Netwerkbeheerders zelf aan de knoppen van SURF-netwerk!

Met de nieuwe Self-service functies in het SURF Netwerk Dashboard kun je als gebruiker nu zelf dienstparameters van het SURF-netwerk aanpassen. Via het SURF Netwerk Dashboard kun je eenvoudige changes nu snel en geheel zelfstandig - zonder tussenkomst van SURF - uitvoeren. Denk bijvoorbeeld aan het toevoegen van extra vlan's op je SURFlichtpad of het activeren van het DDoS-filter. Alle wijzigingen worden via het automation platform van de SURF-netwerkafdeling binnen een tiental seconden doorgevoerd op het netwerk.

Twee-factor authenticatie

Voordat je een Self-service-functie kunt uitvoeren, zal je opnieuw moeten authenticeren via SURFsecureID of ESPEE (SMS code). Met deze zogenaamde 'stepup',  zorgen we voor een extra laag beveiliging bij Self-service-acties. Daarnaast vereist elke Self-service functie een minimale autorisatie SAB-rol, namelijk 'infraverantwoordelijke' of 'beveiligingsverantwoordelijke'. De 'infrabeheerder'-rol heeft deze rechten niet, zie wiki om de 'infraverantwoordelijke'-rol aan te vragen.

Self-service bouwt voort op orchestrator workflows

Het SURF-netwerk wordt volledige geautomatiseerd geconfigureerd vanuit de orchestrator. De orchestrator bevat voor alle netwerkdiensten verschillende workflows, die met een minimale set van parameters een dienst kunnen opbouwen, aanpassen of beëindigen. Deze workflow-logica kunnen we in zijn geheel inzetten om een bepaalde set aan Self-service-functies aan te bieden, zonder dat hier extra nieuwe code voor ontwikkeld hoeft te worden. Het voordeel hiervan is dat het betrouwbare en uitgebreid geteste software code is, en nauwelijks extra ontwikkel- en beheerkosten met zich meebrengt.

Hoe veilig is dit?

We hebben hiervoor meerdere lagen van veiligheid ingebouwd.

  • Verder vereisen we zoals hierboven genoemd speciale autorisatie rollen per Self-service functie in combinatie met twee factor authenticatie.
  • Self-service wijzigingen kun je alleen uitvoeren op je eigen instellingspoorten en -diensten.
  • Ook is het niet mogelijk om diensten te verwijderen. Diensten kunnen alleen worden aangepast.
  • En tenslotte gebruiken we dezelfde validaties en workflows die voor reguliere changes worden gebruikt. Alles wat je als gebruiker invoert, wordt zeer nauwkeurig gecontroleerd.
  • Mocht een wijziging service impact kunnen hebben op de dienst, dan wordt een waarschuwing getoond.

Een paar voorbeelden

De Self-service functie DDoS-filter aanpassen

Voor alle IP diensten is het mogelijk om het DDoS-filter aan- of uit te zetten. Je doorloopt de twee factor authenticatie, waarna je de setting van het DDoS filter aan of uit zet.

DDoS filter self-service knop
DDoS filter self-service knop

Het wijzigen van VLAN's van lichtpaden

Voor tagged poorten is het mogelijk om de huidige VLAN's aan te passen of te breiden. Zoals in de onderstaande plaatjes wordt duidelijk gemaakt. Het is bijvoorbeeld niet mogelijk om een VLANID te kiezen dat al in gebruik is op een poort. In de samenvattingspagina worden de wijzigingen opgesomd en eventuele waarschuwingen getoond, voordat je definitief de change laat uitvoeren door de orchestrator.

VLANs aanpassen plaatje 1
VLANs aanpassen plaatje 2
VLANs aanpassen plaatje 3

Naast deze twee voorbeelden zijn er een per dienst verschillende Self-service functies, zoals:

  • Wijzigen van BGP prioriteit, BFD en IP prefixen bij een IP-dienst
  • Activeren van speed policers in L2VPN en lichtpaden
  • Het aanpassen van VLAN's in L2VPN en lichtpaden
  • Aan- of uitzetten van remote portshutdown voor lichtpaden
  • Het toevoegen of verwijderen van poorten bij een L2VPN dienst

Ben je benieuwd welke diensten je naar eigen wens zou kunnen aanpassen, log dan in op https://netwerkdashboard.surfnet.nl/

Kort filmpje van een Self-service actie:

Author

Wouter Huisman

Comments

Dit artikel heeft 0 reacties