AUDIO-OVER-IP W POSTPRODUKCJI
CZĘŚĆ 5: BEZPIECZEŃSTWO DANYCH
W części drugiej poruszyliśmy temat aplikacji Dante Domain Manager i jej użycia w sieci AoIP, która ma być chroniona przed nieuprawnionym dostępem lub po prostu zabezpieczona przed zwykłymi błędami, które mogą potencjalnie wystąpić, gdy dane i sprzęt I/O są udostępnione na wielu stacjach roboczych. Kwestie te są jednak tak ważne, że zasługują na bardziej kompleksowe omówienie.
5.1. Metody pracy
Pomimo wysokiego stopnia zaawansowania technologicznego AoIP, pierwszym elementem, od którego zależy utrzymanie bezpieczeństwa i stabilności pracy, jest czynnik ludzki. Dostęp do dowolnego systemu audio powinien być zarządzany poprzez zdroworozsądkowe podejście, ale i rygorystyczne procedury. Na przykład w konwencjonalnym studiu analogowym wszelkie połączenia pomiędzy pomieszczeniami i urządzeniami mają formę fizycznego okablowania.
Powiedzmy więc, że realizator pracujący w reżyserce 1, widząc, iż pomieszczenie nagraniowe jest skomutowane do reżyserki 2, zanim odłączy przewody od krosownicy, powinien sprawdzić, czy ktoś jeszcze korzysta z tych połączeń. Podobnej weryfikacji należy dokonać także w systemie AoIP, pomimo że komutacja ma tutaj formę wirtualną, a nie fizyczną. Każdy, kto pracuje w danym systemie i posiada uprawnienia do zmiany konfiguracji sieci, komutacji i przypisań, musi pracować wedle tych samych reguł.
Jednak czasem łatwiej jest powiedzieć, niż wdrożyć, zwłaszcza w dużych obiektach, gdzie wielu realizatorów korzysta z sieci w tym samym czasie.
5.2. Blokada PIN
Z tego też względu w Dante stosuje się funkcję czterocyfrowej blokady PIN, która pozwala wprowadzić ograniczenia dostępu do kluczowych funkcji systemu. Objęte blokadą funkcje dotyczą ustawień routingu, zmian częstotliwości próbkowania, zdalnego restartu urządzeń oraz zmian parametrów sieci. Funkcja blokady PIN może więc zapewnić znaczny wzrost bezpieczeństwa systemu, ale nie czyni życia bezproblemowym. Na przykład, jeśli jeden realizator zakończył sesję, blokując konfigurację routingu, następny inżynier zobaczy zablokowane wejścia/wyjścia, które jednak nie są używane. Jest to sytuacja, w której istotne stają się z góry uzgodnione procedury dostępu do systemu. Najlepszą praktyką jest przyjęcie założenia, że jeśli dane wejścia/wyjścia są zablokowane, to oznacza to, iż pozostają w użyciu. Jeśli jednak istnieje niebezpieczeństwo, że ktoś zapomni je odblokować, wówczas przed wprowadzeniem zmian należy wdrożyć prostą procedurę komunikacji zwrotnej, przez telefon, wiadomość tekstową lub czat grupowy.
5.3. Ograniczanie dostępu fizycznego
Blokada PIN dostępu do ustawień routingu w sieci Dante to także jeden ze sposobów na uniknięcie przypadkowych błędów popełnionych przez uprawnionych użytkowników sieci. Możliwe jest również zablokowanie dostępu do całych sekcji sieci AoIP, uniemożliwiające dostęp osobom o złych intencjach. Zastosowanie takich środków jest szczególnie wskazane w instalacjach, w których przetwarzane są wrażliwe dane dźwiękowe – na przykład poufne materiały komercyjne lub rządowe, albo też komercyjne projekty filmowe czy telewizyjne.
Kluczowym wymogiem jest przechowywanie danych poza zasięgiem osób niepowołanych, przy jednoczesnym zapewnieniu elastyczności i możliwości rozbudowy systemu.
Najbardziej elementarnym krokiem jest więc ograniczenie fizycznego dostępu do sieci i uniemożliwienie uzyskania go do portów sieciowych przez potencjalnych intruzów. Na początek warto Więc zadbać o nieudostępnianie portów sieciowych w obszarach nienadzorowanych czy ogólnodostępnych. Atrakcyjność AoIP polega częściowo na tym, o czym już wspominaliśmy, że umożliwia podłączenie stacji roboczej w dowolnym miejscu, jeśli tylko dostępny tam jest port sieciowy – na przykład gdy obiekt studyjny jest zajęty, ale trzeba umożliwić pracę freelancerowi z laptopem. A zatem ograniczanie dostępu do portów sieciowych może stanowić zaprzeczenie jednej z największych zalet AoIP.
Podobnie jest w przypadku pracującego pełną parą studia nagraniowego, przez które przewija się tłum pracowników, realizatorów, klientów i wszelkiego rodzaju artystów, przychodzących i wychodzących – identyfikacja osób, których obecność w studiu jest uzasadniona, a także ich zadań nie zawsze jest prosta. Nawet jeśli dana osoba jest uprawniona, by w danym momencie przebywać w obiekcie, nie jest to powodem, dla którego miałaby mieć możliwość dostępu do urządzeń Dante poprzez gniazdko sieciowe pod biurkiem, przy którym usiadła jedynie po to, aby wysłać kilka emaili.
5.4. Kontrola sieci
Kolejnym poziomem ochrony sieci AoIP opartej na Dante jest nadzór nad uzyskującymi do niej dostęp użytkownikami. Procedury definiowania nazw i haseł na liście uprawnionych użytkowników mogą być przeprowadzane za pomocą Dante Domain Manager. Możliwe jest ponadto wyodrębnianie grup urządzeń audio i kojarzenie ich z nazwami użytkowników za pomocą listy kontroli dostępu (ACL). Mechanizmy definiowania nazw użytkowników, haseł i list ACL nie są oczywiście wyłączną domeną systemów AoIP – administratorzy tradycyjnych sieci stosują te techniki od dziesiątek lat. Inną opcją kontroli dostępu, jaką można wdrożyć, gdy sprzęt sieciowy nie podlega częstym wymianom, jest kontrola urządzeń, które są przyłączane do sieci. Czy to komputer, samodzielny rejestrator, czy interfejs A-D/D-A – każde urządzenie sieciowe ma nadany unikalny identyfikator zwany adresem MAC, a dostęp do sieci można ograniczyć do urządzeń z zatwierdzonymi adresami MAC. Podobnie do wspomnianych technik, także i ustalanie widoczności urządzeń w sieci na podstawie ich adresów MAC jest powszechnie stosowane w zarządzaniu konwencjonalnymi sieciami, zatem z zagadnieniem tym powinien sobie poradzić każdy doświadczony administrator.
5.5. Bezpieczeństwo i stabilność działania
Bezpieczeństwo sieci AoIP i instalacji to nie tylko kwestia nieautoryzowanego dostępu i kradzieży danych; równie istotne są bezpieczeństwo i jakość usług. Gdy użytkownicy AoIP nie mogą mieć pewności co do niezawodności i wydajności sieci, wówczas taki system jest niemal bezużyteczny, dlatego sieć Dante wykorzystuje standardowe technologie sieciowe, takie jak Quality of Service (QoS), do oznaczania każdego pakietu znacznikiem priorytetu. Jeśli, na przykład, switch sieciowy otrzymuje dwa pakiety naraz, wówczas nadaje priorytet pakietowi opatrzonemu znacznikiem QoS. W przypadku mniejszych systemów lub instytucji, w których nie ma dedykowanego wsparcia IT, koncepcja stworzenia sieci IP może być dość zniechęcająca. Ale wystarczy kilka prostych kroków, aby wszystko przebiegło sprawnie. Na przykład zarządzane switche sieciowe z obsługą warstwy 3 są tylko nieco droższe od niezarządzanych, ale oferują większą elastyczność, jeśli chodzi o konfigurowanie i dostosowywanie sieci. Do kontrolowania nazw użytkowników i haseł wymagany jest serwer z uruchomioną aplikacją Dante Domain Manager, ale serwer taki stanowi dodatkową korzyść, pełniąc rolę zdalnego magazynu, np. dla szablonów sesji. Rzeczywisty koszt wdrożenia może być zaskakująco niski.
CZYTAJ DALEJ
AUDIO-OVER-IP W POSTPRODUKCJI
WYBIERZ CZĘŚĆ
