Moitas organizacións usan servizos na nube ou moven equipos a
Centro de datos. Que ten sentido deixar na sala de servidores e cal é a mellor forma de organizar a protección do perímetro da rede da oficina en tal situación?
Érase unha vez todo no servidor
Ao comezo do desenvolvemento do Runet, a maioría das empresas resolvían o tema das infraestruturas informáticas seguindo aproximadamente o mesmo esquema: destinaban unha sala onde instalaban aire acondicionado e onde se concentraban case todos os equipos de rede e servidores.
O administrador do sistema configurou un ou máis servidores en FreeBSD, Linux ou OpenSolaris, etc. E despois neste “host” lanzou os servizos necesarios: desde un servidor web, correo corporativo, ata un servizo de hospedaxe de ficheiros.
Cando unha empresa crece e se desenvolve, enfróntase inevitablemente a unha situación na que a sala de servidores xa non cumpre os requisitos. Se tes diñeiro, podes construír o teu propio centro de datos. Pode ser máis rendible alugar racks de centros de datos comerciais. Fonte de enerxía de alta calidade baseada en DRUPS, un sistema de aire acondicionado industrial, un equipo completo de especialistas altamente especializados: estas cousas dificilmente están dispoñibles no caso dunha sala de servidores de oficina.
Seguindo as grandes empresas, na mente da dirección de medianas e pequenas empresas vaise pasando pouco a pouco da psicoloxía de "todo o que teño comigo" e "a miña casa é a miña fortaleza" a "darllo a outra persoa e non". sufrir."
Para as pequenas empresas, os provedores de nube convertéronse nunha opción tan "subcontratada". Se antes para unha empresa de 40 persoas ter o seu propio servidor de correo era algo que se daba por feito, hoxe o servizo do mesmo Google está a gañar ao seu lado a todos aqueles que antes non se imaxinaban traballar sen o seu propio Sendmail ou Postfix.
Os sistemas virtuais proporcionaron unha gran axuda en tal "reubicación". Se antes da súa aparición era necesario transportar todo o servidor físico, ou configurar todo en hardware novo, agora basta con transferir a imaxe da máquina virtual.
Que quedará nese pequeno cuarto con aire acondicionado?
En primeiro lugar, este é un equipo de rede. Tanto activo como pasivo. Moitas veces, detrás do nome forte "servidor" entenden unha conexión cruzada cos restos dos equipos de rede. E para tales casos, non é necesaria unha sala especial cun potente sistema de aire acondicionado, fonte de alimentación, etc.
O segundo grupo de equipos que aínda é difícil de eliminar da sala de servidores son as pasarelas
seguridade.
Pero cales son estas pasarelas? Como se mencionou anteriormente, se no pasado recente o administrador do sistema tiña un ou varios servidores á súa disposición onde podía implantar o que o seu corazón desexase, agora tal luxo pode non existir.
Pero a necesidade de protexerse contra ameazas externas non desapareceu. Por suposto, pode transferir todos os servizos e equipos necesarios por completo ao centro de datos e dirixir o tráfico desde esa pasarela ata a conexión cruzada da oficina a través dunha canle segura, por exemplo, mediante VPN.
Este esquema parece atractivo a primeira vista, se non é polo aumento da carga nas canles existentes. Se non queres pagar por unha canle máis grosa, isto non é exactamente o que necesitas.
Outra opción é adquirir un dispositivo especializado para a protección do tráfico, cuxa arquitectura, debido ao seu estreito foco, permite prescindir de poderosos compoñentes enerxéticos e xeradores de calor.
Non é necesario un zoolóxico
A falta dunha sala de servidores clásica, é moito mellor obter varios servizos "nunha caixa" á vez que crear un "zoolóxico" nunha sala pequena ou mesmo nun pequeno armario cruzado. Ao mesmo tempo, a solución debe ser barata, probada e ter un soporte normal en ruso.
Nota. Agora estamos a falar de oficinas moi pequenas, medianas e grandes. Aínda non estamos considerando grandes empresas que constrúen os seus propios centros de datos; nun artigo "é imposible comprender a inmensidade".
E para cada caso, Zyxel xa ten unha solución, dentro da mesma liña de produtos. En resumo, non necesitarás un "zoolóxico".
Pasarelas de seguranza ZyWALL ATP
Xa falamos anteriormente sobre os principios de funcionamento destes dispositivos usando o exemplo A súa principal característica é a combinación dun firewall co servizo de seguridade Zyxel Cloud. Grazas a esta distribución de responsabilidades, ZyWALL ATP resolve unha gama bastante ampla de problemas de protección perimetral sen requirir recursos de hardware adicionais.
A lista de funcións de protección é bastante rica (consulta a táboa 1), incluíndo as ferramentas de análise de SecuReporter e Sandboxing, un "sandbox" para a análise preliminar do contido descargado.
Cómpre subliñar unha vez máis que neste caso simplemente estamos a transferir servizos da oficina local á nube. Zyxel Cloud fai todo o demais por nós en modo anónimo. Ademais da comodidade, este enfoque ofrece unha protección eficaz contra as ameazas de día cero mediante a aprendizaxe automática e o intercambio de información entre pasarelas ATP de todo o mundo. Construíuse unha rede neuronal enteira para protexerse.
: "Cando se detecta un ficheiro descoñecido, Cloud Query rapidamente (dentro duns segundos) verifica o seu código hash contra a base de datos na nube e determina se é perigoso ou non. Este servizo require un mínimo de recursos de rede para funcionar e, polo tanto, non reduce o rendemento do dispositivo. A eficacia da protección contra ameazas está garantida polo uso dunha base de datos na nube constantemente actualizada que contén datos sobre miles de millóns de ameazas. Cloud Query tamén acelera a intelixencia das capacidades de detección de ameazas emerxentes de Zyxel Security Cloud, mellorando a protección contra o malware de cada firewall ATP.
Táboa 1. Características técnicas da liña ZyWALL ATP.
Notas:
(1) O rendemento real depende en gran medida das condicións da rede e das aplicacións activas.
(2) O rendemento máximo baséase en RFC 2544 (paquetes UDP de 1,518 bytes).
(3) O rendemento da VPN medido baséase en RFC 2544 (paquetes UDP de 1,424 bytes).
(4) As métricas de rendemento AV e IDP usan a proba de rendemento HTTP estándar do sector (paquetes HTTP de 1,460 bytes). A proba realizouse en modo multiproceso.
(5) Ao medir o número máximo posible de sesións, utilizáronse ferramentas estándar do sector: ferramenta de proba IXIA IxLoad.
(6) Os resultados das probas de velocidade WAN de 1 Gbps realizáronse en condicións reais e poden variar lixeiramente dependendo da calidade da ligazón.
(7): Despois de que caduque o Gold Pack, só se admitirán 2 AP.
(8): pode activar ou ampliar a funcionalidade comprando licenzas adicionais para os servizos de Zyxel.
Preste atención ao conxunto de servizos VPN compatibles. Case todo o necesario para a comunicación coa sede ou a oficina na casa xa está "nunha botella", polo que podemos recomendar con seguridade este dispositivo tanto como nodo de comunicación final para unha sucursal como para apoiar o traballo remoto dos empregados.
Solucións para pequenas oficinas
As pequenas oficinas pódense dividir en dous grupos: empresas independentes e sucursais de grandes empresas.
As independentes son empresas recén nacidas e as que están destinadas a seguir sendo pequenas. Por exemplo, oficinas de deseño, estudios de arquitectura, redaccións de pequenos medios, etc. Estas unidades de negocio adoitan usar servizos na nube, polo menos correo electrónico e compartición de ficheiros.
Ramas de organizacións máis grandes - o principal para eles é ter unha conexión estable coa oficina central. Todo o demais está no "Centro".
Moitas veces, estes "bebés" necesitan unha interface sinxela para o control. Un administrador de rede da sede xeralmente non ten a oportunidade de correr rapidamente a terras distantes para resolver un problema nunha nova sucursal. As pequenas empresas locais non teñen esta oportunidade en absoluto. Temos que recorrer aos servizos dunha “vinda
administrador." Para tales casos, é necesario controlar segundo o principio "canto máis sinxelo, máis fiable".
Para oficinas pequenas, ten sentido usar os modelos ZyWALL ATP100 e ZyWALL ATP200.
Pasarela de rede apareceu hai relativamente pouco tempo, pero xa entrou .
A principal diferenza co seu irmán maior () - que está deseñado para unha carga máis pequena e non ten soportes para un rack de 19 polgadas. Recomendado para oficinas na casa, pequenas empresas, sucursais, etc.
Figura 1. ZyWALL ATP100.
Características do deseño: ATP100 e ATP200 son modelos sen ventilador. Por que isto é bo: en primeiro lugar, non hai ruído e, en segundo lugar, non hai que cambiar o ventilador. Nunha situación cun "administrador entrante", este é un indicador bastante importante.
Figura 2. ZyWALL ATP200.
O modelo ATP200 admite dous portos WAN e pode conectarse a dúas liñas independentes, por exemplo, de diferentes provedores.
Como se mencionou anteriormente, para unha pequena oficina, o máis importante despois dunha subministración estable de electricidade é unha conexión estable. Desafortunadamente, os provedores locais non sempre poden garantir que non haxa accidentes. Temos que buscar opcións de copia de seguridade.
IMPORTANTE! Ademais dos portos WAN dedicados, os modelos ATP teñen portos USB aos que pode conectar módems USB e usalos como WAN. Esta función está dispoñible para todos os ATP.
Se o dispositivo ten un porto SFP, tamén se pode usar como WAN. Esta función está dispoñible para todos os ATP.
Aquí tes un truco de vida de Zyxel.
Medianas empresas
Para as empresas medianas, Zyxel ten o seu propio hardware bo:
É unha pasarela de próxima xeración con protección avanzada contra ameazas en evolución.
Entre as características interesantes:
7 portos configurables permiten unha configuración flexible, por exemplo, 2 portos WAN, 2 DMZ e 3 LAN mentres se conectan 3 VLAN separadas para uso interno. Tamén hai 1 porto SFP.
Figura 3. ZyWALL ATP500.
É posible operar no modo de clúster de alta dispoñibilidade Device HA Pro desde dous ZyWALL ATP500. Se un está inoperante, o segundo seguirá proporcionando comunicación.
Usando as funcións ATP500 ao completo, pode ser flexible,
comunicación altamente fiable e segura co mundo exterior ou cun nodo separado, por exemplo,
sede.
Oficinas máis grandes
Para eles, recoméndase a versión máis potente desta liña: ATP800.
Este modelo ten un número decente de portos: 12 RJ-45 e 2 SFP, todos eles poden configurarse en modo WAN, LAN ou DNZ, o que permite usar varias WLAN, organizar varias DMZ e aínda ter a oportunidade de conectarse unha rede externa para infraestrutura interna complexa. Axeitada para oficinas bastante grandes cunha rede desenvolvida e altos requisitos de seguridade e control de acceso.
Figura 4. ZyWALL ATP800.
Tamén vale a pena notar que este modelo recoméndase para a compra cunha tendencia a "crecer". Se planeas facer crecer a túa empresa, por exemplo, desenvolver unha cadea local de tendas, ten sentido mercar inmediatamente un modelo máis potente para non gastar diñeiro dúas veces.
Como podes ver, mesmo nas condicións máis espartanas é posible proporcionar un bo nivel de protección, tolerancia a fallos e flexibilidade de funcionamento.
Soporte técnico, asesoramento, debates, noticias, promocións e anuncios - contáctanos en Telegram!
Ligazóns útiles
Fonte: www.habr.com