בניית תשתית רשת המבוססת על ערפילית. חלק 1 - בעיות ופתרונות

המאמר ידון בבעיות ארגון תשתית הרשת בדרך המסורתית ובשיטות לפתרון אותן בעיות באמצעות טכנולוגיות ענן.

לעיון. Nebula היא סביבת ענן SaaS לתחזוקה מרחוק של תשתית רשת. כל המכשירים התומכים ב-Nebula מנוהלים מהענן באמצעות חיבור מאובטח. אתה יכול לנהל תשתית רשת מבוזרת גדולה ממרכז אחד מבלי להשקיע את המאמץ ביצירתה.

למה אתה צריך עוד שירות ענן?

הבעיה העיקרית בעבודה עם תשתית רשת היא לא תכנון הרשת ורכישת ציוד, או אפילו התקנתו במדף, אלא כל שאר הדברים שייאלצו לעשות עם הרשת הזו בעתיד.

רשת חדשה - דאגות ישנות

בעת הפעלת צומת רשת חדש לאחר התקנה וחיבור הציוד, מתחילה התצורה הראשונית. מנקודת המבט של "הבוסים הגדולים" - שום דבר מסובך: "אנחנו לוקחים את תיעוד העבודה עבור הפרויקט ומתחילים להגדיר..." זה כל כך נאמר כשכל רכיבי הרשת ממוקמים במרכז נתונים אחד. אם הם מפוזרים על פני ענפים, מתחיל כאב הראש של מתן גישה מרחוק. זה מעגל קסמים כזה: כדי לקבל גישה מרחוק דרך הרשת, אתה צריך להגדיר ציוד רשת, ולשם כך אתה צריך גישה דרך הרשת...

עלינו להמציא תוכניות שונות כדי לצאת מהמבוי הסתום שתואר לעיל. לדוגמה, מחשב נייד עם גישה לאינטרנט דרך מודם USB 4G מחובר באמצעות כבל תיקון לרשת מותאמת אישית. במחשב הנייד הזה מותקן לקוח VPN, ודרכו מנהל הרשת מהמטה מנסה לקבל גישה לרשת הסניפים. הסכימה היא לא הכי שקופה - גם אם תביאו מחשב נייד עם VPN מוגדר מראש לאתר מרוחק ותבקשו להפעיל אותו, זה רחוק מלהיות עובדה שהכל יעבוד בפעם הראשונה. במיוחד אם אנחנו מדברים על אזור אחר עם ספק אחר.

מסתבר שהדרך האמינה ביותר היא להיות מומחה טוב "בקצה השני של הקו" שיוכל להגדיר את החלק שלו בהתאם לפרויקט. אם אין דבר כזה בצוות הסניף נותרו האפשרויות: או מיקור חוץ או נסיעות עסקים.

אנחנו צריכים גם מערכת ניטור. יש להתקין, להגדיר, לתחזק אותו (לפחות לפקח על שטח הדיסק ולבצע גיבויים קבועים). ואשר לא יודע דבר על המכשירים שלנו עד שנספר זאת. כדי לעשות זאת, עליך לרשום הגדרות עבור כל חלקי הציוד ולפקח באופן קבוע על הרלוונטיות של הרשומות.

זה נהדר כשלצוות יש "תזמורת של איש אחד" משלו, שבנוסף לידע הספציפי של מנהל רשת, יודע לעבוד עם Zabbix או מערכת דומה אחרת. אחרת, אנו שוכרים אדם נוסף בצוות או במיקור חוץ.

הערה. הטעויות העצובות ביותר מתחילות במילים: "מה יש להגדיר את ה-Zabix הזה (Nagios, OpenView וכו')? אני אאסוף אותו במהירות וזה מוכן!"

מיישום ועד הפעלה

הבה נשקול דוגמה ספציפית.

התקבלה הודעת אזעקה המציינת שנקודת גישה ל-WiFi איפשהו לא מגיבה.

איפה היא?

כמובן שלמנהל רשת טוב יש ספרייה אישית משלו בה הכל כתוב. השאלות מתחילות כשצריך לשתף מידע זה. לדוגמה, אתה צריך לשלוח שליח בדחיפות לסדר את העניינים במקום, ולשם כך אתה צריך להוציא משהו כמו: "נקודת גישה במרכז העסקים ברחוב סטרויטלי, בניין 1, בקומה 3, חדר מס'. 301 ליד דלת הכניסה מתחת לתקרה."

נניח שהתמזל מזלנו ונקודת הגישה מופעלת באמצעות PoE, והמתג מאפשר לאתחל אותה מרחוק. אתה לא צריך לנסוע, אבל אתה צריך גישה מרחוק למתג. כל מה שנותר הוא להגדיר העברת פורטים דרך PAT בנתב, להבין את ה-VLAN לחיבור מבחוץ, וכן הלאה. זה טוב אם הכל מוגדר מראש. העבודה אולי לא קשה, אבל היא צריכה להיעשות.

אז, שקע האוכל אותחל מחדש. לא עזר?

נניח שמשהו לא בסדר בחומרה. כעת אנו מחפשים מידע על האחריות, הסטארט-אפ ופרטים נוספים לעניין.

אם כבר מדברים על WiFi. השימוש בגרסה הביתית של WPA2-PSK, בעלת מפתח אחד לכל המכשירים, אינו מומלץ בסביבה ארגונית. ראשית, מפתח אחד לכולם הוא פשוט לא בטוח, ושנית, כשעובד אחד עוזב, אתה צריך לשנות את המפתח המשותף הזה ולבצע מחדש את ההגדרות בכל המכשירים עבור כל המשתמשים. כדי למנוע בעיות כאלה, יש WPA2-Enterprise עם אימות אישי לכל משתמש. אבל בשביל זה צריך שרת RADIUS - עוד יחידת תשתית שצריך לשלוט בה, לבצע גיבויים וכו'.

שימו לב שבכל שלב, בין אם זה יישום או תפעול, השתמשנו במערכות תמיכה. זה כולל מחשב נייד עם חיבור אינטרנט "צד שלישי", מערכת ניטור, מסד נתונים של התייחסות לציוד ו-RADIUS כמערכת אימות. בנוסף להתקני רשת, עליך לתחזק גם שירותי צד שלישי.

במקרים כאלה, אתה יכול לשמוע את העצה: "תן את זה לענן ואל תסבול." אין ספק שיש ענן Zabbix, אולי יש ענן RADIUS איפשהו, ואפילו מסד נתונים בענן כדי לשמור על רשימת מכשירים. הצרה היא שזה לא נחוץ בנפרד, אלא "בבקבוק אחד". ועדיין, עולות שאלות לגבי ארגון גישה, הגדרה ראשונית של המכשיר, אבטחה ועוד ועוד.

איך זה נראה כשמשתמשים בערפילית?

כמובן שבהתחלה ה"ענן" לא יודע דבר על התוכניות שלנו או על הציוד שנרכש.

ראשית, נוצר פרופיל ארגון. כלומר, כל התשתית: מטה וסניפים נרשמת לראשונה בענן. פרטים מפורטים וחשבונות נוצרים להאצלת סמכויות.

אתה יכול לרשום את המכשירים שלך בענן בשתי דרכים: בדרך הישנה - פשוט על ידי הזנת המספר הסידורי בעת מילוי טופס אינטרנט או על ידי סריקת קוד QR באמצעות טלפון נייד. כל מה שצריך בשביל השיטה השנייה זה סמארטפון עם מצלמה וגישה לאינטרנט, כולל דרך ספק סלולר.

כמובן שהתשתית הדרושה לאחסון מידע, הן חשבונאית והן הגדרות, מסופקת על ידי Zyxel Nebula.

איור 1. דוח אבטחה של מרכז הבקרה של ערפילית.

מה לגבי הגדרת גישה? פתיחת יציאות, העברת תעבורה דרך שער נכנס, כל מה שמנהלי אבטחה מכנים בחיבה "לקטוף חורים"? למרבה המזל, אתה לא צריך לעשות את כל זה. מכשירים המריצים את Nebula יוצרים חיבור יוצא. והמנהל מתחבר לא למכשיר נפרד, אלא לענן לצורך תצורה. ערפילית מתווכת בין שני חיבורים: למכשיר ולמחשב של מנהל הרשת. המשמעות היא שניתן למזער את שלב ההתקשרות למנהל נכנס או לדלג עליו לחלוטין. ואין "חורים" נוספים בחומת האש.

מה לגבי שרת RADUIS? אחרי הכל, יש צורך באיזושהי אימות מרכזי!

ואת הפונקציות הללו משתלטת גם ערפילית. אימות חשבונות לגישה לציוד מתבצע באמצעות מסד נתונים מאובטח. זה מפשט מאוד את האצלה או ביטול הזכויות לניהול המערכת. אנחנו צריכים להעביר זכויות - ליצור משתמש, להקצות תפקיד. אנחנו צריכים לקחת את הזכויות - אנחנו מבצעים את הצעדים ההפוכים.

בנפרד, ראוי להזכיר את WPA2-Enterprise, הדורש שירות אימות נפרד. ל-Zyxel Nebula יש אנלוגי משלה - DPPSK, המאפשר לך להשתמש ב-WPA2-PSK עם מפתח אישי לכל משתמש.

שאלות "לא נוחות".

להלן ננסה לתת תשובות לשאלות הכי מסובכות שנשאלות לעתים קרובות בכניסה לשירות ענן

האם זה באמת בטוח?

בכל האצלת שליטה וניהול כדי להבטיח אבטחה, שני גורמים משחקים תפקיד חשוב: אנונימיזציה והצפנה.

שימוש בהצפנה כדי להגן על התעבורה מעיניים סקרניות הוא משהו שהקוראים מכירים פחות או יותר.

אנונימיזציה מסתירה מידע על הבעלים והמקור מאנשי ספקי הענן. מידע אישי מוסר ולרשומות מוקצה מזהה "חסר פנים". לא מפתח תוכנת הענן ולא מנהל מערכת הענן יכולים לדעת את הבעלים של הבקשות. "מאיפה זה בא? מי יכול להתעניין בזה?" - שאלות כאלה יישארו ללא מענה. חוסר המידע על הבעלים והמקור הופך את המקורבים לבזבוז זמן חסר טעם.

אם נשווה גישה זו לפרקטיקה המסורתית של מיקור חוץ או שכירת מנהל נכנס, ברור שטכנולוגיות ענן בטוחות יותר. מומחה IT נכנס יודע לא מעט על הארגון שלו, ויכול, בשוגג, לגרום נזק משמעותי מבחינת אבטחה. סוגיית הפיטורים או הפסקת החוזה עדיין צריכה להיפתר. לפעמים, בנוסף לחסימה או מחיקת חשבון, הדבר כרוך בשינוי גלובלי של סיסמאות לגישה לשירותים, כמו גם ביקורת של כל המשאבים לנקודות כניסה "נשכחות" ו"סימניות" אפשריות.

כמה יקר או זול יותר ערפילית ממנהל נכנס?

הכל יחסי. התכונות הבסיסיות של Nebula זמינות בחינם. בעצם, מה יכול להיות אפילו זול יותר?

כמובן שאי אפשר להסתדר לגמרי בלי מנהל רשת או אדם שיחליף אותו. השאלה היא מספר האנשים, התמחותם ופיזורם בין האתרים.

באשר לשירות המורחב בתשלום, שאילת שאלה ישירה: יקר יותר או זול יותר - גישה כזו תמיד תהיה לא מדויקת וחד צדדית. נכון יותר יהיה להשוות בין גורמים רבים, החל מכסף ועד תשלום עבור עבודתם של מומחים ספציפיים וכלה בעלויות של הבטחת האינטראקציה שלהם עם קבלן או אדם פרטי: בקרת איכות, עריכת תיעוד, שמירה על רמת האבטחה, וכן בקרוב.

אם אנחנו מדברים על הנושא של האם משתלם או לא משתלם לרכוש חבילת שירותים בתשלום (Pro-Pack), אז תשובה משוערת עשויה להישמע כך: אם הארגון קטן, אתה יכול להסתדר עם הבסיס גרסה, אם הארגון גדל, אז הגיוני לחשוב על Pro-Pack. ניתן לראות את ההבדלים בין גרסאות של ערפילית Zyxel בטבלה 1.

טבלה 1. הבדלים בין ערכות התכונות הבסיסיות ל-Pro-Pack עבור Nebula.

זה כולל דיווח מתקדם, ביקורת משתמשים, שיבוט תצורה ועוד הרבה יותר.

מה לגבי הגנת תנועה?

ערפילית משתמשת בפרוטוקול NETCONF כדי להבטיח פעולה בטוחה של ציוד הרשת.

NETCONF יכול לפעול על גבי מספר פרוטוקולי תחבורה:

• SSH (RFC 4742);
• סבון (RFC 4743);
• צפצוף (RFC 4744);
• TLS (RFC 5539).

אם נשווה את NETCONF לשיטות אחרות, למשל, ניהול באמצעות SNMP, יש לציין כי NETCONF תומך בחיבור TCP יוצא כדי להתגבר על מחסום NAT ונחשב אמין יותר.

מה לגבי תמיכת חומרה?

כמובן, לא כדאי להפוך את חדר השרתים לגן חיות עם נציגים של סוגי ציוד נדירים ובסכנת הכחדה. רצוי מאוד שציוד המאוחד בטכנולוגיית ניהול יכסה את כל הכיוונים: מהמתג המרכזי ועד לנקודות גישה. מהנדסי Zyxel דאגו לאפשרות הזו. ערפילית מפעילה מכשירים רבים:

• מתגים מרכזיים 10G;
• מתגי רמת גישה;
• מתגים עם PoE;
• נקודות גישה;
• שערי רשת.

באמצעות מגוון רחב של מכשירים נתמכים, אתה יכול לבנות רשתות עבור סוגים שונים של משימות. זה נכון במיוחד עבור חברות שצומחות לא כלפי מעלה, אלא כלפי חוץ, ובוחנות כל הזמן תחומים חדשים לעשיית עסקים.

פיתוח מתמשך

להתקני רשת עם שיטת ניהול מסורתית יש רק דרך אחת לשיפור - שינוי המכשיר עצמו, בין אם זו קושחה חדשה או מודולים נוספים. במקרה של Zyxel Nebula יש דרך נוספת לשיפור – דרך שיפור תשתית הענן. לדוגמה, לאחר עדכון Nebula Control Center (NCC) לגרסה 10.1. (21 בספטמבר 2020) תכונות חדשות זמינות למשתמשים, הנה כמה מהם:

• הבעלים של ארגון יכול כעת להעביר את כל זכויות הבעלות למנהל אחר באותו ארגון;
• תפקיד חדש בשם Owner Representative, בעל אותן זכויות לבעל הארגון;
• תכונת עדכון קושחה חדשה בארגון (תכונת Pro-Pack);
• שתי אפשרויות חדשות נוספו לטופולוגיה: אתחול המכשיר והדלקה וכיבוי של יציאת PoE (פונקציית Pro-Pack);
• תמיכה בדגמי נקודות גישה חדשים: WAC500, WAC500H, WAC5302D-Sv2 ו-NWA1123ACv3;
• תמיכה באימות שובר עם הדפסת קוד QR (פונקציית Pro-Pack).

קישורים שימושיים

1. צ'אט טלגרם Zyxel
2. פורום ציוד Zyxel
3. הרבה סרטונים שימושיים בערוץ היוטיוב
4. ערפילית Zyxel - קלות ניהול כבסיס לחיסכון
5. ההבדל בין גרסאות Zyxel Nebula
6. ערפילית Zyxel וצמיחת החברה
7. ענן סופרנובה Zyxel Nebula - נתיב חסכוני לאבטחה?
8. ערפילית Zyxel - אפשרויות לעסק שלך

מקור: www.habr.com