Перейти до вмісту
MKController

Безпека Хмарного Контролера UniFi

Резюме MKController забезпечує корпоративний рівень безпеки для доступу до UniFi Controller через три рівні: зашифрований віддалений доступ через VPN-тунель з MFA та динамічним білим списком IP-адрес, автоматизоване надання облікових даних користувачів з обмеженими правами через UniFi API, та наскрізне SSL-шифрування з автоматичним оновленням сертифікатів. Деактивація користувача в MKController миттєво та повністю відкликає облікові дані в середовищі UniFi — можливість, якої немає в нативному UniFi Cloud Controller від Ubiquiti.

Що означає безпека MKController для UniFi?

Безпека MKController для UniFi — це рівень управління доступом, який контролює, як користувачі аутентифікуються, підключаються та керують вашим UniFi Controller через хмарну платформу MKController. Охоплює аутентифікацію (VPN + MFA), авторизацію (надання користувачів з обмеженою сферою дії) та захист даних (наскрізний SSL) — без потреби вручну керувати сертифікатами, правилами брандмауера або базами даних користувачів.

Як працює безпека віддаленого доступу?

MKController спрямовує весь віддалений доступ до вашого UniFi Controller через вдосконалений VPN-тунель. Для доступу потрібні як дійсний обліковий запис MKController, так і верифікація MFA, з динамічним білим списком IP-адрес на рівні сесії. Жодна неперевірена сесія не може досягти вашого UniFi-бекенду.

Безпечний віддалений доступ MKController до UniFi Controller

Ця модель усуває найпоширенішу поверхню атаки для розгортань UniFi: пряме інтернет-відкриття веб-інтерфейсу UniFi. Контролер доступний виключно через зашифровану інфраструктуру MKController.

Як працює надання облікових даних користувачів?

При додаванні користувача в MKController його облікові дані надаються безпосередньо в UniFi Controller через API — з попередньо визначеними, обмеженими правами, прив’язаними до конкретних об’єктів, груп AP або операційних ролей. Цей процес повністю автоматизований і усуває ручне введення, електронні таблиці облікових даних або SSH-команди.

Панель надання облікових даних користувачів у MKController для UniFi

Робочий процес надання повторюваний та масштабований у багатоплощадочних розгортаннях. Цей рівень автоматизації облікових даних на основі API недоступний нативно в UniFi Cloud Controller від Ubiquiti, який вимагає ручного управління користувачами для кожного контролера.

Що відбувається при деактивації користувача?

Коли користувач деактивується або видаляється в MKController — через зміну ролі, закінчення договору або інцидент безпеки — його облікові дані негайно і повністю відкликаються зі середовища UniFi. Немає залишкових прав, призрачних сесій або підвислих токенів доступу. Відкликання відбувається в реальному часі, хірургічно точно та повністю реєструється.

Як MKController порівнюється з UniFi Cloud щодо безпеки?

МожливістьUniFi Cloud (нативний)MKController
Аутентифікація віддаленого доступуІм’я користувача/парольVPN-тунель + MFA + динамічний білий список IP
Надання облікових даних користувачівВручну для кожного контролераАвтоматизовано через API з обмеженими правами
Відкликання облікових данихВручнуМиттєве та повне при деактивації користувача
Обмеження користувачів на кількох об’єктахОбмеженеОбмежено об’єктом, групою AP або роллю
Управління SSL-сертифікатамиВручну або самопідписаніАвтоматичне оновлення, HTTPS скрізь

Як шифруються дані?

Всі сесії та потоки даних у середовищі MKController захищені SSL-сертифікатами промислового стандарту з автоматичним оновленням. HTTPS застосовується на всіх інтерфейсах, забезпечуючи зашифрований управлінський трафік від вашого браузера до UniFi-бекенду. Самопідписані сертифікати не використовуються — кожне з’єднання автентифікується дійсним, автоматично оновленим сертифікатом.

Індикатор SSL-шифрування в MKController для сесій UniFi

Чому важливе автоматичне відкликання облікових даних

У традиційному налаштуванні UniFi, коли технік покидає команду або закінчується договір, адміністратор має вручну увійти до кожного UniFi Controller і видалити обліковий запис користувача. У багатоплощадочних розгортаннях з десятками контролерів це схильне до помилок і часто ігнорується — залишаючи колишніх співробітників або партнерів з активними обліковими даними на невизначений термін.

Миттєве відкликання MKController вирішує це на рівні інфраструктури: деактивація користувача в одному місці одночасно видаляє доступ з усіх пов’язаних UniFi Controller, з повним журналом аудиту події відкликання.

Часті запитання

Чи вимагає MKController ручного управління SSL-сертифікатами? Ні. Всі SSL-сертифікати, що використовуються UniFi Controller від MKController, автоматично надаються та оновлюються. HTTPS застосовується до всіх з’єднань — без ручних кроків оновлення, без попереджень про закінчення терміну дії та без ризику повернення з’єднань до незашифрованого HTTP.

Чи є MFA (багатофакторна аутентифікація) обов’язковою для доступу до UniFi? MFA застосовується на рівні облікового запису MKController. Оскільки весь доступ до UniFi Controller спрямовується через аутентифікований VPN-тунель MKController, MFA поширюється на кожну сесію управління UniFi — незалежно від того, чи налаштований MFA на самому UniFi Controller.

Що відбувається з конфігураціями пристроїв UniFi, якщо я втрачу доступ до MKController? Прийняті пристрої UniFi зберігають свою поточну конфігурацію та продовжують нормально працювати. Вони залишаються під управлінням контролера, але специфічні для MKController функції управління (сповіщення, журнали аудиту, централізоване управління користувачами) стають недоступними до відновлення доступу.

Чи можу я перевіряти, хто і коли отримував доступ до конкретних пристроїв UniFi? Так. MKController реєструє всі події доступу з атрибуцією користувача та мітками часу. Дивіться Історія дій для отримання додаткової інформації про роботу журналів аудиту на всій платформі.

Питання щодо налаштування безпеки UniFi або надання користувачів? Зверніться до підтримки MKController у WhatsApp.

Питання? 📧 contato@mkcontroller.com