Chi siamo

Indice dei contenuti

1. sintesi

Il GRUPPO LEGIER betreibt ein mehrstufiges Datacenter-Ökosystem mit Manama (Core), Kuwait City (AZ) und Singapore (Edge). Es bietet getrennte, dennoch integrierte Ebenen für Netzwerk, Compute, Speicher, Daten, KI und Sicherheit. Ziele: Hochverfügbarkeit, Zero-Trust-Sicherheit, niedrige Latenzen und nachweisbare Compliance. Unter Genehmigung der Autorità di regolamentazione delle telecomunicazioni (TRA) in Bahrain, il data center LEGIER utilizza tecnologie all'avanguardia, come i propri componenti AI, Darktrace-soluzioni di sicurezza e Mainframe IBM-per garantire una piattaforma affidabile, scalabile e sicura. Il Bahrein e il Kuwait offrono vantaggi specifici di localizzazione che ottimizzano le operazioni. Principi guida:

• Priorità alla privacy (KMS/HSM)
• Resilienza multi-AZ/regione
• Backup incrociato degli account
• GitOps/IaC con artefatti firmati
• Funzionamento SRE con SLO e automazione (SOAR)

Il centro dati di Manama è stato progettato per soddisfare le esigenze di una società di media globale:

1. Alta disponibilità: Un tempo di attività del 99,999 % è ottenuto grazie a sistemi ridondanti come doppie fonti di alimentazione, generatori di backup e hardware in mirroring per garantire la produzione continua di messaggi.
2. Scalabilità: L'infrastruttura può essere ampliata in modo flessibile per far fronte all'aumento dei volumi di dati e dei requisiti di elaborazione, essenziale per la produzione in nove lingue in tutto il mondo.
3. Elaborazione e archiviazione dei dati: Milioni di dati di testo, immagini e video vengono elaborati e archiviati in tempo reale. Le veloci unità SSD e una robusta rete SAN (Storage Area Network) garantiscono l'efficienza.
4. Supporto AI: Le potenti GPU e TPU supportano carichi di lavoro AI complessi come l'analisi dei contenuti e la traduzione.
5. Cybersecurity: I dati sensibili richiedono una protezione avanzata, che viene fornita da Darktrace-tecnologie.

Casi d'uso dell'IA

1. Analisi del contenuto:
   • Tecnologia: L'apprendimento profondo e l'elaborazione del linguaggio naturale (NLP) con modelli come il BERT analizzano i testi, categorizzano i contenuti ed estraggono le informazioni rilevanti.
   • Benefici: Accelera l'elaborazione dei messaggi e migliora l'accuratezza, ad esempio nel riconoscimento di tendenze o argomenti chiave.
2. Sistemi di raccomandazione:
   • Tecnologia: L'apprendimento automatico con filtri collaborativi e reti neurali personalizza i contenuti per i lettori.
   • Benefici: Aumenta la fidelizzazione degli utenti attraverso raccomandazioni di lettura personalizzate, ad esempio per contenuti regionali o specifici per la lingua.
3. Reporting automatizzato:
   • Tecnologia: I modelli di intelligenza artificiale generativa, come il GPT, creano rapporti di routine, come ad esempio i risultati meteorologici o sportivi.
   • Benefici: Alleggerisce i redattori che possono concentrarsi sul giornalismo d'inchiesta o su analisi complesse.
4. Traduzioni in tempo reale:
   • Tecnologia: Strumenti di intelligenza artificiale come DeepL o modelli proprietari traducono i contenuti in nove lingue in tempo reale.
   • Benefici: Consente la pubblicazione immediata di notizie globali, un vantaggio fondamentale per i 115 giornali.
5. Riconoscimento di immagini e video:
   • Tecnologia: Le reti neurali convoluzionali (CNN) etichettano e valutano automaticamente i contenuti visivi.
   • Benefici: Accelera la pubblicazione di contenuti multimediali grazie alla creazione automatica di metadati.

2. ubicazione e topologia

2.1 Manama (Bahrain) - Regione centrale

Controllo centralizzato/orchestrazione, cluster GPU/CPU, livelli di oggetti, SIEM/SOAR/KMS/PKI, DNS/directory, repository di artefatti (SBOM). Spine-Leaf-Fabric 100/200/400G, ECMP, separazione VRF.  

2.2 Zona di disponibilità dei dati (AZ) Kuwait City

Resilienza geografica/disaccoppiamento; profili di replica per classe di dati (sincrono/vicino-sincrono/asincrono); domini di errore isolati, punti di uscita dedicati, scoping IAM, capacità di DR (Pilot-Light-Active-Active).  

2,3 Posizione dei bordi Singapore (KDDI Asia Pacific)

PoP edge neutrale rispetto al carrier (CDN/caching, WAF/DDoS, streaming). Dati master tramite replica sicura; obiettivo: latenza APAC minima senza percorso pubblico in sottoreti sensibili.  

3. architettura di rete e interconnessione

Spine-Leaf (ToR 25/100G, Spine 100/200/400G), ECMP, Anycast-BGP, SD-WAN. DCI Manama–Kuwait–Singapore via DWDM/MPLS, QoS für Replikation/Backups, Latenz-/Jitter-Überwachung mit dynamischer Pfadwahl. Perimeter: NGFW, L7-Inspection, DNS-Filter, Egress-Whitelisting. Ost/West-Isolation: VRF/VXLAN, SG/NACL, mTLS, JIT-Access.  

4. livello di calcolo, virtualizzazione e container

Kubernetes (HA-CP, PSS, OPA/Gatekeeper), VM-Orchestrierung, GPU-Nodes (Mixed-Precision), IMDSv2, signierte Images (Cosign), SBOM-Prüfung, Admission-Controller, seccomp/AppArmor. Secrets mit KMS-Backend. Mandanten: Namespaces/Projects, ABAC/RBAC, Permission Boundaries, Default-deny NetworkPolicies, Service Mesh mTLS, Anti-Affinity.  

5. piattaforme di archiviazione e dati

NVMe-Flash für Low-Latency, SAN/NAS für VM-/DB-Stores, S3-Objektstore mit Versionierung, Lifecycle, WORM und Replikation Manama↔Kuwait; Edge-Caches in Singapore für Medien. Standards: Block Public Access, Default-Deny, client-/serverseitige Verschlüsselung (KMS/HSM), Write-Once-Logging, Public-by-Exception-Freigaben.  

6. pianificazione della capacità

6.1 Calcolo

Risorse	Quantità	Budget di servizio per unità	Totale	Osservazione
IBM z17 (mainframe)	1 Cornice	n/a	n/a	Inferenza di transazioni/AI vicino ai sistemi centrali
Server GPU (2U, 8× GPU)	24 nodi	2 kW	≈ 48 kW	Formazione/inferenza, immagini/video/NLP
CPU compute (1U)	80 nodi	0,4 kW	≈ 32 kW	Lavoratore Web/Microservizi/K8s
Apparecchiature TPU/AI	8 Apparecchiature	1,2 kW	≈ 9,6 kW	Carichi di lavoro AI specializzati

6.2 Memoria

Animale	Capacità	Prestazioni	Utilizzo
NVMe primario (livello 0/1)	≈ 600 TB	≈ 12 kW	Ad alta intensità di I/O (dati diari/hot)
SAN/NAS (blocco/file)	≈ 2,5 PB	≈ 18 kW	Archivi DB/VM/azioni editoriali
Memoria a oggetti (compatibile con S3)	≈ 8 PB	≈ 10 kW	Media, versioni, archivi
Livello di archivio (WORM/freddo)	≈ 20 PB	≈ 6 kW	Conservazione a lungo termine, conformità

6.3 Rete/DCI

Componente	Produttività	Tecnologia	Osservazione
Uplink in tessuto	100/200/400 Gbit/s	Foglie di colonna vertebrale, ECMP	Scalabile orizzontalmente
DCI Manama-Kuwait	≥ 2× 100 Gbit/s	DWDM/MPLS (ridondante)	Sincrono/quasi-sincrono per carico di lavoro
DCI Manama-Singapore	≥ 2× 100 Gbit/s	Ridondanza del fornitore	Edge caching/streaming
Anycast/DDoS/WAF	Globale	Lavaggio dei bordi	Protezione e bassa latenza

6.4 Energia/raffreddamento

Risorse	Interpretazione	Obiettivo	Suggerimento
Binari UPS	A/B	N+1	Percorsi doppi
Generatori	N+1	Diesel + ATS	Test interpaese trimestrali
Raffreddamento	Raffreddamento liquido/libero	Miglioramento del PUE	Contenimento del corridoio freddo/caldo
Solare/CHP (opzionale)	Scalabile	Sostenibilità	Lisciatura dei picchi di carico

Dominio	Scala	Misura	Osservazione
Capacità della GPU	+50 %	Espansione del cluster, rack aggiuntivi	Espansione modulare
Memoria dell'oggetto	+40 %	Estensioni del ripiano	Ciclo di vita/Archivio animali
Velocità di trasmissione DCI	+100 %	onde 100G aggiuntive	Picchi APAC/EMEA
PoP di bordo	+2-3	APAC/EMEA	Estensione Anycast

+50 GPU % (8×GPU/Nodo, 2U) e +30 CPU % in 12-24 mesi; densità e raffreddamento del rack convalidati dalla simulazione termica.

7. database e messaggistica

OLTP/OLAP relazionale, KV/document store, indici di ricerca, streaming; modelli di consistenza e replica sync/async; failover DNS/app, PITR, test di ripristino in camera bianca.  

8 Piattaforma AI e carichi di lavoro multimediali

• Feature store, registro dei modelli, pipeline di formazione riproducibili, spiegabilità/monitoraggio (deriva/bias), governance.
• Media: transcodifica, DRM, personalizzazione, edge caching.

Software:

• COBOL Upgrade Advisor per z/OS: Ammoderna le applicazioni legacy per Enterprise COBOL 6.
• Osservabilità Instana per Z: Monitora le applicazioni e l'infrastruttura in tempo reale.
• IntelliMagic Vision per z/OS: Ottimizza le prestazioni del mainframe.
• watsonx Assistente per Z: Aumenta la produttività con un assistente AI.
• Operazioni Z unitevi: Semplifica i processi con l'automazione supportata dall'intelligenza artificiale.
• Modernizzazione delle applicazioni: Strumenti come Application Delivery Foundation per z/OS, watsonx Code Assistant per Z e z/OS Connect modernizzano le applicazioni e le API.
• Ulteriori software: CICS (elaborazione delle transazioni), DB2 per z/OS (database), IMS (gestione delle transazioni) e Omegamon (monitoraggio).

Lo z17 costituisce una solida base per l'elaborazione dei dati e l'integrazione dell'intelligenza artificiale nel data center.  

9. sicurezza e conformità

Zero trust, MFA/SSO, least privilege, crittografia end-to-end, catena di fornitura firmata (SBOM/SLSA), SIEM/SOAR, artefatti di audit e record di elaborazione.  

9.1 Barriere di sicurezza supplementari (da "LEGIER DT SEC")

1. Modello operativo e impronta globale Il data center (carichi di lavoro) è gestito su base multiregionale / multi-AZ: Produzione nella regione A (almeno 3 AZ), funzionamento sincronizzato nella regione B (DR/Active-Active a seconda di RPO/RTO). LEGIER fornisce regioni e zone di disponibilità distribuite a livello globale, fisicamente separate e indipendenti da energia/raffreddamento/rete.
2. "Modello di responsabilità condivisa LEGIER è responsabile della sicurezza del cloud (sedi fisiche, hardware, virtualizzazione, servizi principali). I clienti sono responsabili della sicurezza nel cloud (identità, rete, dati, livello OS/container/app). Questo modello determina l'architettura, i controlli e gli audit su tutti i livelli.
3. Sicurezza fisica Controlli fisici a più livelli: Perimetro (controlli di accesso, monitoraggio), ingressi protetti con MFA, sensori/allarmi, registrazione degli accessi, zonizzazione rigorosa dell'edificio. Questi controlli sono gestiti e verificati centralmente da LEGIER.
4. Segmentazione della rete e protezione perimetrale Design VPC con subnetting pubblico/privato per AZ, concetto di isolamento rigoroso est/ovest, gruppi di sicurezza (stateful) + NACL. Firewall di rete LEGIER come controllo perimetrale/di accesso L7 stateful (ad es. tramite ispezione centrale del gateway di transito). Endpoint LEGIER PrivateLink/VPC: accesso privato alle API LEGIER e ai servizi dei partner senza esposizione a Internet. LEGIER WAF e LEGIER Shield Advanced contro gli endpoint rivolti a Internet (regole L7, protezione bot/DDoS).
5. Isolamento del calcolo (LEGIER Nitro) Le istanze EC2 vengono eseguite sul sistema LEGIER FACE: separazione degli offload hardware ("schede nitro"), hypervisor nitro snello senza emulazione di dispositivi, chip di sicurezza nitro per i controlli di integrità; quindi forte separazione dei client e superficie di attacco ridotta al minimo.
6. Identità, clienti e minimo privilegio LEGIER Le organizzazioni con SCP ("Service Control Policies") applicano centralmente i limiti massimi di autorizzazione (guardrail) per tutti gli account (landing zone). IAM Identity Centre (ex SSO) integra l'IdP aziendale, offre SSO e assegnazione a grana fine di account/app; ABAC/limiti di autorizzazione integrano Least-Privilege.
7. Sicurezza dei dati e crittografia Standard: Crittografia a riposo/in transito. Gestione delle chiavi tramite LEGIER KMS, per chiavi multiregionali geo-resilienti (stesso materiale/identificatore di chiave in diverse regioni - crittografia nella regione A, decrittografia nella regione B). CloudHSM se necessario (cluster HSM di proprietà del cliente, convalidati da FIPS, single-tenant) per la massima sovranità delle chiavi. Controlli S3: Blocco dell'accesso pubblico (a livello di account/bucket) come "pubblico per eccezione", blocco degli oggetti S3 (WORM) per l'immutabilità e la resistenza ai ransomware. LEGIER LOGS: rilevamento/monitoraggio dei dati sensibili (S3) supportato da ML e integrazione in Security Hub.
8. Riconoscimento, registrazione e gestione della postura LEGIER CloudTrail (a livello di organizzazione, multiregione) per eventi API/gestione, audit e forensics senza soluzione di continuità. Amazon GuardDuty (rilevamento delle minacce basato su log/runtime), LEGIER Security Hub (correlazione centralizzata dei risultati, CIS/Foundational Best Practices), Macie/Inspector/Detective opzionali come fonti di segnale.
9. Backup, DR e immutabilità Backup LEGIER con copie cross-region e cross-account; criteri centralizzati tramite organizzazioni; combinazione con S3 Object Lock per il backup WORM. Modelli operativi: Pilot-Light, Warm-Standby o Active-Active; utilizzo di servizi multi-AZ (RDS/Aurora, EKS, MSK) e Route 53 failover.
10. Parapetti architettonici e di governo LEGIER Well-Architected - Pilastro della sicurezza come riferimento (principi di progettazione, controlli, automazione). Conformità: ampia copertura (inclusi ISO 27001/17/18, SOC 1/2/3, PCI DSS, FedRAMP ...); LEGIER Artifact fornisce prove SOC/ISO su richiesta per gli audit.

Esempio di blueprint (zero trust e sicurezza multilivello)

• Zona di atterraggio multi-account (Prod/Non-Prod/Security/Log-Archive) + SCP-Guardrails (ad esempio regioni/servizi vietati, utilizzo forzato di CloudTrail e KMS).
• Rete: Hub centrale VPC con gateway di transito, firewall di rete di ispezione VPC, endpoint di interfaccia/collegamento privato a S3, STS, KMS, ECR, Secrets Manager; nessuna rotta pubblica in uscita dalle sottoreti private.
• Compute/Container: EC2/EKS su Nitro; IMDSv2 applicato; solo ruoli IAM necessari (minimo privilegio), segreti in Secrets Manager/SSM Parameter Store.
• Dati: S3 con accesso pubblico in blocco, crittografia predefinita (SSE-KMS), blocco degli oggetti (modalità compliance o governance), Macie per il rilevamento delle PII.
• Edge/Apps: ALB/NLB dietro WAF e Shield Advanced, terminazioni/politiche TLS gestite tramite ACM; accesso API preferibilmente privato tramite PrivateLink.
• Rilevamento e audit: Org-wide CloudTrail + S3 log bucket (WORM), GuardDuty/VPC flow logs/route 53 resolver logs, security hub come dashboard centrale e integrazione dei ticket.
• Backup/DR: criteri in LEGIER Backup con copie cross-region e cross-account; chiavi KMS multi-regione per la resilienza delle chiavi.

10. resilienza informatica, backup e ripristino

Backup cross-region/account con copie immutabili (object lock/WORM), esercitazioni di ripristino in camera bianca, profili RTO/RPO, runbook (pilot light, warm standby, active-active). Obiettivo: RPO ≤ 15 min, RTO ≤ 60 min.  

11. osservabilità e automazione operativa

Telemetria centrale (registri/metriche/tracce), playbook di correlazione e SOAR, monitoraggio SLO, bilanci degli errori, giornate di gioco ed esercitazioni caotiche per la riduzione di MTTD/MTTR.

12. energia, raffreddamento e sostenibilità

Doppia alimentazione, UPS A/B, generatori N+1, contenimento, raffreddamento liquido/adiabatico/libero, recupero di calore, opzioni rinnovabili; PUE come KPI di efficienza.

13. elenchi di scaffali

13.1 Manama - Core rack

U	Dispositivo	Tipo/Modello	Quantità	Linea di alimentazione (A/B)	Potenza massima [W]
42	Pannello patch A	LC/LC 144F	1	A	-
41	Pannello patch B	LC/LC 144F	1	B	-
40	Dorso 1	Switch 40/100G 1U	1	A	600
39	Dorso 2	Switch 40/100G 1U	1	B	600
38	Commutatore Mgmt	1G/10G 1U	1	A	120
37-30	Foglia 1-8	25/100G ToR 1U	8	A/B	8× 450
29-28	Cluster firewall	NGFW 2U	2	A/B	2× 800
27	IDS/IPS	1U	1	A	200
26	Bordo DDoS	1U	1	B	200
25-24	Bilanciatore di carico	2× 1U	2	A/B	2× 250

A-01: Core-Netz (Spine/Leaf, NGFW, IDS/IPS, L7-LB) A-02: Compute/GPU (Training/Inferenz), CPU-Nodes, Mgmt/KVM A-03: Storage (Controller, Shelves, Backup-Gateways)  

13,2 Kuwait City - AZ-Racks

U	Dispositivo	Tipo/Modello	Quantità	Linea di alimentazione (A/B)	Potenza massima [W]
42-41	Pannello patch A/B	-	2	A/B	-
40-25	Server CPU	1U	12	A/B	12× 400
24-17	Server GPU (DR)	2U	4	A/B	4× 2000
16-15	Gestione/KVM	1U	2	A/B	2× 80

K-01: AZ-Netz/Leaf, Firewalls, LB K-02: Compute/DR K-03: Objekt/Backup (WORM/Immutable)  

13,3 Singapore - Portabordo

U	Dispositivo	Tipo/Modello	Quantità	Linea di alimentazione (A/B)	Potenza massima [W]
42	Pannello patch	-	1	A/B	-
41-40	Router di bordo	1U	2	A/B	2× 250
39-38	Interruttore di bordo	1U	2	A/B	2× 200
37-34	Nodi cache/proxy	1U	4	A/B	4× 350
33-32	Dispositivo WAF/DDoS	1U	2	A/B	2× 300
31-28	Gateway di flusso	1U	4	A/B	4× 300

S-01: router/switch edge, cache/proxy, WAF/DDoS, gateway di flusso  

14 Valori target SLA e KPI

Dominio	Valore target	Osservazione
Disponibilità	≥ 99,999 %	Zone ridondanti, failover automatico
RPO	≤ 15 minuti	Journaling, replica, snapshot
RTO	≤ 60 minuti	Runbook, recupero come codice
Sicurezza	MTTD < 5 min., MTTR < 60 min.	Rilevamento delle anomalie, playbook SOAR
Efficienza	Ottimizzazione del PUE	Raffreddamento a liquido, free cooling

Verfügbarkeit ≥ 99,999 %, MTTD < 5 Min., MTTR < 60 Min., RPO ≤ 15 Min., RTO ≤ 60 Min.; quartalsweise Reviews/Audits. Logische Ansicht von Nutzern/Partnern über Edge (Singapore) und DCI in die Core-Fabric (Manama) und Datenplattformen, mit Replikation in die AZ Kuwait City.    

15. tabella di marcia (12-24 mesi)

Bahrain, Kuwait e Singapore offrono vantaggi strategici per il data center, la zona di disponibilità dei dati e l'ubicazione dell'edge:

• Posizione geografica: In posizione centrale tra Europa, Asia e Africa, ideale per la connettività globale.
• Facilità d'uso per le aziende: L'assenza di imposte sulle società e la proprietà straniera al 100 % incoraggiano gli investimenti.
• Supporto normativo: Il TRA e l'Economic Development Board (EDB) offrono incentivi come la Golden Licence.
• Infrastruttura: Connessioni elettriche e di rete sofisticate e una base di manodopera qualificata.
• Stabilità: Come centro finanziario (Bahrein e Kuwait) in Medio Oriente e in Asia (Singapore), queste località offrono sicurezza politica ed economica.

IBM z17 Caratteristiche:

• Processore Telum® II: Offre un'elevata potenza di calcolo e un'accelerazione AI on-chip per operazioni di inferenza in tempo reale, ad esempio per l'analisi dei dati dei lettori.
• Acceleratore Spyre™: Aumenta la potenza di calcolo dell'IA per i modelli generativi e i metodi multi-modello.
• Sicurezza: La crittografia basata su hardware e il coprocessore crittografico PCIe proteggono i dati sensibili.
• Resilienza: Le funzioni integrate garantiscono una disponibilità continua.

Memoria dati LEGIER:

Die LEGIER-Mediengruppe nutzt einen Filehosting-Dienst welcher große Datenmengen speichern kann wobei der Zugriff über HTTP/HTTPS erfolgt und das Konzept der Buckets und Objects nutzt, die Verzeichnissen und Dateien ähneln, welche sich als Standard etabliert haben. Hierbei arbeitet LEGIER mit AWS zusammen, wobei mit Elastic File System Netzlaufwerken und mit Glacier Archivierung von Dateien eine „99,999999999“-prozentige Haltbarkeit von Daten erreicht werden soll. Der Vorteil für die LEGIER Mediengruppe ist die Nutzung von Elastic Block Store (EBS) und Speichern auf Blockebene an der EC2-Instanzen angehängt werden können. Der Vorteil dieser Technologie ist der Transfer großer Datenmengen mit dem Service Palla di neve Festplattenspeicher, auf welchem große Datenmengen kopiert werden können und per Paketdienst zurückgeschickt werden, wobei der Transfer sehr großer Datenmengen zu den eigenen 115 Tageszeitungen (Artikel, Bilder, Videos, Live-Stream) deutlich schneller erfolgt und in Datenbanken (entweder SimpleDB oder Relational Database Service) abgelegt werden. Skalierung GPU/Objekt/DCI/Edge, Ausbau Anycast, Lieferkette (SLSA) härten, Compliance-Automation, regelmäßige Resilienz-/Wiederanlauf-Übungen.