MOVEit Automation – podstawy

Dzisiaj chciałbym przedstawić podstawy drugiego produktu Ipswitch – MOVEit® Automation.
MOVEit Automation (poprzednia nazwa MOVEit Central) pozwala w łatwy sposób zautomatyzować złożone przepływy danych (workflows) bez konieczności programowania.
Przepływy złożone są z zadań (tasków), a te z kolei mogą być uruchamiane wg harmonogramu, sterowane zdarzeniami lub na żądanie. Zadania mogą wymieniać pliki między systemami wewnętrznymi i zewnętrznymi, w tym serwerami MOVEit Transfer, przy użyciu wielu protokołów i przetwarzać pliki za pomocą wielu wbudowanych funkcji.

O ile miejsce MFT jest w strefie DMZ, to MA powinien znajdować się w bezpiecznej strefie sieci wewnętrznej (patrz rysunek poniżej).

Poniżej widzimy podobną architekturę, gdzie zamiast MFT jest inny produkt z grupy Ipswitch – WS_FTP Server. Możliwe są inne rozwiązania, serwery innych producentów, pominięcie strefy DMZ i połączenie np. z chmurą (MOVEit Cloud), ale o tym innym razem.

MOVEit Transfer (MFT) łatwo skonfigurować do współpracy z MOVEit Automation. W tym celu w MFT dodajemy użytkownika np. micentral z uprawnieniami admina.
Konto to będzie wykorzystywane do wysyłania dużej liczby pakietów dlatego wyłączamy dla niego notyfikacje. Można ustawić odpowiednie zabezpieczenia jak np. mocne hasło czy brak wygaśnięcia konta.
Logujemy się do MOVEit Automation, widzimy główne menu.

klikamy na HOSTS i Add Host. Z listy kilkunastów typów hostów wybieramy MOVEit Transfer.

Podajemy IP oraz dane logowania użytkownika micentral.

Można wprowadzić ograniczenia Limits i Timeouts itd. oraz przetestować połączenie.
Przejdźmy teraz do jednej z podstawowych czynności, tzn. do definiowania tasków.
W głównym menu wybieramy TASKS i Add Task.

Jak widać są trzy rodzaje tasków. Każdy rodzaj ma inne przeznaczenie. Najczęściej definiuje się taski typu Traditional, które zaspokajają większość potrzeb jakie występują w systemie.
Utwórzmy przykładowy tradycyjny task o nazwie myFirstTask. Pierwszym krokiem jest wybór kroku w definiowaniu (przycisk Step): Source, Process, Destination.

Zaczynam od źródła, czyli Source.

Wybieram dodany wcześniej serwer MFT oraz katalog i wzorzec plików, które będą przetwarzane. Możemy dodać czynności po udanym transferze jak np. skasować pliki, zmienić ich nazwę itp. Jeśli klikniemy w opcji Step na Process, dostaniemy listę skryptów do wyboru. Ja ten krok tutaj pominę.

Wybieram natomiast krok Destination, a w nim podaję adres email, na który pliki mają być wysłane.

OK, następny krok to zdefiniowanie harmonogramu (Schedule).

W kroku Next Action można wybrać Send Email, co jest rodzajem notyfikacji oraz ewentualnie Run Task, czyli uruchomienie innego wcześniej zdefiniowanego tasku. W ten sposób można zdefiniować cały cykl zadań.
OK, mój task ma być uruchamiany tylko we wtorki o określonej godzinie. Musimy go jeszcze włączyć i po pewnym czasie mamy raport z jego działania.

Zadania zaawansowane (Advanced Task) podobnie do zadań tradycyjnych mogą również korzystać z procesów. Mogą ponadto używać elementów warunkowych IF i FOR, aby określić, czy i kiedy inne elementy mają być uruchomione.
Elementy te zapewniają kontrolę przepływu pracy bez konieczności programowania.
Trzecim typem zadań sa zadania synchronizujące (Synchronization Task).

Ich zadaniem jest synchronizacja folderów, dlatego konfiguracja składa się z folderu A, folderu B i strzałki określającej kierunek synchronizacji.

MOVEit Automation, podobnie do MFT gwarantuje dostarczenie danych, szyfrowanie danych w spoczynku i szczegółową kontrolę dostępu. Na tym zakończę to wprowadzenie do systemu MA.
Jeśli ktoś ma pytania to proszę o kontakt na grupie PUG Poland.

MOVEit Transfer – klient

W poprzednim artykule opowiedziałem o głównych cechach systemu MOVEit Transfer zainstalowanego na systemie serwerowym. Teraz napiszę o dostępie do niego z poziomu klienta. Potrzebna jest do tego osobna licencja Ad-Hoc Transfer, dzięki której użytkownik posiadający konto w systemie MFT może zainstalować dodatkowe komponenty i mieć dostęp poprzez przeglądarkę webową lub Microsoft Outlook. Użytkownicy mogą więc wymieniać się wiadomościami, przesyłać pliki, co wygląda podobnie do zwykłego systemu Outlook.

Są jednak istotne różnice.Załączniki są wysyłane jako część pakietu nie do odbiorcy, ale na serwer MFT.Do odbiorców wysłany jest e-mail z powiadomieniem o nowym pakiecie.Odbiorca może kliknąć link w tym powiadomieniu, zalogować się do MFT i odebrać pakiet.

Konfiguracja tzw. Moveit Connectora jest bardzo prosta. Potrzebujemy tylko dane logowania użytkownika systemu MFT i oczywiście adres hosta.

W programie Microsoft Outlook, jeśli chcemy skorzystać z nowej możliwości wysyłania pakietów wybieramy MOVEit Send i otrzymujemy poniższy ekran.

Wiadomość możemy wysłać tradycyjnie lub poprzez Send through MOVEit.
Na dole mamy ustawienia: Message body secured oznacza, że treść wiadomości, podobnie jak załączniki, będzie dostępna dopiero po zalogowaniu do MFT. Ustawienie czasu wygaśnięcia i max. ilość pobrań załączników określa administrator. Parametry te synchronizują się z serwerem.

Odbiorca może odpowiedzieć na wiadomość, ewentualnie dodać własne załączniki, ale tylko jeśli takie działanie jest dozwolone. Administrator systemu MFT ma szerokie pole do działania; może np. określać kto może wysyłać i odbierać pakiety, ustawiać limity na poziomie użytkownika lub pakietu oraz kontrolować terminy ważności i pobierania pakietów.

Bardzo duże pliki i dużą ilość załączników można wysyłać szybko i bezpiecznie, unikając ograniczeń serwera pocztowego.

Poniżej znajduje się przykładowy fragment wiadomości jaką odbiorca otrzymuje do skrzynki email. Jest tylko link do systemu. Może on otrzymać w oddzielnej wiadomości hasło do logowania, ale jest to tylko jedna z możliwości. Hasło może być przekazane także w sposób “manualny”.

Jeśli odbiorca nie jest zdefiniowany w systemie tworzony jest użytkownik tymczasowy TempUser a jego nazwa to adres email.

Jest jeszcze jeden produkt typu kienckiego MOVEit Client – bardzo prosty w obsłudze, dający dostęp do katalogu domyślnego oraz katalogów współdzielonych.
Zobaczmy, że w przykładowym systemie dwóch użytkowników (testuser, user1) ma dostęp do katalogu myshared. Ich uprawnienia różnią się nieco, ale obaj mogą wymieniać się danymi.

Użytkownik user1 umieścił w katalogu dwa pliki, które testuser może teraz pobrać i ew. umieścić swoje.

Ponieważ testuser ma uprawnienie List Users może klikając na ikonkę po prawej stronie podejrzeć kto współdzieli ten folder oraz jakie ma w nim uprawnienia.

MOVEit Transfer – podstawy systemu

Do tej pory wszystkie artykuły były związane z technologią OpenEdge. Najwięcej jest poświęconych oczywiście serwerowi aplikacji PASOE. Pora na małą zmianę.
W pierwszej połowie 2019 r. Progress zakupił firmę Ipswitch, Inc., specjalizującą się w rozwiązaniach związanych z bezpiecznym przesyłaniem danych oraz monitorowaniem i zarządzaniem zasobami sieciowymi.

MOVEit® Transfer (poprzednia nazwa MOVEit® DMZ) to cały system do bezpiecznego przetwarzania, przechowywania i przesyłania pakietów.

Produkty z serii MOVEit zapewniają kompleksowe rozwiązania, do bezpiecznej obsługi wrażliwych informacji takich jak dane finansowe, dokumentacja medyczna, dokumenty prawne czy dane osobowe.

No dobrze, powiecie, ale mamy serwery FTP, pocztę elektroniczną – czy to nie to samo i do tego za darmo?

Zabezpieczenia poczty elektronicznej nie zawsze są zgodne z wymaganiami korporacji, a załączane do emaili pliki mają spore ograniczenia dotyczące rozmiaru.

Serwery FTP to oczywiście popularny sposób bezpiecznego przesyłania dużych plików. Problem jest jednak gdy chcemy przekazywać dane wrażliwe (jak powyżej) przy zastosowaniu wymaganych, określonych zabezpieczeń, mieć gwarancję dostarczenia informacji, a do tego tworzyć raporty dotyczące wybranych transferów.

MOVEit® Transfer (MFT) dostarcza bezpieczne usługi przesyłania danych SFTP/S i HTTPS.
Ponadto, dane w systemie MFT są automatycznie szyfrowane nie tylko podczas transferu lecz także w spoczynku.

Zobaczmy dwie podstawowe konfiguracje MFT. Poprzednia nazwa produktu to, jak wspomniałem MOVEit® DMZ, przy czym DMZ oznacza strefę zdemilitaryzowaną, a więc strefę “ograniczonego zaufania” gdzie ryzyko włamania jest zwiększone. W strefie tej umieszcza są serwery, które świadczą usługi użytkownikom sieci wewnętrznej, którzy muszą kontaktować się z użytkownikami sieci zewnętrznej. Po prawej stronie schematu mamy wewnętrznych użytkowników korporacji, która musi mieć bezpieczny dostęp także do użytkowników zewnętrznych (lewa strona).


Zabezpieczenia te można jeszcze podnieść stosując produkt MOVEit Gateway (rysunek poniżej). Miedzy nim a serwerem MFT konfiguruje się tzw. tunelowanie.

Jeśli chodzi o architekturę to nie koniec możliwości, ale na początek poprzestaniemy na tych dwóch prostych przykładach.

MFT jest produktem serwerowym instalowanym na platformie Windows Server. Oznacza to, że próba zainstalowania na maszynie klienckiej zakończy się niepowodzeniem.
Produkt ma dość prosty interfejs webowy, ale bardzo dużo możliwości definiowania poszczególnych elementów w całym systemie przesyłania informacji.

Każdy kto ma dostęp do systemu ma określone uprawnienia oparte na rolach (role-based). Może to być np. administrator, administrator plików, administrator grupy, zwykły użytkownik, użytkownik tymczasowy.

Użytkowników możemy utworzyć od zera lub załadować z istniejącego systemu typu LDAP, SSO itp.

Użytkownicy mogą należeć do grup. Pliki mogą być współdzielone między poszczególnymi użytkownikami lub ich grupami.

Uprawnienia każdego użytkownika można dokładnie zdefiniować pod kątem zabezpieczeń, ograniczeń itd.
Na poniższym rysunku widać sekcję uprawnień związaną z uwierzytelnieniem. Może ono być realizowane przez MOVEit, system zewnętrzny lub oba. Można zdefiniować zasady związane z hasłem dostępu, uwierzytelnianiem przez HTTP, FTP, SSH itp.

W poniższej sekcji, można zdefiniować np. limity transferu i składowania danych, określić folder domowy i domyślny, i wiele innych.

Każdy użytkownik ma domyślnie włączone powiadomienia o przesłanych pakietach danych. Powiadomienia te wysyłane są drogą emailową. Ponieważ produkt nie posiada wbudowanego własnego serwera SMTP należy skonfigurować połączenie z istniejącym korporacyjnym serwerem pocztowym. Dla celów testowych wystarczy utworzyć na platformie Windows Server własną lokalną usługę.

Istotnym elementem wymiany danych są foldery. Z punktu widzenia organizacji, są one podobne do folderów w każdym systemie operacyjnym. W MFT w łatwy sposób można przyporządkowywać poszczególnych użytkowników lub ich grupy, mających do tych folderów dostęp oraz zdefiniować rodzaj dostępu.

Na poniższym rysunku widzimy listę uprawnień, które mogą być dziedziczone od folderu nadrzędnego lub nadane od zera. Oprócz tych najbardziej znanych mamy akcje związane z tworzeniem podkatalogów Sub czy najbardziej ciekawą Share, umożliwiającą udostępnianie tego folderu innym użytkownikom.

Jako administrator możemy określić, jakie uprawnienia dany użytkownik może przydzielić innym użytkownikom współdzieląc katalog. Nierzadko zostawia się tylko ustawienia List i Upload; użytkownik zewnętrzny może wtedy przesłać plik, wylistować zawartość katalogu, ale nie może nic pobrać ani skasować.

Jeśli zostawimy tylko te dwie akcje dla użytkownika testuser, a następnie zalogujemy się na jego konto, widzimy, że może on dodać innych użytkowników do współdzielenia katalogu, ale tylko dla tych wybranych akcji.

Ta użyteczność funkcjonalność nazywa się Secure Folder Sharing i powrócimy do niej w następnym artykule.

Jeśli ktoś nie chce czekać na następny odcinek może poczytać o MOVEit Transfer na stronach Ipswitch np. ipswitch.com, docs.ipswitch.com (cała dokumentacja) czy na stronach Progress Software.

Jeśli ktoś chciałby zobaczyć demo po polsku to proszę pisać na naszym PUG Poland.