Mnoge organizacije koriste usluge u oblaku ili premještaju opremu
Podatkovni centar. Što ima smisla ostaviti u poslužiteljskoj sobi i kako je u takvoj situaciji najbolje organizirati zaštitu perimetra uredske mreže?
Nekada je sve bilo na serveru
Na početku razvoja Runeta, većina tvrtki riješila je pitanje IT infrastrukture prema približno istoj shemi: dodijelili su sobu u kojoj su instalirali klima uređaj i gdje je bila koncentrirana gotovo sva mrežna i poslužiteljska oprema.
Administrator sustava postavio je jedan ili više poslužitelja na FreeBSD, Linux ili OpenSolaris, itd. A zatim je na tom "domaćinu" pokrenuo potrebne usluge: od web poslužitelja, korporativne pošte, do usluge hostinga datoteka.
Kada tvrtka raste i razvija se, neizbježno se suočava sa situacijom u kojoj poslužiteljska soba više ne zadovoljava zahtjeve. Ako imate novca, možete izgraditi vlastiti podatkovni centar. Možda bi bilo isplativije unajmiti police iz komercijalnih podatkovnih centara. Visokokvalitetno napajanje temeljeno na DRUPS-u, industrijski klimatizacijski sustav, puno osoblje visoko specijaliziranih stručnjaka - te su stvari teško dostupne u slučaju uredske poslužiteljske sobe.
Nakon krupnog biznisa, u svijesti menadžmenta srednjih i malih poduzeća postupno dolazi do prijelaza od psihologije “sve što imam nosim sa sobom” i “moj dom je moja utvrda” u “daj to drugome, a ne patiti."
Za male tvrtke pružatelji usluga u oblaku postali su takva opcija. Ako je prije za tvrtku od 40 ljudi posjedovanje vlastitog mail servera bilo nešto samo po sebi razumljivo, danas usluga istog Googlea na svoju stranu osvaja sve one koji prije nisu mogli zamisliti rad bez vlastitog Sendmaila ili Postfixa.
Veliku pomoć u takvom “preseljavanju” pružili su virtualni sustavi. Ako je prije njihove pojave bilo potrebno transportirati cijeli fizički server, ili sve konfigurirati na novom hardveru, sada je dovoljno prenijeti sliku virtualnog stroja.
Što će ostati u toj sobici s klimom?
Prije svega, ovo je mrežna oprema. I aktivni i pasivni. Često iza glasnog imena "poslužitelj" razumiju unakrsnu vezu s ostacima mrežne opreme. A za takve slučajeve nije potrebna posebna soba sa snažnim klimatizacijskim sustavom, napajanjem i tako dalje.
Druga skupina opreme koju je još uvijek teško ukloniti iz serverske sobe su pristupnici
sigurnost.
Ali koji su to pristupnici? Kao što je gore spomenuto, ako je u nedavnoj prošlosti administrator sustava imao na raspolaganju jedan ili više poslužitelja na koje je mogao postaviti što god mu srce poželi, sada takav luksuz možda više ne postoji.
Ali potreba za zaštitom od vanjskih prijetnji nije nestala. Možete, naravno, sve usluge i potrebnu opremu u potpunosti prenijeti u podatkovni centar i usmjeriti promet od takvog gatewaya do uredske unakrsne veze putem sigurnog kanala, na primjer, putem VPN-a.
Ova shema na prvi pogled izgleda privlačno, ako ne i zbog povećanog opterećenja postojećih kanala. Ako ne želite platiti za deblji kanal, ovo nije baš ono što vam treba.
Druga mogućnost je kupnja specijaliziranog uređaja za zaštitu od prometa, čija arhitektura, zbog svog uskog fokusa, omogućuje bez snažnih energetski intenzivnih i toplinskih komponenti.
Nema potrebe za zoološkim vrtom
U nedostatku klasične poslužiteljske sobe, puno je bolje dobiti nekoliko usluga "u jednoj kutiji" odjednom nego stvoriti "zoološki vrt" u maloj prostoriji ili čak unutar malog cross-over kabineta. U isto vrijeme, rješenje bi trebalo biti jeftino, dokazano i imati normalnu podršku na ruskom.
Bilješka. Sada govorimo o vrlo malim, srednjim i većim uredima. Još ne razmatramo velike tvrtke koje grade vlastite podatkovne centre - u jednom članku "nemoguće je shvatiti neizmjernost."
I za svaki slučaj, Zyxel već ima rješenje, unutar iste linije proizvoda. Ukratko, nećete trebati "zoološki vrt".
ZyWALL ATP sigurnosni pristupnici
Prethodno smo govorili o principima rada takvih uređaja koristeći primjer Njihova glavna značajka je kombinacija vatrozida sa sigurnosnom uslugom Zyxel Cloud. Zahvaljujući ovoj raspodjeli odgovornosti, ZyWALL ATP rješavaju prilično širok raspon problema zaštite perimetra bez potrebe za dodatnim hardverskim resursima.
Popis zaštitnih funkcija prilično je bogat (vidi tablicu 1), uključujući analitičke alate SecuReporter i Sandboxing - "sandboxing" za preliminarnu analizu preuzetog sadržaja.
Vrijedno je još jednom naglasiti da u ovom slučaju jednostavno prenosimo usluge iz lokalnog ureda u oblak. Zyxel Cloud radi sve ostalo za nas u anonimnom načinu rada. Osim pogodnosti, ovaj pristup pruža učinkovitu zaštitu od prijetnji nultog dana putem strojnog učenja i razmjene informacija između ATP pristupnika diljem svijeta. Za zaštitu je izgrađena čitava neuronska mreža.
: “Kada se otkrije nepoznata datoteka, Cloud Query brzo (unutar nekoliko sekundi) provjerava njen hash kod u bazi podataka u oblaku i utvrđuje je li opasna ili ne. Ova usluga zahtijeva minimalne mrežne resurse za rad i stoga ne smanjuje performanse uređaja. Učinkovitost zaštite od prijetnji osigurana je upotrebom baze podataka u oblaku koja se stalno ažurira i sadrži podatke o milijardama prijetnji. Cloud Query također ubrzava inteligenciju novih mogućnosti otkrivanja prijetnji Zyxel Security Clouda, poboljšavajući zaštitu od zlonamjernog softvera svakog ATP vatrozida."
Tablica 1. Tehničke karakteristike ZyWALL ATP linije.
Bilješke:
(1) Stvarna izvedba uvelike ovisi o mrežnim uvjetima i aktivnim aplikacijama.
(2) Maksimalna propusnost temelji se na RFC 2544 (UDP paketi od 1,518 bajta).
(3) Izmjerena VPN propusnost temelji se na RFC 2544 (UDP paketi od 1,424 bajta).
(4) Mjerne vrijednosti AV i IDP propusnosti koriste industrijski standardni HTTP test performansi (HTTP paketi od 1,460 bajta). Testiranje je provedeno u višenitnom načinu rada.
(5) Pri mjerenju maksimalno mogućeg broja sesija korišteni su standardni industrijski alati - IXIA IxLoad alat za testiranje.
(6) Rezultati testiranja WAN brzine od 1 Gbps provedeni su u stvarnim uvjetima i mogu neznatno varirati ovisno o kvaliteti veze.
(7): Nakon što Gold Pack istekne, bit će podržana samo 2 AP-a.
(8): Možete omogućiti ili proširiti funkcionalnost kupnjom dodatnih licenci za Zyxel usluge.
Obratite pozornost na podržani skup VPN usluga. Gotovo sve što je potrebno za komunikaciju sa sjedištem ili kućnim uredom već je „u jednoj bočici“, tako da sa sigurnošću možemo preporučiti ovaj uređaj i kao krajnji komunikacijski čvor za podružnicu i kao podršku udaljenom radu zaposlenika.
Rješenja za male urede
Mali uredi mogu se podijeliti u dvije skupine: samostalna poduzeća i podružnice velikih poduzeća.
Nezavisna su poduzeća tek nastala i ona koja su predodređena da ostanu mala. Na primjer, projektni biroi, arhitektonski studiji, redakcije malih medija i tako dalje. Takve poslovne jedinice često koriste usluge u oblaku, barem poštu i dijeljenje datoteka.
Podružnice većih organizacija - glavna stvar za njih je da imaju stabilnu vezu sa središnjim uredom. Sve ostalo je u “Centru”.
Često takve "bebe" trebaju jednostavno sučelje za kontrolu. Mrežni administrator iz sjedišta često nema priliku brzo požuriti u daleke zemlje kako bi riješio problem u novoj poslovnici. Domaće male tvrtke tu mogućnost uopće nemaju. Moramo pribjeći uslugama „dolaska
admin." Za takve slučajeve potrebno je upravljati prema načelu „što jednostavnije, to pouzdanije“.
Za male urede ima smisla koristiti modele ZyWALL ATP100 i ZyWALL ATP200.
Mrežni pristupnik pojavio se relativno nedavno, ali je već ušao .
Glavna razlika u odnosu na starijeg brata () - da je dizajniran za manje opterećenje i da nema nosače za 19-inčni stalak. Preporuča se za kućne urede, male tvrtke, podružnice i tako dalje.
Slika 1. ZyWALL ATP100.
Značajke dizajna: ATP100 i ATP200 su modeli bez ventilatora. Zašto je to dobro: prvo, nema buke, a drugo, nema potrebe mijenjati ventilator. U situaciji s "dolaznim administratorom", ovo je prilično važan pokazatelj.
Slika 2. ZyWALL ATP200.
Model ATP200 podržava dva WAN priključka i može se spojiti na dvije neovisne linije, na primjer, od različitih pružatelja usluga.
Kao što je već spomenuto, za mali ured najvažnija stvar nakon stabilne opskrbe električnom energijom je stabilna veza. Nažalost, lokalni dobavljači ne mogu uvijek jamčiti da neće biti nezgoda. Moramo tražiti rezervne opcije.
VAŽNO! Osim namjenskih WAN priključaka, ATP modeli imaju USB priključke na koje možete spojiti USB modeme i koristiti ih kao WAN. Ova je značajka dostupna svim ATP-ovima.
Ako uređaj ima SFP priključak, on se također može koristiti kao WAN. Ova je značajka dostupna za sve ATP-ove.
Evo životnog hacka od Zyxela.
Srednje tvrtke
Za srednje velike tvrtke, Zyxel ima svoj dobar hardver -
To je pristupnik sljedeće generacije s naprednom zaštitom od rastućih prijetnji.
Među zanimljivim značajkama:
7 konfigurabilnih portova omogućuje fleksibilnu konfiguraciju, na primjer, 2 WAN, 2 DMZ i 3 LAN porta uz povezivanje 3 odvojena VLAN-a za internu upotrebu. Tu je i 1 SFP port.
Slika 3. ZyWALL ATP500.
Moguće je raditi u načinu klastera visoke dostupnosti Device HA Pro s dva ZyWALL ATP500. Ako jedan ne radi, drugi će i dalje pružati komunikaciju.
Koristeći funkcije ATP500 u potpunosti, možete postati fleksibilni,
vrlo pouzdana, sigurna komunikacija s vanjskim svijetom ili zasebnim čvorom, na primjer,
zapovjedništvo.
Veći uredi
Za njih se preporučuje najjača verzija ove linije - ATP800.
Ovaj model ima pristojan broj priključaka: 12 RJ-45 i 2 SFP, svi se mogu konfigurirati u WAN, LAN ili DNZ načinu rada, što vam omogućuje korištenje nekoliko WLAN-ova, organiziranje nekoliko DMZ-ova i još uvijek mogućnost povezivanja na vanjska mreža za složenu unutarnju infrastrukturu. Prikladno za prilično velike urede s razvijenom mrežom i visokim zahtjevima za sigurnost i kontrolu pristupa.
Slika 4. ZyWALL ATP800.
Također je vrijedno napomenuti da se ovaj model preporučuje za kupnju s tendencijom "rasta". Ako planirate proširiti svoju tvrtku, na primjer, razviti lokalni lanac trgovina, onda ima smisla odmah kupiti snažniji model kako ne biste dvaput trošili novac.
Kao što vidite, čak iu najspartanskim uvjetima moguće je osigurati dobru razinu zaštite, tolerancije na pogreške i fleksibilnost u radu.
Tehnička podrška, savjeti, rasprave, novosti, promocije i najave - kontaktirajte nas na Telegram!
korisni linkovi
Izvor: www.habr.com