1-4 minut

Jak zintegrować rozproszone lokalizacje biznesowe w warstwie sieci?

Dzisiejsze przedsiębiorstwa dość często wykorzystują rozproszenie geograficzne po to, by zoptymalizować procesy biznesowe, ograniczyć koszty lub dotrzeć do nowych grup klientów. Od niezawodnej komunikacji pomiędzy odległymi lokalizacjami zależy dostępność biznesowych aplikacji, bezpieczeństwo danych, a wraz z nimi – ciągłość działania firmy.

Najprostszy przypadek zastosowania aplikacji w rozproszonych, wielooddziałowych firmach zakłada wykorzystywanie rozwiązań, które łączą się do centralnych firmowych serwerów w bezpośrednich połączeniach, najczęściej szyfrowanych za pomocą SSL. Metoda ta nie wymaga budowania tuneli VPN między lokalizacjami, ale nadaje się jedynie dla tych niewielu rozwiązań, które zostały zbudowane pod kątem rozproszonych środowisk. Tego rodzaju aplikacje najczęściej funkcjonują w ramach środowisk chmury obliczeniowej. Są dzięki temu całkowicie niezależne od fizycznych lokalizacji użytkowników, mają typowy interfejs i bardzo dobrze funkcjonują przy użyciu standardowych łączy internetowych.

Nie wszystkie aplikacje i systemy stosowane w biznesie są jednak tak dobrze przystosowane do pracy wielooddziałowej. Najczęściej rozproszone lokalizacje należy połączyć na poziomie połączeń sieciowych – w sposób gwarantujący pewność i bezpieczeństwo transmisji.

VPN na urządzeniu końcowym

Nawet jeśli w organizacji korzysta się wyłącznie z aplikacji biznesowych, które nie wymagają budowy skomplikowanej sieci integracyjnej, to w firmowej infrastrukturze najczęściej funkcjonują inne systemy potrzebujące takiej integracji. Często, ze względu na konstrukcję aplikacji oraz wymagania w zakresie bezpieczeństwa, w grę wchodzi jedynie wykorzystanie tunelowania VPN. Obecne systemy operacyjne (Windows, Linux, OSX, Android, iOS) bezproblemowo obsługują tunele IPSec oraz SSL VPN za pomocą wbudowanych funkcjonalności lub zewnętrznych aplikacji. Taki tunel można zatem zestawić z dowolnego urządzenia prosto do firmowego koncentratora VPN. Połączenie może być również zestawiane automatycznie.

W momencie nawiązywania połączenia VPN zazwyczaj odbywa się dodatkowe uwierzytelnienie, a niekiedy także sprawdzenie stacji roboczej pod kątem zgodności z firmowymi założeniami bezpieczeństwa. Na tym etapie można sprawdzić obecność firmowych narzędzi zabezpieczeń (antywirus, firewall), stan aktualności systemu i oprogramowania, a nawet przeskanować komputer pod kątem obecności złośliwego lub niepożądanego oprogramowania. Dopiero po pomyślnym wyniku skanowania system zabezpieczeń udzieli dostępu, dla każdego urządzenia osobno.

 

Możliwe niezgodności

Zestawianie tuneli VPN bezpośrednio na urządzeniu końcowym ma jednak sporo wad. Najważniejsze są związane z koniecznością zarządzania poszczególnymi konfiguracjami i połączeniami – szczególnie w większej skali wdrożenia. Występują również problemy z niektórymi protokołami sieciowymi, które są słabo przystosowane do pracy wewnątrz tunelu z ograniczonym pasmem. Dodatkowe niedogodności pojawiają się także w niektórych instalacjach systemów Windows dołączonych do domeny Active Directory, gdy kontroler domeny jest widoczny dla systemu dopiero po zestawieniu połączenia VPN. Przedstawione problemy można wyeliminować, wprowadzając integrację oddziałów na poziomie sieci.

Centralna sieć połączy wszystkie oddziały

Budowa centralnie zarządzanej sieci, łączącej wszystkie sieci lokalne wszystkich oddziałów, jest naturalną odpowiedzią na problemy z połączeniami zestawianymi z urządzenia końcowego. Połączenia między nimi są tunelowane, każda lokalizacja dysponuje własną adresacją, a centralne zasoby są bezpośrednio widoczne. Stosunkowo prosto można wprowadzić serwery lokalnych usług, które odciążą połączenia do centrali, a jedynym ograniczeniem przy wykorzystywaniu aplikacji biznesowych może być ograniczone pasmo połączeń sieciowych. Przy budowie takiej sieci pojawiają się jednak problemy związane z bezpieczeństwem. Każdy oddział, który dotąd był odseparowany od firmowej podsieci z serwerami usługowymi, dysponuje bezpośrednim połączeniem sieciowym do centrali, bez konieczności zestawiania VPN ze stacji roboczej.

Ważne!

Przy centralnie zarządzanej sieci dostęp do firmowych zasobów jest znacznie prostszy, ale z drugiej strony, takie podejście wymaga wprowadzenia mechanizmów zabezpieczających do sieci lokalnych każdego oddziału. Proces weryfikacji dostępu oraz kontroli stacji roboczych musi być prowadzony przy każdorazowym dołączaniu stacji do sieci lokalnej w oddziale. Poza tym założenia polityki bezpieczeństwa obejmujące ograniczenia dostępu maszyn do sieci będą musiały być tak samo ścisłe i spójne w każdej lokalizacji.

W praktyce oznacza to konieczność rozciągnięcia firmowych zabezpieczeń (takich jak NAC – Network Access Control oraz podział na podsieci i centralne zarządzanie uwierzytelnieniem do sieci bezprzewodowych) do każdego oddziału. Równocześnie należy wprowadzić ścisłe ograniczenia ruchu sieciowego pomiędzy oddziałami, a także wdrożyć inspekcję i prewencję ataków – napastnicy często w pierwszej kolejności atakują gorzej chroniony oddział, a dopiero potem próbują uzyskać kontrolę nad systemami w głównej lokalizacji. Przy centralnej sieci, każda lokalizacja powinna być wyposażona we właściwe zabezpieczenia.

Transmisja danych

Ten artykuł dotyczy produktu

Transmisja danych

Przejdź do produktu
IP VPN

Ten artykuł dotyczy produktu

IP VPN

Przejdź do produktu

Data publikacji: 03.07.2017

Chcesz dostawać informacje o nowych wpisach?

Chcesz dostawać informacje o nowych wpisach?

Zostaw swój adres e-mail