De nombreuses organisations utilisent des services cloud ou déplacent leurs équipements vers
Centre de données. Qu'est-ce qui a du sens de laisser dans la salle des serveurs et quelle est la meilleure façon d'organiser la protection du périmètre réseau du bureau dans une telle situation ?
Il était une fois tout était sur le serveur
Au début du développement de Runet, la plupart des entreprises ont résolu le problème de l'infrastructure informatique selon à peu près le même schéma : elles ont alloué une pièce où elles ont installé la climatisation et où étaient concentrés presque tous les équipements réseau et serveurs.
L'administrateur système a mis en place un ou plusieurs serveurs sur FreeBSD, Linux ou OpenSolaris, etc. Et puis sur cet « hôte » il a lancé les services nécessaires : depuis un serveur web, la messagerie d'entreprise, jusqu'à un service d'hébergement de fichiers.
Lorsqu’une entreprise grandit et se développe, elle est inévitablement confrontée à une situation où la salle des serveurs ne répond plus aux exigences. Si vous avez de l'argent, vous pouvez construire votre propre centre de données. Il peut être plus rentable de louer des racks dans des centres de données commerciaux. Une alimentation électrique de haute qualité basée sur DRUPS, un système de climatisation industriel, une équipe complète de spécialistes hautement spécialisés - ces éléments sont difficilement disponibles dans le cas d'une salle de serveurs de bureau.
À la suite des grandes entreprises, dans l'esprit des dirigeants des moyennes et petites entreprises, on passe progressivement de la psychologie du « je porte tout ce que j'ai avec moi » et « ma maison est ma forteresse » à la « donne-la à quelqu'un d'autre et non souffrir."
Pour les petites entreprises, les fournisseurs de cloud sont devenus une option « externalisée ». Si auparavant pour une entreprise de 40 personnes avoir son propre serveur de messagerie était quelque chose d'évident, aujourd'hui le service du même Google gagne à ses côtés tous ceux qui auparavant ne pouvaient pas imaginer travailler sans leur propre Sendmail ou Postfix.
Les systèmes virtuels ont été d’une grande aide dans une telle « délocalisation ». Si avant leur apparition il fallait transporter l'intégralité du serveur physique, ou tout configurer sur du nouveau matériel, il suffit désormais de transférer l'image de la machine virtuelle.
Que restera-t-il dans cette petite pièce climatisée ?
Tout d’abord, il s’agit d’équipements réseau. À la fois actif et passif. Souvent, derrière le nom bruyant de « serveur », ils entendent une connexion croisée avec les restes de l'équipement réseau. Et pour de tels cas, une pièce spéciale avec un système de climatisation puissant, une alimentation électrique, etc. n'est pas nécessaire.
Le deuxième groupe d'équipements encore difficiles à retirer de la salle des serveurs sont les passerelles.
la sécurité.
Mais quelles sont ces passerelles ? Comme mentionné ci-dessus, si dans un passé récent l'administrateur système disposait d'un ou plusieurs serveurs sur lesquels il pouvait déployer ce qu'il voulait, un tel luxe n'existe peut-être plus.
Mais la nécessité de se protéger contre les menaces extérieures n’a pas disparu. Vous pouvez bien entendu transférer entièrement tous les services et équipements nécessaires vers le centre de données et diriger le trafic d'une telle passerelle vers la connexion croisée du bureau via un canal sécurisé, par exemple via VPN.
Ce système semble attrayant à première vue, si ce n'est pour la charge accrue sur les chaînes existantes. Si vous ne voulez pas payer pour une chaîne plus épaisse, ce n’est pas exactement ce dont vous avez besoin.
Une autre option consiste à acheter un dispositif spécialisé pour la protection de la circulation, dont l'architecture, en raison de sa focalisation étroite, permet de se passer de composants puissants énergivores et générateurs de chaleur.
Pas besoin de zoo
A défaut d'une salle serveur classique, il vaut bien mieux regrouper plusieurs services « dans un seul boîtier » à la fois que de créer un « zoo » dans une petite salle, voire au sein d'une petite armoire cross-over. Dans le même temps, la solution doit être peu coûteuse, éprouvée et bénéficier d’un support normal en russe.
Note. On parle désormais de très petits, moyens et grands bureaux. Nous n'envisageons pas encore les grandes entreprises qui construisent leurs propres centres de données - dans un article "il est impossible d'en saisir l'immensité".
Et pour chaque cas, Zyxel propose déjà une solution, au sein de la même gamme de produits. Bref, vous n’aurez pas besoin d’un « zoo ».
Passerelles de sécurité ZyWALL ATP
Nous avons déjà parlé des principes de fonctionnement de tels appareils à l'aide de l'exemple Leur principale caractéristique est la combinaison d'un pare-feu avec le service de sécurité Zyxel Cloud. Grâce à cette répartition des responsabilités, ZyWALL ATP résout un éventail assez large de problèmes de protection périmétrique sans nécessiter de ressources matérielles supplémentaires.
La liste des fonctions de protection est assez riche (voir tableau 1), comprenant les outils d'analyse SecuReporter et Sandboxing - un « bac à sable » pour l'analyse préliminaire du contenu téléchargé.
Il convient de souligner une fois de plus que dans ce cas, nous transférons simplement les services du bureau local vers le cloud. Zyxel Cloud fait tout le reste pour nous en mode anonyme. En plus d'être pratique, cette approche offre une protection efficace contre les menaces du jour zéro grâce à l'apprentissage automatique et à l'échange d'informations entre les passerelles ATP du monde entier. Un réseau neuronal entier a été construit pour la protection.
: « Lorsqu'un fichier inconnu est détecté, Cloud Query vérifie rapidement (en quelques secondes) son code de hachage par rapport à la base de données cloud et détermine s'il est dangereux ou non. Ce service nécessite un minimum de ressources réseau pour fonctionner, et ne réduit donc pas les performances de l'appareil. L'efficacité de la protection contre les menaces est assurée par l'utilisation d'une base de données cloud constamment mise à jour contenant des données sur des milliards de menaces. Cloud Query accélère également l'intelligence des capacités de détection des menaces émergentes de Zyxel Security Cloud, améliorant ainsi la protection contre les logiciels malveillants de chaque pare-feu ATP.
Tableau 1. Caractéristiques techniques de la gamme ZyWALL ATP.
Notes:
(1) Les performances réelles dépendent fortement des conditions du réseau et des applications actives.
(2) Le débit maximum est basé sur la RFC 2544 (paquets UDP de 1,518 XNUMX octets).
(3) Le débit VPN mesuré est basé sur la RFC 2544 (paquets UDP de 1,424 XNUMX octets).
(4) Les mesures de débit AV et IDP utilisent le test de performances HTTP standard de l'industrie (paquets HTTP de 1,460 XNUMX octets). Les tests ont été effectués en mode multithread.
(5) Lors de la mesure du nombre maximum de sessions possible, des outils standard de l'industrie ont été utilisés - l'outil de test IXIA IxLoad.
(6) Les résultats des tests de vitesse WAN à 1 Gbit/s ont été effectués dans des conditions réelles et peuvent varier légèrement en fonction de la qualité de la liaison.
(7) : Après l'expiration du Gold Pack, seuls 2 points d'accès seront pris en charge.
(8) : Vous pouvez activer ou étendre les fonctionnalités en achetant des licences supplémentaires pour les services Zyxel.
Faites attention à l'ensemble de services VPN pris en charge. Presque tout le nécessaire pour communiquer avec le siège social ou le bureau à domicile est déjà « dans une seule bouteille », nous pouvons donc recommander cet appareil en toute sécurité à la fois comme nœud de communication final pour une succursale et pour soutenir le travail à distance des employés.
Solutions pour les petits bureaux
Les petits bureaux peuvent être divisés en deux groupes : les entreprises indépendantes et les succursales de grandes entreprises.
Les entreprises indépendantes sont des entreprises nouvellement nées et celles qui sont destinées à rester petites. Par exemple, les bureaux d'études, les studios d'architecture, les rédactions de petits médias, etc. Ces unités commerciales utilisent souvent des services cloud, au moins le partage de courrier et de fichiers.
Branches de grandes organisations - l'essentiel pour elles est d'avoir une connexion stable avec le bureau central. Tout le reste est dans le « Centre ».
Souvent, ces « bébés » ont besoin d’une interface simple pour le contrôle. Un administrateur réseau du siège n'a souvent pas la possibilité de se précipiter rapidement dans des pays lointains pour résoudre un problème dans une nouvelle succursale. Les petites entreprises locales n’ont pas du tout cette opportunité. Nous devons recourir aux services d'un « venu
administrateur." Pour de tels cas, il est nécessaire de contrôler selon le principe « le plus simple, le plus fiable ».
Pour les petits bureaux, il est judicieux d'utiliser les modèles ZyWALL ATP100 et ZyWALL ATP200.
Passerelle réseau est apparu relativement récemment, mais est déjà entré .
La principale différence avec son frère aîné () - qu'il est conçu pour une charge plus petite et qu'il ne dispose pas de supports pour un rack de 19 pouces. Recommandé pour les bureaux à domicile, les petites entreprises, les succursales, etc.
Figure 1. ZyWALL ATP100.
Caractéristiques de conception : ATP100 et ATP200 sont des modèles sans ventilateur. Pourquoi c'est bien : d'une part, il n'y a pas de bruit, et d'autre part, il n'est pas nécessaire de changer le ventilateur. Dans une situation avec un « administrateur entrant », c'est un indicateur assez important.
Figure 2. ZyWALL ATP200.
Le modèle ATP200 prend en charge deux ports WAN et peut se connecter à deux lignes indépendantes, par exemple provenant de fournisseurs différents.
Comme mentionné ci-dessus, pour un petit bureau, la chose la plus importante après un approvisionnement stable en électricité est une connexion stable. Malheureusement, les prestataires locaux ne peuvent pas toujours garantir qu'il n'y aura pas d'accidents. Nous devons rechercher des options de sauvegarde.
IMPORTANT! En plus des ports WAN dédiés, les modèles ATP disposent de ports USB auxquels vous pouvez connecter des modems USB et les utiliser comme WAN. Cette fonctionnalité est disponible pour tous les ATP.
Si l'appareil dispose d'un port SFP, celui-ci peut également être utilisé comme WAN. Cette fonctionnalité est disponible pour tous les ATP.
Voici un life hack de Zyxel.
Entreprises moyennes
Pour les entreprises de taille moyenne, Zyxel dispose de son propre matériel de qualité -
Il s'agit d'une passerelle de nouvelle génération dotée d'une protection avancée contre les menaces évolutives.
Parmi les fonctionnalités intéressantes :
7 ports configurables permettent une configuration flexible, par exemple 2 ports WAN, 2 DMZ et 3 ports LAN tout en connectant 3 VLAN distincts pour une utilisation interne. Il y a également 1 port SFP.
Figure 3. ZyWALL ATP500.
Il est possible de fonctionner en mode cluster haute disponibilité Device HA Pro à partir de deux ZyWALL ATP500. Si l’un est inopérant, le second assurera toujours la communication.
En utilisant toutes les fonctions de l'ATP500, vous pouvez bénéficier de flexibilité,
communication hautement fiable et sécurisée avec le monde extérieur ou un nœud distinct, par exemple,
quartier général.
Des bureaux plus grands
Pour eux, la version la plus puissante de cette gamme est recommandée - ATP800.
Ce modèle dispose d'un nombre décent de ports : 12 RJ-45 et 2 SFP, tous configurables en mode WAN, LAN ou DNZ, ce qui permet d'utiliser plusieurs WLAN, d'organiser plusieurs DMZ et d'avoir toujours la possibilité de se connecter à un réseau externe pour une infrastructure interne complexe. Convient aux bureaux assez grands avec un réseau développé et des exigences élevées en matière de sécurité et de contrôle d'accès.
Figure 4. ZyWALL ATP800.
Il convient également de noter que ce modèle est recommandé à l’achat avec une tendance à « grandir ». Si vous envisagez de développer votre entreprise, par exemple en développant une chaîne de magasins locale, il est alors logique d'acheter immédiatement un modèle plus puissant afin de ne pas dépenser d'argent deux fois.
Comme vous pouvez le constater, même dans les conditions les plus spartiates, il est possible de fournir un bon niveau de protection, de tolérance aux pannes et de flexibilité de fonctionnement.
Support technique, conseils, discussions, actualités, promotions et annonces - contactez-nous sur Telegram !
Liens utiles
Source: habr.com