloud di una applicazione o di un sistema. Tali attività sono organizzate in singole “fasi”, a partire dalla mappatura dei workload dei sistemi/applicativi che si intende migrare fino al supporto e training sugli ambienti migrati in cloud.
Per ogni fase di migrazione Consip ha definito specifici servizi acquistabili: le Amministrazioni potranno pertanto scegliere ed inserire nel loro Piano dei Fabbisogni ogni singolo servizio di cui necessitano per le loro specifiche esigenze a prescindere della fase a cui appartengono.
Di seguito vengono riportate le varie fasi di migrazione con i singoli servizi acquistabili.
Servizio finalizzato a supportare l’Amministrazione nel definire la mappatura dei workload sulle tecnologie cloud identificando il miglior modo di migrare gli applicativi, le aree applicative o un intero sistema informativo. Saranno messe a disposizione specifiche metodologie e strumenti tecnologici per l’analisi della situazione in essere (AS-IS), la fase di verifica con l’Amministrazione nonché la produzione dei deliverable di fase costituita dal disegno dei workload e dall’architettura target.
Il servizio si compone dei seguenti sottoservizi:
- M1.1 - Disegno dei workload: il sottoservizio ha l’obiettivo di stilare una lista dei workload necessari a soddisfare i requisiti della strategia di migrazione. Per ciascun workload verranno tracciate ed inserite almeno le seguenti informazioni: il nome ed una breve descrizione del workload con indicati il requisito soddisfatto della strategia di migrazione prevedendo l’indicazione dell’applicazione source ed il sistema informativo di appartenenza; le risorse target di riferimento ed i relativi requisiti di performance; la complessità del workload (numero di utenti, interazioni DB, ecc.); il referente dell’Amministrazione e/o del nostro RTI; le interazioni con altri workload.
- M1.2 - Architettura risorse cloud: il sottoservizio è finalizzato al disegno di dettaglio delle architetture IaaS e PaaS con cui procedere con la migrazione dei workload. Per ciascun workload andrà identificata l’architettura di riferimento in termini di risorse cloud tenendo in considerazione tutte le interazioni con gli altri workload. Per ogni documento di disegno, verranno tracciate ed inserite almeno le seguenti informazioni: Il diagramma architetturale logico; Il diagramma architetturale fisico; le modalità/tecniche di backup della piattaforma; le modalità/tecniche per garantire i requisiti di sicurezza; le modalità/tecniche per garantire i requisiti di alta affidabilità
Servizio finalizzato all’implementazione degli ambienti necessari ad ospitare i workload e all’attività di trasferimento dei dati dagli ambienti on-premise. A prescindere delle modalità di erogazione del servizio, verrà garantita la composizione ottimale del gruppo di lavoro, prevedendo skill di natura eterogenea per garantire la presenza di tutte le competenze tecnologiche necessarie per la migrazione. Nell’implementazione della migrazione verranno assicurati tutti i processi di comunicazione, collaborazione e integrazione tra la componente relativa alle risorse professionali e tecnologiche e la componente dati. Verranno quindi messe a disposizione specifiche metodologie e strumenti tecnologici per tracciare l’avanzamento delle attività e raccogliere i deliverable di fase che saranno rispettivamente documenti relativi alle configurazioni di dettaglio delle risorse per la fase M2.1 e documenti sulle configurazioni di dettaglio delle basi di dati M2.2.
Il servizio si compone dei seguenti sottoservizi:
- M2.1 - Configurazione ambienti: è prevista la redazione di una lista delle risorse tecnologiche necessarie a soddisfare i requisiti dei workload. Per ogni risorsa configurata saranno tracciate ed inserite almeno le seguenti informazioni: il nome ed una breve descrizione del workload di riferimento; il nome ed una breve descrizione della risorsa; le configurazioni della risorsa (CPU, RAM, Storage, ecc.); la capacità di scalabilità della risorsa con indicazioni delle API per la gestione automatica dello scaling; il referente dell’Amministrazione e/o del RTI; modalità di phase-out per la risorsa (es. configurazione da esportare, dati da esportare, ecc.); le interazioni e le dipendenze da altre risorse.
- M2.2 - Trasferimento dati: verranno utilizzate le opportune best practice per evitare che si verifichino perdita dei dati, inconsistenza dei dati, lunghi periodi di down time, corruzione dei dati e interferenze. Terminato il trasferimento dei dati sugli ambienti target, sarà validato il trasferimento verificando il corretto funzionamento dei workload dipendenti dalla base dati migrata, ed effettuate opportune validazioni di performance, ad esempio, effettuando e misurando query. Saranno utilizzate anche tecniche avanzate di validazione delle basi dati migrate tra cui la riconciliazione al fine di assicurare che il numero di entità sorgenti sia uguale al numero di entità target, oppure la validazione orizzontale dei valori, nel caso in cui la transizione abbia previsto dei momenti di trasformazione, arricchimento o consolidamento dei dati migrati.
Servizio finalizzato a garantire l’adozione delle più opportune policy di sicurezza per gli ambienti cloud implementati. Gli aspetti di sicurezza, in uno scenario di condivisione delle risorse fisiche, risultano molto critiche pur con la garanzia di segregazione dei tenant da parte dei CSP. Saranno tenute in forte considerazione problematiche come data leakage, controllo debole degli accessi, attacchi DDoS, data breaches, perdita di dati, la gestione delle identità e della privacy. Per mitigare questi rischi, le piattaforme cloud forniscono un insieme di policy, controlli e regole che assieme proteggono l’infrastruttura con misure specificatamente destinate alla sicurezza. Nel definire le policy di un ambiente cloud si terrà contro dello stato dell’infrastruttura in termini di workload M1.1 e basi dati implementate M2.2 e saranno tenute in considerazione le configurazioni delle risorse di cui ai deliverable M2.1 nonché dell’intera architettura e interazioni tra risorse M1.2. Verranno quindi messe a disposizione specifiche metodologie e strumenti tecnologici per tracciare le attività svolte e raccogliere i deliverable di fase che saranno rispettivamente documenti relativi alle policy di sicurezza implementate.
Il servizio si compone del seguente sottoservizio:
- M3.1 – Definizione policy di sicurezza
- Per ogni applicativo verrà gestita la sicurezza per almeno i seguenti aspetti: messa in sicurezza di tutte le risorse, non solo quelle esposte verso l’esterno, edge layer; protezione dei dati memorizzati, data in rest, in qualsiasi forma digitale attraverso la cifratura; saranno mitigati attacchi DDoS utilizzando il livello di network della piattaforma cloud; utilizzo di una lista di accessi sicuri per reti, applicativi e dati ed esecuzione di un’analisi periodica delle vulnerabilità anche attraverso penetration test; utilizzo di two factor authentication (2fa) e configurazione di un meccanismo di single sign on (SSO); installazione di antivirus e anti-malware per i nodi e il networking; abilitazione del monitoring e del logging per il networking, gli applicativi ed i dati; connessione dell’ambiente on-premises con l’ambiente cloud utilizzando sempre un link dedicato ed una VPN sul link pubblico.
- Per ogni base di dati sarà gestita la sicurezza per almeno i seguenti aspetti: cifratura dei dati memorizzati nei dischi utilizzando ad esempio AES 256; utilizzo di uno strumento di gestione delle chiavi per la memorizzazione dei dati sensibili come credenziali, token per le API, certificati SSL, chiavi private; controllare gli accessi sulla base del ruolo degli utenti; proteggere tutti i canali di comunicazione con un certificato SSL.
Servizio finalizzato a garantire il corretto monitoraggio delle risorse e delle procedure di capacity planning in caso di picchi di utilizzo che richiedono l’espansione temporanea della capacità computazionale e tutto quanto necessario a garantire il non deterioramento delle performance dei workload. Nel definire le metriche di monitoraggio si terrà contro dello stato dell’infrastruttura in termini di workload M1.1 e basi dati implementate M2.2 e saranno tenute in considerazione le configurazioni delle risorse di cui ai deliverable M2.1, dell’intera architettura e l interazioni tra risorse M1.2 e delle policy di sicurezza M3.1 per definire le opportune metriche per rilevare eventi che deteriorino la sicurezza dell’ambiente cloud.
Il servizio si compone dei seguenti sottoservizi:
- M4.1 - Monitoraggio risorse: in prima battuta verrà analizzato lo stato complessivo dell’ambiente cloud in termini architetturali e dei workload implementati e delle policy di sicurezza. Definito lo stato, verranno implementate metriche di monitoraggio, allarmi per ogni singola metrica, dashboard di visualizzazione degli eventi, configurazioni sulle notifiche (utenti coinvolti, applicazioni coinvolte).
- M4.2 - Capacity planning: saranno implementati, tramite le dashboard di monitoraggio, opportuni strumenti per monitorare le performance delle risorse al fine di identificare sottoutilizzi delle risorse o necessità di espandere le risorse a causa di degradi delle performance. Verrà analizzato lo stato complessivo dell’ambiente cloud in termini architetturali e dei workload implementati. Definito lo stato, saranno implementati i processi di provisioning e decommissioning di risorse mediante automatismi e script (infrastructure as code). Per farlo verranno utilizzate le capability delle piattaforme cloud che espongono apposite API.
Servizio finalizzato a supportare l’Amministrazione nella gestione di incident che potrebbero verificarsi nell’esercizio dei workload sugli ambienti cloud. Sarà implementato un processo di gestione degli incident che consenta alle Amministrazioni di risalire alle cause e adottare le opportune contromisure. Verranno quindi messe a disposizione specifiche metodologie e strumenti tecnologici per tracciare le attività svolte e raccogliere i deliverable di fornitura del servizio che saranno rispettivamente documenti relativi alle policy di sicurezza implementate. Sarà inoltre offerto un servizio di training alle Amministrazioni di taglio tecnico che consenta trasferimento di know how e formazione per i referenti delle Amministrazioni.
Il servizio si compone dei seguenti sottoservizi:
- M5.1 - Gestione degli incident: verrà garantito un Single Point of Contact per l’Amministrazione al quale verranno riportate tutte le problematiche. Saranno garantite competenze tecnologiche sull’infrastruttura cloud target che permetteranno di ripristinare la piena operatività dei servizi. Verrà predisposta una knowledge base degli incident gestiti al fine di avere disponibili all’occorrenza procedure di ripristino delle piene funzionalità dei servizi esposti tramite l’ambiente cloud.
- M5.2 - Training: sarà offerto un servizio di formazione per le Amministrazioni per il trasferimento di know how relativo agli ambienti implementati. Il servizio consisterà nell’erogare giornate di formazione in aula alle amministrazioni che ne faranno richiesta. La formazione verterà su argomenti relativi alle attività previste in tutte le fasi M1, M2, M3, M4 e M5.1. Ogni giornata di formazione avrà la durata di 8h e sarà erogata presso i locali dell’Amministrazione; le giornate di formazione indoor sono comprensive dei seguenti oneri: progettazione delle singole giornate di corso; trainer impiegato/i; produzione materiale didattico; eventualmente, il luogo idoneo alle attività da svolgere; eventuali strumenti a supporto della sessione formative.