Zmiana architektury sieci na potrzeby modelu BYOD
Transkrypt
Zmiana architektury sieci na potrzeby modelu BYOD
Opracowanie biznesowe Zmiana architektury sieci na potrzeby modelu BYOD Opracowanie biznesowe Spis treści 3 4 4 5 5 6 Streszczenie Czy stara sieć ogranicza Twoje możliwości? Brak elastyczności Ograniczone zabezpieczenia Złożona struktura Powolna architektura trzywarstwowa 6 6 Zmiana architektury sieci na potrzeby modelu BYOD Najlepsze rozwiązania dla sieci bezprzewodowych BYOD 7 8 8 Zachowanie bezpieczeństwa sieci Proste sieci bezprzewodowe Podsumowanie Opracowanie biznesowe Strona 3 Streszczenie Coraz więcej osób korzysta z sieci firmowych przy użyciu własnych urządzeń przenośnych. Wielu pracowników używa smartfonów i tabletów w pracy, aby zwiększyć swoją wydajność. Korporacyjne działy IT nie mają już kontroli nad tym, jakie urządzenia przenośne są używane przez pracowników w celu uzyskania dostępu do sieci. Strategia korzystania z własnych urządzeń (BYOD, Bring your own device) przyczynia się do wzrostu zadowolenia i wydajności pracowników, ale stanowi też obciążenie dla sieci firmowych. Ograniczenia dotyczą przede wszystkim starszych sieci, zwłaszcza tych, które są powszechnie stosowane w kampusach i oddziałach terenowych. Są one nieelastyczne i nie pozwalają na spersonalizowanie sposobu ich użytkowania. Projektanci tych rozwiązań sieciowych nie przewidywali istnienia urządzeń mobilnych, więc podłączenie takich urządzeń do sieci powoduje wzrost zagrożeń bezpieczeństwa. Obsługa starszych, złożonych sieci jest pracochłonna, a podłączanie nowych urządzeń wymaga ręcznych zmian w konfiguracji. Przestarzała architektura trzywarstwowa dawnych rozwiązań może spowalniać nowoczesne aplikacje, zwłaszcza te działające w sieciach bezprzewodowych. Zmiana architektury sieci korporacyjnej ułatwi zarządzanie modelem BYOD i przyczyni się do wzrostu bezpieczeństwa środowiska sieciowego. Urządzenia sieciowe nowej generacji umożliwiają łagodzenie skutków spowolnienia transmisji danych. Zmodernizowana sieć będzie elastyczna i skalowalna. Dzięki udoskonalonym aplikacjom do zarządzania siecią administratorzy mogą za pomocą jednego interfejsu platformy uzyskiwać dokładne informacje dotyczące podłączonych urządzeń i ich zabezpieczeń oraz wykorzystywanych zasobów. Ten dokument zawiera opis ograniczeń, jakim podlegają starsze sieci, ze szczególnym uwzględnieniem obsługi modelu BYOD. Zrozumienie tych ograniczeń umożliwi pomyślne wdrożenie zasad zarządzania BYOD w sieciach działających w kampusach i oddziałach firm. Opracowanie biznesowe Strona 4 Czy stara sieć ogranicza Twoje możliwości? Dawniej obowiązek udostępnienia urządzeń i podłączenia ich do sieci przewodowej w miejscu pracy spoczywał na dziale IT. Obecne użytkownicy często korzystają z kilku urządzeń, które zwykle nie są dostarczane ani zatwierdzane przez dział IT, i chcą używać ich do obsługi złożonych aplikacji, takich jak strumieniowe przesyłanie wideo lub komunikowanie się przez sieć bezprzewodową. Wymagania dotyczące sieci bezprzewodowych stają się coraz bardziej złożone, a sposób korzystania z usług zmienia się. To powoduje konieczność przystosowania sieci. W przypadku przestarzałych rozwiązań mogą pojawić się trudności. Starsze środowiska ograniczają stosowanie modelu BYOD na cztery sposoby. 1.Brak elastyczności: struktura sieci miała umożliwiać działowi IT zarządzanie użytkownikami i typami lokalizacji. Pracownicy nie mogą dostosowywać sposobu używania sieci, co ogranicza wydajność. Personel IT musi zapoznawać się z wieloma platformami zarządzania obsługującymi poszczególne technologie w sieci. 2.Ograniczone zabezpieczenia: granice sieci zostały ściśle określone podczas ich tworzenia. Jednak obecnie pojawiają się zagrożenia bezpieczeństwa, ponieważ użytkownicy korzystają z urządzeń przenośnych, które nie istniały w czasie projektowania danej sieci. 3.Złożona struktura: modyfikowanie konfiguracji sieci bezprzewodowej jest pracochłonne i zabiera sporo czasu, ponieważ wymaga użycia skryptów i wprowadzania zmian w interfejsie wiersza poleceń. Sieci są bardziej złożone i wymagają płynnego przesyłania danych transmisji głosowej i wideo oraz innych informacji — również w środowisku bezprzewodowym. 4.Powolna architektura trzywarstwowa: tradycyjna sieć oparta na trzech warstwach była projektowana, gdy większość pracowników używała komputerów stacjonarnych, a korzystanie z sieci bezprzewodowych było przywilejem nielicznej grupy przedstawicieli kadry kierowniczej. Zastosowanie trzech warstw zamiast dwóch spowalnia sieć, ponieważ wymaga dodatkowego przeskoku pakietów przy każdym użyciu sieci. Przyjrzyjmy się bliżej tym problemom i sposobom ich rozwiązania. Brak elastyczności Starsze sieci były projektowane ze stałą konfiguracją. Pracownicy otrzymywali od działu IT komputery, które za pomocą kabli podłączano do sieci przewodowej. Każde biuro miało własny punkt połączenia z siecią, a konfiguracja nie podlegała zmianom. Ponieważ użytkownicy nie mogli dostosowywać środowiska ani przyłączonych urządzeń, personel IT wiedział, jaki sprzęt jest podłączony do sieci. Przepustowość i pojemność sieci planowano przy założeniu, że każdy użytkownik może korzystać z jednego urządzenia. Aby ograniczyć koszty, nie przewidywano dodatkowej wydajności sieci. Obecnie pracownik może korzystać z komputera, laptopa, tabletu i smartfona, które są jednocześnie połączone z tą samą siecią. Użytkownicy chcą pracować w środowisku, które zapewnia stały poziom wydajności, niezależnie od tego, czy oglądają film szkoleniowy przez sieć Wi-Fi, czy prowadzą rozmowę z użyciem programu Skype zainstalowanego na komputerze. Model miejsca pracy również się zmienia — personel korzysta z sieci w salach konferencyjnych i innych współdzielonych obszarach. Stare typy sieci po prostu nie są w stanie zaspokoić bieżących potrzeb. Opracowanie biznesowe Strona 5 Ograniczone zabezpieczenia Stare sieci pozwalały na ścisłą kontrolę nad zabezpieczeniami. Administratorzy sieci mieli możliwość decydowania o tym, które urządzenia mogą z niej korzystać. Firmowe dane były chronione przed nieautoryzowanym dostępem za pomocą zaawansowanych zapór. Można było łatwo sprawdzić, czy dane urządzenie ma autoryzację, ponieważ cała obsługa sprzętu z dostępem do sieci była realizowana przez dział IT — zakup podzespołów, montaż maszyny i świadczenie zdalnej pomocy technicznej. Ten model już się nie sprawdza. Nawet najlepsza zapora nie zapewni całkowitej ochrony przed niezaufanymi urządzeniami. Z drugiej strony, zasady zabezpieczeń BYOD w istocie zachęcają użytkowników do korzystania z takich urządzeń. Działanie zabezpieczeń nie może polegać jedynie na ochronie granic sieci — zasady muszą obejmować wszystkie miejsca, w których użytkownicy nawiązują połączenia. Współcześni administratorzy sieci potrzebują wglądu w informacje dotyczące połączonych urządzeń: ich typu oraz wykorzystywanych przez nie zasobów i przepustowości. Rozwiązania muszą być elastyczne, tak aby można było udostępniać usługi bezpośrednio po ich wdrożeniu. Ograniczenia starych sieci sprawiają, że wprowadzenie odpowiednich zmian i zapewnienie bezpieczeństwa urządzeniom BYOD odbywa się powoli. Tradycyjny sposób zmieniania konfiguracji starej sieci polega na ręcznym użyciu interfejsu wiersza poleceń. Obecnie korzystanie z niego jest niemożliwe ze względu na liczbę nowych urządzeń oraz fakt, że użytkownicy nie zawsze informują dział IT o nowych smartfonach lub tabletach, na których chcą pracować w sieci. Obsługa użytkowników logujących się jako goście to kolejny problem — osoby odwiedzające biuro firmy na pewno przyniosą ze sobą telefon, tablet lub laptopa, za pomocą którego będą chciały połączyć się z siecią firmową. Dobrze jest zapewnić gościom dostęp do bezprzewodowej sieci LAN na terenie kampusu lub oddziału firmy, ale trzeba też mieć pewność, że poufne dane pozostaną bezpieczne. Ponadto sami pracownicy domagają się zwiększonego dostępu do sieci bezprzewodowej i chcą pracować w szybkim, niezawodnym środowisku. Złożona struktura W starych sieciach liczba podłączonych urządzeń raczej się nie zmieniała, a administratorzy IT znali cały sprzęt. Wraz ze wzrostem liczby funkcji dodawanych do sieci zwiększa się poziom złożoności zarządzania. W przypadku dodania sieci bezprzewodowej do sieci przewodowej nagle okazuje się, że mamy dwie sieci oraz dwa zestawy zabezpieczeń i aplikacji do zarządzania. Poziom złożoności wzrasta zatem kilkukrotnie. W sieci pojawiają się i znikają różne nieznane urządzenia, a ci sami użytkownicy uzyskują dostęp za pomocą laptopa, a godzinę później przy użyciu smartfona. W takich warunkach ważne jest, aby dysponować zintegrowanym systemem, który umożliwia zarządzanie wszystkimi interakcjami. Dalsze używanie interfejsu wiersza poleceń do definiowania i egzekwowania zasad jest niepraktyczne. Opracowanie biznesowe Strona 6 Powolna architektura trzywarstwowa Rozwiązania o architekturze trzywarstwowej były projektowane dla sieci przewodowych. Przełączniki dostępowe współpracowały z przełącznikami dystrybucyjnymi, które z kolei były połączone z szybką siecią szkieletową. Taka struktura dobrze funkcjonowała w czasach, gdy projektowano starsze sieci, ponieważ nie wszystkie przełączniki dostępowe można było łączyć bezpośrednio z rdzeniem sieci. Architektura klient/serwer pozwalała na fizyczne segregowanie ruchu do różnych podsieci. Obecnie jednak techniki komunikacji stosowane w miejscu pracy wyglądają zupełnie inaczej. Technologie zapewniające wysoki poziom współpracy, takie jak wirtualizacja, połączenia VoIP i wideo oraz grupy robocze, wymagają stosowania sieci charakteryzujących się niewielkimi opóźnieniami. Na przykład w przypadku wirtualizacji pulpitów dane i aplikacje są przechowywane w chmurze, co oznacza, że urządzenie musi nawiązać połączenie z serwerem w chmurze za każdym razem, gdy użytkownik chce skorzystać z aplikacji. W starej architekturze trzywarstwowej następuje dodatkowy przeskok pakietów, co spowalnia komunikację. Stare sieci bezprzewodowe nie są również przystosowane do obsługi urządzeń przenośnych o małej mocy, które muszą znajdować się w pobliżu punktu dostępu, aby zapewnić dobrą jakość połączenia. Aby zagwarantować odpowiednią obsługę urządzeń przenośnych, należy przeprojektować sieć pod kątem uzyskania większej gęstości (większej liczby połączonych urządzeń na mniejszym obszarze oraz bliższej odległości od punktów dostępu). Zmiana architektury sieci na potrzeby modelu BYOD Najlepsze rozwiązania dla sieci bezprzewodowych BYOD Zamiast brnąć w szukanie rozwiązań w odpowiedzi na wzrost złożoności sieci po wdrożeniu modelu BYOD, warto skorzystać z okazji i uprościć całą strukturę. Trzeba ją przeprojektować pod kątem modelu dwuwarstwowego, co pozwoli na uzyskanie większej przepustowości i wydajności. W sieciach definiowanych programowo zmiana konfiguracji jest prosta, co ułatwia przystosowanie ich do dynamicznych warunków określanych przez użytkowników. Opracowanie biznesowe Strona 7 Sieć dwuwarstwowa jest szybsza i wprowadza mniejsze opóźnienia, co sprawia, że wideokonferencje i podobne zastosowania działają płynnie. Jest wystarczająco elastyczna, aby zapewnić obsługę nowych typów infrastruktury, takich jak usługi w chmurze, przy zachowaniu działania istniejących inwestycji, zapory, rutowania oraz strategii optymalizacji w zakresie dostarczania aplikacji. Jeden interfejs umożliwia wyświetlenie pełnego zakresu informacji, od danych dotyczących użycia aplikacji do wartości opóźnień w routerach, dzięki czemu praca personelu IT jest bardziej skuteczna i wydajna. Elastyczne i skalowalne środowisko pozwala pracownikom korzystać z wielu urządzeń. Sieć rozrasta się w miarę dodawania nowych urządzeń i wprowadzania nowych potrzeb biznesowych. Elastyczna sieć ułatwia również dodawanie punktów dostępu w miejscach, w których zwykle gromadzą się użytkownicy, takich jak sale konferencyjne, stołówki i inne obszary. Dzięki zastosowaniu kontrolerów sieci WLAN nowej generacji można zarządzać tysiącami punktów dostępu. To kilkukrotnie więcej niż w przypadku starszych urządzeń. Ma to kluczowe znaczenie dla zapewnienia dobrej obsługi modelu BYOD. Zachowanie bezpieczeństwa sieci Przeprojektowana sieć umożliwia udostępnienie użytkownikom dodatkowych sposobów na utrzymanie wydajności pracy przy zachowaniu bezpieczeństwa. Poniżej przedstawiono działania prowadzące do tego celu: •Podzielenie sieci na segmenty, tak aby jej najbardziej wrażliwe obszary pozostawały niedostępne dla gości. •Wdrożenie narzędzia umożliwiającego określenie typu urządzenia nawiązującego połączenie oraz systemu operacyjnego i przeglądarki, które są na nim zainstalowane. •Modernizacja sieci pod kątem obsługi uwierzytelniania 802.1X oraz kontroli dostępu do sieci (NAC). To pozwoli administratorowi sieci ograniczyć dostęp do zasobów firmowych na podstawie informacji o użytkowniku, urządzeniu lub lokalizacji. Połączenie sieci przewodowej i bezprzewodowej upraszcza całą strukturę, umożliwiając udostępnienie użytkownikom spójnego środowiska, niezależnie od tego, czy pracują oni z aplikacjami biznesowymi przy użyciu komputerów stacjonarnych czy tabletów. W takiej sieci można wdrożyć automatyczne mechanizmy, które eliminują konieczność ręcznego wprowadzania zmian w konfiguracji całego sprzętu i poszczególnych platform do zarządzania. Połączenie środowisk pozwoli na łatwą integrację z istniejącymi inwestycjami w rozwiązania sieciowe i bezpieczeństwo, umożliwiając zarządzanie elementami infrastruktury od różnych dostawców za pomocą jednej platformy. Opracowanie biznesowe Proste sieci bezprzewodowe Pracownicy stają się obecnie coraz bardziej mobilni i domagają się możliwości łączenia się z siecią w każdym czasie i miejscu oraz korzystania z własnych urządzeń. Potrzeba stałego dostępu do sieci zmienia sposób postrzegania technologii łączności bezprzewodowej. Nie jest ona już tylko uzupełnieniem sieci przewodowej, ale coraz częściej stanowi dla pracowników główną metodę dostępu do sieci. Coraz więcej osób domaga się rozwiązań dostępu bezprzewodowego, które działają tak samo szybko i płynnie jak aplikacje w sieci przewodowej. W urządzeniach przenośnych są często używane aplikacje korzystające z technologii ujednoliconej komunikacji i współpracy (UCC). Ten rodzaj aplikacji wymaga lepszych połączeń radiowych, aby uzyskać wysoką i stałą jakość transmisji głosu i sygnału wideo. Aby spełnić te wysokie wymagania dotyczące poziomu usług, konieczne jest zastosowanie wydajnych, nowoczesnych punktów dostępu obsługujących bezprzewodową sieć LAN w standardzie 802.11ac. Jeśli obecna sieć bezprzewodowa jest oparta na standardzie starszym od IEEE 802.11n, użytkownicy zauważą spowolnienie transmisji i dostępu do aplikacji. Nowe punkty dostępu obsługujące standard 802.11ac pozwalają zapewnić łączność Wi-Fi bez obaw o jej wydajność i zabezpieczenia. Ponadto są łatwe w konfiguracji i dają dostęp do wielu funkcji przyspieszających i optymalizujących funkcjonowanie małych i średnich przedsiębiorstw. Dzięki obsłudze najnowszej technologii 802.11ac punkty dostępu uzyskują nawet trzykrotnie większą wydajność w porównaniu ze starszymi standardami, mają również wbudowane pulpity administracyjne. Nowa technologia punktów dostępu optymalizuje działanie urządzeń, gdy ich użytkownicy przemieszczają się i warunki transmisji radiowej ulegają zmianie. Punkty dostępu są w stanie: • przydzielić każde urządzenie przenośne do najlepszego punktu dostępu; • dynamicznie optymalizować działanie sieci Wi-Fi, gdy użytkownicy przemieszczają się i zmieniają się warunki transmisji radiowej; • chronić przed zagrożeniami za pomocą zintegrowanej ochrony przed włamaniami do sieci bezprzewodowej, eliminując potrzebę stosowania osobnych czujników radiowych i urządzeń zabezpieczających; • umożliwić szybsze ładowanie stron internetowych i transmisję strumieniową wideo wyższej jakości; • obsłużyć urządzenia przenośne w większym zagęszczeniu. Z powodu coraz większej mobilności pracowników i klientów przedsiębiorstwa muszą szybko i bezpiecznie obsługiwać dostarczanie nowoczesnych aplikacji na urządzenia przenośne. Nowe punkty dostępu obsługujące standard 802.11ac usprawniają dostarczanie ważnych aplikacji oraz zapewniają klientom, pracownikom i partnerom lepsze połączenie z siecią. Podsumowanie Rozwiązanie BYOD firmy HPE ma duży potencjał w zakresie zwiększenia zadowolenia pracowników i ich wydajności. Nie pozwól, aby stara sieć ograniczała możliwości firmy. Skontaktuj się z lokalnym partnerem biznesowym lub biurem handlowym HPE, aby uzyskać informacje na temat utworzenia sieci z obsługą modelu BYOD w Twoim kampusie lub oddziale firmy. Więcej informacji: hpe.com/networking/byod © Copyright 2013–2015 Hewlett Packard Enterprise Development LP. Informacje zawarte w niniejszym dokumencie mogą ulec zmianie bez uprzedzenia. Jedyne gwarancje na produkty i usługi firmy HPE są określone w wyraźnych warunkach gwarancji towarzyszących produktom i usługom. Żadne informacje przedstawione w niniejszym dokumencie nie powinny być interpretowane jako dodatkowa gwarancja. Firma HPE nie ponosi odpowiedzialności za błędy techniczne lub redakcyjne ani za pominięcia w niniejszym dokumencie. Bluetooth jest znakiem towarowym należącym do odpowiedniego podmiotu i używanym przez firmę Hewlett-Packard Company w ramach licencji. 4AA4-3882PLE, listopad 2015 r., wersja 1