U članku će se raspravljati o problemima organiziranja mrežne infrastrukture na tradicionalan način i metodama rješavanja istih problema korištenjem cloud tehnologija.
Za referencu. Nebula je SaaS cloud okruženje za daljinsko održavanje mrežne infrastrukture. Svim uređajima koji podržavaju Nebula upravlja se iz oblaka putem sigurne veze. Možete upravljati velikom distribuiranom mrežnom infrastrukturom iz jednog centra bez trošenja napora na njeno kreiranje.
Zašto vam je potrebna još jedna usluga u oblaku?
Glavni problem pri radu sa mrežnom infrastrukturom nije projektovanje mreže i kupovina opreme, pa čak ni njena instalacija u rack, već sve ostalo što će se sa ovom mrežom morati raditi u budućnosti.
Nova mreža - stare brige
Prilikom puštanja u rad novog mrežnog čvora nakon instaliranja i povezivanja opreme, počinje početna konfiguracija. Sa stanovišta „velikih šefova“ – ništa komplikovano: „Uzimamo radnu dokumentaciju za projekat i krećemo sa postavljanjem...“ To je tako dobro rečeno kada se svi elementi mreže nalaze u jednom data centru. Ako su razbacani po granama, počinje glavobolja pružanja udaljenog pristupa. To je tako začarani krug: da biste dobili daljinski pristup preko mreže, morate konfigurirati mrežnu opremu, a za to vam je potreban pristup preko mreže...
Moramo smisliti razne šeme da izađemo iz gore opisanog ćorsokaka. Na primjer, laptop sa pristupom Internetu preko USB 4G modema je povezan preko patch kabla na prilagođenu mrežu. Na ovom laptopu je instaliran VPN klijent i preko njega mrežni administrator iz centrale pokušava da pristupi mreži filijala. Shema nije najtransparentnija - čak i ako donesete laptop s unaprijed konfiguriranim VPN-om na udaljeno mjesto i zatražite da ga uključite, daleko je od činjenice da će sve raditi iz prvog puta. Pogotovo ako govorimo o drugoj regiji s drugim provajderom.
Ispostavilo se da je najpouzdaniji način imati dobrog stručnjaka "na drugom kraju linije" koji može konfigurirati svoj dio prema projektu. Ako toga nema u osoblju filijale, ostaju opcije: ili outsourcing ili poslovna putovanja.
Potreban nam je i sistem nadzora. Treba ga instalirati, konfigurirati, održavati (barem pratiti prostor na disku i redovno praviti sigurnosne kopije). I koja ne zna ništa o našim uređajima dok mi to ne kažemo. Da biste to učinili, potrebno je registrirati postavke za sve dijelove opreme i redovno pratiti relevantnost evidencije.
Sjajno je kada osoblje ima svoj “one-man orchestra”, koji pored specifičnog znanja mrežnog administratora zna raditi sa Zabbixom ili drugim sličnim sistemom. U suprotnom, angažujemo drugu osobu ili ga angažujemo.
Napomena. Najtužnije greške počinju riječima: „Šta se tu može konfigurirati za ovaj Zabbix (Nagios, OpenView, itd.)? Brzo ću ga uzeti i spremno je!”
Od implementacije do rada
Pogledajmo konkretan primjer.
Primljena je poruka alarma koja ukazuje da WiFi pristupna tačka negdje ne reagira.
Gdje se ona nalazi?
Naravno, dobar mrežni administrator ima svoj osobni direktorij u koji je sve zapisano. Pitanja počinju kada ove informacije treba podijeliti. Na primjer, hitno morate poslati glasnika da riješi stvari na licu mjesta, a za to morate izdati nešto poput: „Pristupna tačka u poslovnom centru u ulici Stroiteley, zgrada 1, na 3. spratu, soba br. 301 pored ulaznih vrata ispod plafona."
Recimo da imamo sreće i pristupna tačka se napaja preko PoE, a prekidač omogućava da se ponovo pokrene na daljinu. Ne morate putovati, ali vam je potreban daljinski pristup prekidaču. Sve što ostaje je da konfigurišete prosleđivanje portova preko PAT-a na ruteru, odgonetnete VLAN za povezivanje izvana i tako dalje. Dobro je ako je sve unapred pripremljeno. Posao možda nije težak, ali ga treba obaviti.
Dakle, utičnica za hranu je ponovo pokrenuta. Nije pomoglo?
Recimo da nešto nije u redu u hardveru. Sada tražimo informacije o garanciji, puštanju u rad i ostalim detaljima od interesa.
Govoreći o WiFi. Upotreba kućne verzije WPA2-PSK, koja ima jedan ključ za sve uređaje, ne preporučuje se u korporativnom okruženju. Prvo, jedan ključ za sve jednostavno nije siguran, a drugo, kada jedan zaposlenik ode, morate promijeniti ovaj zajednički ključ i ponovo napraviti postavke na svim uređajima za sve korisnike. Da biste izbjegli takve probleme, postoji WPA2-Enterprise sa individualnom autentifikacijom za svakog korisnika. Ali za ovo vam je potreban RADIUS server – još jedna infrastrukturna jedinica koju treba kontrolisati, napraviti sigurnosne kopije i tako dalje.
Napominjemo da smo u svakoj fazi, bilo da se radi o implementaciji ili radu, koristili sisteme podrške. Ovo uključuje laptop sa internet vezom “treće strane”, sistem za nadzor, referentnu bazu podataka opreme i RADIUS kao sistem za autentifikaciju. Osim mrežnih uređaja, morate održavati i usluge trećih strana.
U takvim slučajevima možete čuti savjet: „Daj to oblaku i ne pati“. Sigurno postoji oblak Zabbix, možda negdje postoji oblak RADIUS, pa čak i baza podataka u oblaku za održavanje liste uređaja. Nevolja je što ovo nije potrebno zasebno, već „u jednoj boci“. I dalje se postavljaju pitanja o organizaciji pristupa, početnom podešavanju uređaja, sigurnosti i još mnogo toga.
Kako to izgleda kada koristite Nebula?
Naravno, u početku „oblak“ ne zna ništa o našim planovima niti o kupljenoj opremi.
Prvo se kreira profil organizacije. Odnosno, cjelokupna infrastruktura: sjedište i filijale se prvo registruje u oblaku. Detalji su navedeni i računi se kreiraju za delegiranje ovlaštenja.
Možete registrirati svoje uređaje u oblaku na dva načina: na starinski način - jednostavnim unosom serijskog broja prilikom popunjavanja web obrasca ili skeniranjem QR koda pomoću mobilnog telefona. Sve što vam je potrebno za drugu metodu je pametni telefon s kamerom i pristupom internetu, uključujući i putem mobilnog provajdera.
Naravno, potrebnu infrastrukturu za pohranjivanje informacija, kako računovodstva tako i postavki, obezbjeđuje Zyxel Nebula.
Slika 1. Sigurnosni izvještaj Nebula Control Center.
Šta je sa postavljanjem pristupa? Otvaranje portova, prosleđivanje saobraćaja kroz dolazni gateway, sve ono što bezbednosni administratori od milja zovu „iskapanje rupa“? Na sreću, ne morate sve ovo da radite. Uređaji koji koriste Nebula uspostavljaju odlaznu vezu. A administrator se ne povezuje na poseban uređaj, već na oblak radi konfiguracije. Nebula posreduje između dvije veze: na uređaj i na računar administratora mreže. To znači da se faza pozivanja dolaznog administratora može svesti na minimum ili u potpunosti preskočiti. I nema dodatnih „rupa“ u firewall-u.
Šta je sa RADUIS serverom? Na kraju krajeva, potrebna je neka vrsta centralizirane autentifikacije!
I ove funkcije preuzima i Nebula. Provjera autentičnosti računa za pristup opremi odvija se putem sigurne baze podataka. Ovo uvelike pojednostavljuje delegiranje ili povlačenje prava na upravljanje sistemom. Moramo prenijeti prava - kreirati korisnika, dodijeliti ulogu. Trebamo oduzeti prava - radimo obrnute korake.
Odvojeno, vrijedi spomenuti WPA2-Enterprise, koji zahtijeva posebnu uslugu autentikacije. Zyxel Nebula ima svoj analog - DPPSK, koji vam omogućava da koristite WPA2-PSK sa pojedinačnim ključem za svakog korisnika.
"Nezgodna" pitanja
U nastavku ćemo pokušati dati odgovore na najškakljivija pitanja koja se često postavljaju prilikom ulaska u cloud servis
Da li je zaista sigurno?
U svakom delegiranju kontrole i upravljanja kako bi se osigurala sigurnost, dva faktora igraju važnu ulogu: anonimizacija i enkripcija.
Korišćenje enkripcije za zaštitu saobraćaja od znatiželjnih očiju je nešto što je čitaocima manje-više poznato.
Anonimizacija skriva informacije o vlasniku i izvoru od osoblja cloud provajdera. Lični podaci se uklanjaju, a evidenciji se dodjeljuje identifikator bez lica. Ni programer softvera u oblaku ni administrator koji održava cloud sistem ne mogu znati vlasnika zahtjeva. „Odakle je ovo došlo? Koga bi ovo moglo zanimati?” – takva pitanja će ostati bez odgovora. Nedostatak informacija o vlasniku i izvoru čini insajdere besmislenim gubljenjem vremena.
Ako uporedimo ovaj pristup sa tradicionalnom praksom outsourcinga ili angažovanja dolaznog administratora, očigledno je da su cloud tehnologije sigurnije. Novi IT stručnjak zna dosta o svojoj organizaciji i može, hteli-nehteli, naneti značajnu štetu u smislu bezbednosti. Pitanje otkaza ili raskida ugovora tek treba da se reši. Ponekad, pored blokiranja ili brisanja naloga, to podrazumeva i globalnu promenu lozinki za pristup servisima, kao i reviziju svih resursa za „zaboravljene“ ulazne tačke i moguće „markere“.
Koliko je Nebula skuplja ili jeftinija od dolaznog administratora?
Sve je relativno. Osnovne karakteristike Nebule dostupne su besplatno. Zapravo, šta bi moglo biti još jeftinije?
Naravno, nemoguće je u potpunosti bez administratora mreže ili osobe koja ga zamjenjuje. Pitanje je broj ljudi, njihova specijalizacija i distribucija po sajtovima.
Što se tiče plaćene proširene usluge, postavljanje direktnog pitanja: skuplje ili jeftinije - takav pristup će uvijek biti netačan i jednostran. Bilo bi ispravnije usporediti mnoge faktore, počevši od novca do plaćanja za rad određenih stručnjaka i završavajući troškovima osiguravanja njihove interakcije s izvođačem ili pojedincem: kontrola kvalitete, izrada dokumentacije, održavanje razine sigurnosti i tako dalje.
Ako govorimo o temi da li je isplativo ili neisplativo kupiti plaćeni paket usluga (Pro-Pack), onda bi približan odgovor mogao zvučati ovako: ako je organizacija mala, možete se snaći s osnovnim verzija, ako organizacija raste, onda ima smisla razmišljati o Pro-Packu. Razlike između verzija Zyxel magline mogu se vidjeti u Tabeli 1.
Tabela 1. Razlike između osnovnih i Pro-Pack skupova funkcija za Nebula.
Ovo uključuje napredno izvještavanje, reviziju korisnika, kloniranje konfiguracije i još mnogo toga.
Šta je sa zaštitom saobraćaja?
Nebula koristi protokol kako bi se osigurao siguran rad mrežne opreme.
NETCONF može raditi na nekoliko transportnih protokola:
- ();
- ();
- ();
- ().
Ako uporedimo NETCONF sa drugim metodama, na primjer, upravljanjem putem SNMP-a, treba napomenuti da NETCONF podržava odlaznu TCP vezu za prevazilaženje NAT barijere i smatra se pouzdanijom.
Šta je sa hardverskom podrškom?
Naravno, ne biste trebali pretvarati server sobu u zoološki vrt sa predstavnicima rijetkih i ugroženih vrsta opreme. Veoma je poželjno da oprema ujedinjena tehnologijom upravljanja pokriva sve pravce: od centralnog prekidača do pristupnih tačaka. Zyxel inženjeri su se pobrinuli za ovu mogućnost. Nebula pokreće mnoge uređaje:
- 10G centralni prekidači;
- Prekidači nivoa pristupa;
- prekidači sa PoE;
- pristupne tačke;
- mrežni pristupnici.
Koristeći širok spektar podržanih uređaja, možete izgraditi mreže za različite vrste zadataka. Ovo se posebno odnosi na kompanije koje ne rastu prema gore, već prema van, neprestano istražujući nova područja za poslovanje.
Kontinuirani razvoj
Mrežni uređaji sa tradicionalnim načinom upravljanja imaju samo jedan način poboljšanja - promjenu samog uređaja, bilo da se radi o novom firmveru ili dodatnim modulima. U slučaju Zyxel Nebula, postoji dodatni put za poboljšanje – kroz poboljšanje infrastrukture oblaka. Na primjer, nakon ažuriranja Nebula Control Center (NCC) na verziju 10.1. (21.) korisnicima su dostupne nove funkcije, evo nekih od njih:
- Vlasnik organizacije sada može prenijeti sva vlasnička prava na drugog administratora u istoj organizaciji;
- nova uloga pod nazivom Predstavnik vlasnika, koja ima ista prava kao i vlasnik organizacije;
- nova funkcija ažuriranja firmvera za cijelu organizaciju (funkcija Pro-Pack);
- dvije nove opcije su dodane topologiji: ponovno pokretanje uređaja i uključivanje i isključivanje napajanja PoE porta (Pro-Pack funkcija);
- podrška za nove modele pristupnih tačaka: WAC500, WAC500H, WAC5302D-Sv2 i NWA1123ACv3;
- podrška za autentifikaciju vaučera uz ispis QR koda (Pro-Pack funkcija).
korisni linkovi
izvor: www.habr.com