Banyak organisasi menggunakan perkhidmatan awan atau memindahkan peralatan ke
Pusat data. Apa yang masuk akal untuk meninggalkan bilik pelayan dan apakah cara terbaik untuk mengatur perlindungan perimeter rangkaian pejabat dalam keadaan sedemikian?
Suatu ketika dahulu semuanya ada di pelayan
Pada permulaan pembangunan Runet, kebanyakan syarikat menyelesaikan isu infrastruktur IT mengikut skema yang sama: mereka memperuntukkan bilik di mana mereka memasang penghawa dingin dan di mana hampir semua rangkaian dan peralatan pelayan tertumpu.
Pentadbir sistem menyediakan satu atau lebih pelayan pada FreeBSD, Linux, atau OpenSolaris, dsb. Dan kemudian pada "hos" ini dia melancarkan perkhidmatan yang diperlukan: dari pelayan web, mel korporat, sehingga perkhidmatan pengehosan fail.
Apabila syarikat berkembang dan berkembang, ia pasti akan menghadapi situasi di mana bilik pelayan tidak lagi memenuhi keperluan. Jika anda mempunyai wang, anda boleh membina pusat data anda sendiri. Ia mungkin lebih menguntungkan untuk menyewa rak daripada pusat data komersial. Bekalan kuasa berkualiti tinggi berdasarkan DRUPS, sistem penyaman udara industri, kakitangan penuh pakar yang sangat khusus - perkara ini hampir tidak tersedia dalam kes bilik pelayan pejabat.
Mengikuti perniagaan besar, dalam fikiran pengurusan syarikat sederhana dan kecil terdapat peralihan secara beransur-ansur dari psikologi "Saya membawa semua yang saya ada bersama saya" dan "rumah saya adalah kubu saya" kepada "memberinya kepada orang lain dan bukan menderita.β
Untuk perniagaan kecil, penyedia awan telah menjadi pilihan "sumber luar". Jika sebelum ini bagi sebuah syarikat yang terdiri daripada 40 orang yang mempunyai pelayan mel sendiri adalah sesuatu yang dipandang remeh, hari ini perkhidmatan daripada Google yang sama memenangi semua pihak yang sebelum ini tidak dapat membayangkan bekerja tanpa Sendmail atau Postfix mereka sendiri.
Sistem maya memberikan bantuan besar dalam "penempatan semula" sedemikian Jika sebelum penampilan mereka adalah perlu untuk mengangkut keseluruhan pelayan fizikal, atau mengkonfigurasi segala-galanya pada perkakasan baru, kini sudah cukup untuk memindahkan imej mesin maya.
Apa yang akan kekal di dalam bilik kecil dengan penghawa dingin itu?
Pertama sekali, ini adalah peralatan rangkaian. Baik aktif mahupun pasif. Selalunya, di sebalik nama "pelayan" yang kuat mereka memahami sambungan silang dengan sisa peralatan rangkaian. Dan untuk kes sedemikian, bilik khas dengan sistem penghawa dingin yang kuat, bekalan kuasa, dan sebagainya tidak diperlukan.
Kumpulan kedua peralatan yang masih sukar dikeluarkan dari bilik pelayan ialah pintu masuk
keselamatan.
Tetapi apakah pintu masuk ini? Seperti yang dinyatakan di atas, jika pada masa lalu pentadbir sistem mempunyai satu atau beberapa pelayan yang boleh digunakannya di mana dia boleh menggunakan apa sahaja yang diingini, kini kemewahan seperti itu mungkin tidak wujud.
Tetapi keperluan untuk melindungi daripada ancaman luar masih belum hilang. Anda boleh, sudah tentu, memindahkan semua perkhidmatan dan peralatan yang diperlukan sepenuhnya ke pusat data dan memandu trafik dari pintu masuk sedemikian ke sambungan silang pejabat melalui saluran selamat, contohnya, melalui VPN.
Skim ini kelihatan menarik pada pandangan pertama, jika tidak kerana peningkatan beban pada saluran sedia ada. Jika anda tidak mahu membayar untuk saluran yang lebih tebal, ini bukan perkara yang anda perlukan.
Pilihan lain ialah membeli peranti khusus untuk perlindungan lalu lintas, seni bina yang, disebabkan fokusnya yang sempit, membolehkan anda melakukannya tanpa komponen intensif tenaga dan penjanaan haba yang kuat.
Tidak perlu ke zoo
Dengan ketiadaan bilik pelayan klasik, adalah lebih baik untuk mendapatkan beberapa perkhidmatan "dalam satu kotak" sekaligus daripada membuat "zoo" di dalam bilik kecil, atau bahkan dalam kabinet silang silang kecil. Pada masa yang sama, penyelesaiannya harus murah, terbukti dan mempunyai sokongan biasa dalam bahasa Rusia.
Catatan. Kita sekarang bercakap tentang pejabat yang sangat kecil, sederhana dan lebih besar. Kami belum lagi mempertimbangkan syarikat besar yang membina pusat data mereka sendiri - dalam satu artikel "adalah mustahil untuk memahami keluasannya."
Dan untuk setiap kes, Zyxel sudah mempunyai penyelesaian, dalam barisan produk yang sama. Pendek kata, anda tidak memerlukan "zoo".
Gerbang Keselamatan ATP ZyWALL
Kami sebelum ini telah bercakap tentang prinsip operasi peranti sedemikian menggunakan contoh Ciri utama mereka ialah gabungan tembok api dengan perkhidmatan keselamatan Zyxel Cloud. Terima kasih kepada pengagihan tanggungjawab ini, ZyWALL ATP menyelesaikan pelbagai isu perlindungan perimeter yang agak luas tanpa memerlukan sumber perkakasan tambahan.
Senarai fungsi perlindungan agak kaya (lihat Jadual 1), termasuk alat analisis SecuReporter dan Kotak Pasir - "kotak pasir" untuk analisis awal kandungan yang dimuat turun.
Perlu ditekankan sekali lagi bahawa dalam kes ini kami hanya memindahkan perkhidmatan dari pejabat tempatan ke awan. Zyxel Cloud melakukan segala-galanya untuk kami dalam mod tanpa nama. Selain kemudahan, pendekatan ini memberikan perlindungan berkesan terhadap ancaman sifar hari melalui pembelajaran mesin dan pertukaran maklumat antara gerbang ATP di seluruh dunia. Seluruh rangkaian saraf telah dibina untuk perlindungan.
: βApabila fail yang tidak diketahui dikesan, Cloud Query dengan cepat (dalam beberapa saat) menyemak kod cincangnya terhadap pangkalan data awan dan menentukan sama ada ia berbahaya atau tidak. Perkhidmatan ini memerlukan minimum sumber rangkaian untuk beroperasi, dan oleh itu tidak mengurangkan prestasi peranti. Keberkesanan perlindungan ancaman dipastikan dengan penggunaan pangkalan data awan yang sentiasa dikemas kini yang mengandungi data mengenai berbilion-bilion ancaman. Cloud Query juga mempercepatkan kecerdasan keupayaan pengesanan ancaman Zyxel Security Cloud yang muncul, meningkatkan perlindungan perisian hasad setiap tembok api ATP."
Jadual 1. Ciri teknikal barisan ATP ZyWALL.
Nota:
(1) Prestasi sebenar sangat bergantung pada keadaan rangkaian dan aplikasi aktif.
(2) Daya tampung maksimum adalah berdasarkan RFC 2544 (paket UDP 1,518 bait).
(3) Daya tampung VPN yang diukur adalah berdasarkan RFC 2544 (paket UDP 1,424 bait).
(4) Metrik throughput AV dan IDP menggunakan ujian prestasi HTTP standard industri (paket HTTP 1,460 bait). Ujian dilakukan dalam mod berbilang benang.
(5) Apabila mengukur bilangan sesi maksimum yang mungkin, alat standard industri telah digunakan - alat ujian IXIA IxLoad.
(6) Keputusan ujian kelajuan WAN 1Gbps telah dijalankan dalam keadaan dunia sebenar dan mungkin berbeza sedikit bergantung pada kualiti pautan.
(7): Selepas Pek Emas tamat tempoh, hanya 2 AP akan disokong.
(8): Anda boleh mendayakan atau mengembangkan fungsi dengan membeli lesen tambahan untuk perkhidmatan Zyxel.
Beri perhatian kepada set perkhidmatan VPN yang disokong. Hampir semua yang diperlukan untuk komunikasi dengan ibu pejabat atau pejabat rumah sudah "dalam satu botol", jadi kami boleh mengesyorkan peranti ini dengan selamat sebagai nod komunikasi terakhir untuk cawangan dan untuk menyokong kerja jauh pekerja.
Penyelesaian untuk pejabat kecil
Pejabat kecil boleh dibahagikan kepada dua kumpulan: perusahaan bebas dan cawangan syarikat besar.
Yang bebas adalah perusahaan yang baru dilahirkan dan mereka yang ditakdirkan untuk kekal kecil. Contohnya, biro reka bentuk, studio seni bina, pejabat editorial media kecil, dan sebagainya. Unit perniagaan sedemikian sering menggunakan perkhidmatan awan, sekurang-kurangnya perkongsian mel dan fail.
Cawangan organisasi yang lebih besar - perkara utama bagi mereka ialah mempunyai hubungan yang stabil dengan pejabat pusat. Semua yang lain ada di "Pusat".
Selalunya "bayi" sedemikian memerlukan antara muka yang mudah untuk kawalan. Pentadbir rangkaian dari ibu pejabat selalunya tidak berpeluang untuk segera bergegas ke kawasan yang jauh untuk menyelesaikan masalah di cawangan baharu. Syarikat kecil tempatan tidak mempunyai peluang ini sama sekali. Kita perlu menggunakan perkhidmatan "kedatangan
admin." Untuk kes sedemikian, adalah perlu untuk mengawal mengikut prinsip "lebih mudah, lebih dipercayai."
Untuk pejabat kecil, adalah wajar untuk menggunakan model ZyWALL ATP100 dan ZyWALL ATP200.
Gerbang Rangkaian muncul agak baru-baru ini, tetapi telah pun masuk .
Perbezaan utama dari abangnya () - bahawa ia direka untuk beban yang lebih kecil, dan tidak mempunyai pelekap untuk rak 19 inci. Disyorkan untuk pejabat rumah, syarikat kecil, cawangan dan sebagainya.
Rajah 1. ZyWALL ATP100.
Ciri reka bentuk: ATP100 dan ATP200 ialah model tanpa kipas. Mengapa ini bagus: pertama, tiada bunyi bising, dan kedua, tidak perlu menukar kipas. Dalam situasi dengan "pentadbir masuk", ini adalah penunjuk yang agak penting.
Rajah 2. ZyWALL ATP200.
Model ATP200 menyokong dua port WAN dan boleh menyambung kepada dua talian bebas, contohnya, daripada pembekal yang berbeza.
Seperti yang dinyatakan di atas, untuk pejabat kecil, perkara yang paling penting selepas bekalan elektrik yang stabil ialah sambungan yang stabil. Malangnya, pembekal tempatan tidak boleh sentiasa menjamin bahawa tidak akan berlaku kemalangan. Kita perlu mencari pilihan sandaran.
PENTING! Selain port WAN khusus, model ATP mempunyai port USB yang boleh anda sambungkan modem USB dan menggunakannya sebagai WAN. Ciri ini tersedia untuk semua ATP.
Jika peranti mempunyai port SFP, ini juga boleh digunakan sebagai WAN. Ciri ini tersedia untuk semua ATP.
Berikut ialah penggodaman hayat daripada Zyxel.
Syarikat sederhana
Untuk syarikat bersaiz sederhana, Zyxel mempunyai perkakasan baiknya sendiri -
Ia adalah pintu masuk generasi akan datang dengan perlindungan lanjutan terhadap ancaman yang berkembang.
Antara ciri menarik:
7 port boleh dikonfigurasikan membenarkan konfigurasi fleksibel, contohnya, 2 port WAN, 2 DMZ dan 3 LAN semasa menyambungkan 3 VLAN berasingan untuk kegunaan dalaman. Terdapat juga 1 port SFP.
Rajah 3. ZyWALL ATP500.
Ia adalah mungkin untuk beroperasi dalam mod kluster ketersediaan tinggi Device HA Pro daripada dua ZyWALL ATP500. Jika satu tidak berfungsi, yang kedua masih akan menyediakan komunikasi.
Menggunakan fungsi ATP500 sepenuhnya, anda boleh menjadi fleksibel,
komunikasi yang sangat dipercayai dan selamat dengan dunia luar atau nod yang berasingan, contohnya,
ibu pejabat.
Pejabat yang lebih besar
Bagi mereka, versi paling berkuasa baris ini disyorkan - ATP800.
Model ini mempunyai bilangan port yang baik: 12 RJ-45 dan 2 SFP, semuanya boleh dikonfigurasikan dalam mod WAN, LAN atau DNZ, yang membolehkan anda menggunakan beberapa WLAN, mengatur beberapa DMZ dan masih mempunyai peluang untuk menyambung ke rangkaian luaran untuk infrastruktur dalaman yang kompleks. Sesuai untuk pejabat yang agak besar dengan rangkaian yang dibangunkan dan keperluan yang tinggi untuk keselamatan dan kawalan akses.
Rajah 4. ZyWALL ATP800.
Perlu juga diperhatikan bahawa model ini disyorkan untuk pembelian dengan kecenderungan untuk "berkembang." Jika anda bercadang untuk mengembangkan syarikat anda, sebagai contoh, membangunkan rangkaian kedai tempatan, maka masuk akal untuk segera membeli model yang lebih berkuasa agar tidak membelanjakan wang dua kali.
Seperti yang anda lihat, walaupun di bawah keadaan yang paling sederhana adalah mungkin untuk memberikan tahap perlindungan yang baik, toleransi kesalahan dan fleksibiliti dalam operasi.
Sokongan teknikal, nasihat, perbincangan, berita, promosi dan pengumuman - hubungi kami di Telegram!
Pautan berguna
Sumber: www.habr.com