Статията ще обсъди проблемите на организирането на мрежовата инфраструктура по традиционния начин и методите за решаване на същите проблеми с помощта на облачни технологии.
За справка. Nebula е SaaS облачна среда за отдалечена поддръжка на мрежова инфраструктура. Всички устройства с Nebula се управляват от облака чрез защитена връзка. Можете да управлявате голяма разпределена мрежова инфраструктура от един център, без да изразходвате усилия за нейното създаване.
Защо се нуждаете от друга облачна услуга?
Основният проблем при работа с мрежова инфраструктура не е проектирането на мрежата и закупуването на оборудване или дори инсталирането му в шкаф, а всичко останало, което ще трябва да се направи с тази мрежа в бъдеще.
Нова мрежа - стари грижи
При пускане в експлоатация на нов мрежов възел след инсталиране и свързване на оборудването започва първоначалната конфигурация. От гледна точка на "големите шефове" - нищо сложно: "Ние вземаме работната документация за проекта и започваме да настройваме..." Това е толкова добре казано, когато всички мрежови елементи са разположени в един център за данни. Ако са разпръснати по клонове, започва главоболието по осигуряването на отдалечен достъп. Това е такъв порочен кръг: за да получите отдалечен достъп през мрежата, трябва да конфигурирате мрежово оборудване, а за това имате нужда от достъп през мрежата...
Трябва да измисляме различни схеми за излизане от описаната по-горе безизходица. Например лаптоп с достъп до интернет чрез USB 4G модем е свързан чрез пач кабел към персонализирана мрежа. На този лаптоп е инсталиран VPN клиент, чрез който мрежовият администратор от централата се опитва да получи достъп до клоновата мрежа. Схемата не е от най-прозрачните - дори да занесете лаптоп с предварително конфигуриран VPN на отдалечен сайт и да поискате да го включите, далеч не е факт, че всичко ще работи от първия път. Особено ако говорим за различен регион с друг доставчик.
Оказва се, че най-надеждният начин е да имате добър специалист „от другата страна на линията“, който да конфигурира своята част според проекта. Ако в състава на филиала няма такъв, остават вариантите: или изнасяне, или командировка.
Имаме нужда и от система за наблюдение. Трябва да се инсталира, конфигурира, поддържа (поне да се следи дисковото пространство и да се правят редовни архиви). И което не знае нищо за нашите устройства, докато не му кажем. За да направите това, трябва да регистрирате настройки за всички части на оборудването и редовно да наблюдавате уместността на записите.
Чудесно е, когато персоналът разполага със собствен „оркестър от един човек“, който освен специфичните познания на мрежов администратор, знае как да работи със Zabbix или друга подобна система. В противен случай наемаме друго лице на персонал или го възлагаме на външни изпълнители.
Забележка. Най-тъжните грешки започват с думите: „Какво има за конфигуриране на този Zabbix (Nagios, OpenView и т.н.)? Бързо ще го взема и е готово!“
От внедряване към експлоатация
Нека да разгледаме конкретен пример.
Получено е алармено съобщение, което показва, че WiFi точка за достъп някъде не отговаря.
Къде се намира тя?
Разбира се, добрият мрежов администратор има своя лична директория, в която е записано всичко. Въпросите започват, когато тази информация трябва да бъде споделена. Например, трябва спешно да изпратите пратеник, за да разрешите нещата на място и за това трябва да издадете нещо като: „Точка за достъп в бизнес центъра на улица Строители, сграда 1, на 3-ти етаж, стая №. 301 до входната врата под тавана."
Да кажем, че имаме късмет и точката за достъп се захранва чрез PoE, а суичът позволява да се рестартира дистанционно. Не е необходимо да пътувате, но имате нужда от отдалечен достъп до комутатора. Всичко, което остава, е да конфигурирате пренасочване на портове чрез PAT на рутера, да разберете VLAN за свързване отвън и т.н. Добре е, ако всичко е настроено предварително. Работата може да не е трудна, но трябва да се свърши.
И така, магазинът за храна беше рестартиран. Не помогна?
Да кажем, че нещо не е наред в хардуера. Сега търсим информация за гаранцията, стартирането и други интересни подробности.
Говорейки за WiFi. Използването на домашната версия на WPA2-PSK, която има един ключ за всички устройства, не се препоръчва в корпоративна среда. Първо, един ключ за всички просто не е безопасен, и второ, когато един служител напусне, трябва да промените този общ ключ и да направите отново настройките на всички устройства за всички потребители. За да избегнете подобни проблеми, има WPA2-Enterprise с индивидуално удостоверяване за всеки потребител. Но за целта ви трябва RADIUS сървър - друга инфраструктурна единица, която трябва да се контролира, да се правят резервни копия и т.н.
Моля, имайте предвид, че на всеки етап, било то внедряване или експлоатация, използвахме системи за поддръжка. Това включва лаптоп с интернет връзка на „трета страна“, система за наблюдение, референтна база данни за оборудване и RADIUS като система за удостоверяване. В допълнение към мрежовите устройства, вие също трябва да поддържате услуги на трети страни.
В такива случаи можете да чуете съвета: „Дайте го на облака и не страдайте“. Със сигурност има облачен Zabbix, може би някъде има облачен RADIUS и дори облачна база данни за поддържане на списък с устройства. Проблемът е, че това не е необходимо отделно, а „в една бутилка“. И все пак възникват въпроси относно организирането на достъпа, първоначалната настройка на устройството, сигурността и много други.
Как изглежда при използване на Nebula?
Разбира се, първоначално „облакът“ не знае нищо за нашите планове или закупеното оборудване.
Първо се създава профил на организацията. Тоест, цялата инфраструктура: централа и клонове първо се регистрират в облака. Уточняват се подробности и се създават акаунти за делегиране на правомощия.
Можете да регистрирате устройствата си в облака по два начина: по старомодния начин – просто като въведете серийния номер при попълване на уеб формуляр или като сканирате QR код с помощта на мобилен телефон. Всичко, от което се нуждаете за втория метод, е смартфон с камера и достъп до интернет, включително и през мобилен доставчик.
Разбира се, необходимата инфраструктура за съхранение на информация, както счетоводна, така и настройки, се осигурява от Zyxel Nebula.
Фигура 1. Доклад за сигурността на Nebula Control Center.
Какво ще кажете за настройване на достъп? Отваряне на портове, пренасочване на трафик през входящ шлюз, всичко това, което администраторите по сигурността галено наричат „пробиване на дупки“? За щастие не е необходимо да правите всичко това. Устройствата, работещи с Nebula, установяват изходяща връзка. И администраторът се свързва не с отделно устройство, а с облака за конфигурация. Nebula посредничи между две връзки: към устройството и към компютъра на мрежовия администратор. Това означава, че етапът на извикване на входящ администратор може да бъде сведен до минимум или напълно пропуснат. И никакви допълнителни „дупки“ в защитната стена.
Какво ще кажете за RADUIS сървъра? В крайна сметка е необходимо някакво централизирано удостоверяване!
И тези функции също се поемат от Nebula. Удостоверяването на акаунти за достъп до оборудване става чрез защитена база данни. Това значително опростява делегирането или отнемането на права за управление на системата. Трябва да прехвърлим права - да създадем потребител, да зададем роля. Трябва да отнемем правата - изпълняваме обратните стъпки.
Отделно си струва да споменем WPA2-Enterprise, който изисква отделна услуга за удостоверяване. Zyxel Nebula има свой собствен аналог - DPPSK, който ви позволява да използвате WPA2-PSK с индивидуален ключ за всеки потребител.
"Неудобни" въпроси
По-долу ще се опитаме да дадем отговори на най-трудните въпроси, които често се задават при влизане в облачна услуга
Наистина ли е безопасно?
При всяко делегиране на контрол и управление за гарантиране на сигурността, два фактора играят важна роля: анонимизиране и криптиране.
Използването на криптиране за защита на трафика от любопитни очи е нещо, с което читателите са повече или по-малко запознати.
Анонимизирането крие информация за собственика и източника от персонала на доставчика на облак. Личната информация се премахва и на записите се присвоява „безличен“ идентификатор. Нито разработчикът на облачен софтуер, нито администраторът, поддържащ облачната система, могат да знаят собственика на заявките. „Откъде дойде това? Кой може да се интересува от това?“ - такива въпроси ще останат без отговор. Липсата на информация за собственика и източника превръща инсайдера в безсмислена загуба на време.
Ако сравним този подход с традиционната практика на аутсорсинг или наемане на нов администратор, очевидно е, че облачните технологии са по-безопасни. Входящият ИТ специалист знае доста за своята организация и може, волю или неволю, да причини значителна вреда по отношение на сигурността. Все още трябва да се реши въпросът с уволнението или прекратяването на договора. Понякога, в допълнение към блокирането или изтриването на акаунт, това води до глобална промяна на паролите за достъп до услуги, както и проверка на всички ресурси за „забравени“ входни точки и възможни „отметки“.
Колко по-скъпа или по-евтина е Nebula от входящ администратор?
Всичко е относително. Основните функции на Nebula са достъпни безплатно. Всъщност какво може да бъде още по-евтино?
Разбира се, невъзможно е напълно да се направи без мрежов администратор или лице, което го замества. Въпросът е в броя на хората, тяхната специализация и разпределение по обекти.
Що се отнася до платената разширена услуга, задавайки директен въпрос: по-скъпо или по-евтино - такъв подход винаги ще бъде неточен и едностранен. Би било по-правилно да се сравнят много фактори, вариращи от пари до заплащане на работата на конкретни специалисти и завършващи с разходите за осигуряване на тяхното взаимодействие с изпълнител или физическо лице: контрол на качеството, изготвяне на документация, поддържане на нивото на сигурност и скоро.
Ако говорим за темата дали е изгодно или не е изгодно да закупите платен пакет от услуги (Pro-Pack), тогава приблизителният отговор може да звучи така: ако организацията е малка, можете да преминете с основния версия, ако организацията се разраства, тогава има смисъл да се мисли за Pro-Pack. Разликите между версиите на Zyxel Nebula могат да се видят в таблица 1.
Таблица 1. Разлики между основните и Pro-Pack набори функции за Nebula.
Това включва разширено отчитане, одит на потребителите, клониране на конфигурация и много повече.
Какво ще кажете за защитата на трафика?
Nebula използва протокола за осигуряване на безопасна работа на мрежовото оборудване.
NETCONF може да работи върху няколко транспортни протокола:
- ();
- ();
- ();
- ().
Ако сравним NETCONF с други методи, например управление чрез SNMP, трябва да се отбележи, че NETCONF поддържа изходяща TCP връзка за преодоляване на NAT бариерата и се счита за по-надеждна.
Какво ще кажете за хардуерната поддръжка?
Разбира се, не трябва да превръщате сървърната стая в зоологическа градина с представители на редки и застрашени видове оборудване. Много е желателно оборудването, обединено от технологията за управление, да покрива всички посоки: от централния комутатор до точките за достъп. Инженерите на Zyxel са се погрижили за тази възможност. Nebula управлява много устройства:
- 10G централни ключове;
- Превключватели за ниво на достъп;
- суичове с PoE;
- точки за достъп;
- мрежови шлюзове.
Използвайки широк набор от поддържани устройства, можете да изграждате мрежи за различни видове задачи. Това важи особено за компании, които се развиват не нагоре, а навън, като непрекъснато проучват нови области за правене на бизнес.
Непрекъснато развитие
Мрежовите устройства с традиционен метод на управление имат само един начин за подобрение - промяна на самото устройство, било то нов фърмуер или допълнителни модули. В случая на Zyxel Nebula има допълнителен път за подобрение – чрез подобряване на облачната инфраструктура. Например след актуализиране на Nebula Control Center (NCC) до версия 10.1. (21 септември 2020 г.) нови функции са достъпни за потребителите, ето някои от тях:
- Собственикът на организация вече може да прехвърли всички права на собственост на друг администратор в същата организация;
- нова роля, наречена Owner Representative, която има същите права като собственика на организацията;
- нова функция за актуализиране на фърмуера за цялата организация (функция Pro-Pack);
- две нови опции са добавени към топологията: рестартиране на устройството и включване и изключване на PoE порта (функция Pro-Pack);
- поддръжка на нови модели точки за достъп: WAC500, WAC500H, WAC5302D-Sv2 и NWA1123ACv3;
- поддръжка за удостоверяване на ваучер с отпечатване на QR код (функция Pro-Pack).
Полезни връзки
Източник: www.habr.com