Написот ќе разговара за проблемите со организирање на мрежната инфраструктура на традиционален начин и методи за решавање на истите прашања со користење на облак технологии.
За референца. Небула е SaaS облак средина за далечинско одржување на мрежната инфраструктура. Сите уреди со овозможена маглина се управуваат од облакот преку безбедна врска. Можете да управувате со голема дистрибуирана мрежна инфраструктура од еден центар без да потрошите напор за нејзино создавање.
Зошто ви е потребна друга облак услуга?
Главниот проблем при работа со мрежна инфраструктура не е дизајнирање на мрежата и купување опрема, па дури и нејзино инсталирање во решетката, туку се друго што ќе треба да се направи со оваа мрежа во иднина.
Нова мрежа - стари грижи
При ставање во функција нов мрежен јазол по инсталирањето и поврзувањето на опремата, започнува почетната конфигурација. Од гледна точка на „големите шефови“ - ништо комплицирано: „Ја земаме работната документација за проектот и почнуваме да поставуваме...“ Ова е толку добро кажано кога сите елементи на мрежата се наоѓаат во еден центар за податоци. Ако тие се расфрлани низ гранките, започнува главоболката за обезбедување далечински пристап. Тоа е толку маѓепсан круг: за да добиете далечински пристап преку мрежата, треба да ја конфигурирате мрежната опрема, а за ова ви треба пристап преку мрежата...
Мораме да смислиме различни шеми за да излеземе од ќорсокакот опишан погоре. На пример, лаптоп со пристап до Интернет преку USB 4G модем е поврзан преку лепенка на сопствена мрежа. На овој лаптоп е инсталиран VPN клиент, а преку него мрежниот администратор од седиштето се обидува да добие пристап до мрежата на филијали. Шемата не е најтранспарентна - дури и ако донесете лаптоп со претходно конфигуриран VPN на оддалечена локација и побарате да го вклучите, далеку од фактот дека сè ќе работи од прв пат. Особено ако зборуваме за различен регион со различен провајдер.
Излегува дека најсигурен начин е да имате добар специјалист „на другиот крај на линијата“ кој може да го конфигурира својот дел според проектот. Доколку нема такво нешто во персоналот на филијалата, остануваат опциите: или аутсорсинг или службено патување.
Потребен ни е и систем за следење. Треба да се инсталира, конфигурира, одржува (барем да го следи просторот на дискот и да прави редовни резервни копии). И што не знае ништо за нашите уреди додека не го кажеме тоа. За да го направите ова, треба да регистрирате поставки за сите парчиња опрема и редовно да ја следите релевантноста на записите.
Одлично е кога персоналот има свој „оркестар од еден човек“, кој, покрај специфичното знаење на мрежен администратор, знае и како да работи со Zabbix или друг сличен систем. Во спротивно, вработуваме друго лице во персоналот или го нарачуваме.
Забелешка. Најтажните грешки започнуваат со зборовите: „Што има за да го конфигурирате овој Zabbix (Nagios, OpenView, итн.)? Брзо ќе го земам и готов е!“
Од имплементација до работа
Ајде да погледнеме конкретен пример.
Беше примена порака за аларм што покажува дека пристапната точка за WiFi некаде не реагира.
Каде е тоа?
Се разбира, добар мрежен администратор има свој личен директориум во кој сè е запишано. Прашањата започнуваат кога оваа информација треба да се сподели. На пример, итно треба да испратите гласник за да ги средиме работите на лице место, а за ова треба да издадете нешто како: „Пристапна точка во деловниот центар на улица Строители, зграда 1, на 3 кат, соба бр. 301 до влезната врата под таванот“.
Да речеме дека сме среќни и пристапната точка се напојува преку PoE, а прекинувачот дозволува да се рестартира од далечина. Не треба да патувате, но ви треба далечински пристап до прекинувачот. Останува само да го конфигурирате пренасочувањето на портата преку PAT на рутерот, да го дознаете VLAN-от за поврзување однадвор итн. Добро е ако сè е наместено однапред. Можеби работата не е тешка, но треба да се заврши.
Значи, штекерот за храна беше рестартиран. Не помогна?
Да речеме дека нешто не е во ред во хардверот. Сега бараме информации за гаранцијата, стартувањето и другите детали од интерес.
Говорејќи за WiFi. Користењето на домашната верзија на WPA2-PSK, која има еден клуч за сите уреди, не се препорачува во корпоративна средина. Прво, еден клуч за секого е едноставно небезбеден, и второ, кога еден вработен ќе замине, треба да го промените овој заеднички клуч и повторно да ги направите поставките на сите уреди за сите корисници. За да се избегнат вакви проблеми, постои WPA2-Enterprise со индивидуална автентикација за секој корисник. Но, за ова ви треба сервер RADIUS - друга инфраструктурна единица што треба да се следи, да се направат резервни копии итн.
Ве молиме имајте предвид дека во секоја фаза, било да е тоа имплементација или работење, користевме системи за поддршка. Ова вклучува лаптоп со интернет конекција од „трета страна“, систем за следење, референтна база на податоци за опремата и RADIUS како систем за автентикација. Покрај мрежните уреди, треба да одржувате и услуги од трети страни.
Во такви случаи, можете да го слушнете советот: „Дај му на облакот и не страдај“. Сигурно има облак Zabbix, можеби има некаде облак RADIUS, па дури и облак база на податоци за одржување на список на уреди. Проблемот е што ова не е потребно посебно, туку „во едно шише“. И, сепак, се појавуваат прашања за организирање на пристап, првично поставување на уредот, безбедност и многу повеќе.
Како изгледа кога се користи Nebula?
Се разбира, на почетокот „облакот“ не знае ништо за нашите планови или за купената опрема.
Прво, се креира профил на организација. Односно, целата инфраструктура: седиштето и филијалите прво се регистрира во облакот. Деталите се наведени и се креираат сметки за делегирање на овластувањата.
Можете да ги регистрирате вашите уреди во облакот на два начина: на старомоден начин - едноставно со внесување на серискиот број при пополнување веб-образец или со скенирање на QR-код со помош на мобилен телефон. Сè што ви треба за вториот метод е паметен телефон со камера и пристап до Интернет, вклучително и преку мобилен провајдер.
Се разбира, потребната инфраструктура за складирање на информации, и сметководствени и поставки, е обезбедена од Zyxel Nebula.
Слика 1. Извештај за безбедност на контролниот центар на маглината.
Што е со поставувањето пристап? Отворање пристаништа, препраќање сообраќај преку влезна порта, сето она што администраторите за безбедност со љубов го нарекуваат „дупки за избор“? За среќа, не треба да го правите сето ова. Уредите што работат со Nebula воспоставуваат појдовна врска. И администраторот не се поврзува со посебен уред, туку со облакот за конфигурација. Маглината посредува помеѓу две врски: со уредот и со компјутерот на мрежниот администратор. Ова значи дека фазата на повикување дојдовен администратор може да се минимизира или целосно да се прескокне. И нема дополнителни „дупки“ во заштитниот ѕид.
Што е со серверот RADUIS? На крајот на краиштата, потребна е некаква централизирана автентикација!
А овие функции ги презема и Небула. Автентикацијата на сметките за пристап до опремата се случува преку безбедна база на податоци. Ова во голема мера го поедноставува делегирањето или повлекувањето на правата за управување со системот. Треба да ги пренесеме правата - да создадеме корисник, да доделиме улога. Треба да ги одземеме правата - ги извршуваме обратните чекори.
Одделно, вреди да се спомене WPA2-Enterprise, која бара посебна услуга за автентикација. Zyxel Nebula има свој аналог - DPPSK, кој ви овозможува да користите WPA2-PSK со индивидуален клуч за секој корисник.
„Незгодни“ прашања
Подолу ќе се обидеме да дадеме одговори на најнезгодните прашања што често се поставуваат при влегување во облак услуга
Дали е навистина безбедно?
Во секое делегирање на контрола и управување за да се обезбеди безбедност, два фактори играат важна улога: анонимизација и шифрирање.
Користењето на шифрирање за заштита на сообраќајот од љубопитните очи е нешто со што читателите се повеќе или помалку запознаени.
Анонимизацијата ги крие информациите за сопственикот и изворот од персоналот на давателот на облакот. Личните информации се отстранети и на записите им се доделува идентификатор „без лице“. Ниту развивачот на софтвер во облак, ниту администраторот што го одржува облак системот не можат да го знаат сопственикот на барањата. „Од каде дојде ова? Кој би можел да биде заинтересиран за ова?“ - ваквите прашања ќе останат неодговорени. Недостатокот на информации за сопственикот и изворот го прави инсајдерот бесмислено губење време.
Ако го споредиме овој пристап со традиционалната практика на аутсорсинг или ангажирање на дојдовен администратор, очигледно е дека облак технологиите се побезбедни. Дојдовниот ИТ специјалист знае доста за својата организација и може, сака-несака, да предизвика значителна штета во однос на безбедноста. Допрва треба да се реши прашањето за отказ или раскинување на договорот. Понекогаш, покрај блокирањето или бришењето сметка, ова подразбира и глобална промена на лозинките за пристап до услугите, како и ревизија на сите ресурси за „заборавени“ влезни точки и можни „обележувачи“.
Колку е поскапа или поевтина Nebula од дојдовен админ?
Сè е релативно. Основните карактеристики на Небула се достапни бесплатно. Всушност, што би можело да биде уште поевтино?
Се разбира, невозможно е целосно да се направи без мрежен администратор или лице кое го заменува. Прашањето е бројот на луѓе, нивната специјализација и дистрибуција низ сајтовите.
Што се однесува до платената продолжена услуга, поставувајќи директно прашање: поскапо или поевтино - таквиот пристап секогаш ќе биде неточен и едностран. Би било поправилно да се споредат многу фактори, почнувајќи од пари за плаќање за работата на одредени специјалисти и завршувајќи со трошоците за обезбедување на нивната интеракција со изведувач или поединец: контрола на квалитетот, изготвување документација, одржување на нивото на безбедност и така натаму.
Ако зборуваме за темата дали е профитабилно или непрофитабилно да се купи платен пакет услуги (Pro-Pack), тогаш приближниот одговор може да звучи вака: ако организацијата е мала, можете да се справите со основните верзија, ако организацијата расте, тогаш има смисла да се размислува за Pro-Pack. Разликите помеѓу верзиите на маглината Zyxel може да се видат во Табела 1.
Табела 1. Разлики помеѓу основните и Pro-Pack множества на функции за Nebula.
Ова вклучува напредно известување, корисничка ревизија, клонирање на конфигурации и многу повеќе.
Што е со сообраќајната заштита?
Небула го користи протоколот за да се обезбеди безбедно функционирање на мрежната опрема.
NETCONF може да работи на неколку транспортни протоколи:
- ();
- ();
- ();
- ().
Ако го споредиме NETCONF со други методи, на пример, управување преку SNMP, треба да се забележи дека NETCONF поддржува излезна TCP конекција за надминување на NAT бариерата и се смета за посигурна.
Што е со хардверската поддршка?
Се разбира, не треба да ја претворите серверската соба во зоолошка градина со претставници на ретки и загрозени видови опрема. Многу е пожелно опремата обединета со технологија за управување да ги покрива сите насоки: од централниот прекинувач до пристапните точки. За оваа можност се погрижија инженерите на Zyxel. Небула работи многу уреди:
- 10G централни прекинувачи;
- прекинувачи за ниво на пристап;
- прекинувачи со PoE;
- пристапни точки;
- мрежни порти.
Користејќи широк опсег на поддржани уреди, можете да изградите мрежи за различни видови задачи. Ова особено важи за компаниите кои растат не нагоре, туку нанадвор, постојано истражувајќи нови области за водење бизнис.
Континуиран развој
Мрежните уреди со традиционален метод на управување имаат само еден начин на подобрување - менување на самиот уред, било да е тоа нов фирмвер или дополнителни модули. Во случајот со маглината Zyxel, постои дополнителен пат за подобрување - преку подобрување на инфраструктурата на облакот. На пример, по ажурирањето на Контролниот центар за маглини (NCC) на верзијата 10.1. (21 септември 2020 година) новите функции се достапни за корисниците, еве некои од нив:
- Сопственикот на организацијата сега може да ги пренесе сите сопственички права на друг администратор во истата организација;
- нова улога наречена Претставник на сопствениците, која ги има истите права како и сопственикот на организацијата;
- нова функција за ажурирање на фирмверот во целата организација (функција Pro-Pack);
- две нови опции се додадени во топологијата: рестартирање на уредот и вклучување и исклучување на портата PoE (функција Pro-Pack);
- поддршка за нови модели на пристапни точки: WAC500, WAC500H, WAC5302D-Sv2 и NWA1123ACv3;
- поддршка за автентикација на ваучер со печатење на QR код (функција Pro-Pack).
Корисни линкови
Извор: www.habr.com