Patrząc na ostatnie 10 lat, niektórzy mogą pamiętać burzę, która rozpętała się kiedy bezprzewodowa sieć lokalna WLAN (Wireless Local Area Network) narzuciła porządek strategii technologicznej działom IT. Niejednokrotnie sieci bezprzewodowe instalowane były samowolnie przez użytkowników, którzy uruchamiali swoje własne nielegalne punkty dostępowe, omijając dział IT, odpowiedzialny za zarządzanie siecią. To tłumaczy, dlaczego kiedyś WLAN były traktowane jako rozszerzenie sieci korporacji, a nie jako ich integralna część. Co więcej, doprowadziło to do tego, że legalne sieci bezprzewodowe wciąż były zarządzane oddzielnie, dodatkowo komplikując pracę działu IT. Może już nadszedł czas, aby sieć dorosła? Jak zatem powinna wyglądać dojrzała sieć bezprzewodowa?
Po pierwsze: powinna rozpoznawać aplikacje biznesowe i nadawać im wyższy priorytet
W przeważającej części przedsiębiorstwa nie zabraniają użytkownikom uruchamiania aplikacji ad-hoc. Jednak, ponieważ przepustowość sieci bezprzewodowej jest współdzielona, korzystanie przez pracowników z osobistych urządzeń Wi-Fi może spowodować „zamrożenie” aplikacji biznesowych takich, jak zdalny wirtualny pulpit (remote virtual desktop). Dlatego sieć bezprzewodowa powinna posiadać umiejętność pozytywnego identyfikowania aplikacji biznesowych na podstawie ich nazwy (np. WebEx) i nadawania im wyższego priorytetu. Jest to możliwe dzięki zastosowaniu technologii DPI (Deep Packet Inspection).
Po drugie: powinna oferować maksymalną wydajność dzięki egzekwowaniu zasad polityki bezpieczeństwa
Jak zabezpieczyć aplikację biznesową przed konkurującą z nią w tym samym paśmie np. grą komputerową? Bezprzewodowe sieci bezprzewodowe klasy korporacyjnej stosują w tym celu różne metody. Jedną z nich jest kształtowanie ruchu sieciowego w celu egzekwowania zasad właściwego użytkowania. Na przykład, można zdecydować, że 99 proc. przepustowości Wi-Fi będzie przydzielane do aplikacji istotnych dla firmy, zostawiając tylko 1 proc. dla innych. Innymi słowy, właściwe rozwiązanie to nadawanie wysokiego priorytetu aplikacjom biznesowym kosztem innych.
Po trzecie: powinna oferować taki sam poziom ochrony jak najbardziej bezpieczne sieci przewodowe
Bezprzewodowe sieci LAN, ze względu na możliwość współdzielenia ich zasobów, w przeszłości były celem wielu ataków. Od tego czasu standardy bezpieczeństwa ewoluowały, a metody szyfrowania, uwierzytelniania i prioryteryzacji są coraz bardziej dostępne. Jednak w dobie wirtualizacji, normy te nie są w pełni wystarczające. To co jest konieczne, to całościowe traktowanie całego ruchu, szczegółowy monitoring i egzekwowanie polityki bezpieczeństwa. W istocie chodzi o to, żeby ruch w sieci bezprzewodowej był musiał przejść przez rygorystyczną kontrolę, jaką jest UTM.
Po czwarte: powinna wzmacniać polityki identyfikacji, ale bez komplikowania procesu zarządzania
Identyfikatory sieci SSID stanowią kamień węgielny bezprzewodowej identyfikacji. Nowe bezprzewodowe układy scalone (chipsety) umożliwiają tworzenie wielu identyfikatorów SSID na każdą sieć radiową. Pozwala to na ustanowienie oddzielnych zasad polityki bezpieczeństwa dla różnych grup. Elastyczność w definiowaniu zasad bezpieczeństwa jest dziś koniecznością, nie luksusem. Działania te muszą być powszechnie wprowadzane, a to prowadzi nas do następnego tematu.
Zastosowanie zasady Leonarda Da Vinci
Z „Poradnika zarządzania siecią Leonarda Da Vinci” mogłoby pochodzić takie stwierdzenie: jest jedna zasada dotycząca tego, w jaki sposób dane powinny być traktowane w przedsiębiorstwie. Reguły ustalone są według tego kim jest użytkownik i jakich używa aplikacji. Takie podejście wymaga zintegrowanego zarządzania zarówno przewodowymi, jak i bezprzewodowymi zasobami jak wspomniano wcześniej. Dla firm jest równocześnie szansą na większą konsolidację elementów sieciowych, zapewniającą równocześnie uproszczenie, skalowalność i elastyczność rozwiązania, przy niskim koszcie posiadania.
- W niektórych przypadkach zastosowanie rozwiązań cząstkowych działa, ale wtedy, gdy ich koszt nie stanowi problemu dla firmy. W rzeczywistości budżety są zazwyczaj ograniczone, a sieci muszą ewoluować w czasie. Najczęściej stosowanym rozwiązaniem jest dodanie infrastruktury WLAN do sieci przewodowej, chociaż oczywiście można również zaprojektować sieć bezprzewodową od podstaw. Biorąc pod uwagę ograniczenia budżetu i przestrzeni rack w sieciach korporacyjnych, bezprzewodowe rozwiązania powinny oszczędzać energię i przestrzeń. Jak to zrealizować?
- Na przykład, w sieci WLAN kontrolerem może być istniejąca zapora ogniowa lub urządzenie UTM już zainstalowane w sieci przewodowej. Rozwiązania te są przeznaczone do obsługi dużej ilości informacji, a zatem mają zapas pamięci, które mogą być wykorzystane przez sieci WLAN. Wykorzystując istniejącą bazę zainstalowanych urządzeń sieciowych można zredukować koszty oraz zminimalizować złożoność infrastruktury. Można także wprowadzić politykę integracji zarządzania sieciami przewodowymi i bezprzewodowymi. Administrowanie będzie odbywa się wówczas z poziomu jednej uniwersalnej konsoli, a nie z różnych systemów, co znacznie ułatwi pracę działu IT.
