U članku će se raspravljati o problemima organiziranja mrežne infrastrukture na tradicionalan način i metodama rješavanja istih problema korištenjem cloud tehnologija.
Za referencu. Nebula je SaaS cloud okruženje za daljinsko održavanje mrežne infrastrukture. Svim uređajima koji podržavaju Nebula upravlja se iz oblaka putem sigurne veze. Možete upravljati velikom distribuiranom mrežnom infrastrukturom iz jednog centra bez trošenja napora oko njezinog stvaranja.
Zašto vam treba još jedna usluga u oblaku?
Glavni problem pri radu s mrežnom infrastrukturom nije projektiranje mreže i kupnja opreme, pa čak ni njezina instalacija u stalak, već sve ostalo što će se s tom mrežom morati napraviti u budućnosti.
Nova mreža - stare brige
Prilikom puštanja u rad novog mrežnog čvora nakon instaliranja i povezivanja opreme počinje početna konfiguracija. Sa stajališta “velikih šefova” – ništa komplicirano: “Uzmemo radnu dokumentaciju za projekt i počnemo postavljati...” To je tako dobro rečeno kada su svi mrežni elementi smješteni u jednom podatkovnom centru. Ako su raštrkani po poslovnicama, počinje glavobolja oko pružanja daljinskog pristupa. To je tako začarani krug: da biste dobili daljinski pristup preko mreže, trebate konfigurirati mrežnu opremu, a za to vam je potreban pristup preko mreže...
Moramo smisliti razne sheme za izlazak iz gore opisanog ćorsokaka. Na primjer, prijenosno računalo s pristupom internetu putem USB 4G modema spojeno je preko patch kabela na prilagođenu mrežu. Na ovom prijenosnom računalu instaliran je VPN klijent preko kojeg mrežni administrator iz centrale pokušava pristupiti mreži poslovnica. Shema nije najtransparentnija - čak i ako donesete prijenosno računalo s unaprijed konfiguriranim VPN-om na udaljeno mjesto i zatražite da ga uključite, daleko je od činjenice da će sve raditi prvi put. Pogotovo ako govorimo o drugoj regiji s drugim pružateljem usluga.
Ispada da je najpouzdaniji način imati dobrog stručnjaka "s druge strane linije" koji može konfigurirati svoj dio prema projektu. Ako toga nema u osoblju podružnice, ostaju opcije: ili outsourcing ili poslovna putovanja.
Trebamo i sustav nadzora. Potrebno ga je instalirati, konfigurirati, održavati (barem pratiti prostor na disku i redovito raditi sigurnosne kopije). I koja ne zna ništa o našim uređajima dok joj mi ne kažemo. Da biste to učinili, morate registrirati postavke za sve dijelove opreme i redovito pratiti relevantnost zapisa.
Super je kada osoblje ima svoj “one-man orkestar”, koji uz specifično znanje mrežnog administratora zna raditi sa Zabbixom ili drugim sličnim sustavom. U suprotnom, angažiramo još jednu osobu ili je angažiramo vanjskim suradnicima.
Napomena. Najtužnije pogreške počinju riječima: “Što se ima za konfigurirati ovaj Zabbix (Nagios, OpenView, itd.)? Brzo ću ga uzeti i spremno je!”
Od implementacije do rada
Pogledajmo konkretan primjer.
Primljena je poruka alarma koja pokazuje da WiFi pristupna točka negdje ne reagira.
Gdje je ona?
Naravno, dobar mrežni administrator ima svoj osobni imenik u kojem je sve zapisano. Pitanja počinju kada ove informacije treba podijeliti. Na primjer, hitno morate poslati glasnika da riješi stvari na licu mjesta, a za to morate izdati nešto poput: „Pristupna točka u poslovnom centru u ulici Stroiteley, zgrada 1, na 3. katu, soba br. 301 pored ulaznih vrata ispod stropa."
Recimo da imamo sreće pa se pristupna točka napaja preko PoE-a, a preklopnik omogućuje daljinsko restartovanje. Ne morate putovati, ali trebate udaljeni pristup prekidaču. Sve što preostaje je konfigurirati prosljeđivanje porta putem PAT-a na usmjerivaču, odrediti VLAN za spajanje izvana, i tako dalje. Dobro je ako je sve unaprijed postavljeno. Posao možda nije težak, ali ga treba obaviti.
Dakle, trgovina s hranom ponovno je pokrenuta. Nije pomoglo?
Recimo da nešto nije u redu s hardverom. Sada tražimo informacije o jamstvu, pokretanju i drugim detaljima od interesa.
Govoreći o WiFi-u. Korištenje kućne verzije WPA2-PSK, koja ima jedan ključ za sve uređaje, ne preporučuje se u poslovnom okruženju. Prvo, jedan ključ za sve jednostavno nije siguran, a drugo, kada jedan zaposlenik ode, morate promijeniti taj zajednički ključ i ponovno napraviti postavke na svim uređajima za sve korisnike. Da bi se izbjegli takvi problemi, tu je WPA2-Enterprise s individualnom autentifikacijom za svakog korisnika. Ali za ovo vam je potreban RADIUS poslužitelj - još jedna infrastrukturna jedinica koju treba kontrolirati, napraviti sigurnosne kopije i tako dalje.
Imajte na umu da smo u svakoj fazi, bilo da se radi o implementaciji ili radu, koristili sustave podrške. To uključuje prijenosno računalo s internetskom vezom "treće strane", sustavom za nadzor, referentnom bazom podataka opreme i RADIUS-om kao sustavom provjere autentičnosti. Osim mrežnih uređaja, također morate održavati usluge trećih strana.
U takvim slučajevima možete čuti savjet: "Predaj to oblaku i ne pati." Zasigurno postoji oblak Zabbix, možda negdje postoji RADIUS u oblaku, pa čak i baza podataka u oblaku za održavanje popisa uređaja. Problem je u tome što ovo nije potrebno zasebno, već "u jednoj bočici". I dalje se postavljaju pitanja o organizaciji pristupa, početnom postavljanju uređaja, sigurnosti i još mnogo toga.
Kako to izgleda kada se koristi Nebula?
Naravno, u početku "oblak" ne zna ništa o našim planovima ili kupljenoj opremi.
Prvo se izrađuje profil organizacije. Odnosno, cjelokupna infrastruktura: sjedište i poslovnice prvo se registrira u oblaku. Određeni su detalji i kreiraju se računi za delegiranje ovlasti.
Svoje uređaje u oblaku možete registrirati na dva načina: na starinski način - jednostavnim unosom serijskog broja prilikom ispunjavanja web obrasca ili skeniranjem QR koda mobitelom. Sve što trebate za drugu metodu je pametni telefon s kamerom i pristup internetu, uključujući i putem mobilnog operatera.
Naravno, potrebnu infrastrukturu za pohranu informacija, kako računovodstvenih tako i postavki, osigurava Zyxel Nebula.
Slika 1. Sigurnosno izvješće Nebula Control Centera.
Što je s postavljanjem pristupa? Otvaranje portova, prosljeđivanje prometa kroz dolazni gateway, sve to sigurnosni administratori od milja zovu "kopanje rupa"? Srećom, ne morate sve ovo raditi. Uređaji koji pokreću Nebula uspostavljaju odlaznu vezu. A administrator se ne povezuje s zasebnim uređajem, već s oblakom za konfiguraciju. Nebula posreduje između dvije veze: s uređajem i s računalom mrežnog administratora. To znači da se faza pozivanja dolaznog administratora može minimizirati ili u potpunosti preskočiti. I bez dodatnih "rupa" u vatrozidu.
Što je s RADUIS poslužiteljem? Uostalom, potrebna je neka vrsta centralizirane provjere autentičnosti!
I te funkcije također preuzima Nebula. Autentifikacija računa za pristup opremi odvija se putem sigurne baze podataka. Ovo uvelike pojednostavljuje delegiranje ili povlačenje prava za upravljanje sustavom. Moramo prenijeti prava - stvoriti korisnika, dodijeliti ulogu. Trebamo oduzeti prava - izvodimo obrnute korake.
Zasebno je vrijedno spomenuti WPA2-Enterprise, koji zahtijeva zasebnu uslugu provjere autentičnosti. Zyxel Nebula ima svoj analog - DPPSK, koji vam omogućuje korištenje WPA2-PSK s pojedinačnim ključem za svakog korisnika.
"Nezgodna" pitanja
U nastavku ćemo pokušati dati odgovore na najškakljivija pitanja koja se često postavljaju prilikom ulaska u cloud uslugu
Je li stvarno sigurno?
U svakom delegiranju kontrole i upravljanja kako bi se osigurala sigurnost, dva čimbenika igraju važnu ulogu: anonimizacija i enkripcija.
Korištenje enkripcije za zaštitu prometa od znatiželjnih očiju je nešto što je čitateljima više-manje poznato.
Anonimizacija skriva podatke o vlasniku i izvoru od osoblja pružatelja usluga oblaka. Osobni podaci se uklanjaju, a zapisima se dodjeljuje "bezlični" identifikator. Niti razvijač softvera u oblaku niti administrator koji održava sustav u oblaku ne mogu znati vlasnika zahtjeva. „Odakle je ovo došlo? Koga bi ovo moglo zanimati?” - takva će pitanja ostati bez odgovora. Nedostatak informacija o vlasniku i izvoru čini insajder besmislenim gubitkom vremena.
Usporedimo li ovaj pristup s tradicionalnom praksom outsourcinga ili angažiranja incoming administratora, očito je da su cloud tehnologije sigurnije. Dolazni IT stručnjak zna dosta o svojoj organizaciji i može, htio ili ne htio, prouzročiti značajnu štetu u smislu sigurnosti. Treba još riješiti pitanje otkaza ili raskida ugovora. Ponekad, osim blokade ili brisanja računa, to podrazumijeva globalnu promjenu lozinki za pristup servisima, kao i reviziju svih resursa za “zaboravljene” ulazne točke i moguće “bookmarke”.
Koliko je Nebula skuplji ili jeftiniji od dolaznog admina?
Sve je relativno. Osnovne značajke Nebule dostupne su besplatno. Zapravo, što bi moglo biti još jeftinije?
Naravno, nemoguće je u potpunosti bez administratora mreže ili osobe koja ga zamjenjuje. Pitanje je broja ljudi, njihove specijalizacije i rasporeda po mjestima.
Što se tiče plaćene produžene usluge, postavljanje izravnog pitanja: skuplje ili jeftinije - takav će pristup uvijek biti netočan i jednostran. Bilo bi ispravnije usporediti mnoge čimbenike, u rasponu od novca za plaćanje rada određenih stručnjaka i završavajući troškovima osiguravanja njihove interakcije s izvođačem ili pojedincem: kontrola kvalitete, izrada dokumentacije, održavanje razine sigurnosti i tako dalje.
Ako govorimo o temi je li isplativo ili nije isplativo kupiti plaćeni paket usluga (Pro-Pack), onda bi približan odgovor mogao zvučati ovako: ako je organizacija mala, možete se snaći s osnovnim verziji, ako organizacija raste, onda ima smisla razmišljati o Pro-Packu. Razlike između verzija Zyxel maglice mogu se vidjeti u tablici 1.
Tablica 1. Razlike između osnovnih i Pro-Pack skupova značajki za Nebula.
To uključuje napredno izvješćivanje, reviziju korisnika, kloniranje konfiguracije i još mnogo toga.
Što je sa zaštitom prometa?
Nebula koristi protokol kako bi se osigurao siguran rad mrežne opreme.
NETCONF može raditi povrh nekoliko transportnih protokola:
- ();
- ();
- ();
- ().
Uspoređujemo li NETCONF s drugim metodama, primjerice upravljanjem putem SNMP-a, treba napomenuti da NETCONF podržava odlaznu TCP vezu za prevladavanje NAT barijere i smatra se pouzdanijom.
Što je s hardverskom podrškom?
Naravno, sobu s poslužiteljem ne biste trebali pretvoriti u zoološki vrt s predstavnicima rijetkih i ugroženih vrsta opreme. Vrlo je poželjno da oprema objedinjena tehnologijom upravljanja pokriva sve smjerove: od središnjeg preklopnika do pristupnih točaka. Inženjeri tvrtke Zyxel pobrinuli su se za ovu mogućnost. Nebula pokreće mnoge uređaje:
- 10G centralni prekidači;
- prekidači razine pristupa;
- sklopke s PoE;
- pristupne točke;
- mrežni pristupnici.
Koristeći širok raspon podržanih uređaja, možete izgraditi mreže za različite vrste zadataka. To posebno vrijedi za tvrtke koje rastu ne prema gore, već prema van, neprestano istražujući nova područja poslovanja.
Kontinuirani razvoj
Mrežni uređaji s tradicionalnom metodom upravljanja imaju samo jedan način poboljšanja - promjenu samog uređaja, bilo da se radi o novom firmware-u ili dodatnim modulima. U slučaju Zyxel Nebule, postoji dodatni put za poboljšanje – kroz poboljšanje infrastrukture oblaka. Na primjer, nakon ažuriranja Nebula Control Center (NCC) na verziju 10.1. (21. rujna 2020.) korisnicima su dostupne nove značajke, evo nekih od njih:
- Vlasnik organizacije sada može prenijeti sva vlasnička prava na drugog administratora u istoj organizaciji;
- nova uloga pod nazivom Predstavnik vlasnika, koja ima ista prava kao i vlasnik organizacije;
- nova značajka ažuriranja firmvera za cijelu organizaciju (značajka Pro-Pack);
- topologiji su dodane dvije nove opcije: ponovno pokretanje uređaja i uključivanje i isključivanje PoE priključka (funkcija Pro-Pack);
- podrška za nove modele pristupnih točaka: WAC500, WAC500H, WAC5302D-Sv2 i NWA1123ACv3;
- podrška za autentifikaciju vaučera s ispisom QR koda (Pro-Pack funkcija).
korisni linkovi
Izvor: www.habr.com