Bezpečnosť cloudového kontroléra UniFi
Zhrnutie MKController zabezpečuje bezpečnosť na podnikovej úrovni pre prístup k UniFi Controller prostredníctvom troch vrstiev: šifrovaný vzdialený prístup cez VPN tunel s MFA a dynamickým IP bielym zoznamom, automatizované zriaďovanie používateľských prihlasovacích údajov s obmedzenými oprávneniami prostredníctvom UniFi API a end-to-end SSL šifrovanie s automatickým obnovovaním certifikátov. Deaktivácia používateľa v MKController spustí okamžité a úplné odvolanie prihlasovacích údajov v prostredí UniFi — funkcia, ktorá nie je natívne dostupná v UniFi Cloud Controller od Ubiquiti.
Čo znamená bezpečnosť MKController pre UniFi?
Bezpečnosť MKController pre UniFi je vrstva správy prístupu, ktorá riadi spôsob, akým sa používatelia overujú, pripájajú a prevádzkujú váš UniFi Controller prostredníctvom cloudovej platformy MKController. Zahŕňa autentifikáciu (VPN + MFA), autorizáciu (zriaďovanie používateľov s obmedzeným rozsahom) a ochranu dát (end-to-end SSL) — bez potreby manuálne spravovať certifikáty, pravidlá firewallu alebo používateľské databázy.
Ako funguje zabezpečenie vzdialeného prístupu?
MKController smeruje všetok vzdialený prístup k vášmu UniFi Controller cez pokročilý VPN tunel. Prístup vyžaduje platný účet MKController aj overenie MFA, pričom na úrovni relácie sa uplatňuje dynamický IP biely zoznam. Žiadna neoverená relácia nemôže dosiahnuť váš UniFi backend.
Tento model eliminuje najčastejšiu útočnú plochu pre nasadenia UniFi: priame vystavenie webového rozhrania UniFi internetu. Controller je dostupný výhradne prostredníctvom šifrovanej infraštruktúry MKController.
Ako funguje zriaďovanie používateľských prihlasovacích údajov?
Keď pridáte používateľa v MKController, jeho prihlasovacie údaje sa zriadia priamo do UniFi Controller prostredníctvom API — s vopred definovanými, obmedzenými oprávneniami viazanými na konkrétne lokality, skupiny AP alebo prevádzkové roly. Tento proces je plne automatizovaný, čím sa eliminuje manuálne zadávanie, tabuľky prihlasovacích údajov alebo príkazy SSH.
Pracovný postup zriaďovania je opakovateľný a škálovateľný v nasadeniach pre viacero lokalít. Táto úroveň automatizácie prihlasovacích údajov riadená API nie je natívne dostupná v UniFi Cloud Controller od Ubiquiti, ktorý vyžaduje manuálnu správu používateľov pre každý controller.
Čo sa stane pri deaktivácii používateľa?
Keď je používateľ v MKController deaktivovaný alebo odstránený — z dôvodu zmeny roly, ukončenia zmluvy alebo bezpečnostného incidentu — jeho prihlasovacie údaje sú okamžite a úplne odvolané z prostredia UniFi. Nezostávajú žiadne zvyškové oprávnenia, žiadne prízračné relácie ani žiadne visiacie prístupové tokeny. Odvolanie prebieha v reálnom čase, chirurgicky presne a je plne zaznamenané.
Ako sa MKController porovnáva s UniFi Cloud z hľadiska bezpečnosti?
| Schopnosť | UniFi Cloud (natívne) | MKController |
|---|---|---|
| Autentifikácia vzdialeného prístupu | Používateľské meno/heslo | VPN tunel + MFA + dynamický IP biely zoznam |
| Zriaďovanie prihlasovacích údajov | Manuálne pre každý controller | Automatizované cez API s obmedzenými oprávneniami |
| Odvolanie prihlasovacích údajov | Manuálne | Okamžité a úplné pri deaktivácii používateľa |
| Obmedzenie používateľov na viacerých lokalitách | Obmedzené | Obmedzené na lokalitu, skupinu AP alebo rolu |
| Správa SSL certifikátov | Manuálna alebo samopodpísaná | Automatické obnovovanie, HTTPS všade |
Ako sú dáta šifrované?
Všetky relácie a toky dát v prostredí MKController sú chránené priemyselnými SSL certifikátmi s automatickým obnovovaním. HTTPS je vynútené na všetkých rozhraniach, čím sa zabezpečuje šifrovaná prevádzka správy od vášho prehliadača k UniFi backendu. Samopodpísané certifikáty sa nepoužívajú — každé pripojenie je overené platným, automaticky obnoveným certifikátom.
Prečo záleží na automatickom odvolaní prihlasovacích údajov
V tradičnom nastavení UniFi, keď technik opustí tím alebo skončí zmluva, správca sa musí manuálne prihlásiť do každého UniFi Controller a odstrániť účet daného používateľa. V nasadeniach pre viacero lokalít s desiatkami controllerov je to náchylné na chyby a often prehliadané — zanechávajúc bývalých zamestnancov alebo partnerov s aktívnymi prihlasovacími údajmi na neurčito.
Okamžité odvolanie MKController rieši tento problém na úrovni infraštruktúry: deaktivácia používateľa na jednom mieste súčasne odoberie prístup zo všetkých pridružených UniFi Controllerov, s úplným auditným záznamom udalosti odvolania.
Často kladené otázky
Vyžaduje MKController manuálnu správu SSL certifikátov? Nie. Všetky SSL certifikáty používané UniFi Controllerom MKController sú automaticky zriadené a obnovené. HTTPS je vynútené na všetkých pripojeniach — žiadne manuálne kroky obnovy, žiadne upozornenia na vypršanie platnosti a žiadne riziko, že sa pripojenia vrátia k nešifrovanému HTTP.
Je MFA (viacfaktorová autentifikácia) povinná pre prístup k UniFi? MFA je vynútená na úrovni účtu MKController. Keďže všetok prístup k UniFi Controller je smerovaný cez overený VPN tunel MKController, MFA sa vzťahuje na každú reláciu správy UniFi — bez ohľadu na to, či má samotný UniFi Controller nakonfigurovanú MFA.
Čo sa stane s konfiguráciami zariadení UniFi, ak stratím prístup k MKController? Prijaté zariadenia UniFi si zachovajú svoju existujúcu konfiguráciu a budú naďalej normálne fungovať. Zostanú spravované controllerom, ale funkcie správy špecifické pre MKController (upozornenia, auditné záznamy, centralizovaná správa používateľov) budú nedostupné, kým nebude prístup obnovený.
Môžem auditovať, kto mal prístup ku konkrétnym zariadeniam UniFi a kedy? Áno. MKController zaznamenáva všetky udalosti prístupu s priradením používateľa a časovými pečiatkami. Pozri História akcií pre viac informácií o fungovaní auditných záznamov na celej platforme.
Otázky ohľadom konfigurácie bezpečnosti UniFi alebo zriaďovania používateľov? Kontaktujte podporu MKController na WhatsApp.
Otázky? 📧 contato@mkcontroller.com