Много организации използват облачни услуги или преместват оборудване към
Център за данни. Какво има смисъл да оставите в сървърното помещение и как е най-добре да организирате защитата на периметъра на офисната мрежа в такава ситуация?
Едно време всичко беше на сървъра
В началото на развитието на Runet повечето компании решиха въпроса с ИТ инфраструктурата по приблизително същата схема: разпределиха стая, в която инсталираха климатик и където беше концентрирано почти цялото мрежово и сървърно оборудване.
Системният администратор настрои един или повече сървъри на FreeBSD, Linux или OpenSolaris и т.н. И след това на този „хост“ той стартира необходимите услуги: от уеб сървър, корпоративна поща до услуга за хостване на файлове.
Когато една компания расте и се развива, тя неизбежно се сблъсква със ситуация, в която сървърното помещение вече не отговаря на изискванията. Ако имате пари, можете да изградите свой собствен център за данни. Може да е по-изгодно да наемете стелажи от търговски центрове за данни. Качествено захранване на базата на DRUPS, индустриална климатична система, пълен състав от високоспециализирани специалисти - тези неща едва ли са налични в случай на офис сървърно помещение.
Следвайки големия бизнес, в съзнанието на мениджмънта на средни и малки фирми постепенно се извършва преход от психологията „нося всичко, което имам със себе си” и „моят дом е моята крепост” към „дай го на друг, а не страдам.”
За малкия бизнес облачните доставчици са се превърнали в такава „изнесена“ опция. Ако по-рано за компания от 40 души собственият сървър за електронна поща беше нещо подразбиращо се, днес услугата от същия Google печели на своя страна всички онези, които преди не можеха да си представят работа без собствен Sendmail или Postfix.
Виртуалните системи оказаха голяма помощ при такова „преместване“. Ако преди появата им беше необходимо да се транспортира целия физически сървър или да се конфигурира всичко на нов хардуер, сега е достатъчно да се прехвърли изображението на виртуалната машина.
Какво ще остане в тази малка стая с климатик?
На първо място, това е мрежово оборудване. Както активни, така и пасивни. Често зад гръмкото име „сървър“ те разбират кръстосана връзка с остатъците от мрежово оборудване. И за такива случаи не е необходимо специално помещение с мощна климатична система, захранване и т.н.
Втората група оборудване, което все още е трудно да се изнесе от сървърното помещение, са шлюзовете
сигурност.
Но какви са тези шлюзове? Както бе споменато по-горе, ако в близкото минало системният администратор имаше един или няколко сървъра на свое разположение, където можеше да разположи каквото му душа иска, сега такъв лукс може да не съществува.
Но необходимостта от защита срещу външни заплахи не е изчезнала. Можете, разбира се, да прехвърлите всички услуги и необходимото оборудване изцяло в центъра за данни и да управлявате трафик от такъв шлюз към кръстосаната връзка на офиса чрез защитен канал, например чрез VPN.
Тази схема изглежда привлекателна на пръв поглед, ако не и за увеличеното натоварване на съществуващите канали. Ако не искате да плащате за по-дебел канал, това не е точно това, от което се нуждаете.
Друга възможност е да закупите специализирано устройство за защита на трафика, чиято архитектура, поради тесния си фокус, ви позволява да правите без мощни енергоемки и генериращи топлина компоненти.
Няма нужда от зоопарк
При липса на класическа сървърна стая е много по-добре да получите няколко услуги „в една кутия“ наведнъж, отколкото да създадете „зоопарк“ в малка стая или дори в малък кръстосан шкаф. В същото време решението трябва да е евтино, доказано и да има нормална поддръжка на руски език.
Забележка. Вече говорим за много малки, средни и по-големи офиси. Все още не обмисляме големи компании, които изграждат свои собствени центрове за данни - в една статия „невъзможно е да се разбере необятността“.
И за всеки случай Zyxel вече има решение в рамките на същата продуктова линия. Накратко, няма да имате нужда от „зоопарк“.
ZyWALL ATP Шлюзове за сигурност
По-рано говорихме за принципите на работа на такива устройства, използвайки примера Основната им характеристика е комбинацията от защитна стена с услугата за сигурност Zyxel Cloud. Благодарение на това разпределение на отговорностите, ZyWALL ATP решава доста широк спектър от проблеми със защитата на периметъра, без да изисква допълнителни хардуерни ресурси.
Списъкът с функции за защита е доста богат (вижте таблица 1), включително инструменти за анализ на SecuReporter и Sandboxing - „пясъчна кутия“ за предварителен анализ на изтегленото съдържание.
Струва си да подчертаем още веднъж, че в този случай ние просто прехвърляме услуги от местния офис към облака. Zyxel Cloud прави всичко останало вместо нас в анонимен режим. В допълнение към удобството, този подход осигурява ефективна защита срещу заплахи от нулевия ден чрез машинно обучение и обмен на информация между ATP шлюзове по целия свят. За защита е изградена цяла невронна мрежа.
: „Когато бъде открит неизвестен файл, Cloud Query бързо (в рамките на няколко секунди) проверява неговия хеш код спрямо облачната база данни и определя дали е опасен или не. Тази услуга изисква минимум мрежови ресурси за работа и следователно не намалява производителността на устройството. Ефективността на защитата от заплахи се осигурява от използването на постоянно актуализирана облачна база данни, съдържаща данни за милиарди заплахи. Cloud Query също така ускорява интелигентността на нововъзникващите възможности за откриване на заплахи на Zyxel Security Cloud, подобрявайки защитата от злонамерен софтуер на всяка защитна стена на ATP."
Таблица 1. Технически характеристики на линията ZyWALL ATP.
Забележки:
(1) Действителната производителност силно зависи от мрежовите условия и активните приложения.
(2) Максималната производителност се основава на RFC 2544 (1,518-байтови UDP пакети).
(3) Измерената пропускателна способност на VPN се основава на RFC 2544 (1,424-байтови UDP пакети).
(4) Метриките за пропускателна способност на AV и IDP използват стандартния за индустрията тест за ефективност на HTTP (1,460-байтови HTTP пакети). Тестването беше извършено в многонишков режим.
(5) При измерване на максималния възможен брой сесии бяха използвани стандартни инструменти за индустрията - инструмент за тестване IXIA IxLoad.
(6) Резултатите от тестовете за скорост на 1Gbps WAN са проведени в реални условия и може леко да варират в зависимост от качеството на връзката.
(7): След изтичане на Gold Pack ще се поддържат само 2 AP.
(8): Можете да активирате или разширите функционалността, като закупите допълнителни лицензи за услуги на Zyxel.
Обърнете внимание на поддържания набор от VPN услуги. Почти всичко необходимо за комуникация с централата или домашния офис вече е „в една бутилка“, така че можем спокойно да препоръчаме това устройство както като последен комуникационен възел за клон, така и за поддръжка на отдалечена работа на служителите.
Решения за малки офиси
Малките офиси могат да бъдат разделени на две групи: независими предприятия и клонове на големи компании.
Независимите са новосъздадените предприятия и тези, на които е писано да останат малки. Например проектантски бюра, архитектурни студия, редакции на малки медии и т.н. Такива бизнес единици често използват облачни услуги, поне поща и споделяне на файлове.
Клонове на по-големи организации - основното за тях е да имат стабилна връзка с централния офис. Всичко останало е в "Центъра".
Често такива „бебета“ се нуждаят от прост интерфейс за управление. Мрежовият администратор от централата често няма възможност бързо да се втурне към далечни земи, за да разреши проблем в нов клон. Местните малки фирми изобщо нямат тази възможност. Налага се да прибягваме до услугите на „идване
администратор." За такива случаи е необходимо да се контролира според принципа „колкото по-просто, толкова по-надеждно“.
За малки офиси има смисъл да се използват моделите ZyWALL ATP100 и ZyWALL ATP200.
Мрежов шлюз се появи сравнително наскоро, но вече е навлязъл .
Основната разлика от по-големия си брат () - че е проектиран за по-малко натоварване и няма стойки за 19-инчов багажник. Препоръчва се за домашни офиси, малки фирми, клонове и др.
Фигура 1. ZyWALL ATP100.
Характеристики на дизайна: ATP100 и ATP200 са модели без вентилатори. Защо това е добре: първо, няма шум и второ, няма нужда да сменяте вентилатора. В ситуация с „входящ администратор“ това е доста важен показател.
Фигура 2. ZyWALL ATP200.
Моделът ATP200 поддържа два WAN порта и може да се свързва към две независими линии, например от различни доставчици.
Както споменахме по-горе, за малък офис най-важното нещо след стабилно захранване с електричество е стабилната връзка. За съжаление местните доставчици не винаги могат да гарантират, че няма да има инциденти. Трябва да търсим резервни варианти.
ВАЖНО! В допълнение към специализираните WAN портове, ATP моделите имат USB портове, към които можете да свържете USB модеми и да ги използвате като WAN. Тази функция е достъпна за всички ATP.
Ако устройството има SFP порт, това може да се използва и като WAN. Тази функция е достъпна за всички ATP.
Ето един лайфхак от Zyxel.
Средни компании
За средно големи компании Zyxel има свой собствен добър хардуер -
Това е шлюз от следващо поколение с усъвършенствана защита срещу развиващи се заплахи.
Сред интересните характеристики:
7 конфигурируеми порта позволяват гъвкава конфигурация, например 2 WAN, 2 DMZ и 3 LAN порта при свързване на 3 отделни VLAN за вътрешна употреба. Има и 1 SFP порт.
Фигура 3. ZyWALL ATP500.
Възможно е да работите в режим на клъстер с висока наличност на Device HA Pro от два ZyWALL ATP500. Ако единият не работи, вторият ще продължи да осигурява комуникация.
Използвайки изцяло функциите на ATP500, можете да станете гъвкави,
изключително надеждна, сигурна комуникация с външния свят или отделен възел, например,
централно управление.
По-големи офиси
За тях се препоръчва най-мощната версия на тази линия - ATP800.
Този модел има приличен брой портове: 12 RJ-45 и 2 SFP, всички те могат да бъдат конфигурирани в режим WAN, LAN или DNZ, което ви позволява да използвате няколко WLAN, да организирате няколко DMZ и все пак да имате възможност да се свържете с външна мрежа за сложна вътрешна инфраструктура. Подходящ за сравнително големи офиси с развита мрежа и високи изисквания за сигурност и контрол на достъпа.
Фигура 4. ZyWALL ATP800.
Също така си струва да се отбележи, че този модел се препоръчва за закупуване с тенденция към „разрастване“. Ако планирате да развиете компанията си, например, да развиете местна верига от магазини, тогава има смисъл незабавно да закупите по-мощен модел, за да не харчите пари два пъти.
Както можете да видите, дори и при най-спартански условия е възможно да се осигури добро ниво на защита, отказоустойчивост и гъвкавост при работа.
Техническа поддръжка, съвети, дискусии, новини, промоции и съобщения - свържете се с нас в Telegram!
Полезни връзки
Източник: www.habr.com