L'articulu discuterà i prublemi di l'urganizazione di l'infrastruttura di rete in u modu tradiziunale è i metudi per risolve i stessi prublemi cù e tecnulugia di nuvola.
Per riferimentu. Nebula hè un ambiente di nuvola SaaS per mantene a distanza l'infrastruttura di rete. Tutti i dispositi abilitati da Nebula sò gestiti da u nuvulu via una cunnessione sicura. Pudete gestisce una grande infrastruttura di rete distribuita da un centru unicu senza spende u sforzu di creà.
Perchè avete bisognu di un altru serviziu di nuvola?
U prublema principali quandu u travagliu cù l'infrastruttura di a rete ùn hè micca cuncepimentu di a reta è cumprà l'equipaggiu, o ancu installà in un rack, ma tuttu ciò chì deve esse fattu cù sta reta in u futuru.
Nova reta - vechji preoccupazioni
Quandu si mette in opera un novu nodu di rete dopu a stallazione è a cunnessione di l'equipaggiu, a cunfigurazione iniziale principia. Da u puntu di vista di i "grandi patroni" - nunda di complicatu: "Pigliemu a documentazione di travagliu per u prugettu è cuminciamu à stallà ..." Questu hè cusì bellu dettu quandu tutti l'elementi di a rete sò situati in un centru di dati. S'elli sò spargugliati in e rami, u malu di capu di furnisce l'accessu remoto principia. Hè un circhiu vicious: per avè accessu remotu nantu à a reta, avete bisognu di cunfigurà l'equipaggiu di rete, è per questu avete bisognu di accessu à a reta ...
Avemu da vene cù diversi schemi per esce da l'impasse descrittu sopra. Per esempiu, un laptop cù accessu à Internet via un modem USB 4G hè cunnessu via un patch cord à una reta persunalizata. Un cliente VPN hè stallatu nantu à questu laptop, è attraversu questu l'amministratore di a rete da a sede prova di accede à a reta di filiale. U schema ùn hè micca u più trasparente - ancu s'ellu porta un laptop cù una VPN pre-configurata à un situ remotu è dumandate à accende, hè luntanu da un fattu chì tuttu hà da travaglià a prima volta. In particulare se parlemu di una regione sfarente cù un fornitore diversu.
Ci hè chì u modu più affidabile hè di avè un bonu specialista "à l'altru finale di a linea" chì pò cunfigurà a so parte secondu u prugettu. Se ùn ci hè nunda in u persunale di filiale, l'opzioni restanu: sia esternalizazione o viaghju di cummerciale.
Avemu ancu bisognu di un sistema di surviglianza. Hè bisognu à esse stallatu, cunfiguratu, mantinutu (almenu monitorà u spaziu di discu è fate backups regularmente). È chì ùn sà nunda di i nostri dispositi finu à chì l'avemu dettu. Per fà questu, avete bisognu di registrà paràmetri per tutti i pezzi di l'equipaggiu è cuntrollà regularmente a rilevanza di i registri.
Hè bellu quandu u persunale hà a so propria "orchestra di un omu", chì, in più di a cunniscenza specifica di un amministratore di a rete, sapi cumu travaglià cù Zabbix o un altru sistema simili. Altrimenti, assumemu una altra persona nantu à u persunale o l'outsource.
Nota: I sbagli più tristi cumincianu cù e parolle: "Chì ci hè per cunfigurà stu Zabbix (Nagios, OpenView, etc.)? A cuglieraghju prestu è hè pronta !
Da l'implementazione à l'operazione
Fighjemu un esempiu specificu.
Un messagiu d'alarma hè statu ricevutu chì indicava chì un puntu d'accessu WiFi in qualchì locu ùn risponde micca.
Induve hè ella ?
Di sicuru, un bon amministratore di a rete hà u so propiu repertoriu persunale in quale tuttu hè scrittu. E dumande cumincianu quandu sta infurmazione deve esse sparta. Per esempiu, avete bisognu urgente di mandà un messageru per risolve e cose in u locu, è per questu avete bisognu di emette qualcosa cum'è: "Punto d'accessu in u centru cummerciale in Stroiteley Street, edificio 1, à u 3 ° pianu, stanza No. 301 accantu à a porta di fronte sottu u tettu ".
Diciamu chì simu furtunati è u puntu d'accessu hè alimentatu via PoE, è u switch permette di riavvià remotamente. Ùn avete micca bisognu di viaghjà, ma avete bisognu di accessu remoto à u switch. Tuttu ciò chì resta hè di cunfigurà u portu forwarding via PAT in u router, scopre a VLAN per cunnette da l'esternu, è cusì. Hè bonu se tuttu hè stallatu in anticipu. U travagliu pò esse micca difficiule, ma deve esse fattu.
Dunque, l'outlet di l'alimentariu hè statu riavviatu. Ùn avete micca aiutatu?
Diciamu chì qualcosa hè sbagliatu in u hardware. Avà circhemu infurmazioni nantu à a garanzia, l'iniziu è altri dettagli d'interessu.
Parlendu di WiFi. Aduprà a versione di casa di WPA2-PSK, chì hà una chjave per tutti i dispositi, ùn hè micca cunsigliatu in un ambiente corporativu. Prima, una chjave per tutti hè simplicemente insegura, è in segundu, quandu un impiigatu parte, avete da cambià sta chjave cumuna è ripiglià i paràmetri in tutti i dispositi per tutti l'utilizatori. Per evitari tali prublemi, ci hè WPA2-Enterprise cù autentificazione individuale per ogni utilizatore. Ma per questu avete bisognu di un servitore RADIUS - una altra unità di infrastruttura chì deve esse cuntrullata, copia di salvezza fatta, etc.
Per piacè nutate chì in ogni tappa, sia l'implementazione o l'operazione, avemu usatu sistemi di supportu. Questu include un laptop cù una cunnessione Internet "di terzu", un sistema di surviglianza, una basa di dati di riferimentu di l'equipaggiu, è RADIUS cum'è sistema di autentificazione. In più di i dispositi di rete, avete ancu mantene i servizii di terzu.
In tali casi, pudete sente u cunsigliu: "Dà à u nuvulu è ùn soffre micca". Di sicuru, ci hè una nuvola Zabbix, forsi ci hè una nuvola RADIUS in qualchì locu, è ancu una basa di dati nuvola per mantene una lista di i dispusitivi. U prublema hè chì questu ùn hè micca necessariu separatamente, ma "in una buttiglia". È sempre, ci sò dumande nantu à l'urganizazione di l'accessu, a cunfigurazione iniziale di u dispositivu, a sicurità è assai di più.
Cume si vede quandu si usa Nebula?
Di sicuru, inizialmente a "nuvola" ùn sapi nunda di i nostri piani o l'equipaggiu acquistatu.
Prima, un prufilu di l'urganizazione hè creatu. Questu hè, tutta l'infrastruttura: a sede è e filiali hè prima registrata in u nuvulu. I dettagli sò specificati è i cunti sò creati per a delegazione di l'autorità.
Pudete registrà i vostri dispositi in u nuvulu in duie manere: in l'antica manera - solu inserendu u numeru di serie quandu compie un furmulariu web o scannendu un codice QR cù un telefuninu. Tuttu ciò chì avete bisognu per u sicondu mètudu hè un smartphone cù una camera è accessu à Internet, ancu attraversu un fornitore mobile.
Di sicuru, l'infrastruttura necessaria per almacenà l'infurmazioni, sia a cuntabilità è a paràmetra, hè furnita da Zyxel Nebula.
Figura 1. Rapportu di sicurità di Nebula Control Center.
Chì ci hè di stabilisce l'accessu? Apertura di porti, trasmissioni di trafficu attraversu una porta di entrata, tuttu ciò chì l'amministratori di sicurità chjamanu affettuosamente "picking holes"? Fortunatamente, ùn avete micca bisognu di fà tuttu questu. I dispositi chì funzionanu Nebula stabiliscenu una cunnessione in uscita. È l'amministratore ùn cunnetta micca à un dispositivu separatu, ma à u nuvulu per a cunfigurazione. Nebula media trà dui cunnessione: à u dispusitivu è à l'urdinatore di l'amministratore di a rete. Questu significa chì u stadiu di chjamà un amministratore entrante pò esse minimizatu o saltatu in tuttu. È senza "buchi" supplementari in u firewall.
E u servitore RADUIS ? Dopu tuttu, un tipu d'autentificazione centralizzata hè necessariu!
E sti funzioni sò ancu ripigliate da Nebula. L'autentificazione di i cunti per l'accessu à l'equipaggiu si faci per una basa di dati sicura. Questu simplifica assai a delegazione o a retirazzione di diritti per gestisce u sistema. Avemu bisognu di trasfiriri diritti - creà un utilizatore, assignà un rolu. Avemu bisognu di caccià i diritti - facemu i passi inversi.
Separatamente, vale a pena menzione WPA2-Enterprise, chì richiede un serviziu di autentificazione separatu. Zyxel Nebula hà u so propiu analogu - DPPSK, chì permette di utilizà WPA2-PSK cù una chjave individuale per ogni utilizatore.
Domande "inconvenienti".
Sottu avemu da pruvà à dà risposti à e quistioni più difficili chì sò spessu dumandati quandu entra in un serviziu di nuvola
Hè veramente sicuru?
In ogni delegazione di cuntrollu è gestione per assicurà a sicurità, dui fatturi ghjucanu un rolu impurtante: l'anonimizazione è a criptografia.
Utilizà a criptografia per prutege u trafficu da l'occhi indiscreti hè qualcosa chì i lettori sò più o menu familiarizati.
L'anonimizazione oculta l'infurmazioni nantu à u pruprietariu è a fonte da u persunale di u fornitore di nuvola. L'infurmazione persunale hè eliminata è i registri sò attribuiti un identificatore "senza faccia". Nè u sviluppatore di u software in nuvola nè l'amministratore chì mantene u sistema di nuvola ponu cunnosce u pruprietariu di e richieste. "Da induve vene questu? Quale pò esse interessatu in questu?" - tali dumande restanu senza risposta. A mancanza di infurmazione nantu à u pruprietariu è a fonte rende l'insider una perdita di tempu inutile.
Se paragunemu stu approcciu cù a pratica tradiziunale di l'outsourcing o l'assunzione di un amministratore in entrata, hè ovvi chì e tecnulugia di nuvola sò più sicure. Un specialista in IT entrante cunnosci assai di a so urganizazione, è pò, volenu o no, causari dannu significativu in termini di sicurità. U prublema di licenziamentu o di terminazione di u cuntrattu deve sempre esse risolta. A volte, in più di bluccà o sguassà un contu, questu implica un cambiamentu globale di password per accede à i servizii, è ancu un auditu di tutte e risorse per i punti di entrata "smentidati" è pussibuli "marcati".
Quantu hè più caru o più prezzu Nebula cà un amministratore in entrata?
Tuttu hè relativo. E caratteristiche basi di Nebula sò dispunibili gratuitamente. In verità, chì puderia esse ancu più prezzu?
Di sicuru, hè impussibile di fà cumplettamente senza un amministratore di a rete o una persona chì u rimpiazza. A quistione hè u numeru di persone, a so specializazione è a distribuzione in i siti.
In quantu à u serviziu allargatu pagatu, dumandendu una quistione diretta: più caru o più prezzu - un tali approcciu serà sempre imprecisu è unilaterale. Saria più currettu di paragunà parechji fatturi, chì varieghja da soldi à pagà per u travagliu di spezialisti specifichi è finiscinu cù i costi di assicurà a so interazzione cù un cuntrattu o un individuu: cuntrollu di qualità, redazione di documentazioni, mantene u livellu di sicurità, è cusì.
Se parlemu di u tema di s'ellu hè prufittu o micca prufittu per cumprà un pacchettu pagatu di servizii (Pro-Pack), allora una risposta apprussimativa pò sona cusì: se l'urganizazione hè chjuca, pudete fà cun i basi. versione, se l'urganizazione hè in crescita, allora hè sensu di pensà à Pro-Pack. E differenze trà e versioni di Zyxel Nebula ponu esse vistu in a Tabella 1.
Table 1. Differenze trà e funzioni di basa è Pro-Pack per Nebula.
Questu include rapportu avanzatu, auditu di l'utilizatori, clonazione di cunfigurazione, è assai di più.
Chì ci hè a prutezzione di u trafficu ?
Nebula usa u protocolu per assicurà u funziunamentu sicuru di l'equipaggiu di rete.
NETCONF pò eseguisce nantu à parechji protokolli di trasportu:
- ();
- ();
- ();
- ().
Se paragunemu NETCONF cù altri metudi, per esempiu, a gestione via SNMP, deve esse nutatu chì NETCONF supporta a cunnessione TCP in uscita per superà a barriera NAT è hè cunsideratu più affidabile.
Chì ci hè u supportu hardware?
Di sicuru, ùn devi micca turnà a sala di u servitore in un zoo cù rapprisentanti di tipi di equipaggiu rari è in periculu. Hè assai desideratu chì l'equipaggiu unitu da a tecnulugia di gestione copre tutte e direzzione: da u switch cintrali à i punti d'accessu. L'ingegneri di Zyxel hà pigliatu cura di sta pussibilità. Nebula gestisce parechji dispositi:
- switch cintrali 10G;
- interruttori di livellu di accessu;
- switch cù PoE;
- punti d'accessu;
- gateway di rete.
Utilizendu una larga gamma di dispusitivi supportati, pudete custruisce rete per diversi tipi di attività. Questu hè soprattuttu veru per l'imprese chì crescenu micca à l'altu, ma à l'esterno, chì esploranu constantemente novi spazii per fà affari.
U sviluppu cuntinuu
I dispositi di rete cù un metudu di gestione tradiziunale anu solu un modu di migliurà - cambià u dispusitivu stessu, sia novu firmware o moduli supplementari. In u casu di Zyxel Nebula, ci hè un percorsu supplementu per a migliione - attraversu a migliurà l'infrastruttura nuvola. Per esempiu, dopu avè aghjurnatu Nebula Control Center (NCC) à a versione 10.1. (21 di settembre di u 2020) e funzioni novi sò dispunibuli per l'utilizatori, eccu alcuni di elli:
- U pruprietariu di una urganizazione pò avà trasfiriri tutti i diritti di pruprietà à un altru amministratore in a listessa urganizazione;
- un novu rolu chjamatu Rappresentante di u pruprietariu, chì hà i stessi diritti cum'è u pruprietariu di l'urganizazione;
- nova funzione d'aghjurnamentu di firmware in tutta l'urganizazione (funzione Pro-Pack);
- duie opzioni novi sò state aghjunte à a topologia: rebooting u dispusitivu è accende è spegne u portu PoE (funzione Pro-Pack);
- supportu per i novi mudelli di punti d'accessu: WAC500, WAC500H, WAC5302D-Sv2 è NWA1123ACv3;
- supportu per l'autentificazione di voucher cù stampa di codice QR (funzione Pro-Pack).
E ligami utili
Source: www.habr.com