Nebulaをベースとしたネットワークインフラの構築。 パート 1 - 問題と解決策

この記事では、従来の方法でネットワーク インフラストラクチャを組織する場合の問題と、クラウド テクノロジを使用して同じ問題を解決する方法について説明します。

参考のために。 Nebula は、ネットワーク インフラストラクチャをリモートで保守するための SaaS クラウド環境です。 すべての Nebula 対応デバイスは、安全な接続を介してクラウドから管理されます。 大規模な分散ネットワーク インフラストラクチャを作成する手間をかけずに、単一のセンターから管理できます。

別のクラウド サービスが必要な理由は何ですか?

ネットワーク インフラストラクチャを扱う際の主な問題は、ネットワークの設計や機器の購入、さらにはラックへの設置ではなく、将来的にこのネットワークを使用して行う必要があるその他すべてのことです。

新しいネットワーク - 古い懸念

機器を設置して接続した後、新しいネットワーク ノードを稼働させると、初期設定が始まります。 「偉い人」の観点から見ると、複雑なことは何もありません。「私たちはプロジェクトの作業文書を入手し、セットアップを開始します...」すべてのネットワーク要素が XNUMX つのデータ センターに配置されている場合、これはよく言われます。 これらが複数のブランチに分散している場合、リモート アクセスを提供するという頭の痛い問題が発生します。 ネットワーク経由でリモート アクセスするには、ネットワーク機器を設定する必要があり、そのためにはネットワーク経由でアクセスする必要があるという悪循環です。

上記のような行き詰まりを打開するには、さまざまな工夫を凝らさなければなりません。 たとえば、USB 4G モデム経由でインターネットにアクセスできるラップトップは、パッチ コード経由でカスタム ネットワークに接続されます。 このラップトップには VPN クライアントがインストールされており、本社のネットワーク管理者はそれを通じてブランチ ネットワークへのアクセスを試みます。 このスキームは最も透明性が高いわけではありません。たとえ、事前に設定された VPN を搭載したラップトップをリモート サイトに持ち込んで電源をオンにするように要求したとしても、最初からすべてが機能するという事実には程遠いのです。 特に、異なるプロバイダーの異なる地域について話している場合はそうです。

最も信頼できる方法は、プロジェクトに従って自分の担当部分を構成できる優秀な専門家を「電話の向こう側」に配置することです。 支店スタッフにそのような人がいない場合は、外注か出張かの選択肢が残ります。

監視システムも必要です。 インストール、構成、保守が必要です (少なくともディスク容量を監視し、定期的にバックアップを作成します)。 そして、私たちが伝えるまで、私たちのデバイスについては何も知りません。 これを行うには、すべての機器の設定を登録し、記録の関連性を定期的に監視する必要があります。

スタッフが独自の「ワンマン オーケストラ」を持っていて、ネットワーク管理者の特有の知識に加えて、Zabbix または別の同様のシステムの操作方法を知っている場合、それは素晴らしいことです。 それ以外の場合は、別のスタッフを雇用するか、外部委託します。

注意してください。 最も悲しい間違いは次の言葉から始まります。「この Zabbix (Nagios、OpenView など) を構成するには何が必要ですか? すぐに受け取りますので準備完了です！」

導入から運用まで

具体的な例を見てみましょう。

どこかの WiFi アクセス ポイントが応答していないことを示すアラーム メッセージを受信しました。

彼女はどこにいますか？

もちろん、優れたネットワーク管理者は、すべてを書き留めた独自の個人ディレクトリを持っています。 この情報を共有する必要があるときから問題が始まります。 たとえば、その場で問題を解決するために緊急にメッセンジャーを送信する必要があり、そのためには次のようなコマンドを発行する必要があります。 1番、正面玄関の天井の下にあります。」

幸運なことに、アクセス ポイントが PoE 経由で電力供給されており、スイッチによってリモートから再起動できるとします。 出張する必要はありませんが、スイッチへのリモート アクセスが必要です。 あとはルーターにPATによるポートフォワーディングを設定したり、外部から接続するためのVLANを把握したりするだけです。 すべてが事前に設定されていれば大丈夫です。 その仕事は難しくないかもしれませんが、やらなければなりません。

そこで、飲食店は再起動されました。 役に立ちませんでしたか？

ハードウェアに何か問題があるとします。 現在、保証、起動、その他の関心のある詳細に関する情報を探しています。

WiFiといえば。 すべてのデバイスに 2 つのキーを持つ WPA2-PSK の家庭用バージョンを企業環境で使用することはお勧めできません。 第一に、全員に XNUMX つのキーを使用するのは単純に安全ではありません。第二に、従業員が XNUMX 人退職した場合は、この共通キーを変更し、すべてのユーザーのすべてのデバイスで設定をやり直す必要があります。 このようなトラブルを回避するために、ユーザーごとに個別認証を行うWPAXNUMX-Enterpriseがあります。 ただし、そのためには RADIUS サーバー、つまり制御やバックアップの作成などが必要な別のインフラストラクチャ ユニットが必要です。

なお、導入・運用の各段階においてサポート体制を整えております。 これには、「サードパーティ」のインターネット接続を備えたラップトップ、監視システム、機器参照データベース、および認証システムとしての RADIUS が含まれます。 ネットワーク デバイスに加えて、サードパーティ サービスも保守する必要があります。

そのような場合、「クラウドに任せて、苦しまないでください」というアドバイスが聞こえてきます。 確かにクラウド Zabbix が存在し、おそらくどこかにクラウド RADIUS が存在し、デバイスのリストを管理するクラウド データベースさえも存在します。 問題は、これが個別に必要ではなく、「XNUMXつのボトルに」必要なことです。 それでも、アクセスの整理、デバイスの初期セットアップ、セキュリティなどに関して疑問が生じます。

Nebulaを使用するとどのように見えますか?

もちろん、最初は「クラウド」は私たちの計画や購入した機器について何も知りません。

まず、組織プロファイルを作成します。 つまり、本社と支店のインフラ全体が最初にクラウドに登録されます。 詳細を指定し、権限を委任するためのアカウントを作成します。

デバイスをクラウドに登録するには XNUMX つの方法があります。XNUMX つは昔ながらの方法で、Web フォームに記入するときにシリアル番号を入力するか、携帯電話を使用して QR コードをスキャンすることで行います。 XNUMX 番目の方法に必要なのは、カメラ付きのスマートフォンと、携帯プロバイダーを介したインターネット アクセスだけです。

もちろん、情報を保存するために必要なインフラストラクチャ (アカウンティングと設定の両方) は、Zyxel Nebula によって提供されます。

図 1. Nebula Control Center のセキュリティ レポート。

アクセスの設定はどうするのでしょうか？ ポートを開くこと、受信ゲートウェイを介してトラフィックを転送すること、これらすべてをセキュリティ管理者が愛情を込めて「穴を開ける」と呼んでいますか? 幸いなことに、これをすべて行う必要はありません。 Nebula を実行しているデバイスは、発信接続を確立します。 また、管理者は別のデバイスに接続するのではなく、設定のためにクラウドに接続します。 Nebula は、デバイスとネットワーク管理者のコンピュータへの XNUMX つの接続の間を仲介します。 これは、新しい管理者に電話をかける段階を最小限に抑えるか、完全にスキップできることを意味します。 また、ファイアウォールに新たな「穴」ができることもありません。

RADUIS サーバーについてはどうですか? 結局のところ、何らかの集中認証が必要なのです。

そしてこれらの機能もNebulaに引き継がれます。 機器にアクセスするためのアカウントの認証は、安全なデータベースを通じて行われます。 これにより、システムを管理する権限の委任または取り消しが大幅に簡素化されます。 権利を譲渡する必要があります。ユーザーを作成し、役割を割り当てます。 権利を剥奪する必要があります。逆の手順を実行します。

これとは別に、別の認証サービスを必要とする WPA2-Enterprise についても言及する価値があります。 Zyxel Nebula には独自の類似物である DPPSK があり、ユーザーごとに個別のキーで WPA2-PSK を使用できるようになります。

「不便」な質問

以下では、クラウド サービスに参入する際によく尋ねられる最も難しい質問に答えていきます。

本当に安全ですか?

セキュリティを確保するための制御と管理の委任では、匿名化と暗号化という XNUMX つの要素が重要な役割を果たします。

暗号化を使用してトラフィックを覗き見から保護することは、読者には多かれ少なかれ馴染みのあることです。

匿名化により、所有者とソースに関する情報がクラウド プロバイダーの担当者から隠蔽されます。 個人情報は削除され、記録には「顔のない」識別子が割り当てられます。 クラウド ソフトウェア開発者もクラウド システムを保守する管理者も、リクエストの所有者を知ることができません。 「これはどこから来たのですか？ 誰がこれに興味を持つでしょうか？」 - このような質問は答えられないままです。 所有者や情報源に関する情報が不足しているため、内部関係者は無意味な時間の無駄になります。

このアプローチを、アウトソーシングまたは次期管理者を雇用する従来の方法と比較すると、クラウド テクノロジーの方が安全であることは明らかです。 新任の IT スペシャリストは自分の組織についてよく知っているため、意図せずにセキュリティの面で重大な害を引き起こす可能性があります。 解雇や契約解除の問題はまだ解決する必要がある。 場合によっては、アカウントのブロックまたは削除に加えて、サービスにアクセスするためのパスワードのグローバルな変更、および「忘れられた」エントリ ポイントや可能性のある「ブックマーク」に関するすべてのリソースの監査が必要になります。

Nebula は新しい管理者に比べてどれくらい高いか安いですか?

すべては相対的なものです。 Nebula の基本機能は無料でご利用いただけます。 実際、もっと安いものは何でしょうか？

もちろん、ネットワーク管理者またはその代わりの人なしで完全に行うことは不可能です。 問題は、従業員の数、その専門分野、およびサイト全体への分布です。

有料の延長サービスに関して、より高いか、より安いかという直接的な質問をすることは、常に不正確で一方的なものになります。 特定の専門家の仕事に支払う金銭から、品質管理、文書の作成、セキュリティレベルの維持、請負業者や個人とのやりとりを保証するためのコストに至るまで、多くの要素を比較する方がより正確です。すぐ。

有料のサービス パッケージ (プロパック) を購入するのが儲かるのか、儲からないのかというテーマについて話している場合、おおよその答えは次のように聞こえるかもしれません。組織が小さい場合は、基本的なサービスで十分です。組織が成長している場合は、Pro-Pack について検討するのが理にかなっています。 Zyxel Nebula のバージョン間の違いを表 1 に示します。

表 1. Nebula の基本機能セットと Pro-Pack 機能セットの違い。

これには、高度なレポート作成、ユーザー監査、構成のクローン作成などが含まれます。

交通保護についてはどうですか？

Nebula はプロトコルを使用します ネットコンフ ネットワーク機器の安全な動作を保証します。

NETCONF は、いくつかのトランスポート プロトコル上で実行できます。

• SSH (RFC 4742);
• 石鹸 (RFC 4743);
• BEEP (RFC 4744);
• TLS (RFC 5539).

NETCONF を他の方法 (SNMP による管理など) と比較すると、次の点に注意する必要があります。 ネットコンフ NAT バリアを克服するために発信 TCP 接続をサポートしており、より信頼性が高いと考えられています。

ハードウェアのサポートについてはどうですか?

もちろん、サーバー ルームを、希少で絶滅危惧種の機器が展示されている動物園にしてはいけません。 管理テクノロジーによって統合された機器が、中央スイッチからアクセス ポイントまでの全方向をカバーすることが非常に望ましいです。 Zyxel のエンジニアはこの可能性を考慮しました。 Nebula は多くのデバイスを実行します。

• 10G 中央スイッチ。
• アクセスレベルスイッチ。
• PoE スイッチ。
• アクセスポイント;
• ネットワークゲートウェイ。

サポートされている幅広いデバイスを使用して、さまざまな種類のタスク用のネットワークを構築できます。 これは、上向きではなく外向きに成長し、ビジネスを行うための新しい領域を常に模索している企業に特に当てはまります。

継続的な開発

従来の管理方法を使用するネットワーク デバイスの改善方法は 10.1 つだけです。それは、新しいファームウェアであれ追加モジュールであれ、デバイス自体を変更することです。 Zyxel Nebula の場合、クラウド インフラストラクチャを改善するという追加の改善の道があります。 たとえば、Nebula Control Center (NCC) をバージョン 21 に更新した後などです。 (2020 年 XNUMX 月 XNUMX 日) ユーザーは新機能を利用できるようになりました。その一部を次に示します。

• 組織の所有者は、すべての所有権を同じ組織内の別の管理者に譲渡できるようになりました。
• 組織の所有者と同じ権限を持つ、所有者代表と呼ばれる新しい役割。
• 新しい組織全体のファームウェア更新機能 (Pro-Pack 機能)。
• XNUMX つの新しいオプションがトポロジに追加されました。デバイスの再起動と PoE ポートの電源のオン/オフ (Pro-Pack 機能)。
• 新しいアクセス ポイント モデルのサポート: WAC500、WAC500H、WAC5302D-Sv2、および NWA1123ACv3。
• QRコード印刷による伝票認証に対応（プロパック機能）。

便利なリンク集

1. 電報チャット Zyxel
2. ザイクセル機器フォーラム
3. Youtubeチャンネルには役立つ動画がたくさんあります
4. Zyxel Nebula - 節約の基礎となる管理の容易さ
5. Zyxel Nebula のバージョン間の違い
6. Zyxel Nebulaと会社の成長
7. Zyxel Nebula 超新星クラウド - 費用対効果の高いセキュリティへの道?
8. Zyxel Nebula – ビジネスのためのオプション

出所： habr.com