Mange organisationer bruger cloud-tjenester eller flytter udstyr til
Datacenter. Hvad giver mening at forlade i serverrummet, og hvad er den bedste måde at organisere beskyttelsen af kontornetværkets omkreds i en sådan situation?
Engang var alt på serveren
I begyndelsen af udviklingen af Runet løste de fleste virksomheder problemet med it-infrastruktur efter nogenlunde samme skema: de tildelte et rum, hvor de installerede aircondition, og hvor næsten alt netværks- og serverudstyr var koncentreret.
Systemadministratoren satte en eller flere servere op på FreeBSD, Linux eller OpenSolaris osv. Og så på denne "vært" lancerede han de nødvendige tjenester: fra en webserver, firmamail, op til en filhostingtjeneste.
Når en virksomhed vokser og udvikler sig, står den uundgåeligt i en situation, hvor serverrummet ikke længere lever op til kravene. Hvis du har penge, kan du bygge dit eget datacenter. Det kan være mere rentabelt at leje stativer fra kommercielle datacentre. Højkvalitets strømforsyning baseret på DRUPS, et industrielt klimaanlæg, en fuld stab af højt specialiserede specialister - disse ting er næppe tilgængelige i tilfælde af et kontorserverrum.
Efter big business er der i hovedet på ledelsen af mellemstore og små virksomheder gradvist en overgang fra psykologien om "Jeg bærer alt, hvad jeg har med mig" og "mit hjem er min fæstning" til "giv det til en anden og ikke lide."
For små virksomheder er cloud-udbydere blevet sådan en "outsourcet" mulighed. Hvis det tidligere for en virksomhed på 40 personer var en selvfølge at have sin egen mailserver, så vinder tjenesten fra samme Google i dag over på sin side alle dem, der tidligere ikke kunne forestille sig at arbejde uden deres egen Sendmail eller Postfix.
Virtuelle systemer ydede stor hjælp til sådan en "flytning". Hvis det før deres udseende var nødvendigt at transportere hele den fysiske server eller konfigurere alt på ny hardware, er det nu nok at overføre billedet af den virtuelle maskine.
Hvad bliver der tilbage i det lille værelse med aircondition?
Først og fremmest er dette netværksudstyr. Både aktive og passive. Ofte forstår de bag det højlydte navn "server" en krydsforbindelse med resterne af netværksudstyr. Og for sådanne tilfælde er et særligt rum med et kraftigt klimaanlæg, strømforsyning og så videre ikke påkrævet.
Den anden gruppe af udstyr, der stadig er svær at fjerne fra serverrummet, er gateways
sikkerhed.
Men hvad er disse gateways? Som nævnt ovenfor, hvis systemadministratoren i den seneste tid havde en eller flere servere til sin rådighed, hvor han kunne installere, hvad hans hjerte ønskede, eksisterer en sådan luksus måske ikke.
Men behovet for at beskytte mod eksterne trusler er ikke forsvundet. Du kan naturligvis overføre alle tjenester og nødvendigt udstyr helt til datacentret og drive trafik fra sådan en gateway til kontorets krydsforbindelse via en sikker kanal, for eksempel via VPN.
Denne ordning ser attraktiv ud ved første øjekast, hvis ikke for den øgede belastning på eksisterende kanaler. Hvis du ikke vil betale for en tykkere kanal, er det ikke lige det, du har brug for.
En anden mulighed er at købe en specialiseret enhed til trafikbeskyttelse, hvis arkitektur på grund af dets snævre fokus giver dig mulighed for at undvære kraftige energikrævende og varmegenererende komponenter.
Intet behov for en zoologisk have
I mangel af et klassisk serverrum er det meget bedre at få flere tjenester "i én boks" på én gang end at skabe en "zoo" i et lille rum eller endda i et lille cross-over kabinet. Samtidig skal løsningen være billig, gennemprøvet og have normal support på russisk.
Bemærk. Vi taler nu om meget små, mellemstore og større kontorer. Vi overvejer endnu ikke store virksomheder, der bygger deres egne datacentre - i en artikel "er det umuligt at forstå omfanget."
Og for hvert tilfælde har Zyxel allerede en løsning inden for samme produktlinje. Kort sagt, du behøver ikke en "zoo".
ZyWALL ATP Security Gateways
Vi har tidligere talt om principperne for drift af sådanne enheder ved hjælp af eksemplet Deres hovedfunktion er kombinationen af en firewall med Zyxel Cloud-sikkerhedstjenesten. Takket være denne fordeling af ansvar løser ZyWALL ATP en temmelig bred vifte af perimeterbeskyttelsesproblemer uden at kræve yderligere hardwareressourcer.
Listen over beskyttelsesfunktioner er ret rig (se tabel 1), inklusive SecuReporter-analyseværktøjer og Sandboxing - en "sandbox" til foreløbig analyse af downloadet indhold.
Det er værd at understrege endnu en gang, at vi i dette tilfælde blot overfører tjenester fra det lokale kontor til skyen. Zyxel Cloud gør alt andet for os i anonym tilstand. Ud over bekvemmelighed giver denne tilgang effektiv beskyttelse mod nul-dagstrusler gennem maskinlæring og informationsudveksling mellem ATP-gateways rundt om i verden. Et helt neuralt netværk er blevet bygget til beskyttelse.
: "Når en ukendt fil er opdaget, tjekker Cloud Query hurtigt (inden for et par sekunder) sin hash-kode mod skydatabasen og afgør, om den er farlig eller ej. Denne tjeneste kræver et minimum af netværksressourcer for at fungere og reducerer derfor ikke enhedens ydeevne. Effektiviteten af trusselsbeskyttelse sikres ved brug af en konstant opdateret clouddatabase, der indeholder data om milliarder af trusler. Cloud Query accelererer også intelligensen af Zyxel Security Clouds nye trusselsdetektionsfunktioner, hvilket forbedrer malwarebeskyttelsen af enhver ATP-firewall."
Tabel 1. Tekniske karakteristika for ZyWALL ATP-linjen.
Bemærkninger:
(1) Den faktiske ydeevne er meget afhængig af netværksforhold og aktive applikationer.
(2) Maksimal gennemløb er baseret på RFC 2544 (1,518-byte UDP-pakker).
(3) Målt VPN-gennemløb er baseret på RFC 2544 (1,424-byte UDP-pakker).
(4) AV- og IDP-gennemstrømningsmålinger bruger industristandarden HTTP-ydelsestest (1,460-byte HTTP-pakker). Testning blev udført i multi-threaded mode.
(5) Ved måling af det maksimalt mulige antal sessioner blev der brugt industristandardværktøjer - IXIA IxLoad testværktøj.
(6) 1 Gbps WAN-hastighedstestresultater blev udført under virkelige forhold og kan variere lidt afhængigt af linkkvaliteten.
(7): Efter at Gold Pack udløber, vil kun 2 AP'er blive understøttet.
(8): Du kan aktivere eller udvide funktionaliteten ved at købe yderligere licenser til Zyxel-tjenester.
Vær opmærksom på det understøttede sæt af VPN-tjenester. Næsten alt, hvad der er nødvendigt for kommunikation med hovedkvarteret eller hjemmekontoret, er allerede "i én flaske", så vi kan trygt anbefale denne enhed både som en endelig kommunikationsknude for en filial og for at understøtte medarbejdernes fjernarbejde.
Løsninger til mindre kontorer
Små kontorer kan opdeles i to grupper: uafhængige virksomheder og filialer af store virksomheder.
Uafhængige er nyfødte virksomheder og dem, der er bestemt til at forblive små. For eksempel designbureauer, arkitektstudier, redaktioner for små medier og så videre. Sådanne forretningsenheder bruger ofte cloud-tjenester, i det mindste mail og fildeling.
Filialer af større organisationer - det vigtigste for dem er at have en stabil forbindelse med hovedkontoret. Alt andet er i "Centeret".
Ofte har sådanne "babyer" brug for en enkel grænseflade til kontrol. En netværksadministrator fra hovedkvarteret har ofte ikke mulighed for hurtigt at skynde sig til fjerne lande for at løse et problem i en ny filial. Lokale små virksomheder har slet ikke denne mulighed. Vi er nødt til at ty til tjenesterne fra et "kommet".
admin." I sådanne tilfælde er det nødvendigt at kontrollere efter princippet "jo enklere, jo mere pålideligt."
Til små kontorer giver det mening at bruge modellerne ZyWALL ATP100 og ZyWALL ATP200.
Netværks gateway dukket op for relativt nylig, men er allerede kommet ind .
Den største forskel fra sin ældre bror () - at den er designet til en mindre belastning, og ikke har beslag til et 19-tommers rack. Anbefales til hjemmekontorer, små virksomheder, filialer og så videre.
Figur 1. ZyWALL ATP100.
Designfunktioner: ATP100 og ATP200 er blæserløse modeller. Hvorfor det er godt: For det første er der ingen støj, og for det andet er der ingen grund til at skifte blæseren. I en situation med en "indkommende administrator", er dette en ret vigtig indikator.
Figur 2. ZyWALL ATP200.
ATP200-modellen understøtter to WAN-porte og kan forbindes til to uafhængige linjer, for eksempel fra forskellige udbydere.
Som nævnt ovenfor, for et lille kontor, er det vigtigste efter en stabil strømforsyning en stabil forbindelse. Desværre kan lokale udbydere ikke altid garantere, at der ikke vil ske uheld. Vi er nødt til at lede efter backup muligheder.
VIGTIGT! Ud over dedikerede WAN-porte har ATP-modeller USB-porte, som du kan tilslutte USB-modemmer til og bruge dem som et WAN. Denne funktion er tilgængelig for alle ATP'er.
Hvis enheden har en SFP-port, kan denne også bruges som WAN. Denne funktion er tilgængelig for alle ATP'er.
Her er et life hack fra Zyxel.
Mellemstore virksomheder
For mellemstore virksomheder har Zyxel sin egen gode hardware -
Det er en næste generations gateway med avanceret beskyttelse mod nye trusler.
Blandt de interessante funktioner:
7 konfigurerbare porte tillader fleksibel konfiguration, for eksempel 2 WAN, 2 DMZ og 3 LAN-porte, mens 3 separate VLAN'er forbindes til internt brug. Der er også 1 SFP-port.
Figur 3. ZyWALL ATP500.
Det er muligt at operere i Device HA Pro høj tilgængelighed klyngetilstand fra to ZyWALL ATP500. Hvis den ene er ude af drift, vil den anden stadig sørge for kommunikation.
Ved at bruge ATP500-funktionerne fuldt ud, kan du blive fleksibel,
yderst pålidelig, sikker kommunikation med omverdenen eller en separat node, f.eks.
hovedkvarter.
Større kontorer
For dem anbefales den mest kraftfulde version af denne linje - ATP800.
Denne model har et anstændigt antal porte: 12 RJ-45 og 2 SFP, alle kan konfigureres i WAN-, LAN- eller DNZ-tilstand, hvilket giver dig mulighed for at bruge flere WLAN'er, organisere flere DMZ'er og stadig have mulighed for at oprette forbindelse til et eksternt netværk til kompleks intern infrastruktur. Velegnet til ret store kontorer med et udviklet netværk og høje krav til sikkerhed og adgangskontrol.
Figur 4. ZyWALL ATP800.
Det er også værd at bemærke, at denne model anbefales til køb med en tendens til at "vokse". Hvis du planlægger at vokse din virksomhed, for eksempel udvikle en lokal kæde af butikker, så giver det mening straks at købe en mere kraftfuld model for ikke at bruge penge to gange.
Som du kan se, er det selv under de mest spartanske forhold muligt at give et godt niveau af beskyttelse, fejltolerance og fleksibilitet i driften.
Teknisk support, rådgivning, diskussioner, nyheder, kampagner og meddelelser - kontakt os på Telegram!
Nyttige links
Kilde: www.habr.com