Mange organisasjoner bruker skytjenester eller flytter utstyr til
Datasenter. Hva er fornuftig å forlate i serverrommet, og hva er den beste måten å organisere beskyttelsen av kontornettverket i en slik situasjon?
En gang var alt på serveren
I begynnelsen av utviklingen av Runet løste de fleste selskaper problemet med IT-infrastruktur i henhold til omtrent samme ordning: de tildelte et rom hvor de installerte klimaanlegg og hvor nesten alt nettverk og serverutstyr var konsentrert.
Systemadministratoren satte opp en eller flere servere på FreeBSD, Linux eller OpenSolaris, etc. Og så på denne "verten" lanserte han de nødvendige tjenestene: fra en webserver, bedriftspost, opp til en filvertstjeneste.
Når en bedrift vokser og utvikler seg, står den uunngåelig overfor en situasjon der serverrommet ikke lenger oppfyller kravene. Hvis du har penger, kan du bygge ditt eget datasenter. Det kan være mer lønnsomt å leie stativer fra kommersielle datasentre. Høykvalitets strømforsyning basert på DRUPS, et industrielt luftkondisjoneringssystem, en full stab av høyt spesialiserte spesialister - disse tingene er knapt tilgjengelige når det gjelder et kontorserverrom.
Etter big business, i hodet til ledelsen av mellomstore og små selskaper er det gradvis en overgang fra psykologien om "jeg bærer alt jeg har med meg" og "mitt hjem er min festning" til "gi det til noen andre og ikke lide."
For små bedrifter har skyleverandører blitt et slikt "outsourcet" alternativ. Hvis tidligere for et selskap på 40 personer å ha egen e-postserver var noe som ble tatt for gitt, vinner i dag tjenesten fra samme Google over på sin side alle de som tidligere ikke kunne tenke seg å jobbe uten egen Sendmail eller Postfix.
Virtuelle systemer ga stor hjelp i en slik "flytting." Hvis det før utseendet deres var nødvendig å transportere hele den fysiske serveren, eller konfigurere alt på ny maskinvare, er det nå nok å overføre bildet av den virtuelle maskinen.
Hva blir igjen i det lille rommet med klimaanlegg?
Først av alt er dette nettverksutstyr. Både aktiv og passiv. Ofte, bak det høylytte navnet "server" forstår de en kryssforbindelse med restene av nettverksutstyr. Og for slike tilfeller er det ikke nødvendig med et spesielt rom med et kraftig klimaanlegg, strømforsyning og så videre.
Den andre gruppen utstyr som fortsatt er vanskelig å fjerne fra serverrommet er gateways
sikkerhet.
Men hva er disse gatewayene? Som nevnt ovenfor, hvis systemadministratoren i den siste tiden hadde en eller flere servere til disposisjon hvor han kunne distribuere hva hjertet ønsket, kan det hende at slik luksus ikke eksisterer nå.
Men behovet for å beskytte mot eksterne trusler har ikke gått bort. Du kan selvsagt overføre alle tjenester og nødvendig utstyr i sin helhet til datasenteret og drive trafikk fra en slik gateway til kontorets kryssforbindelse via en sikker kanal, for eksempel via VPN.
Denne ordningen ser attraktiv ut ved første øyekast, hvis ikke for den økte belastningen på eksisterende kanaler. Hvis du ikke vil betale for en tykkere kanal, er ikke dette akkurat det du trenger.
Et annet alternativ er å kjøpe en spesialisert enhet for trafikkbeskyttelse, hvis arkitektur, på grunn av det smale fokuset, lar deg klare deg uten kraftige energikrevende og varmegenererende komponenter.
Ingen behov for en dyrehage
I fravær av et klassisk serverrom er det mye bedre å få flere tjenester "i en boks" på en gang enn å lage en "dyrehage" i et lite rom, eller til og med i et lite cross-over-skap. Samtidig skal løsningen være billig, utprøvd og ha normal støtte på russisk.
Merk. Vi snakker nå om veldig små, mellomstore og større kontorer. Vi vurderer ennå ikke store selskaper som bygger sine egne datasentre - i en artikkel "det er umulig å forstå omfanget."
Og for hvert tilfelle har Zyxel allerede en løsning, innenfor samme produktlinje. Kort sagt, du trenger ikke en "zoo".
ZyWALL ATP Security Gateways
Vi har tidligere snakket om prinsippene for drift av slike enheter ved å bruke eksemplet Hovedfunksjonen deres er kombinasjonen av en brannmur med sikkerhetstjenesten Zyxel Cloud. Takket være denne ansvarsfordelingen løser ZyWALL ATP et ganske bredt spekter av perimeterbeskyttelsesproblemer uten å kreve ekstra maskinvareressurser.
Listen over beskyttelsesfunksjoner er ganske rik (se tabell 1), inkludert SecuReporter-analyseverktøy og Sandboxing - en "sandkasse" for foreløpig analyse av nedlastet innhold.
Det er verdt å understreke nok en gang at i dette tilfellet overfører vi ganske enkelt tjenester fra det lokale kontoret til skyen. Zyxel Cloud gjør alt annet for oss i anonym modus. I tillegg til bekvemmelighet gir denne tilnærmingen effektiv beskyttelse mot nulldagstrusler gjennom maskinlæring og informasjonsutveksling mellom ATP-gatewayer rundt om i verden. Et helt nevralt nettverk er bygget for beskyttelse.
: "Når en ukjent fil oppdages, sjekker Cloud Query raskt (innen et par sekunder) hashkoden sin mot skydatabasen og bestemmer om den er farlig eller ikke. Denne tjenesten krever et minimum av nettverksressurser for å fungere, og reduserer derfor ikke ytelsen til enheten. Effektiviteten til trusselbeskyttelse sikres ved bruk av en konstant oppdatert skydatabase som inneholder data om milliarder av trusler. Cloud Query akselererer også intelligensen til Zyxel Security Clouds nye trusseldeteksjonsfunksjoner, og forbedrer beskyttelsen mot skadelig programvare for hver ATP-brannmur."
Tabell 1. Tekniske egenskaper for ZyWALL ATP-linjen.
Merknader:
(1) Faktisk ytelse er svært avhengig av nettverksforhold og aktive applikasjoner.
(2) Maksimal gjennomstrømning er basert på RFC 2544 (1,518-byte UDP-pakker).
(3) Målt VPN-gjennomstrømning er basert på RFC 2544 (1,424-byte UDP-pakker).
(4) AV- og IDP-gjennomstrømningsmålinger bruker industristandard HTTP-ytelsestesten (1,460-byte HTTP-pakker). Testingen ble utført i flertrådsmodus.
(5) Ved måling av maksimalt mulig antall økter ble industristandardverktøy brukt - IXIA IxLoad testverktøy.
(6) 1 Gbps WAN-hastighetstestresultater ble utført under virkelige forhold og kan variere litt avhengig av koblingskvalitet.
(7): Etter at Gold Pack utløper, vil kun 2 AP-er støttes.
(8): Du kan aktivere eller utvide funksjonaliteten ved å kjøpe tilleggslisenser for Zyxel-tjenester.
Vær oppmerksom på det støttede settet med VPN-tjenester. Nesten alt som er nødvendig for kommunikasjon med hovedkvarteret eller hjemmekontoret er allerede "i en flaske", så vi kan trygt anbefale denne enheten både som en endelig kommunikasjonsnode for en filial og for å støtte eksternt arbeid for ansatte.
Løsninger for små kontorer
Små kontorer kan deles inn i to grupper: uavhengige foretak og filialer av store bedrifter.
Uavhengige er nyfødte bedrifter og de som er bestemt til å forbli små. For eksempel designbyråer, arkitektstudioer, redaksjoner for små medier og så videre. Slike forretningsenheter bruker ofte skytjenester, i hvert fall e-post og fildeling.
Filialer av større organisasjoner - det viktigste for dem er å ha en stabil forbindelse med sentralkontoret. Alt annet er i "Senteret".
Ofte trenger slike "babyer" et enkelt grensesnitt for kontroll. En nettverksadministrator fra hovedkvarteret har ofte ikke mulighet til raskt å skynde seg til fjerne land for å løse et problem i en ny filial. Lokale småbedrifter har ikke denne muligheten i det hele tatt. Vi må ty til tjenestene til en «coming».
admin." For slike tilfeller er det nødvendig å kontrollere i henhold til prinsippet "jo enklere, jo mer pålitelig."
For små kontorer er det fornuftig å bruke modellene ZyWALL ATP100 og ZyWALL ATP200.
Nettverksgateway dukket opp relativt nylig, men har allerede kommet inn .
Hovedforskjellen fra sin eldre bror () - at den er designet for en mindre last, og ikke har fester for et 19-tommers stativ. Anbefales for hjemmekontorer, små bedrifter, filialer og så videre.
Figur 1. ZyWALL ATP100.
Designfunksjoner: ATP100 og ATP200 er vifteløse modeller. Hvorfor dette er bra: For det første er det ingen støy, og for det andre er det ikke nødvendig å bytte viften. I en situasjon med en "innkommende administrator", er dette en ganske viktig indikator.
Figur 2. ZyWALL ATP200.
ATP200-modellen støtter to WAN-porter og kan kobles til to uavhengige linjer, for eksempel fra forskjellige leverandører.
Som nevnt ovenfor, for et lite kontor, er det viktigste etter en stabil strømforsyning en stabil forbindelse. Dessverre kan lokale tilbydere ikke alltid garantere at det ikke vil skje ulykker. Vi må se etter backup-alternativer.
VIKTIG! I tillegg til dedikerte WAN-porter, har ATP-modeller USB-porter som du kan koble til USB-modemer og bruke dem som et WAN. Denne funksjonen er tilgjengelig for alle ATP-er.
Hvis enheten har en SFP-port, kan denne også brukes som WAN. Denne funksjonen er tilgjengelig for alle ATP-er.
Her er et life hack fra Zyxel.
Mellomstore bedrifter
For mellomstore bedrifter har Zyxel sin egen gode maskinvare -
Det er en neste generasjons gateway med avansert beskyttelse mot nye trusler.
Blant de interessante funksjonene:
7 konfigurerbare porter tillater fleksibel konfigurasjon, for eksempel 2 WAN, 2 DMZ og 3 LAN-porter mens du kobler til 3 separate VLANer for intern bruk. Det er også 1 SFP-port.
Figur 3. ZyWALL ATP500.
Det er mulig å operere i Device HA Pro-klyngemodus med høy tilgjengelighet fra to ZyWALL ATP500. Hvis den ene er ute av drift, vil den andre fortsatt gi kommunikasjon.
Ved å bruke ATP500-funksjonene i sin helhet, kan du bli fleksibel,
svært pålitelig, sikker kommunikasjon med omverdenen eller en egen node, for eksempel,
hovedkvarter.
Større kontorer
For dem anbefales den kraftigste versjonen av denne linjen - ATP800.
Denne modellen har et anstendig antall porter: 12 RJ-45 og 2 SFP, alle kan konfigureres i WAN-, LAN- eller DNZ-modus, som lar deg bruke flere WLAN, organisere flere DMZ-er og fortsatt ha muligheten til å koble til et eksternt nettverk for kompleks intern infrastruktur. Passer for ganske store kontorer med utviklet nettverk og høye krav til sikkerhet og tilgangskontroll.
Figur 4. ZyWALL ATP800.
Det er også verdt å merke seg at denne modellen anbefales for kjøp med en tendens til å "vokse". Hvis du planlegger å utvide bedriften din, for eksempel utvikle en lokal kjede med butikker, er det fornuftig å umiddelbart kjøpe en kraftigere modell for ikke å bruke penger to ganger.
Som du kan se, selv under de mest spartanske forhold er det mulig å gi et godt nivå av beskyttelse, feiltoleranse og fleksibilitet i drift.
Teknisk støtte, råd, diskusjoner, nyheter, kampanjer og kunngjøringer - kontakt oss på Telegram!
Nyttige lenker
Kilde: www.habr.com