In protte organisaasjes brûke wolktsjinsten of ferpleatse apparatuer nei
Datasintrum. Wat makket sin te ferlitten yn 'e tsjinner keamer en wat is de bêste manier om te organisearjen de beskerming fan it kantoar netwurk perimeter yn sa'n situaasje?
Eartiids wie alles op de tsjinner
Oan it begjin fan 'e ûntwikkeling fan' e Runet, de measte bedriuwen oplost it probleem fan IT-ynfrastruktuer neffens likernôch itselde skema: se tawiisd in keamer dêr't se ynstallearre airconditioning en dêr't hast alle netwurk- en tsjinner apparatuer wie konsintrearre.
De systeembehearder sette ien of mear servers op FreeBSD, Linux, of OpenSolaris, ensfh En dan op dizze "host" hy lansearre de nedige tsjinsten: fan in webserver, bedriuwspost, oant in triemhostingtsjinst.
As in bedriuw groeit en ûntwikkelet, komt it ûnûntkomber foar in situaasje dêr't de serverkeamer net mear oan de easken foldocht. As jo jild hawwe, kinne jo jo eigen datasintrum bouwe. It kin mear rendabel wêze om rekken te hieren fan kommersjele datasintra. Netzteil fan hege kwaliteit basearre op DRUPS, in yndustriële airconditioningsysteem, in folslein personiel fan heul spesjalisearre spesjalisten - dizze dingen binne amper beskikber yn it gefal fan in kantoarserverkeamer.
Nei oanlieding fan grutte bedriuwen is d'r yn 'e hollen fan' e behear fan middelgrutte en lytse bedriuwen stadichoan in oergong fan 'e psychology fan "Ik draach alles wat ik haw mei my" en "myn hûs is myn festing" nei "jouwe it oan in oar en net lije."
Foar lytse bedriuwen binne wolkproviders sa'n "útbestege" opsje wurden wurden. As earder foar in bedriuw fan 40 minsken mei in eigen e-posttsjinner wat fanselssprekkend wie, wint hjoed de tsjinst fan deselde Google oan har kant al dyjingen dy't har earder net koenen foarstelle wurkje sûnder har eigen Sendmail of Postfix.
Firtuele systemen levere grutte help by sa'n "ferhuzing." As foar har uterlik it nedich wie om de folsleine fysike tsjinner te ferfieren, of alles yn te stellen op nije hardware, no is it genôch om it byld fan 'e firtuele masine oer te bringen.
Wat bliuwt yn dy lytse keamer mei airconditioning?
Earst fan alles, dit is netwurk apparatuer. Sawol aktyf as passyf. Faak, efter de lûde namme "tsjinner" se begripe in cross-ferbining mei de oerbliuwsels fan netwurk apparatuer. En foar sokke gefallen is in spesjale keamer mei in krêftich klimaatsysteem, stroomfoarsjenning, ensfh.
De twadde groep apparatuer dy't noch dreech te ferwiderjen is fan 'e serverkeamer is poarten
feiligens.
Mar wat binne dizze poarten? Lykas hjirboppe neamde, as yn it resinte ferline de systeembehearder ien of meardere servers ta syn beskikking hie wêr't hy koe ynsette wat syn hert woe, no kin sa'n lúkse net bestean.
Mar de needsaak om te beskermjen tsjin eksterne bedrigingen is net fuortgien. Jo kinne, fansels, oerdrage alle tsjinsten en nedige apparatuer hielendal oan it datasintrum en ride ferkear fan sa'n poarte nei it kantoar cross-ferbining fia in feilich kanaal, bygelyks, fia VPN.
Dit skema sjocht op it earste each oantreklik, as net foar de ferhege lading op besteande kanalen. As jo net wolle betelje foar in dikker kanaal, dit is net krekt wat jo nedich hawwe.
In oare opsje is om in spesjalisearre apparaat te keapjen foar ferkearsbeskerming, wêrfan de arsjitektuer, troch syn smelle fokus, jo kin dwaan sûnder krêftige enerzjy-yntinsive en waarmte-generearjende komponinten.
Gjin needsaak foar in bistetún
By it ûntbrekken fan in klassike serverkeamer is it folle better om ferskate tsjinsten "yn ien doaze" tagelyk te krijen dan in "dierentuin" te meitsjen yn in lytse keamer, of sels binnen in lyts cross-over kabinet. Tagelyk moat de oplossing goedkeap wêze, bewiisd en hawwe normale stipe yn it Russysk.
Noat. Wy hawwe it no oer hiel lytse, middelgrutte en gruttere kantoaren. Wy beskôgje noch gjin grutte bedriuwen dy't har eigen datasintra bouwe - yn ien artikel "is it ûnmooglik om de ûnbidichheid te begripen."
En foar elk gefal hat Zyxel al in oplossing, binnen deselde produktline. Koartsein, jo sille gjin "dierentuin" nedich hawwe.
ZyWALL ATP Feiligens Gateways
Wy hawwe earder praat oer de prinsipes fan wurking fan sokke apparaten mei it foarbyld Har haadfunksje is de kombinaasje fan in firewall mei de Zyxel Cloud-befeiligingstsjinst. Mei tank oan dizze ferdieling fan ferantwurdlikheden oplosse ZyWALL ATP's in frij breed oanbod fan problemen mei perimeterbeskerming sûnder ekstra hardware-boarnen te fereaskje.
De list mei beskermingsfunksjes is frij ryk (sjoch Tabel 1), ynklusyf SecuReporter analytyske ark en Sandboxing - in "sânbox" foar foarriedige analyze fan ynladen ynhâld.
It is de muoite wurdich om nochris te beklamjen dat wy yn dit gefal gewoan tsjinsten oerdrage fan it lokale kantoar nei de wolk. Zyxel Cloud docht al it oare foar ús yn anonime modus. Njonken it gemak leveret dizze oanpak effektive beskerming tsjin bedrigingen fan nul dagen troch masine learen en ynformaasje-útwikseling tusken ATP-poarten oer de hiele wrâld. In folslein neural netwurk is boud foar beskerming.
: "As in ûnbekende triem wurdt ûntdutsen, kontrolearret Cloud Query fluch (binnen in pear sekonden) syn hash-koade tsjin de wolkdatabase en bepaalt oft it gefaarlik is of net. Dizze tsjinst fereasket in minimum oan netwurkboarnen om te operearjen, en ferminderet dêrom de prestaasjes fan it apparaat net. De effektiviteit fan bedrigingsbeskerming wurdt garandearre troch it brûken fan in konstant bywurke wolkdatabase mei gegevens oer miljarden bedrigingen. Cloud Query fersnelt ek de yntelliginsje fan Zyxel Security Cloud's opkommende mooglikheden foar bedrigingsdeteksje, en ferbetteret de malware-beskerming fan elke ATP-firewall."
Tabel 1. Technyske skaaimerken fan de ZyWALL ATP line.
Notes:
(1) Eigentlike prestaasjes binne tige ôfhinklik fan netwurkbetingsten en aktive applikaasjes.
(2) Maksimum trochfier is basearre op RFC 2544 (1,518-byte UDP-pakketten).
(3) Gemochte VPN-trochput is basearre op RFC 2544 (1,424-byte UDP-pakketten).
(4) AV- en IDP-trochputmetriken brûke de yndustrystandert HTTP-prestaasjetest (1,460-byte HTTP-pakketten). Testen waard útfierd yn multi-threaded modus.
(5) By it mjitten fan it maksimaal mooglike oantal sesjes, waarden yndustrystandertark brûkt - IXIA IxLoad-testark.
(6) 1Gbps WAN-snelheidstestresultaten waarden útfierd ûnder echte omstannichheden en kinne in bytsje ferskille ôfhinklik fan keppeling kwaliteit.
(7): Nei't it Gold Pack ferrint, sille allinich 2 AP's wurde stipe.
(8): Jo kinne funksjonaliteit ynskeakelje of útwreidzje troch ekstra lisinsjes te keapjen foar Zyxel-tsjinsten.
Soarch omtinken foar de stipe set fan VPN-tsjinsten. Hast alles dat nedich is foar kommunikaasje mei it haadkantoar of thúskantoar is al "yn ien flesse", dus wy kinne dit apparaat feilich oanbefelje as in definitive kommunikaasjeknooppunt foar in tûke en om wurk op ôfstân fan meiwurkers te stypjen.
Oplossings foar lytse kantoaren
Lytse kantoaren kinne wurde ferdield yn twa groepen: ûnôfhinklike bedriuwen en tûken fan grutte bedriuwen.
Unôfhinklike binne nij berne bedriuwen en dyjingen dy't ornearre binne om lyts te bliuwen. Bygelyks ûntwerpburo's, arsjitektoanyske studio's, redaksjes fan lytse media, ensfh. Sokke saaklike ienheden brûke faak wolktsjinsten, op syn minst e-post en dielen fan bestannen.
Tûken fan gruttere organisaasjes - it wichtichste ding foar har is in stabile ferbining te hawwen mei it sintrale kantoar. Al it oare is yn it "sintrum".
Faak hawwe sokke "babys" in ienfâldige ynterface nedich foar kontrôle. In netwurkbehearder fan it haadkantoar hat faaks net de kâns om fluch nei fiere lannen te haasten om in probleem yn in nije branch op te lossen. Lokale lytse bedriuwen hawwe dizze kâns hielendal net. Wy moatte taflecht ta de tsjinsten fan in "kommende
admin." Foar sokke gefallen is it nedich om te kontrolearjen neffens it prinsipe "hoe ienfâldiger, hoe betrouberer."
Foar lytse kantoaren makket it sin om de modellen ZyWALL ATP100 en ZyWALL ATP200 te brûken.
Netwurk gateway ferskynde relatyf koartlyn, mar is al ynfierd .
It wichtichste ferskil mei syn âldere broer () - dat it is ûntwurpen foar in lytsere lading, en hat gjin mounts foar in 19-inch rack. Oanrikkemandearre foar thúskantoaren, lytse bedriuwen, filialen ensafuorthinne.
figuer 1. ZyWALL ATP100.
Untwerpfunksjes: ATP100 en ATP200 binne fanless modellen. Wêrom is dit goed: as earste is d'r gjin lûd, en twadde is it net nedich om de fan te feroarjen. Yn in situaasje mei in "ynkommende admin", is dit in frij wichtige yndikator.
figuer 2. ZyWALL ATP200.
It ATP200-model stipet twa WAN-poarten en kin ferbine mei twa ûnôfhinklike rigels, bygelyks fan ferskate providers.
Lykas hjirboppe neamd, foar in lyts kantoar is it wichtichste ding nei in stabile levering fan elektrisiteit in stabile ferbining. Spitigernôch kinne lokale providers net altyd garandearje dat der gjin ûngelokken sille wêze. Wy moatte sykje nei backup-opsjes.
WICHTich! Neist tawijde WAN-poarten hawwe ATP-modellen USB-ports wêrmei jo USB-modems kinne ferbine en se brûke as in WAN. Dizze funksje is beskikber foar alle ATP's.
As it apparaat hat in SFP haven, dit kin ek brûkt wurde as in WAN. Dizze funksje is beskikber foar alle ATP's.
Hjir is in libben hack fan Zyxel.
Middele bedriuwen
Foar middelgrutte bedriuwen hat Zyxel syn eigen goede hardware -
It is in poarte fan folgjende generaasje mei avansearre beskerming tsjin evoluearjende bedrigingen.
Under de nijsgjirrige funksjes:
7 ynstelbere havens tastean fleksibele konfiguraasje, Bygelyks, 2 WAN, 2 DMZ en 3 LAN havens wylst ferbinen 3 aparte VLANs foar yntern gebrûk. D'r is ek 1 SFP-poarte.
figuer 3. ZyWALL ATP500.
It is mooglik om te operearjen yn Device HA Pro hege beskikberens kluster modus út twa ZyWALL ATP500. As ien net wurket, sil de twadde noch kommunikaasje leverje.
Troch de ATP500-funksjes folslein te brûken, kinne jo fleksibel wurde,
tige betroubere, feilige kommunikaasje mei de bûtenwrâld of in apart knooppunt, bygelyks,
haadkertier.
Gruttere kantoaren
Foar harren wurdt oanrikkemandearre de machtichste ferzje fan dizze line - ATP800.
Dit model hat in fatsoenlik oantal havens: 12 RJ-45 en 2 SFP, allegearre kinne wurde konfigurearre yn WAN, LAN of DNZ modus, dat kinne jo brûke ferskate WLANs, organisearje ferskate DMZs en noch hawwe de mooglikheid om te ferbinen mei in ekstern netwurk foar komplekse ynterne ynfrastruktuer. Geskikt foar frij grutte kantoaren mei in ûntwikkele netwurk en hege easken foar feiligens en tagong kontrôle.
figuer 4. ZyWALL ATP800.
It is ek de muoite wurdich op te merken dat dit model wurdt oanrikkemandearre foar oankeap mei in oanstriid om te "groeien". As jo fan plan binne om jo bedriuw te groeien, bygelyks in lokale keten fan winkels te ûntwikkeljen, dan makket it sin om fuortendaliks in machtiger model te keapjen om gjin jild twa kear te besteegjen.
Sa't jo sjen kinne, sels ûnder de meast spartaanske omstannichheden is it mooglik om te foarsjen in goed nivo fan beskerming, fout tolerânsje en fleksibiliteit yn wurking.
Technyske stipe, advys, diskusjes, nijs, promoasjes en oankundigingen - kontakt mei ús op Telegram!
Nuttige keppelings
Boarne: www.habr.com