Сеть в виртуальной упаковке
Без «железа» — как без рук?
Фактический карантин, в которых оказались российские компании, явно добавил забот сотрудникам ИТ-департаментов. Связанность сети оказалась одной из ключевых задач в новых условиях. Выполнения рабочих функций никто не отменял, поэтому доступ к корпоративным информационным системам и данным должен осуществляться в прежнем режиме. Иное не устраивает ни больших начальников, ни рядовых сотрудников.
В «мирное время», то есть до периода самоизоляции, подобные вопросы решались наиболее простым образом: есть сложности с пропускной способностью и гибкостью сети — докупай оборудование. Карантин сделал радикальные решения невозможными. Заводы в Азии закрылись, цепочки поставок нарушились, склады опустели. Брать проприетарное сетевое «железо» стало негде.
В нынешней ситуации спасает виртуализация. Стараниями VMware дерзкая задача «отвязки» сетей от их аппаратной сущности стала реальностью. Продукт VMware NSX помогает многим компаниям не только сохранять связанность сети, но и развивать сетевую инфраструктуру и готовить ее к наиболее вероятным вызовам новой реальности.
Когда недоступны проприетарные сетевые решения
Производители «железа» с нетерпением ждут отмены карантинных мер и вселяют в заказчиков оптимизм. Но не является ли он излишним? Да, все идет к тому, что производство аппаратного обеспечения постепенно приходит в себя, но до прежних объемов поставок еще далеко. А значит, есть вероятность, что корпоративные заказчики получат желаемое оборудование — в том числе сетевое — довольно нескоро.
VMware NSX — это симметричный ответ на такой дефицит. Срочно требуется несколько единиц сетевого оборудования? Возьмите обычные серверы x86, «раскатайте» на них опенсорсный KVM или фирменный vSphere, установите VMware NSX и получите полноценную функциональность хабов, коммутаторов, маршрутизаторов, сетевых экранов и других устройств.
Не согласны мириться с компромиссами по производительности? Нет проблем: организуйте сетевую инфраструктуру так, чтобы использовать аппаратные средства коммуникации для критически важных процессов и операций, а все второстепенное направьте через виртуализированную сетевую инфраструктуру. Такой «гранулярный» подход сохранит работоспособность бизнес-критичных сервисов.
Когда вообще всё пропало
Опустевшие из-за самоизоляции, безжизненные офисные центры представляет вполне реальную опасность для корпоративных данных. Оставшиеся без присмотра и без привычной нагрузки инженерные сети, бывает, сходят с ума. Прорыв водопровода или канализации, либо банальная авария магистрального силового кабеля в условиях самоизоляции ужасны тем, что быстро вмешаться в ход подобного инцидента и спасти «железо» невозможно.
И даже если каким-то чудом начинка серверной комнаты не пострадает, физический перенос оборудования на другую площадку, его наладка на новом месте и восстановление работоспособности информационных систем и доступа к данным займет дни и даже недели.
Как тут не вспомнить про виртуализацию и про гибридное облако, когда существующие виртуальные машины клонируются и в пару кликов переносятся в уютный безопасный «клауд», подальше от обесточенных стоек и залитых водой помещений. Но здесь же не стоит забывать, что кроме серверов есть определенный набор сетевого оборудования, в ряде случаев уникальный для каждой конкретной компании.
Из-за этой самой уникальности вероятность прогуляться в затопленную или обесточенную серверную все же остается. Без каких-то конкретных единиц сетевого «железа» корпоративные информационные системы либо не «взлетят» вовсе, либо окажутся реанимированы частично. Это снова потраченное время, мощный прессинг на ИТ-департамент со стороны руководителей компании и обидные обвинения в некомпетентности.
Сетевые гипервизоры — совсем другое дело. Отсутствие привязки к конкретной «железяке» определенного вендора делает возможным оперативный перенос на резервную площадку и быстрое развертывание на ней всей инфраструктуры с сохранением связанности между серверами и системами хранения данных.
Когда в сети чужие
На вызовы, связанные с «коронакризисом», компании реагируют по-разному. Какие-то организации прощаются с сотрудниками или выводят их за штат. Какие-то, наоборот, усиливают коллективы, в том числе за счет аутсорсеров. Компании адаптируются. И вместе с ними адаптируется инфраструктура.
Спросите специалиста по информационной безопасности, и он ответит, что постоянные изменения численности и статусов пользователей обычно сопряжены с различными киберрисками. И в данном случае снизить их можно не только и не столько специализированным ПО, сколько микросегментацией, достигаемой за счёт использования логических сетей, без привязки к физической топологии. Создавая изолированные сетевые сегменты с индивидуальными политиками безопасности можно повысить уровень контроля и затруднить распространение угроз внутри.
Как это работает на практике? Предположим, ваша организация привлекла аутсорсеров на проект, успешная реализация которого поможет увеличить долю рынка и тем самым получить стратегическое преимущество на момент, когда кризис отступит. В ходе проекта доступ аутсорсеров к данным является обязательным, но и делать этих людей возможной причиной глобального сбоя тоже не хочется. Как быть? Объединим этих пользователей в подсеть, применим к ним особые политики безопасности и тем самым сведем к минимуму все сопутствующие риски.
Когда облака – внезапная необходимость
Готовы поспорить: удаленная работа именно в вашей компании до недавнего времени не была основным способом организации трудового процесса. Но всевозможные ограничения сделали ее таковой на несколько месяцев. Сейчас, когда доступ к корпоративным ресурсам осуществляется через VPN, сетевая инфраструктура организаций может находиться в опасной близости к пределу пропускной способности пограничных файрволлов.
Верным решением может быть миграция бизнес-критичных сервисов в облако и организация доступа к ним. Перенести виртуальные машины в облако проще, чем физические устройства. Но как быть с сетевой инфраструктурой, когда время развертывания и доступ ограничены? Имеет смысл применить виртуализацию сети. Создание виртуальных файрволов, сегментирование сети в арендованном ЦОДе и перенос систем занимает гораздо меньше времени, чем аренда и настройка оборудования.
Вместе с тем, остается открытым вопрос с доступом сотрудников к корпоративным ресурсам. Часть персонала в режиме самоизоляции работает с домашних ПК — это серьезный вызов корпоративной ИБ. Наиболее изящный и правильный выход из этой ситуации — развернуть инфраструктуру виртуальных десктопов и тем самым превратить домашние компьютеры в терминалы. VMware NSX дает возможность создавать политики безопасности для всех виртуальных компьютеров и управлять ими в несколько щелчков мыши как по группам пользователей, так и индивидуально.
Здесь — обзор спектра решений VMware для организации удаленной работы и виртуальных рабочих мест.
После «ковида»
Нет сомнений, что «коронакризис» так или иначе изменит привычный нам мир. Другое дело, пока никто не представляет глубину и масштаб этих изменений. Ясно, что опыт последних нескольких месяцев показал уязвимость физической инфраструктуры и очертил набор рисков, вполне вероятных при привязке конкретной функциональности к аппаратной сущности.
Этот же опыт предъявляет новые требования к ИТ-департаментам — как обеспечить устойчивость и развитие сети в условиях дефицита «железа», как организовать удаленную работу десятков, сотен и даже тысяч сотрудников и обеспечить при этом должный уровень информационной безопасности. К счастью, виртуализация — в том числе сетевая — сама по себе надежная технологическая основа для работы по-новому. В чем опыт последних нескольких месяцев убедил не только ИТ-специалистов, но и их бизнес-заказчиков.