Wiele organizacji korzysta z usług w chmurze lub przenosi sprzęt
Centrum danych. Jaki jest sens pozostawiania serwerowni i jak w takiej sytuacji najlepiej zorganizować ochronę obwodu sieci biurowej?
Dawno, dawno temu wszystko było na serwerze
Na początku rozwoju Runeta większość firm rozwiązała problem infrastruktury IT według mniej więcej tego samego schematu: przydzieliła pomieszczenie, w którym zainstalowano klimatyzację i gdzie skoncentrowano prawie cały sprzęt sieciowy i serwerowy.
Administrator systemu skonfigurował jeden lub więcej serwerów na FreeBSD, Linux, OpenSolaris itp. Następnie na tym „hoście” uruchomił niezbędne usługi: od serwera WWW, poczty korporacyjnej, aż po usługę hostingu plików.
Kiedy firma rośnie i rozwija się, nieuchronnie staje w obliczu sytuacji, w której serwerownia nie spełnia już wymagań. Jeśli masz pieniądze, możesz zbudować własne centrum danych. Bardziej opłacalne może być wynajmowanie szaf z komercyjnych centrów danych. Wysokiej jakości zasilacz oparty na DRUPS, przemysłowy system klimatyzacji, pełna kadra wysoce wyspecjalizowanych specjalistów – to wszystko jest trudno dostępne w przypadku biurowej serwerowni.
Podążając za wielkim biznesem, w świadomości menadżerów średnich i małych firm następuje stopniowe odchodzenie od psychologii „wszystko co mam ze sobą noszę” i „mój dom jest moją fortecą” do „oddać to komuś innemu, a nie cierpieć."
Dla małych firm dostawcy usług w chmurze stali się taką „outsourcingową” opcją. O ile wcześniej dla 40-osobowej firmy posiadanie własnego serwera pocztowego było czymś oczywistym, dziś usługa tego samego Google'a przekonuje na swoją stronę wszystkich tych, którzy wcześniej nie wyobrażali sobie pracy bez własnego Sendmaila lub Postfixa.
Ogromną pomocą w takiej „przeprowadzce” okazały się systemy wirtualne. Jeśli przed ich pojawieniem się konieczne było przetransportowanie całego fizycznego serwera, bądź skonfigurowanie wszystkiego na nowym sprzęcie, teraz wystarczy przenieść obraz maszyny wirtualnej.
Co pozostanie w tym małym, klimatyzowanym pomieszczeniu?
Przede wszystkim jest to sprzęt sieciowy. Zarówno aktywne, jak i pasywne. Często pod głośną nazwą „serwer” rozumieją powiązanie krzyżowe z pozostałościami sprzętu sieciowego. W takich przypadkach nie jest wymagane specjalne pomieszczenie z wydajnym systemem klimatyzacji, zasilaniem itp.
Drugą grupą sprzętu, którą wciąż trudno usunąć z serwerowni, są bramy
bezpieczeństwo.
Ale czym są te bramy? Jak wspomniano powyżej, jeśli w niedawnej przeszłości administrator systemu miał do dyspozycji jeden lub kilka serwerów, na których mógł wdrożyć wszystko, czego zapragnął, teraz taki luksus może nie istnieć.
Jednak potrzeba ochrony przed zagrożeniami zewnętrznymi nie zniknęła. Można oczywiście w całości przenieść wszystkie usługi i niezbędny sprzęt do centrum danych i kierować ruch z takiej bramy do sieci biurowej bezpiecznym kanałem, na przykład poprzez VPN.
Schemat ten na pierwszy rzut oka wygląda atrakcyjnie, gdyby nie zwiększone obciążenie istniejących kanałów. Jeśli nie chcesz płacić za grubszy kanał, nie jest to dokładnie to, czego potrzebujesz.
Inną opcją jest zakup specjalistycznego urządzenia do ochrony ruchu, którego architektura ze względu na wąskie ukierunkowanie pozwala zrezygnować z potężnych podzespołów energochłonnych i wytwarzających ciepło.
Nie potrzeba zoo
W przypadku braku klasycznej serwerowni znacznie lepiej jest mieć kilka usług „w jednym pudełku” na raz, niż tworzyć „zoo” w małym pomieszczeniu, czy nawet w małej szafce typu cross-over. Jednocześnie rozwiązanie powinno być niedrogie, sprawdzone i mieć normalne wsparcie w języku rosyjskim.
Notatka. Mówimy teraz o bardzo małych, średnich i większych biurach. Nie bierzemy jeszcze pod uwagę dużych firm budujących własne centra danych – w jednym artykule „nie da się ogarnąć ogromu”.
W każdym przypadku Zyxel ma już rozwiązanie w ramach tej samej linii produktów. Krótko mówiąc, nie będziesz potrzebować „zoo”.
Bramy zabezpieczające ZyWALL ATP
O zasadach działania takich urządzeń rozmawialiśmy już wcześniej na przykładzie Ich główną cechą jest połączenie firewalla z usługą bezpieczeństwa Zyxel Cloud. Dzięki takiemu podziałowi obowiązków, ZyWALL ATP rozwiązują dość szeroki zakres problemów związanych z ochroną obwodu bez konieczności stosowania dodatkowych zasobów sprzętowych.
Lista funkcji ochronnych jest dość bogata (patrz Tabela 1), obejmująca narzędzia analityczne SecuReporter oraz Sandboxing – „piaskownicę” do wstępnej analizy pobranych treści.
Warto jeszcze raz podkreślić, że w tym przypadku po prostu przenosimy usługi z lokalnego biura do chmury. Zyxel Cloud robi wszystko inne za nas w trybie anonimowym. Oprócz wygody podejście to zapewnia skuteczną ochronę przed zagrożeniami dnia zerowego poprzez uczenie maszynowe i wymianę informacji pomiędzy bramami ATP na całym świecie. W celu ochrony zbudowano całą sieć neuronową.
: „Po wykryciu nieznanego pliku Cloud Query szybko (w ciągu kilku sekund) sprawdza jego kod skrótu w bazie danych w chmurze i określa, czy jest on niebezpieczny. Usługa ta wymaga do działania minimum zasobów sieciowych, w związku z czym nie zmniejsza wydajności urządzenia. Skuteczność ochrony przed zagrożeniami zapewnia stale aktualizowana baza danych w chmurze zawierająca dane o miliardach zagrożeń. Cloud Query przyspiesza także inteligencję nowych możliwości wykrywania zagrożeń Zyxel Security Cloud, zwiększając ochronę przed złośliwym oprogramowaniem w każdej zaporze ATP.
Tabela 1. Charakterystyka techniczna linii ZyWALL ATP.
Uwagi:
(1) Rzeczywista wydajność w dużym stopniu zależy od warunków sieciowych i aktywnych aplikacji.
(2) Maksymalna przepustowość jest zgodna z RFC 2544 (1,518-bajtowe pakiety UDP).
(3) Zmierzona przepustowość VPN opiera się na RFC 2544 (1,424-bajtowe pakiety UDP).
(4) Wskaźniki przepustowości AV i IDP wykorzystują standardowy test wydajności HTTP (1,460-bajtowe pakiety HTTP). Testowanie przeprowadzono w trybie wielowątkowym.
(5) Do pomiaru maksymalnej możliwej liczby sesji wykorzystano standardowe narzędzia branżowe – narzędzie testowe IXIA IxLoad.
(6) Wyniki testu szybkości sieci WAN 1 Gb/s zostały przeprowadzone w warunkach rzeczywistych i mogą się nieznacznie różnić w zależności od jakości łącza.
(7): Po wygaśnięciu Złotego Pakietu obsługiwane będą tylko 2 punkty dostępowe.
(8): Możesz włączyć lub rozszerzyć funkcjonalność, kupując dodatkowe licencje na usługi Zyxel.
Zwróć uwagę na obsługiwany zestaw usług VPN. Prawie wszystko, co niezbędne do komunikacji z centralą czy home office mamy już „w jednej butelce”, dlatego śmiało możemy polecić to urządzenie zarówno jako końcowy węzeł komunikacyjny dla oddziału, jak i do wsparcia pracy zdalnej pracowników.
Rozwiązania dla małych biur
Małe biura można podzielić na dwie grupy: niezależne przedsiębiorstwa i oddziały dużych firm.
Niezależne to przedsiębiorstwa nowo powstałe i te, które mają pozostać małe. Na przykład biura projektowe, pracownie architektoniczne, redakcje małych mediów i tak dalej. Takie jednostki biznesowe często korzystają z usług w chmurze, przynajmniej z udostępniania poczty i plików.
Oddziały większych organizacji – najważniejsze dla nich jest posiadanie stabilnego połączenia z centralą. Wszystko inne znajduje się w „Centrum”.
Często takie „dzieci” potrzebują prostego interfejsu do sterowania. Administrator sieci z centrali często nie ma możliwości szybkiego wyjazdu do odległych krain, aby rozwiązać problem w nowym oddziale. Lokalne małe firmy w ogóle nie mają takiej możliwości. Musimy skorzystać z usług „przyjścia”.
Admin." W takich przypadkach konieczne jest sterowanie zgodnie z zasadą „im prościej, tym pewniej”.
W małych biurach sensowne jest użycie modeli ZyWALL ATP100 i ZyWALL ATP200.
Brama sieciowa pojawiło się stosunkowo niedawno, ale już weszło .
Główna różnica w stosunku do starszego brata () - że jest przystosowany do mniejszego obciążenia i nie posiada mocowań do racka 19 cali. Zalecane do biur domowych, małych firm, oddziałów i tak dalej.
Rysunek 1. ZyWALL ATP100.
Cechy konstrukcyjne: ATP100 i ATP200 to modele bez wentylatora. Dlaczego to jest dobre: po pierwsze, nie ma hałasu, a po drugie, nie ma potrzeby wymiany wentylatora. W sytuacji „nadchodzącego administratora” jest to dość ważny wskaźnik.
Rysunek 2. ZyWALL ATP200.
Model ATP200 obsługuje dwa porty WAN i może łączyć się z dwiema niezależnymi liniami, np. od różnych dostawców.
Jak wspomniano powyżej, dla małego biura najważniejszą rzeczą po stabilnych dostawach prądu jest stabilne łącze. Niestety lokalni dostawcy nie zawsze mogą zagwarantować, że nie będzie żadnych wypadków. Musimy szukać opcji tworzenia kopii zapasowych.
WAŻNE! Oprócz dedykowanych portów WAN, modele ATP posiadają porty USB, do których można podłączyć modemy USB i używać ich jako sieci WAN. Ta funkcja jest dostępna dla wszystkich ATP.
Jeśli urządzenie posiada port SFP, można go również używać jako sieci WAN. Ta funkcja jest dostępna dla wszystkich ATP.
Oto lifehack od Zyxela.
Firmy średnie
Dla średnich firm Zyxel ma swój własny, dobry sprzęt -
Jest to brama nowej generacji z zaawansowaną ochroną przed zmieniającymi się zagrożeniami.
Wśród ciekawych funkcji:
7 konfigurowalnych portów umożliwia elastyczną konfigurację, na przykład 2 porty WAN, 2 DMZ i 3 porty LAN przy jednoczesnym podłączeniu 3 oddzielnych sieci VLAN do użytku wewnętrznego. Dostępny jest również 1 port SFP.
Rysunek 3. ZyWALL ATP500.
W trybie klastra wysokiej dostępności Device HA Pro można pracować z dwóch urządzeń ZyWALL ATP500. Jeśli jeden z nich nie działa, drugi nadal zapewnia komunikację.
Wykorzystując w pełni funkcje ATP500, możesz uzyskać elastyczność,
wysoce niezawodna, bezpieczna komunikacja ze światem zewnętrznym lub wydzielonym węzłem, np.
siedziba.
Większe biura
Dla nich zalecana jest najpotężniejsza wersja tej linii - ATP800.
Model ten ma przyzwoitą liczbę portów: 12 RJ-45 i 2 SFP, wszystkie można skonfigurować w trybie WAN, LAN lub DNZ, co pozwala korzystać z kilku sieci WLAN, organizować kilka DMZ i nadal mieć możliwość połączenia się z sieć zewnętrzna dla złożonej infrastruktury wewnętrznej. Nadaje się do dość dużych biur z rozwiniętą siecią i wysokimi wymaganiami w zakresie bezpieczeństwa i kontroli dostępu.
Rysunek 4. ZyWALL ATP800.
Warto też zaznaczyć, że model ten polecany jest do zakupu z tendencją do „rośnięcia”. Jeśli planujesz rozwijać swoją firmę, na przykład rozwijać lokalną sieć sklepów, warto od razu kupić mocniejszy model, aby nie wydawać pieniędzy dwa razy.
Jak widać, nawet w najbardziej spartańskich warunkach możliwe jest zapewnienie dobrego poziomu ochrony, odporności na awarie i elastyczności działania.
Wsparcie techniczne, porady, dyskusje, aktualności, promocje i ogłoszenia - skontaktuj się z nami na Telegramie!
Przydatne linki
Źródło: www.habr.com