Viele Organisationen nutzen Cloud-Dienste oder verlagern Geräte dorthin
Rechenzentrum. Was ist sinnvoll, im Serverraum zu belassen und wie lässt sich in einer solchen Situation der Schutz des Büronetzwerkperimeters am besten organisieren?
Es war einmal, dass alles auf dem Server lag
Zu Beginn der Entwicklung des Runet lösten die meisten Unternehmen das Problem der IT-Infrastruktur nach ungefähr dem gleichen Schema: Sie stellten einen Raum zur Verfügung, in dem sie eine Klimaanlage installierten und in dem fast die gesamte Netzwerk- und Serverausrüstung konzentriert war.
Der Systemadministrator richtete einen oder mehrere Server unter FreeBSD, Linux oder OpenSolaris usw. ein. Und dann startete er auf diesem „Host“ die notwendigen Dienste: von einem Webserver über Firmenmail bis hin zu einem Datei-Hosting-Dienst.
Wenn ein Unternehmen wächst und sich weiterentwickelt, steht es zwangsläufig vor der Situation, dass der Serverraum nicht mehr den Anforderungen entspricht. Wenn Sie Geld haben, können Sie Ihr eigenes Rechenzentrum bauen. Es kann rentabler sein, Racks von kommerziellen Rechenzentren zu mieten. Eine hochwertige Stromversorgung auf Basis von DRUPS, eine Industrieklimaanlage, ein kompletter Stab an hochspezialisierten Spezialisten – diese Dinge sind bei einem Büroserverraum kaum vorhanden.
In Anlehnung an die großen Unternehmen vollzieht sich in den Köpfen der Führungskräfte mittlerer und kleiner Unternehmen allmählich ein Übergang von der Psychologie „Ich trage alles, was ich habe“ und „Mein Zuhause ist meine Festung“ zu „Gib es jemand anderem und nicht“. leiden."
Für kleine Unternehmen sind Cloud-Anbieter zu einer solchen „outgesourcten“ Option geworden. War früher ein eigener Mailserver für ein 40-köpfiges Unternehmen eine Selbstverständlichkeit, so gewinnt der Dienst des gleichnamigen Unternehmens heute all jene auf seine Seite, die sich ein Arbeiten ohne eigenes Sendmail oder Postfix bisher nicht vorstellen konnten.
Virtuelle Systeme leisteten bei einem solchen „Umzug“ große Hilfe. War es vor ihrem Erscheinen notwendig, den gesamten physischen Server zu transportieren oder alles auf neuer Hardware zu konfigurieren, reicht es jetzt aus, das Image der virtuellen Maschine zu übertragen.
Was bleibt in dem kleinen Raum mit Klimaanlage?
In erster Linie handelt es sich dabei um Netzwerkgeräte. Sowohl aktiv als auch passiv. Hinter dem lauten Namen „Server“ versteht man oft eine Querverbindung mit Resten von Netzwerkgeräten. Und für solche Fälle ist kein spezieller Raum mit leistungsstarker Klimaanlage, Stromversorgung usw. erforderlich.
Die zweite Gerätegruppe, die immer noch schwer aus dem Serverraum entfernt werden kann, sind Gateways
Sicherheit.
Aber was sind diese Tore? Wie oben erwähnt: Wenn dem Systemadministrator in der jüngeren Vergangenheit ein oder mehrere Server zur Verfügung standen, auf denen er alles einsetzen konnte, was sein Herz begehrte, gibt es diesen Luxus heute möglicherweise nicht mehr.
Doch die Notwendigkeit, sich vor externen Bedrohungen zu schützen, ist nicht verschwunden. Natürlich können Sie alle Dienste und notwendigen Geräte vollständig in das Rechenzentrum verlagern und den Verkehr von einem solchen Gateway über einen sicheren Kanal, beispielsweise per VPN, zur Büroquerverbindung leiten.
Dieses Schema sieht auf den ersten Blick attraktiv aus, wäre da nicht die erhöhte Belastung bestehender Kanäle. Wenn Sie nicht für einen dickeren Kanal bezahlen möchten, ist dies nicht genau das, was Sie brauchen.
Eine weitere Möglichkeit besteht darin, ein spezielles Gerät für den Verkehrsschutz zu erwerben, dessen Architektur aufgrund seiner engen Ausrichtung den Verzicht auf leistungsstarke, energieintensive und wärmeerzeugende Komponenten ermöglicht.
Kein Bedarf für einen Zoo
Wenn kein klassischer Serverraum vorhanden ist, ist es viel besser, mehrere Dienste „in einer Box“ auf einmal zu bekommen, als einen „Zoo“ in einem kleinen Raum oder sogar in einem kleinen Crossover-Schrank zu schaffen. Gleichzeitig sollte die Lösung kostengünstig und bewährt sein und über eine normale Unterstützung auf Russisch verfügen.
Notiz. Wir sprechen jetzt von sehr kleinen, mittleren und größeren Büros. Wir denken noch nicht darüber nach, dass große Unternehmen ihre eigenen Rechenzentren bauen – in einem Artikel heißt es: „Es ist unmöglich, die Unermesslichkeit zu begreifen.“
Und für jeden Fall hat Zyxel innerhalb derselben Produktlinie bereits eine Lösung. Kurz gesagt, Sie brauchen keinen „Zoo“.
ZyWALL ATP-Sicherheitsgateways
Wir haben zuvor anhand des Beispiels über die Funktionsprinzipien solcher Geräte gesprochen Ihr Hauptmerkmal ist die Kombination einer Firewall mit dem Zyxel Cloud-Sicherheitsdienst. Dank dieser Aufgabenverteilung löst ZyWALL ATP ein ziemlich breites Spektrum an Perimeterschutzproblemen, ohne dass zusätzliche Hardwareressourcen erforderlich sind.
Die Liste der Schutzfunktionen ist recht umfangreich (siehe Tabelle 1), darunter SecuReporter-Analysetools und Sandboxing – eine „Sandbox“ zur vorläufigen Analyse heruntergeladener Inhalte.
Es lohnt sich noch einmal zu betonen, dass es sich in diesem Fall lediglich um eine Verlagerung der Dienste vom lokalen Büro in die Cloud handelt. Zyxel Cloud erledigt alles andere für uns im anonymen Modus. Neben der Bequemlichkeit bietet dieser Ansatz durch maschinelles Lernen und Informationsaustausch zwischen ATP-Gateways auf der ganzen Welt einen wirksamen Schutz vor Zero-Day-Bedrohungen. Zum Schutz wurde ein ganzes neuronales Netzwerk aufgebaut.
: „Wenn eine unbekannte Datei erkannt wird, vergleicht Cloud Query schnell (innerhalb weniger Sekunden) ihren Hash-Code mit der Cloud-Datenbank und stellt fest, ob sie gefährlich ist oder nicht.“ Dieser Dienst erfordert zum Betrieb ein Minimum an Netzwerkressourcen und beeinträchtigt daher nicht die Leistung des Geräts. Die Wirksamkeit des Bedrohungsschutzes wird durch den Einsatz einer ständig aktualisierten Cloud-Datenbank mit Daten zu Milliarden von Bedrohungen gewährleistet. Cloud Query beschleunigt außerdem die Intelligenz der neuen Bedrohungserkennungsfunktionen der Zyxel Security Cloud und verbessert so den Malware-Schutz jeder ATP-Firewall.“
Tabelle 1. Technische Eigenschaften der ZyWALL ATP-Reihe.
Notes:
(1) Die tatsächliche Leistung hängt stark von den Netzwerkbedingungen und aktiven Anwendungen ab.
(2) Der maximale Durchsatz basiert auf RFC 2544 (1,518 Byte UDP-Pakete).
(3) Der gemessene VPN-Durchsatz basiert auf RFC 2544 (1,424 Byte UDP-Pakete).
(4) AV- und IDP-Durchsatzmetriken verwenden den branchenüblichen HTTP-Leistungstest (1,460-Byte-HTTP-Pakete). Der Test wurde im Multithread-Modus durchgeführt.
(5) Bei der Messung der maximal möglichen Anzahl von Sitzungen wurden branchenübliche Tools verwendet – das Testtool IXIA IxLoad.
(6) Die Ergebnisse des 1-Gbit/s-WAN-Geschwindigkeitstests wurden unter realen Bedingungen durchgeführt und können je nach Verbindungsqualität leicht variieren.
(7): Nach Ablauf des Gold Packs werden nur noch 2 APs unterstützt.
(8): Sie können die Funktionalität aktivieren oder erweitern, indem Sie zusätzliche Lizenzen für Zyxel-Dienste erwerben.
Achten Sie auf die unterstützten VPN-Dienste. Fast alles, was für die Kommunikation mit der Zentrale oder dem Homeoffice notwendig ist, ist bereits „in einer Flasche“, sodass wir dieses Gerät sowohl als letzten Kommunikationsknoten für eine Filiale als auch zur Unterstützung der Remote-Arbeit von Mitarbeitern bedenkenlos empfehlen können.
Lösungen für kleine Büros
Kleine Büros lassen sich in zwei Gruppen einteilen: unabhängige Unternehmen und Zweigstellen großer Unternehmen.
Unabhängige Unternehmen sind neu gegründete Unternehmen und solche, die dazu bestimmt sind, klein zu bleiben. Zum Beispiel Designbüros, Architekturstudios, Redaktionen kleiner Medien usw. Solche Geschäftseinheiten nutzen häufig Cloud-Dienste, zumindest Mail- und File-Sharing.
Zweigstellen größerer Organisationen – für sie kommt es vor allem auf eine stabile Verbindung zur Zentrale an. Alles andere liegt im „Center“.
Oftmals benötigen solche „Babys“ eine einfache Schnittstelle zur Steuerung. Ein Netzwerkadministrator aus der Zentrale hat oft nicht die Möglichkeit, schnell in ferne Länder zu eilen, um ein Problem in einer neuen Niederlassung zu lösen. Lokale Kleinunternehmen haben diese Möglichkeit überhaupt nicht. Wir müssen auf die Dienste eines „Kommens“ zurückgreifen
Administrator." In solchen Fällen muss nach dem Prinzip „Je einfacher, desto zuverlässiger“ kontrolliert werden.
Für kleine Büros ist es sinnvoll, die Modelle ZyWALL ATP100 und ZyWALL ATP200 zu verwenden.
Netzwerk-Gateway erschien vor relativ kurzer Zeit, ist aber bereits eingetragen .
Der Hauptunterschied zu seinem älteren Bruder () - dass es für eine geringere Belastung ausgelegt ist und keine Halterungen für ein 19-Zoll-Rack hat. Empfohlen für Heimbüros, kleine Unternehmen, Filialen usw.
Abbildung 1. ZyWALL ATP100.
Konstruktionsmerkmale: ATP100 und ATP200 sind lüfterlose Modelle. Warum das gut ist: Erstens gibt es keine Geräusche und zweitens muss der Lüfter nicht gewechselt werden. In einer Situation mit einem „eingehenden Admin“ ist dies ein ziemlich wichtiger Indikator.
Abbildung 2. ZyWALL ATP200.
Das Modell ATP200 unterstützt zwei WAN-Ports und kann sich mit zwei unabhängigen Leitungen, beispielsweise von unterschiedlichen Anbietern, verbinden.
Wie oben erwähnt, ist für ein kleines Büro nach einer stabilen Stromversorgung eine stabile Verbindung das Wichtigste. Leider können lokale Anbieter nicht immer garantieren, dass es zu keinen Unfällen kommt. Wir müssen nach Backup-Optionen suchen.
WICHTIG! Neben dedizierten WAN-Ports verfügen ATP-Modelle über USB-Ports, an die Sie USB-Modems anschließen und als WAN nutzen können. Diese Funktion steht allen ATPs zur Verfügung.
Verfügt das Gerät über einen SFP-Port, kann dieser auch als WAN genutzt werden. Diese Funktion ist für alle ATPs verfügbar.
Hier ist ein Life-Hack von Zyxel.
Mittelständische Unternehmen
Für mittelständische Unternehmen hat Zyxel eigene gute Hardware –
Es handelt sich um ein Gateway der nächsten Generation mit erweitertem Schutz vor sich entwickelnden Bedrohungen.
Zu den interessanten Funktionen gehören:
7 konfigurierbare Ports ermöglichen eine flexible Konfiguration, zum Beispiel 2 WAN-, 2 DMZ- und 3 LAN-Ports, während gleichzeitig 3 separate VLANs für die interne Verwendung angeschlossen werden. Es gibt auch 1 SFP-Port.
Abbildung 3. ZyWALL ATP500.
Der Betrieb im hochverfügbaren Cluster-Modus Device HA Pro ist mit zwei ZyWALL ATP500 möglich. Wenn einer nicht funktionsfähig ist, sorgt der zweite weiterhin für die Kommunikation.
Durch die vollständige Nutzung der ATP500-Funktionen werden Sie flexibel,
Hochzuverlässige und sichere Kommunikation mit der Außenwelt oder einem separaten Knoten, z. B.
Hauptquartier.
Größere Büros
Für sie wird die leistungsstärkste Version dieser Linie empfohlen – ATP800.
Dieses Modell verfügt über eine ordentliche Anzahl an Ports: 12 RJ-45 und 2 SFP, alle können im WAN-, LAN- oder DNZ-Modus konfiguriert werden, wodurch Sie mehrere WLANs nutzen, mehrere DMZs organisieren und trotzdem die Möglichkeit haben, eine Verbindung herzustellen ein externes Netzwerk für komplexe interne Infrastruktur. Geeignet für größere Büros mit einem ausgebauten Netzwerk und hohen Anforderungen an Sicherheit und Zugangskontrolle.
Abbildung 4. ZyWALL ATP800.
Es ist auch erwähnenswert, dass dieses Modell zum Kauf mit einer Tendenz zum „Wachstum“ empfohlen wird. Wenn Sie planen, Ihr Unternehmen zu vergrößern, beispielsweise eine lokale Filialkette aufzubauen, dann ist es sinnvoll, sofort ein leistungsstärkeres Modell zu kaufen, um nicht doppelt Geld auszugeben.
Sie sehen, selbst unter spartanischsten Bedingungen ist es möglich, ein gutes Maß an Schutz, Fehlertoleranz und Flexibilität im Betrieb zu gewährleisten.
Technischer Support, Ratschläge, Diskussionen, Neuigkeiten, Werbeaktionen und Ankündigungen – Kontaktieren Sie uns per Telegram!
Nützliche Links
Source: habr.com