L'articolo discuterà i problemi legati all'organizzazione dell'infrastruttura di rete in modo tradizionale e i metodi per risolvere gli stessi problemi utilizzando le tecnologie cloud.
Per riferimento. Nebula è un ambiente cloud SaaS per la manutenzione remota dell'infrastruttura di rete. Tutti i dispositivi abilitati per Nebula sono gestiti dal cloud tramite una connessione sicura. Puoi gestire una grande infrastruttura di rete distribuita da un unico centro senza impegnarti a crearla.
Perché hai bisogno di un altro servizio cloud?
Il problema principale quando si lavora con l'infrastruttura di rete non è progettare la rete e acquistare le apparecchiature o addirittura installarle in un rack, ma tutto ciò che dovrà essere fatto in futuro con questa rete.
Nuova rete, vecchie preoccupazioni
Quando si mette in funzione un nuovo nodo di rete dopo aver installato e collegato l'apparecchiatura, inizia la configurazione iniziale. Dal punto di vista dei "grandi capi" - niente di complicato: "Prendiamo la documentazione di lavoro per il progetto e iniziamo a configurarlo..." Questo è così ben detto quando tutti gli elementi della rete si trovano in un data center. Se sono sparsi tra le filiali, inizia il problema di fornire l'accesso remoto. È un circolo vizioso: per ottenere l'accesso remoto alla rete, è necessario configurare le apparecchiature di rete, e per questo è necessario l'accesso alla rete...
Dobbiamo elaborare vari schemi per uscire dall’impasse sopra descritta. Ad esempio, un laptop con accesso a Internet tramite un modem USB 4G è collegato tramite un cavo di connessione a una rete personalizzata. Su questo laptop è installato un client VPN e tramite esso l'amministratore di rete della sede tenta di accedere alla rete delle filiali. Lo schema non è dei più trasparenti: anche se porti un laptop con una VPN preconfigurata in un sito remoto e chiedi di accenderlo, è lungi dall'essere un dato di fatto che tutto funzionerà la prima volta. Soprattutto se parliamo di una regione diversa con un fornitore diverso.
Si scopre che il modo più affidabile è avere un buon specialista “dall'altra parte della linea” che possa configurare la sua parte in base al progetto. Se non c'è nulla di simile nel personale della filiale, le opzioni rimangono: o l'outsourcing o il viaggio d'affari.
Abbiamo bisogno anche di un sistema di monitoraggio. Deve essere installato, configurato, mantenuto (almeno monitorare lo spazio su disco ed eseguire backup regolari). E che non sa nulla dei nostri dispositivi finché non lo raccontiamo. Per fare ciò, è necessario registrare le impostazioni per tutte le apparecchiature e monitorare regolarmente la pertinenza delle registrazioni.
È fantastico quando lo staff ha una propria “one-man orchestra”, che, oltre alla conoscenza specifica di un amministratore di rete, sa come lavorare con Zabbix o un altro sistema simile. Altrimenti, assumiamo un'altra persona nello staff o lo esternalizziamo.
Nota. Gli errori più tristi iniziano con le parole: “Cosa c'è per configurare questo Zabbix (Nagios, OpenView, ecc.)? Lo prendo subito ed è pronto!”
Dalla realizzazione al funzionamento
Diamo un'occhiata a un esempio specifico.
È stato ricevuto un messaggio di allarme che indica che un punto di accesso WiFi da qualche parte non risponde.
Dove si trova?
Naturalmente un buon amministratore di rete ha la sua directory personale in cui tutto è annotato. Le domande iniziano quando è necessario condividere queste informazioni. Ad esempio, devi inviare urgentemente un messaggero per sistemare le cose sul posto, e per questo devi emettere qualcosa del tipo: "Punto di accesso nel business center in Stroiteley Street, edificio 1, al 3 ° piano, stanza n. 301 accanto alla porta d'ingresso sotto il soffitto."
Diciamo che siamo fortunati e che il punto di accesso è alimentato tramite PoE e lo switch ne consente il riavvio da remoto. Non è necessario viaggiare, ma è necessario l'accesso remoto allo switch. Non resta che configurare il port forwarding tramite PAT sul router, individuare la VLAN per la connessione dall'esterno e così via. Va bene se tutto è impostato in anticipo. Il lavoro potrebbe non essere difficile, ma deve essere fatto.
Quindi, il punto vendita del cibo è stato riavviato. Non ha aiutato?
Diciamo che c'è qualcosa che non va nell'hardware. Ora stiamo cercando informazioni sulla garanzia, sull'avviamento e altri dettagli di interesse.
Parlando di Wi-Fi. L'utilizzo della versione home di WPA2-PSK, che dispone di una chiave per tutti i dispositivi, non è consigliabile in un ambiente aziendale. In primo luogo, una chiave per tutti è semplicemente pericolosa e, in secondo luogo, quando un dipendente se ne va, è necessario modificare questa chiave comune e ripetere le impostazioni su tutti i dispositivi per tutti gli utenti. Per evitare tali problemi, esiste WPA2-Enterprise con autenticazione individuale per ciascun utente. Ma per questo è necessario un server RADIUS, un'altra unità infrastrutturale che deve essere controllata, eseguiti backup e così via.
Tieni presente che in ogni fase, sia essa di implementazione o operativa, abbiamo utilizzato sistemi di supporto. Ciò include un laptop con una connessione Internet di "terze parti", un sistema di monitoraggio, un database di riferimento delle apparecchiature e RADIUS come sistema di autenticazione. Oltre ai dispositivi di rete, devi mantenere anche i servizi di terze parti.
In questi casi, puoi sentire il consiglio: "Dai al cloud e non soffrire". Sicuramente c'è un cloud Zabbix, forse c'è un cloud RADIUS da qualche parte e persino un database cloud per mantenere un elenco di dispositivi. Il problema è che questo non è necessario separatamente, ma “in una bottiglia”. Eppure sorgono domande sull’organizzazione dell’accesso, sulla configurazione iniziale del dispositivo, sulla sicurezza e molto altro.
Che aspetto ha quando si usa Nebula?
Naturalmente inizialmente il “cloud” non sa nulla dei nostri piani e delle apparecchiature acquistate.
Innanzitutto viene creato un profilo dell'organizzazione. Cioè, l'intera infrastruttura: sedi e filiali viene prima registrata nel cloud. Vengono specificati i dettagli e vengono creati gli account per la delega dell'autorità.
Puoi registrare i tuoi dispositivi nel cloud in due modi: alla vecchia maniera, semplicemente inserendo il numero di serie durante la compilazione di un modulo web o scansionando un codice QR utilizzando un telefono cellulare. Per il secondo metodo è sufficiente uno smartphone con fotocamera e accesso a Internet, anche tramite operatore di telefonia mobile.
Naturalmente, l'infrastruttura necessaria per l'archiviazione delle informazioni, sia contabili che di impostazione, è fornita da Zyxel Nebula.
Figura 1. Rapporto sulla sicurezza del Nebula Control Center.
Che ne dici di impostare l'accesso? Aprire porte, inoltrare il traffico attraverso un gateway in entrata, tutto ciò che gli amministratori della sicurezza chiamano affettuosamente "picking buchi"? Fortunatamente, non è necessario fare tutto questo. I dispositivi che eseguono Nebula stabiliscono una connessione in uscita. E l'amministratore non si connette a un dispositivo separato, ma al cloud per la configurazione. Nebula media tra due connessioni: al dispositivo e al computer dell'amministratore di rete. Ciò significa che la fase di chiamata di un amministratore in entrata può essere ridotta al minimo o saltata del tutto. E nessun “buco” aggiuntivo nel firewall.
E il server RADUIS? Dopotutto, è necessaria una sorta di autenticazione centralizzata!
E queste funzioni vengono svolte anche da Nebula. L'autenticazione degli account per l'accesso alle apparecchiature avviene tramite un database sicuro. Ciò semplifica notevolmente la delega o la revoca dei diritti di gestione del sistema. Dobbiamo trasferire i diritti: creare un utente, assegnare un ruolo. Dobbiamo togliere i diritti: eseguiamo i passaggi inversi.
Separatamente vale la pena menzionare WPA2-Enterprise, che richiede un servizio di autenticazione separato. Zyxel Nebula ha il suo analogo: DPPSK, che consente di utilizzare WPA2-PSK con una chiave individuale per ciascun utente.
Domande "scomode".
Di seguito cercheremo di dare risposte alle domande più spinose che spesso ci vengono poste quando si accede ad un servizio cloud
È davvero sicuro?
In ogni delega di controllo e gestione volta a garantire la sicurezza, due fattori giocano un ruolo importante: l’anonimizzazione e la crittografia.
Usare la crittografia per proteggere il traffico da occhi indiscreti è qualcosa con cui i lettori hanno più o meno familiarità.
L'anonimizzazione nasconde le informazioni sul proprietario e sulla fonte al personale del fornitore di servizi cloud. Le informazioni personali vengono rimosse e ai record viene assegnato un identificatore “senza volto”. Né lo sviluppatore del software cloud né l'amministratore che mantiene il sistema cloud possono conoscere il proprietario delle richieste. "Da dove viene questo? Chi potrebbe essere interessato a questo?" - tali domande rimarranno senza risposta. La mancanza di informazioni sul proprietario e sulla fonte rende l'insider un'inutile perdita di tempo.
Se confrontiamo questo approccio con la pratica tradizionale dell’outsourcing o dell’assunzione di un nuovo amministratore, è ovvio che le tecnologie cloud sono più sicure. Uno specialista IT in arrivo sa molto della sua organizzazione e, volenti o nolenti, può causare danni significativi in termini di sicurezza. La questione del licenziamento o della risoluzione del contratto deve ancora essere risolta. A volte, oltre al blocco o all'eliminazione dell'account, ciò comporta una modifica globale delle password per l'accesso ai servizi, nonché un controllo di tutte le risorse per individuare punti di ingresso "dimenticati" e possibili "segnalibri".
Quanto è più costoso o più economico Nebula di un amministratore in arrivo?
Tutto è relativo. Le funzionalità di base di Nebula sono disponibili gratuitamente. In realtà, cosa potrebbe essere ancora più economico?
Naturalmente, è impossibile fare completamente a meno di un amministratore di rete o di una persona che lo sostituisca. La domanda è il numero di persone, la loro specializzazione e distribuzione tra i siti.
Per quanto riguarda il servizio esteso a pagamento, porre una domanda diretta: più costoso o più economico: un simile approccio sarà sempre impreciso e unilaterale. Sarebbe più corretto confrontare molti fattori, che vanno dal denaro al pagamento del lavoro di specifici specialisti e terminano con i costi per garantire la loro interazione con un appaltatore o un individuo: controllo di qualità, stesura della documentazione, mantenimento del livello di sicurezza e Presto.
Se stiamo parlando dell'argomento se sia redditizio o meno acquistare un pacchetto di servizi a pagamento (Pro-Pack), la risposta approssimativa potrebbe suonare così: se l'organizzazione è piccola, puoi cavartela con il pacchetto di base versione, se l'organizzazione è in crescita, allora ha senso pensare a Pro-Pack. Le differenze tra le versioni di Zyxel Nebula possono essere visualizzate nella Tabella 1.
Tabella 1. Differenze tra i set di funzionalità di base e Pro-Pack per Nebula.
Ciò include reporting avanzato, controllo degli utenti, clonazione della configurazione e molto altro.
E la protezione del traffico?
Nebula utilizza il protocollo per garantire il funzionamento sicuro delle apparecchiature di rete.
NETCONF può essere eseguito su diversi protocolli di trasporto:
- ();
- ();
- ();
- ().
Se confrontiamo NETCONF con altri metodi, ad esempio la gestione tramite SNMP, va notato che CONF.NET supporta la connessione TCP in uscita per superare la barriera NAT ed è considerato più affidabile.
E il supporto hardware?
Naturalmente, non dovresti trasformare la sala server in uno zoo con rappresentanti di tipi di apparecchiature rare e in via di estinzione. È altamente auspicabile che le apparecchiature unite dalla tecnologia di gestione coprano tutte le direzioni: dallo switch centrale ai punti di accesso. Gli ingegneri di Zyxel si sono presi cura di questa possibilità. Nebula gestisce molti dispositivi:
- Interruttori centrali 10G;
- interruttori del livello di accesso;
- commuta con PoE;
- punti di accesso;
- gateway di rete.
Utilizzando un'ampia gamma di dispositivi supportati, puoi creare reti per vari tipi di attività. Ciò è particolarmente vero per le aziende che non crescono verso l'alto, ma verso l'esterno, esplorando costantemente nuove aree per fare affari.
Sviluppo continuo
I dispositivi di rete con un metodo di gestione tradizionale hanno solo un modo per migliorare: cambiare il dispositivo stesso, sia che si tratti di un nuovo firmware o di moduli aggiuntivi. Nel caso di Zyxel Nebula esiste un ulteriore percorso di miglioramento, attraverso il miglioramento dell'infrastruttura cloud. Ad esempio, dopo aver aggiornato Nebula Control Center (NCC) alla versione 10.1. (21 settembre 2020) sono disponibili nuove funzionalità per gli utenti, eccone alcune:
- Il proprietario di un'organizzazione può ora trasferire tutti i diritti di proprietà a un altro amministratore della stessa organizzazione;
- un nuovo ruolo chiamato Rappresentante del Proprietario, che ha gli stessi diritti del proprietario dell'organizzazione;
- nuova funzionalità di aggiornamento firmware a livello di organizzazione (funzione Pro-Pack);
- sono state aggiunte due nuove opzioni alla topologia: riavvio del dispositivo e accensione e spegnimento della porta PoE (funzione Pro-Pack);
- supporto per nuovi modelli di access point: WAC500, WAC500H, WAC5302D-Sv2 e NWA1123ACv3;
- supporto per l'autenticazione del voucher con stampa del codice QR (funzione Pro-Pack).
Link utili
Fonte: habr.com