Mnoge organizacije koriste usluge oblaka ili premještaju opremu
Data centar. Šta ima smisla ostaviti u serverskoj sobi i koji je najbolji način da se u takvoj situaciji organizuje zaštita perimetra kancelarijske mreže?
Nekada je sve bilo na serveru
Na početku razvoja Runeta, većina kompanija rješavala je pitanje IT infrastrukture po približno istoj šemi: dodijelili su prostoriju u koju su instalirali klima uređaj i gdje je bila koncentrisana gotovo sva mrežna i serverska oprema.
Administrator sistema je podesio jedan ili više servera na FreeBSD, Linux, ili OpenSolaris itd. I onda je na ovom „hostu“ pokrenuo neophodne servise: od web servera, korporativne pošte, do servisa za hostovanje datoteka.
Kada kompanija raste i razvija se, neizbježno se suočava sa situacijom u kojoj server soba više ne ispunjava zahtjeve. Ako imate novca, možete izgraditi vlastiti podatkovni centar. Možda bi bilo isplativije iznajmiti police iz komercijalnih data centara. Visokokvalitetno napajanje zasnovano na DRUPS-u, industrijski sistem klimatizacije, kompletan kadar visoko specijalizovanih stručnjaka - ove stvari su jedva dostupne u slučaju kancelarijske server sobe.
Prateći veliki biznis, u glavama menadžmenta srednjih i malih preduzeća postepeno dolazi do prelaska sa psihologije „sve što imam sa sobom nosim“ i „moj dom je moja tvrđava“ ka „dajem nekom drugom, a ne patiti.”
Za mala preduzeća, provajderi u oblaku su postali takva opcija „outsourced“. Ako je ranije za kompaniju od 40 ljudi posjedovanje vlastitog mail servera bilo nešto samo po sebi razumljivo, danas servis istog Gugla na svoju stranu pridobija sve one koji ranije nisu mogli zamisliti rad bez vlastitog Sendmaila ili Postfixa.
Virtuelni sistemi su pružili veliku pomoć u takvom „preseljenju“. Ako je prije njihovog pojavljivanja bilo potrebno transportirati cijeli fizički server, ili sve konfigurirati na novom hardveru, sada je dovoljno prenijeti sliku virtualne mašine.
Šta će ostati u toj maloj prostoriji sa klimom?
Prije svega, ovo je mrežna oprema. I aktivni i pasivni. Često iza glasnog naziva "server" razumiju unakrsnu vezu s ostacima mrežne opreme. A za takve slučajeve nije potrebna posebna prostorija sa snažnim sistemom klimatizacije, napajanjem i tako dalje.
Druga grupa opreme koju je još uvijek teško ukloniti iz server sobe su gateway-i
sigurnost.
Ali šta su ovo kapije? Kao što je gore pomenuto, ako je u nedavnoj prošlosti administrator sistema imao na raspolaganju jedan ili više servera na kojima je mogao da postavi šta god mu srce poželi, sada takav luksuz možda i ne postoji.
Ali potreba za zaštitom od vanjskih prijetnji nije nestala. Naravno, možete prenijeti sve usluge i potrebnu opremu u potpunosti u podatkovni centar i voziti promet od takvog gatewaya do kancelarijske unakrsne veze putem sigurnog kanala, na primjer, putem VPN-a.
Ova shema na prvi pogled izgleda atraktivno, ako ne zbog povećanog opterećenja postojećih kanala. Ako ne želite da platite deblji kanal, ovo nije baš ono što vam treba.
Druga mogućnost je kupovina specijaliziranog uređaja za zaštitu saobraćaja, čija arhitektura, zbog uskog fokusa, omogućava da bez moćnih energetski intenzivnih komponenti koje stvaraju toplinu.
Nema potrebe za zoološkim vrtom
U nedostatku klasične server sobe, mnogo je bolje dobiti nekoliko usluga "u jednoj kutiji" odjednom nego kreirati "zoološki vrt" u maloj prostoriji, ili čak unutar malog ormarića. U isto vrijeme, rješenje bi trebalo biti jeftino, dokazano i imati normalnu podršku na ruskom jeziku.
Bilješka. Sada govorimo o veoma malim, srednjim i većim kancelarijama. Još ne razmišljamo o velikim kompanijama koje grade vlastite podatkovne centre - u jednom članku "nemoguće je shvatiti neizmjernost."
I za svaki slučaj, Zyxel već ima rješenje, unutar iste linije proizvoda. Ukratko, neće vam trebati "zoološki vrt".
ZyWALL ATP sigurnosni pristupnici
Ranije smo govorili o principima rada takvih uređaja koristeći primjer Njihova glavna karakteristika je kombinacija firewall-a sa Zyxel Cloud sigurnosnom uslugom. Zahvaljujući ovoj raspodjeli odgovornosti, ZyWALL ATP rješava prilično širok raspon problema zaštite perimetra bez potrebe za dodatnim hardverskim resursima.
Lista zaštitnih funkcija je prilično bogata (pogledajte tabelu 1), uključujući SecuReporter analitičke alate i Sandboxing – „sandbox” za preliminarnu analizu preuzetog sadržaja.
Vrijedno je još jednom naglasiti da u ovom slučaju jednostavno prenosimo usluge iz lokalne kancelarije u oblak. Zyxel Cloud radi sve ostalo umjesto nas u anonimnom načinu rada. Pored pogodnosti, ovaj pristup pruža efikasnu zaštitu od prijetnji nultog dana kroz mašinsko učenje i razmjenu informacija između ATP gateway-a širom svijeta. Za zaštitu je izgrađena čitava neuronska mreža.
: “Kada se otkrije nepoznata datoteka, Cloud Query brzo (u roku od nekoliko sekundi) provjerava njen hash kod u odnosu na bazu podataka u oblaku i utvrđuje da li je opasan ili ne. Ova usluga zahtijeva minimum mrežnih resursa za rad i stoga ne smanjuje performanse uređaja. Učinkovitost zaštite od prijetnji osigurana je korištenjem stalno ažurirane baze podataka u oblaku koja sadrži podatke o milijardama prijetnji. Cloud Query također ubrzava inteligenciju novih mogućnosti otkrivanja prijetnji Zyxel Security Cloud-a, poboljšavajući zaštitu od zlonamjernog softvera svakog ATP firewall-a."
Tabela 1. Tehničke karakteristike ZyWALL ATP linije.
Napomene:
(1) Stvarne performanse jako zavise od mrežnih uslova i aktivnih aplikacija.
(2) Maksimalni protok je zasnovan na RFC 2544 (1,518-bajtni UDP paketi).
(3) Izmjereni VPN protok je zasnovan na RFC 2544 (1,424-bajtni UDP paketi).
(4) AV i IDP propusna metrika koristi industrijski standardni test performansi HTTP (1,460-bajtni HTTP paketi). Testiranje je obavljeno u multi-threaded modu.
(5) Prilikom mjerenja maksimalno mogućeg broja sesija korišteni su industrijski standardni alati - IXIA IxLoad alat za testiranje.
(6) Rezultati testa brzine WAN-a od 1Gbps sprovedeni su u stvarnim uslovima i mogu neznatno da variraju u zavisnosti od kvaliteta veze.
(7): Nakon što Gold Pack istekne, bit će podržana samo 2 AP.
(8): Možete omogućiti ili proširiti funkcionalnost kupovinom dodatnih licenci za Zyxel usluge.
Obratite pažnju na podržani skup VPN usluga. Gotovo sve što je potrebno za komunikaciju sa sjedištem ili kućnom kancelarijom već je „u jednoj boci“, pa ovaj uređaj sa sigurnošću možemo preporučiti i kao završni komunikacioni čvor za filijalu i kao podršku daljinskom radu zaposlenih.
Rešenja za male kancelarije
Male kancelarije se mogu podeliti u dve grupe: samostalna preduzeća i filijale velikih kompanija.
Nezavisna su novonastala preduzeća i ona koja su predodređena da ostanu mala. Na primjer, projektantski biroi, arhitektonski studiji, redakcije malih medija i tako dalje. Takve poslovne jedinice često koriste usluge oblaka, barem poštu i dijeljenje datoteka.
Ogranci većih organizacija - njima je najvažnije da imaju stabilnu vezu sa centralom. Sve ostalo je u “Centru”.
Često je takvim „bebama“ potreban jednostavan interfejs za kontrolu. Mrežni administrator iz centrale često nema priliku da brzo odjuri u daleke zemlje kako bi riješio problem u novoj filijali. Lokalne male kompanije uopšte nemaju tu mogućnost. Moramo pribjeći uslugama „dolaska
admin." Za takve slučajeve je neophodna kontrola po principu „što jednostavnije, to pouzdanije“.
Za male kancelarije ima smisla koristiti modele ZyWALL ATP100 i ZyWALL ATP200.
Mrežni prolaz pojavio relativno nedavno, ali je već ušao .
Glavna razlika od svog starijeg brata () - da je dizajniran za manje opterećenje i da nema nosače za 19-inčni rack. Preporučuje se za kućne kancelarije, male kompanije, filijale i tako dalje.
Slika 1. ZyWALL ATP100.
Dizajnerske karakteristike: ATP100 i ATP200 su modeli bez ventilatora. Zašto je ovo dobro: prvo, nema buke, a drugo, nema potrebe da menjate ventilator. U situaciji sa „dolaznim administratorom“, ovo je prilično važan pokazatelj.
Slika 2. ZyWALL ATP200.
Model ATP200 podržava dva WAN porta i može se povezati na dvije nezavisne linije, na primjer, različitih provajdera.
Kao što je već spomenuto, za malu kancelariju najvažnija stvar nakon stabilnog napajanja električnom energijom je stabilna veza. Nažalost, lokalni provajderi ne mogu uvijek garantirati da neće biti nezgoda. Moramo tražiti rezervne opcije.
VAŽNO! Pored namjenskih WAN portova, ATP modeli imaju USB portove na koje možete povezati USB modeme i koristiti ih kao WAN. Ova funkcija je dostupna svim ATP-ovima.
Ako uređaj ima SFP port, on se može koristiti i kao WAN. Ova funkcija je dostupna za sve ATP.
Evo životnog haka od Zyxela.
Srednje kompanije
Za srednja preduzeća, Zyxel ima svoj dobar hardver -
To je gateway nove generacije s naprednom zaštitom od prijetnji koje se razvijaju.
Među zanimljivim karakteristikama:
7 konfigurabilnih portova omogućavaju fleksibilnu konfiguraciju, na primjer, 2 WAN, 2 DMZ i 3 LAN porta uz povezivanje 3 odvojena VLAN-a za internu upotrebu. Tu je i 1 SFP port.
Slika 3. ZyWALL ATP500.
Moguće je raditi u Device HA Pro visoko dostupnom klaster modu sa dva ZyWALL ATP500. Ako jedan nije u funkciji, drugi će i dalje pružati komunikaciju.
Koristeći ATP500 funkcije u potpunosti, možete postati fleksibilni,
visoko pouzdana, sigurna komunikacija s vanjskim svijetom ili zasebnim čvorom, na primjer,
sjedište.
Veće kancelarije
Za njih se preporučuje najmoćnija verzija ove linije - ATP800.
Ovaj model ima pristojan broj portova: 12 RJ-45 i 2 SFP, svi se mogu konfigurirati u WAN, LAN ili DNZ modu, što vam omogućava da koristite nekoliko WLAN-ova, organizirate nekoliko DMZ-ova i još uvijek imate priliku da se povežete na eksterna mreža za složenu internu infrastrukturu. Pogodno za prilično velike kancelarije sa razvijenom mrežom i visokim zahtevima za bezbednost i kontrolu pristupa.
Slika 4. ZyWALL ATP800.
Također je vrijedno napomenuti da se ovaj model preporučuje za kupovinu sa tendencijom "rasta". Ako planirate razviti svoju kompaniju, na primjer, razviti lokalni lanac trgovina, onda ima smisla odmah kupiti moćniji model kako ne biste dvaput trošili novac.
Kao što vidite, čak i pod najspartannijim uslovima moguće je obezbediti dobar nivo zaštite, tolerancije grešaka i fleksibilnosti u radu.
Tehnička podrška, savjeti, rasprave, vijesti, promocije i najave - kontaktirajte nas na Telegram!
korisni linkovi
izvor: www.habr.com