Muitas organizações usam serviços em nuvem ou movem equipamentos para
Centro de dados. O que faz sentido deixar na sala de servidores e qual a melhor forma de organizar a proteção do perímetro da rede do escritório em tal situação?
Era uma vez tudo no servidor
No início do desenvolvimento do Runet, a maioria das empresas resolveu a questão da infraestrutura de TI seguindo aproximadamente o mesmo esquema: alocaram uma sala onde instalaram ar condicionado e onde se concentraram quase todos os equipamentos de rede e servidores.
O administrador do sistema configurou um ou mais servidores em FreeBSD, Linux ou OpenSolaris, etc. E então neste “host” ele lançou os serviços necessários: desde um servidor web, correio corporativo, até um serviço de hospedagem de arquivos.
Quando uma empresa cresce e se desenvolve, inevitavelmente enfrenta uma situação em que a sala de servidores não atende mais aos requisitos. Se você tiver dinheiro, poderá construir seu próprio data center. Pode ser mais lucrativo alugar racks de data centers comerciais. Fonte de alimentação de alta qualidade baseada em DRUPS, sistema de ar condicionado industrial, equipe completa de especialistas altamente especializados - coisas dificilmente disponíveis no caso de uma sala de servidores de escritório.
Seguindo os grandes negócios, na cabeça dos gestores das médias e pequenas empresas há gradativamente uma transição da psicologia de “carrego tudo o que tenho comigo” e “minha casa é minha fortaleza” para “dar para outra pessoa e não sofrer."
Para as pequenas empresas, os provedores de nuvem tornaram-se uma opção “terceirizada”. Se antes para uma empresa de 40 pessoas ter servidor de e-mail próprio era algo dado como certo, hoje o serviço do mesmo Google está conquistando para o seu lado todos aqueles que antes não imaginavam trabalhar sem Sendmail ou Postfix próprio.
Os sistemas virtuais prestaram grande auxílio nessa “relocação”. Se antes de seu surgimento era necessário transportar todo o servidor físico, ou configurar tudo em um novo hardware, agora basta transferir a imagem da máquina virtual.
O que vai sobrar naquele quartinho com ar condicionado?
Em primeiro lugar, trata-se de equipamento de rede. Ativo e passivo. Muitas vezes, por trás do nome “servidor”, eles entendem uma conexão cruzada com os restos dos equipamentos de rede. E para tais casos, não é necessária uma sala especial com um potente sistema de ar condicionado, fonte de alimentação e assim por diante.
O segundo grupo de equipamentos que ainda é difícil de retirar da sala de servidores são os gateways
segurança
Mas quais são esses portais? Como mencionado acima, se no passado recente o administrador do sistema tinha à sua disposição um ou vários servidores onde poderia implantar o que quisesse, agora esse luxo pode não existir.
Mas a necessidade de protecção contra ameaças externas não desapareceu. É claro que você pode transferir todos os serviços e equipamentos necessários inteiramente para o data center e direcionar o tráfego desse gateway para a conexão cruzada do escritório por meio de um canal seguro, por exemplo, via VPN.
Este esquema parece atraente à primeira vista, se não fosse pelo aumento da carga nos canais existentes. Se você não quer pagar por um canal mais grosso, não é exatamente isso que você precisa.
Outra opção é adquirir um dispositivo especializado para proteção de tráfego, cuja arquitetura, devido ao seu foco estreito, permite prescindir de componentes potentes, intensivos em energia e geradores de calor.
Não há necessidade de um zoológico
Na ausência de uma sala de servidores clássica, é muito melhor colocar vários serviços “em uma caixa” ao mesmo tempo do que criar um “zoológico” em uma sala pequena, ou mesmo dentro de um pequeno gabinete cruzado. Ao mesmo tempo, a solução deve ser barata, comprovada e ter suporte normal em russo.
Observação. Estamos falando agora de escritórios muito pequenos, médios e grandes. Ainda não estamos considerando grandes empresas que constroem seus próprios data centers - em um artigo “é impossível compreender a imensidão”.
E para cada caso a Zyxel já tem uma solução, dentro da mesma linha de produtos. Resumindo, você não precisará de um “zoológico”.
Gateways de segurança ZyWALL ATP
Já falamos anteriormente sobre os princípios de operação de tais dispositivos usando o exemplo Sua principal característica é a combinação de firewall com o serviço de segurança Zyxel Cloud. Graças a esta distribuição de responsabilidades, o ZyWALL ATP resolve uma ampla gama de problemas de proteção perimetral sem exigir recursos de hardware adicionais.
A lista de funções de proteção é bastante rica (ver Tabela 1), incluindo ferramentas analíticas SecuReporter e Sandboxing - uma “sandbox” para análise preliminar do conteúdo baixado.
Vale ressaltar mais uma vez que neste caso estamos simplesmente transferindo serviços do escritório local para a nuvem. Zyxel Cloud faz todo o resto para nós no modo anônimo. Além da conveniência, esta abordagem oferece proteção eficaz contra ameaças de dia zero por meio de aprendizado de máquina e troca de informações entre gateways ATP em todo o mundo. Uma rede neural inteira foi construída para proteção.
: “Quando um arquivo desconhecido é detectado, o Cloud Query verifica rapidamente (em alguns segundos) seu código hash no banco de dados da nuvem e determina se é perigoso ou não. Este serviço requer um mínimo de recursos de rede para funcionar e, portanto, não reduz o desempenho do dispositivo. A eficácia da proteção contra ameaças é garantida pelo uso de um banco de dados em nuvem constantemente atualizado, contendo dados sobre bilhões de ameaças. O Cloud Query também acelera a inteligência dos recursos emergentes de detecção de ameaças do Zyxel Security Cloud, melhorando a proteção contra malware de cada firewall ATP.”
Tabela 1. Características técnicas da linha ZyWALL ATP.
Observações:
(1) O desempenho real depende muito das condições da rede e dos aplicativos ativos.
(2) A taxa de transferência máxima é baseada na RFC 2544 (pacotes UDP de 1,518 bytes).
(3) A taxa de transferência VPN medida é baseada na RFC 2544 (pacotes UDP de 1,424 bytes).
(4) As métricas de taxa de transferência AV e IDP usam o teste de desempenho HTTP padrão da indústria (pacotes HTTP de 1,460 bytes). O teste foi realizado no modo multithread.
(5) Ao medir o número máximo possível de sessões, foram utilizadas ferramentas padrão da indústria - ferramenta de teste IXIA IxLoad.
(6) Os resultados dos testes de velocidade WAN de 1 Gbps foram realizados em condições reais e podem variar ligeiramente dependendo da qualidade do link.
(7): Depois que o Gold Pack expirar, apenas 2 APs serão suportados.
(8): Você pode ativar ou expandir a funcionalidade adquirindo licenças adicionais para serviços Zyxel.
Preste atenção ao conjunto suportado de serviços VPN. Quase tudo o que é necessário para a comunicação com a sede ou home office já está “num só frasco”, pelo que podemos recomendar com segurança este dispositivo tanto como nó de comunicação final para uma filial como para apoiar o trabalho remoto dos colaboradores.
Soluções para pequenos escritórios
Os pequenos escritórios podem ser divididos em dois grupos: empresas independentes e filiais de grandes empresas.
As independentes são empresas recém-nascidas e aquelas que estão destinadas a permanecer pequenas. Por exemplo, escritórios de design, estúdios de arquitetura, redações de pequenas mídias e assim por diante. Essas unidades de negócios costumam usar serviços em nuvem, pelo menos compartilhamento de correio e arquivos.
Filiais de organizações maiores - o principal para elas é ter uma conexão estável com o escritório central. Todo o resto está no “Centro”.
Freqüentemente, esses “bebês” precisam de uma interface simples para controle. Um administrador de rede da sede muitas vezes não tem a oportunidade de correr rapidamente para terras distantes para resolver um problema em uma nova filial. As pequenas empresas locais não têm esta oportunidade de todo. Temos que recorrer aos serviços de um “vindo
administrador." Para tais casos, é necessário controlar segundo o princípio “quanto mais simples, mais confiável”.
Para pequenos escritórios, faz sentido usar os modelos ZyWALL ATP100 e ZyWALL ATP200.
Gateway de rede apareceu há relativamente pouco tempo, mas já entrou .
A principal diferença de seu irmão mais velho () - que foi projetado para uma carga menor e não possui suportes para rack de 19 polegadas. Recomendado para home offices, pequenas empresas, filiais e assim por diante.
Figura 1. ZyWALL ATP100.
Recursos de design: ATP100 e ATP200 são modelos sem ventoinha. Por que isso é bom: em primeiro lugar, não há ruído e, em segundo lugar, não há necessidade de trocar o ventilador. Numa situação com um “administrador de entrada”, este é um indicador bastante importante.
Figura 2. ZyWALL ATP200.
O modelo ATP200 suporta duas portas WAN e pode se conectar a duas linhas independentes, por exemplo, de provedores diferentes.
Conforme mencionado acima, para um pequeno escritório, o mais importante após um fornecimento estável de eletricidade é uma conexão estável. Infelizmente, os fornecedores locais nem sempre podem garantir que não haverá acidentes. Temos que procurar opções de backup.
IMPORTANTE! Além das portas WAN dedicadas, os modelos ATP possuem portas USB às quais você pode conectar modems USB e usá-los como WAN. Este recurso está disponível para todos os ATPs.
Se o dispositivo possuir uma porta SFP, esta também poderá ser usada como WAN. Este recurso está disponível para todos os ATPs.
Aqui está um truque de Zyxel.
Médias empresas
Para empresas de médio porte, a Zyxel tem seu próprio bom hardware -
É um gateway de próxima geração com proteção avançada contra ameaças em evolução.
Entre os recursos interessantes:
7 portas configuráveis permitem configuração flexível, por exemplo, 2 portas WAN, 2 DMZ e 3 portas LAN enquanto conectam 3 VLANs separadas para uso interno. Há também 1 porta SFP.
Figura 3. ZyWALL ATP500.
É possível operar no modo cluster de alta disponibilidade do Device HA Pro a partir de dois ZyWALL ATP500. Se um estiver inoperante, o segundo ainda fornecerá comunicação.
Usando todas as funções do ATP500, você pode obter flexibilidade,
comunicação altamente confiável e segura com o mundo exterior ou um nó separado, por exemplo,
quartel general.
Escritórios maiores
Para eles, é recomendada a versão mais potente desta linha - ATP800.
Este modelo possui um número razoável de portas: 12 RJ-45 e 2 SFP, todas elas podem ser configuradas em modo WAN, LAN ou DNZ, o que permite usar várias WLANs, organizar várias DMZs e ainda ter a oportunidade de se conectar a uma rede externa para infraestrutura interna complexa. Adequado para escritórios bastante grandes com uma rede desenvolvida e altos requisitos de segurança e controle de acesso.
Figura 4. ZyWALL ATP800.
Vale ressaltar também que este modelo é recomendado para compra com tendência a “crescer”. Se você planeja expandir sua empresa, por exemplo, desenvolver uma rede local de lojas, então faz sentido adquirir imediatamente um modelo mais potente para não gastar dinheiro duas vezes.
Como você pode ver, mesmo nas condições mais espartanas é possível fornecer um bom nível de proteção, tolerância a falhas e flexibilidade na operação.
Suporte técnico, conselhos, discussões, notícias, promoções e anúncios - entre em contato conosco no Telegram!
Links úteis
Fonte: habr.com