Banyak organisasi menggunakan layanan cloud atau memindahkan peralatan ke sana
Pusat Data. Apa yang masuk akal untuk ditinggalkan di ruang server dan apa cara terbaik untuk mengatur perlindungan perimeter jaringan kantor dalam situasi seperti ini?
Dahulu kala semuanya ada di server
Pada awal pengembangan Runet, sebagian besar perusahaan menyelesaikan masalah infrastruktur TI dengan skema yang kira-kira sama: mereka mengalokasikan ruangan tempat mereka memasang AC dan tempat hampir semua peralatan jaringan dan server terkonsentrasi.
Administrator sistem menyiapkan satu atau lebih server di FreeBSD, Linux, atau OpenSolaris, dll. Dan kemudian di “host” ini ia meluncurkan layanan yang diperlukan: dari server web, email perusahaan, hingga layanan hosting file.
Ketika sebuah perusahaan tumbuh dan berkembang, mau tidak mau menghadapi situasi di mana ruang server tidak lagi memenuhi persyaratan. Jika Anda punya uang, Anda bisa membangun pusat data sendiri. Mungkin lebih menguntungkan jika menyewa rak dari pusat data komersial. Catu daya berkualitas tinggi berdasarkan DRUPS, sistem pendingin udara industri, staf penuh spesialis yang sangat terspesialisasi - hal-hal ini hampir tidak tersedia di ruang server kantor.
Mengikuti bisnis besar, dalam benak manajemen perusahaan menengah dan kecil, secara bertahap terjadi transisi dari psikologi “Saya membawa semua yang saya miliki” dan “rumah saya adalah benteng saya” menjadi “memberikannya kepada orang lain dan bukan menderita."
Untuk usaha kecil, penyedia cloud telah menjadi pilihan “outsourcing”. Jika sebelumnya bagi sebuah perusahaan beranggotakan 40 orang yang memiliki server email sendiri adalah sesuatu yang dianggap remeh, kini layanan dari Google yang sama memenangkan hati semua orang yang sebelumnya tidak dapat membayangkan bekerja tanpa Sendmail atau Postfix mereka sendiri.
Sistem virtual memberikan bantuan besar dalam “relokasi” semacam itu. Jika sebelum kemunculannya perlu untuk memindahkan seluruh server fisik, atau mengkonfigurasi semuanya pada perangkat keras baru, sekarang cukup untuk mentransfer gambar mesin virtual.
Apa yang tersisa di ruangan kecil ber-AC itu?
Pertama-tama, ini adalah peralatan jaringan. Baik aktif maupun pasif. Seringkali, nama keras "server" dipahami sebagai koneksi silang dengan sisa-sisa peralatan jaringan. Dan untuk kasus seperti itu, ruangan khusus dengan sistem pendingin udara yang kuat, catu daya, dan sebagainya tidak diperlukan.
Kelompok peralatan kedua yang masih sulit dikeluarkan dari ruang server adalah gateway
keamanan.
Tapi apa gerbang ini? Seperti disebutkan di atas, jika di masa lalu administrator sistem memiliki satu atau beberapa server di mana ia dapat menyebarkan apa pun yang diinginkan hatinya, sekarang kemewahan seperti itu mungkin tidak ada.
Namun kebutuhan untuk melindungi diri dari ancaman eksternal masih belum hilang. Anda tentu saja dapat mentransfer semua layanan dan peralatan yang diperlukan sepenuhnya ke pusat data dan mengarahkan lalu lintas dari gateway tersebut ke koneksi silang kantor melalui saluran aman, misalnya melalui VPN.
Sekilas skema ini terlihat menarik, jika bukan karena peningkatan beban pada saluran yang ada. Jika Anda tidak ingin membayar untuk saluran yang lebih tebal, ini bukanlah yang Anda perlukan.
Pilihan lainnya adalah membeli perangkat perlindungan lalu lintas khusus, yang arsitekturnya, karena fokusnya yang sempit, memungkinkan Anda melakukannya tanpa komponen kuat yang boros energi dan menghasilkan panas.
Tidak perlu kebun binatang
Dengan tidak adanya ruang server klasik, jauh lebih baik untuk mendapatkan beberapa layanan “dalam satu kotak” sekaligus daripada membuat “kebun binatang” di ruangan kecil, atau bahkan di dalam kabinet kecil yang saling bersilangan. Pada saat yang sama, solusinya harus murah, terbukti, dan memiliki dukungan normal dalam bahasa Rusia.
Catatan. Kita sekarang berbicara tentang kantor yang sangat kecil, menengah dan besar. Kami belum mempertimbangkan perusahaan-perusahaan besar yang membangun pusat data mereka sendiri - dalam satu artikel “tidak mungkin untuk memahami besarnya.”
Dan untuk setiap kasus, Zyxel sudah memiliki solusinya, dalam lini produk yang sama. Singkatnya, Anda tidak memerlukan “kebun binatang”.
Gerbang Keamanan ZyWALL ATP
Kami sebelumnya telah membicarakan prinsip pengoperasian perangkat tersebut menggunakan contoh Fitur utama mereka adalah kombinasi firewall dengan layanan keamanan Zyxel Cloud. Berkat pembagian tanggung jawab ini, ZyWALL ATP memecahkan berbagai masalah perlindungan perimeter tanpa memerlukan sumber daya perangkat keras tambahan.
Daftar fungsi perlindungan cukup kaya (lihat Tabel 1), termasuk alat analisis SecuReporter dan Sandboxing - sebuah "kotak pasir" untuk analisis awal konten yang diunduh.
Perlu ditekankan sekali lagi bahwa dalam hal ini kami hanya mentransfer layanan dari kantor lokal ke cloud. Zyxel Cloud melakukan segalanya untuk kami dalam mode anonim. Selain kenyamanan, pendekatan ini memberikan perlindungan efektif terhadap ancaman zero-day melalui pembelajaran mesin dan pertukaran informasi antar gateway ATP di seluruh dunia. Seluruh jaringan saraf telah dibangun untuk perlindungan.
: “Saat file yang tidak dikenal terdeteksi, Cloud Query dengan cepat (dalam beberapa detik) memeriksa kode hashnya terhadap database cloud dan menentukan apakah file tersebut berbahaya atau tidak. Layanan ini memerlukan sumber daya jaringan minimum untuk beroperasi, dan oleh karena itu tidak mengurangi kinerja perangkat. Efektivitas perlindungan ancaman dipastikan melalui penggunaan database cloud yang terus diperbarui yang berisi data miliaran ancaman. Cloud Query juga mempercepat kecerdasan kemampuan deteksi ancaman yang muncul dari Zyxel Security Cloud, sehingga meningkatkan perlindungan malware di setiap firewall ATP."
Tabel 1. Karakteristik teknis dari lini ZyWALL ATP.
Catatan:
(1) Performa sebenarnya sangat bergantung pada kondisi jaringan dan aplikasi yang aktif.
(2) Throughput maksimum didasarkan pada RFC 2544 (paket UDP 1,518 byte).
(3) Throughput VPN yang diukur didasarkan pada RFC 2544 (paket UDP 1,424-byte).
(4) Metrik throughput AV dan IDP menggunakan uji kinerja HTTP standar industri (paket HTTP 1,460 byte). Pengujian dilakukan dalam mode multi-utas.
(5) Saat mengukur jumlah sesi maksimum yang mungkin, alat standar industri digunakan - alat pengujian IXIA IxLoad.
(6) Hasil uji kecepatan WAN 1Gbps dilakukan dalam kondisi dunia nyata dan mungkin sedikit berbeda tergantung pada kualitas tautan.
(7): Setelah Paket Emas habis masa berlakunya, hanya 2 AP yang akan didukung.
(8): Anda dapat mengaktifkan atau memperluas fungsionalitas dengan membeli lisensi tambahan untuk layanan Zyxel.
Perhatikan rangkaian layanan VPN yang didukung. Hampir semua yang diperlukan untuk komunikasi dengan kantor pusat atau kantor pusat sudah “dalam satu botol”, sehingga kami dapat dengan aman merekomendasikan perangkat ini baik sebagai simpul komunikasi akhir untuk cabang maupun untuk mendukung pekerjaan jarak jauh karyawan.
Solusi untuk kantor kecil
Kantor kecil dapat dibagi menjadi dua kelompok: perusahaan mandiri dan cabang perusahaan besar.
Perusahaan independen adalah perusahaan yang baru lahir dan ditakdirkan untuk tetap kecil. Misalnya biro desain, studio arsitektur, kantor redaksi media kecil, dan lain sebagainya. Unit bisnis semacam itu sering kali menggunakan layanan cloud, setidaknya mail dan berbagi file.
Cabang organisasi yang lebih besar - yang utama bagi mereka adalah memiliki koneksi yang stabil dengan kantor pusat. Segala sesuatu yang lain ada di “Pusat”.
Seringkali “bayi” seperti itu memerlukan antarmuka yang sederhana untuk kontrol. Seorang administrator jaringan dari kantor pusat sering kali tidak memiliki kesempatan untuk segera bergegas ke tempat yang jauh untuk menyelesaikan masalah di cabang baru. Perusahaan kecil lokal sama sekali tidak memiliki peluang ini. Kita harus menggunakan jasa “kedatangan
admin." Untuk kasus seperti ini, perlu dilakukan pengendalian berdasarkan prinsip “semakin sederhana, semakin dapat diandalkan”.
Untuk kantor kecil, masuk akal untuk menggunakan model ZyWALL ATP100 dan ZyWALL ATP200.
Gerbang jaringan muncul relatif baru, tetapi sudah masuk .
Perbedaan utama dari kakaknya () - dirancang untuk beban yang lebih kecil, dan tidak memiliki dudukan untuk rak 19 inci. Direkomendasikan untuk kantor rumah, perusahaan kecil, cabang dan lain sebagainya.
Gambar 1. ZyWALL ATP100.
Fitur desain: ATP100 dan ATP200 adalah model tanpa kipas. Mengapa ini bagus: pertama, tidak ada suara bising, dan kedua, tidak perlu mengganti kipas. Dalam situasi dengan “admin masuk”, ini merupakan indikator yang cukup penting.
Gambar 2. ZyWALL ATP200.
Model ATP200 mendukung dua port WAN dan dapat terhubung ke dua jalur independen, misalnya, dari penyedia berbeda.
Seperti disebutkan di atas, untuk kantor kecil, hal terpenting setelah pasokan listrik stabil adalah sambungan yang stabil. Sayangnya, penyedia layanan lokal tidak selalu dapat menjamin tidak akan terjadi kecelakaan. Kita harus mencari opsi cadangan.
PENTING! Selain port WAN khusus, model ATP memiliki port USB tempat Anda dapat menyambungkan modem USB dan menggunakannya sebagai WAN. Fitur ini tersedia untuk semua ATP.
Jika perangkat memiliki port SFP, port ini juga dapat digunakan sebagai WAN. Fitur ini tersedia untuk semua ATP.
Ini adalah peretasan kehidupan dari Zyxel.
Perusahaan menengah
Untuk perusahaan menengah, Zyxel memiliki perangkat kerasnya sendiri yang bagus -
Ini adalah gerbang generasi berikutnya dengan perlindungan tingkat lanjut terhadap ancaman yang terus berkembang.
Di antara fitur menariknya:
7 port yang dapat dikonfigurasi memungkinkan konfigurasi yang fleksibel, misalnya, 2 port WAN, 2 DMZ, dan 3 LAN sambil menghubungkan 3 VLAN terpisah untuk penggunaan internal. Ada juga 1 port SFP.
Gambar 3. ZyWALL ATP500.
Dimungkinkan untuk beroperasi dalam mode cluster ketersediaan tinggi Perangkat HA Pro dari dua ZyWALL ATP500. Jika yang satu tidak berfungsi, yang kedua akan tetap memberikan komunikasi.
Dengan menggunakan fungsi ATP500 secara penuh, Anda bisa mendapatkan fleksibilitas,
komunikasi yang sangat andal dan aman dengan dunia luar atau node terpisah, misalnya,
markas besar.
Kantor yang lebih besar
Bagi mereka, versi paling kuat dari lini ini direkomendasikan - ATP800.
Model ini memiliki jumlah port yang layak: 12 RJ-45 dan 2 SFP, semuanya dapat dikonfigurasi dalam mode WAN, LAN atau DNZ, yang memungkinkan Anda menggunakan beberapa WLAN, mengatur beberapa DMZ dan masih memiliki kemampuan untuk terhubung ke jaringan eksternal untuk infrastruktur internal yang kompleks. Cocok untuk kantor yang cukup besar dengan jaringan yang berkembang dan persyaratan keamanan dan kontrol akses yang tinggi.
Gambar 4. ZyWALL ATP800.
Perlu juga dicatat bahwa model ini direkomendasikan untuk dibeli dengan kecenderungan “berkembang”. Jika Anda berencana mengembangkan perusahaan Anda, misalnya mengembangkan jaringan toko lokal, maka masuk akal untuk segera membeli model yang lebih kuat agar tidak mengeluarkan uang dua kali.
Seperti yang Anda lihat, bahkan dalam kondisi paling sederhana sekalipun, tingkat perlindungan, toleransi kesalahan, dan fleksibilitas pengoperasian yang baik dapat diberikan.
Dukungan teknis, saran, diskusi, berita, promosi dan pengumuman - hubungi kami di Telegram!
Berguna Link
Sumber: www.habr.com