ZeroTier - Bezpieczna sieć prywatna dla Twoich urządzeń

Image by Freepik

1. Wstęp

ZeroTier to bezpieczna warstwa sieciowa, która pozwala zarządzać wszystkimi zasobami sieciowymi tak, jakby znajdowały się w tej samej sieci LAN. Jako że ZeroTier jest rozwiązaniem definiowanym programowo (ang. Software Defined) można je wdrożyć w ciągu kilku minut z dowolnego miejsca na świecie wykorzystując panel zarządzania dostępny poprzez WWW.

Bez względu na to, ile urządzeń trzeba podłączyć i gdzie się one znajdują, ZeroTier sprawia, że utworzenie i zarządzanie ​​globalną siecią VPN staje się proste.

Opiszemy pokrótce funkcjonalności ZeroTier oraz omówimy jego praktyczne zastosowanie.

2. Główne cechy

2.1 Bezpośrednie połączenia każdy-z-każdym

ZeroTier jest przyjazny dla firewalli - ruch przez zaporę sieciową/NAT działa na zasadzie mostu łączącego różne sieci o różnych konfiguracjach.

Bezpośrednie dwukierunkowe połączenia typu peer-to-peer ułatwiają udostępnianie danych i usług w sieci ZeroTier VPN.

2.2 Niezawodność

Unikalne identyfikatory urządzeń ułatwiają przekazywanie ruchu sieciowego, niezależnie od zmian lokalizacji lub połączenia internetowego. Po zmianie sieci/lokalizacji nie ma potrzeby rekonfigurować usługę na urządzeniu.

2.3 Elastyczność

Tworzenie wielu sieci ZeroTier VPN jest łatwe, a urządzenia mogą należeć do dowolnej liczby sieci.

Segmentacja pomaga utrzymać wymagane bezpieczeństwo, dzięki czemu wiele zespołów może uzyskać dostęp do tych samych urządzeń. W myśl zasady “dziel i rządź”.

2.4 Agent ZeroTier

Dzięki ZeroTier pojedynczy, lekki agent (oprogramowanie instalowane na końcówce) obsługuje wszystkie przypadki użycia sieci ZeroTier VPN. Jest oprogramowaniem typu “open source” i można go zainstalować bezpłatnie.

1. Lekki

   Agent ZeroTier ma niewielkie zapotrzebowanie na zasoby, działa z łatwością na Raspberry Pi i innych małych urządzeniach. Idealnie nadaje się do IoT i innych wdrożeń, w których urządzenia nie są powiązane z konkretnym użytkownikiem.

2. Kompatybilny z wieloma urządzeniami

   Agenta można zainstalować na niemal każdym urządzeniu z systemem operacyjnym, w tym Mac, Windows i Linux. ZeroTier jest preinstalowany na wielu routerach, takich jak Mikrotik i Teltonika.

3. Transparentny

   Agent ZeroTier działa w tle na urządzeniach bez pogorszenia wydajności. Wbudowany proces uwierzytelniania ułatwia dodawanie urządzeń do sieci za pomocą kodów QR lub łączy internetowych.

2.5 Pulpit zarządzania

Pulpit zarządzania ZeroTier zapewnia scentralizowany widok wszystkich sieci i urządzeń.

1. Łatwy w użyciu

   Tworzenie sieci i zarządzanie podłączonymi urządzeniami jest proste. System również udostępnia bardziej zaawansowane narzędzia do tras niestandardowych i konfiguracji DNS.

2. Zunifikowany interfejs

   Interfejs pulpitu jest lekki i użyteczny - zapewnia pojedyncze miejsce kontroli dla wszystkich sieci.

3. Kompletny obraz

   W jednym miejscu można zobaczyć wszystkie swoje sieci ZeroTier i podłączone urządzenia, w tym np. routery. Nie ma potrzeby logować się do wielu pulpitów, aby uzyskać fragmentaryczny widok swojej infrastruktury.

2.6 Prywatność i bezpieczeństwo

System ZeroTier przesyła dane bezpośrednio między podłączonymi urządzeniami. Można korzystać ze środowiska internetowego o wysokim poziomie zaufania, nie rezygnując z bezpieczeństwa.

1. Prywatność

   Dane nie są kierowane przez infrastrukturę ZeroTier ani innych innych dostawców usług w chmurze.

2. Szyfrowanie

   Wszystkie dane są kompleksowo szyfrowane, a urządzenia mają unikalne identyfikatory kryptograficzne. Całość działa szybko i stabilnie.

3. Uwierzytelnianie

   SSO (ang. Single Sign On) ułatwia łączenie zaufanych urządzeń.

2.7 Funkcje przyjazne dla programistów

ZeroTier pomaga szybciej budować i dostarczać połączone produkty, unikając jednocześnie wysokich kosztów i złożoności starszej infrastruktury.

1. SDK ZeroTier

   Zestaw SDK ZeroTier umożliwia programistom łatwe osadzanie wysokowydajnej sieci VPN w swoich aplikacjach.

2. Integracje

   Interfejsy API i webhooki ułatwiają integrację ZeroTier z większym ekosystemem technologicznym.

3. Wdrażanie

   System “Terraform” obsługuje przepływy pracy DevOps - ułatwione zautomatyzowane wdrażanie sieci ZeroTier. Tak proste, jak pisanie kodu!

3. Licencjonowanie ZeroTier

System ZeroTier jest dostępny w 3 modelach subskrypcyjnych:

• BASIC - darmowy dostęp do funkcjonalności - 1 administrator, 10 urządzeń w jednej sieci, bez limitu sieci.

• ESSENTIAL - $5 miesięcznie + $2 za każde autoryzowane urządzenie. 10 darmowych urządzeń, bez limitu sieci, własne trasy routingu, zaawansowane reguły, filtry DNS, 30 dni z logami, SSO, Webhooki, Centralne API, wsparcie na zasadzie zgłoszeń w systemie zgłoszeniowym.

• Premium - wyceniany indywidualnie, oprócz tego co w planie Essential - 1 rok logów, zaawansowane SLA.

Można więc wywnioskować, że im bardziej sieć ZerioTier się rozrasta (coraz więcej przyłączanych urządzeń), tym coraz więcej należy płacić. Zgodnie z maksymą “pay-as-you-go” czyli “płać tak, jak się rozwijasz”. Często spotykany model subskrypcyjny.

4. Użytkowanie ZeroTier

Po utworzeniu konta i zalogowaniu się do ZeroTier mamy dostęp do panelu zarządzania. Przykładowy ekran poniżej.

Na każdym urządzeniu, które chcemy podłączyć do naszej sieci ZeroTier musimy zainstalować agenta. Po zainstalowaniu, podłączamy się do naszej sieci podając unikalny kod sieci. Następnie autoryzujemy nasze urządzenie oraz nadajemy mu adres IP ręcznie lub automatycznie w zależności od ustawień - od teraz urządzenie może swobodnie komunikować się z innymi urządzeniami w naszej sieci ZeroTier VPN.

Agent w systemie tworzy interfejs sieciowy z przypisanym nr IP. W celu zarządzania komunikacją urządzeń między sobą, można wykorzystać firewall systemowy, aby ograniczyć ruch między urządzeniami, jeśli istnieje taka potrzeba.

Sam proces konfiguracji jest bardzo prosty, a całość działa niemal z pudełka. Większe możliwości mamy w subskrypcji Essential.

Komunikacja między urządzeniami działa zazwyczaj na zasadzie P2P, czyli punkt-punkt z pominięciem infrastruktury ZeroTier.

Czasem zdarza się, iż występują problemy z ruchem pakietów w trybie P2P - problemtyczne routery z firewallami itp. Wówczas dochodzi do zestawienia połączenia za pomocą infrastruktury ZeroTier tzw. RELAY. Komunikacja między punktami jest szyfrowana, więc nawet w przypadku transmisji RELAY między urządzeniami bezpieczeństwo jest zachowane. Transmisja jest zawsze szyfrowana bez znaczenia w jakim trybie komunikują się urządzenia.

Przed wdrożeniem ZeroTier zalecamy zapoznanie się z dokumentacją dostępną na stronie projektu. Dobrą praktyką jest wykonanie wdrożenia testowego, aby sprawdzić, czy rozwiązanie nadaje się do naszych potrzeb.

5. Podsumowanie

ZeroTier jest ciekawym systemem pozwalającym w szybki sposób stworzyć sieć VPN. Dzięki temu udostępnianie usług w takiej zamkniętej sieci staje się dużo prostsze. Dotyczy to również zarządzania i monitorowania infrastruktury IT.

Nie trzeba tracić czasu na złożoną konfigurację sieci VPN w modelu klient-server (generowanie certyfikatów, dbanie o ich aktualność, złożone konfigurowanie klientów). Z ZeroTier zrobimy to dużo szybciej i równie bezpiecznie.

W przypadku, kiedy nasza sieć rozrasta się, należy wziąć pod uwagę subskrypcję ESSENTIAL, aby móc komfortowo korzystać z ZeroTier VPN. Wiąże się to oczywiście z kosztami, ale czego nie robi się dla wygody.