Moltes organitzacions utilitzen serveis al núvol o traslladen equips
Centre de dades. Què té sentit deixar a la sala de servidors i quina és la millor manera d'organitzar la protecció del perímetre de la xarxa de l'oficina en aquesta situació?
Hi havia una vegada tot al servidor
A l'inici del desenvolupament del Runet, la majoria d'empreses resolien el tema de la infraestructura informàtica segons aproximadament el mateix esquema: destinaven una sala on instal·laven aire condicionat i on es concentraven quasi tots els equips de xarxa i servidor.
L'administrador del sistema va configurar un o més servidors a FreeBSD, Linux o OpenSolaris, etc. I després en aquest "amfitrió" va llançar els serveis necessaris: des d'un servidor web, correu corporatiu, fins a un servei d'allotjament de fitxers.
Quan una empresa creix i es desenvolupa, inevitablement s'enfronta a una situació en què la sala de servidors ja no compleix els requisits. Si teniu diners, podeu crear el vostre propi centre de dades. Pot ser més rendible llogar bastidors de centres de dades comercials. Font d'alimentació d'alta qualitat basada en DRUPS, un sistema d'aire condicionat industrial, un equip complet d'especialistes altament especialitzats: aquestes coses gairebé no estan disponibles en el cas d'una sala de servidors d'oficina.
Arran de les grans empreses, en la ment de la direcció de les mitjanes i petites empreses s'està passant de la psicologia del “tot el que tinc amb mi” i “la meva casa és la meva fortalesa” a “donar-ho a un altre i no”. patir”.
Per a les petites empreses, els proveïdors de núvol s'han convertit en una opció tan "subcontractada". Si abans per a una empresa de 40 persones disposar d'un servidor de correu propi es donava per fet, avui el servei del mateix Google està guanyant al seu costat a tots aquells que abans no s'imaginaven treballar sense Sendmail o Postfix.
Els sistemes virtuals van proporcionar una gran ajuda en aquesta "reubicació". Si abans de la seva aparició era necessari transportar tot el servidor físic, o configurar-ho tot en maquinari nou, ara n'hi ha prou amb transferir la imatge de la màquina virtual.
Què quedarà en aquella petita habitació amb aire condicionat?
En primer lloc, es tracta d'un equip de xarxa. Tant actius com passius. Sovint, darrere del nom fort "servidor" entenen una connexió creuada amb les restes d'equips de xarxa. I per a aquests casos, no cal una habitació especial amb un sistema d'aire condicionat potent, font d'alimentació, etc.
El segon grup d'equips que encara és difícil d'eliminar de la sala de servidors són les passarel·les
seguretat.
Però quines són aquestes passarel·les? Com s'ha esmentat anteriorment, si en un passat recent l'administrador del sistema tenia a la seva disposició un o diversos servidors on pogués desplegar el que el seu cor volgués, ara potser aquest luxe no existeix.
Però la necessitat de protegir-se de les amenaces externes no ha desaparegut. Per descomptat, podeu transferir tots els serveis i equips necessaris completament al centre de dades i dirigir el trànsit des d'aquesta passarel·la a la connexió creuada de l'oficina mitjançant un canal segur, per exemple, mitjançant VPN.
Aquest esquema sembla atractiu a primera vista, si no per l'augment de la càrrega dels canals existents. Si no voleu pagar per un canal més gruixut, això no és exactament el que necessiteu.
Una altra opció és comprar un dispositiu especialitzat per a la protecció del trànsit, l'arquitectura del qual, a causa del seu enfocament reduït, permet prescindir de components potents que consumeixen energia i generen calor.
No cal un zoològic
En absència d'una sala de servidors clàssica, és molt millor obtenir diversos serveis "en una caixa" alhora que crear un "zoològic" en una habitació petita, o fins i tot dins d'un petit armari creuat. Al mateix temps, la solució hauria de ser econòmica, provada i tenir un suport normal en rus.
Nota. Ara parlem d'oficines molt petites, mitjanes i grans. Encara no estem considerant grans empreses que construeixen els seus propis centres de dades: en un article "és impossible comprendre la immensitat".
I per a cada cas, Zyxel ja té una solució, dins de la mateixa línia de productes. En resum, no necessitareu un "zoològic".
Passareles de seguretat ZyWALL ATP
Abans hem parlat dels principis de funcionament d'aquests dispositius utilitzant l'exemple La seva característica principal és la combinació d'un tallafoc amb el servei de seguretat Zyxel Cloud. Gràcies a aquesta distribució de responsabilitats, ZyWALL ATP resol un ventall bastant ampli de problemes de protecció perimetral sense necessitat de recursos de maquinari addicionals.
La llista de funcions de protecció és força rica (vegeu la taula 1), incloses les eines d'anàlisi de SecuReporter i Sandboxing, una "caixa de sorra" per a l'anàlisi preliminar del contingut descarregat.
Val la pena remarcar una vegada més que en aquest cas simplement estem transferint serveis de l'oficina local al núvol. Zyxel Cloud fa tota la resta per nosaltres en mode anònim. A més de la comoditat, aquest enfocament proporciona una protecció eficaç contra les amenaces de dia zero mitjançant l'aprenentatge automàtic i l'intercanvi d'informació entre passarel·les ATP d'arreu del món. S'ha construït una xarxa neuronal sencera per protegir-se.
: "Quan es detecta un fitxer desconegut, Cloud Query ràpidament (en un parell de segons) comprova el seu codi hash amb la base de dades del núvol i determina si és perillós o no. Aquest servei requereix un mínim de recursos de xarxa per funcionar i, per tant, no redueix el rendiment del dispositiu. L'eficàcia de la protecció contra amenaces es garanteix mitjançant l'ús d'una base de dades al núvol actualitzada constantment que conté dades sobre milers de milions d'amenaces. Cloud Query també accelera la intel·ligència de les capacitats de detecció d'amenaces emergents de Zyxel Security Cloud, millorant la protecció contra programari maliciós de cada tallafoc ATP".
Taula 1. Característiques tècniques de la línia ZyWALL ATP.
Notes:
(1) El rendiment real depèn molt de les condicions de la xarxa i de les aplicacions actives.
(2) El rendiment màxim es basa en RFC 2544 (paquets UDP de 1,518 bytes).
(3) El rendiment de VPN mesurat es basa en RFC 2544 (paquets UDP de 1,424 bytes).
(4) Les mètriques de rendiment AV i IDP utilitzen la prova de rendiment HTTP estàndard del sector (paquets HTTP de 1,460 bytes). Les proves es van realitzar en mode multifils.
(5) Quan es va mesurar el nombre màxim de sessions possible, s'han utilitzat eines estàndard de la indústria: eina de prova IXIA IxLoad.
(6) Els resultats de les proves de velocitat WAN d'1 Gbps es van realitzar en condicions reals i poden variar lleugerament segons la qualitat de l'enllaç.
(7): un cop caduqui el Gold Pack, només s'admetran 2 AP.
(8): podeu habilitar o ampliar la funcionalitat comprant llicències addicionals per als serveis de Zyxel.
Preste atenció al conjunt de serveis VPN compatibles. Gairebé tot el necessari per a la comunicació amb la seu o l'oficina a casa ja està "en una ampolla", de manera que podem recomanar aquest dispositiu amb seguretat tant com a node de comunicació final per a una sucursal com per donar suport al treball remot dels empleats.
Solucions per a petites oficines
Les petites oficines es poden dividir en dos grups: empreses independents i sucursals de grans empreses.
Les independents són empreses acabades de néixer i les que estan destinades a romandre petites. Per exemple, oficines de disseny, estudis d'arquitectura, oficines editorials de petits mitjans, etc. Aquestes unitats de negoci sovint utilitzen serveis al núvol, almenys per compartir correu i fitxers.
Sucursals d'organitzacions més grans: el més important per a ells és tenir una connexió estable amb l'oficina central. Tota la resta és al "Centre".
Sovint, aquests "nadons" necessiten una interfície senzilla per al control. Sovint, un administrador de xarxa de la seu central no té l'oportunitat d'anar ràpidament a terres llunyanes per resoldre un problema en una nova sucursal. Les petites empreses locals no tenen aquesta oportunitat en absolut. Hem de recórrer als serveis d'una “vinguda
administrador." Per a aquests casos, cal controlar segons el principi "com més simple, més fiable".
Per a oficines petites, té sentit utilitzar els models ZyWALL ATP100 i ZyWALL ATP200.
Passarel·la de xarxa va aparèixer fa relativament poc, però ja ha entrat .
La principal diferència amb el seu germà gran () - que està dissenyat per a una càrrega més petita i no té suports per a un bastidor de 19 polzades. Recomanat per a oficines a casa, petites empreses, sucursals, etc.
Figura 1. ZyWALL ATP100.
Característiques del disseny: ATP100 i ATP200 són models sense ventilador. Per què això és bo: en primer lloc, no hi ha soroll i, en segon lloc, no cal canviar el ventilador. En una situació amb un "administrador entrant", aquest és un indicador força important.
Figura 2. ZyWALL ATP200.
El model ATP200 admet dos ports WAN i es pot connectar a dues línies independents, per exemple, de diferents proveïdors.
Com s'ha esmentat anteriorment, per a una petita oficina, el més important després d'un subministrament estable d'electricitat és una connexió estable. Malauradament, els proveïdors locals no sempre poden garantir que no hi haurà accidents. Hem de buscar opcions de còpia de seguretat.
IMPORTANT! A més dels ports WAN dedicats, els models ATP tenen ports USB als quals podeu connectar mòdems USB i utilitzar-los com a WAN. Aquesta funció està disponible per a tots els ATP.
Si el dispositiu té un port SFP, aquest també es pot utilitzar com a WAN. Aquesta funció està disponible per a tots els ATP.
Aquí teniu un truc de la vida de Zyxel.
Mitjanes empreses
Per a les empreses mitjanes, Zyxel té el seu propi maquinari bo:
És una passarel·la de nova generació amb protecció avançada contra amenaces en evolució.
Entre les característiques interessants:
7 ports configurables permeten una configuració flexible, per exemple, 2 ports WAN, 2 DMZ i 3 ports LAN mentre es connecten 3 VLAN separades per a ús intern. També hi ha 1 port SFP.
Figura 3. ZyWALL ATP500.
És possible operar en el mode de clúster d'alta disponibilitat de Device HA Pro des de dos ZyWALL ATP500. Si un no funciona, el segon encara proporcionarà la comunicació.
Utilitzant les funcions de l'ATP500 al màxim, podeu ser flexible,
comunicació altament fiable i segura amb el món exterior o un node separat, per exemple,
seu.
Oficines més grans
Per a ells, es recomana la versió més potent d'aquesta línia: ATP800.
Aquest model té un nombre decent de ports: 12 RJ-45 i 2 SFP, tots es poden configurar en mode WAN, LAN o DNZ, que permet utilitzar diverses WLAN, organitzar diverses DMZ i encara tenir l'oportunitat de connectar-s'hi. una xarxa externa per a una infraestructura interna complexa. Apte per a oficines bastant grans amb una xarxa desenvolupada i alts requisits de seguretat i control d'accés.
Figura 4. ZyWALL ATP800.
També val la pena assenyalar que aquest model es recomana per a la compra amb tendència a "créixer". Si teniu previst fer créixer la vostra empresa, per exemple, desenvolupar una cadena local de botigues, té sentit comprar immediatament un model més potent per no gastar diners dues vegades.
Com podeu veure, fins i tot en les condicions més espartanes és possible proporcionar un bon nivell de protecció, tolerància a errors i flexibilitat en el funcionament.
Suport tècnic, assessorament, debats, notícies, promocions i anuncis - contacta amb nosaltres a Telegram!
links útils
Font: www.habr.com