I takt med att nätverken snabbt växer och ökar i komplexitet mångdubblas även riskerna och svårigheten i att säkra dem. Vår nätverkskonsult Daniel Dib delar med sig av sex grundläggande råd som vi ofta ser att verksamheter kan missa, allt ifrån att hantera konfigurationer till mjukvara och sårbarheter med mera.
Du kan även läs artikeln i Techworld!
- Kvalitetssäkra data
Det är mycket vanligt förekommande att data (information) finns i många olika system. Detta är helt okej men vilket system är det som är ägare av datat? Det är vanligt att data kopieras från ett system till ett annat och att förändringar sker i det ena systemet som inte reflekteras till det andra. Vilket system äger nu sanningen? Detta brukar kallas för single source of truth, det vill säga att det är ett system som äger datat, och om fler system behöver ta del av datat, skall det helst ske genom att utnyttja integrationer för att hämta data från det systemet som är ägare. Skit in – skit ut är ett bra sätt att beskriva vad som händer när man har dålig kontroll på sitt data.
2. IP-adressplanering
Hand upp om du använder eller har använt Excel för att hantera planering av ip-adresser i ditt nätverk. Trots att vi alla vet att det är fel är det väldigt vanligt förekommande. Det skapar mycket merarbete att ha ett dåligt verktyg för ip-planering då det är svårt att veta vad som stämmer, när dokumentet är uppdaterat och vilka adresser som är lediga. Använd istället ett IPAM. Det finns många olika alternativ, både kommersiella och open source. Det bör också finnas integration mot DHCP och DNS för att se vilka nät som är allokerade och hur fyllda dessa är.
3. Standardisering
Eftersträva att ha så få olika hårdvaruplattformar och variationer på nätverksdesign ute på kontoren. Det är mycket enklare att sätta en design med ett fåtal kombinationer och ta fram standardkonfigurationer för dessa än att tillåta varje kontor att ha sin egen design, konfiguration och lokala undantag. Önskescenariot är att ha ett system som kan jämföra konfigurationen som är i drift med den som borde vara i drift, rapportera skillnader och eventuellt korrigera skillnaderna. Med standardkonfigurationer behövs det läggas mindre tid på drift och felsökning då risken för konfigurationsfel minimeras.
4. Backup av konfiguration
Självklart skall det finnas backup av de konfigurationer som är i drift men det är inte tillräckligt. Använd ett system såsom Git för att revisionshantera konfigurationer. När gjordes den senaste ändringen? Varför? Vem var ansvarig för ändringen? När det finns olika revisioner av konfigurationer ökar spårbarheten, felsökning blir lättare och tid frigörs till mer värdeskapande aktiviteter än att försöka jaga rätt på den tidigare fungerande konfigurationen som ligger nedsparad på någon i personalens hårddisk.
5. Mjukvaruhantering
Hur många versioner av mjukvara har du för samma hårdvaruplattform i ditt nätverk? 1? 5? 10? 15? Det är mycket vanligt att samma hårdvara på olika ställen i nätet har väldigt olika mjukvara. Detta beror ofta på att det är mjukvaran som plattformen levererades med som är installerad eller att delar av nätverket har blivit uppgraderat men inte andra. Använd ett verktyg för att hålla koll på vilka versioner som är installerade, uppgradera vid behov och eftersträva en homogen miljö där så få versioner som möjligt används i nätverket. Det är svårt att kvalitetssäkra många olika mjukvaruversioner. Gammal mjukvara har dessutom en högre risk att innehålla sårbarheter.
6. Hantera sårbarheter
Ditt nätverk har alltid ett antal sårbarheter som är aktuella för dina plattformar och mjukvaror. Det kan vara svårt att få en överblick på vilka som är relevanta för just dig. Använd ett verktyg som kan scanna av ditt nät, kontrollera vilka mjukvaror som är aktiva, visa vilka sårbarheter som är aktuella för dessa och sedan ge dig rekommendationer på åtgärder för att täppa igen sårbarheten. Detta kan röra sig om att uppgradera mjukvara eller att stänga av funktioner som finns i mjukvaran. I detta sammanhang pratar man ofta om compliance, till exempel att man inte skall ha några sårbarheter i nätverket som har en viss klassning såsom critical.
Daniel Dib är en av två Cisco Design-certifierade experter i Sverige (CCDE, båda finns på Conscia Netsafe) och även CCIE samt AWS Solutions Architect Associate. Han är den enda svenska representanten på Cisco CCIE Advisory Council som driver och utvecklar CCIE-programmet. Daniel är en känd skribent i branschen som håller utbildningar åt Cisco på deras Cisco Learning Community och har fem år i rad blivit utsedd till Cisco Designated VIP för sina insatser. Han är en Cisco Learning Network VIP samt Cisco Champion. Daniel driver en av de mest populära bloggarna i nätverksbranschen, Lostintransit. Daniel har även skrivit i Network Computing och i Ciscos egen blogg.
Foto: Clint Adair/Unsplash
