Многу организации користат облак услуги или преместуваат опрема во
На Центарот за податоци. Што има смисла да се остави во собата на серверот и кој е најдобриот начин да се организира заштитата на периметарот на канцелариската мрежа во таква ситуација?
Некогаш сè беше на серверот
На почетокот на развојот на Runet, повеќето компании го решија прашањето за ИТ инфраструктурата според приближно истата шема: тие доделија просторија каде што инсталираа климатизација и каде што беше концентрирана речиси целата мрежна и серверска опрема.
Системскиот администратор постави еден или повеќе сервери на FreeBSD, Linux или OpenSolaris, итн. А потоа на овој „домаќин“ ги лансираше потребните услуги: од веб-сервер, корпоративна пошта, до услуга за хостирање датотеки.
Кога компанијата расте и се развива, таа неизбежно се соочува со ситуација кога серверската соба повеќе не ги исполнува барањата. Ако имате пари, можете да изградите сопствен центар за податоци. Можеби е попрофитабилно да се изнајмуваат лавици од комерцијални центри за податоци. Висококвалитетно напојување базирано на DRUPS, индустриски систем за климатизација, целосен персонал од високо специјализирани специјалисти - овие работи тешко се достапни во случај на просторија за канцелариски сервер.
Следејќи го големиот бизнис, во главите на менаџментот на средните и малите компании постепено доаѓа до премин од психологијата „со себе носам сè што имам“ и „мојот дом е мојата тврдина“ да „го давам на некој друг, а не. страдаат“.
За малите бизниси, давателите на облак станаа таква „аутсорсинг“ опција. Ако претходно за компанија од 40 луѓе да има свој сервер за пошта беше нешто здраво за готово, денес услугата од истиот Google ги освојува на своја страна сите оние кои претходно не можеа да замислат да работат без свој Sendmail или Postfix.
Виртуелните системи дадоа голема помош во таквото „преместување“. Ако пред нивното појавување беше неопходно да се транспортира целиот физички сервер или да се конфигурира сè на нов хардвер, сега е доволно да се пренесе сликата на виртуелната машина.
Што ќе остане во таа мала соба со клима?
Прво на сите, ова е мрежна опрема. И активни и пасивни. Често, зад гласното име „сервер“ тие разбираат вкрстена врска со остатоците од мрежната опрема. И за такви случаи, не е потребна посебна просторија со моќен систем за климатизација, напојување и така натаму.
Втората група на опрема која сè уште е тешко да се отстрани од просторијата за сервери се портите
безбедност.
Но, кои се овие порти? Како што споменавме погоре, ако во блиското минато администраторот на системот имаше на располагање еден или неколку сервери каде што можеше да распореди што сака неговото срце, сега таков луксуз можеби нема да постои.
Но, потребата за заштита од надворешни закани не исчезна. Се разбира, можете да ги префрлите сите услуги и потребната опрема целосно во центарот за податоци и да го придвижите сообраќајот од таквата порта до канцелариската вкрстена врска преку безбеден канал, на пример, преку VPN.
Оваа шема изгледа привлечно на прв поглед, ако не и за зголеменото оптоварување на постоечките канали. Ако не сакате да плаќате за подебел канал, ова не е токму она што ви треба.
Друга опција е да купите специјализиран уред за заштита на сообраќајот, чија архитектура, поради неговиот тесен фокус, ви овозможува да правите без моќни енергетски интензивни и топлински компоненти.
Нема потреба од зоолошка градина
Во отсуство на класична серверска соба, многу е подобро да се добијат неколку услуги „во една кутија“ одеднаш отколку да се создаде „зоолошка градина“ во мала просторија, па дури и во мал вкрстен кабинет. Во исто време, решението треба да биде ефтино, докажано и да има нормална поддршка на руски јазик.
Забелешка. Сега зборуваме за многу мали, средни и поголеми канцеларии. Сè уште не размислуваме за големи компании кои градат свои центри за податоци - во една статија „невозможно е да се сфати неизмерноста“.
И за секој случај, Zyxel веќе има решение, во рамките на истата производна линија. Накратко, нема да ви треба „зоолошка градина“.
ZyWALL ATP безбедносни портали
Претходно зборувавме за принципите на работа на таквите уреди користејќи го примерот Нивната главна карактеристика е комбинацијата на заштитен ѕид со безбедносната служба Zyxel Cloud. Благодарение на оваа распределба на одговорности, ZyWALL ATP решава прилично широк опсег на проблеми со заштитата на периметарот без да бара дополнителни хардверски ресурси.
Списокот на заштитни функции е доста богат (види Табела 1), вклучувајќи ги алатките за анализа на SecuReporter и Sandboxing - „песок“ за прелиминарна анализа на преземената содржина.
Вреди да се нагласи уште еднаш дека во овој случај ние едноставно ги пренесуваме услугите од локалната канцеларија на облакот. Zyxel Cloud прави сè друго за нас во анонимен режим. Покрај практичноста, овој пристап обезбедува ефикасна заштита од заканите од нултиот ден преку машинско учење и размена на информации помеѓу портите на ATP низ целиот свет. За заштита е изградена цела невронска мрежа.
: „Кога е откриена непозната датотека, Cloud Query брзо (во рок од неколку секунди) го проверува својот хаш-код во однос на базата на податоци на облакот и одредува дали е опасно или не. Оваа услуга бара минимум мрежни ресурси за да работи, и затоа не ги намалува перформансите на уредот. Ефективноста на заштитата од закани е обезбедена со употреба на постојано ажурирана облак база на податоци што содржи податоци за милијарди закани. Cloud Query, исто така, ја забрзува интелигенцијата на новите можности за откривање закани на Zyxel Security Cloud, подобрувајќи ја заштитата на малициозен софтвер на секој заштитен ѕид на ATP.
Табела 1. Технички карактеристики на линијата ZyWALL ATP.
Забелешки:
(1) Вистинските перформанси многу зависат од мрежните услови и активните апликации.
(2) Максималната пропусност се базира на RFC 2544 (1,518-бајти UDP пакети).
(3) Измерената пропусност на VPN се базира на RFC 2544 (1,424-бајти UDP пакети).
(4) AV и IDP пропусната метрика користат индустриски стандарден тест за перформанси HTTP (1,460-бајти HTTP пакети). Тестирањето беше извршено во режим со повеќе нишки.
(5) При мерење на максималниот можен број на сесии, користени се индустриски стандардни алатки - алатка за тестирање IXIA IxLoad.
(6) Резултатите од тестот за брзина на WAN од 1 Gbps беа спроведени во реални услови и може да се разликуваат малку во зависност од квалитетот на врската.
(7): По истекот на златниот пакет, ќе бидат поддржани само 2 АП.
(8): Можете да ја овозможите или проширите функционалноста со купување дополнителни лиценци за услугите на Zyxel.
Обрнете внимание на поддржаниот сет на VPN услуги. Речиси сè што е потребно за комуникација со седиштето или домашната канцеларија е веќе „во едно шише“, така што можеме безбедно да го препорачаме овој уред и како последен комуникациски јазол за филијала и за поддршка на далечинската работа на вработените.
Решенија за мали канцеларии
Малите канцеларии можат да се поделат во две групи: независни претпријатија и филијали на големи компании.
Независни се новородените претпријатија и оние на кои им е судено да останат мали. На пример, дизајнерски бироа, архитектонски студија, редакции на мали медиуми итн. Таквите деловни единици често користат облак услуги, барем пошта и споделување датотеки.
Ограноци на поголеми организации - за нив главната работа е да имаат стабилна врска со централната канцеларија. Сè друго е во „Центарот“.
Често на таквите „бебиња“ им треба едноставен интерфејс за контрола. Мрежен администратор од седиштето често нема можност брзо да брза во далечни земји за да реши проблем во нова филијала. Локалните мали компании воопшто ја немаат оваа можност. Мораме да прибегнеме кон услугите на „доаѓање
админ." За такви случаи, неопходно е да се контролира според принципот „колку поедноставно, толку посигурно“.
За мали канцеларии, има смисла да се користат моделите ZyWALL ATP100 и ZyWALL ATP200.
Мрежна порта се појави релативно неодамна, но веќе влезе .
Главната разлика од нејзиниот постар брат () - дека е дизајниран за помал товар, и нема држачи за багажник од 19 инчи. Се препорачува за домашни канцеларии, мали компании, филијали и така натаму.
Слика 1. ZyWALL ATP100.
Дизајнерски карактеристики: ATP100 и ATP200 се модели без вентилатори. Зошто е ова добро: прво, нема бучава, и второ, нема потреба да се менува вентилаторот. Во ситуација со „дојдовен администратор“, ова е прилично важен индикатор.
Слика 2. ZyWALL ATP200.
Моделот ATP200 поддржува две WAN порти и може да се поврзе со две независни линии, на пример, од различни провајдери.
Како што споменавме погоре, за мала канцеларија најважна работа после стабилно снабдување со електрична енергија е стабилна врска. За жал, локалните провајдери не можат секогаш да гарантираат дека нема да има несреќи. Мора да бараме резервни опции.
ВАЖНО! Покрај посветените WAN порти, моделите ATP имаат USB порти на кои можете да поврзете USB модеми и да ги користите како WAN. Оваа функција е достапна за сите ATP.
Ако уредот има SFP порта, ова може да се користи и како WAN. Оваа функција е достапна за сите ATP.
Еве еден лајф хак од Zyxel.
Средни компании
За средни компании, Zyxel има свој добар хардвер -
Тоа е портал од следната генерација со напредна заштита од закани кои се развиваат.
Меѓу интересните карактеристики:
7 порти што може да се конфигурираат овозможуваат флексибилна конфигурација, на пример, 2 WAN, 2 DMZ и 3 LAN порти додека поврзуваат 3 посебни VLAN за внатрешна употреба. Има и 1 SFP порта.
Слика 3. ZyWALL ATP500.
Можно е да се работи во режим на кластер со висока достапност Device HA Pro од два ZyWALL ATP500. Ако едниот е неоперативен, вториот сепак ќе обезбеди комуникација.
Со целосно користење на функциите ATP500, можете да станете флексибилни,
високо доверлива, сигурна комуникација со надворешниот свет или посебен јазол, на пример,
седиште.
Поголеми канцеларии
За нив се препорачува најмоќната верзија на оваа линија - ATP800.
Овој модел има пристоен број на порти: 12 RJ-45 и 2 SFP, сите од нив може да се конфигурираат во режим WAN, LAN или DNZ, што ви овозможува да користите неколку WLAN, да организирате неколку DMZ и да имате можност да се поврзете со надворешна мрежа за сложена внатрешна инфраструктура. Погоден за прилично големи канцеларии со развиена мрежа и високи барања за безбедност и контрола на пристап.
Слика 4. ZyWALL ATP800.
Исто така, вреди да се напомене дека овој модел се препорачува за купување со тенденција да „расте“. Ако планирате да ја развиете вашата компанија, на пример, да развиете локален ланец на продавници, тогаш има смисла веднаш да купите помоќен модел за да не трошите пари двапати.
Како што можете да видите, дури и под најспартански услови, можно е да се обезбеди добро ниво на заштита, толеранција на грешки и флексибилност во работењето.
Техничка поддршка, совети, дискусии, вести, промоции и објави - контактирајте не на Телеграма!
Корисни линкови
Извор: www.habr.com