L'article discutera des problèmes d'organisation de l'infrastructure réseau de manière traditionnelle et des méthodes permettant de résoudre les mêmes problèmes à l'aide des technologies cloud.
À titre de référence. Nebula est un environnement cloud SaaS pour la maintenance à distance de l'infrastructure réseau. Tous les appareils compatibles Nebula sont gérés depuis le cloud via une connexion sécurisée. Vous pouvez gérer une vaste infrastructure réseau distribuée à partir d’un centre unique sans avoir à déployer les efforts nécessaires à sa création.
Pourquoi avez-vous besoin d’un autre service cloud ?
Le principal problème lorsque l'on travaille avec une infrastructure réseau n'est pas la conception du réseau et l'achat de l'équipement, ni même son installation dans un rack, mais tout ce qui devra être fait avec ce réseau à l'avenir.
Nouveau réseau - vieux soucis
Lors de la mise en service d'un nouveau nœud de réseau après l'installation et la connexion des équipements, la configuration initiale commence. Du point de vue des « grands patrons » - rien de compliqué : « Nous prenons la documentation de travail du projet et commençons à mettre en place... » C'est si bien dit lorsque tous les éléments du réseau sont situés dans un seul centre de données. S’ils sont dispersés entre les succursales, le casse-tête de la fourniture d’un accès à distance commence. C'est un tel cercle vicieux : pour obtenir un accès à distance sur le réseau, vous devez configurer l'équipement réseau, et pour cela, vous avez besoin d'un accès sur le réseau...
Nous devons imaginer différents schémas pour sortir de l’impasse décrite ci-dessus. Par exemple, un ordinateur portable avec accès à Internet via un modem USB 4G est connecté via un cordon de brassage à un réseau personnalisé. Un client VPN est installé sur cet ordinateur portable et, grâce à lui, l'administrateur réseau du siège tente d'accéder au réseau des succursales. Le schéma n'est pas des plus transparents - même si vous apportez un ordinateur portable avec un VPN préconfiguré sur un site distant et demandez à l'allumer, il est loin d'être un fait que tout fonctionnera du premier coup. Surtout si nous parlons d’une autre région avec un autre fournisseur.
Il s'avère que le moyen le plus fiable est d'avoir un bon spécialiste « à l'autre bout du fil » qui puisse configurer sa pièce en fonction du projet. S'il n'existe pas de tel parmi le personnel de l'agence, les options restent : soit l'externalisation, soit les déplacements professionnels.
Nous avons également besoin d'un système de surveillance. Il doit être installé, configuré, entretenu (au moins surveiller l'espace disque et effectuer des sauvegardes régulières). Et qui ne sait rien de nos appareils jusqu'à ce que nous le lui disions. Pour ce faire, vous devez enregistrer les paramètres de tous les équipements et contrôler régulièrement la pertinence des enregistrements.
C'est formidable quand le personnel dispose de son propre « orchestre individuel » qui, en plus des connaissances spécifiques d'un administrateur réseau, sait travailler avec Zabbix ou un autre système similaire. Sinon, nous embauchons une autre personne dans notre personnel ou nous l'externalisons.
Note. Les erreurs les plus tristes commencent par les mots : « Qu'y a-t-il pour configurer ce Zabbix (Nagios, OpenView, etc.) ? Je vais vite le récupérer et c’est prêt !
De la mise en œuvre à l'exploitation
Regardons un exemple spécifique.
Un message d'alarme a été reçu indiquant qu'un point d'accès WiFi quelque part ne répond pas.
Où est-elle?
Bien entendu, un bon administrateur réseau possède son propre répertoire personnel dans lequel tout est noté. Les questions commencent lorsque ces informations doivent être partagées. Par exemple, vous devez d'urgence envoyer un coursier pour régler les choses sur place, et pour cela vous devez émettre quelque chose comme : « Point d'accès au centre d'affaires de la rue Stroiteley, bâtiment 1, au 3ème étage, chambre n° 301. XNUMX à côté de la porte d'entrée sous le plafond."
Disons que nous avons de la chance et que le point d'accès est alimenté via PoE, et que le switch permet de le redémarrer à distance. Vous n'avez pas besoin de vous déplacer, mais vous avez besoin d'un accès à distance au commutateur. Il ne reste plus qu'à configurer la redirection de port via PAT sur le routeur, déterminer le VLAN pour se connecter de l'extérieur, etc. C'est bien si tout est réglé à l'avance. Le travail n’est peut-être pas difficile, mais il doit être fait.
Ainsi, le point de vente de nourriture a été redémarré. N'a pas aidé?
Disons que quelque chose ne va pas dans le matériel. Nous recherchons maintenant des informations sur la garantie, le démarrage et d’autres détails intéressants.
En parlant de Wi-Fi. L'utilisation de la version domestique de WPA2-PSK, qui possède une clé pour tous les appareils, n'est pas recommandée dans un environnement d'entreprise. Premièrement, une clé pour tout le monde est tout simplement dangereuse, et deuxièmement, lorsqu'un employé part, vous devez modifier cette clé commune et refaire les paramètres sur tous les appareils pour tous les utilisateurs. Pour éviter de tels problèmes, il existe WPA2-Enterprise avec une authentification individuelle pour chaque utilisateur. Mais pour cela, vous avez besoin d'un serveur RADIUS - une autre unité d'infrastructure à contrôler, à effectuer des sauvegardes, etc.
Veuillez noter qu'à chaque étape, qu'il s'agisse de la mise en œuvre ou de l'exploitation, nous avons utilisé des systèmes d'assistance. Cela comprend un ordinateur portable avec une connexion Internet « tierce », un système de surveillance, une base de données de référence des équipements et RADIUS comme système d'authentification. En plus des périphériques réseau, vous devez également gérer des services tiers.
Dans de tels cas, vous pouvez entendre le conseil : « Donnez-le au cloud et ne souffrez pas. » Il existe sûrement un cloud Zabbix, peut-être qu'il existe un cloud RADIUS quelque part, et même une base de données cloud pour maintenir une liste d'appareils. Le problème est que cela n’est pas nécessaire séparément, mais « dans une seule bouteille ». Et pourtant, des questions se posent concernant l’organisation de l’accès, la configuration initiale de l’appareil, la sécurité et bien plus encore.
À quoi cela ressemble-t-il lorsque vous utilisez Nebula ?
Bien entendu, au départ, le « cloud » ne sait rien de nos projets ni du matériel acheté.
Tout d’abord, un profil d’organisation est créé. C'est-à-dire que l'ensemble de l'infrastructure : le siège social et les succursales est d'abord enregistré dans le cloud. Les détails sont spécifiés et des comptes sont créés pour la délégation d'autorité.
Vous pouvez enregistrer vos appareils dans le cloud de deux manières : à l'ancienne - simplement en saisissant le numéro de série lorsque vous remplissez un formulaire Web ou en scannant un code QR à l'aide d'un téléphone mobile. Pour la deuxième méthode, tout ce dont vous avez besoin est un smartphone avec un appareil photo et un accès à Internet, y compris via un opérateur de téléphonie mobile.
Bien entendu, l'infrastructure nécessaire au stockage des informations, tant comptables que paramètres, est fournie par Zyxel Nebula.
Figure 1. Rapport de sécurité du Nebula Control Center.
Qu'en est-il de la configuration de l'accès ? Ouvrir des ports, transférer le trafic via une passerelle entrante, tout ce que les administrateurs de sécurité appellent affectueusement « trouver des trous » ? Heureusement, vous n'avez pas besoin de faire tout cela. Les appareils exécutant Nebula établissent une connexion sortante. Et l'administrateur ne se connecte pas à un appareil séparé, mais au cloud pour la configuration. Nebula sert d'intermédiaire entre deux connexions : à l'appareil et à l'ordinateur de l'administrateur réseau. Cela signifie que l’étape d’appel d’un administrateur entrant peut être minimisée ou complètement ignorée. Et pas de « trous » supplémentaires dans le pare-feu.
Qu'en est-il du serveur RADUIS ? Après tout, une sorte d’authentification centralisée est nécessaire !
Et ces fonctions sont également reprises par Nebula. L'authentification des comptes pour l'accès aux équipements s'effectue via une base de données sécurisée. Cela simplifie grandement la délégation ou le retrait des droits de gestion du système. Nous devons transférer des droits - créer un utilisateur, attribuer un rôle. Nous devons supprimer les droits – nous effectuons les étapes inverses.
Par ailleurs, il convient de mentionner WPA2-Enterprise, qui nécessite un service d'authentification distinct. Zyxel Nebula a son propre analogue - DPPSK, qui vous permet d'utiliser WPA2-PSK avec une clé individuelle pour chaque utilisateur.
Des questions « gênantes »
Ci-dessous, nous essaierons de donner des réponses aux questions les plus délicates qui sont souvent posées lors de la saisie d'un service cloud.
Est-ce vraiment sûr ?
Dans toute délégation de contrôle et de gestion visant à assurer la sécurité, deux facteurs jouent un rôle important : l'anonymisation et le cryptage.
Utiliser le cryptage pour protéger le trafic des regards indiscrets est quelque chose que les lecteurs connaissent plus ou moins.
L'anonymisation masque les informations sur le propriétaire et la source au personnel du fournisseur de cloud. Les informations personnelles sont supprimées et les enregistrements se voient attribuer un identifiant « sans visage ». Ni le développeur du logiciel cloud ni l'administrateur qui gère le système cloud ne peuvent connaître le propriétaire des demandes. "D'où est-ce que sa vient? Qui pourrait être intéressé par cela ? » - ces questions resteront sans réponse. Le manque d’informations sur le propriétaire et la source fait des initiés une perte de temps inutile.
Si l’on compare cette approche avec la pratique traditionnelle d’externalisation ou d’embauche d’un nouvel administrateur, il est évident que les technologies cloud sont plus sûres. Un nouvel informaticien en sait beaucoup sur son organisation et peut, bon gré mal gré, causer des dommages importants en termes de sécurité. La question du licenciement ou de la résiliation du contrat doit encore être résolue. Parfois, en plus du blocage ou de la suppression d'un compte, cela implique un changement global des mots de passe d'accès aux services, ainsi qu'un audit de toutes les ressources pour les points d'entrée « oubliés » et les éventuels « favoris ».
Dans quelle mesure Nebula est-il plus cher ou moins cher qu'un administrateur entrant ?
Tout est relatif. Les fonctionnalités de base de Nebula sont disponibles gratuitement. En fait, qu’est-ce qui pourrait être encore moins cher ?
Bien entendu, il est impossible de se passer totalement d'un administrateur réseau ou d'une personne qui le remplace. La question est le nombre de personnes, leur spécialisation et leur répartition sur les sites.
Quant au service étendu payant, poser une question directe : plus cher ou moins cher - une telle approche sera toujours inexacte et unilatérale. Il serait plus correct de comparer de nombreux facteurs, allant de l'argent pour payer le travail de spécialistes spécifiques jusqu'aux coûts nécessaires pour assurer leur interaction avec un entrepreneur ou un particulier : contrôle de la qualité, établissement de la documentation, maintien du niveau de sécurité, et bientôt.
Si nous parlons de savoir s'il est rentable ou non d'acheter un ensemble de services payant (Pro-Pack), alors une réponse approximative pourrait ressembler à ceci : si l'organisation est petite, vous pouvez vous débrouiller avec les bases version, si l'organisation se développe, alors il est logique de penser à Pro-Pack. Les différences entre les versions de Zyxel Nebula sont visibles dans le tableau 1.
Tableau 1. Différences entre les ensembles de fonctionnalités de base et Pro-Pack pour Nebula.
Cela inclut des rapports avancés, l’audit des utilisateurs, le clonage de configuration et bien plus encore.
Qu’en est-il de la protection du trafic ?
Nebula utilise le protocole pour assurer un fonctionnement sûr des équipements de réseau.
NETCONF peut fonctionner sur plusieurs protocoles de transport :
- ();
- ();
- ();
- ().
Si l'on compare NETCONF avec d'autres méthodes, par exemple la gestion via SNMP, il faut noter que CONF NET prend en charge la connexion TCP sortante pour surmonter la barrière NAT et est considéré comme plus fiable.
Qu’en est-il du support matériel ?
Bien sûr, il ne faut pas transformer la salle des serveurs en zoo avec des représentants d’équipements rares et menacés. Il est hautement souhaitable que les équipements unis par la technologie de gestion couvrent toutes les directions : du commutateur central aux points d'accès. Les ingénieurs de Zyxel ont pris en compte cette possibilité. Nebula exécute de nombreux appareils :
- Commutateurs centraux 10G ;
- commutateurs de niveau d'accès;
- commutateurs PoE ;
- Points d'accès;
- passerelles réseau.
À l'aide d'une large gamme d'appareils pris en charge, vous pouvez créer des réseaux pour différents types de tâches. Cela est particulièrement vrai pour les entreprises dont la croissance n’est pas ascendante, mais extravertie, explorant constamment de nouveaux domaines d’activité.
Développement continu
Les appareils réseau dotés d'une méthode de gestion traditionnelle n'ont qu'un seul moyen d'amélioration : changer l'appareil lui-même, qu'il s'agisse d'un nouveau micrologiciel ou de modules supplémentaires. Dans le cas de Zyxel Nebula, il existe une voie d'amélioration supplémentaire : l'amélioration de l'infrastructure cloud. Par exemple, après la mise à jour de Nebula Control Center (NCC) vers la version 10.1. (21 septembre 2020) de nouvelles fonctionnalités sont proposées aux utilisateurs, en voici quelques-unes :
- Le propriétaire d'une organisation peut désormais transférer tous les droits de propriété à un autre administrateur de la même organisation ;
- un nouveau rôle appelé Représentant du propriétaire, qui dispose des mêmes droits que le propriétaire de l'organisation ;
- nouvelle fonctionnalité de mise à jour du micrologiciel à l'échelle de l'organisation (fonctionnalité Pro-Pack) ;
- deux nouvelles options ont été ajoutées à la topologie : redémarrer l'appareil et allumer et éteindre le port PoE (fonction Pro-Pack) ;
- prise en charge de nouveaux modèles de points d'accès : WAC500, WAC500H, WAC5302D-Sv2 et NWA1123ACv3 ;
- prise en charge de l'authentification des bons avec impression de code QR (fonction Pro-Pack).
Liens utiles
Source: habr.com