Перейти к содержимому

Безопасность Облачного Контроллера UniFi

Резюме MKController обеспечивает корпоративный уровень безопасности для доступа к UniFi Controller через три уровня: зашифрованный удалённый доступ через VPN-туннель с MFA и динамическим белым списком IP-адресов, автоматизированная подготовка учётных данных пользователей с ограниченными правами через UniFi API, и сквозное шифрование SSL с автоматическим обновлением сертификатов. Деактивация пользователя в MKController мгновенно и полностью отзывает учётные данные в среде UniFi — возможность, недоступная нативно в собственном UniFi Cloud Controller от Ubiquiti.

Что означает безопасность MKController для UniFi?

Section titled “Что означает безопасность MKController для UniFi?”

Безопасность MKController для UniFi — это уровень управления доступом, который контролирует, как пользователи аутентифицируются, подключаются и управляют вашим UniFi Controller через облачную платформу MKController. Охватывает аутентификацию (VPN + MFA), авторизацию (подготовку пользователей с ограниченной областью действия) и защиту данных (сквозной SSL) — без необходимости вручную управлять сертификатами, правилами брандмауэра или пользовательскими базами данных.

Как работает безопасность удалённого доступа?

Section titled “Как работает безопасность удалённого доступа?”

MKController направляет весь удалённый доступ к вашему UniFi Controller через продвинутый VPN-туннель. Для доступа требуются как действующая учётная запись MKController, так и верификация MFA, с динамическим белым списком IP-адресов на уровне сеанса. Ни один непроверенный сеанс не может достичь вашего UniFi-бэкенда.

Безопасный удалённый доступ MKController к UniFi Controller

Эта модель устраняет наиболее распространённую поверхность атаки для развёртываний UniFi: прямое воздействие интернета на веб-интерфейс UniFi. Контроллер доступен исключительно через зашифрованную инфраструктуру MKController.

Как работает подготовка учётных данных пользователей?

Section titled “Как работает подготовка учётных данных пользователей?”

При добавлении пользователя в MKController его учётные данные напрямую предоставляются в UniFi Controller через API — с заранее определёнными, ограниченными правами, привязанными к конкретным объектам, группам AP или операционным ролям. Этот процесс полностью автоматизирован, устраняя ручной ввод, электронные таблицы с учётными данными или SSH-команды.

Панель подготовки учётных данных пользователей в MKController для UniFi

Рабочий процесс подготовки повторяем и масштабируем в многоплощадочных развёртываниях. Этот уровень автоматизации учётных данных на основе API недоступен нативно в собственном UniFi Cloud Controller от Ubiquiti, который требует ручного управления пользователями для каждого контроллера.

Что происходит при деактивации пользователя?

Section titled “Что происходит при деактивации пользователя?”

Когда пользователь деактивируется или удаляется в MKController — из-за смены роли, окончания договора или инцидента безопасности — его учётные данные мгновенно и полностью отзываются из среды UniFi. Нет остаточных прав, нет призрачных сеансов и нет зависших токенов доступа. Отзыв происходит в реальном времени, хирургически точно и полностью регистрируется.

Как MKController сравнивается с UniFi Cloud по безопасности?

Section titled “Как MKController сравнивается с UniFi Cloud по безопасности?”
ВозможностьUniFi Cloud (нативный)MKController
Аутентификация удалённого доступаИмя пользователя/парольVPN-туннель + MFA + динамический белый список IP
Подготовка учётных данных пользователейВручную для каждого контроллераАвтоматизировано через API с ограниченными правами
Отзыв учётных данныхВручнуюМгновенный и полный при деактивации пользователя
Ограничение пользователей на нескольких объектахОграниченноеОграничено объектом, группой AP или ролью
Управление SSL-сертификатамиВручную или самоподписанныеАвтоматическое обновление, HTTPS везде

Все сеансы и потоки данных в среде MKController защищены SSL-сертификатами промышленного стандарта с автоматическим обновлением. HTTPS применяется на всех интерфейсах, обеспечивая зашифрованный управляющий трафик от вашего браузера до UniFi-бэкенда. Самоподписанные сертификаты не используются — каждое соединение проходит аутентификацию с действующим, автоматически обновлённым сертификатом.

Индикатор шифрования SSL в MKController для сеансов UniFi


Почему важен автоматический отзыв учётных данных

Section titled “Почему важен автоматический отзыв учётных данных”

В традиционной настройке UniFi, когда технический специалист покидает команду или заканчивается договор, администратор должен вручную войти в каждый UniFi Controller и удалить учётную запись пользователя. В многоплощадочных развёртываниях с десятками контроллеров это ведёт к ошибкам и часто упускается из виду — оставляя бывших сотрудников или партнёров с активными учётными данными на неопределённый срок.

Мгновенный отзыв MKController решает это на уровне инфраструктуры: деактивация пользователя в одном месте одновременно удаляет доступ со всех связанных UniFi Controller, с полным журналом аудита события отзыва.


Часто задаваемые вопросы

Section titled “Часто задаваемые вопросы”

Требует ли MKController ручного управления SSL-сертификатами? Нет. Все SSL-сертификаты, используемые UniFi Controller от MKController, автоматически предоставляются и обновляются. HTTPS применяется ко всем соединениям — никаких шагов ручного обновления, никаких предупреждений об истечении срока и никакого риска возврата соединений к незашифрованному HTTP.

Является ли MFA (многофакторная аутентификация) обязательной для доступа к UniFi? MFA применяется на уровне учётной записи MKController. Поскольку весь доступ к UniFi Controller направляется через аутентифицированный VPN-туннель MKController, MFA распространяется на каждый сеанс управления UniFi — независимо от того, настроен ли MFA на самом UniFi Controller.

Что происходит с конфигурациями устройств UniFi, если я потеряю доступ к MKController? Принятые устройства UniFi сохраняют свою текущую конфигурацию и продолжают работать в штатном режиме. Они остаются под управлением контроллера, но специфические для MKController функции управления (оповещения, журналы аудита, централизованное управление пользователями) становятся недоступными до восстановления доступа.

Могу ли я проверить, кто и когда обращался к конкретным устройствам UniFi? Да. MKController регистрирует все события доступа с указанием пользователя и временными метками. Смотрите История действий для получения дополнительной информации о работе журналов аудита на всей платформе.


Вопросы по настройке безопасности UniFi или подготовке пользователей? Свяжитесь с поддержкой MKController в WhatsApp.

Вопросы? 📧 contato@mkcontroller.com