Veel organisaties maken gebruik van clouddiensten of verplaatsen apparatuur naar
Datacentrum. Wat is zinvol om in de serverruimte achter te laten en wat is de beste manier om in een dergelijke situatie de bescherming van de perimeter van het kantoornetwerk te organiseren?
Er was eens alles op de server
Aan het begin van de ontwikkeling van de Runet losten de meeste bedrijven het probleem van de IT-infrastructuur op volgens ongeveer hetzelfde schema: ze wezen een kamer toe waar ze airconditioning installeerden en waar bijna alle netwerk- en serverapparatuur was geconcentreerd.
De systeembeheerder zette een of meer servers op FreeBSD, Linux of OpenSolaris, etc. op. En vervolgens lanceerde hij op deze “host” de nodige diensten: van een webserver, bedrijfsmail tot een bestandshostingservice.
Wanneer een bedrijf groeit en zich ontwikkelt, wordt het onvermijdelijk geconfronteerd met een situatie waarin de serverruimte niet langer aan de eisen voldoet. Als je geld hebt, kun je je eigen datacenter bouwen. Het kan winstgevender zijn om racks te huren bij commerciële datacenters. Hoogwaardige stroomvoorziening op basis van DRUPS, een industrieel airconditioningsysteem, een volledige staf van zeer gespecialiseerde specialisten; deze zaken zijn nauwelijks beschikbaar in het geval van een kantoorserverruimte.
In navolging van de grote bedrijven vindt er in de hoofden van het management van middelgrote en kleine bedrijven geleidelijk een overgang plaats van de psychologie van ‘Ik draag alles wat ik heb bij me’ en ‘mijn huis is mijn fort’ naar ‘het aan iemand anders geven en niet lijden."
Voor kleine bedrijven zijn cloudproviders zo’n ‘uitbestede’ optie geworden. Was het voor een bedrijf met 40 medewerkers vroeger iets vanzelfsprekends om een eigen mailserver te hebben, vandaag de dag wint de dienst van datzelfde Google al diegenen aan zijn zijde die zich voorheen niet konden voorstellen om zonder hun eigen Sendmail of Postfix te werken.
Virtuele systemen boden grote hulp bij een dergelijke ‘verhuizing’. Als het vóór hun verschijning nodig was om de hele fysieke server te transporteren of alles op nieuwe hardware te configureren, dan is het nu voldoende om het beeld van de virtuele machine over te dragen.
Wat blijft er over in dat kleine kamertje met airconditioning?
Allereerst is dit netwerkapparatuur. Zowel actief als passief. Vaak begrijpen ze achter de luide naam 'server' een dwarsverbinding met de overblijfselen van netwerkapparatuur. En voor dergelijke gevallen is een speciale kamer met een krachtig airconditioningsysteem, stroomvoorziening, enzovoort niet vereist.
De tweede groep apparatuur die nog lastig uit de serverruimte te verwijderen is, zijn gateways
veiligheid.
Maar wat zijn deze toegangspoorten? Zoals hierboven vermeld: als de systeembeheerder in het recente verleden een of meerdere servers tot zijn beschikking had waarop hij kon inzetten wat hij maar wilde, bestaat dergelijke luxe nu misschien niet.
Maar de noodzaak om ons te beschermen tegen externe bedreigingen is niet verdwenen. Uiteraard kunt u alle diensten en benodigde apparatuur geheel naar het datacenter overbrengen en het verkeer van zo'n gateway naar de kruisverbinding op kantoor via een beveiligd kanaal, bijvoorbeeld via VPN, leiden.
Dit schema ziet er op het eerste gezicht aantrekkelijk uit, zo niet vanwege de verhoogde belasting van bestaande kanalen. Als je niet wilt betalen voor een dikker kanaal, is dit niet precies wat je nodig hebt.
Een andere optie is de aanschaf van een gespecialiseerd apparaat voor verkeersbeveiliging, waarvan de architectuur, vanwege de beperkte focus, het mogelijk maakt zonder krachtige energie-intensieve en warmtegenererende componenten.
Een dierentuin is niet nodig
Bij gebrek aan een klassieke serverruimte is het veel beter om meerdere diensten tegelijk ‘in één doos’ te krijgen dan een ‘dierentuin’ te creëren in een kleine ruimte, of zelfs in een kleine cross-overkast. Tegelijkertijd moet de oplossing goedkoop en bewezen zijn en normale ondersteuning in het Russisch hebben.
Opmerking. We hebben het nu over zeer kleine, middelgrote en grotere kantoren. We denken nog niet aan grote bedrijven die hun eigen datacenters bouwen – in één artikel “is het onmogelijk om de onmetelijkheid te vatten.”
En voor elke zaak heeft Zyxel al een oplossing, binnen dezelfde productlijn. Kortom, je hebt geen “dierentuin” nodig.
ZyWALL ATP-beveiligingsgateways
We hebben eerder gesproken over de werkingsprincipes van dergelijke apparaten aan de hand van het voorbeeld Hun belangrijkste kenmerk is de combinatie van een firewall met de Zyxel Cloud-beveiligingsservice. Dankzij deze verdeling van verantwoordelijkheden lost ZyWALL ATP een vrij breed scala aan perimeterbeveiligingsproblemen op zonder dat er extra hardwarebronnen nodig zijn.
De lijst met beveiligingsfuncties is behoorlijk uitgebreid (zie Tabel 1), inclusief de analysetools van SecuReporter en Sandboxing - een “sandbox” voor voorlopige analyse van gedownloade inhoud.
Het is de moeite waard om nogmaals te benadrukken dat we in dit geval eenvoudigweg diensten van het lokale kantoor naar de cloud overbrengen. Zyxel Cloud doet al het andere voor ons in de anonieme modus. Naast gemak biedt deze aanpak effectieve bescherming tegen zero-day-bedreigingen door machine learning en informatie-uitwisseling tussen ATP-gateways over de hele wereld. Ter bescherming is een heel neuraal netwerk gebouwd.
: “Wanneer een onbekend bestand wordt gedetecteerd, vergelijkt Cloud Query snel (binnen een paar seconden) de hashcode met de clouddatabase en bepaalt of het gevaarlijk is of niet. Deze service vereist een minimum aan netwerkbronnen om te kunnen werken en vermindert daarom de prestaties van het apparaat niet. De effectiviteit van de bescherming tegen bedreigingen wordt verzekerd door het gebruik van een voortdurend bijgewerkte clouddatabase met gegevens over miljarden bedreigingen. Cloud Query versnelt ook de intelligentie van de nieuwe bedreigingsdetectiemogelijkheden van Zyxel Security Cloud, waardoor de malwarebescherming van elke ATP-firewall wordt verbeterd."
Tabel 1. Technische kenmerken van de ZyWALL ATP-lijn.
Opmerkingen:
(1) De werkelijke prestaties zijn sterk afhankelijk van de netwerkomstandigheden en actieve applicaties.
(2) Maximale doorvoer is gebaseerd op RFC 2544 (UDP-pakketten van 1,518 bytes).
(3) De gemeten VPN-doorvoer is gebaseerd op RFC 2544 (UDP-pakketten van 1,424 bytes).
(4) AV- en IDP-doorvoerstatistieken maken gebruik van de industriestandaard HTTP-prestatietest (HTTP-pakketten van 1,460 bytes). Het testen is uitgevoerd in multi-threaded modus.
(5) Bij het meten van het maximaal mogelijke aantal sessies werden industriestandaardtools gebruikt: de IXIA IxLoad-testtool.
(6) De resultaten van de 1Gbps WAN-snelheidstest zijn uitgevoerd onder reële omstandigheden en kunnen enigszins variëren, afhankelijk van de verbindingskwaliteit.
(7): Nadat het Gold Pack verloopt, worden slechts 2 AP's ondersteund.
(8): U kunt de functionaliteit inschakelen of uitbreiden door extra licenties voor Zyxel-services aan te schaffen.
Let op de ondersteunde set VPN-services. Bijna alles wat nodig is voor de communicatie met het hoofdkantoor of thuiskantoor zit al ‘in één fles’, dus we kunnen dit apparaat veilig aanbevelen als eindcommunicatieknooppunt voor een filiaal en ter ondersteuning van het werken op afstand van werknemers.
Oplossingen voor kleine kantoren
Kleine kantoren kunnen in twee groepen worden verdeeld: onafhankelijke ondernemingen en filialen van grote bedrijven.
Onafhankelijke ondernemingen zijn nieuw geboren ondernemingen en ondernemingen die voorbestemd zijn klein te blijven. Bijvoorbeeld ontwerpbureaus, architectenstudio's, redacties van kleine media, enzovoort. Dergelijke bedrijfseenheden maken vaak gebruik van clouddiensten, in ieder geval van e-mail en het delen van bestanden.
Takken van grotere organisaties - het belangrijkste voor hen is een stabiele verbinding met het centrale kantoor. Al het andere bevindt zich in het "Midden".
Vaak hebben zulke ‘baby’s’ een eenvoudige interface voor controle nodig. Een netwerkbeheerder van het hoofdkantoor heeft vaak niet de mogelijkheid om snel naar verre landen te haasten om een probleem in een nieuwe vestiging op te lossen. Lokale kleine bedrijven hebben deze mogelijkheid helemaal niet. We moeten onze toevlucht nemen tot de diensten van een “komst”.
beheerder." Voor dergelijke gevallen is het noodzakelijk om te controleren volgens het principe ‘hoe eenvoudiger, hoe betrouwbaarder’.
Voor kleine kantoren is het zinvol om de modellen ZyWALL ATP100 en ZyWALL ATP200 te gebruiken.
Netwerkgateway verscheen relatief recent, maar is al binnengekomen .
Het belangrijkste verschil met zijn oudere broer () - dat hij is ontworpen voor een kleinere belasting en geen bevestigingen heeft voor een 19-inch rek. Aanbevolen voor thuiskantoren, kleine bedrijven, filialen enzovoort.
Figuur 1. ZyWALL ATP100.
Ontwerpkenmerken: ATP100 en ATP200 zijn modellen zonder ventilator. Waarom dit goed is: ten eerste is er geen geluid en ten tweede is het niet nodig om de ventilator te vervangen. In een situatie met een “inkomende beheerder” is dit een vrij belangrijke indicator.
Figuur 2. ZyWALL ATP200.
Het ATP200-model ondersteunt twee WAN-poorten en kan verbinding maken met twee onafhankelijke lijnen van bijvoorbeeld verschillende providers.
Zoals hierboven vermeld, is voor een klein kantoor een stabiele verbinding het belangrijkste na een stabiele elektriciteitsvoorziening. Helaas kunnen lokale aanbieders niet altijd garanderen dat er geen ongelukken gebeuren. We moeten zoeken naar back-upopties.
BELANGRIJK! Naast speciale WAN-poorten hebben ATP-modellen USB-poorten waarop u USB-modems kunt aansluiten en deze als WAN kunt gebruiken. Deze functie is beschikbaar voor alle ATP's.
Als het apparaat een SFP-poort heeft, kan deze ook als WAN worden gebruikt. Deze functie is beschikbaar voor alle ATP's.
Hier is een lifehack van Zyxel.
Middelgrote bedrijven
Voor middelgrote bedrijven heeft Zyxel zijn eigen goede hardware -
Het is een gateway van de volgende generatie met geavanceerde bescherming tegen zich ontwikkelende bedreigingen.
Onder de interessante kenmerken:
7 configureerbare poorten maken een flexibele configuratie mogelijk, bijvoorbeeld 2 WAN-, 2 DMZ- en 3 LAN-poorten, terwijl er 3 afzonderlijke VLAN's kunnen worden aangesloten voor intern gebruik. Er is ook 1 SFP-poort.
Figuur 3. ZyWALL ATP500.
Het is mogelijk om in Device HA Pro clustermodus met hoge beschikbaarheid te werken vanaf twee ZyWALL ATP500. Als er één niet werkt, zorgt de tweede nog steeds voor communicatie.
Door de functies van de ATP500 volledig te gebruiken, kunt u flexibel,
zeer betrouwbare, veilige communicatie met bijvoorbeeld de buitenwereld of een apart knooppunt,
hoofdkwartier.
Grotere kantoren
Voor hen wordt de krachtigste versie van deze lijn aanbevolen: ATP800.
Dit model heeft een behoorlijk aantal poorten: 12 RJ-45 en 2 SFP, ze kunnen allemaal worden geconfigureerd in WAN-, LAN- of DNZ-modus, waardoor je meerdere WLAN's kunt gebruiken, meerdere DMZ's kunt organiseren en toch de mogelijkheid hebt om verbinding te maken een extern netwerk voor complexe interne infrastructuur. Geschikt voor redelijk grote kantoren met een ontwikkeld netwerk en hoge eisen aan beveiliging en toegangscontrole.
Figuur 4. ZyWALL ATP800.
Het is ook vermeldenswaard dat dit model wordt aanbevolen voor aankoop met de neiging om te 'groeien'. Als u van plan bent uw bedrijf te laten groeien, bijvoorbeeld een lokale winkelketen te ontwikkelen, dan is het logisch om onmiddellijk een krachtiger model aan te schaffen om niet twee keer geld uit te geven.
Zoals u kunt zien, is het zelfs onder de meest spartaanse omstandigheden mogelijk om een goed niveau van bescherming, fouttolerantie en flexibiliteit in de bedrijfsvoering te bieden.
Technische ondersteuning, advies, discussies, nieuws, promoties en aankondigingen - neem contact met ons op via Telegram!
Nuttige links
Bron: www.habr.com