Multaj organizoj uzas nubservojn aŭ movas ekipaĵon al
Datumcentro. Kio havas sencon lasi en la servila ĉambro kaj kio estas la plej bona maniero organizi la protekton de la oficeja reto perimetro en tia situacio?
Iam ĉio estis sur la servilo
Komence de la disvolviĝo de Runet, la plej multaj kompanioj solvis la problemon de IT-infrastrukturo laŭ proksimume la sama skemo: ili asignis ĉambron, kie ili instalis klimatizilon kaj kie preskaŭ ĉiuj retaj kaj servilaj ekipaĵoj estis koncentritaj.
La sistemadministranto starigis unu aŭ plurajn servilojn sur FreeBSD, Linukso aŭ OpenSolaris, ktp. Kaj tiam sur ĉi tiu "gastiganto" li lanĉis la necesajn servojn: de retservilo, kompania poŝto, ĝis dosiera gastiga servo.
Kiam kompanio kreskas kaj disvolvas, ĝi neeviteble alfrontas situacion, kie la servila ĉambro ne plu plenumas la postulojn. Se vi havas monon, vi povas konstrui vian propran datumcentron. Eble estas pli profite lui rakojn de komercaj datumcentroj. Altkvalita elektroprovizo bazita sur DRUPS, industria klimatizilo, plena stabo de tre specialigitaj specialistoj - ĉi tiuj aferoj estas apenaŭ haveblaj en la kazo de oficeja servilo ĉambro.
Sekvante grandajn komercojn, en la menso de la administrado de mezaj kaj malgrandaj kompanioj estas iom post iom transiro de la psikologio de "Mi portas ĉion, kion mi havas kun mi" kaj "mia hejmo estas mia fortikaĵo" al "doni ĝin al iu alia kaj ne". suferi."
Por malgrandaj entreprenoj, nubaj provizantoj fariĝis tia "subkontraktita" opcio. Se antaŭe por kompanio de 40 personoj havi propran poŝtservilon estis io konsiderata, hodiaŭ la servo de la sama Google gajnas al sia flanko ĉiujn, kiuj antaŭe ne povis imagi labori sen sia propra Sendmail aŭ Postfix.
Virtualaj sistemoj provizis grandan helpon en tia "translokigo". Se antaŭ ilia apero necesis transporti la tutan fizikan servilon, aŭ agordi ĉion sur nova aparataro, nun sufiĉas transdoni la bildon de la virtuala maŝino.
Kio restos en tiu ĉambreto kun klimatizilo?
Antaŭ ĉio, ĉi tio estas reto-ekipaĵo. Kaj aktiva kaj pasiva. Ofte, malantaŭ la laŭta nomo "servilo" ili komprenas kruckonekton kun la restaĵoj de retaj ekipaĵoj. Kaj por tiaj kazoj, speciala ĉambro kun potenca klimatizilo, elektroprovizo kaj tiel plu ne bezonas.
La dua grupo de ekipaĵoj, kiuj ankoraŭ malfacilas forigi el la servila ĉambro, estas enirejoj
sekureco.
Sed kio estas ĉi tiuj enirejoj? Kiel menciite supre, se en la lastatempa pasinteco la sistemadministranto havis unu aŭ plurajn servilojn je sia dispono, kie li povis deploji kion ajn lia koro dezirus, nun tia lukso eble ne ekzistas.
Sed la bezono protekti kontraŭ eksteraj minacoj ne malaperis. Vi povas, kompreneble, transdoni ĉiujn servojn kaj necesajn ekipaĵojn tute al la datumcentro kaj veturi trafikon de tia enirejo al la oficeja kruckonekto per sekura kanalo, ekzemple per VPN.
Ĉi tiu skemo aspektas alloga unuavide, se ne pro la pliigita ŝarĝo sur ekzistantaj kanaloj. Se vi ne volas pagi por pli dika kanalo, ĉi tio ne estas ĝuste tio, kion vi bezonas.
Alia eblo estas aĉeti specialan aparaton por trafika protekto, kies arkitekturo, pro sia mallarĝa fokuso, permesas vin sen potencaj energiintensaj kaj varmegaj komponantoj.
Ne necesas zoo
Manke de klasika servila ĉambro, estas multe pli bone ricevi plurajn servojn "en unu skatolo" samtempe ol krei "zoon" en malgranda ĉambro, aŭ eĉ ene de malgranda transversa kabineto. Samtempe, la solvo devus esti malmultekosta, pruvita kaj havi normalan subtenon en la rusa.
Notu. Ni nun parolas pri tre malgrandaj, mezaj kaj pli grandaj oficejoj. Ni ankoraŭ ne pripensas grandajn kompaniojn, kiuj konstruas siajn proprajn datumcentrojn - en unu artikolo "estas neeble kapti la immensecon."
Kaj por ĉiu kazo, Zyxel jam havas solvon, ene de la sama produkta linio. Resume, vi ne bezonos "zoo".
ZyWALL ATP Sekurecaj Enirejoj
Ni antaŭe parolis pri la principoj de funkciado de tiaj aparatoj uzante la ekzemplon Ilia ĉefa trajto estas la kombinaĵo de fajroŝirmilo kun la sekureca servo Zyxel Cloud. Danke al ĉi tiu distribuo de respondecoj, ZyWALL ATP solvas sufiĉe larĝan gamon de perimetraj protektoproblemoj sen postulado de pliaj aparataj rimedoj.
La listo de protektaj funkcioj estas sufiĉe riĉa (vidu Tabelon 1), inkluzive de analiziloj de SecuReporter kaj Sandboxing - "sandbox" por prepara analizo de elŝutita enhavo.
Indas substreki denove, ke en ĉi tiu kazo ni simple transdonas servojn de la loka oficejo al la nubo. Zyxel Cloud faras ĉion alian por ni en anonima reĝimo. Aldone al oportuno, ĉi tiu aliro disponigas efikan protekton kontraŭ nul-tagaj minacoj per maŝinlernado kaj informinterŝanĝo inter ATP-enirejoj ĉirkaŭ la mondo. Tuta neŭrala reto estis konstruita por protekto.
: "Kiam nekonata dosiero estas detektita, Cloud Query rapide (ene de kelkaj sekundoj) kontrolas ĝian hashkodon kontraŭ la nuba datumbazo kaj determinas ĉu ĝi estas danĝera aŭ ne. Ĉi tiu servo postulas minimumon da retaj rimedoj por funkcii, kaj tial ne reduktas la rendimenton de la aparato. La efikeco de minaca protekto estas certigita per la uzo de konstante ĝisdatigita nuba datumbazo enhavanta datumojn pri miliardoj da minacoj. Cloud Query ankaŭ akcelas la inteligentecon de la emerĝantaj minacaj detektokapabloj de Zyxel Security Cloud, plibonigante la malware-protekton de ĉiu ATP-fajromuro."
Tablo 1. Teknikaj karakterizaĵoj de la linio ZyWALL ATP.
Notoj:
(1) Fakta agado tre dependas de retaj kondiĉoj kaj aktivaj aplikoj.
(2) Maksimuma trairo baziĝas sur RFC 2544 (1,518-bajtaj UDP-pakoj).
(3) Mezurita VPN-trairo baziĝas sur RFC 2544 (1,424-bajtaj UDP-pakoj).
(4) AV kaj IDP-trafluaj metrikoj uzas la industrinorman HTTP-efikecteston (1,460-bajtaj HTTP-pakoj). Testado estis farita en multfadena reĝimo.
(5) Dum mezurado de la maksimuma ebla nombro da sesioj, industriaj normaj iloj estis uzataj - IXIA IxLoad-testilo.
(6) 1Gbps WAN-rapidec-testrezultoj estis faritaj sub realaj kondiĉoj kaj povas varii iomete depende de la kvalito de ligo.
(7): Post kiam la Ora Pako eksvalidiĝos, nur 2 AP-oj estos subtenataj.
(8): Vi povas ebligi aŭ vastigi funkciojn aĉetante pliajn permesilojn por Zyxel-servoj.
Atentu la subtenatan aron de VPN-servoj. Preskaŭ ĉio necesa por komunikado kun la ĉefsidejo aŭ hejma oficejo jam estas "en unu botelo", do ni povas sekure rekomendi ĉi tiun aparaton kaj kiel fina komunika nodo por branĉo kaj por subteni foran laboron de dungitoj.
Solvoj por malgrandaj oficejoj
Malgrandaj oficejoj povas esti dividitaj en du grupojn: sendependaj entreprenoj kaj branĉoj de grandaj kompanioj.
Sendependaj estas novnaskitaj entreprenoj kaj tiuj kiuj estas destinitaj resti malgrandaj. Ekzemple, dezajnaj oficejoj, arkitekturaj studioj, redakcioj de malgrandaj amaskomunikiloj, ktp. Tiaj komercaj unuoj ofte uzas nubajn servojn, almenaŭ poŝtajn kaj dosierojn.
Filioj de pli grandaj organizoj - la ĉefa afero por ili estas havi stabilan ligon kun la centra oficejo. Ĉio alia estas en la "Centro".
Ofte tiaj "beboj" bezonas simplan interfacon por kontrolo. Reta administranto de ĉefsidejo ofte ne havas la ŝancon rapide rapidi al malproksimaj landoj por solvi problemon en nova branĉo. Lokaj malgrandaj kompanioj tute ne havas ĉi tiun ŝancon. Ni devas recurri al la servoj de “veno
administranto." Por tiaj kazoj, estas necese kontroli laŭ la principo "ju pli simpla, des pli fidinda."
Por malgrandaj oficejoj, havas sencon uzi la modelojn ZyWALL ATP100 kaj ZyWALL ATP200.
Reta enirejo aperis relative lastatempe, sed jam eniris .
La ĉefa diferenco de sia pli maljuna frato () - ke ĝi estas dizajnita por pli malgranda ŝarĝo, kaj ne havas montojn por 19-cola rako. Rekomendita por hejmaj oficejoj, malgrandaj kompanioj, filioj ktp.
Figuro 1. ZyWALL ATP100.
Dezajnaj trajtoj: ATP100 kaj ATP200 estas modeloj sen ventumiloj. Kial ĉi tio estas bona: unue, ne estas bruo, kaj due, ne necesas ŝanĝi la ventolilon. En situacio kun "alvenanta administranto", ĉi tio estas sufiĉe grava indikilo.
Figuro 2. ZyWALL ATP200.
La modelo ATP200 subtenas du WAN-havenojn kaj povas konekti al du sendependaj linioj, ekzemple, de malsamaj provizantoj.
Kiel menciite supre, por malgranda oficejo, la plej grava afero post stabila provizo de elektro estas stabila konekto. Bedaŭrinde, lokaj provizantoj ne ĉiam povas garantii, ke ne okazos akcidentoj. Ni devas serĉi rezervan opciojn.
GRAVA! Krom dediĉitaj WAN-havenoj, ATP-modeloj havas USB-havenojn, al kiuj vi povas konekti USB-modemojn kaj uzi ilin kiel WAN. Ĉi tiu funkcio estas disponebla por ĉiuj ATPoj.
Se la aparato havas SFP-havenon, ĉi tio ankaŭ povas esti uzata kiel WAN. Ĉi tiu funkcio estas disponebla por ĉiuj ATPoj.
Jen vivhako de Zyxel.
Mezaj kompanioj
Por mezgrandaj kompanioj, Zyxel havas sian propran bonan aparataron -
Ĝi estas venontgeneracia enirejo kun altnivela protekto kontraŭ evoluantaj minacoj.
Inter la interesaj trajtoj:
7 agordeblaj havenoj permesas flekseblan agordon, ekzemple, 2 WAN, 2 DMZ kaj 3 LAN-havenojn dum ligado de 3 apartaj VLANoj por interna uzo. Estas ankaŭ 1 SFP-haveno.
Figuro 3. ZyWALL ATP500.
Eblas funkcii en Device HA Pro alta havebleca cluster-reĝimo de du ZyWALL ATP500. Se unu estas senfunkcia, la dua ankoraŭ havigos komunikadon.
Uzante la ATP500-funkciojn plene, vi povas fleksiĝi,
tre fidinda, sekura komunikado kun la ekstera mondo aŭ aparta nodo, ekzemple,
sidejo.
Pli grandaj oficejoj
Por ili rekomendas la plej potenca versio de ĉi tiu linio - ATP800.
Ĉi tiu modelo havas decan nombron da havenoj: 12 RJ-45 kaj 2 SFP, ĉiuj ili povas agordi en WAN, LAN aŭ DNZ-reĝimo, kio permesas vin uzi plurajn WLAN-ojn, organizi plurajn DMZ-ojn kaj ankoraŭ havi la ŝancon konekti al. ekstera reto por kompleksa interna infrastrukturo. Taŭga por sufiĉe grandaj oficejoj kun evoluinta reto kaj altaj postuloj por sekureco kaj alirkontrolo.
Figuro 4. ZyWALL ATP800.
Ankaŭ indas rimarki, ke ĉi tiu modelo estas rekomendita por aĉeto kun tendenco "kreski". Se vi planas kreskigi vian kompanion, ekzemple, disvolvi lokan ĉenon de vendejoj, tiam estas senco tuj aĉeti pli potencan modelon por ne elspezi monon dufoje.
Kiel vi povas vidi, eĉ sub la plej spartaj kondiĉoj eblas provizi bonan nivelon de protekto, misfunkciadon kaj flekseblecon en funkciado.
Teknika subteno, konsiloj, diskutoj, novaĵoj, reklamoj kaj anoncoj - kontaktu nin ĉe Telegramo!
utilaj ligoj
fonto: www.habr.com