Mnoho organizací využívá cloudové služby nebo do nich přesouvá zařízení
Datové centrum. Co má smysl nechat v serverovně a jak v takové situaci nejlépe zorganizovat ochranu perimetru kancelářské sítě?
Kdysi bylo všechno na serveru
Na počátku vývoje Runetu řešila většina firem otázku IT infrastruktury podle přibližně stejného schématu: vyčlenila místnost, kde instalovala klimatizaci a kde se soustředila téměř všechna síťová a serverová zařízení.
Správce systému nastavil jeden nebo více serverů na FreeBSD, Linux nebo OpenSolaris atd. A pak na tomto „hostiteli“ spustil potřebné služby: od webového serveru, firemní pošty až po službu hostování souborů.
Když společnost roste a vyvíjí se, nevyhnutelně čelí situaci, kdy serverovna již nesplňuje požadavky. Pokud máte peníze, můžete si vybudovat vlastní datové centrum. Může být výhodnější pronajmout si stojany z komerčních datových center. Kvalitní napájecí zdroj na bázi DRUPS, průmyslového klimatizačního systému, plný personál vysoce specializovaných specialistů - tyto věci jsou v případě kancelářské serverovny stěží dostupné.
Po velkém byznysu dochází v hlavách managementu středních a malých firem postupně k přechodu od psychologie „všechno, co mám, nosím s sebou“ a „můj domov je moje pevnost“ k „dám to někomu jinému a ne trpět."
Pro malé podniky se takovou „outsourcovanou“ možností stali poskytovatelé cloudu. Jestliže dříve bylo pro firmu o 40 lidech mít vlastní poštovní server samozřejmost, dnes si služba od stejného Googlu získává na svou stranu všechny, kteří si dříve neuměli představit práci bez vlastního Sendmailu nebo Postfixu.
Virtuální systémy poskytly velkou pomoc při takovém „přemístění“. Pokud bylo před jejich objevením nutné převézt celý fyzický server, případně vše nakonfigurovat na nový hardware, nyní stačí přenést obraz virtuálního stroje.
Co zůstane v té malé místnosti s klimatizací?
V první řadě se jedná o síťové vybavení. Jak aktivní, tak pasivní. Často pod hlasitým názvem „server“ rozumí křížové propojení se zbytky síťového zařízení. A pro takové případy není vyžadována speciální místnost s výkonným klimatizačním systémem, napájením a tak dále.
Druhou skupinou zařízení, které je stále obtížné odstranit ze serverovny, jsou brány
bezpečnostní.
Ale co jsou tyto brány? Jak již bylo zmíněno výše, pokud měl v nedávné minulosti správce systému k dispozici jeden nebo několik serverů, na kterých mohl nasadit, co si jeho srdce přálo, nyní takový luxus nemusí existovat.
Ale potřeba chránit se před vnějšími hrozbami nezmizela. Všechny služby a potřebné vybavení můžete samozřejmě zcela přenést do datového centra a provoz z takové brány směrovat do křížového propojení kanceláře přes zabezpečený kanál, například přes VPN.
Toto schéma vypadá na první pohled atraktivně, nebýt zvýšené zátěže stávajících kanálů. Pokud nechcete platit za tlustší kanál, není to přesně to, co potřebujete.
Další možností je pořízení specializovaného zařízení na ochranu provozu, jehož architektura se vzhledem k úzkému zaměření obejde bez výkonných energeticky náročných a teplo generujících komponentů.
Není potřeba zoologická zahrada
Při absenci klasické serverovny je mnohem lepší pořídit několik služeb „v jednom boxu“ najednou, než vytvářet „zoo“ v malé místnosti nebo dokonce v malé překřížené skříni. Řešení by zároveň mělo být levné, osvědčené a mít normální podporu v ruštině.
Poznámka. Nyní mluvíme o velmi malých, středních a větších kancelářích. Zatím neuvažujeme o velkých společnostech, které si staví svá vlastní datová centra – v jednom článku „je nemožné uchopit tu nezměrnost“.
A pro každý případ má Zyxel již řešení v rámci stejné produktové řady. Zkrátka nebudete potřebovat „zoo“.
Bezpečnostní brány ZyWALL ATP
Již dříve jsme hovořili o principech fungování takových zařízení pomocí příkladu Jejich hlavní funkcí je kombinace firewallu s bezpečnostní službou Zyxel Cloud. Díky tomuto rozdělení odpovědností řeší ZyWALL ATP poměrně širokou škálu problémů s ochranou perimetru bez nutnosti dalších hardwarových zdrojů.
Seznam ochranných funkcí je poměrně bohatý (viz Tabulka 1), včetně analytických nástrojů SecuReporter a Sandboxing – „sandbox“ pro předběžnou analýzu staženého obsahu.
Ještě jednou je třeba zdůraznit, že v tomto případě pouze převádíme služby z místní kanceláře do cloudu. Zyxel Cloud dělá vše ostatní za nás v anonymním režimu. Kromě pohodlí tento přístup poskytuje účinnou ochranu proti hrozbám zero-day prostřednictvím strojového učení a výměny informací mezi bránami ATP po celém světě. Pro ochranu byla vybudována celá neuronová síť.
: „Když je detekován neznámý soubor, Cloud Query rychle (během několika sekund) zkontroluje svůj hash kód proti cloudové databázi a určí, zda je nebezpečný nebo ne. Tato služba vyžaduje ke svému provozu minimum síťových prostředků, a proto nesnižuje výkon zařízení. Účinnost ochrany před hrozbami je zajištěna využitím neustále aktualizované cloudové databáze obsahující data o miliardách hrozeb. Cloud Query také urychluje inteligenci nově vznikajících schopností detekce hrozeb Zyxel Security Cloud a zlepšuje ochranu před malwarem u každého firewallu ATP."
Tabulka 1. Technické charakteristiky řady ZyWALL ATP.
Poznámky:
(1) Skutečný výkon velmi závisí na podmínkách sítě a aktivních aplikacích.
(2) Maximální propustnost je založena na RFC 2544 (1,518bajtové UDP pakety).
(3) Naměřená propustnost VPN je založena na RFC 2544 (1,424 XNUMXbajtové UDP pakety).
(4) Metriky propustnosti AV a IDP používají test výkonnosti protokolu HTTP (1,460 XNUMX bajtů HTTP pakety). Testování probíhalo ve vícevláknovém režimu.
(5) Při měření maximálního možného počtu relací byly použity standardní nástroje – testovací nástroj IXIA IxLoad.
(6) Výsledky testu rychlosti 1Gb/s WAN byly provedeny v reálných podmínkách a mohou se mírně lišit v závislosti na kvalitě připojení.
(7): Po vypršení platnosti zlatého balíčku budou podporovány pouze 2 přístupové body.
(8): Funkci můžete aktivovat nebo rozšířit zakoupením dalších licencí pro služby Zyxel.
Věnujte pozornost podporované sadě služeb VPN. Téměř vše potřebné pro komunikaci s centrálou či home office je již „v jedné lahvi“, takže toto zařízení můžeme s klidem doporučit jak jako konečný komunikační uzel pro pobočku, tak pro podporu práce zaměstnanců na dálku.
Řešení pro malé kanceláře
Malé kanceláře lze rozdělit do dvou skupin: samostatné podniky a pobočky velkých společností.
Nezávislé jsou nově vzniklé podniky a podniky, které jsou předurčeny zůstat malými. Například designové kanceláře, architektonická studia, redakce malých médií a tak dále. Takové obchodní jednotky často využívají cloudové služby, alespoň sdílení pošty a souborů.
Pobočky větších organizací – jde jim především o stabilní spojení s centrálou. Vše ostatní je v „Centru“.
Často taková „miminka“ potřebují jednoduché rozhraní pro ovládání. Správce sítě z centrály často nemá možnost rychle uhánět do vzdálených zemí řešit problém v nové pobočce. Místní malé firmy tuto možnost vůbec nemají. Musíme se uchýlit ke službám „příchodu
admin." Pro takové případy je nutné řídit podle zásady „čím jednodušší, tím spolehlivější“.
Pro malé kanceláře má smysl používat modely ZyWALL ATP100 a ZyWALL ATP200.
Síťová brána se objevil relativně nedávno, ale již vstoupil .
Hlavní rozdíl od jeho staršího bratra () - že je určen pro menší zátěž a nemá úchyty pro 19palcový rack. Doporučeno pro domácí kanceláře, malé firmy, pobočky a tak dále.
Obrázek 1. ZyWALL ATP100.
Designové prvky: ATP100 a ATP200 jsou modely bez ventilátoru. Proč je to dobré: za prvé není hluk a za druhé není potřeba měnit ventilátor. V situaci s „příchozím administrátorem“ je to poměrně důležitý ukazatel.
Obrázek 2. ZyWALL ATP200.
Model ATP200 podporuje dva porty WAN a lze se připojit ke dvěma nezávislým linkám, například od různých poskytovatelů.
Jak již bylo zmíněno výše, pro malou kancelář je po stabilní dodávce elektřiny nejdůležitější stabilní připojení. Bohužel místní poskytovatelé nemohou vždy zaručit, že nedojde k žádné nehodě. Musíme hledat možnosti zálohování.
POZOR! Kromě vyhrazených portů WAN mají modely ATP porty USB, ke kterým můžete připojit modemy USB a používat je jako WAN. Tato funkce je dostupná všem ATP.
Pokud má zařízení port SFP, lze jej použít také jako WAN. Tato funkce je dostupná pro všechny ATP.
Zde je life hack od Zyxelu.
Střední společnosti
Pro středně velké společnosti má Zyxel svůj vlastní dobrý hardware –
Jedná se o bránu nové generace s pokročilou ochranou proti vyvíjejícím se hrozbám.
Mezi zajímavé funkce:
7 konfigurovatelných portů umožňuje flexibilní konfiguraci, například 2 WAN, 2 DMZ a 3 LAN porty při připojení 3 samostatných VLAN pro interní použití. K dispozici je také 1 SFP port.
Obrázek 3. ZyWALL ATP500.
Je možné pracovat v režimu clusteru s vysokou dostupností zařízení HA Pro ze dvou ZyWALL ATP500. Pokud je jeden nefunkční, druhý bude stále zajišťovat komunikaci.
Plným využitím funkcí ATP500 můžete získat flexibilní,
vysoce spolehlivá a bezpečná komunikace s vnějším světem nebo samostatným uzlem, např.
hlavní sídlo.
Větší kanceláře
Pro ně je doporučena nejvýkonnější verze této řady - ATP800.
Tento model má slušný počet portů: 12 RJ-45 a 2 SFP, všechny lze konfigurovat v režimu WAN, LAN nebo DNZ, což vám umožňuje používat několik WLAN, organizovat několik DMZ a stále mít možnost se připojit k externí síť pro komplexní vnitřní infrastrukturu. Vhodné pro poměrně velké kanceláře s rozvinutou sítí a vysokými požadavky na zabezpečení a řízení přístupu.
Obrázek 4. ZyWALL ATP800.
Za zmínku také stojí, že tento model se doporučuje ke koupi s tendencí „růst“. Pokud plánujete růst vaší společnosti, například rozvoj místního řetězce obchodů, pak má smysl okamžitě zakoupit výkonnější model, abyste neutráceli peníze dvakrát.
Jak vidíte, i v těch nejspartanštějších podmínkách je možné zajistit dobrou úroveň ochrany, odolnost proti poruchám a flexibilitu provozu.
Technická podpora, rady, diskuze, novinky, akce a oznámení - kontaktujte nás na telegramu!
Užitečné odkazy
Zdroj: www.habr.com