Přeskočit na obsah
MKController

Zabezpečení cloudového kontroleru UniFi

Shrnutí MKController zajišťuje podnikovou bezpečnost pro přístup k UniFi Controlleru na třech vrstvách: šifrovaný vzdálený přístup přes VPN tunel s MFA a dynamickým IP whitelistingem, automatizované zřizování přihlašovacích údajů uživatelů s omezenými oprávněními prostřednictvím UniFi API, a end-to-end SSL šifrování s automatickým obnovováním certifikátů. Deaktivace uživatele v MKController okamžitě a úplně odvolá jeho přihlašovací údaje v prostředí UniFi — funkce, která není nativně dostupná v UniFi Cloud Controlleru od Ubiquiti.

Co znamená bezpečnost MKController pro UniFi?

Bezpečnost MKController pro UniFi je vrstva správy přístupu, která řídí způsob, jakým se uživatelé ověřují, připojují a provozují váš UniFi Controller prostřednictvím cloudové platformy MKController. Zahrnuje autentizaci (VPN + MFA), autorizaci (zřizování uživatelů s omezeným rozsahem) a ochranu dat (end-to-end SSL) — bez nutnosti ručně spravovat certifikáty, pravidla firewallu nebo uživatelské databáze.

Jak funguje zabezpečení vzdáleného přístupu?

MKController směruje veškerý vzdálený přístup k vašemu UniFi Controlleru prostřednictvím pokročilého VPN tunelu. Přístup vyžaduje platný účet MKController i ověření MFA, přičemž na úrovni relace se uplatňuje dynamický IP whitelisting. Žádná neověřená relace nemůže dosáhnout vašeho UniFi backendu.

Bezpečný vzdálený přístup MKController k UniFi Controlleru

Tento model eliminuje nejčastější útočnou plochu pro nasazení UniFi: přímé vystavení webového rozhraní UniFi internetu. Controller je dostupný výhradně prostřednictvím šifrované infrastruktury MKController.

Jak funguje zřizování přihlašovacích údajů uživatelů?

Když přidáte uživatele v MKController, jeho přihlašovací údaje jsou zřízeny přímo do UniFi Controlleru prostřednictvím API — s předdefinovanými, omezenými oprávněními vázanými na konkrétní lokality, skupiny AP nebo provozní role. Tento proces je plně automatizovaný, čímž eliminuje ruční zadávání, tabulky přihlašovacích údajů nebo SSH příkazy.

Panel zřizování přihlašovacích údajů uživatelů v MKController pro UniFi

Pracovní postup zřizování je opakovatelný a škálovatelný v nasazeních pro více lokalit. Tato úroveň automatizace přihlašovacích údajů řízená API není nativně dostupná v UniFi Cloud Controlleru od Ubiquiti, který vyžaduje ruční správu uživatelů pro každý controller.

Co se stane při deaktivaci uživatele?

Když je uživatel v MKController deaktivován nebo odebrán — z důvodu změny role, ukončení smlouvy nebo bezpečnostního incidentu — jsou jeho přihlašovací údaje okamžitě a úplně odvolány z prostředí UniFi. Nezůstávají žádná zbytková oprávnění, žádné přízračné relace ani žádné visící přístupové tokeny. Odvolání je v reálném čase, chirurgicky přesné a plně zaznamenané.

Jak se MKController srovnává s UniFi Cloud z hlediska bezpečnosti?

SchopnostUniFi Cloud (nativní)MKController
Autentizace vzdáleného přístupuUživatelské jméno/hesloVPN tunel + MFA + dynamický IP whitelisting
Zřizování přihlašovacích údajů uživatelůRuční pro každý controllerAutomatizované přes API s omezenými oprávněními
Odvolání přihlašovacích údajůRučníOkamžité a úplné při deaktivaci uživatele
Omezení uživatelů na více lokalitáchOmezenéOmezeno na lokalitu, skupinu AP nebo roli
Správa SSL certifikátůRuční nebo samopodepsanéAutomatické obnovování, HTTPS vynuceno všude

Jak jsou data šifrována?

Všechny relace a datové toky v prostředí MKController jsou chráněny průmyslovými SSL certifikáty s automatickým obnovováním. HTTPS je vynuceno na všech rozhraních, čímž zajišťuje šifrovaný provoz správy od vašeho prohlížeče k UniFi backendu. Samopodepsané certifikáty se nepoužívají — každé připojení je ověřeno platným, automaticky obnoveným certifikátem.

Indikátor SSL šifrování v MKController pro relace UniFi

Proč záleží na automatickém odvolání přihlašovacích údajů

V tradičním nastavení UniFi, když technik opustí tým nebo skončí smlouva, musí správce ručně přihlásit do každého UniFi Controlleru a odebrat účet daného uživatele. V nasazeních pro více lokalit s desítkami controllerů je to náchylné k chybám a často se na to zapomíná — zanechávaje exzaměstnance nebo expartnery s aktivními přihlašovacími údaji na dobu neurčitou.

Okamžité odvolání MKController řeší tento problém na úrovni infrastruktury: deaktivace uživatele na jednom místě současně odebere přístup ze všech přidružených UniFi Controllerů, s úplným auditem události odvolání.

Časté dotazy

Vyžaduje MKController ruční správu SSL certifikátů? Ne. Všechny SSL certifikáty používané UniFi Controllerem MKController jsou automaticky zřizovány a obnovovány. HTTPS je vynuceno na všech připojeních — žádné ruční kroky obnovení, žádná upozornění na vypršení platnosti a žádné riziko, že by se připojení vrátila k nešifrovanému HTTP.

Je MFA (vícefaktorová autentizace) povinná pro přístup k UniFi? MFA je vynucena na úrovni účtu MKController. Jelikož veškerý přístup k UniFi Controlleru je směrován přes ověřený VPN tunel MKController, MFA se vztahuje na každou relaci správy UniFi — bez ohledu na to, zda má samotný UniFi Controller nakonfigurovanou MFA.

Co se stane s konfiguracemi zařízení UniFi, pokud ztratím přístup k MKController? Přijatá zařízení UniFi si zachovají svoji stávající konfiguraci a budou nadále normálně fungovat. Zůstanou spravována controllerem, ale funkce správy specifické pro MKController (upozornění, auditní záznamy, centralizovaná správa uživatelů) budou nedostupné, dokud nebude přístup obnoven.

Mohu auditovat, kdo přistupoval ke konkrétním zařízením UniFi a kdy? Ano. MKController zaznamenává všechny události přístupu s přiřazením uživatele a časovými razítky. Viz Historie akcí pro více informací o fungování auditních záznamů na celé platformě.

Dotazy týkající se konfigurace zabezpečení UniFi nebo zřizování uživatelů? Kontaktujte podporu MKController na WhatsApp.

Otázky? 📧 contato@mkcontroller.com