Článok sa bude zaoberať problémami organizácie sieťovej infraštruktúry tradičným spôsobom a metódami riešenia rovnakých problémov pomocou cloudových technológií.
Pre odkaz. Nebula je cloudové prostredie SaaS na vzdialenú údržbu sieťovej infraštruktúry. Všetky zariadenia s podporou Nebula sú spravované z cloudu prostredníctvom zabezpečeného pripojenia. Môžete spravovať veľkú distribuovanú sieťovú infraštruktúru z jedného centra bez vynaloženia úsilia na jej vytvorenie.
Prečo potrebujete ďalšiu cloudovú službu?
Hlavným problémom pri práci so sieťovou infraštruktúrou nie je návrh siete a nákup zariadení, či dokonca ich inštalácia do racku, ale všetko ostatné, čo bude potrebné s touto sieťou v budúcnosti urobiť.
Nová sieť – staré starosti
Pri uvedení nového sieťového uzla do prevádzky po inštalácii a pripojení zariadenia sa začína počiatočná konfigurácia. Z pohľadu „veľkých šéfov“ – nič zložité: „Vezmeme pracovnú dokumentáciu k projektu a začneme nastavovať...“ Tak dobre sa to hovorí, keď sú všetky sieťové prvky umiestnené v jednom dátovom centre. Ak sú roztrúsené po pobočkách, začína bolesť hlavy s poskytovaním vzdialeného prístupu. Je to taký začarovaný kruh: ak chcete získať vzdialený prístup cez sieť, musíte nakonfigurovať sieťové zariadenie a na to potrebujete prístup cez sieť...
Musíme vymyslieť rôzne schémy, ako sa dostať z vyššie opísanej slepej uličky. Napríklad notebook s prístupom na internet cez USB 4G modem je pripojený cez prepojovací kábel k vlastnej sieti. Na tomto notebooku je nainštalovaný VPN klient a cez neho sa správca siete z centrály snaží získať prístup do pobočkovej siete. Schéma nie je najtransparentnejšia – aj keď si na vzdialenú lokalitu prinesiete notebook s predkonfigurovanou VPN a požiadate o jeho zapnutie, zďaleka nie je pravda, že všetko bude fungovať na prvýkrát. Najmä ak hovoríme o inom regióne s iným poskytovateľom.
Ukazuje sa, že najspoľahlivejším spôsobom je mať dobrého špecialistu „na druhom konci linky“, ktorý dokáže svoju časť nakonfigurovať podľa projektu. Ak v personáli pobočky nič také nie je, zostávajú možnosti: buď outsourcing, alebo služobné cesty.
Potrebujeme aj monitorovací systém. Je potrebné ho nainštalovať, nakonfigurovať, udržiavať (aspoň monitorovať miesto na disku a pravidelne zálohovať). A ktorá nevie nič o našich zariadeniach, kým to nepovieme. Aby ste to dosiahli, musíte zaregistrovať nastavenia pre všetky časti zariadenia a pravidelne sledovať relevantnosť záznamov.
Je skvelé, keď má personál vlastný „one-man orchester“, ktorý okrem špecifických znalostí správcu siete vie pracovať so Zabbixom alebo iným podobným systémom. V opačnom prípade najmeme iného zamestnanca alebo ho outsourcujeme.
Poznámka. Najsmutnejšie chyby začínajú slovami: „Čo je potrebné nakonfigurovať tento Zabbix (Nagios, OpenView atď.)? Rýchlo to vyberiem a je to pripravené!"
Od implementácie až po prevádzku
Pozrime sa na konkrétny príklad.
Bola prijatá poplašná správa oznamujúca, že niekde prístupový bod WiFi neodpovedá.
Kde je?
Samozrejme, dobrý správca siete má svoj osobný adresár, do ktorého sa všetko zapisuje. Otázky začínajú, keď je potrebné tieto informácie zdieľať. Napríklad naliehavo potrebujete poslať posla, aby veci vyriešil na mieste, a preto musíte vydať niečo ako: „Prístupový bod v obchodnom centre na ulici Stroiteley, budova 1, na 3. poschodí, miestnosť č. 301 vedľa predných dverí pod stropom."
Povedzme, že máme šťastie a prístupový bod je napájaný cez PoE a prepínač umožňuje jeho reštart na diaľku. Nemusíte cestovať, ale potrebujete vzdialený prístup k prepínaču. Zostáva len nakonfigurovať presmerovanie portov cez PAT na smerovači, zistiť VLAN pre pripojenie zvonku atď. Je dobré, ak je všetko vopred nastavené. Práca nemusí byť náročná, ale treba ju urobiť.
Výdajňa potravín bola teda reštartovaná. Nepomohlo?
Povedzme, že niečo nie je v poriadku v hardvéri. Teraz hľadáme informácie o záruke, spustení a ďalších podrobnostiach, ktoré nás zaujímajú.
Keď už hovoríme o WiFi. Používanie domácej verzie WPA2-PSK, ktorá má jeden kľúč pre všetky zariadenia, sa v podnikovom prostredí neodporúča. Po prvé, jeden kľúč pre všetkých je jednoducho nebezpečný a po druhé, keď jeden zamestnanec odíde, musíte tento spoločný kľúč zmeniť a znova vykonať nastavenia na všetkých zariadeniach pre všetkých používateľov. Aby sa predišlo takýmto problémom, existuje WPA2-Enterprise s individuálnou autentifikáciou pre každého používateľa. Na to však potrebujete server RADIUS – ďalšiu jednotku infraštruktúry, ktorú je potrebné riadiť, vytvárať zálohy atď.
Upozorňujeme, že v každej fáze, či už ide o implementáciu alebo prevádzku, sme používali podporné systémy. To zahŕňa laptop s internetovým pripojením „tretej strany“, monitorovací systém, referenčnú databázu zariadení a RADIUS ako autentifikačný systém. Okrem sieťových zariadení musíte udržiavať aj služby tretích strán.
V takýchto prípadoch si môžete vypočuť radu: „Dajte to cloudu a netrpte“. Určite existuje cloud Zabbix, možno niekde existuje cloudový RADIUS a dokonca aj cloudová databáza na udržiavanie zoznamu zariadení. Problém je v tom, že to nie je potrebné samostatne, ale „v jednej fľaši“. A stále vyvstávajú otázky týkajúce sa organizácie prístupu, počiatočného nastavenia zariadenia, zabezpečenia a oveľa viac.
Ako to vyzerá pri používaní Nebuly?
Samozrejme, spočiatku „cloud“ nevie nič o našich plánoch ani o zakúpenom vybavení.
Najprv sa vytvorí profil organizácie. To znamená, že celá infraštruktúra: centrála a pobočky je najprv zaregistrovaná v cloude. Podrobnosti sú špecifikované a účty sú vytvorené pre delegovanie právomocí.
Svoje zariadenia môžete zaregistrovať v cloude dvoma spôsobmi: staromódnym spôsobom - jednoducho zadaním sériového čísla pri vypĺňaní webového formulára alebo naskenovaním QR kódu pomocou mobilného telefónu. Na druhú metódu potrebujete iba smartfón s fotoaparátom a prístupom na internet, a to aj prostredníctvom mobilného operátora.
Samozrejme, potrebnú infraštruktúru na ukladanie informácií, účtovných aj nastavení, poskytuje Zyxel Nebula.
Obrázok 1. Bezpečnostná správa Nebula Control Center.
Ako je to s nastavením prístupu? Otváranie portov, presmerovanie prevádzky cez prichádzajúcu bránu, všetko, čo správcovia bezpečnosti láskyplne nazývajú „vyberanie dier“? Našťastie toto všetko robiť nemusíte. Zariadenia so systémom Nebula nadviažu odchádzajúce spojenie. A správca sa na konfiguráciu nepripája k samostatnému zariadeniu, ale ku cloudu. Nebula sprostredkúva dve spojenia: k zariadeniu a k počítaču správcu siete. To znamená, že fázu volania prichádzajúceho správcu možno minimalizovať alebo úplne preskočiť. A žiadne ďalšie „diery“ vo firewalle.
A čo server RADUIS? Koniec koncov, nejaký druh centralizovaného overovania je potrebný!
A tieto funkcie preberá aj Nebula. Autentifikácia účtov pre prístup k zariadeniu prebieha prostredníctvom zabezpečenej databázy. To výrazne zjednodušuje delegovanie alebo odobratie práv na správu systému. Potrebujeme preniesť práva – vytvoriť používateľa, prideliť rolu. Potrebujeme odobrať práva - vykonávame opačné kroky.
Samostatne stojí za zmienku WPA2-Enterprise, ktorý vyžaduje samostatnú autentifikačnú službu. Zyxel Nebula má svoj vlastný analóg - DPPSK, ktorý vám umožňuje používať WPA2-PSK s individuálnym kľúčom pre každého používateľa.
"Nepohodlné" otázky
Nižšie sa pokúsime dať odpovede na najzložitejšie otázky, ktoré sa často kladú pri vstupe do cloudovej služby
Je to naozaj bezpečné?
Pri akomkoľvek delegovaní kontroly a riadenia na zaistenie bezpečnosti hrajú dôležitú úlohu dva faktory: anonymizácia a šifrovanie.
Používanie šifrovania na ochranu prevádzky pred zvedavými očami je niečo, čo čitatelia viac-menej poznajú.
Anonymizácia skryje informácie o vlastníkovi a zdroji pred personálom poskytovateľa cloudu. Osobné údaje sa odstránia a záznamom sa priradí „beztvárový“ identifikátor. Ani vývojár cloudového softvéru, ani správca spravujúci cloudový systém nemôže poznať vlastníka požiadaviek. „Odkiaľ sa to tu vzalo? Koho to môže zaujímať?“ – takéto otázky zostanú nezodpovedané. Nedostatok informácií o majiteľovi a zdroji robí insidera zbytočnou stratou času.
Ak tento prístup porovnáme s tradičnou praxou outsourcingu alebo najatia prichádzajúceho správcu, je zrejmé, že cloudové technológie sú bezpečnejšie. Prichádzajúci IT špecialista vie o svojej organizácii pomerne veľa a môže, chtiac-nechtiac, spôsobiť značné škody z hľadiska bezpečnosti. Doriešiť treba ešte otázku výpovede alebo ukončenia zmluvy. Niekedy to okrem zablokovania alebo odstránenia účtu znamená aj globálnu zmenu hesiel pre prístup k službám, ako aj audit všetkých zdrojov pre „zabudnuté“ vstupné body a možné „záložky“.
O koľko drahšia alebo lacnejšia je Nebula ako prichádzajúci admin?
Všetko je relatívne. Základné funkcie Nebuly sú dostupné zadarmo. Vlastne, čo môže byť ešte lacnejšie?
Samozrejme, bez správcu siete alebo osoby, ktorá ho nahrádza, sa to úplne nezaobíde. Otázkou je počet ľudí, ich špecializácia a rozloženie naprieč stránkami.
Čo sa týka platenej rozšírenej služby, položiť si priamu otázku: drahšie alebo lacnejšie - takýto prístup bude vždy nepresný a jednostranný. Správnejšie by bolo porovnávať mnoho faktorov, od peňazí na zaplatenie práce konkrétnych špecialistov a končiac nákladmi na zabezpečenie ich interakcie s dodávateľom alebo jednotlivcom: kontrola kvality, vypracovanie dokumentácie, udržiavanie úrovne bezpečnosti a tak ďalej.
Ak hovoríme o téme, či je alebo nie je ziskové nakupovať platený balík služieb (Pro-Pack), približná odpoveď môže znieť takto: ak je organizácia malá, vystačíte si so základným verzia, ak organizácia rastie, potom má zmysel uvažovať o Pro-Pack. Rozdiely medzi verziami hmloviny Zyxel môžete vidieť v tabuľke 1.
Tabuľka 1. Rozdiely medzi základnými a Pro-Pack sadami funkcií pre Nebula.
To zahŕňa pokročilé hlásenia, audit používateľov, klonovanie konfigurácie a oveľa viac.
Ako je to s ochranou dopravy?
Hmlovina používa protokol na zabezpečenie bezpečnej prevádzky sieťových zariadení.
NETCONF môže bežať nad niekoľkými transportnými protokolmi:
- ();
- ();
- ();
- ().
Ak porovnáme NETCONF s inými metódami, napríklad správou cez SNMP, treba poznamenať, že NETCONF podporuje odchádzajúce pripojenie TCP na prekonanie bariéry NAT a považuje sa za spoľahlivejšie.
A čo hardvérová podpora?
Samozrejme, serverovňu by ste nemali premeniť na zoologickú záhradu so zástupcami vzácnych a ohrozených typov zariadení. Je veľmi žiaduce, aby zariadenia spojené technológiou riadenia pokrývali všetky smery: od centrálneho prepínača po prístupové body. O túto možnosť sa postarali inžinieri Zyxel. Nebula prevádzkuje mnoho zariadení:
- 10G centrálne spínače;
- prepínače úrovne prístupu;
- prepínače s PoE;
- prístupové body;
- сетевые шлюзы.
Pomocou širokej škály podporovaných zariadení môžete vytvárať siete pre rôzne typy úloh. Platí to najmä pre spoločnosti, ktoré rastú nie smerom nahor, ale smerom von, pričom neustále skúmajú nové oblasti podnikania.
Priebežný vývoj
Sieťové zariadenia s tradičnou metódou správy majú len jeden spôsob zlepšenia – zmenu samotného zariadenia, či už ide o nový firmvér alebo prídavné moduly. V prípade Zyxel Nebula existuje dodatočná cesta na zlepšenie – cez zlepšenie cloudovej infraštruktúry. Napríklad po aktualizácii Nebula Control Center (NCC) na verziu 10.1. (21. septembra 2020) sú používateľom k dispozícii nové funkcie, tu sú niektoré z nich:
- Vlastník organizácie teraz môže previesť všetky vlastnícke práva na iného správcu v tej istej organizácii;
- nová rola s názvom Zástupca vlastníka, ktorá má rovnaké práva ako vlastník organizácie;
- nová funkcia aktualizácie firmvéru pre celú organizáciu (funkcia Pro-Pack);
- do topológie boli pridané dve nové možnosti: reštartovanie zariadenia a zapnutie a vypnutie napájania PoE portu (funkcia Pro-Pack);
- podpora nových modelov prístupových bodov: WAC500, WAC500H, WAC5302D-Sv2 a NWA1123ACv3;
- podpora overenia poukážky s tlačou QR kódu (funkcia Pro-Pack).
Užitočné odkazy
Zdroj: hab.com