Cloudkey vs cloud control

edwin2019

UniFier
14 jan 2019
684
272
63
Groningen
Is er een overzicht van het verschil tussen lokale cloudkey en controller in cloud.
Ben op zoek naar de voor en nadelen van beide oplossing. Wat win je en wat verlies je.
Bvd!
 
'In the cloud' is leuk, maar wat gebeurt met met de data die je daarin zet? Wie heeft (naast jij zelf) toegang toe die data?
Grootste nadeel is dat je altijd een internetverbinding nodig hebt. Grootste voordeel is dat je er overal (als je niet thuis bent) er bij kunt.

Voordeel van een cloudkey: er gaat geen data naar the cloud, je houd zelf de regie over wie wat mag bekijken, je hoeft niet per se een internetverbinding te hebben als je gewoon thuis bent.
Enige nadeel die ik kan verzinnen: indien geen internet, kun je er van buiten er niet bij maar dat zou je in beginsel ook niet moeten willen.
 
Als je zelf een controller in de cloud zet moet je ook vanuit je eigen netwerk nogal wat openzetten naar het internet zodat die controller kan communiceren met jouw netwerk devices. persoonlijk vindt ik dat een heel groot nadeel qua beveiliging van je netwerk.
Met een CloudKey hoef je niets open te zetten.
 
  • Leuk
Waarderingen: PcRene
Voordeeltje van cloud tov cloud key is die vermaledijde certificaat melding omdat je in de cloud wel gewoon gemakkelijk een certificaat kan regelen en updaten via bv letsencrypt auto-update.

Nu kan je zeggen, waarom zou je wakker liggen dat een intern IP adres zoals die van de controller geen geldig certificaat heeft, is toch niet nodig. Klopt maar dat constant wegklikken ga je vroeg of laat ook toepassen op een site waar je best niet doet ... als je niet helemaal wakker/geconcentreerd bent :)
 
Als je je er heel erg aan ergert dan kun je ook een certificaat op de CloudKey installeren. En als je dus een stukje veiligheid gaat opofferen (Want je gooit je interne netwerk open naar internet) vanwege een irritante veiligheidsmelding is dat de omgekeerde wereld. ☺️

Persoonlijk vindt ik het stompzinnig van die browsermakers dat ze niet wat slimmer omgaan met die melding. Ze kunnen toch zien dat het een interne webserver betreft. Of geef de keuze de melding voor specifieke adressen uit te schakelen.
 
Dank, dank voor de snelle reacties.
Begrijp ik nu goed dat als je de ubiquiti cloud oplossing gebruikt voor je AP's het locale netwerk deels open komt te liggen? Is het niet zo dat de AP's uitgaand verbinding zoeken naar de ubiquiti cloud?
 
Je haalt een paar dingen door elkaar ben ik bang.

Als je een CloudKey hebt kun je die via de Unifi Cloud portal benaderen. Dus de controller draait lokaal op de CloudKey maar je kunt hem ook op afstand via internet benaderen. De Unifi Cloud portal zorgt dan voor de verbinding naar je CloudKey. De communicatie tussen een AP en de CloudKey blijft intern, alleen jij kunt op afstand op de controller inloggen.

Een Cloud controller is een door jou gehuurde virtuele machine ergens in de cloud, bijvoorbeeld bij Amazon. Daar installeer je dan zelf de Unifi software op. Deze controller moet dan toegang hebben tot je AP, dus moet er data van de AP via internet naar de controller in de Cloud.
 
Als je zelf een controller in de cloud zet moet je ook vanuit je eigen netwerk nogal wat openzetten naar het internet zodat die controller kan communiceren met jouw netwerk devices. persoonlijk vindt ik dat een heel groot nadeel qua beveiliging van je netwerk.
Met een CloudKey hoef je niets open te zetten.
Dit is niet correct. Bij een externe controller is er alleen sprake van uitgaand verkeer naar die controller. Je hoeft geen poorten naar je eigen netwerk open te zetten.
Aan de kant van de externe controller dien je wel een aantal poorten open te zetten zodat de diverse locaties die controller kunnen bereiken.
 
Ik heb het iets te simpel voorgesteld. Ik had het niet over poorten openzetten. Iets meer detail:

Standaard is het inderdaad zo dat de management layer van Unifi devices zoals switches en AP's toegang heeft tot internet. Onder andere download het Unifi device rechtstreeks zijn firmware van internet bij een firmware upgrade.
Als je de controller ergens in de cloud zet moet de management layer van de het device dus ook direct verbinding kunnen maken met internet.

Dit is voor veel bedrijven (en ik vind dat persoonlijk ook) qua beveiliging een gruwel. De management layer van een netwerk moet geen directe toegang hebben tot internet en bij voorkeur ook afgegrendeld zijn van het normale interne netwerk.
Ik zorg er altijd voor dat ik geen DNS configureer in de netwerk settings van de switch / AP en ook blokkeer ik de IP's van de Unifi devices in de firewall voor internet toegang.

Dat is ook de reden dat Ubiquiti na veel aandringen de mogelijkheid heeft ingebouwd om de firmware eerst op de controller te cachen zodat een switch of AP de firmware rechtstreeks van de controller kan downloaden en dus geen internet toegang nodig heeft.
 
Laatst bewerkt:
  • Leuk
Waarderingen: unipro en PcRene
Stel nu dat de controller zich bevind in het netwerk van een beherende partij en jouw netwerk en dat van de beherende partij zitten in hetzelfde ipvpn (is dus een netwerk, geografisch verdeeld over meerdere fysieke locaties en wat gescheiden is via firewall regels) heb je dan dat risico afgedicht?
Al het internet verkeer loopt dus ook via de beherende partij en daar vandaan gaat men het internet op via een gemeenschappelijke internet verbinding.
 
Maar waarom zou je zo’n ingewikkelde constructie opzetten? Je voldoet dan overigens nog steeds niet aan de eis dat netwerk management verkeer niet internet op mag, ook al is het dan via een tunnel.
Als je op elke fysieke locatie een CloudKey plaatst en je beheert ze centraal heb je precies dezelfde beheersmogelijkheden maar je bent flexibeler. Je kunt sites onafhankelijk updaten, aanpassen etc. En sites kunnen onafhankelijk doordraaien mocht er iets met de internet verbinding zijn. Ook kun je een site makkelijk afkoppelen als dat nodig is.
Ik zie echt geen enkel voordeel in een centraal opgestelde controller in de cloud.
 
Interessant discussie.

De stelling om apparaten in het management netwerk niet het internet te laten benaderen is prima. Maar de Cloud Key is ook een onderdeel van het management netwerk. En die heeft wel internet toegang nodig om updates op te halen en voor toegang tot de Unifi Cloud Portal. Je ontkomt er dus niet aan om minimaal 1 apparaat vanuit het management netwerk daarmee toch internet toegang te verlenen.

Dan is de stap naar een centrale controller snel gezet. Je gaat dan toch de apparaten in het management netwerk toegang geven tot het internet, maar dat kun je beperken tot die ene centrale controller. (Overigens kun je ook een lokale Cloud Key op locatie A toegankelijk maken voor locaties B en C.)

Daarnaast is een centrale bereikbare controller een must als je Auto IPSec site-to-site VPN verbindingen wilt maken tussen Unifi routers. Want dat werkt alleen indien de routers door dezelfde controller worden beheerd. Of je moet gebruik maken van een handmatige IPSec verbinding met z'n eigenschappen.
 
Er is nogal een verschil tussen een CloudKey die heel af en toe internet op moet om updates te downloaden en diverse netwerkapparaten die 24/7 data over internet naar een controller ergens in de cloud moeten pompen. Daarnaast blijft met een CloudKey je netwerk lokaal gewoon functioneren als internet niet werkt.

Het is inderdaad een interessante discussie die ik de laatste jaren al vaker heb gehad met systeemleveranciers. Die gaan allemaal mee in de mode om alles in de cloud te willen proppen. Wij runnen industriële netwerken die productie plants besturen, die wil je niet aan / in de cloud hebben.
 
Die context had ik nog niet. En dan heb je volkomen gelijk.

Wel een nuancering over de Cloud Key en internet toegang. Ook met een controller in de cloud blijft je lokale netwerk gewoon werken, ook als de internet toegang uitvalt. Je mist op dat moment alleen de guest access via de portal, maar daar heb je op dat moment toch niets aan want er is geen internet toegang.
En je mist het verzamelen van statistieken over het gebruik van het netwerk.
 
Activiteit
Er wordt op dit moment (nog) geen nieuwe reactie gepost.
  Topic Status: Hallo . Er is al meer dan 14 dagen geen nieuwe reactie meer geplaatst.
  De inhoud is mogelijk niet langer relevant.
  Misschien is het beter om in plaats daarvan een nieuw onderwerp te starten..