El artículo discutirá los problemas de organizar la infraestructura de red de la manera tradicional y los métodos para resolver los mismos problemas utilizando tecnologías en la nube.
A modo de referencia. Nebula es un entorno de nube SaaS para mantener de forma remota la infraestructura de red. Todos los dispositivos habilitados para Nebula se administran desde la nube a través de una conexión segura. Puede gestionar una gran infraestructura de red distribuida desde un único centro sin gastar el esfuerzo de crearla.
¿Por qué necesitas otro servicio en la nube?
El principal problema a la hora de trabajar con infraestructura de red no es diseñar la red y comprar equipos, ni siquiera instalarlos en un rack, sino todo lo demás que habrá que hacer con esta red en el futuro.
Nueva red - viejas preocupaciones
Al poner en funcionamiento un nuevo nodo de red después de instalar y conectar el equipo, comienza la configuración inicial. Desde el punto de vista de los "grandes jefes", nada complicado: "Tomamos la documentación de trabajo del proyecto y comenzamos a configurarlo..." Esto se dice muy bien cuando todos los elementos de la red están ubicados en un centro de datos. Si están dispersos entre sucursales, comienza el dolor de cabeza de proporcionar acceso remoto. Es un círculo vicioso: para obtener acceso remoto a través de la red, es necesario configurar el equipo de red, y para ello necesita acceso a través de la red...
Tenemos que idear varios esquemas para salir del estancamiento descrito anteriormente. Por ejemplo, una computadora portátil con acceso a Internet a través de un módem USB 4G se conecta mediante un cable de conexión a una red personalizada. En esta computadora portátil se instala un cliente VPN y, a través de él, el administrador de red de la sede intenta acceder a la red de la sucursal. El esquema no es el más transparente: incluso si lleva una computadora portátil con una VPN preconfigurada a un sitio remoto y solicita encenderla, está lejos de ser un hecho que todo funcionará la primera vez. Especialmente si hablamos de una región diferente con un proveedor diferente.
Resulta que la forma más fiable es tener un buen especialista “al otro lado de la línea” que pueda configurar su pieza según el proyecto. Si no existe tal cosa en el personal de la sucursal, las opciones siguen siendo: o la subcontratación o los viajes de negocios.
También necesitamos un sistema de seguimiento. Debe instalarse, configurarse y mantenerse (al menos monitorear el espacio en disco y realizar copias de seguridad periódicas). Y que no sabe nada de nuestros dispositivos hasta que se lo contamos. Para hacer esto, debe registrar la configuración de todos los equipos y monitorear periódicamente la relevancia de los registros.
Es genial cuando el personal tiene su propia "orquesta unipersonal" que, además de los conocimientos específicos de un administrador de red, sabe cómo trabajar con Zabbix u otro sistema similar. En caso contrario, contratamos a otra persona en plantilla o la subcontratamos.
Nota. Los errores más tristes comienzan con las palabras: “¿Qué hay para configurar este Zabbix (Nagios, OpenView, etc.)? ¡Lo recogeré rápidamente y estará listo!
De la implementación a la operación
Veamos un ejemplo específico.
Se recibió un mensaje de alarma que indica que un punto de acceso WiFi en algún lugar no responde.
¿Donde esta ella?
Por supuesto, un buen administrador de red tiene su propio directorio personal en el que está todo anotado. Las preguntas comienzan cuando es necesario compartir esta información. Por ejemplo, es necesario enviar urgentemente un mensajero para arreglar las cosas en el acto, y para ello es necesario redactar algo como: “Punto de acceso en el centro de negocios en Stroiteley Street, edificio 1, en el tercer piso, habitación No. 3 al lado de la puerta principal bajo el techo."
Digamos que tenemos suerte y el punto de acceso se alimenta a través de PoE y el conmutador permite reiniciarlo de forma remota. No necesita viajar, pero necesita acceso remoto al conmutador. Todo lo que queda es configurar el reenvío de puertos a través de PAT en el enrutador, determinar la VLAN para conectarse desde el exterior, etc. Es bueno que todo esté configurado de antemano. Puede que el trabajo no sea difícil, pero es necesario hacerlo.
Entonces, se reinició el establecimiento de comida. ¿No ayudó?
Digamos que algo anda mal en el hardware. Ahora buscamos información sobre la garantía, puesta en marcha y otros detalles de interés.
Hablando de WiFi. No se recomienda el uso de la versión doméstica de WPA2-PSK, que tiene una clave para todos los dispositivos, en un entorno corporativo. En primer lugar, una clave para todos simplemente no es segura y, en segundo lugar, cuando un empleado se va, es necesario cambiar esta clave común y rehacer la configuración en todos los dispositivos para todos los usuarios. Para evitar este tipo de problemas, existe WPA2-Enterprise con autenticación individual para cada usuario. Pero para ello necesita un servidor RADIUS, otra unidad de infraestructura que debe controlarse, realizar copias de seguridad, etc.
Tenga en cuenta que en cada etapa, ya sea de implementación u operación, utilizamos sistemas de soporte. Esto incluye una computadora portátil con conexión a Internet de “terceros”, un sistema de monitoreo, una base de datos de referencia de equipos y RADIUS como sistema de autenticación. Además de los dispositivos de red, también hay que mantener servicios de terceros.
En tales casos, se puede escuchar el consejo: “Dáselo a la nube y no sufras”. Seguramente hay una nube Zabbix, tal vez haya una nube RADIUS en alguna parte, e incluso una base de datos en la nube para mantener una lista de dispositivos. El problema es que esto no se necesita por separado, sino "en una botella". Y aún así, surgen preguntas sobre la organización del acceso, la configuración inicial del dispositivo, la seguridad y mucho más.
¿Cómo se ve cuando se usa Nebula?
Eso sí, inicialmente la “nube” no sabe nada de nuestros planes ni del equipo adquirido.
Primero, se crea un perfil de organización. Es decir, toda la infraestructura: sedes y sucursales se registra primero en la nube. Se especifican los detalles y se crean cuentas para la delegación de autoridad.
Puede registrar sus dispositivos en la nube de dos maneras: a la antigua usanza, simplemente ingresando el número de serie al completar un formulario web o escaneando un código QR con un teléfono móvil. Para el segundo método, todo lo que necesita es un teléfono inteligente con cámara y acceso a Internet, incluso a través de un proveedor de telefonía móvil.
Por supuesto, Zyxel Nebula proporciona la infraestructura necesaria para almacenar información, tanto contable como de configuración.
Figura 1. Informe de seguridad del Centro de control de Nebula.
¿Qué pasa con la configuración del acceso? ¿Abrir puertos, reenviar tráfico a través de una puerta de enlace entrante, todo lo que los administradores de seguridad llaman cariñosamente “buscar agujeros”? Afortunadamente, no es necesario hacer todo esto. Los dispositivos que ejecutan Nebula establecen una conexión saliente. Y el administrador no se conecta a un dispositivo separado, sino a la nube para realizar la configuración. Nebula media entre dos conexiones: al dispositivo y a la computadora del administrador de la red. Esto significa que la etapa de llamar a un administrador entrante se puede minimizar o omitir por completo. Y sin "agujeros" adicionales en el firewall.
¿Qué pasa con el servidor RADUIS? Después de todo, ¡se necesita algún tipo de autenticación centralizada!
Y estas funciones también las asume Nebula. La autenticación de cuentas para acceder al equipo se realiza a través de una base de datos segura. Esto simplifica enormemente la delegación o retirada de derechos para gestionar el sistema. Necesitamos transferir derechos: crear un usuario, asignar una función. Necesitamos quitarnos los derechos; realizamos los pasos inversos.
Por otra parte, cabe mencionar WPA2-Enterprise, que requiere un servicio de autenticación independiente. Zyxel Nebula tiene su propio análogo: DPPSK, que le permite usar WPA2-PSK con una clave individual para cada usuario.
Preguntas "incómodas"
A continuación intentaremos dar respuesta a las preguntas más complicadas que se suelen plantear al acceder a un servicio en la nube.
¿Es realmente seguro?
En cualquier delegación de control y gestión para garantizar la seguridad, dos factores juegan un papel importante: la anonimización y el cifrado.
Usar cifrado para proteger el tráfico de miradas indiscretas es algo con lo que los lectores están más o menos familiarizados.
La anonimización oculta información sobre el propietario y la fuente al personal del proveedor de la nube. Se elimina la información personal y a los registros se les asigna un identificador "sin rostro". Ni el desarrollador de software en la nube ni el administrador que mantiene el sistema en la nube pueden conocer al propietario de las solicitudes. "¿De dónde viene esto? ¿A quién podría interesarle esto?”: estas preguntas quedarán sin respuesta. La falta de información sobre el propietario y la fuente hace que la información privilegiada sea una pérdida de tiempo inútil.
Si comparamos este enfoque con la práctica tradicional de subcontratar o contratar un administrador entrante, es obvio que las tecnologías en la nube son más seguras. Un especialista en TI entrante sabe mucho sobre su organización y, lo quiera o no, puede causar daños importantes en términos de seguridad. Aún queda por resolver la cuestión del despido o rescisión del contrato. A veces, además de bloquear o eliminar una cuenta, esto implica un cambio global de las contraseñas de acceso a los servicios, así como una auditoría de todos los recursos en busca de puntos de entrada "olvidados" y posibles "marcadores".
¿Cuánto más caro o más barato es Nebula que un administrador entrante?
Todo es relativo. Las funciones básicas de Nebula están disponibles de forma gratuita. En realidad, ¿qué podría ser incluso más barato?
Por supuesto, es imposible prescindir por completo de un administrador de red o de una persona que lo reemplace. La pregunta es la cantidad de personas, su especialización y distribución en los sitios.
En cuanto al servicio extendido de pago, hacer una pregunta directa: más caro o más barato, este enfoque siempre será inexacto y unilateral. Sería más correcto comparar muchos factores, que van desde el dinero hasta el pago del trabajo de especialistas específicos hasta los costos de garantizar su interacción con un contratista o un particular: control de calidad, elaboración de documentación, mantenimiento del nivel de seguridad y pronto.
Si hablamos del tema de si es rentable o no adquirir un paquete de servicios pago (Pro-Pack), entonces una respuesta aproximada podría ser la siguiente: si la organización es pequeña, puede arreglárselas con lo básico versión, si la organización está creciendo, entonces tiene sentido pensar en Pro-Pack. Las diferencias entre las versiones de la Nebulosa Zyxel se pueden ver en la Tabla 1.
Tabla 1. Diferencias entre los conjuntos de funciones básico y Pro-Pack para Nebula.
Esto incluye informes avanzados, auditoría de usuarios, clonación de configuraciones y mucho más.
¿Qué pasa con la protección del tráfico?
Nebula utiliza el protocolo para garantizar el funcionamiento seguro de los equipos de red.
NETCONF puede ejecutarse sobre varios protocolos de transporte:
- ();
- ();
- ();
- ().
Si comparamos NETCONF con otros métodos, por ejemplo, la gestión vía SNMP, cabe señalar que CONF.NET Admite conexión TCP saliente para superar la barrera NAT y se considera más confiable.
¿Qué pasa con el soporte de hardware?
Por supuesto, no deberías convertir la sala de servidores en un zoológico con representantes de tipos de equipos raros y en peligro de extinción. Es muy deseable que los equipos unidos por tecnología de gestión cubran todas las direcciones: desde el interruptor central hasta los puntos de acceso. Los ingenieros de Zyxel se ocuparon de esta posibilidad. Nebula ejecuta muchos dispositivos:
- interruptores centrales 10G;
- interruptores de nivel de acceso;
- conmutadores PoE;
- puntos de acceso;
- puertas de enlace de red.
Utilizando una amplia gama de dispositivos compatibles, puede crear redes para diversos tipos de tareas. Esto es especialmente cierto para las empresas que no crecen hacia arriba, sino hacia afuera, explorando constantemente nuevas áreas para hacer negocios.
Desarrollo continuo
Los dispositivos de red con un método de gestión tradicional solo tienen una forma de mejorar: cambiar el dispositivo en sí, ya sea firmware nuevo o módulos adicionales. En el caso de Zyxel Nebula, existe un camino adicional de mejora: mejorar la infraestructura de la nube. Por ejemplo, después de actualizar Nebula Control Center (NCC) a la versión 10.1. (21 de septiembre de 2020) nuevas funciones están disponibles para los usuarios, estas son algunas de ellas:
- El propietario de una organización ahora puede transferir todos los derechos de propiedad a otro administrador de la misma organización;
- un nuevo rol llamado Representante del Propietario, que tiene los mismos derechos que el propietario de la organización;
- nueva función de actualización de firmware para toda la organización (función Pro-Pack);
- Se han agregado dos nuevas opciones a la topología: reiniciar el dispositivo y encender y apagar el puerto PoE (función Pro-Pack);
- soporte para nuevos modelos de puntos de acceso: WAC500, WAC500H, WAC5302D-Sv2 y NWA1123ACv3;
- soporte para autenticación de vales con impresión de códigos QR (función Pro-Pack).
Enlaces de interés
Fuente: habr.com