Molte organizzazioni utilizzano servizi cloud o spostano le apparecchiature
Banca dati. Cosa ha senso lasciare nella sala server e qual è il modo migliore per organizzare la protezione del perimetro della rete aziendale in una situazione del genere?
Una volta tutto era sul server
All'inizio dello sviluppo della Runet, la maggior parte delle aziende ha risolto il problema dell'infrastruttura IT approssimativamente secondo lo stesso schema: hanno assegnato una stanza dove è stata installata l'aria condizionata e dove si concentravano quasi tutte le apparecchiature di rete e server.
L'amministratore di sistema configurava uno o più server su FreeBSD, Linux, oppure OpenSolaris, ecc. E poi su questo “host” lanciava i servizi necessari: da un server web, alla posta aziendale, fino ad un servizio di file hosting.
Quando un'azienda cresce e si sviluppa, inevitabilmente si trova ad affrontare una situazione in cui la sala server non soddisfa più i requisiti. Se hai soldi, puoi costruire il tuo data center. Potrebbe essere più vantaggioso noleggiare rack presso data center commerciali. Alimentazione di alta qualità basata su DRUPS, un sistema di climatizzazione industriale, uno staff completo di specialisti altamente specializzati: queste cose difficilmente sono disponibili nel caso di una sala server di un ufficio.
Dopo il grande business, nella mente del management delle aziende medio-piccole si passa progressivamente dalla psicologia del “porto tutto quello che ho con me” e del “la mia casa è la mia fortezza” al “darlo a qualcun altro e non a qualcun altro”. soffrire."
Per le piccole imprese, i fornitori di servizi cloud sono diventati un’opzione “esternalizzata”. Se prima per un'azienda di 40 persone avere un proprio server di posta era qualcosa di scontato, oggi il servizio della stessa Google sta conquistando dalla sua parte tutti coloro che prima non potevano immaginare di lavorare senza il proprio Sendmail o Postfix.
I sistemi virtuali hanno fornito un grande aiuto in tale “trasferimento”. Se prima della loro comparsa era necessario trasportare l'intero server fisico, oppure configurare il tutto su nuovo hardware, ora basta trasferire l'immagine della macchina virtuale.
Cosa resterà in quella piccola stanza con l’aria condizionata?
Prima di tutto, si tratta di apparecchiature di rete. Sia attivo che passivo. Spesso dietro il nome ad alta voce "server" si intende una connessione incrociata con i resti delle apparecchiature di rete. E in questi casi non è necessaria una stanza speciale con un potente sistema di aria condizionata, alimentazione elettrica e così via.
Il secondo gruppo di apparecchiature ancora difficili da rimuovere dalla sala server sono i gateway
sicurezza.
Ma cosa sono questi gateway? Come accennato in precedenza, se nel recente passato l'amministratore di sistema aveva a sua disposizione uno o più server su cui poteva distribuire tutto ciò che desiderava, ora un simile lusso potrebbe non esistere.
Ma la necessità di proteggersi dalle minacce esterne non è scomparsa. Naturalmente è possibile trasferire tutti i servizi e le apparecchiature necessarie interamente al data center e indirizzare il traffico da tale gateway alla connessione incrociata dell'ufficio tramite un canale sicuro, ad esempio tramite VPN.
Questo schema sembra interessante a prima vista, se non fosse per il maggiore carico sui canali esistenti. Se non vuoi pagare per un canale più spesso, questo non è esattamente ciò di cui hai bisogno.
Un'altra opzione è quella di acquistare un dispositivo specializzato per la protezione del traffico, la cui architettura, grazie al suo focus ristretto, consente di fare a meno di potenti componenti ad alta intensità energetica e che generano calore.
Non c'è bisogno di uno zoo
In assenza di una classica sala server, è molto meglio avere più servizi “in una scatola” contemporaneamente piuttosto che creare uno “zoo” in una piccola stanza, o addirittura all’interno di un piccolo armadio incrociato. Allo stesso tempo, la soluzione dovrebbe essere poco costosa, comprovata e avere un supporto normale in russo.
Nota. Parliamo ora di uffici molto piccoli, medi e grandi. Non stiamo ancora prendendo in considerazione le grandi aziende che costruiscono i propri data center: in un articolo "è impossibile cogliere l'immensità".
E per ogni caso, Zyxel ha già una soluzione, all'interno della stessa linea di prodotti. In breve, non avrai bisogno di uno “zoo”.
Gateway di sicurezza ATP ZyWALL
Abbiamo già parlato dei principi di funzionamento di tali dispositivi utilizzando l'esempio La loro caratteristica principale è la combinazione di un firewall con il servizio di sicurezza Zyxel Cloud. Grazie a questa distribuzione delle responsabilità, ZyWALL ATP risolve una gamma abbastanza ampia di problemi di protezione perimetrale senza richiedere risorse hardware aggiuntive.
L'elenco delle funzioni di protezione è piuttosto ricco (vedere Tabella 1), inclusi gli strumenti di analisi SecuReporter e Sandboxing, un "sandbox" per l'analisi preliminare dei contenuti scaricati.
Vale la pena sottolineare ancora una volta che in questo caso stiamo semplicemente trasferendo i servizi dall’ufficio locale al cloud. Zyxel Cloud fa tutto il resto per noi in modalità anonima. Oltre alla comodità, questo approccio fornisce una protezione efficace contro le minacce zero-day attraverso l’apprendimento automatico e lo scambio di informazioni tra gateway ATP in tutto il mondo. Un'intera rete neurale è stata costruita per la protezione.
: "Quando viene rilevato un file sconosciuto, Cloud Query controlla rapidamente (entro un paio di secondi) il suo codice hash rispetto al database cloud e determina se è pericoloso o meno. Questo servizio richiede un minimo di risorse di rete per funzionare e pertanto non riduce le prestazioni del dispositivo. L'efficacia della protezione dalle minacce è garantita dall'utilizzo di un database cloud costantemente aggiornato contenente dati su miliardi di minacce. Cloud Query accelera inoltre l'intelligenza delle capacità emergenti di rilevamento delle minacce di Zyxel Security Cloud, migliorando la protezione antimalware di ogni firewall ATP."
Tabella 1. Caratteristiche tecniche della linea ZyWALL ATP.
Osservazioni:
(1) Le prestazioni effettive dipendono fortemente dalle condizioni della rete e dalle applicazioni attive.
(2) La velocità effettiva massima si basa su RFC 2544 (pacchetti UDP da 1,518 byte).
(3) Il throughput VPN misurato si basa su RFC 2544 (pacchetti UDP da 1,424 byte).
(4) Le metriche di throughput AV e IDP utilizzano il test delle prestazioni HTTP standard del settore (pacchetti HTTP da 1,460 byte). Il test è stato eseguito in modalità multi-thread.
(5) Per misurare il numero massimo possibile di sessioni, sono stati utilizzati strumenti standard del settore: lo strumento di test IXIA IxLoad.
(6) I risultati dei test di velocità WAN da 1 Gbps sono stati condotti in condizioni reali e possono variare leggermente a seconda della qualità del collegamento.
(7): Dopo la scadenza del Gold Pack, saranno supportati solo 2 AP.
(8): puoi abilitare o espandere la funzionalità acquistando licenze aggiuntive per i servizi Zyxel.
Presta attenzione all'insieme supportato di servizi VPN. Quasi tutto il necessario per la comunicazione con la sede o l'home office è già “in una bottiglia”, quindi possiamo tranquillamente consigliare questo dispositivo sia come nodo di comunicazione finale per una filiale sia per supportare il lavoro remoto dei dipendenti.
Soluzioni per piccoli uffici
I piccoli uffici possono essere divisi in due gruppi: imprese indipendenti e filiali di grandi aziende.
Quelle indipendenti sono le imprese appena nate e quelle destinate a rimanere piccole. Ad esempio, uffici di progettazione, studi di architettura, redazioni di piccoli media e così via. Tali unità aziendali utilizzano spesso servizi cloud, almeno la posta e la condivisione di file.
Filiali di organizzazioni più grandi: la cosa principale per loro è avere una connessione stabile con l'ufficio centrale. Tutto il resto è nel “Centro”.
Spesso questi "bambini" necessitano di un'interfaccia semplice per il controllo. Un amministratore di rete della sede centrale spesso non ha l'opportunità di correre rapidamente in terre lontane per risolvere un problema in una nuova filiale. Le piccole imprese locali non hanno affatto questa opportunità. Dobbiamo ricorrere ai servizi di una “venuta”.
amministratore." In questi casi è necessario controllare secondo il principio “più semplice, più affidabile”.
Per i piccoli uffici è opportuno utilizzare i modelli ZyWALL ATP100 e ZyWALL ATP200.
Portale di rete è apparso relativamente di recente, ma è già entrato .
La differenza principale rispetto al fratello maggiore () - che è progettato per un carico inferiore e non dispone di supporti per un rack da 19 pollici. Consigliato per uffici domestici, piccole aziende, filiali e così via.
Figura 1. ZyWALL ATP100.
Caratteristiche di progetto: ATP100 e ATP200 sono modelli fanless. Perché va bene: in primo luogo, non c'è rumore e, in secondo luogo, non è necessario cambiare la ventola. In una situazione con un "amministratore in arrivo", questo è un indicatore abbastanza importante.
Figura 2. ZyWALL ATP200.
Il modello ATP200 supporta due porte WAN e può connettersi a due linee indipendenti, ad esempio, di provider diversi.
Come accennato in precedenza, per un piccolo ufficio, la cosa più importante dopo una fornitura stabile di elettricità è una connessione stabile. Sfortunatamente, gli operatori locali non possono sempre garantire che non si verifichino incidenti. Dobbiamo cercare opzioni di backup.
IMPORTANTE! Oltre alle porte WAN dedicate, i modelli ATP dispongono di porte USB alle quali è possibile collegare modem USB e utilizzarli come WAN. Questa funzionalità è disponibile per tutti gli ATP.
Se il dispositivo dispone di una porta SFP, questa può essere utilizzata anche come WAN. Questa funzionalità è disponibile per tutti gli ATP.
Ecco un trucco di vita di Zyxel.
Medie imprese
Per le aziende di medie dimensioni, Zyxel ha il suo buon hardware:
È un gateway di nuova generazione con protezione avanzata contro le minacce in evoluzione.
Tra le caratteristiche interessanti:
7 porte configurabili consentono una configurazione flessibile, ad esempio 2 porte WAN, 2 DMZ e 3 porte LAN collegando 3 VLAN separate per uso interno. C'è anche 1 porta SFP.
Figura 3. ZyWALL ATP500.
È possibile operare in modalità cluster ad alta disponibilità Device HA Pro da due ZyWALL ATP500. Se uno non è operativo, il secondo fornirà comunque la comunicazione.
Utilizzando tutte le funzioni dell'ATP500, è possibile ottenere flessibilità,
comunicazione altamente affidabile e sicura con il mondo esterno o un nodo separato, ad esempio,
Sede centrale.
Uffici più grandi
Per loro è consigliata la versione più potente di questa linea: ATP800.
Questo modello ha un discreto numero di porte: 12 RJ-45 e 2 SFP, tutte possono essere configurate in modalità WAN, LAN o DNZ, che consente di utilizzare diverse WLAN, organizzare diverse DMZ e avere comunque la possibilità di connettersi a una rete esterna per infrastrutture interne complesse. Adatto per uffici abbastanza grandi con una rete sviluppata e requisiti elevati di sicurezza e controllo degli accessi.
Figura 4. ZyWALL ATP800.
Vale anche la pena notare che questo modello è consigliato per l'acquisto con tendenza a "crescere". Se hai intenzione di far crescere la tua azienda, ad esempio, sviluppare una catena di negozi locale, allora ha senso acquistare immediatamente un modello più potente per non spendere soldi due volte.
Come potete vedere, anche nelle condizioni più spartane è possibile fornire un buon livello di protezione, tolleranza ai guasti e flessibilità operativa.
Supporto tecnico, consulenza, discussioni, novità, promozioni e annunci - contattaci su Telegram!
Link utili
Fonte: habr.com