Автономды құрылғыларды қосу туралы

Әрқашан негізгі желіден тыс кейбір басқарылатын құрылғыларды (мысалы, компанияның аймақтық филиалдарындағы компьютерлер; әртүрлі сату орындарында орнатылған дүңгіршектер, банкоматтар және терминалдар; қызметкерлердің үй кеңселеріндегі компьютерлер) Басқару серверіне тікелей қосу мүмкін емес. Кейбір құрылғылар кейде желінің периметрінен асып кетеді (мысалы, аймақтық филиалдарға немесе клиенттің кеңсесіне баратын пайдаланушылардың ноутбуктері).

Сіз әлі де кеңседен тыс құрылғылардың қорғанысын қадағалап, басқаруыңыз керек – олардың қорғаныс күйі туралы өзекті ақпарат алу және олардағы қауіпсіздік бағдарламаларын жаңартып отыру. Бұл, мысалы, мұндай құрылғы негізгі желіден алшақ жерде бұзылатын болса, ол негізгі желіге қосылғаннан кейін бірден қауіп тарататын платформаға айналуы мүмкін болғандықтан қажет. Автономды құрылғыларды Басқару серверіне қосу үшін келесі екі тәсілді қолдануға болады:

• Демилитаризацияланған аймақтағы (DMZ) қосылымдар шлюзі

  Деректер трафигі схемасын қараңыз: Жергілікті желі (LAN) ішіндегі Басқару сервері, интернеттегі басқарылатын құрылғылар; қосылым шлюзін қолдану.

• Демилитаризацияланған аймақтағы (DMZ) Басқару сервері

  Деректер трафигі схемасын қараңыз: Демилитаризацияланған аймақтың (DMZ) ішіндегі Басқару сервері, интернеттегі басқарылатын құрылғылар.

Демилитаризацияланған аймақтағы қосылымдар шлюзі

Автономды құрылғыларды Басқару серверіне қосудың ұсынылған тәсілі – ұйым желісінде демилитаризацияланған аймақты құру және демилитаризацияланған аймақта қосылым шлюзін орнату. Сыртқы құрылғылар қосылым шлюзіне қосылады, ал желі ішіндегі Басқару сервері құрылғыларға қосылым шлюзі арқылы қосылымды бастайды.

Басқасымен салыстырғанда, бұл ең қауіпсіз болып есептеледі:

• Басқару серверіне сырттан қатынасуды ашудың қажеті жоқ.
• Бұзылған қосылым шлюзі желілік құрылғылардың қауіпсіздігіне үлкен қауіп төндірмейді. Қосылым шлюзі ештеңені басқармайды немесе ешқандай қосылымды орнатпайды.

Бұдан бөлек, қосылым шлюзі көп аппараттық ресурсты қажет етпейді.

Алайда, бұл тәсіл аса күрделі конфигурациялау процесіне ие:

• Құрылғы демилитаризацияланған аймақта қосылым шлюзі рөлін атқаруы үшін сізге Желілік агент орнатып, оны Басқару серверіне ерекше түрде қосу керек.
• Жағдайлар үшін Басқару серверіне бірдей қосылым мекенжайын пайдалана алмайсыз. Периметрдің сыртында сізге басқа мекенжайды (қосылым шлюзінің мекенжайын) ғана емес, сонымен қатар басқа қосылым режимін де қолдану қажет болады: қосылым шлюзі арқылы.
• Сондай-ақ, әртүрлі орындардағы ноутбуктер үшін әртүрлі қосылым параметрлерін анықтау қажет.

Бұрын конфигурацияланған желіге қосылым шлюзін қосу үшін:

1. Желілік агентті қосылым шлюзі режимінде орнатыңыз.
2. Жаңадан қосылған қосылым шлюзіне қосқыңыз келетін құрылғыларда Желілік агентті қайта орнатыңыз.

Демилитаризацияланған аймақтағы (DMZ) Басқару сервері

Тағы бір тәсіл – демилитаризацияланған аймақта бірыңғай Басқару серверін орнату.

Бұл конфигурацияның қауіпсіздігі, бірінші тәсілдің конфигурациясына қарағанда төмен. Бұл жағдайда, сыртқы ноутбуктерді басқару үшін Басқару сервері интернеттен кез келген мекенжайдан қосылымдарды қабылдауы керек. Басқару сервері ішкі желідегі барлық құрылғыларды тек демилитаризацияланған аймақтан басқарады. Сондықтан, мұндай оқиғаның ықтималдығы төмен болғанына қарамастан, бұзылған Сервер үлкен зиян келтіруі мүмкін.

Демилитаризацияланған аймақтағы Басқару сервері ішкі желі құрылғыларын басқара алмаса, қауіп айтарлықтай төмендейді. Мұндай конфигурацияны, мысалы, провайдер клиенттердің құрылғыларын басқару үшін қолдана алады.

Бұл тәсілді келесі жағдайларда қолдануға болады:

• Басқару серверін орнатумен және конфигурациялаумен таныс болсаңыз және қосылым шлюзін орнату мен конфигурациялаудың басқа процедурасын орындағыңыз келмесе.
• Егер сізге көптеген құрылғыларды басқару қажет болса. Басқару сервері басқара алатын құрылғылардың ең көп саны – 100 000 құрылғы, қосылым шлюзі 10 000 құрылғыға дейін қолдау көрсете алады.

Бұл шешімнің кейбір қиындықтары да бар:

• Басқару сервері көбірек аппараттық ресурстарды және басқа дерекқорды қажет етеді.
• Құрылғылар туралы ақпарат байланысты емес екі дерекқорда сақталады (желі ішіндегі Басқару сервері үшін және екіншісі демилитаризацияланған аймақта), бұл болса бақылауды қиындатады.
• Барлық құрылғыларды басқару үшін Басқару сервері иерархияға біріктірілуі керек, бұл болса бақылау мен басқаруды қиындатады. Қосалқы Басқару серверінің үлгісі басқару топтарының ықтимал құрылымдарына шектеулер қояды. Сіз қосалқы Басқару серверіне қандай тапсырмалар мен саясаттарды және қалай кеңейту керектігін шешуіңіз керек.
• Сыртқы құрылғыларды демилитаризацияланған аймақта Басқару сервері пайдалану үшін және негізгі Басқару серверін ішкі жағынан пайдалану үшін конфигурациялау шлюз арқылы қосылымды конфигурациялаудан оңай емес.
• Қауіпсіздіктің жоғары тәуекелдері. Бұзылған Басқару сервері басқарылатын ноутбуктерді бұзуды жеңілдетеді. Егер бұл орын алса, хакерлер жергілікті желіге шабуылды жалғастыру үшін ноутбуктердің біреуі корпоративті желіге оралғанша күтуі керек.