GNU/Linux
Photo
با Lest's_Encrypt گواهی SSL رایگان بگیرید.
در واقع Let’s Encrypt یک مرکز صادرکننده گواهینامه (Certificate) SSL رایگان است. پروژه Let’s Encrypt در سال ۲۰۱۴ برای اولین بار مطرح شد و پس از ۱۰ ماه موفق به انتشار اولین گواهینامه رایگان خود شد. با توجه به ارائه سرویس گواهینامه رایگان SSL توسط این مرکز از محبوبیت بالایی برخوردار است. لازم به ذکر است که این Certificate های صادر شده توسط Let's Encrypt برای مدت زمان ۹۰ روز فعال است و پس از آن امکان تمدید آن به صورت رایگان وجود دارد.
به طور خلاصه Let's Encrypt به شما گواهی SSL رایگان برای وب سایت های شما ارائه می دهد که با نصب این گواهینامه بر روی سایت خود باعث می شود ارتباط بین وب سایت شما و مرورگر کاربر رمزگذاری شود و امنیت تبادل اطلاعات برای کاربران بالا می برد و قفل سبز رنگ در کنار نوار آدرس سایت شما نمایش داده می شود، همچنین ساختار آدرس سایت شما از پروتکل HTTP به HTTPS تغییر می کند.
◾️ مزایای Let’s Encrypt
▪️ رایگان: هر کسی که صاحب دامنه است بدون پرداخت هزینه می تواند صاحب یک گواهینامه Let’s Encrypt شود.
▪️خودکار: این امکان وجود دارد که نرم افزار های موجود بر روی سرور را به گونه ای تنظیم کنیم که به صورت خود کار با گواهینامه Let’s Encrypt در تعامل باشند و یا برنامه ای بر روی سرور تنظیم کنیم که به صورت خودکار گواهینامه Let’s Encrypt را تمدید کند.
▪️امن و مطمئن: Let’s Encrypt پلت فرمی خواهد بود جهت پیشبرد خدمات بهتر امنیت TLS
▪️برای وب سایت های کوچک و کم بازدید و یا وب سایت های شخصی مناسب است.
◾️ معایب Let’s Encrypt
▪️این گواهینامه به صورت 90 روزه صادر می شود و نیاز است شما به صورت مرتب آن را تمدید نماید.
▪️مشتریان Let’s Encrypt فقط دارای یک رابط (command line(CLI هستند.
▪️مشتریان باید بتوانند با ویرایش فایل های پیکربندی اپاچی کارکنند. این فایل ها به فایل های با مشکلات زیاد و نتایج ناخوشایند معروف هستند.
▪️پشتیبانی از NGINX در محله ای آزمایشی است.و هنوز به صورت قطعی نمی توان گفت که Let’s Encrypt بتواند از nginx پشتیبانی کند.
▪️مشتریان برای Let’s Encrypt نیاز به توسعه نرم افزارهای مورد استفاده خود روی سرور دارند.
▪️این گواهینامه مورد تایید مراکز توسعه تجارت الکترونیک نمی باشد.
▪️برای دریافت درگاه پرداخت، گواهینامه های یکساله الزامی است.
در واقع Let’s Encrypt یک مرکز صادرکننده گواهینامه (Certificate) SSL رایگان است. پروژه Let’s Encrypt در سال ۲۰۱۴ برای اولین بار مطرح شد و پس از ۱۰ ماه موفق به انتشار اولین گواهینامه رایگان خود شد. با توجه به ارائه سرویس گواهینامه رایگان SSL توسط این مرکز از محبوبیت بالایی برخوردار است. لازم به ذکر است که این Certificate های صادر شده توسط Let's Encrypt برای مدت زمان ۹۰ روز فعال است و پس از آن امکان تمدید آن به صورت رایگان وجود دارد.
به طور خلاصه Let's Encrypt به شما گواهی SSL رایگان برای وب سایت های شما ارائه می دهد که با نصب این گواهینامه بر روی سایت خود باعث می شود ارتباط بین وب سایت شما و مرورگر کاربر رمزگذاری شود و امنیت تبادل اطلاعات برای کاربران بالا می برد و قفل سبز رنگ در کنار نوار آدرس سایت شما نمایش داده می شود، همچنین ساختار آدرس سایت شما از پروتکل HTTP به HTTPS تغییر می کند.
◾️ مزایای Let’s Encrypt
▪️ رایگان: هر کسی که صاحب دامنه است بدون پرداخت هزینه می تواند صاحب یک گواهینامه Let’s Encrypt شود.
▪️خودکار: این امکان وجود دارد که نرم افزار های موجود بر روی سرور را به گونه ای تنظیم کنیم که به صورت خود کار با گواهینامه Let’s Encrypt در تعامل باشند و یا برنامه ای بر روی سرور تنظیم کنیم که به صورت خودکار گواهینامه Let’s Encrypt را تمدید کند.
▪️امن و مطمئن: Let’s Encrypt پلت فرمی خواهد بود جهت پیشبرد خدمات بهتر امنیت TLS
▪️برای وب سایت های کوچک و کم بازدید و یا وب سایت های شخصی مناسب است.
◾️ معایب Let’s Encrypt
▪️این گواهینامه به صورت 90 روزه صادر می شود و نیاز است شما به صورت مرتب آن را تمدید نماید.
▪️مشتریان Let’s Encrypt فقط دارای یک رابط (command line(CLI هستند.
▪️مشتریان باید بتوانند با ویرایش فایل های پیکربندی اپاچی کارکنند. این فایل ها به فایل های با مشکلات زیاد و نتایج ناخوشایند معروف هستند.
▪️پشتیبانی از NGINX در محله ای آزمایشی است.و هنوز به صورت قطعی نمی توان گفت که Let’s Encrypt بتواند از nginx پشتیبانی کند.
▪️مشتریان برای Let’s Encrypt نیاز به توسعه نرم افزارهای مورد استفاده خود روی سرور دارند.
▪️این گواهینامه مورد تایید مراکز توسعه تجارت الکترونیک نمی باشد.
▪️برای دریافت درگاه پرداخت، گواهینامه های یکساله الزامی است.
تکنولوژی RDMA مخفف Remote Direct Memory Access می باشد که دسترسی مستقیم به حافظه یک هاست را به حافظه هاست دیگر بدون دخالت CPU و سیستم عامل فراهم می کند که باعث تقویت شبکه و performance هاست با کاهش latency ، کاهش بار CPU و پهنای باند بالاتر می شود. در مقابل، ارتباطات TCP / IP به طور معمول نیازمند عملیات کپی هستند که باعث افزایش قابل توجهی تاخیر در منابع CPU و حافظه می شود.
This media is not supported in your browser
VIEW IN TELEGRAM
همکاری شرکت اریکسون با باشگاه پاریسنژرمن برای نشان دادن تفاوت 5G و 4G
Forwarded from Deleted Account
نه مناسب نیست.
ببینید مهندس راهنمایی خوبی کرد. ما توی لینوکس هیچ کتاب رسمی یا officialی مثل Cisco و Microsoft و... نداریم چون Open Source هست و Vendor-based نیست که خود vendor کتاب رسمی ای رو معرفی کرده باشه که اون کتاب هم منبع و مرجعی برای یادگیری و آزمون های رسمی باشه. کتاب هایی هم که وجود داره مثل این کتاب یا کتاب sybex و... رو صرفاً یه نویسنده ای از روی objectivesهای LPIC-2 نوشته (لینک های زیر). همین ولی هیچکدوم از اونها کامل نیستند.
https://www.lpi.org/our-certifications/exam-201-objectives
https://www.lpi.org/our-certifications/exam-202-objectives
کلاً تمام کتاب هایی که برای LPIC-1 و LPIC-2 وجود داره، هیچ کدوم کامل نیستند و با سرفصل های کلی این آزمون ها در سایت موسسه LPI کانادا مطابقت کامل نداره.
پس سوال اینه که حالا چطوری بخونیم؟
شما باید کتاب هایی مثل این کتاب رو اول بخونید تا یه مرور کلی کنید بر سرفصل های LPIC-2 (همانطور که قبلا گفتم نه همه سرفصل ها). بعد هر سرفصل رو جداگانه براش کتاب موردی پیدا کنید و بخونید چرا؟ چون فرض کنید سرویسی مثل BIND رو در این کتاب مگه چقدر ازش توضیح داده، در صورتیکه این سرویس خودش حداقل 1 کتاب کامل نیاز داره که بهش پرداخته بشه (پس مثلاً وقتی وصل سرویس DNS یا BIND رو از این کتاب مطالعه کردید بعدش باید برید و کتاب BIND 10 از انتشارات Apress رو هم در کنارش بخونید تا به این سرویس مسلط بشید) برای بقیه سرویس ها هم به همین صورت. به علاوه می تونید از سایت RedHat همانطور که مهندس گفتن سرفصل ها رو دونه دونه پیدا کنید و مطالب کنید در لینکی که ضمیمه شد.
پیشنهاد من:
1. برای سرویس DNS یا BIND: کتاب Pro DNS and BIND 10 انتشارات Apress
2. برای سرویس Squid: کتاب Squid Proxy Server 3.1 انتشارات Packt
3. برای سرویس PAM: کتاب Plugable Authentication Modules انتشارات Packt
4. برای سرویس SAMBA: کتاب Impeleminting SAMBA 4 انتشارات Packt
5. برای سرویس LDAP: کتاب Mastering OpenLDAP انتشارات Packt
6. برای سرویس Mail: کتاب Linux Email انتشارات Packt
7. برای سرویس VPN: کتاب OpenVPN Cookbook انتشارات Packt
8. برای سرویس Firewall: کتاب IPtables Tutorial از Oskar Andreasson + کتاب Linux Firewalls
9. برای سرویس Nginx: کتاب Nginx CookBook انتشارات Packt
10. برای سرویس Apache: هر کتابی که Apache v2.4 رو توضیح داده باشه خوبه
ببینید مهندس راهنمایی خوبی کرد. ما توی لینوکس هیچ کتاب رسمی یا officialی مثل Cisco و Microsoft و... نداریم چون Open Source هست و Vendor-based نیست که خود vendor کتاب رسمی ای رو معرفی کرده باشه که اون کتاب هم منبع و مرجعی برای یادگیری و آزمون های رسمی باشه. کتاب هایی هم که وجود داره مثل این کتاب یا کتاب sybex و... رو صرفاً یه نویسنده ای از روی objectivesهای LPIC-2 نوشته (لینک های زیر). همین ولی هیچکدوم از اونها کامل نیستند.
https://www.lpi.org/our-certifications/exam-201-objectives
https://www.lpi.org/our-certifications/exam-202-objectives
کلاً تمام کتاب هایی که برای LPIC-1 و LPIC-2 وجود داره، هیچ کدوم کامل نیستند و با سرفصل های کلی این آزمون ها در سایت موسسه LPI کانادا مطابقت کامل نداره.
پس سوال اینه که حالا چطوری بخونیم؟
شما باید کتاب هایی مثل این کتاب رو اول بخونید تا یه مرور کلی کنید بر سرفصل های LPIC-2 (همانطور که قبلا گفتم نه همه سرفصل ها). بعد هر سرفصل رو جداگانه براش کتاب موردی پیدا کنید و بخونید چرا؟ چون فرض کنید سرویسی مثل BIND رو در این کتاب مگه چقدر ازش توضیح داده، در صورتیکه این سرویس خودش حداقل 1 کتاب کامل نیاز داره که بهش پرداخته بشه (پس مثلاً وقتی وصل سرویس DNS یا BIND رو از این کتاب مطالعه کردید بعدش باید برید و کتاب BIND 10 از انتشارات Apress رو هم در کنارش بخونید تا به این سرویس مسلط بشید) برای بقیه سرویس ها هم به همین صورت. به علاوه می تونید از سایت RedHat همانطور که مهندس گفتن سرفصل ها رو دونه دونه پیدا کنید و مطالب کنید در لینکی که ضمیمه شد.
پیشنهاد من:
1. برای سرویس DNS یا BIND: کتاب Pro DNS and BIND 10 انتشارات Apress
2. برای سرویس Squid: کتاب Squid Proxy Server 3.1 انتشارات Packt
3. برای سرویس PAM: کتاب Plugable Authentication Modules انتشارات Packt
4. برای سرویس SAMBA: کتاب Impeleminting SAMBA 4 انتشارات Packt
5. برای سرویس LDAP: کتاب Mastering OpenLDAP انتشارات Packt
6. برای سرویس Mail: کتاب Linux Email انتشارات Packt
7. برای سرویس VPN: کتاب OpenVPN Cookbook انتشارات Packt
8. برای سرویس Firewall: کتاب IPtables Tutorial از Oskar Andreasson + کتاب Linux Firewalls
9. برای سرویس Nginx: کتاب Nginx CookBook انتشارات Packt
10. برای سرویس Apache: هر کتابی که Apache v2.4 رو توضیح داده باشه خوبه
Forwarded from ma
What is Configuration management?
وقتی صحبت از configuration management میشود در حقیقت منظورمان نوشتن برنامه ای طبقه بندی شده برای اعمال تغییرات لازم در یک یا چندین سرور و یا ماشین میباشد.به زبان ساده تر تسهیل و مستندسازی در زمانی که میخواهیم از state A به state B برویم.به عنوان مثال فرض کنید در سازمانی چندین سرور/ماشین وجود دارد که بنا بر نیاز قرار بر این هست که سرویس امنیتی audit بر روی همه ماشین ها نصب شود(فرض بر این هست که نصب نمیباشد) و فایل کانفیگ مربوط به audit در مسیر درست این سرورها/ماشین ها قرار گیرد و سرویس مربوط به audit هم استارت شود.
برای این کارراه حل های متفاوتی وجود دارد به عنوان مثال: تک تک، سرویس درخواستی را بر روی هر ماشین نصب و راه اندازی کنیم یا اینکه به سراغ ابزار های مانند Ansible برویم که این قدرت را به ما میدهد تا از طریق یک ماشین چندین ماشین دیگر را به state دلخواه ببریم.
از Ansible,puppet,chef ,salt به عنوان ابزار های Configuration management یاد میشود.
وقتی صحبت از configuration management میشود در حقیقت منظورمان نوشتن برنامه ای طبقه بندی شده برای اعمال تغییرات لازم در یک یا چندین سرور و یا ماشین میباشد.به زبان ساده تر تسهیل و مستندسازی در زمانی که میخواهیم از state A به state B برویم.به عنوان مثال فرض کنید در سازمانی چندین سرور/ماشین وجود دارد که بنا بر نیاز قرار بر این هست که سرویس امنیتی audit بر روی همه ماشین ها نصب شود(فرض بر این هست که نصب نمیباشد) و فایل کانفیگ مربوط به audit در مسیر درست این سرورها/ماشین ها قرار گیرد و سرویس مربوط به audit هم استارت شود.
برای این کارراه حل های متفاوتی وجود دارد به عنوان مثال: تک تک، سرویس درخواستی را بر روی هر ماشین نصب و راه اندازی کنیم یا اینکه به سراغ ابزار های مانند Ansible برویم که این قدرت را به ما میدهد تا از طریق یک ماشین چندین ماشین دیگر را به state دلخواه ببریم.
از Ansible,puppet,chef ,salt به عنوان ابزار های Configuration management یاد میشود.
بررسی فناوری SD-WAN
به تازگی فناوری SD-WAN مورد استقبال کارشناسان حوزه IT قرار گرفته است؛ چراکه علاوه بر ایمن بودن، بسیار کاربردی میباشد. در حقیقت امروز تعداد کمی از شبکههای WAN وجود دارند که از این فناوری استفاده نمیکنند. با این حال، تمام شبکه های SD-WAN یکسان نیستند و مسیرهای متعددی برای انتقال شبکه فعلی در حال اجرا و مورد اعتماد خود به یک شبکه مدرن و جدید وجود دارد.
به تازگی فناوری SD-WAN مورد استقبال کارشناسان حوزه IT قرار گرفته است؛ چراکه علاوه بر ایمن بودن، بسیار کاربردی میباشد. در حقیقت امروز تعداد کمی از شبکههای WAN وجود دارند که از این فناوری استفاده نمیکنند. با این حال، تمام شبکه های SD-WAN یکسان نیستند و مسیرهای متعددی برای انتقال شبکه فعلی در حال اجرا و مورد اعتماد خود به یک شبکه مدرن و جدید وجود دارد.
دلایل انتخاب SD-WAN
در وهله اول میتوان گفت که ارزش فناوری SD-WAN در قیاس با هزینه های بالای شبکه های WAN قدیمی و مرسوم، بیشتر مقرون به صرفه خواهد بود. با رشد اینترنت، دسترسی به اینترنت با پهنای باند نسبتا بالا، تقریبا در همه جا سادهتر و ارزانتر شده است. البته لازم به ذکر است که در گذشته برای بسیاری از کاربران، پهنای باند سریع، ویژگی منحصر به فردی محسوب نمیشد بنابراین ارائه دلایل ساخت و توسعه شبکه ها در گذشته بسیار دشوار بود.
پروتکل MPLS در چند دهه گذشته، شکل غالب شبکههای WAN در شبکههای سازمانی بوده، اما سرانجام SD-WAN به یک رقیب بسیار قوی برای MPLS تبدیل شده است؛ در واقع ارتباطات MPLS یک شبکه اختصاصی ارائه میدهند که کاملا از هر شبکه دیگری متمایز است. با توجه به آنکه در شبکهی MPLS به هر اتصال از راه دور یک اتصال با اندازهی مخصوص به خود تحویل داده میشود، بنابراین کاربر دقیقا میداند چه میزان پهنای باند در هر محل دریافت میکند. بنابراین اگر یک شعبه نیاز به دسترسی به «اینترنت» داشته باشد، معمولا توسط تجهیز روتر و از طریق دفتر مرکزی که اتصال اینترنت قوی و مکانیزم های مختلف امنیتی برای فیلتر کردن دارد انجام میشود. این امر دو مساله بزرگ را به وجود میآورد:
۱- تمام ترافیک اینترنت از طرف شعبههای مختلف، از MPLS با هزینه بالا در دو مسیر رفت و برگشت به شعبه مرکزی استفاده میکنند، که ایمن است اما اتلاف هزینه زیادی دارد.
۲- مصرف اینترنت با توجه به ماهیتش که برای کسب و کارها حیاتی و ضروری است، در حال گسترش است که توسط منابعی مانند Saas یا IaaS در کل شرکت استفاده میشود.
۳- وSD-WAN در حال حاضر گزینهی معتبری را برای فعال کردن یک WAN Hybrid امن ارائه میدهد. Hybrid مرجعی است که نشان میدهد SD-WAN کارکردی مکمل دارد و لزوما جایگزینی برای آن مدارهای گران قیمت MPLS با اینترنت پهن باند ارزانتر نیست.
با توجه به آنکه چندین نقطهی انتهایی مسیر در یک Edge Point یکسان وجود خواهند داشت، ممکن از این سوال پیش بیاید که آیا Vendor دارای تجربه مسیریابی سخت افزاری می باشد؟ بعضی از نقاط ممکن است علاوه بر یک خط MPLS به دو منبع مختلف برای اتصال به اینترنت نیز نیاز داشته باشند. اگر اتصال اینترنت شعبه واقعا حیاتی بود، میتوان اضافه کردن Cellular Failover ،4G LTE و یا هر نوع شبکه بیسیم دیگری که در دسترس است را در نظر گرفت. باید اطمینان حاصل نمود که میتوان مدل Active/Active را در آن مسیرهای کابلی اجرا نمود، تا هزینهای که صرف میشود، فقط محض اطمینان از اتصال نباشد و از همهی پهنای باند اینترنت استفاده نمایند.
هنگامی که SD-WAN به درستی تنظیم گردد، قابلیتی ساده برای مسیریابی ترافیک سازمانی را به شیوهای ایمن، با کیفیت ثابت و با تجربهای هم سطح یا بهتر از آنچه که اکنون وجود دارد، ارائه میدهد. برای سازمان هایی که به دنبال یک راهکار SD-WAN هستند، گزینههای زیادی در بازار وجود دارد که ادامه بررسی میشود:
سادگی در راهاندازی: نرمافزار در قسمتی از SD-WAN تعریف شده است که با کنترل روترهای مختلف از مکانی دیگر آن را مدیریت مینماید. این نرم افزار به طور کلی مبتنی بر Cloud است و کاربر با استفاده از محیطی ساده و کاربرپسند به آن دسترسی پیدا خواهد نمود. چند نکتهای در مورد سادگی در زیر آمده است:
آیا کنترل کننده حتما باید در فضای Cloud باشد؟ ممکن است کاربر شبکهای را راهاندازی نماید که اجازه استفاده از Cloud را به وی ندهد. باید از درک تواناییها و امکانات اطمینان شود.
آیا کنترل Policy تماما توسط محیط واحدی انجام میشود؟ چه مقدار میتواند جداسازی انجام داد؟ کاربر باید قادر به تعریف و مدیریت Policyهای جداگانه برای هر مکان از راه دور و حتی نیازهای فردی باشد. به طوری که پس از پیکربندی کردن، دیگر نیاز به تغییر آن نباشد.
در وهله اول میتوان گفت که ارزش فناوری SD-WAN در قیاس با هزینه های بالای شبکه های WAN قدیمی و مرسوم، بیشتر مقرون به صرفه خواهد بود. با رشد اینترنت، دسترسی به اینترنت با پهنای باند نسبتا بالا، تقریبا در همه جا سادهتر و ارزانتر شده است. البته لازم به ذکر است که در گذشته برای بسیاری از کاربران، پهنای باند سریع، ویژگی منحصر به فردی محسوب نمیشد بنابراین ارائه دلایل ساخت و توسعه شبکه ها در گذشته بسیار دشوار بود.
پروتکل MPLS در چند دهه گذشته، شکل غالب شبکههای WAN در شبکههای سازمانی بوده، اما سرانجام SD-WAN به یک رقیب بسیار قوی برای MPLS تبدیل شده است؛ در واقع ارتباطات MPLS یک شبکه اختصاصی ارائه میدهند که کاملا از هر شبکه دیگری متمایز است. با توجه به آنکه در شبکهی MPLS به هر اتصال از راه دور یک اتصال با اندازهی مخصوص به خود تحویل داده میشود، بنابراین کاربر دقیقا میداند چه میزان پهنای باند در هر محل دریافت میکند. بنابراین اگر یک شعبه نیاز به دسترسی به «اینترنت» داشته باشد، معمولا توسط تجهیز روتر و از طریق دفتر مرکزی که اتصال اینترنت قوی و مکانیزم های مختلف امنیتی برای فیلتر کردن دارد انجام میشود. این امر دو مساله بزرگ را به وجود میآورد:
۱- تمام ترافیک اینترنت از طرف شعبههای مختلف، از MPLS با هزینه بالا در دو مسیر رفت و برگشت به شعبه مرکزی استفاده میکنند، که ایمن است اما اتلاف هزینه زیادی دارد.
۲- مصرف اینترنت با توجه به ماهیتش که برای کسب و کارها حیاتی و ضروری است، در حال گسترش است که توسط منابعی مانند Saas یا IaaS در کل شرکت استفاده میشود.
۳- وSD-WAN در حال حاضر گزینهی معتبری را برای فعال کردن یک WAN Hybrid امن ارائه میدهد. Hybrid مرجعی است که نشان میدهد SD-WAN کارکردی مکمل دارد و لزوما جایگزینی برای آن مدارهای گران قیمت MPLS با اینترنت پهن باند ارزانتر نیست.
با توجه به آنکه چندین نقطهی انتهایی مسیر در یک Edge Point یکسان وجود خواهند داشت، ممکن از این سوال پیش بیاید که آیا Vendor دارای تجربه مسیریابی سخت افزاری می باشد؟ بعضی از نقاط ممکن است علاوه بر یک خط MPLS به دو منبع مختلف برای اتصال به اینترنت نیز نیاز داشته باشند. اگر اتصال اینترنت شعبه واقعا حیاتی بود، میتوان اضافه کردن Cellular Failover ،4G LTE و یا هر نوع شبکه بیسیم دیگری که در دسترس است را در نظر گرفت. باید اطمینان حاصل نمود که میتوان مدل Active/Active را در آن مسیرهای کابلی اجرا نمود، تا هزینهای که صرف میشود، فقط محض اطمینان از اتصال نباشد و از همهی پهنای باند اینترنت استفاده نمایند.
هنگامی که SD-WAN به درستی تنظیم گردد، قابلیتی ساده برای مسیریابی ترافیک سازمانی را به شیوهای ایمن، با کیفیت ثابت و با تجربهای هم سطح یا بهتر از آنچه که اکنون وجود دارد، ارائه میدهد. برای سازمان هایی که به دنبال یک راهکار SD-WAN هستند، گزینههای زیادی در بازار وجود دارد که ادامه بررسی میشود:
سادگی در راهاندازی: نرمافزار در قسمتی از SD-WAN تعریف شده است که با کنترل روترهای مختلف از مکانی دیگر آن را مدیریت مینماید. این نرم افزار به طور کلی مبتنی بر Cloud است و کاربر با استفاده از محیطی ساده و کاربرپسند به آن دسترسی پیدا خواهد نمود. چند نکتهای در مورد سادگی در زیر آمده است:
آیا کنترل کننده حتما باید در فضای Cloud باشد؟ ممکن است کاربر شبکهای را راهاندازی نماید که اجازه استفاده از Cloud را به وی ندهد. باید از درک تواناییها و امکانات اطمینان شود.
آیا کنترل Policy تماما توسط محیط واحدی انجام میشود؟ چه مقدار میتواند جداسازی انجام داد؟ کاربر باید قادر به تعریف و مدیریت Policyهای جداگانه برای هر مکان از راه دور و حتی نیازهای فردی باشد. به طوری که پس از پیکربندی کردن، دیگر نیاز به تغییر آن نباشد.
امنیت: جهت ارتقاء امنیت باید فرآیندی بیش از یک رمزگذاری IPsec درنظر گرفته شود. در زیر به ارائه برخی راهکارها و مفاهیم می پردازیم:
امنیت باید در سه بُعد بررسی شود: رمزگذاری، احراز هویت و یکپارچگی. هدف نهایی مدلهای Zero-Trust هستند، اما باید اطمینان حاصل شود که فقط یک اصطلاح بازاریابی نباشد.
سهولت آوردن سایتهای جدید در شبکه یک مزیت کلی است. هنگام انجام این کار، کاربر باید در مورد امنیت موجود، اطلاعات کافی را به دست آورد. ارتباطات Remote به کنترل کننده مرکزی، قاعدتا نیاز به یک پروسه تایید دارد که باید قبل از هر جریان ترافیکی باشد.
امنیت برای هر سازمان بسیار شخصی و منحصر به فرد است. کاربر باید اطمینان حاصل نماید که به غیر از قابلیتهایی که توسط Vendorیی که SD-WAN را ارائه میدهد تهیه شدهاند، باقی قابلیتهای موجود برای گسترش کنترلهای امنیتی را میپسندد.
حرکت به سوی SD-WAN توسط رشد باور نکردنی برنامههای کاربردی مبتنی بر Cloud، که اکنون همهی ما به آنها وابسته هستیم، بهوجود آمده است. کنترلهای امنیتی باید گسترش یافته و به این سرویسها نیز برسد و تعادلی بین «اتصال امن» و «مطلوب ترین مسیر» ایجاد نماید.
و SD-WAN انعطاف پذیریهای زیادی که قبلا نداشتیم را به همراه می آورد. برای مثال، اتصالات کاملا Mesh که در اغلب شرایط برای پیکربندی بسیار پیچیده بودند. مسیریابی پویا و مبتنی بر Policy باید برای SD-WAN آسان باشد تا عملکرد با امنیت هماهنگ گردد و نباید این دو را قربانی یکدیگر کرد.
امنیت باید در سه بُعد بررسی شود: رمزگذاری، احراز هویت و یکپارچگی. هدف نهایی مدلهای Zero-Trust هستند، اما باید اطمینان حاصل شود که فقط یک اصطلاح بازاریابی نباشد.
سهولت آوردن سایتهای جدید در شبکه یک مزیت کلی است. هنگام انجام این کار، کاربر باید در مورد امنیت موجود، اطلاعات کافی را به دست آورد. ارتباطات Remote به کنترل کننده مرکزی، قاعدتا نیاز به یک پروسه تایید دارد که باید قبل از هر جریان ترافیکی باشد.
امنیت برای هر سازمان بسیار شخصی و منحصر به فرد است. کاربر باید اطمینان حاصل نماید که به غیر از قابلیتهایی که توسط Vendorیی که SD-WAN را ارائه میدهد تهیه شدهاند، باقی قابلیتهای موجود برای گسترش کنترلهای امنیتی را میپسندد.
حرکت به سوی SD-WAN توسط رشد باور نکردنی برنامههای کاربردی مبتنی بر Cloud، که اکنون همهی ما به آنها وابسته هستیم، بهوجود آمده است. کنترلهای امنیتی باید گسترش یافته و به این سرویسها نیز برسد و تعادلی بین «اتصال امن» و «مطلوب ترین مسیر» ایجاد نماید.
و SD-WAN انعطاف پذیریهای زیادی که قبلا نداشتیم را به همراه می آورد. برای مثال، اتصالات کاملا Mesh که در اغلب شرایط برای پیکربندی بسیار پیچیده بودند. مسیریابی پویا و مبتنی بر Policy باید برای SD-WAN آسان باشد تا عملکرد با امنیت هماهنگ گردد و نباید این دو را قربانی یکدیگر کرد.
کیفیت تجربه یا Quality of Experience : برخلاف سهولت استفاده که در بالا به آن اشاره شد، این کیفیت تجربه در مورد کنترل و طراحی موجود است که به نفع کاربر نهایی میباشد.
با توجه به آنکه می دانیم اینترنت مانند یک شبکه خصوصی قابل کنترل نیست؛ اما با این حال، با چندین اقدام میتوان تبعات این مسئله را به حداقل رساند. اتصال شبکههای Hybrid، همراه با کنترلهای توزیع شده، باید امکان ایجاد Policyهایی را فراهم نماید که میتوانند در شرایط مختلف تعیین کنند که مسیر MPLS تحت آن شرایط انتخاب شود. این گزینه حد وسطی است که قبلا وجود نداشت. ایده اصلی آن است که پیادهسازی SD-WAN به کاربر این امکان را بدهد که اندازه مسیرهای MPLS همچنین که هزینههای کارکرد خود را کاهش دهد، زیرا آنها Policyهایی دارند که میگویند برنامههای خاصی وجود دارد که فقط با استفاده از اینترنت عملکرد خوبی خواهند داشت. کاربر بصورت ممتد نیاز به بررسی شرایط دارد تا بتواند مسیر MPLS را برای یک مکالمه خاص در یک زمان خاص انتخاب نماید؛ و این امر به دلیل هوشمندی شبکه است که می تواند از پس این کار بر بیاید.
معمولا برنامه های جداسازی شده، اول از همه در زیرساخت Cloud پیادهسازی میگردند. برای مثال منابع انسانی، برنامهریزی و امور اداری تبدیل به برنامه های SaaS مانند Office 365 و Salesforce شدهاند. تجربه کاربر به حالتهای مختلفی که دائما تغییر میکنند وابسته است: از Gateway اینترنت در یک طرف، تا محل میزبانی از طرف دیگر.
در حال حاضر هیچ کمبودی در Vendorهای SD-WAN وجود ندارد. این مسیری است که شبکه WAN در حال طی کردن آن میباشد و امری زودگذر نیست. اما شبکه هر چقدر هم که تغییر کند، باز هم همان شبکه است و نمیتوان از اهمیت یک پیشینه خوب در شبکه و امنیت چشم پوشی کرد.
تنها دلیل حرکت به سمت SD-WAN این نیست که در مقایسه با خطوط خصوصی صرفه جویی بسیار زیادی دارد بلکه هیچ افزایش ریسک یا پذیرفتن گزینههای کنترل غیر استانداردی نباید وجود داشته باشد. SD-WAN یک تکنولوژی است که شبکه کاربر باید به خاطر امنیت بهتر، قابلیت دید بهتر و کنترل و سهولت بیشتر به سوی آن گسترش پیدا کند.
با توجه به آنکه می دانیم اینترنت مانند یک شبکه خصوصی قابل کنترل نیست؛ اما با این حال، با چندین اقدام میتوان تبعات این مسئله را به حداقل رساند. اتصال شبکههای Hybrid، همراه با کنترلهای توزیع شده، باید امکان ایجاد Policyهایی را فراهم نماید که میتوانند در شرایط مختلف تعیین کنند که مسیر MPLS تحت آن شرایط انتخاب شود. این گزینه حد وسطی است که قبلا وجود نداشت. ایده اصلی آن است که پیادهسازی SD-WAN به کاربر این امکان را بدهد که اندازه مسیرهای MPLS همچنین که هزینههای کارکرد خود را کاهش دهد، زیرا آنها Policyهایی دارند که میگویند برنامههای خاصی وجود دارد که فقط با استفاده از اینترنت عملکرد خوبی خواهند داشت. کاربر بصورت ممتد نیاز به بررسی شرایط دارد تا بتواند مسیر MPLS را برای یک مکالمه خاص در یک زمان خاص انتخاب نماید؛ و این امر به دلیل هوشمندی شبکه است که می تواند از پس این کار بر بیاید.
معمولا برنامه های جداسازی شده، اول از همه در زیرساخت Cloud پیادهسازی میگردند. برای مثال منابع انسانی، برنامهریزی و امور اداری تبدیل به برنامه های SaaS مانند Office 365 و Salesforce شدهاند. تجربه کاربر به حالتهای مختلفی که دائما تغییر میکنند وابسته است: از Gateway اینترنت در یک طرف، تا محل میزبانی از طرف دیگر.
در حال حاضر هیچ کمبودی در Vendorهای SD-WAN وجود ندارد. این مسیری است که شبکه WAN در حال طی کردن آن میباشد و امری زودگذر نیست. اما شبکه هر چقدر هم که تغییر کند، باز هم همان شبکه است و نمیتوان از اهمیت یک پیشینه خوب در شبکه و امنیت چشم پوشی کرد.
تنها دلیل حرکت به سمت SD-WAN این نیست که در مقایسه با خطوط خصوصی صرفه جویی بسیار زیادی دارد بلکه هیچ افزایش ریسک یا پذیرفتن گزینههای کنترل غیر استانداردی نباید وجود داشته باشد. SD-WAN یک تکنولوژی است که شبکه کاربر باید به خاطر امنیت بهتر، قابلیت دید بهتر و کنترل و سهولت بیشتر به سوی آن گسترش پیدا کند.