5 věcí, na které byste měli myslet při plánování firemní počítačové sítě
Vaše firemní počítačová síť neběhá takhle rychle? Možná je problém v některém z těchto pěti základních kamenů.
- Síťová infrastruktura
- Bezpečnost
- Zálohování
- Centrální správa
- Monitoring
Síťová infrastruktura
Pokud se stěhujete do zcela nové budovy, dobře si rozmyslete její zasíťování. Není nic horšího, než přestavovat a dodělávat infrastrukturu na základě požadavků, na které jsme zapomněli při jejím návrhu. Na rozvod kabeláže, instalaci patch panelů a racku se vyplatí najmout specializovanou firmu. Nekvalitně odvedená práce v této oblasti se již mnohokrát stala příčinou zdánlivě záhadných (až trochu duchařských) problémů s připojením.
Dnes není důvod používat síťové kabely a panely se starší specifikací než Cat6, která je plnohodnotně připravena pro 1 Gb síť a částečně už i také pro 10 Gb přenosy. Pamatujte, že budete možná v budoucnu potřebovat více fyzicky oddělených sítí (například pro telefony, síť pro hosty, interní síť…), pro které bude třeba dostatek samostatných zásuvek.
V případě malého počtu zásuvek se nebojte více sítí oddělit alespoň virtuálně pomocí VLAN (zkratka pro Virtuální LAN), k tomu však budete potřebovat hardware (například switche) s jejich podporou.
U bezdrátových sítí pokrývajících více než jednu místnost doporučuji nejprve proměření signálu a následně využití profesionálního hardware, který ve skutečnosti není o mnoho dražší než levné wifi krabičky s proměnlivou spolehlivostí a omezenou funkcionalitou. Výborné zkušenosti máme například s produkty Ubiquity.
Bezpečnosti není nikdy dost, náklady na ní by však neměly být vyšší než riziko, kterému má předcházet. Základním principem bezpečnosti je přístup: co není dovoleno, to je zakázáno. Dbejte na to, kdo má přístup k důležitým firemním datům ve sdílených složkách (doporučujeme vytvořit hierarchii bezpečnostních skupin s využitím Active Directory nebo alespoň LDAP + Samba), kdo schvaluje změny v bezpečnostním nastavení, případně jakým způsobem jsou přístupy k souborům evidovány.
Nejčastějším faktorem, který z hlediska bezpečnosti selhává, je ten lidský. Bývá kontraproduktivní nutit zaměstnance měnit si každé tři měsíce hesla, která navíc musí být v takovém tvaru, který si nikdo nezapamatuje (a proto si ho budou muset někam poznamenat). Alespoň základní školení zaměstnanců ohledně práce s podezřelými e-maily, podvodnými programy a hesly se většinou mnohonásobně vyplatí.
Zálohování
Řešte zálohování dříve než bude pozdě. Z našich zkušeností se ukazuje, že výhodné je skladovat důležitá data centrálně na jednom místě (diskové pole), které pak kompletně zálohovat na záložní hardware a optimálně navíc i do jiné lokace mimo kancelář. V každém případě je výhodné provádět inkrementální nebo rozdílové zálohy a držet historii záloh alespoň týden (lépe je více).
Pokud využíváte datových úložišť v Cloudu (vaše data jsou uložena na serverech poskytovatele, o kterých nemáte žádný přehled), nespoléhejte pouze na jejich zálohování a provádějte zálohu z cloudu naopak k sobě do kanceláře. Jak ukázal nedávný kolaps cloudu jednoho z velkých českých datacenter, obnova při problémech ve špatně nastaveném datacentru může trvat i déle než týden.
Podobná pravidla platí i o zálohování e-mailů, jedné z nejdůležitějších databází firemních dat. Využívejte možnosti skladovat veškeré e-maily na e-mailových serverech (s využitím Exchange nebo IMAP protokolů), zajímejte se však o to, jakým způsobem jsou zálohovány, případně si raději veškeré e-maily nechte pravidelně stahovat k sobě (nemáte-li vlastní e-mailový server).
Jestlipak má zálohu?
Centrální správa
Při větším množství počítačů ve firmě (řekněme více než 10) začíná být velmi komplikované spravovat každý počítač zvlášť. Cetrální správa počítačů je výhodná nejen pro snížení nákladů na správu, ale i pro rychlejší řešení problémů a jednodušší plánování dalšího rozvoje. Ve Windows sítích využívejte Windows Doménu (Active Directory) a nebojte se ani specializovaných nástrojů, které pomůžou s evidencí a přehledem síťové infrastruktury. Vhodnými nástroji na evidenci a správu sítě jsou například Spiceworks nebo Lansweeper. Pomohou vašim administrátorům, ale i vám jako laikům, udržovat přehled o stavu stanic ve vaší firemní síti.
Při nákupu stanic nezapomínejte na to, že pro připojení počítače do domény potřebujete vyšší edici operačního systému Windows, u Windows 7 je to minimálně edice Professional, u Windows 8/8.1 pak edice Pro.
Monitoring
Jednou z důležitých věcí je mít přehled o tom, co se ve vaší síti děje. Ať už jde o vytížení serverů, přehled o volném prostoru pro vaše data nebo třeba aktuální teplotě v místnosti s vašimi servery. Všechny tyto informace budou vaši administrátoři neustále potřebovat, abyste mohli předcházet případným problémům ještě před tím, než nastanou.
Výstupy z monitoringu jsou navíc ideálními podklady pro plánování rozpočtu na další rok nebo jako odrazový můstek při plánování rozvoje vaší firemní sítě. Budete mít přehled o tom, co vaše zaměstnance limituje, zda a jaké máte rezervy ve výkonu hardware, kolik vás stojí odstávky nespolehlivého hardwaru a mnoho dalších užitečných věcí, které se vyplatí alespoň jednou za čtvrt roku vyhodnotit.
Dnes existuje mnoho specializovaných služeb pro monitoring firemních serverů a služeb, které mohou fungovat přes internet. Pokud máte rozsáhlejší síť s více servery, doporučujeme však instalaci specializovaného serveru (nejlépe virtuálního) přímo ve vaší kanceláři. Skvělé zkušenosti máme s Open Source produkty jako jsou Icinga (Nagios) a Munin.
A naše obvyklá rada na závěr: Nejlepší je celou správu sítě outsourcovat. Malá firma vydělá na tom, že bude mít k dispozici profíka, kterého by jinak neuživila. Velká korporace bude mít naprostý přehled o tom, kolik do svého IT investuje.
Komentáře
cistepc
14.1.2015Mnoho let jsem pracoval jako admin v jedné hodně velké společnosti s několika stovkami pc. Naučit uživatele bezpečné heslo je nadlidský výkon, pardon, spíš uživatelky :) Každopádně ve většině polostátních institucí, kde ještě jedou v roce 2015 Win XP, to ani bezpečné heslo nezachrání.
Filip Marvan
15.1.2015To máte pravdu, pokud k tomu uživatele nedonutíte, spousta z nich si nechává defaultní heslo (i když podle mých zkušeností na tom nejsou o moc lépe ani uživatelé oproti uživatelkám) nebo používají různá "heslo123" :) Jako vhodný kompromis může být nastavení politiky pro vyžadování určitých parametrů hesla a nenutit je heslo měnit nebo alespoň ne nějak moc často.
Ale je pravda, že to je jen jeden z mnoha problémů bezpečnosti. Používání podporovaného a aktualizovaného softwaru (nejen na stanicích, ale i na serverech) je kapitola sama o sobě :)
mike
25.1.2015Uživatel je vynalézavý:
Mezinárodní firma, v ČR asi 2000 lidí. Relativně silné zabezpečení. Hesla se mění co 3 měsíce.
Skoro všichni používají heslo typu Jaro.2015
A je to...
Počítače , notebooky
14.12.2017Mě vždycky vytočí, když mě někdo nutí měnit heslo. Mám vlastní systém pro vymýšlení hesel kombinací dvou věcí (URL + něco dalšího).
Takže každá vynucená zmněna hesla na heslo jiné je pro mě problém.
Přidat komentář