Что нужно знать об изолированных сетях, если вы руководите распределенной компанией

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!

Под «распределенной» мы имеем в виду компанию, у которой несколько офисов (и они находятся в разных точках города, страны или даже в разных странах). А также если вы или ваши сотрудники часто работаете удаленно.

Изолированные сети позволяют объединить корпоративные филиалы или отдельные облачные площадки и защищают пересылаемые данные. Расскажем о возможностях технологии на примере нашего продукта — Cloud VPN.

Зачем все это нужно — мини-гайд

В прошлом вся корпоративная сетевая инфраструктура находилась в штаб-квартире компании или в непосредственной близости от неё. Сотрудники также работали в пределах здания. Такой подход давал определенные преимущества — центральный офис получал полный контроль над коммуникациями. Входящий и исходящий трафик проходил через единую инфраструктуру, которую было проще администрировать.

Но были и сложности — в частности, возникала единая точка отказа. Если в дата-центре происходила авария, бизнес-процессы вставали на неопределенный срок (который зависел от многих факторов и удачи). Известна история, когда корпоративный дата-центр Rackspace лишился электричества из-за того, что водитель грузовика случайно протаранил трансформатор. Другой пример — дикая белка, которая перегрызла кабель питания у ЦОДа в Калифорнии и отключила половину машинного зала.

Сегодня ситуация изменилась, как изменилась и концепция работы с вычислительными ресурсами. Появились мультиоблачные среды, а компании переходят на инфраструктуру сервис-провайдеров. Однако многие бизнесы до сих пор остаются в гибридном состоянии. Часть их железа все еще находится on-premise. Но пользователи все равно подключаются к корпоративным ресурсам удаленно — из филиалов, разбросанных по всей стране, или из дома с личных устройств. В таких условиях необходимо обеспечить безопасный доступ к корпоративной инфраструктуре, защитить трафик. Для этих целей используют изолированные сети.

Как подключить внешнего пользователя

Первый вариант — использовать hardware VPN. Подход подразумевает настройку отдельного устройства, которое возьмет на себя шифрование и дешифрование данных, а также аутентификацию пользователей. Такой подход считается одним из наиболее безопасных, поскольку формирует физическое препятствие между корпоративной сетью и интернетом [для фильтрации входящих и исходящих пакетов] в виде дополнительного устройства. Однако настройка аппаратного VPN имеет определенные сложности. Особенно в том случае, если структура компании подразумевает десятки и сотни удаленных филиалов (или сотрудников).

Многие инженеры не любят работать с такими системами, так как им необходимо прибыть на место, чтобы установить и настроить оборудование. Специалисты отмечают необходимость тратить силы и время на разъезды и многочасовые пробки в рамках рабочего дня. Ситуация усугубляется, если удаленный сотрудник или филиал находится в другой стране.

Кроме того, если аппаратный VPN не задублирован, возникают дополнительные риски: в случае его выхода из строя понадобится организовывать резервное подключение. Текущие реалии тоже накладывают определенные ограничения на использование аппаратных VPN. В некоторых решениях (особенно для крупного бизнеса) часть функциональности открывается за счет покупки или продления лицензии, поэтому уход вендоров с рынка привел к тому, что компаниям срочно понадобились альтернативы.

Наконец, аппаратные VPN могут стать подводным камнем, если компания решится на миграцию в облако.

Очень часто у заказчиков, которые задумываются о миграции или делают первые шаги в этом направлении, уже существует действующая сетевая инфраструктура, которая включает и аппаратные решения. Обычно это или отдельное устройство, или устройство все-в-одном: роутер/NGFW с функциями VPN-шлюза.

И в проекте миграции инфраструктуры заказчика в облако это — отдельная проблема. Архитекторам нужно найти подходящее техническое решение по удаленному подключению пользователей и перенести все настройки для условно бесшовного переключения между исходной (on-prem) и целевой инфраструктурой (в облаке); процесс осложняется тем, что настройки необходимо выполнять и на стороне облака, и у пользователей на рабочих местах.

По этой причине ряд специалистов относит аппаратные VPN в категорию теряющих актуальность технологий. Она была популярна в начале нулевых и была обусловлена необходимостью. Вычислительным системам могло не хватать ресурсов для выполнения задач туннелирования параллельно основным обязанностям. Для этих целей требовалось отдельное устройство. Но с ростом мощностей, многозадачность и программные VPN стали нормой.

При этом настройка инфраструктуры на основе открытых решений требует определенного уровня экспертизы и наличия ИТ-специалистов, способных её поддерживать. Особенно если речь идет о подключении между филиалами в разных регионах: необходимо провести инвентаризацию программного и аппаратного обеспечения в каждой точке (оно должно быть совместимо друг с другом и поддерживать аналогичные протоколы). А также настроить инфраструктуру для безопасного обмена ключами в рамках непосредственно организации VPN-туннелей (в противном случае пользователи столкнутся с низким качеством соединения и проблемами безопасности).

Альтернативный вариант — для развертки изолированного корпоративного канала можно обратиться к облачному провайдеру. Преимуществом построения изолированных сетей в облаке становится геораспределённая инфраструктура провайдера. Она сокращает издержки на обслуживание, даже если у компании много филиалов и удаленных сотрудников. В то же время сервис уменьшает затраты на оборудование, так как поставщик услуги отвечает за железо, администрирование и мониторинг. Далее расскажем о возможностях облачных изолированных сетей на примере нашего сервиса Cloud VPN.

Что предложит Cloud VPN

Сервис позволяет строить изолированные каналы L2VPN и L3VPN в облачной инфраструктуре CloudMTS. Они гарантируют изолированную доставку данных по магистральной сети между нашими дата-центрами.

Чаще всего Cloud VPN используют компании, которым нужно связать офис или оборудование в нашем ЦОД с инфраструктурой у нас в облаке. Кому-то из клиентов надо связать две инфраструктуры в двух разных дата-центрах. Еще вариант использования Cloud VPN — когда нужно простроить канал от офиса до наших сервисов вроде VDI с гарантированной пропускной способностью и защищённостью.

Один из кейсов: клиент установил сервер в колокацию и хотел связать его с действующей инфраструктурой в одном из наших ЦОД. Мы организовали кроссировку кабелей линии связи, а потом «растянули» этот канал от его железа до виртуального маршрутизатора при его организации (эта сущность называется «виртуальный дата-центр», VDC).

Вариант с двумя VDC можно представить на схеме следующим образом (в каждом VDC может быть одна, либо несколько сетей виртуальных машин):

Панель управления VDC выглядит так:

Фактически, Cloud VPN — это интерфейс, который «приходит» на каждый из маршрутизаторов и обеспечивает стык между ними. Для этого могут использоваться сразу несколько различных сетевых устройств, на которых будут прописаны одни и те же настройки; со стороны виртуализации это — виртуальный дата-центр.

С помощью Cloud VPN можно связать как виртуальные ресурсы, так и оборудование на разных площадках, настроить резервное копирование на наши удаленные площадки и обеспечить disaster recovery. При этом данные хранятся в изолированном контуре, а все VPN-каналы защищены ИБ-средствами. Офисы клиентов подключаются к облаку с помощью выделенных каналов — CloudVPN Direct Connect. Оптимальная маршрутизация достигается за счет минимизации числа промежуточных узлов:

Мы «растягиваем» L2-сеть между маршрутизаторами (реальными или виртуальными) на облачных ресурсах заказчика. Трафик идет по кратчайшему, применительно к нашей инфраструктуре, маршруту, так как проходит минимальное количество поинтов.

Чтобы воспользоваться возможностями сервиса, достаточно оставить запрос, заполнить бриф, согласовать формальности и дождаться реализации заявки.

Источник: https://habr.com/ru/companies/cloud_mts/articles/760452/


Интересные статьи

Интересные статьи

Поговорим о том, что такое enterprise разработка, какие у enterprise проектов могут быть нюансы, и какие навыки нужно обрести для успешной работы в разрезе .NET стека. 
Мир больших данных становится только еще больше. Организации всех мастей производят огромное количество данных из года в год, и находят все больше способов использовать их для улучшения работы, лучшег...
До прихода в индустрию я искал материалы про QA в геймдеве, чтобы понять отличия от других областей. Результатов нашлось не много — обычно пишут про общие или абстрактные вещи, или о том, что это прос...
Как вы охарактеризуете руководителя, который работает не 8-9 часов, а 11-12? Это хорошо и можно его назвать вовлеченным, или есть нюансы? Надеюсь перед ответом на эти вопросы вы н...
Привет, Хабр!В первой части статьи мы обсудили, зачем может быть необходимо генерировать случайные числа участникам, которые не доверяют друг другу, какие требования выдвигаются к та...