Construindo uma infraestrutura de rede baseada em Nebula. Parte 1 - problemas e soluções

O artigo discutirá os problemas de organização da infraestrutura de rede da forma tradicional e métodos para resolver os mesmos problemas usando tecnologias de nuvem.

Para referência. Nebula é um ambiente de nuvem SaaS para manutenção remota da infraestrutura de rede. Todos os dispositivos habilitados para Nebula são gerenciados na nuvem por meio de uma conexão segura. Você pode gerenciar uma grande infraestrutura de rede distribuída a partir de um único centro, sem gastar o esforço de criá-la.

Por que você precisa de outro serviço de nuvem?

O principal problema ao trabalhar com infraestrutura de rede não é projetar a rede e adquirir equipamentos, ou mesmo instalá-los em rack, mas sim tudo o mais que terá que ser feito com essa rede no futuro.

Nova rede – velhas preocupações

Ao colocar em operação um novo nó da rede após a instalação e conexão do equipamento, inicia-se a configuração inicial. Do ponto de vista dos “chefões” - nada complicado: “Pegamos a documentação de trabalho do projeto e começamos a montar...” Isso é tão bem dito quando todos os elementos da rede estão localizados em um data center. Se eles estiverem espalhados pelas filiais, começa a dor de cabeça de fornecer acesso remoto. É um círculo vicioso: para obter acesso remoto pela rede, você precisa configurar o equipamento de rede, e para isso você precisa de acesso pela rede...

Temos que elaborar vários esquemas para sair do impasse descrito acima. Por exemplo, um laptop com acesso à Internet por meio de um modem USB 4G é conectado por meio de um patch cord a uma rede personalizada. Neste laptop está instalado um cliente VPN e através dele o administrador da rede da sede tenta obter acesso à rede da filial. O esquema não é dos mais transparentes - mesmo que você leve um laptop com VPN pré-configurada para um local remoto e peça para ligá-lo, está longe de ser verdade que tudo funcionará na primeira vez. Principalmente se estivermos falando de uma região diferente com um provedor diferente.

Acontece que o caminho mais confiável é ter um bom especialista “do outro lado da linha” que possa configurar a sua peça de acordo com o projeto. Se não houver isso no quadro de funcionários da agência, as opções permanecem: terceirização ou viagens de negócios.

Também precisamos de um sistema de monitoramento. Ele precisa ser instalado, configurado e mantido (pelo menos monitorar o espaço em disco e fazer backups regulares). E que não sabe nada sobre nossos dispositivos até que o contemos. Para fazer isso, você precisa registrar as configurações de todos os equipamentos e monitorar regularmente a relevância dos registros.

É ótimo quando a equipe tem sua própria “orquestra de um homem só”, que, além do conhecimento específico de administrador de rede, sabe trabalhar com Zabbix ou outro sistema similar. Caso contrário, contratamos outra pessoa na equipe ou terceirizamos.

Nota. Os erros mais tristes começam com as palavras: “O que há para configurar este Zabbix (Nagios, OpenView, etc.)? Vou pegá-lo rapidamente e está pronto!

Da implementação à operação

Vejamos um exemplo específico.

Foi recebida uma mensagem de alarme indicando que um ponto de acesso WiFi em algum lugar não está respondendo.

Onde ela está?

É claro que um bom administrador de rede possui seu próprio diretório pessoal no qual tudo está anotado. As perguntas começam quando essas informações precisam ser compartilhadas. Por exemplo, você precisa enviar urgentemente um mensageiro para resolver as coisas no local, e para isso você precisa emitir algo como: “Ponto de acesso no centro de negócios na Rua Stroiteley, prédio 1, no 3º andar, sala nº. 301 próximo à porta da frente sob o teto."

Digamos que temos sorte e o ponto de acesso é alimentado via PoE e o switch permite que ele seja reinicializado remotamente. Você não precisa viajar, mas precisa de acesso remoto ao switch. Resta configurar o encaminhamento de porta via PAT no roteador, descobrir a VLAN para conexão externa e assim por diante. É bom que tudo esteja configurado com antecedência. O trabalho pode não ser difícil, mas precisa ser feito.

Então, o restaurante foi reiniciado. Não ajudou?

Digamos que algo esteja errado no hardware. Agora buscamos informações sobre garantia, start-up e outros detalhes de interesse.

Falando em Wi-Fi. Usar a versão doméstica do WPA2-PSK, que possui uma chave para todos os dispositivos, não é recomendado em um ambiente corporativo. Em primeiro lugar, uma chave para todos é simplesmente insegura e, em segundo lugar, quando um funcionário sai, é necessário alterar essa chave comum e refazer as configurações em todos os dispositivos para todos os usuários. Para evitar tais problemas, existe o WPA2-Enterprise com autenticação individual para cada usuário. Mas para isso você precisa de um servidor RADIUS - outra unidade de infraestrutura que precisa ser controlada, fazer backups e assim por diante.

Vale ressaltar que em todas as etapas, seja de implantação ou operação, utilizamos sistemas de apoio. Isso inclui um laptop com conexão à Internet de “terceiros”, um sistema de monitoramento, um banco de dados de referência de equipamentos e RADIUS como sistema de autenticação. Além dos dispositivos de rede, você também precisa manter serviços de terceiros.

Nesses casos, você pode ouvir o conselho: “Entregue para a nuvem e não sofra”. Certamente existe uma nuvem Zabbix, talvez exista uma nuvem RADIUS em algum lugar, e até mesmo um banco de dados em nuvem para manter uma lista de dispositivos. O problema é que isso não é necessário separadamente, mas “em uma garrafa”. E ainda assim surgem dúvidas sobre organização de acesso, configuração inicial do dispositivo, segurança e muito mais.

Qual é a aparência ao usar o Nebula?

É claro que inicialmente a “nuvem” nada sabe sobre nossos planos ou equipamentos adquiridos.

Primeiro, é criado um perfil de organização. Ou seja, toda a infraestrutura: sede e filiais é primeiro cadastrada na nuvem. Os detalhes são especificados e as contas são criadas para delegação de autoridade.

Você pode registrar seus dispositivos na nuvem de duas maneiras: a maneira antiga - simplesmente digitando o número de série ao preencher um formulário da web ou digitalizando um código QR usando um telefone celular. Para o segundo método, basta um smartphone com câmera e acesso à Internet, inclusive por meio de uma operadora de celular.

Obviamente, a infraestrutura necessária para armazenar informações, tanto contábeis quanto de configurações, é fornecida pela Zyxel Nebula.

Figura 1. Relatório de segurança do Nebula Control Center.

Que tal configurar o acesso? Abrir portas, encaminhar tráfego através de um gateway de entrada, tudo o que os administradores de segurança chamam carinhosamente de “escolher buracos”? Felizmente, você não precisa fazer tudo isso. Dispositivos executando o Nebula estabelecem uma conexão de saída. E o administrador não se conecta a um dispositivo separado, mas à nuvem para configuração. O Nebula faz a mediação entre duas conexões: ao dispositivo e ao computador do administrador da rede. Isso significa que a fase de chamada para um administrador recebido pode ser minimizada ou totalmente ignorada. E sem “buracos” adicionais no firewall.

E o servidor RADUIS? Afinal, é necessário algum tipo de autenticação centralizada!

E essas funções também são assumidas pela Nebulosa. A autenticação das contas de acesso aos equipamentos ocorre através de um banco de dados seguro. Isto simplifica muito a delegação ou retirada de direitos de gestão do sistema. Precisamos transferir direitos - criar um usuário, atribuir uma função. Precisamos retirar os direitos - realizamos os passos inversos.

Separadamente, vale a pena mencionar o WPA2-Enterprise, que requer um serviço de autenticação separado. O Zyxel Nebula possui seu próprio analógico - DPPSK, que permite usar WPA2-PSK com uma chave individual para cada usuário.

Perguntas "inconvenientes"

A seguir, tentaremos dar respostas às perguntas mais complicadas que costumam ser feitas ao entrar em um serviço de nuvem

É realmente seguro?

Em qualquer delegação de controle e gestão para garantir a segurança, dois fatores desempenham um papel importante: o anonimato e a criptografia.

Usar criptografia para proteger o tráfego de olhares indiscretos é algo com o qual os leitores estão mais ou menos familiarizados.

O anonimato oculta informações sobre o proprietário e a fonte do pessoal do provedor de nuvem. As informações pessoais são removidas e os registros recebem um identificador “sem rosto”. Nem o desenvolvedor do software em nuvem nem o administrador que mantém o sistema em nuvem podem conhecer o proprietário das solicitações. "De onde veio isso? Quem poderá estar interessado nisto?” - tais questões permanecerão sem resposta. A falta de informações sobre o proprietário e a fonte torna o insider uma perda de tempo inútil.

Se compararmos esta abordagem com a prática tradicional de terceirização ou contratação de um novo administrador, é óbvio que as tecnologias de nuvem são mais seguras. Um novo especialista em TI sabe bastante sobre sua organização e pode, quer queira quer não, causar danos significativos em termos de segurança. A questão da demissão ou rescisão do contrato ainda precisa ser resolvida. Às vezes, além de bloquear ou excluir uma conta, isso implica uma mudança global de senhas de acesso aos serviços, bem como uma auditoria de todos os recursos em busca de pontos de entrada “esquecidos” e possíveis “marcadores”.

Quanto mais caro ou mais barato é o Nebula do que um novo administrador?

Tudo é relativo. Os recursos básicos do Nebula estão disponíveis gratuitamente. Na verdade, o que poderia ser ainda mais barato?

Claro, é impossível prescindir completamente de um administrador de rede ou de uma pessoa que o substitua. A questão é o número de pessoas, sua especialização e distribuição pelos sites.

Quanto ao serviço estendido pago, fazer uma pergunta direta: mais caro ou mais barato - tal abordagem será sempre imprecisa e unilateral. Seria mais correto comparar muitos fatores, que vão desde o dinheiro para pagar o trabalho de especialistas específicos e terminando com os custos para garantir sua interação com um empreiteiro ou indivíduo: controle de qualidade, elaboração de documentação, manutenção do nível de segurança, e breve.

Se estamos falando sobre se é lucrativo ou não comprar um pacote pago de serviços (Pro-Pack), então uma resposta aproximada pode soar assim: se a organização for pequena, você pode conviver com o básico versão, se a organização está crescendo, então faz sentido pensar no Pro-Pack. As diferenças entre as versões do Zyxel Nebula podem ser vistas na Tabela 1.

Tabela 1. Diferenças entre os conjuntos de recursos básicos e Pro-Pack do Nebula.

Isso inclui relatórios avançados, auditoria de usuários, clonagem de configurações e muito mais.

E a proteção ao trânsito?

Nebulosa usa o protocolo NETCONF para garantir a operação segura dos equipamentos de rede.

NETCONF pode ser executado em vários protocolos de transporte:

• SSH (RFC 4742);
• SABÃO (RFC 4743);
• BEEP (RFC 4744);
• TLS (RFC 5539).

Se compararmos o NETCONF com outros métodos, por exemplo, gerenciamento via SNMP, deve-se notar que NETCONF suporta conexão TCP de saída para superar a barreira NAT e é considerado mais confiável.

E quanto ao suporte de hardware?

Claro, você não deve transformar a sala de servidores em um zoológico com representantes de tipos de equipamentos raros e ameaçados de extinção. É altamente desejável que os equipamentos unidos pela tecnologia de gestão cubram todas as direções: desde o switch central até os pontos de acesso. Os engenheiros da Zyxel cuidaram dessa possibilidade. Nebula executa muitos dispositivos:

• Switches centrais 10G;
• interruptores de nível de acesso;
• switches com PoE;
• pontos de acesso;
• gateways de rede.

Usando uma ampla variedade de dispositivos suportados, você pode construir redes para vários tipos de tarefas. Isto é especialmente verdadeiro para empresas que não crescem para cima, mas para fora, explorando constantemente novas áreas para fazer negócios.

Desenvolvimento contínuo

Os dispositivos de rede com método de gerenciamento tradicional têm apenas uma forma de melhoria - alterando o próprio dispositivo, seja um novo firmware ou módulos adicionais. No caso do Zyxel Nebula, existe um caminho adicional para melhoria - através da melhoria da infraestrutura em nuvem. Por exemplo, após atualizar o Nebula Control Center (NCC) para a versão 10.1. (21 de setembro de 2020) novos recursos estão disponíveis para os usuários, aqui estão alguns deles:

• O proprietário de uma organização pode agora transferir todos os direitos de propriedade para outro administrador da mesma organização;
• uma nova função denominada Representante do Proprietário, que tem os mesmos direitos do proprietário da organização;
• novo recurso de atualização de firmware para toda a organização (recurso Pro-Pack);
• duas novas opções foram adicionadas à topologia: reiniciar o dispositivo e ligar e desligar a porta PoE (função Pro-Pack);
• suporte para novos modelos de pontos de acesso: WAC500, WAC500H, WAC5302D-Sv2 e NWA1123ACv3;
• suporte para autenticação de voucher com impressão de código QR (função Pro-Pack).

Links úteis

1. Bate-papo por telegrama Zyxel
2. Fórum de equipamentos Zyxel
3. Muitos vídeos úteis no canal do Youtube
4. Nebulosa Zyxel - facilidade de gerenciamento como base para economia
5. Diferença entre as versões da nebulosa Zyxel
6. Nebulosa Zyxel e crescimento da empresa
7. Nuvem de supernova Zyxel Nebula - um caminho econômico para a segurança?
8. Nebulosa Zyxel – Opções para o seu negócio

Fonte: habr.com