Chi siamo

Indice dei contenuti

1. sintesi

Il GRUPPO LEGIER gestisce un ecosistema di data center multi-tier con Manama (Core), Kuwait City (AZ) e Singapore (Edge). Offre livelli separati ma integrati per rete, calcolo, storage, dati, AI e sicurezza. Obiettivi: Alta disponibilità, sicurezza zero trust, bassa latenza e conformità dimostrabile. Con l'approvazione del Autorità di regolamentazione delle telecomunicazioni (TRA) in Bahrain, il data center LEGIER utilizza tecnologie all'avanguardia, come i propri componenti AI, Darktrace-soluzioni di sicurezza e Mainframe IBM-per garantire una piattaforma affidabile, scalabile e sicura. Il Bahrein e il Kuwait offrono vantaggi specifici di localizzazione che ottimizzano le operazioni. Principi guida:

• Priorità alla privacy (KMS/HSM)
• Resilienza multi-AZ/regione
• Backup incrociato degli account
• GitOps/IaC con artefatti firmati
• Funzionamento SRE con SLO e automazione (SOAR)

Il centro dati di Manama è stato progettato per soddisfare le esigenze di una società di media globale:

1. Alta disponibilità: Un tempo di attività del 99,999 % è ottenuto grazie a sistemi ridondanti come doppie fonti di alimentazione, generatori di backup e hardware in mirroring per garantire la produzione continua di messaggi.
2. Scalabilità: L'infrastruttura può essere ampliata in modo flessibile per far fronte all'aumento dei volumi di dati e dei requisiti di elaborazione, essenziale per la produzione in nove lingue in tutto il mondo.
3. Elaborazione e archiviazione dei dati: Milioni di dati di testo, immagini e video vengono elaborati e archiviati in tempo reale. Le veloci unità SSD e una robusta rete SAN (Storage Area Network) garantiscono l'efficienza.
4. Supporto AI: Le potenti GPU e TPU supportano carichi di lavoro AI complessi come l'analisi dei contenuti e la traduzione.
5. Cybersecurity: I dati sensibili richiedono una protezione avanzata, che viene fornita da Darktrace-tecnologie.

Casi d'uso dell'IA

1. Analisi del contenuto:
   • Tecnologia: L'apprendimento profondo e l'elaborazione del linguaggio naturale (NLP) con modelli come il BERT analizzano i testi, categorizzano i contenuti ed estraggono le informazioni rilevanti.
   • Benefici: Accelera l'elaborazione dei messaggi e migliora l'accuratezza, ad esempio nel riconoscimento di tendenze o argomenti chiave.
2. Sistemi di raccomandazione:
   • Tecnologia: L'apprendimento automatico con filtri collaborativi e reti neurali personalizza i contenuti per i lettori.
   • Benefici: Aumenta la fidelizzazione degli utenti attraverso raccomandazioni di lettura personalizzate, ad esempio per contenuti regionali o specifici per la lingua.
3. Reporting automatizzato:
   • Tecnologia: I modelli di intelligenza artificiale generativa, come il GPT, creano rapporti di routine, come ad esempio i risultati meteorologici o sportivi.
   • Benefici: Alleggerisce i redattori che possono concentrarsi sul giornalismo d'inchiesta o su analisi complesse.
4. Traduzioni in tempo reale:
   • Tecnologia: Strumenti di intelligenza artificiale come DeepL o modelli proprietari traducono i contenuti in nove lingue in tempo reale.
   • Benefici: Consente la pubblicazione immediata di notizie globali, un vantaggio fondamentale per i 115 giornali.
5. Riconoscimento di immagini e video:
   • Tecnologia: Le reti neurali convoluzionali (CNN) etichettano e valutano automaticamente i contenuti visivi.
   • Benefici: Accelera la pubblicazione di contenuti multimediali grazie alla creazione automatica di metadati.

2. ubicazione e topologia

2.1 Manama (Bahrain) - Regione centrale

Controllo centralizzato/orchestrazione, cluster GPU/CPU, livelli di oggetti, SIEM/SOAR/KMS/PKI, DNS/directory, repository di artefatti (SBOM). Spine-Leaf-Fabric 100/200/400G, ECMP, separazione VRF.  

2.2 Zona di disponibilità dei dati (AZ) Kuwait City

Resilienza geografica/disaccoppiamento; profili di replica per classe di dati (sincrono/vicino-sincrono/asincrono); domini di errore isolati, punti di uscita dedicati, scoping IAM, capacità di DR (Pilot-Light-Active-Active).  

2,3 Posizione dei bordi Singapore (KDDI Asia Pacific)

PoP edge neutrale rispetto al carrier (CDN/caching, WAF/DDoS, streaming). Dati master tramite replica sicura; obiettivo: latenza APAC minima senza percorso pubblico in sottoreti sensibili.  

3. architettura di rete e interconnessione

Spine-Leaf (ToR 25/100G, Spine 100/200/400G), ECMP, Anycast-BGP, SD-WAN. DCI Manama-Kuwait-Singapore via DWDM/MPLS, QoS per repliche/backup, monitoraggio di latenza/jitter con selezione dinamica del percorso. Perimetro: NGFW, ispezione L7, filtraggio DNS, whitelisting in uscita. Isolamento est/ovest: VRF/VXLAN, SG/NACL, mTLS, accesso JIT.  

4. livello di calcolo, virtualizzazione e container

Kubernetes (HA-CP, PSS, OPA/Gatekeeper), orchestrazione di macchine virtuali, nodi GPU (a precisione mista), IMDSv2, immagini firmate (Cosign), controllo SBOM, admission controller, seccomp/AppArmor. Segreti con backend KMS. Clienti: Namespaces/Projects, ABAC/RBAC, confini dei permessi, politiche di rete con negazione predefinita, Service Mesh mTLS, Anti-Affinity.  

5. piattaforme di archiviazione e dati

Flash NVMe per una bassa latenza, SAN/NAS per gli archivi VM/DB, archivio di oggetti S3 con versioning, ciclo di vita, WORM e replica Manama↔Kuwait; cache edge a Singapore per i supporti. Standard: Blocco dell'accesso pubblico, negazione di default, crittografia lato client/server (KMS/HSM), registrazione write-once, condivisioni pubbliche per eccezione.  

6. pianificazione della capacità

6.1 Calcolo

Risorse	Quantità	Budget di servizio per unità	Totale	Osservazione
IBM z17 (mainframe)	1 Cornice	n/a	n/a	Inferenza di transazioni/AI vicino ai sistemi centrali
Server GPU (2U, 8× GPU)	24 nodi	2 kW	≈ 48 kW	Formazione/inferenza, immagini/video/NLP
CPU compute (1U)	80 nodi	0,4 kW	≈ 32 kW	Lavoratore Web/Microservizi/K8s
Apparecchiature TPU/AI	8 Apparecchiature	1,2 kW	≈ 9,6 kW	Carichi di lavoro AI specializzati

6.2 Memoria

Animale	Capacità	Prestazioni	Utilizzo
NVMe primario (livello 0/1)	≈ 600 TB	≈ 12 kW	Ad alta intensità di I/O (dati diari/hot)
SAN/NAS (blocco/file)	≈ 2,5 PB	≈ 18 kW	Archivi DB/VM/azioni editoriali
Memoria a oggetti (compatibile con S3)	≈ 8 PB	≈ 10 kW	Media, versioni, archivi
Livello di archivio (WORM/freddo)	≈ 20 PB	≈ 6 kW	Conservazione a lungo termine, conformità

6.3 Rete/DCI

Componente	Produttività	Tecnologia	Osservazione
Uplink in tessuto	100/200/400 Gbit/s	Foglie di colonna vertebrale, ECMP	Scalabile orizzontalmente
DCI Manama-Kuwait	≥ 2× 100 Gbit/s	DWDM/MPLS (ridondante)	Sincrono/quasi-sincrono per carico di lavoro
DCI Manama-Singapore	≥ 2× 100 Gbit/s	Ridondanza del fornitore	Edge caching/streaming
Anycast/DDoS/WAF	Globale	Lavaggio dei bordi	Protezione e bassa latenza

6.4 Energia/raffreddamento

Risorse	Interpretazione	Obiettivo	Suggerimento
Binari UPS	A/B	N+1	Percorsi doppi
Generatori	N+1	Diesel + ATS	Test interpaese trimestrali
Raffreddamento	Raffreddamento liquido/libero	Miglioramento del PUE	Contenimento del corridoio freddo/caldo
Solare/CHP (opzionale)	Scalabile	Sostenibilità	Lisciatura dei picchi di carico

Dominio	Scala	Misura	Osservazione
Capacità della GPU	+50 %	Espansione del cluster, rack aggiuntivi	Espansione modulare
Memoria dell'oggetto	+40 %	Estensioni del ripiano	Ciclo di vita/Archivio animali
Velocità di trasmissione DCI	+100 %	onde 100G aggiuntive	Picchi APAC/EMEA
PoP di bordo	+2-3	APAC/EMEA	Estensione Anycast

+50 GPU % (8×GPU/Nodo, 2U) e +30 CPU % in 12-24 mesi; densità e raffreddamento del rack convalidati dalla simulazione termica.

7. database e messaggistica

OLTP/OLAP relazionale, KV/document store, indici di ricerca, streaming; modelli di consistenza e replica sync/async; failover DNS/app, PITR, test di ripristino in camera bianca.  

8 Piattaforma AI e carichi di lavoro multimediali

• Feature store, registro dei modelli, pipeline di formazione riproducibili, spiegabilità/monitoraggio (deriva/bias), governance.
• Media: transcodifica, DRM, personalizzazione, edge caching.

Software:

• COBOL Upgrade Advisor per z/OS: Ammoderna le applicazioni legacy per Enterprise COBOL 6.
• Osservabilità Instana per Z: Monitora le applicazioni e l'infrastruttura in tempo reale.
• IntelliMagic Vision per z/OS: Ottimizza le prestazioni del mainframe.
• watsonx Assistente per Z: Aumenta la produttività con un assistente AI.
• Operazioni Z unitevi: Semplifica i processi con l'automazione supportata dall'intelligenza artificiale.
• Modernizzazione delle applicazioni: Strumenti come Application Delivery Foundation per z/OS, watsonx Code Assistant per Z e z/OS Connect modernizzano le applicazioni e le API.
• Ulteriori software: CICS (elaborazione delle transazioni), DB2 per z/OS (database), IMS (gestione delle transazioni) e Omegamon (monitoraggio).

Lo z17 costituisce una solida base per l'elaborazione dei dati e l'integrazione dell'intelligenza artificiale nel data center.  

9. sicurezza e conformità

Zero trust, MFA/SSO, least privilege, crittografia end-to-end, catena di fornitura firmata (SBOM/SLSA), SIEM/SOAR, artefatti di audit e record di elaborazione.  

9.1 Barriere di sicurezza supplementari (da "LEGIER DT SEC")

1. Modello operativo e impronta globale Il data center (carichi di lavoro) è gestito su base multiregionale / multi-AZ: Produzione nella regione A (almeno 3 AZ), funzionamento sincronizzato nella regione B (DR/Active-Active a seconda di RPO/RTO). LEGIER fornisce regioni e zone di disponibilità distribuite a livello globale, fisicamente separate e indipendenti da energia/raffreddamento/rete.
2. "Modello di responsabilità condivisa LEGIER è responsabile della sicurezza del cloud (sedi fisiche, hardware, virtualizzazione, servizi principali). I clienti sono responsabili della sicurezza nel cloud (identità, rete, dati, livello OS/container/app). Questo modello determina l'architettura, i controlli e gli audit su tutti i livelli.
3. Sicurezza fisica Controlli fisici a più livelli: Perimetro (controlli di accesso, monitoraggio), ingressi protetti con MFA, sensori/allarmi, registrazione degli accessi, zonizzazione rigorosa dell'edificio. Questi controlli sono gestiti e verificati centralmente da LEGIER.
4. Segmentazione della rete e protezione perimetrale Design VPC con subnetting pubblico/privato per AZ, concetto di isolamento rigoroso est/ovest, gruppi di sicurezza (stateful) + NACL. Firewall di rete LEGIER come controllo perimetrale/di accesso L7 stateful (ad es. tramite ispezione centrale del gateway di transito). Endpoint LEGIER PrivateLink/VPC: accesso privato alle API LEGIER e ai servizi dei partner senza esposizione a Internet. LEGIER WAF e LEGIER Shield Advanced contro gli endpoint rivolti a Internet (regole L7, protezione bot/DDoS).
5. Isolamento del calcolo (LEGIER Nitro) Le istanze EC2 vengono eseguite sul sistema LEGIER FACE: separazione degli offload hardware ("schede nitro"), hypervisor nitro snello senza emulazione di dispositivi, chip di sicurezza nitro per i controlli di integrità; quindi forte separazione dei client e superficie di attacco ridotta al minimo.
6. Identità, clienti e minimo privilegio LEGIER Le organizzazioni con SCP ("Service Control Policies") applicano centralmente i limiti massimi di autorizzazione (guardrail) per tutti gli account (landing zone). IAM Identity Centre (ex SSO) integra l'IdP aziendale, offre SSO e assegnazione a grana fine di account/app; ABAC/limiti di autorizzazione integrano Least-Privilege.
7. Sicurezza dei dati e crittografia Standard: Crittografia a riposo/in transito. Gestione delle chiavi tramite LEGIER KMS, per chiavi multiregionali geo-resilienti (stesso materiale/identificatore di chiave in diverse regioni - crittografia nella regione A, decrittografia nella regione B). CloudHSM se necessario (cluster HSM di proprietà del cliente, convalidati da FIPS, single-tenant) per la massima sovranità delle chiavi. Controlli S3: Blocco dell'accesso pubblico (a livello di account/bucket) come "pubblico per eccezione", blocco degli oggetti S3 (WORM) per l'immutabilità e la resistenza ai ransomware. LEGIER LOGS: rilevamento/monitoraggio dei dati sensibili (S3) supportato da ML e integrazione in Security Hub.
8. Riconoscimento, registrazione e gestione della postura LEGIER CloudTrail (a livello di organizzazione, multiregione) per eventi API/gestione, audit e forensics senza soluzione di continuità. Amazon GuardDuty (rilevamento delle minacce basato su log/runtime), LEGIER Security Hub (correlazione centralizzata dei risultati, CIS/Foundational Best Practices), Macie/Inspector/Detective opzionali come fonti di segnale.
9. Backup, DR e immutabilità Backup LEGIER con copie cross-region e cross-account; criteri centralizzati tramite organizzazioni; combinazione con S3 Object Lock per il backup WORM. Modelli operativi: Pilot-Light, Warm-Standby o Active-Active; utilizzo di servizi multi-AZ (RDS/Aurora, EKS, MSK) e Route 53 failover.
10. Parapetti architettonici e di governo LEGIER Well-Architected - Pilastro della sicurezza come riferimento (principi di progettazione, controlli, automazione). Conformità: ampia copertura (inclusi ISO 27001/17/18, SOC 1/2/3, PCI DSS, FedRAMP ...); LEGIER Artifact fornisce prove SOC/ISO su richiesta per gli audit.

Esempio di blueprint (zero trust e sicurezza multilivello)

• Zona di atterraggio multi-account (Prod/Non-Prod/Security/Log-Archive) + SCP-Guardrails (ad esempio regioni/servizi vietati, utilizzo forzato di CloudTrail e KMS).
• Rete: Hub centrale VPC con gateway di transito, firewall di rete di ispezione VPC, endpoint di interfaccia/collegamento privato a S3, STS, KMS, ECR, Secrets Manager; nessuna rotta pubblica in uscita dalle sottoreti private.
• Compute/Container: EC2/EKS su Nitro; IMDSv2 applicato; solo ruoli IAM necessari (minimo privilegio), segreti in Secrets Manager/SSM Parameter Store.
• Dati: S3 con accesso pubblico in blocco, crittografia predefinita (SSE-KMS), blocco degli oggetti (modalità compliance o governance), Macie per il rilevamento delle PII.
• Edge/Apps: ALB/NLB dietro WAF e Shield Advanced, terminazioni/politiche TLS gestite tramite ACM; accesso API preferibilmente privato tramite PrivateLink.
• Rilevamento e audit: Org-wide CloudTrail + S3 log bucket (WORM), GuardDuty/VPC flow logs/route 53 resolver logs, security hub come dashboard centrale e integrazione dei ticket.
• Backup/DR: criteri in LEGIER Backup con copie cross-region e cross-account; chiavi KMS multi-regione per la resilienza delle chiavi.

10. resilienza informatica, backup e ripristino

Backup cross-region/account con copie immutabili (object lock/WORM), esercitazioni di ripristino in camera bianca, profili RTO/RPO, runbook (pilot light, warm standby, active-active). Obiettivo: RPO ≤ 15 min, RTO ≤ 60 min.  

11. osservabilità e automazione operativa

Telemetria centrale (registri/metriche/tracce), playbook di correlazione e SOAR, monitoraggio SLO, bilanci degli errori, giornate di gioco ed esercitazioni caotiche per la riduzione di MTTD/MTTR.

12. energia, raffreddamento e sostenibilità

Doppia alimentazione, UPS A/B, generatori N+1, contenimento, raffreddamento liquido/adiabatico/libero, recupero di calore, opzioni rinnovabili; PUE come KPI di efficienza.

13. elenchi di scaffali

13.1 Manama - Core rack

U	Dispositivo	Tipo/Modello	Quantità	Linea di alimentazione (A/B)	Potenza massima [W]
42	Pannello patch A	LC/LC 144F	1	A	-
41	Pannello patch B	LC/LC 144F	1	B	-
40	Dorso 1	Switch 40/100G 1U	1	A	600
39	Dorso 2	Switch 40/100G 1U	1	B	600
38	Commutatore Mgmt	1G/10G 1U	1	A	120
37-30	Foglia 1-8	25/100G ToR 1U	8	A/B	8× 450
29-28	Cluster firewall	NGFW 2U	2	A/B	2× 800
27	IDS/IPS	1U	1	A	200
26	Bordo DDoS	1U	1	B	200
25-24	Bilanciatore di carico	2× 1U	2	A/B	2× 250

A-01: Rete principale (Spine/Leaf, NGFW, IDS/IPS, L7-LB) A-02: Calcolo/GPU (formazione/inferenza), nodi CPU, Mgmt/KVM A-03: Storage (controller, scaffali, gateway di backup)  

13,2 Kuwait City - AZ-Racks

U	Dispositivo	Tipo/Modello	Quantità	Linea di alimentazione (A/B)	Potenza massima [W]
42-41	Pannello patch A/B	-	2	A/B	-
40-25	Server CPU	1U	12	A/B	12× 400
24-17	Server GPU (DR)	2U	4	A/B	4× 2000
16-15	Gestione/KVM	1U	2	A/B	2× 80

K-01: Rete AZ/leaf, firewall, LB K-02: Calcolo/DR K-03: Oggetti/Backup (WORM/Immutabili)  

13,3 Singapore - Portabordo

U	Dispositivo	Tipo/Modello	Quantità	Linea di alimentazione (A/B)	Potenza massima [W]
42	Pannello patch	-	1	A/B	-
41-40	Router di bordo	1U	2	A/B	2× 250
39-38	Interruttore di bordo	1U	2	A/B	2× 200
37-34	Nodi cache/proxy	1U	4	A/B	4× 350
33-32	Dispositivo WAF/DDoS	1U	2	A/B	2× 300
31-28	Gateway di flusso	1U	4	A/B	4× 300

S-01: router/switch edge, cache/proxy, WAF/DDoS, gateway di flusso  

14 Valori target SLA e KPI

Dominio	Valore target	Osservazione
Disponibilità	≥ 99,999 %	Zone ridondanti, failover automatico
RPO	≤ 15 minuti	Journaling, replica, snapshot
RTO	≤ 60 minuti	Runbook, recupero come codice
Sicurezza	MTTD < 5 min., MTTR < 60 min.	Rilevamento delle anomalie, playbook SOAR
Efficienza	Ottimizzazione del PUE	Raffreddamento a liquido, free cooling

Disponibilità ≥ 99,999 %, MTTD < 5 min, MTTR < 60 min, RPO ≤ 15 min, RTO ≤ 60 min; revisioni/audit trimestrali. Visione logica degli utenti/partner tramite Edge (Singapore) e DCI nel tessuto centrale (Manama) e nelle piattaforme dati, con replica ad AZ Kuwait City.    

15. tabella di marcia (12-24 mesi)

Bahrain, Kuwait e Singapore offrono vantaggi strategici per il data center, la zona di disponibilità dei dati e l'ubicazione dell'edge:

• Posizione geografica: In posizione centrale tra Europa, Asia e Africa, ideale per la connettività globale.
• Facilità d'uso per le aziende: L'assenza di imposte sulle società e la proprietà straniera al 100 % incoraggiano gli investimenti.
• Supporto normativo: Il TRA e l'Economic Development Board (EDB) offrono incentivi come la Golden Licence.
• Infrastruttura: Connessioni elettriche e di rete sofisticate e una base di manodopera qualificata.
• Stabilità: Come centro finanziario (Bahrein e Kuwait) in Medio Oriente e in Asia (Singapore), queste località offrono sicurezza politica ed economica.

IBM z17 Caratteristiche:

• Processore Telum® II: Offre un'elevata potenza di calcolo e un'accelerazione AI on-chip per operazioni di inferenza in tempo reale, ad esempio per l'analisi dei dati dei lettori.
• Acceleratore Spyre™: Aumenta la potenza di calcolo dell'IA per i modelli generativi e i metodi multi-modello.
• Sicurezza: La crittografia basata su hardware e il coprocessore crittografico PCIe proteggono i dati sensibili.
• Resilienza: Le funzioni integrate garantiscono una disponibilità continua.

Memoria dati LEGIER:

Il gruppo LEGIER media utilizza un servizio di file hosting in grado di archiviare grandi quantità di dati, con accesso via HTTP/HTTPS e utilizzando il concetto di bucket e oggetti, simili alle directory e ai file che si sono affermati come standard. LEGIER collabora con AWS, utilizzando le unità di rete Elastic File System e l'archiviazione dei file Glacier per ottenere una durata dei dati del „99,999999999“ per cento. Il vantaggio per LEGIER Media Group è l'utilizzo di Elastic Block Store (EBS) e l'archiviazione a livello di blocco a cui possono essere collegate le istanze EC2. Il vantaggio di questa tecnologia è il trasferimento di grandi quantità di dati con il servizio Palla di neve Memoria su disco rigido su cui è possibile copiare e rispedire grandi quantità di dati tramite un servizio di pacchi, grazie al quale il trasferimento di grandi quantità di dati ai propri 115 quotidiani (articoli, immagini, video, live stream) è molto più veloce e viene memorizzato in database (SimpleDB o Relational Database Service). Scaling GPU/object/DCI/edge, espansione di anycast, hardening della supply chain (SLSA), automazione della compliance, esercizi regolari di resilienza/riavvio.