У статті йтиметься про проблеми організації мережевої інфраструктури традиційним способом і про методи вирішення тих самих питань за допомогою хмарних технологій.
Для довідки. Nebula – хмарне середовище SaaS для віддаленої підтримки мережевої інфраструктури. Всі пристрої, що підтримують Nebula, керуються з хмари через безпечне з'єднання. Можна керувати великою розподіленою мережевою інфраструктурою з єдиного центру, не витративши зусилля щодо його створення.
Навіщо потрібен черговий хмарний сервіс?
Основна проблема при роботі з мережевою інфраструктурою — це не проектування мережі та закупівля обладнання, і навіть не монтаж у стійку, а все інше, що з цією мережею надалі робитиметься.
Мережа нова – турботи старі
При введенні в експлуатацію нового вузла мережі після монтажу та підключення обладнання починається початкове налаштування. З погляду «великого начальства» — нічого складного: «Беремо робочу документацію за проектом і починаємо налаштовувати…» Це так добре говориться, коли всі мережеві елементи стоять в одному ЦОДі. Якщо вони розкидані по філіях, починається біль із забезпеченням віддаленого доступу. Таке замкнуте коло: щоб отримати віддалений доступ по мережі, потрібно налаштувати мережеве обладнання, а для цього потрібен доступ по мережі.
Доводиться вигадувати різні схеми виходу з вищеописаного глухого кута. Наприклад, ноутбук з доступом в Інтернет через USB 4G модем підключається через патчкорд до мережі, що настроюється. На цьому ноутбуці піднімається VPN клієнт і через нього мережевий адміністратор зі штаб-квартири намагається отримати доступ до мережі філії. Схема не найпрозоріша - навіть якщо привезти ноутбук із заздалегідь налаштованим VPN на віддалений майданчик і попросити його включити, далеко не факт, що все запрацює з першого разу. Особливо якщо йдеться про інший регіон із іншим провайдером.
Виходить, найнадійніший спосіб — тримати «на іншому кінці дроту» хорошого фахівця, який зможе налаштувати свою частину згідно проекту. Якщо такої в штаті філії немає, залишаються варіанти: або аутсорсинг, або відрядження.
Ще потрібна система моніторингу. Її потрібно встановити, налаштувати, обслуговувати (хоча б стежити за місцем на диску і регулярно робити резервні копії). І яка нічого не знає про наші пристрої, поки ми їй не повідомимо. Для цього потрібно прописати налаштування для всіх одиниць обладнання та регулярно стежити за актуальністю записів.
Чудово, коли в штаті є своя «людина-оркестр», яка, окрім специфічних знань мережного адміністратора, вміє працювати з Zabbix або з іншою аналогічною системою. В іншому випадку беремо ще одну людину в штат або віддаємо на аутсорсинг.
Примітка. Найсумніші проколи починаються зі слів: «Та що там цей Zabbix (Nagios, OpenView тощо) налаштовувати? Я зараз ось його швиденько підніму і готове!
Від застосування до експлуатації
Розглянемо конкретний приклад.
Отримано тривожне повідомлення про те, що десь не відповідає точка доступу WiFi.
Де вона знаходиться?
Зрозуміло, хороший мережевий адміністратор має свій особистий довідник, в якому все записано. Запитання починаються, коли цією інформацією потрібно ділитися. Наприклад, треба терміново послати гінця, щоб розібратися на місці, а для цього потрібно видати щось на кшталт: «Точка доступу в бізнес-центрі на вулиці Будівельників, будинок 1, на 3 поверсі, кабінет N 301 поряд з вхідними дверима під стелею».
Допустимо, нам пощастило і точка доступу живиться через PoE, а комутатор дозволяє її перезавантажити віддалено. Їхати не треба, але потрібний віддалений доступ до комутатора. Залишається налаштувати прокидання портів через PAT на маршрутизаторі, розібратися з VLAN для підключення ззовні і так далі. Добре, якщо все налаштовано заздалегідь. Робота може і не складна, але робити треба.
Отже, точку харчування перезавантажили. Не допомогло?
Припустимо, щось негаразд в апаратній частині. Тепер шукаємо інформацію про гарантію, початок експлуатації та інші деталі, що цікавлять.
До речі про WiFi. Використання домашнього варіанта WPA2-PSK, в якому один ключ на всі пристрої – у корпоративному середовищі не рекомендується. По-перше, один ключ на всіх - це просто небезпечно, по-друге, коли один співробітник звільняється, то доводиться змінювати цей спільний ключ і наново виконувати налаштування на всіх пристроях у всіх користувачів. Щоб уникнути подібних неприємностей, існує WPA2-Enterprise з індивідуальною автентифікацією кожного користувача. Але для цього потрібний RADIUS сервер — ще одна інфраструктурна одиниця, яку треба контролювати, робити резервні копії тощо.
Зверніть увагу, що на кожному етапі, будь то впровадження або експлуатація, ми користувалися допоміжними системами. Це і ноутбук із «стороннім» виходом в Інтернет, і система моніторингу, і довідкова база з обладнання, і RADIUS як аутентифікація. Крім мережевих пристроїв, доводиться обслуговувати ще й інші послуги.
У таких випадках можна почути пораду: «Віддати в хмару і не мучитися». Напевно, є хмарний Zabbix, можливо десь є хмарний RADIUS, і навіть хмарна база даних, щоб вести список пристроїв. Біда в тому, що це потрібно не нарізно, а «в одному флаконі». І все одно постають питання організації доступу, початкового налаштування пристроїв, безпеки та багато іншого.
Як це виглядає під час використання Nebula?
Зрозуміло, спочатку «хмара» нічого не знає ні про наші плани, ні про придбане обладнання.
Спершу створюється профіль організації. Тобто вся інфраструктура: штаб-квартира та філії спочатку прописується у хмарі. Вказуються реквізити, створюються облікові записи делегування повноважень.
Зареєструвати пристрої у хмарі можна двома способами: по-старому — просто вписавши серійник при заповненні веб-форми або відсканувавши QR-код за допомогою мобільного телефону. Все, що потрібно для другого способу - смартфон з камерою і доступом в Інтернет, у тому числі через мобільного провайдера.
Очевидно, потрібну інфраструктуру для зберігання інформації, як облікової, так і опцій надає Zyxel Nebula.
1. Звіт безпеки Nebula Control Center.
А що з налаштуванням доступу? Відкриттям портів, прокиданням трафіку через вхідний шлюз, усім тим, що адміністратори безпеки ласкаво називають: «надибати дірок»? На щастя, цього робити не потрібно. Пристрої під керуванням Nebula встановлюють вихідне з'єднання. І адміністратор підключається не до окремого пристрою, а до хмари. Nebula виступає посередником між двома з'єднаннями: з пристроєм та комп'ютером мережного адміністратора. Це означає, що етап з викликом адміна, що приходить, можна звести до мінімуму, або пропустити зовсім. І жодних додаткових «дірок» на файрволі.
А як же сервер RADUIS? Адже потрібна якась централізована автентифікація!
І ці функції теж бере на себе Nebula. Аутентифікація облікових записів для доступу до обладнання йде через захищену базу даних. Це спрощує делегування чи вилучення прав з управління системою. Потрібно передати права - заводимо користувача, призначаємо роль. Потрібно відібрати права – виконуємо зворотні дії.
Окремо варто сказати про WPA2-Enterprise, для якого потрібний окремий сервіс автентифікації. Zyxel Nebula має власний аналог — DPPSK, який дозволяє використовувати WPA2-PSK з індивідуальним ключем для кожного користувача.
«Незручні» питання
Нижче спробуємо дати відповіді на найбільш каверзні питання, які часто ставлять під час входу до хмарного сервісу
А це точно безпечно?
За будь-якого делегування контролю та управління для забезпечення безпеки важливу роль відіграють два фактори: анонімізація та шифрування.
Використання шифрування для захисту трафіку від сторонніх очей – це читачам більш-менш знайоме.
Анонімізація приховує від персоналу хмарного провайдера інформацію про власника та джерело. Персональна інформація видаляється, а записам надається «безликий» ідентифікатор. Ні розробник хмарного програмного забезпечення, ні адміністратор, який обслуговує хмарну систему, не можуть знати власника запитів. Звідки це прийшло? Кого це може зацікавити?» — такі питання залишаться без відповіді. Відсутність даних про власника та джерело робить інсайдинг безглуздою марнуванням часу.
Якщо порівнювати цей підхід із традиційною практикою передачі на аутсорсинг або найму адміна, що приходить — очевидно, що хмарні технології безпечніші. Приходить ІТ фахівець знає про свою підопічну організацію досить багато, і може волею або неволею завдати істотної шкоди в плані безпеки. Ще треба вирішити питання про звільнення або завершення договору. Іноді, окрім блокування або видалення облікового запису, це тягне за собою глобальну зміну паролів для доступу до сервісів, а також аудит усіх ресурсів щодо «забутих» точок входу та можливих «закладок».
Наскільки Nebula дорожче або дешевше адміна, що приходить?
Все пізнається в порівнянні. Базові функції Nebula доступні безкоштовно. Власне, що може бути ще дешевшим?
Зрозуміло, абсолютно обійтися без мережевого адміністратора або особи, яка його замінює, не вийде. Питання у кількості людей, їх спеціалізації та розподілі по майданчиках.
Що ж до платного розширеного сервісу, то ставити пряме питання: дорожче чи дешевше — такий підхід завжди буде неточним та однобоким. Правильніше порівнятиме безліч факторів, починаючи від грошей на оплату роботи конкретних фахівців і закінчуючи витратами щодо забезпечення їх взаємодії з підрядною організацією або фізособою: контроль якості виконання, складання документації, підтримання рівня безпеки тощо.
Якщо ж говорити на тему вигідно чи не вигідно купувати платний пакет послуг (Pro-Pack), то приблизна відповідь може звучати так: якщо організація маленька, можна обійтися базовою версією, якщо організація росте, то є сенс подумати про Pro-Pack. Відмінність між версіями Zyxel Nebula можна переглянути в таблиці 1.
Таблиця 1. Різниця наборів функцій базової версії та версії Pro-Pack для Nebula.
Це і розширена звітність, і аудит користувачів, і клонування конфігурації, і багато іншого.
А що із захистом трафіку?
Nebula використовує протокол для забезпечення безпеки роботи із мережевим обладнанням.
NETCONF може працювати поверх кількох транспортних протоколів:
- ();
- ();
- ();
- ().
Якщо порівнювати NETCONF з іншими методами, наприклад, керування через SNMP, слід зазначити, що NETCONF підтримує вихідне TCP-з'єднання подолання бар'єру NAT і вважається надійнішим.
Що за допомогою обладнання?
Зрозуміло, не варто перетворювати серверну на зоопарк з представниками рідкісних видів обладнання, що вимирають. Вкрай бажано, щоб обладнання, об'єднане технологією управління, закривало всі напрямки: від центрального комутатора до точок доступу. Інженери Zyxel подбали про таку можливість. Під керуванням Nebula працює безліч пристроїв:
- центральні комутатори 10G;
- комутатори рівня доступу;
- комутатори з PoE;
- точки доступу;
- мережеві шлюзи.
Використовуючи широкий спектр підтримуваних пристроїв, можна будувати мережі під різні типи завдань. Особливо це актуально для компаній, які ростуть не вгору, а вшир, постійно освоюючи нові майданчики для ведення бізнесу.
постійний розвиток
Мережеві пристрої з традиційним методом управління мають лише один шлях удосконалення - зміна самого пристрою, чи то нова прошивка, чи додаткові модулі. У випадку з Zyxel Nebula є додатковий шлях для покращення через вдосконалення хмарної інфраструктури. Наприклад, після оновлення Nebula Control Center (NCC) до версії 10.1. (21 вересня 2020) користувачам доступні нові можливості, ось деякі з них:
- власник організації тепер може передати всі права володіння іншому адміністратору тієї ж організації;
- нова роль під назвою «Представник власника», яка має самі права, як і власник організації;
- нова функція оновлення прошивки у масштабах всієї організації (функція Pro-Pack);
- до топології додано дві нові опції: перезавантаження пристрою та включення та вимикання живлення порту PoE (функція Pro-Pack);
- підтримка нових моделей точок доступу: WAC500, WAC500H, WAC5302D-Sv2 та NWA1123ACv3;
- підтримка аутентифікації ваучерів з печаткою QR-кодів (функція Pro-Pack).
Корисні посилання
Джерело: habr.com