Muchas organizaciones utilizan servicios en la nube o trasladan equipos a
Centro de datos. ¿Qué tiene sentido dejar en la sala de servidores y cuál es la mejor manera de organizar la protección del perímetro de la red de la oficina en tal situación?
Érase una vez todo estaba en el servidor.
Al comienzo del desarrollo de Runet, la mayoría de las empresas resolvieron el problema de la infraestructura de TI aproximadamente de la misma manera: asignaron una sala donde instalaron aire acondicionado y donde se concentraron casi todos los equipos de red y servidores.
El administrador del sistema configuraba uno o más servidores en FreeBSD, Linux u OpenSolaris, etc. Y luego en este "host" lanzaba los servicios necesarios: desde un servidor web, correo corporativo hasta un servicio de alojamiento de archivos.
Cuando una empresa crece y se desarrolla, inevitablemente se enfrenta a una situación en la que la sala de servidores ya no cumple con los requisitos. Si tienes dinero, puedes construir tu propio centro de datos. Puede resultar más rentable alquilar racks en centros de datos comerciales. Un suministro eléctrico de alta calidad basado en DRUPS, un sistema de aire acondicionado industrial, un equipo completo de especialistas altamente especializados: estas cosas difícilmente están disponibles en el caso de una sala de servidores de oficina.
Después de las grandes empresas, en la mente de los directivos de las medianas y pequeñas empresas se está pasando paulatinamente de la psicología del “llevo todo lo que tengo conmigo” y “mi casa es mi fortaleza” a la de “dárselo a otro y no sufrir."
Para las pequeñas empresas, los proveedores de la nube se han convertido en una opción "subcontratada". Si antes para una empresa de 40 personas tener su propio servidor de correo era algo natural, hoy el servicio del mismo Google está conquistando a todos aquellos que antes no podían imaginarse trabajando sin su propio Sendmail o Postfix.
Los sistemas virtuales brindaron una gran ayuda en tal “reubicación”. Si antes de su aparición era necesario transportar todo el servidor físico, o configurar todo en un nuevo hardware, ahora basta con transferir la imagen de la máquina virtual.
¿Qué quedará en esa pequeña habitación con aire acondicionado?
En primer lugar, se trata de equipos de red. Tanto activa como pasiva. A menudo, detrás del ruidoso nombre de “servidor” se entiende una conexión cruzada con restos de equipos de red. Y para tales casos, no se requiere una habitación especial con un potente sistema de aire acondicionado, suministro de energía, etc.
El segundo grupo de equipos que aún es difícil de eliminar de la sala de servidores son las puertas de enlace.
seguridad
¿Pero cuáles son estas puertas de entrada? Como se mencionó anteriormente, si en el pasado reciente el administrador del sistema tenía uno o varios servidores a su disposición donde podía implementar lo que quisiera, ahora tal lujo puede no existir.
Pero la necesidad de protegerse contra amenazas externas no ha desaparecido. Por supuesto, puede transferir todos los servicios y el equipo necesario por completo al centro de datos y dirigir el tráfico desde dicha puerta de enlace a la conexión cruzada de la oficina a través de un canal seguro, por ejemplo, a través de VPN.
Este esquema parece atractivo a primera vista, si no fuera por el aumento de carga en los canales existentes. Si no quieres pagar por un canal más grueso, esto no es exactamente lo que necesitas.
Otra opción es comprar un dispositivo especializado para la protección del tráfico, cuya arquitectura, debido a su enfoque limitado, le permite prescindir de componentes potentes que generan calor y consumen mucha energía.
No hay necesidad de un zoológico
En ausencia de una sala de servidores clásica, es mucho mejor tener varios servicios "en una sola caja" a la vez que crear un "zoológico" en una habitación pequeña, o incluso dentro de un pequeño gabinete cruzado. Al mismo tiempo, la solución debería ser económica, probada y contar con soporte normal en ruso.
Nota. Hablamos ahora de oficinas muy pequeñas, medianas y grandes. Todavía no estamos considerando las grandes empresas que construyen sus propios centros de datos; en un artículo "es imposible captar la inmensidad".
Y para cada caso, Zyxel ya tiene una solución, dentro de la misma línea de productos. En resumen, no necesitarás un “zoológico”.
Pasarelas de seguridad ZyWALL ATP
Anteriormente hemos hablado sobre los principios de funcionamiento de dichos dispositivos usando el ejemplo. Su característica principal es la combinación de un firewall con el servicio de seguridad Zyxel Cloud. Gracias a esta distribución de responsabilidades, ZyWALL ATP resuelve una gama bastante amplia de problemas de protección perimetral sin requerir recursos de hardware adicionales.
La lista de funciones de protección es bastante rica (consulte la Tabla 1), incluidas las herramientas de análisis de SecuReporter y Sandboxing, un "sandbox" para el análisis preliminar del contenido descargado.
Vale la pena enfatizar una vez más que en este caso simplemente estamos transfiriendo servicios desde la oficina local a la nube. Zyxel Cloud hace todo lo demás por nosotros en modo anónimo. Además de la comodidad, este enfoque proporciona una protección eficaz contra las amenazas de día cero mediante el aprendizaje automático y el intercambio de información entre puertas de enlace ATP de todo el mundo. Se ha construido una red neuronal completa para protección.
: “Cuando se detecta un archivo desconocido, Cloud Query verifica rápidamente (en un par de segundos) su código hash con la base de datos de la nube y determina si es peligroso o no. Este servicio requiere un mínimo de recursos de red para funcionar y, por lo tanto, no reduce el rendimiento del dispositivo. La eficacia de la protección contra amenazas está garantizada mediante el uso de una base de datos en la nube constantemente actualizada que contiene datos sobre miles de millones de amenazas. Cloud Query también acelera la inteligencia de las capacidades emergentes de detección de amenazas de Zyxel Security Cloud, mejorando la protección contra malware de cada firewall ATP".
Tabla 1. Características técnicas de la línea ZyWALL ATP.
Notas:
(1) El rendimiento real depende en gran medida de las condiciones de la red y las aplicaciones activas.
(2) El rendimiento máximo se basa en RFC 2544 (paquetes UDP de 1,518 bytes).
(3) El rendimiento de VPN medido se basa en RFC 2544 (paquetes UDP de 1,424 bytes).
(4) Las métricas de rendimiento de AV e IDP utilizan la prueba de rendimiento HTTP estándar de la industria (paquetes HTTP de 1,460 bytes). Las pruebas se realizaron en modo multiproceso.
(5) Al medir el número máximo posible de sesiones, se utilizaron herramientas estándar de la industria: la herramienta de prueba IXIA IxLoad.
(6) Los resultados de las pruebas de velocidad WAN de 1 Gbps se realizaron en condiciones reales y pueden variar ligeramente según la calidad del enlace.
(7): Una vez que caduque el Gold Pack, solo se admitirán 2 AP.
(8): Puede habilitar o ampliar la funcionalidad comprando licencias adicionales para los servicios de Zyxel.
Preste atención al conjunto de servicios VPN compatibles. Casi todo lo necesario para la comunicación con la sede o la oficina central ya está “en una botella”, por lo que podemos recomendar con seguridad este dispositivo como nodo de comunicación final para una sucursal y para apoyar el trabajo remoto de los empleados.
Soluciones para oficinas pequeñas
Las oficinas pequeñas se pueden dividir en dos grupos: empresas independientes y sucursales de grandes empresas.
Las independientes son empresas recién nacidas y aquellas que están destinadas a seguir siendo pequeñas. Por ejemplo, oficinas de diseño, estudios de arquitectura, redacciones de pequeños medios, etc. Estas unidades de negocio suelen utilizar servicios en la nube, al menos correo y uso compartido de archivos.
Sucursales de organizaciones más grandes: lo principal para ellas es tener una conexión estable con la oficina central. Todo lo demás está en el “Centro”.
A menudo, estos "bebés" necesitan una interfaz sencilla de control. Un administrador de red desde la sede a menudo no tiene la oportunidad de viajar rápidamente a tierras lejanas para resolver un problema en una nueva sucursal. Las pequeñas empresas locales no tienen esta oportunidad en absoluto. Tenemos que recurrir a los servicios de un “próximo
administración." En tales casos, es necesario controlar según el principio "cuanto más sencillo, más fiable".
Para oficinas pequeñas, tiene sentido utilizar los modelos ZyWALL ATP100 y ZyWALL ATP200.
Puerta de enlace de red apareció hace relativamente poco tiempo, pero ya ha entrado .
La principal diferencia con su hermano mayor () - que está diseñado para una carga más pequeña y no tiene soportes para un rack de 19 pulgadas. Recomendado para oficinas en casa, pequeñas empresas, sucursales, etc.
Figura 1. ZyWALL ATP100.
Características de diseño: ATP100 y ATP200 son modelos sin ventilador. Por qué esto es bueno: en primer lugar, no hay ruido y, en segundo lugar, no es necesario cambiar el ventilador. En una situación con un "administrador entrante", este es un indicador bastante importante.
Figura 2. ZyWALL ATP200.
El modelo ATP200 admite dos puertos WAN y puede conectarse a dos líneas independientes, por ejemplo, de diferentes proveedores.
Como se mencionó anteriormente, para una oficina pequeña, lo más importante después de un suministro estable de electricidad es una conexión estable. Desafortunadamente, los proveedores locales no siempre pueden garantizar que no habrá accidentes. Tenemos que buscar opciones de respaldo.
IMPORTANTE! Además de los puertos WAN dedicados, los modelos ATP tienen puertos USB a los que puedes conectar módems USB y utilizarlos como WAN. Esta función está disponible para todos los ATP.
Si el dispositivo tiene un puerto SFP, este también se puede utilizar como WAN. Esta función está disponible para todos los ATP.
Aquí hay un truco de vida de Zyxel.
Empresas medianas
Para las medianas empresas, Zyxel tiene su propio hardware bueno:
Es una puerta de enlace de próxima generación con protección avanzada contra amenazas en evolución.
Entre las características interesantes:
7 puertos configurables permiten una configuración flexible, por ejemplo, 2 puertos WAN, 2 DMZ y 3 LAN mientras se conectan 3 VLAN separadas para uso interno. También hay 1 puerto SFP.
Figura 3. ZyWALL ATP500.
Es posible operar en modo clúster de alta disponibilidad Device HA Pro desde dos ZyWALL ATP500. Si uno no funciona, el segundo seguirá proporcionando comunicación.
Utilizando todas las funciones del ATP500, podrá obtener flexibilidad,
comunicación segura y altamente confiable con el mundo exterior o un nodo separado, por ejemplo,
sede.
Oficinas más grandes
Para ellos, se recomienda la versión más potente de esta línea: ATP800.
Este modelo tiene una cantidad decente de puertos: 12 RJ-45 y 2 SFP, todos ellos se pueden configurar en modo WAN, LAN o DNZ, lo que le permite usar varias WLAN, organizar varias DMZ y aún tener la oportunidad de conectarse a una red externa para infraestructura interna compleja. Adecuado para oficinas bastante grandes con una red desarrollada y altos requisitos de seguridad y control de acceso.
Figura 4. ZyWALL ATP800.
También vale la pena señalar que se recomienda comprar este modelo con tendencia a "crecer". Si planea hacer crecer su empresa, por ejemplo, desarrollar una cadena de tiendas local, entonces tiene sentido comprar inmediatamente un modelo más potente para no gastar dinero dos veces.
Como puede ver, incluso en las condiciones más espartanas es posible proporcionar un buen nivel de protección, tolerancia a fallos y flexibilidad de funcionamiento.
Soporte técnico, asesoramiento, debates, noticias, promociones y anuncios - ¡Contáctanos en Telegram!
Enlaces de interés
Fuente: habr.com