W artykule omówione zostaną problemy organizacji infrastruktury sieciowej w sposób tradycyjny oraz metody rozwiązywania tych samych problemów z wykorzystaniem technologii chmurowych.
Dla odniesienia. Nebula to środowisko chmurowe SaaS umożliwiające zdalne utrzymanie infrastruktury sieciowej. Wszystkie urządzenia obsługujące Nebulę są zarządzane z chmury za pośrednictwem bezpiecznego połączenia. Możesz zarządzać dużą rozproszoną infrastrukturą sieciową z jednego centrum, bez konieczności wdawania się w jej tworzenie.
Dlaczego potrzebujesz innej usługi w chmurze?
Głównym problemem podczas pracy z infrastrukturą sieciową nie jest projektowanie sieci i zakup sprzętu, ani nawet instalacja go w szafie, ale wszystko inne, co będzie trzeba zrobić z tą siecią w przyszłości.
Nowa sieć – stare zmartwienia
Podczas uruchamiania nowego węzła sieciowego po zainstalowaniu i podłączeniu sprzętu rozpoczyna się wstępna konfiguracja. Z punktu widzenia „wielkich szefów” - nic skomplikowanego: „Bierzemy dokumentację roboczą projektu i zaczynamy konfigurować…” To bardzo dobrze powiedziane, gdy wszystkie elementy sieci są zlokalizowane w jednym centrum danych. Jeśli są rozproszone po oddziałach, zaczyna się problem zapewnienia zdalnego dostępu. To takie błędne koło: aby uzyskać zdalny dostęp przez sieć, trzeba skonfigurować sprzęt sieciowy, a do tego potrzebny jest dostęp przez sieć...
Musimy wymyślać różne schematy, aby wyjść z impasu opisanego powyżej. Na przykład laptop z dostępem do Internetu przez modem USB 4G jest podłączony za pomocą kabla krosowego do niestandardowej sieci. Na tym laptopie zainstalowany jest klient VPN i za jego pośrednictwem administrator sieci z centrali próbuje uzyskać dostęp do sieci oddziałowej. Schemat nie jest najbardziej przejrzysty - nawet jeśli zabierzesz laptopa ze wstępnie skonfigurowaną siecią VPN do zdalnej lokalizacji i poprosisz o jej włączenie, wcale nie jest tak, że wszystko będzie działać za pierwszym razem. Zwłaszcza jeśli mówimy o innym regionie z innym dostawcą.
Okazuje się, że najpewniejszym sposobem jest mieć „po drugiej stronie linii” dobrego specjalistę, który potrafi skonfigurować swoją część zgodnie z projektem. Jeżeli w kadrze oddziału czegoś takiego nie ma, pozostają opcje: albo outsourcing, albo podróże służbowe.
Potrzebujemy także systemu monitoringu. Należy go zainstalować, skonfigurować, konserwować (przynajmniej monitorować miejsce na dysku i regularnie wykonywać kopie zapasowe). I który nic nie wie o naszych urządzeniach, dopóki mu tego nie powiemy. W tym celu należy zarejestrować ustawienia wszystkich urządzeń i regularnie monitorować istotność zapisów.
Świetnie jest, gdy kadra ma swoją „jednoosobową orkiestrę”, która oprócz specyficznej wiedzy administratora sieci wie, jak pracować z Zabbixem lub innym podobnym systemem. W przeciwnym razie zatrudniamy kolejną osobę do personelu lub zlecamy to firmie zewnętrznej.
Uwaga. Najsmutniejsze błędy zaczynają się od słów: „Co trzeba skonfigurować w tym Zabbixie (Nagios, OpenView itp.)? Szybko odbiorę i gotowe!”
Od wdrożenia do eksploatacji
Rozważmy konkretny przykład.
Otrzymano komunikat alarmowy wskazujący, że gdzieś punkt dostępu Wi-Fi nie odpowiada.
Gdzie ona jest?
Oczywiście dobry administrator sieci ma swój własny katalog osobisty, w którym wszystko jest zapisane. Pytania zaczynają się, kiedy trzeba udostępnić te informacje. Na przykład, musisz pilnie wysłać posłańca, aby załatwił sprawy na miejscu, i w tym celu musisz wydać coś w rodzaju: „Punkt dostępu w centrum biznesowym na Stroiteley Street, budynek 1, na 3 piętrze, pokój nr 301. XNUMX obok drzwi wejściowych pod sufitem.”
Załóżmy, że mamy szczęście i punkt dostępowy zasilany jest poprzez PoE, a przełącznik pozwala na jego zdalny restart. Nie musisz podróżować, ale potrzebujesz zdalnego dostępu do przełącznika. Pozostaje tylko skonfigurować przekierowanie portów przez PAT na routerze, znaleźć sieć VLAN do połączenia z zewnątrz i tak dalej. Dobrze, jeśli wszystko jest wcześniej ustalone. Praca może nie jest trudna, ale trzeba ją wykonać.
W związku z tym ponownie uruchomiono punkt gastronomiczny. Nie pomogło?
Załóżmy, że coś jest nie tak ze sprzętem. Teraz szukamy informacji na temat gwarancji, uruchomienia i innych interesujących nas szczegółów.
Mówiąc o Wi-Fi. Korzystanie z domowej wersji WPA2-PSK, która ma jeden klucz dla wszystkich urządzeń, nie jest zalecane w środowisku korporacyjnym. Po pierwsze, jeden klucz dla wszystkich jest po prostu niebezpieczny, a po drugie, gdy jeden pracownik odejdzie, trzeba zmienić ten wspólny klucz i ponownie przeprowadzić ustawienia na wszystkich urządzeniach dla wszystkich użytkowników. Aby uniknąć takich problemów, istnieje WPA2-Enterprise z indywidualnym uwierzytelnianiem dla każdego użytkownika. Ale do tego potrzebny jest serwer RADIUS – kolejna jednostka infrastruktury, którą należy kontrolować, tworzyć kopie zapasowe i tak dalej.
Informujemy, że na każdym etapie, czy to wdrożenia, czy eksploatacji, korzystaliśmy z systemów wsparcia. Obejmuje to laptop z połączeniem internetowym „innej firmy”, system monitorowania, bazę danych referencyjnych sprzętu i RADIUS jako system uwierzytelniania. Oprócz urządzeń sieciowych musisz także utrzymywać usługi innych firm.
W takich przypadkach można usłyszeć radę: „Oddaj chmurę i nie cierpisz”. Na pewno jest chmura Zabbix, być może jest gdzieś chmura RADIUS, a nawet baza danych w chmurze do utrzymywania listy urządzeń. Problem w tym, że nie jest to potrzebne osobno, ale „w jednej butelce”. Mimo to pojawiają się pytania dotyczące organizacji dostępu, wstępnej konfiguracji urządzenia, bezpieczeństwa i wielu innych kwestii.
Jak to wygląda podczas korzystania z Nebuli?
Oczywiście początkowo „chmura” nie wie nic o naszych planach i zakupionym sprzęcie.
Najpierw tworzony jest profil organizacji. Oznacza to, że cała infrastruktura: centrala i oddziały jest najpierw rejestrowana w chmurze. Określane są szczegóły i tworzone są konta do delegowania uprawnień.
Możesz zarejestrować swoje urządzenia w chmurze na dwa sposoby: w tradycyjny sposób - po prostu wpisując numer seryjny podczas wypełniania formularza internetowego lub skanując kod QR za pomocą telefonu komórkowego. Do drugiej metody wystarczy smartfon z aparatem i dostępem do Internetu, w tym za pośrednictwem operatora komórkowego.
Oczywiście niezbędną infrastrukturę do przechowywania informacji, zarówno księgowych, jak i ustawień, zapewnia Zyxel Nebula.
Rysunek 1. Raport bezpieczeństwa Nebula Control Center.
A co z konfiguracją dostępu? Otwieranie portów, przekazywanie ruchu przez bramę przychodzącą – wszystko to, co administratorzy bezpieczeństwa pieszczotliwie nazywają „wyszukiwaniem dziur”? Na szczęście nie musisz tego wszystkiego robić. Urządzenia z uruchomioną Nebulą nawiązują połączenie wychodzące. A administrator łączy się nie z osobnym urządzeniem, ale z chmurą w celu konfiguracji. Nebula pośredniczy pomiędzy dwoma połączeniami: z urządzeniem oraz z komputerem administratora sieci. Oznacza to, że etap dzwonienia do przychodzącego administratora można zminimalizować lub całkowicie pominąć. I żadnych dodatkowych „dziur” w zaporze ogniowej.
A co z serwerem RADUIS? W końcu potrzebny jest jakiś rodzaj scentralizowanego uwierzytelniania!
I te funkcje również przejmuje Nebula. Uwierzytelnianie kont w celu uzyskania dostępu do sprzętu odbywa się poprzez bezpieczną bazę danych. Znacząco ułatwia to delegowanie lub odbieranie uprawnień do zarządzania systemem. Musimy przenieść uprawnienia - stworzyć użytkownika, przypisać mu rolę. Musimy odebrać prawa - wykonujemy czynności odwrotne.
Osobno warto wspomnieć o WPA2-Enterprise, który wymaga osobnej usługi uwierzytelniania. Zyxel Nebula ma swój własny analog - DPPSK, który pozwala na użycie WPA2-PSK z indywidualnym kluczem dla każdego użytkownika.
„Niewygodne” pytania
Poniżej postaramy się odpowiedzieć na najbardziej podchwytliwe pytania, które często pojawiają się przy wejściu do usługi chmurowej
Czy to naprawdę bezpieczne?
W każdym delegowaniu kontroli i zarządzania w celu zapewnienia bezpieczeństwa ważną rolę odgrywają dwa czynniki: anonimizacja i szyfrowanie.
Korzystanie z szyfrowania w celu ochrony ruchu przed wścibskimi oczami jest czymś, z czym czytelnicy są mniej lub bardziej zaznajomieni.
Anonimizacja ukrywa informacje o właścicielu i źródle przed personelem dostawcy usług w chmurze. Dane osobowe są usuwane, a rejestrom przypisywany jest identyfikator „bez twarzy”. Ani twórca oprogramowania w chmurze, ani administrator utrzymujący system w chmurze nie mogą znać właściciela żądań. „Skąd to się wzięło? Kto może być tym zainteresowany?” – takie pytania pozostaną bez odpowiedzi. Brak informacji o właścicielu i źródle sprawia, że informowanie o tym poufnych informacji jest bezcelową stratą czasu.
Jeśli porównamy to podejście z tradycyjną praktyką outsourcingu lub zatrudniania przychodzącego administratora, oczywiste jest, że technologie chmurowe są bezpieczniejsze. Przychodzący specjalista IT wie całkiem sporo o swojej organizacji i może, chcąc nie chcąc, wyrządzić znaczne szkody w zakresie bezpieczeństwa. Do rozstrzygnięcia pozostaje kwestia zwolnienia lub rozwiązania umowy. Czasami oprócz zablokowania lub usunięcia konta wiąże się to z globalną zmianą haseł dostępu do usług, a także audytem wszystkich zasobów pod kątem „zapomnianych” punktów wejścia i ewentualnych „zakładek”.
O ile droższa lub tańsza jest Nebula od przychodzącego administratora?
Wszystko jest względne. Podstawowe funkcje Nebuli są dostępne za darmo. Właściwie, co może być jeszcze tańszego?
Oczywiście nie da się całkowicie obejść bez administratora sieci lub osoby go zastępującej. Pytaniem jest liczba osób, ich specjalizacja i rozmieszczenie w lokalizacjach.
Jeśli chodzi o płatną usługę rozszerzoną, zadając bezpośrednie pytanie: droższy czy tańszy – takie podejście zawsze będzie nietrafne i jednostronne. Bardziej słuszne byłoby porównanie wielu czynników, począwszy od pieniędzy na opłacenie pracy konkretnych specjalistów, a skończywszy na kosztach zapewnienia ich interakcji z wykonawcą lub osobą: kontroli jakości, sporządzaniu dokumentacji, utrzymaniu poziomu bezpieczeństwa i Wkrótce.
Jeśli mówimy o tym, czy opłaca się czy nie opłaca zakup płatnego pakietu usług (Pro-Pack), to przybliżona odpowiedź może brzmieć tak: jeśli organizacja jest mała, poradzi sobie z podstawowym wersji, jeśli organizacja się rozwija, wtedy warto pomyśleć o Pro-Packu. Różnice pomiędzy wersjami Mgławicy Zyxel można zobaczyć w Tabeli 1.
Tabela 1. Różnice pomiędzy zestawem funkcji podstawowych i Pro-Pack dla Nebuli.
Obejmuje to zaawansowane raportowanie, audyt użytkowników, klonowanie konfiguracji i wiele więcej.
A co z ochroną ruchu drogowego?
Nebula korzysta z protokołu w celu zapewnienia bezpiecznej pracy sprzętu sieciowego.
NETCONF może działać na kilku protokołach transportowych:
- ();
- ();
- ();
- ().
Jeśli porównamy NETCONF z innymi metodami, na przykład zarządzaniem przez SNMP, należy to zauważyć NETKONF obsługuje wychodzące połączenie TCP w celu pokonania bariery NAT i jest uważany za bardziej niezawodny.
A co ze wsparciem sprzętowym?
Oczywiście nie należy zamieniać serwerowni w zoo z przedstawicielami rzadkiego i zagrożonego rodzaju sprzętu. Jest wysoce pożądane, aby sprzęt połączony technologią zarządzania obejmował wszystkie kierunki: od centralnego przełącznika po punkty dostępu. Inżynierowie Zyxela zadbali o taką możliwość. Nebula obsługuje wiele urządzeń:
- Przełączniki centralne 10G;
- przełączniki poziomu dostępu;
- przełączniki z PoE;
- punkty dostępu;
- bramy sieciowe.
Korzystając z szerokiej gamy obsługiwanych urządzeń, można budować sieci do różnego rodzaju zadań. Jest to szczególnie prawdziwe w przypadku firm, które rozwijają się nie w górę, ale na zewnątrz, stale eksplorując nowe obszary prowadzenia działalności gospodarczej.
Ciągły rozwój
Urządzenia sieciowe z tradycyjnym sposobem zarządzania mają tylko jedną drogę do poprawy - zmianę samego urządzenia, czy to nowego oprogramowania, czy dodatkowych modułów. W przypadku Zyxel Nebula istnieje dodatkowa ścieżka doskonalenia – poprzez ulepszenie infrastruktury chmurowej. Na przykład po aktualizacji Nebula Control Center (NCC) do wersji 10.1. (21 września 2020) udostępniono użytkownikom nowe funkcje, oto niektóre z nich:
- Właściciel organizacji może teraz przenieść wszystkie prawa własności na innego administratora w tej samej organizacji;
- nowa rola o nazwie Przedstawiciel Właściciela, która ma takie same prawa jak właściciel organizacji;
- nowa funkcja aktualizacji oprogramowania sprzętowego obejmująca całą organizację (funkcja Pro-Pack);
- do topologii dodano dwie nowe opcje: restart urządzenia oraz włączenie i wyłączenie zasilania portu PoE (funkcja Pro-Pack);
- obsługa nowych modeli punktów dostępowych: WAC500, WAC500H, WAC5302D-Sv2 i NWA1123ACv3;
- obsługa uwierzytelniania voucherów poprzez wydruk kodu QR (funkcja Pro-Pack).
Przydatne linki
Źródło: www.habr.com