Иногда, я думаю о том, что несмотря на сложившееся мнение о том, что открытое лучше закрытого, иногда гораздо проще и дешевле будет держать свою физическую локалку (даже не VPN, а именно физическую) и аккуратно давать к ней доступ, таким образом сохраняя "security by obscurity" и забив на большинство проблем, возникающих при открытой инфраструктуре (DDoS и иже с ним). К этому, временами, примешивается ещё и ностальгия по временам расцвета локалок и DC++.
Мысль довольно нубская и на мой взгляд, странная, поэтому решил подумать, разобраться и написать сей пост.
Первые вопросы, которые возникают при анализе этой проблемы, это само собой:
- Безопасность. Ддосить может и просто неисправное сетевое устройство
- Бюджет. Кто будет держать и администрировать это хозяйство;
- Контроль. Кто будет контролировать абонентов.
- Распространение
Рассмотрим каждый из пунктов.
Первый вопрос, конечно может решиться установкой сетевого экрана. Но тогда, логика самой закрытости получается довольно смешной - почему бы тогда не сделать всё открытым, гонять всё как обычно и не напрягаться? С другой стороны, экраны экранам рознь и при малом количестве абонентов вообще можно поставить условную чепуху за 14000+ рублей. А в открытом случае из-за боязни условных злодеев с трафиком в 100 TB/s в один порт возможно придётся раскошелиться. Поэтому, получается в случае известного числа абонентов и контроля за инфраструктурой, можно сэкономить.
Второй вопрос сложнее. Во-первых, админы админам рознь и хороший админ - большое счастье. Но, если подумать, какой-нибудь микроскопической сеткой до 10 машин легко управлять, особенно если они географически размещены рядом. Соответственно, факторы влияющие на это - географическое размещение и размер самой сети, чем она меньше как географически и по количеству машин, тем больше шанс, что закрытость сработает для неё достаточно хорошо. В идеале, лучше всего, если все машины собраны в одном условном месте, будь то ЦОД или условный офис.
Третий вопрос, на мой взгляд, самый важный. Например, недавно в Швеции утекли данные из-за сервака на компьютере, который вообще не должен был быть в сети. Опять же, на мой взгляд, это проблема отсутствия мониторинга, которая бы в открытой экосистеме просто была бы выявлена и исправлена раньше и вообще не произошла, если бы был хоть какой-то мониторинг. И опять же, закрытость отлично сработает если количество условных абонентов очень мало.
А четвертый вопрос легко решается при присутствии личных связей. И вот тут в случае малого количества людей всё можно сравнительно легко решить, но в случае большого количества объём боли получается гораздо больший, чем допустимо. Для частных целей можно применить какие-нибудь mesh-сети и наращивать потихоньку сеть, пока это не упрётся в различные ограничения. Впрочем, энтузиастов подобного не найти даже в соседнем доме, так что это всё получается бессмысленно.
Итого: получается, что если абонентов немного (скажем это вы и ваши друзья) и есть желание ковыряться с проблемами 80-х-90-х и не возиться с проблемами позднего времени - в возможно, это может и подойти. В противном случае - придётся обходиться тем, что есть.
Комментариев нет:
Отправить комментарий