Článek pojednává o problémech organizace síťové infrastruktury tradičním způsobem a metodách řešení stejných problémů pomocí cloudových technologií.
Pro odkaz. Nebula je cloudové prostředí SaaS pro vzdálenou údržbu síťové infrastruktury. Všechna zařízení s podporou Nebula jsou spravována z cloudu prostřednictvím zabezpečeného připojení. Rozsáhlou distribuovanou síťovou infrastrukturu můžete spravovat z jediného centra, aniž byste museli vynakládat úsilí na její vytvoření.
Proč potřebujete další cloudovou službu?
Hlavním problémem při práci se síťovou infrastrukturou není návrh sítě a nákup zařízení, nebo dokonce jeho instalace do racku, ale vše ostatní, co bude třeba s touto sítí v budoucnu udělat.
Nová síť – staré starosti
Při uvedení nového síťového uzlu do provozu po instalaci a připojení zařízení začíná počáteční konfigurace. Z pohledu „velkých šéfů“ – nic složitého: „Vezmeme pracovní dokumentaci k projektu a začneme nastavovat...“ Tak dobře se to říká, když jsou všechny síťové prvky umístěny v jednom datovém centru. Pokud jsou rozptýleny po větvích, začíná bolest hlavy s poskytováním vzdáleného přístupu. Je to takový začarovaný kruh: abyste získali vzdálený přístup přes síť, musíte nakonfigurovat síťové zařízení, a k tomu potřebujete přístup přes síť...
Musíme vymyslet různá schémata, jak se dostat z výše popsané slepé uličky. Například notebook s přístupem k internetu přes USB 4G modem je připojen přes patch kabel k vlastní síti. Na tomto notebooku je nainstalován VPN klient a přes něj se správce sítě z centrály snaží získat přístup do pobočkové sítě. Schéma není nejtransparentnější – i když si na vzdálený web přinesete notebook s předkonfigurovanou VPN a požádáte o jeho zapnutí, zdaleka neplatí, že vše bude fungovat napoprvé. Zvláště pokud se bavíme o jiném regionu s jiným poskytovatelem.
Ukazuje se, že nejspolehlivějším způsobem je mít dobrého specialistu „na druhém konci linky“, který dokáže svůj díl nakonfigurovat podle projektu. Pokud v pobočkách nic takového není, zůstávají možnosti: buď outsourcing, nebo služební cesty.
Potřebujeme také monitorovací systém. Je potřeba jej nainstalovat, nakonfigurovat, udržovat (minimálně sledovat místo na disku a pravidelně zálohovat). A která neví nic o našich zařízeních, dokud to neřekneme. Chcete-li to provést, musíte zaregistrovat nastavení pro všechna zařízení a pravidelně sledovat relevanci záznamů.
Je skvělé, když má personál svůj „oneman orchestr“, který kromě specifických znalostí správce sítě ví, jak pracovat se Zabbixem nebo jiným podobným systémem. V opačném případě najmeme dalšího zaměstnance nebo to outsourcujeme.
Poznámka. Nejsmutnější chyby začínají slovy: „Co je na konfiguraci tohoto Zabbixu (Nagios, OpenView atd.)? Rychle to vyzvednu a je to hotové!"
Od realizace až po provoz
Podívejme se na konkrétní příklad.
Byla přijata poplašná zpráva oznamující, že někde přístupový bod WiFi nereaguje.
Kde se nachází?
Dobrý správce sítě má samozřejmě svůj osobní adresář, do kterého se vše zapisuje. Otázky začínají, když je potřeba tyto informace sdílet. Například naléhavě potřebujete poslat posla, aby věci vyřešil na místě, a k tomu musíte vydat něco jako: „Přístupový bod v obchodním centru na ulici Stroiteley, budova 1, ve 3. patře, pokoj č. 301 vedle předních dveří pod stropem."
Řekněme, že máme štěstí a přístupový bod je napájen přes PoE a přepínač umožňuje jeho vzdálený restart. Nemusíte cestovat, ale potřebujete vzdálený přístup k přepínači. Zbývá pouze nakonfigurovat přesměrování portů přes PAT na routeru, zjistit VLAN pro připojení zvenčí a tak dále. Je dobré, když je vše nastaveno předem. Práce nemusí být těžká, ale je třeba ji udělat.
Výdejna jídla byla tedy restartována. Nepomohlo?
Řekněme, že je něco špatně v hardwaru. Nyní hledáme informace o záruce, uvedení do provozu a další podrobnosti, které nás zajímají.
Když už mluvíme o WiFi. Používání domácí verze WPA2-PSK, která má jeden klíč pro všechna zařízení, se ve firemním prostředí nedoporučuje. Za prvé, jeden klíč pro všechny je prostě nebezpečný, a za druhé, když jeden zaměstnanec odejde, musíte tento společný klíč změnit a znovu provést nastavení na všech zařízeních pro všechny uživatele. Aby se předešlo těmto problémům, existuje WPA2-Enterprise s individuální autentizací pro každého uživatele. K tomu ale potřebujete server RADIUS – další infrastrukturní jednotku, kterou je třeba řídit, vytvářet zálohy a tak dále.
Vezměte prosím na vědomí, že v každé fázi, ať už jde o implementaci nebo provoz, jsme používali podpůrné systémy. To zahrnuje notebook s internetovým připojením „třetí strany“, monitorovací systém, referenční databázi zařízení a RADIUS jako ověřovací systém. Kromě síťových zařízení musíte také udržovat služby třetích stran.
V takových případech můžete slyšet radu: "Dejte to cloudu a netrpte." Určitě existuje cloudový Zabbix, možná je někde cloudový RADIUS a dokonce cloudová databáze pro udržování seznamu zařízení. Problém je v tom, že to není potřeba samostatně, ale „v jedné lahvičce“. A přesto vyvstávají otázky týkající se organizace přístupu, počátečního nastavení zařízení, zabezpečení a mnoha dalších.
Jak to vypadá při použití Nebuly?
Samozřejmě zpočátku „cloud“ neví nic o našich plánech ani o zakoupeném vybavení.
Nejprve se vytvoří profil organizace. To znamená, že celá infrastruktura: centrála a pobočky je nejprve registrována v cloudu. Jsou specifikovány podrobnosti a vytvořeny účty pro delegování oprávnění.
Svá zařízení můžete v cloudu zaregistrovat dvěma způsoby: staromódním způsobem – jednoduše zadáním sériového čísla při vyplňování webového formuláře nebo naskenováním QR kódu pomocí mobilního telefonu. Vše, co potřebujete pro druhou metodu, je chytrý telefon s fotoaparátem a přístupem k internetu, a to i prostřednictvím mobilního poskytovatele.
Potřebnou infrastrukturu pro ukládání informací, jak účetnictví, tak nastavení, samozřejmě zajišťuje Zyxel Nebula.
Obrázek 1. Bezpečnostní zpráva Nebula Control Center.
Jak je to s nastavením přístupu? Otevírání portů, přesměrování provozu přes příchozí bránu, vše, co správci zabezpečení láskyplně nazývají „vybírání děr“? Naštěstí to všechno nemusíte dělat. Zařízení se systémem Nebula navazují odchozí spojení. A správce se připojuje nikoli k samostatnému zařízení, ale ke konfiguraci ke cloudu. Nebula zprostředkovává mezi dvěma připojeními: k zařízení a k počítači správce sítě. To znamená, že fázi volání příchozího administrátora lze minimalizovat nebo úplně přeskočit. A žádné další „díry“ ve firewallu.
A co server RADUIS? Koneckonců, nějaký druh centralizovaného ověřování je potřeba!
A tyto funkce přebírá i Nebula. Ověřování účtů pro přístup k zařízení probíhá prostřednictvím zabezpečené databáze. To značně zjednodušuje delegování nebo odebírání práv na správu systému. Potřebujeme převést práva – vytvořit uživatele, přidělit roli. Potřebujeme odebrat práva - provádíme obrácené kroky.
Samostatně stojí za zmínku WPA2-Enterprise, která vyžaduje samostatnou autentizační službu. Zyxel Nebula má svůj vlastní analog - DPPSK, který vám umožňuje používat WPA2-PSK s individuálním klíčem pro každého uživatele.
"Nepohodlné" otázky
Níže se pokusíme dát odpovědi na nejsložitější otázky, které jsou často kladeny při vstupu do cloudové služby
Je to opravdu bezpečné?
Při jakémkoli delegování kontroly a správy za účelem zajištění bezpečnosti hrají důležitou roli dva faktory: anonymizace a šifrování.
Používání šifrování k ochraně provozu před zvědavýma očima je něco, co čtenáři víceméně znají.
Anonymizace skryje informace o vlastníkovi a zdroji před zaměstnanci poskytovatele cloudu. Osobní údaje jsou odstraněny a záznamům je přiřazen identifikátor „bez tváře“. Vývojář cloudového softwaru ani správce spravující cloudový systém nemohou znát vlastníka požadavků. „Odkud se to tu vzalo? Koho by to mohlo zajímat?“ – takové otázky zůstanou nezodpovězeny. Nedostatek informací o majiteli a zdroji činí z insiderů zbytečnou ztrátu času.
Srovnáme-li tento přístup s tradiční praxí outsourcingu nebo najímání příchozího správce, je zřejmé, že cloudové technologie jsou bezpečnější. Nastupující IT specialista ví o své organizaci poměrně hodně a může, chtě nechtě, způsobit značné škody z hlediska bezpečnosti. Ještě je třeba vyřešit otázku výpovědi nebo ukončení smlouvy. Někdy to kromě zablokování nebo smazání účtu znamená globální změnu hesel pro přístup ke službám a také audit všech zdrojů pro „zapomenuté“ vstupní body a případné „záložky“.
O kolik dražší nebo levnější je Nebula než příchozí admin?
Všechno je relativní. Základní funkce Nebuly jsou k dispozici zdarma. Vlastně, co by mohlo být ještě levnější?
Bez správce sítě nebo jeho nahrazující osoby se samozřejmě zcela obejít nelze. Otázkou je počet lidí, jejich specializace a rozložení napříč weby.
Co se týče placené rozšířené služby, položení přímé otázky: dražší nebo levnější - takový přístup bude vždy nepřesný a jednostranný. Správnější by bylo porovnávat mnoho faktorů, od peněz na zaplacení práce konkrétních specialistů až po náklady na zajištění jejich interakce s dodavatelem nebo jednotlivcem: kontrola kvality, vypracování dokumentace, udržování úrovně bezpečnosti a již brzy.
Pokud mluvíme o tématu, zda je ziskové nebo nerentabilní nákup placeného balíčku služeb (Pro-Pack), pak by přibližná odpověď mohla znít takto: pokud je organizace malá, vystačíte si se základními verze, pokud organizace roste, pak má smysl přemýšlet o Pro-Pack. Rozdíly mezi verzemi Zyxel Nebula můžete vidět v tabulce 1.
Tabulka 1. Rozdíly mezi základními a Pro-Pack sadami funkcí pro Nebula.
To zahrnuje pokročilé reportování, uživatelský audit, klonování konfigurace a mnoho dalšího.
A co ochrana provozu?
Nebula používá protokol k zajištění bezpečného provozu síťových zařízení.
NETCONF může běžet nad několika transportními protokoly:
- ();
- ();
- ();
- ().
Pokud porovnáme NETCONF s jinými metodami, například správou přes SNMP, je třeba poznamenat, že NETCONF podporuje odchozí připojení TCP k překonání bariéry NAT a je považováno za spolehlivější.
A co hardwarová podpora?
Samozřejmě byste neměli ze serverovny udělat zoologickou zahradu se zástupci vzácných a ohrožených typů zařízení. Je velmi žádoucí, aby zařízení sjednocená technologií řízení pokrývala všechny směry: od centrálního přepínače až po přístupové body. O tuto možnost se postarali inženýři Zyxel. Nebula provozuje mnoho zařízení:
- 10G centrální spínače;
- Spínače úrovně přístupu;
- přepínače s PoE;
- přístupový bod;
- síťové brány.
Pomocí široké škály podporovaných zařízení můžete budovat sítě pro různé typy úkolů. To platí zejména pro společnosti, které nerostou nahoru, ale směrem ven a neustále zkoumají nové oblasti podnikání.
Průběžný vývoj
Síťová zařízení s tradiční metodou správy mají pouze jeden způsob vylepšení – změnu samotného zařízení, ať už jde o nový firmware nebo přídavné moduly. V případě Zyxel Nebula existuje další cesta ke zlepšení – prostřednictvím vylepšení cloudové infrastruktury. Například po aktualizaci Nebula Control Center (NCC) na verzi 10.1. (21. září 2020) jsou uživatelům k dispozici nové funkce, zde jsou některé z nich:
- Vlastník organizace nyní může převést všechna vlastnická práva na jiného správce ve stejné organizaci;
- novou roli nazvanou Zástupce vlastníka, která má stejná práva jako vlastník organizace;
- nová funkce aktualizace firmwaru pro celou organizaci (funkce Pro-Pack);
- do topologie byly přidány dvě nové možnosti: restartování zařízení a zapnutí a vypnutí napájení PoE portu (funkce Pro-Pack);
- podpora nových modelů přístupových bodů: WAC500, WAC500H, WAC5302D-Sv2 a NWA1123ACv3;
- podpora ověření voucheru tiskem QR kódu (funkce Pro-Pack).
Užitečné odkazy
Zdroj: www.habr.com