Multe organizații folosesc servicii cloud sau mută echipamente în
Centru de date. Ce are sens să lași în camera serverului și care este cel mai bun mod de a organiza protecția perimetrului rețelei de birouri într-o astfel de situație?
Cândva, totul era pe server
La începutul dezvoltării Runetului, majoritatea companiilor au rezolvat problema infrastructurii IT după aproximativ aceeași schemă: au alocat o cameră în care au instalat aer condiționat și în care erau concentrate aproape toate echipamentele de rețea și server.
Administratorul de sistem a configurat unul sau mai multe servere pe FreeBSD, Linux, sau OpenSolaris etc. Și apoi pe această „gazdă” a lansat serviciile necesare: de la un server web, mail corporative, până la un serviciu de găzduire de fișiere.
Când o companie crește și se dezvoltă, se confruntă inevitabil cu o situație în care camera de server nu mai îndeplinește cerințele. Dacă aveți bani, vă puteți construi propriul centru de date. Poate fi mai profitabil să închiriezi rafturi de la centrele de date comerciale. Sursă de alimentare de înaltă calitate bazată pe DRUPS, un sistem industrial de aer condiționat, un personal complet de specialiști de înaltă specializare - aceste lucruri sunt cu greu disponibile în cazul unei camere de servere de birou.
În urma marilor afaceri, în mintea conducerii companiilor mijlocii și mici se trece treptat de la psihologia „port tot ce am cu mine” și „casa mea este fortăreața mea” la „o dau altcuiva și nu. suferi."
Pentru întreprinderile mici, furnizorii de cloud au devenit o astfel de opțiune „externalizată”. Dacă anterior pentru o companie de 40 de oameni să aibă propriul server de mail era ceva de la sine înțeles, astăzi serviciul de la același Google îi cucerește pe toți cei care până atunci nu își imaginau să lucreze fără propriul Sendmail sau Postfix.
Sistemele virtuale au oferit o asistență deosebită într-o astfel de „relocare”. Dacă înainte de apariția lor era necesară transportarea întregului server fizic sau configurarea totul pe hardware nou, acum este suficient să transferăm imaginea mașinii virtuale.
Ce va rămâne în camera aceea mică cu aer condiționat?
În primul rând, acesta este un echipament de rețea. Atât activ, cât și pasiv. Adesea, în spatele numelui tare „server” înțeleg o conexiune încrucișată cu rămășițele echipamentelor de rețea. Și pentru astfel de cazuri, nu este necesară o cameră specială cu un sistem puternic de aer condiționat, sursă de alimentare și așa mai departe.
Al doilea grup de echipamente care este încă greu de îndepărtat din camera serverelor sunt gateway-urile
Securitate.
Dar care sunt aceste porți? După cum s-a menționat mai sus, dacă în trecutul recent administratorul de sistem a avut la dispoziție unul sau mai multe servere unde putea implementa orice își dorea inima, acum un asemenea lux s-ar putea să nu existe.
Dar nevoia de a se proteja împotriva amenințărilor externe nu a dispărut. Puteți, desigur, să transferați toate serviciile și echipamentele necesare în întregime la centrul de date și să conduceți traficul de la o astfel de poartă către conexiunea încrucișată a biroului printr-un canal securizat, de exemplu, prin VPN.
Această schemă pare atractivă la prima vedere, dacă nu pentru încărcarea crescută pe canalele existente. Dacă nu doriți să plătiți pentru un canal mai gros, acesta nu este exact ceea ce aveți nevoie.
O altă opțiune este achiziționarea unui dispozitiv specializat pentru protecția traficului, a cărui arhitectură, datorită focalizării sale înguste, vă permite să faceți fără componente puternice consumatoare de energie și generatoare de căldură.
Nu este nevoie de o grădină zoologică
În absența unei camere clasice de server, este mult mai bine să obțineți mai multe servicii „într-o cutie” deodată decât să creați o „zoo” într-o cameră mică sau chiar într-un mic dulap transversal. În același timp, soluția ar trebui să fie ieftină, dovedită și să aibă suport normal în limba rusă.
Notă. Vorbim acum despre birouri foarte mici, medii și mai mari. Încă nu luăm în considerare companiile mari care își construiesc propriile centre de date - într-un articol „este imposibil să înțelegem imensitatea”.
Și pentru fiecare caz, Zyxel are deja o soluție, în cadrul aceleiași linii de produse. Pe scurt, nu veți avea nevoie de o „grădina zoologică”.
ZyWALL ATP Security Gateways
Am vorbit anterior despre principiile de funcționare a unor astfel de dispozitive folosind exemplul Caracteristica lor principală este combinarea unui firewall cu serviciul de securitate Zyxel Cloud. Datorită acestei distribuții de responsabilități, ZyWALL ATP rezolvă o gamă destul de largă de probleme de protecție a perimetrului fără a necesita resurse hardware suplimentare.
Lista funcțiilor de protecție este destul de bogată (vezi Tabelul 1), inclusiv instrumentele de analiză SecuReporter și Sandboxing - un „sandbox” pentru analiza preliminară a conținutului descărcat.
Merită să subliniem încă o dată că în acest caz pur și simplu transferăm servicii de la biroul local în cloud. Zyxel Cloud face totul pentru noi în modul anonim. Pe lângă comoditate, această abordare oferă protecție eficientă împotriva amenințărilor zero-day prin învățarea automată și schimbul de informații între gateway-uri ATP din întreaga lume. O întreagă rețea neuronală a fost construită pentru protecție.
: „Când este detectat un fișier necunoscut, Cloud Query verifică rapid (în câteva secunde) codul hash cu baza de date din cloud și determină dacă este periculos sau nu. Acest serviciu necesită un minim de resurse de rețea pentru a funcționa și, prin urmare, nu reduce performanța dispozitivului. Eficacitatea protecției împotriva amenințărilor este asigurată prin utilizarea unei baze de date în cloud actualizate constant, care conține date despre miliarde de amenințări. Cloud Query accelerează, de asemenea, inteligența capabilităților emergente de detectare a amenințărilor Zyxel Security Cloud, sporind protecția împotriva malware-ului fiecărui firewall ATP.”
Tabelul 1. Caracteristicile tehnice ale liniei ZyWALL ATP.
Note:
(1) Performanța reală depinde în mare măsură de condițiile rețelei și de aplicațiile active.
(2) Debitul maxim se bazează pe RFC 2544 (pachete UDP de 1,518 octeți).
(3) Debitul VPN măsurat se bazează pe RFC 2544 (pachete UDP de 1,424 de octeți).
(4) Valorile de debit AV și IDP utilizează testul de performanță HTTP standard din industrie (pachete HTTP de 1,460 de octeți). Testarea a fost efectuată în modul multi-threaded.
(5) La măsurarea numărului maxim posibil de sesiuni s-au folosit instrumente standard din industrie - instrument de testare IXIA IxLoad.
(6) Rezultatele testului de viteză WAN de 1 Gbps au fost efectuate în condiții reale și pot varia ușor în funcție de calitatea conexiunii.
(7): După expirarea pachetului Gold, vor fi acceptate doar 2 AP-uri.
(8): Puteți activa sau extinde funcționalitatea achiziționând licențe suplimentare pentru serviciile Zyxel.
Acordați atenție setului de servicii VPN acceptat. Aproape tot ceea ce este necesar pentru comunicarea cu sediul sau biroul de acasă este deja „într-o sticlă”, așa că putem recomanda în siguranță acest dispozitiv atât ca nod final de comunicare pentru o sucursală, cât și pentru a sprijini munca de la distanță a angajaților.
Soluții pentru birouri mici
Birourile mici pot fi împărțite în două grupe: întreprinderi independente și sucursale ale companiilor mari.
Cele independente sunt întreprinderi nou născute și cele care sunt destinate să rămână mici. De exemplu, birouri de proiectare, studiouri de arhitectură, birouri editoriale ale mass-media mici și așa mai departe. Astfel de unități de afaceri folosesc adesea servicii cloud, cel puțin e-mail și partajare de fișiere.
Filialele organizațiilor mai mari - principalul lucru pentru ei este să aibă o legătură stabilă cu biroul central. Orice altceva se află în „Centru”.
Adesea, astfel de „bebeluși” au nevoie de o interfață simplă pentru control. Un administrator de rețea de la sediu nu are deseori ocazia să se grăbească rapid pe tărâmuri îndepărtate pentru a rezolva o problemă într-o nouă filială. Firmele locale mici nu au deloc această oportunitate. Trebuie să apelăm la serviciile unei „veniri
admin." Pentru astfel de cazuri, este necesar să se controleze conform principiului „cu cât mai simplu, cu atât mai fiabil”.
Pentru birourile mici, este logic să folosiți modelele ZyWALL ATP100 și ZyWALL ATP200.
Gateway de rețea a apărut relativ recent, dar a intrat deja .
Principala diferență față de fratele ei mai mare () - că este conceput pentru o încărcătură mai mică și nu are suporturi pentru un rack de 19 inchi. Recomandat pentru birouri de acasă, companii mici, sucursale și așa mai departe.
Figura 1. ZyWALL ATP100.
Caracteristici de design: ATP100 și ATP200 sunt modele fără ventilator. De ce este bine: în primul rând, nu există zgomot și, în al doilea rând, nu este nevoie să schimbați ventilatorul. Într-o situație cu un „administrator de intrare”, acesta este un indicator destul de important.
Figura 2. ZyWALL ATP200.
Modelul ATP200 acceptă două porturi WAN și se poate conecta la două linii independente, de exemplu, de la furnizori diferiți.
După cum am menționat mai sus, pentru un birou mic, cel mai important lucru după o alimentare stabilă cu energie electrică este o conexiune stabilă. Din păcate, furnizorii locali nu pot garanta întotdeauna că nu vor exista accidente. Trebuie să căutăm opțiuni de rezervă.
IMPORTANT! Pe lângă porturile WAN dedicate, modelele ATP au porturi USB la care poți conecta modemuri USB și le poți folosi ca WAN. Această caracteristică este disponibilă pentru toate ATP-urile.
Dacă dispozitivul are un port SFP, acesta poate fi folosit și ca WAN. Această caracteristică este disponibilă pentru toate ATP-urile.
Iată un truc de viață de la Zyxel.
Firme mijlocii
Pentru companiile mijlocii, Zyxel are propriul său hardware bun -
Este un gateway de ultimă generație cu protecție avansată împotriva amenințărilor în evoluție.
Printre caracteristicile interesante:
7 porturi configurabile permit configurarea flexibilă, de exemplu, 2 porturi WAN, 2 DMZ și 3 LAN în timp ce se conectează 3 VLAN-uri separate pentru uz intern. Există, de asemenea, 1 port SFP.
Figura 3. ZyWALL ATP500.
Este posibil să operați în modul cluster de înaltă disponibilitate Device HA Pro de la două ZyWALL ATP500. Dacă unul este inoperant, al doilea va asigura în continuare comunicarea.
Folosind complet funcțiile ATP500, puteți deveni flexibil,
comunicare extrem de fiabilă și sigură cu lumea exterioară sau cu un nod separat, de exemplu,
sediu.
Birouri mai mari
Pentru ei, este recomandată cea mai puternică versiune a acestei linii - ATP800.
Acest model are un număr decent de porturi: 12 RJ-45 și 2 SFP, toate putând fi configurate în modul WAN, LAN sau DNZ, ceea ce vă permite să utilizați mai multe WLAN-uri, să organizați mai multe DMZ-uri și să aveți în continuare posibilitatea de a vă conecta la o rețea externă pentru infrastructură internă complexă. Potrivit pentru birouri destul de mari, cu o rețea dezvoltată și cerințe ridicate de securitate și control al accesului.
Figura 4. ZyWALL ATP800.
De asemenea, merită remarcat faptul că acest model este recomandat pentru cumpărare cu tendință de „creștere”. Dacă intenționați să vă dezvoltați compania, de exemplu, să dezvoltați un lanț local de magazine, atunci este logic să achiziționați imediat un model mai puternic pentru a nu cheltui bani de două ori.
După cum puteți vedea, chiar și în cele mai spartane condiții este posibil să se asigure un nivel bun de protecție, toleranță la erori și flexibilitate în funcționare.
Suport tehnic, sfaturi, discuții, știri, promoții și anunțuri - contactați-ne pe Telegram!
Link-uri utile
Sursa: www.habr.com