Podkast 23T2 3 Trendy Sieciowe na 2023 Rok.

Więcej miejsc do posłuchania:

Spotify

WERSJA TEKSTOWA

Cześć. Witam Cię w dzisiejszym podkaście. Temat to 3 trendy na 2023 rok w zakresie sieci i bezpieczeństwa tej sieci w czym ja się specjalizuję. Jeżeli chodzi o te trzy punkty to przede wszystkim bezpieczeństwo IoT. To jest to co widzę, że bardzo się rozwija i w tym roku będzie się na pewno dynamicznie rozwijało. Kolejny punkt to jest Cloud ale w rozumieniu konkretnie Microsoftowego wydania tego Cloud’u – InTune, który jest bezpośrednio taką ofertą w zakresie zarządzania endpointami i widać, że tutaj bardzo duża adopcja jest na naszym rynku tego rozwiązania i na pewno to będzie się pogłębiać. Znajomość tego zakresu będzie na pewno przydatna. Trzeci punkt to jest rozwój oprogramowania czyli Devops w różnej formie, czy to ktoś sobie pisze własne skrypty, własne oprogramowanie, dostosowuje oprogramowanie firm trzecich, korzysta z Open Source czy korzysta z komercyjnych narzędzi, które automatyzują tą część operacyjną zarządzania siecią, bezpieczeństwa sieci. To jest na pewno też kierunek, który się rozwija bardzo dynamicznie i również się będzie rozwijał w przyszłości.

Teraz aby pójść bardziej w szczegóły – jeżeli chodzi o IoT to tutaj widzimy dwa takie główne kierunki. Urządzenia IoT mogą być oczywiście bezprzewodowo podłączane i tu jest albo opcja 5G – czyli ta nasza sieć komórkowa jest dostosowywana do tego zadania, żeby dużo urządzeń o małej przepustowości podłączać do sieci GSM. Alternatywnie możemy połączać do sieci bezprzewodowej ale to w pewnych ograniczonych scenariuszach lub do sieci przewodowej wszędzie tam gdzie chcemy zasilać przez PoE. Czyli jeśli mamy urządzenia IoT, które chcemy aby były zasilane bezpośrednio z naszej infrastruktury, z przełącznika to ma to dużo sensu bo nie trzeba wtedy bawić się z bateriami.

Wszystkie urządzenia, które mają mieć łączność bezprzewodową to z natury rzeczy zapewne nie mają podłączenia do sieci energetycznej – lub w większości nie mają, bo wtedy tracimy tą mobilność i tą niezależność. Podając taki pierwszy z brzegu przykład – ostatnio się zajmowałem u siebie systemem grzewczym i żeby podłączyć np. takie sterowanie do grzejników i głowice, które tutaj mają reagować na pewne polecenia z centrali. Można je podłączyć przewodowo lub bezprzewodowo ale większość produktów, które są dzisiaj w ofercie dostępne, jest jednak bezprzewodowych, bo jest problem z tym, jak podłączyć kable, których tam nie ma. Trzeba coś kuć, przeciągać i jest z tym problem. Z drugiej strony oczywiście musisz zapewnić tam zasilanie i najczęściej są to głowice zasilane bateryjnie i te baterie co jakiś czas trzeba wymieniać.

W środowisku domowym to nie jest problem, ponieważ każdy użytkownik domowy sobie raz na rok, dwa lub raz na pół roku wymieni takie baterie i to nie jest duży problem. Natomiast jak patrzysz na środowiska produkcyjne, przemysłowe, firmowe to tu już tak łatwo nie jest, bo jeśli jest tych urządzeń np. sto, dwieście, trzysta, tysiąc to jak wymieniać baterie w takiej ilości. To wyzwanie już zupełnie innej skali w związku z tym, w takich miejscach gdzie te czujniki mają być na stałe, nie mają one zmieniać swojego położenia, rozwiązanie polegające na okablowaniu już tego czujnika i zasilaniu go z zewnątrz jest jak najbardziej sensowne i do rozważenia.

Oczywiście trzeba bezpiecznie te urządzenia IoT podłączyć do sieci. Nie zależnie od tego w jakiej technologii czy przewodowej czy bezprzewodowej, chcielibyśmy o tych urządzeniach IoT wiedzieć jak najwięcej, żeby je odpowiednio podłączyć do dobrego kolektora danych lub centralki. W zależności od tego co mamy w naszej infrastrukturze, jaki to jest rodzaj systemu. Takim bardzo klasycznym i często już dziś spotykanym systemem IoT można powiedzieć, że jest system CCTV czyli kamer video. Mamy tam najczęściej jeden rejestrator dla grupy kamer i te kamery mają się do tego rejestratora łączyć. Chodzi o to, że takie urządzenia IoT jest najczęściej łatwo zhakować i zapewne tak dalej będzie w przyszłości bo jest ich taka mnogość a z drugiej strony one są tak ograniczone zasobami – pamięcią, procesorem i najczęściej są też tanie ponieważ ma ich być dużo to mało kto chce dokupować te urządzenia drogie. Jeśli te wszystkie czynniki połączymy to efekt jest tego taki, że są one najcześciej dziurawe jak sito. Możliwość włamania się do takiej sieci jest realna i pytanie dziś bardzo ważne – jak zabezpieczać tego typu infrastrukturę.

Kolejny temat to Cloud i Microsoftowy InTune. Jest jak widać bardzo duża aktywność Microsoftu, gdzie widzimy, że bardzo jest promowany ten InTune, między innymi, oczywiście nie tylko, jest Azure AD też promowany. Ale ten InTune jest takim elementem, który widzę, że ma największą adopcję narazie. Najczęściej klienci zaczynają właśnie od tego komponentu i próbują zarządzać swoimi urządzeniami zarówno mobilnymi jak i komputerami właśnie z tego InTune. Czyli wysyłać polityki, czyli generować certyfikaty, konfigurować suplikanty tak, żeby się one łączyły do sieci firmowej w odpowiedni sposób. Jest to wyzwanie ale na pewno warto się w to zagłębić i poznać bardziej ten zakres ponieważ to będzie spotykane niewątpliwie coraz częściej. Oczywiście powiązany temat AAD czyli jak idziemy do Azure to jak łączyć takie klasyczne AD z Azure AD czyli z takim chmurowym wydaniem. Najczęściej to będą jakieś rodzaje hybryd, jak się opierać na tych źródłach wiedzy o użytkownikach.

Trzecia opcja to jest automatyzacja wszelkiego rodzaju czyli np. pisanie sobie skryptu na swój router, który np bada dostępność naszego internetu albo bada jakość połączenia WAN dwóch operatorów. Czyli możemy np. przełączać sobie pomiędzy jednym operatorem a drugim w zależności od jakości, którą zmierzymy. Inna opcja to np. wysłanie nam powiadomienia o nasz główny system jakiś kluczowy w firmie np. SAP przestał odpowiadać i wiemy już wcześniej, zanim się do nas zgłoszą użytkownicy, że możemy już sprawdzać co się dzieje. Daje nam to więcej czasu, więcej komfortu bo jak już zaczyna się telefon jeden za drugim dotyczący jakiejś potężnej awarii centralnego systemu to najczęściej już. jesteśmy w dużym stresie i pod dużą presją. Jak wiemy o tym wcześniej to mamy zwykle jeszcze chwilę czasu, w zależności od firmy, żeby już zacząć reagować i szukać problemu zanim się te telefony rozdzwonią. To jest jeden z takich przykładów, jak można sobie pomóc przygotowując zawczasu odpowiednie narzędzia, które nas powiadamiają o tym, co się dzieje.

Możemy tutaj iść dalej, konfigurować skrypty lub konkretne gotowe produkty z pewnym zakresem dostosowania do pewnych scenariuszy, czyli np. mówimy, że mamy załóżmy stację końcową, uwierzytelniamy ją i ona nie spełnia naszych oczekiwań jeśli chodzi o poziom Patch’y. Chcielibyśmy, żeby ten np. problem był automatycznie rozwiązywany, czyli np. żeby klient czy nasz użytkownik mógł sobie kliknąć jakiś link “rozwiąż ten problem”. Możemy zrobić to też całkowicie automatycznie w zależności od naszego scenariusza i preferencji i automatycznie Patch powinien się zainstalować.

Oczywiście to jest trochę bardziej skomplikowane niż by się pierwotnie wydawało bo musimy jakoś podłączyć tego użytkownika do czegoś skąd mógłby sobie tego patcha ściągnąć. W związku z tym trzeba powiązać to bezpieczeństwo czyli z jaką rolą np. ograniczoną podłączamy stację końcową, która nie spełnia naszej polityki, jest tam jakiś host checker, który sprawdza co tam się dzieje. Jeśli nie spełnia to, przynajmniej dla typowych scenariuszy, mieć taki automatyczny sposób rozwiązywania tego problemu bez udziału administratora, to by było idealnie. Takich rozwiązań szukają praktycznie wszyscy, czy własnych czy gotowych bo każdy albo przynajmniej większość z nas ma za dużo pracy i nie szuka dodatkowego zajęcia. W związku z tym jak może się odciążyć takim automatycznym scenariuszem rozwiązywania danego problemu to jest super i możemy skupić się wtedy na bardziej istotnych zadaniach. Najlepiej by było, jakby było najmniej zadań takich operacyjnych na zasadzie wrzutek, awarii a jak najwięcej moglibyśmy pracować na projektach, projektowaniu sobie swojej infrastruktury tak, żeby była ona możliwie automatyczna. Reagować tylko na to na co już faktycznie koniecznie musimy.

To są takie rzeczy, które ja widzę, że będą się rozwijać, rozwijają się od lat i tutaj się tendencja nie zmienia. Generalnie ten nasz rynek sieciowy jest powiedziałbym dość stabilny w tym jak działa. To wynika z kilku prostych rzeczy: przyzwyczajenie użytkowników – że generalnie sieć ma działać i nie wnikają w to, co się tam dzieje. Najlepiej, żeby działała w związku z tym nie ma jakiejś dużej presji na to, żeby dużo zmieniać w krótkim okresie czasu. Drugi czynnik, jest taki, że jest bardzo dużo różnych protokołów, które ze sobą współdziałają w ramach różnych urządzeń, różnych producentów i zmiana tutaj jest bardzo trudna. Jeśli mówimy o protokole routingu, o protokołach LLDP, tego typu ustandaryzowanych i dobrze rozpowszechnionych protokołach to one powodują też, że ten nasz rynek się stabilizuje. Nawet, jeśli mówimy o jakiś nowinkach, np. SD-WAN i nakładaniem sieci nakładkowych na naszą sieć to jest to jednak też w jakimś powiązaniu z tym w jaki sposób dzisiaj działamy.

Oczywiście jeśli popatrzmy sobie na dynamikę to najłatwiej jest to zrobić dodając zupełnie osobną warstwę do tego dlatego się dodaje te sieci nakładkowe. Pozwalają one szybciej wdrożyć nowe rozwiązania niezależnie od tego jaką mamy topologię, jakie mamy protokoły czyli uniezależnić się od tej warstwy takiej standardowej. Więc oczywiście tak się to robi ale nadal to jest powiązane jakoś bo gdzieś ta chmura nakładkowa, ten SD-WAN musi się łączyć z resztą sieci, musi jakoś wymienić informacje, musi się jakoś skomunikować z routingiem. Musi być jakiś rodzaj interakcji z klasyczną siecią i to powoduje, że jednak ta adopcja jest ale ona jest dość powolna. Na to się u nas nakłada aspekt ekonomiczny. Te rozwiązania z zachodu są najczęściej bardzo drogie, w związku z tym stosuje się je oczywiście ale po pierwsze w bogatszych firmach a po drugie w zastosowaniach bardziej krytycznych, tam gdzie uważamy, że to jest faktycznie potrzebne. Tam gdzie nie, to działamy tak jak do tej pory działaliśmy i w ten sposób sobie radzimy.

Nie zmienia to faktu, że rzeczy, które nas bolą jako administratorów, chcielibyśmy automatyzować i przekazywać do takich narzędzi czy scenariuszy, zespołów, które mogą się tym zajmować. Nawet jeśli ktoś ma większą firmę i jest taki pierwszy poziom linii wsparcia i są jacyś doświadczeni administratorzy wyższego poziomu, to chcieliby móc przekazać narzędzia do tego wsparcia, help desk’u pierwszej linii, tak, żeby jak najmniej rzeczy trafiało bezpośrednio do administratorów, którzy już są bardziej ekspertami w swoim zakresie.

Na tyle dzisiaj, dziękuję Ci. Podsumowujemy ten rok 2022, idziemy w stronę 2023. Życzę Ci wszystkiego dobrego, spokoju, odpoczynku i słyszymy się już za tydzień.


Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.