Сетевое взаимодействие без слёз
Подключение аудиовизуальных устройств к сети упрощает доступ к ним, облегчает совместное использование и управление. При правильном подходе оно может быть более гибким, более масштабируемым и более экономичным, чем традиционные соединения "точка-точка", и, наверное, найдется немного организаций пользователей, которые не реализовали или не рассматривали такую возможность.
Некоторые приложения могут быть включены в сеть с относительной легкостью. Например, аудио требует относительно небольшой пропускной способности и поэтому не создает чрезмерной нагрузки на сеть. Централизация цифровой обработки сигнала в качестве общего ресурса для нескольких помещений может снизить затраты, а объединение в сеть потолочных микрофонов и комнатных громкоговорителей позволяет интегрировать возможности унифицированных коммуникаций в конференц-залах и аудиториях.
Сетевые системы управления, которые также не требуют большой пропускной способности, позволяют контролировать, управлять и обновлять AV-оборудование через централизованный пакет управления, что экономит время и трудовые ресурсы, повышает безопасность и доступность устройств.
Однако к сетевому подключению видеоэлемента аудиовизуального оборудования следует подходить с осторожностью - особенно если предполагается получить экономию за счет масштаба, объединив его в существующую ИТ-сеть. Дело не только в том, что высококачественное видео требует большой пропускной способности (по крайней мере, без сжатия или с легким сжатием), но и в том, что эта пропускная способность должна быть постоянной и непрерывной в течение всего времени просмотра. В загруженное время человек, открывающий электронную таблицу или веб-страницу, едва ли заметит, что ему придется подождать лишнюю секунду или две, пока сеть удовлетворит потребности другого пользователя. Но пользователь аудиовизуального оборудования сразу же заметит, если его видео будет останавливаться и запускаться, или качество будет ухудшаться. Даже небольшие сбои могут заметно повлиять на производительность.
Выбор, выбор...
В результате у организаций остается два варианта. Первый - сделать глубокий вдох и использовать основную ИТ-сеть, но установить приоритет AV-трафика с помощью VLAN (виртуальной локальной сети) в ней. Другой вариант - создать полностью отдельную сеть для AV-трафика, что проще в поддержке и устранении неисправностей, а также позволяет избежать потенциальной проблемы замирания IT-приложений, когда AV-потоки данных перегружают пропускную способность. Однако это более дорогостоящий вариант.
Какой бы путь ни был выбран, важно понять, какой объем пропускной способности потребуется. На практике этот показатель может сильно варьироваться - от 800 Мбит/с до 12 Гбит/с - в зависимости от используемого разрешения и сжатия. Например, несжатое видео 4K60 может потреблять около 12 Гбит/сек. К счастью, более высокая пропускная способность постоянно дешевеет, особенно в Ethernet, где 10 Гбит стали такими же популярными, как 1 Гбит, и даже 25 Гбит становятся все более доступными.
Требования к пропускной способности можно снизить с помощью сжатия, начиная от "легких" мезонинных кодеков и заканчивая кодеками с высокой степенью сжатия, такими как H.264/H.265. Мезонинный кодек может легко сжать 4K в 10 Гбит, а при высоком сжатии его можно втиснуть в старую сеть 1 Гбит. Однако расчеты пропускной способности не всегда так просты, как кажется, и уровни трафика могут значительно отличаться в разных точках сети. Поэтому хорошие проектировщики сетей гарантируют, что устройства с высокой пропускной способностью не создадут узких мест, тщательно проектируя пути передачи данных между сетевыми коммутаторами.
Хотя пропускная способность может быть критичной во внутренней сети организации, для интернет-систем или систем на основе облачных технологий она, скорее всего, не будет проблемой, если только не будет реализовано большое количество потоковой передачи данных в широком диапазоне, интернет-вещание или хранение данных за пределами площадки.
Физическая сеть - коммутаторы и маршрутизаторы, а также соединяющие их кабели - важная часть уравнения, которой не всегда уделяется должное внимание.
Специализированные требования AV-приложений с их всплесками трафика с высокой пропускной способностью и низкой задержкой означают, что дешевые сетевые коммутаторы часто не подходят, поскольку они могут стать узким местом, если несколько портов одновременно требуют высокой пропускной способности (например, 10 Гбит). Более современные коммутаторы могут быть оптимизированы для AV-приложений, но чтобы быть уверенным в бесперебойной работе, лучше инвестировать в "тканевые" или "неблокирующие" коммутаторы, которые имеют достаточную внутреннюю пропускную способность, чтобы гарантировать 10 Гбит на всех портах. Также стоит обратить внимание на наличие функции IGMP snooping, которая помогает контролировать многоадресные IP-рассылки.
Для приложений с самой высокой пропускной способностью может оказаться полезной встроенная память с высокой пропускной способностью, обеспечивающая большие буферы для пакетов данных и видеокадров, что позволяет обрабатывать их без снижения производительности.
Однако, возможно, нет необходимости создавать все сетевые возможности своими силами. Для некоторых аспектов сетей аудиовизуального оборудования облачные технологии стали вполне приемлемым вариантом, поскольку производители виртуализировали некоторые из более сложных функций, для которых раньше требовалось специальное оборудование, например, большие коммутаторы и микшеры технического зрения. Новые функции или дополнительные мощности можно получить с помощью программного обеспечения, а не дорогостоящей модернизации оборудования, а виртуализация позволяет маршрутизировать контент из любой точки мира - полезно, если он будет потребляться через Интернет.
Возможность использования мягких кодеков в облаке также облегчает подключение к инструментам для совместной работы и платформам видеоконференций, на которые мы стали полагаться в последние два года для поддержки удаленной и гибридной работы. Гибкий, масштабируемый, отказоустойчивый и экономически эффективный вариант облака определенно заслуживает внимания, хотя некоторые наблюдатели утверждают, что он пока не подходит для высококачественного видео с низкой задержкой, а больше подходит для удаленного мониторинга и управления сетевыми устройствами, установки обновлений прошивки и т.д., создавая скорее гибридный подход.
Измените пароли по умолчанию
Хотя преимущества объединения аудиовизуального оборудования в сеть практически не вызывают сомнений, есть одна муха в мази, причем большая и шумная: безопасность. После подключения к внутренней сети или Интернету любое устройство подвергается риску доступа или контроля со стороны тех, кто не имеет на это права. Что еще хуже (в некоторых случаях гораздо хуже), плохо защищенные аудиовизуальные системы теперь рассматриваются как потенциальный черный ход в корпоративную ИТ-сеть.
Плохое управление паролями может стать самым легким подарком для потенциальных хакеров. Многие организации не утруждают себя сменой паролей по умолчанию (если они вообще знают о существовании таких паролей), а если и делают это, то часто выбирают альтернативные варианты, которые можно легко угадать или взломать с помощью простого программного обеспечения для генерации паролей (как и в большинстве крупных компаний в наши дни, взлом может быть полностью автоматизирован). Случайно сгенерированные пароли, хранящиеся в хорошо управляемой базе данных, являются гораздо лучшим решением, а централизованный и современный сервер аутентификации может добавить дополнительный уровень безопасности.
Хакерам может даже не понадобиться пароль, если они смогут найти лазейку или открытое окно. Когда обнаруживаются лазейки в программном обеспечении или микропрограмме устройства, производители выпускают исправления для их устранения. Они должны внедряться автоматически, но часто это зависит от вмешательства человека, и их забывают или пропускают.
Открытые окна могут быть созданы устройствами, которые оставляют открытыми ненужные порты без ведома их владельцев (например, потому что они не читают руководство). Поэтому стоит убедиться, что сетевые устройства позволяют отключать неиспользуемые (и менее безопасные) сервисы, такие как Telnet или FTP, изменять IP-порт по умолчанию и отключать аппаратные функции, которые не требуются, например, беспроводные радиоприемники или неиспользуемые порты.
Другие базовые функции безопасности, которые следует искать в AV-устройстве, могут включать безопасную веб-связь через SSL-сертификат, требование проверки производителем обновлений микропрограммы и возможность ограничения управления авторизованными пользователями. Однако стандартная конфигурация безопасности может быть недостаточно строгой, поэтому ее следует тщательно проверить и настроить перед установкой любого устройства в сети.
Часто можно отключить кнопки и переключатели на устройствах управления или физически заблокировать серверные стойки и кабельные магистрали, чтобы предотвратить несанкционированный доступ. Устройства для использования в общих помещениях, такие как классные доски, все чаще оснащаются технологией безопасного входа, а экраны цифровых табло могут вообще не иметь никаких элементов управления для предотвращения несанкционированного вмешательства со стороны проходящих мимо злоумышленников.
Риск перехвата данных
Перехват данных в сети становится серьезной проблемой, особенно с учетом того, что аудио- и видеопотоки могут содержать конфиденциальные разговоры и документы. Некоторые устройства могут автоматически шифровать аудио- и видеопотоки. Однако они часто используют стандартные ключи, так что любой злоумышленник, имеющий доступ к такому же ключу, может перехватить и декодировать содержимое. Это еще один случай, когда пользователям следует изменить заводские настройки по умолчанию, на этот раз указав другой, более надежный ключ шифрования.
Периодические проверки и аудит конфигурации подключенных к сети аудиовизуальных устройств должны быть включены в график регулярного обслуживания сети. Надежная инвентаризация того, что именно подключено к сети, может стать основой для таких проверок, а также позволит убедиться, что старые, неиспользуемые устройства не подключены без необходимости. Эксперты также рекомендуют проводить полное тестирование сети на проникновение не реже одного раза в год.
Однако безопасность на уровне устройств - это только часть истории, поскольку большая часть ответственности за безопасность сети должна быть возложена на саму сеть, со всей атрибутикой брандмауэров, обнаружения и предотвращения вторжений и т.д. Разделение сети на автономные сегменты (подобно водонепроницаемым переборкам на корабле) ограничивает потенциальный ущерб, если устройство будет скомпрометировано, хотя это также может затруднить законное взаимодействие между устройствами в разных сегментах.
Временное подключение непроверенных устройств конечных пользователей (т.е. BYOD) может представлять особые проблемы для безопасности, и использование сегментации для создания виртуального кордона вокруг их деятельности является одним из способов защиты других областей сети. Также очень рекомендуется обучать сотрудников - и, при необходимости, посетителей - тому, чтобы на их личных устройствах были установлены актуальные исправления безопасности и программного обеспечения.
С переходом к гибридной и домашней работе то же самое относится и к домашним сетям сотрудников (даже простой широкополосный маршрутизатор, поддерживающий несколько беспроводных устройств, фактически является сетью). Установка потребительского класса с неизменным сетевым именем и паролем по умолчанию или подключение сотрудника к общедоступной сети Wi-Fi может оказаться незапертой задней дверью неприступной корпоративной крепости. И снова ключевыми линиями обороны являются ограничение, сегментация и обучение.
Написать комментарий