Mnohé organizácie využívajú cloudové služby alebo do nich presúvajú zariadenia
Dátové centrum. Čo má zmysel nechať v serverovni a ako najlepšie zorganizovať ochranu perimetra kancelárskej siete v takejto situácii?
Kedysi bolo všetko na serveri
Na začiatku vývoja Runetu väčšina firiem riešila otázku IT infraštruktúry podľa približne rovnakej schémy: pridelili miestnosť, kde nainštalovali klimatizáciu a kde sa sústredilo takmer všetko sieťové a serverové vybavenie.
Správca systému nastavil jeden alebo viac serverov na FreeBSD, Linuxe alebo OpenSolaris atď. A potom na tomto „hostiteľovi“ spustil potrebné služby: od webového servera, firemnej pošty až po službu hostenia súborov.
Keď spoločnosť rastie a rozvíja sa, nevyhnutne čelí situácii, keď serverová miestnosť už nespĺňa požiadavky. Ak máte peniaze, môžete si vybudovať vlastné dátové centrum. Výhodnejšie môže byť prenájom stojanov z komerčných dátových centier. Kvalitný napájací zdroj založený na DRUPS, priemyselnom klimatizačnom systéme, kompletný personál vysoko špecializovaných špecialistov - tieto veci sú v prípade kancelárskej serverovne len ťažko dostupné.
Po veľkom biznise v hlavách manažmentu stredných a malých firiem postupne dochádza k prechodu od psychológie „všetko, čo mám, nosím so sebou“ a „môj dom je moja pevnosť“ k „dať to niekomu inému a nie trpieť.”
Pre malé podniky sa takouto „outsourcovanou“ možnosťou stali poskytovatelia cloudu. Ak predtým bolo pre firmu so 40 ľuďmi vlastný mailový server samozrejmosťou, dnes si služba od toho istého Google získava na svoju stranu všetkých, ktorí si predtým nevedeli predstaviť prácu bez vlastného Sendmailu či Postfixu.
Pri takomto „presťahovaní“ poskytli veľkú pomoc virtuálne systémy. Ak pred ich objavením bolo potrebné preniesť celý fyzický server, prípadne všetko nakonfigurovať na nový hardvér, teraz stačí preniesť obraz virtuálneho stroja.
Čo zostane v tej malej miestnosti s klimatizáciou?
V prvom rade ide o sieťové vybavenie. Aktívne aj pasívne. Pod hlasným názvom „server“ sa často rozumie krížové prepojenie so zvyškami sieťových zariadení. A pre takéto prípady nie je potrebná špeciálna miestnosť s výkonným klimatizačným systémom, napájaním atď.
Druhou skupinou zariadení, ktoré je stále ťažké odstrániť zo serverovne, sú brány
bezpečnosť.
Ale čo sú tieto brány? Ako už bolo spomenuté vyššie, ak mal v nedávnej minulosti správca systému k dispozícii jeden alebo niekoľko serverov, na ktorých mohol nasadiť, čo len chcel, teraz už takýto luxus nemusí existovať.
Potreba chrániť sa pred vonkajšími hrozbami však nezmizla. Všetky služby a potrebné vybavenie môžete samozrejme úplne preniesť do dátového centra a riadiť prevádzku z takejto brány do krížového prepojenia kancelárie cez zabezpečený kanál, napríklad cez VPN.
Táto schéma vyzerá na prvý pohľad atraktívne, ak nie pre zvýšené zaťaženie existujúcich kanálov. Ak nechcete platiť za hrubší kanál, nie je to presne to, čo potrebujete.
Ďalšou možnosťou je zakúpenie špecializovaného zariadenia na ochranu dopravy, ktorého architektúra sa vzhľadom na úzke zameranie zaobíde bez výkonných energeticky náročných a teplo generujúcich komponentov.
ZOO netreba
Pri absencii klasickej serverovne je oveľa lepšie získať niekoľko služieb „v jednom boxe“ naraz, ako vytvárať „zoologickú záhradu“ v malej miestnosti alebo dokonca v malej krížovej skrinke. Riešenie by zároveň malo byť lacné, osvedčené a mať normálnu podporu v ruštine.
Poznámka. Teraz hovoríme o veľmi malých, stredných a väčších kanceláriách. Zatiaľ neuvažujeme o veľkých spoločnostiach, ktoré budujú svoje vlastné dátové centrá – v jednom článku „je nemožné pochopiť tú nesmiernosť“.
A pre každý prípad už má Zyxel riešenie v rámci rovnakého produktového radu. Skrátka nebudete potrebovať „zoo“.
Bezpečnostné brány ZyWALL ATP
Predtým sme hovorili o princípoch fungovania takýchto zariadení pomocou príkladu Ich hlavnou vlastnosťou je spojenie firewallu s bezpečnostnou službou Zyxel Cloud. Vďaka tomuto rozdeleniu zodpovedností rieši ZyWALL ATP pomerne širokú škálu problémov s ochranou perimetra bez potreby ďalších hardvérových zdrojov.
Zoznam ochranných funkcií je pomerne bohatý (pozri tabuľku 1), vrátane analytických nástrojov SecuReporter a Sandboxing – „sandbox“ na predbežnú analýzu stiahnutého obsahu.
Je vhodné ešte raz zdôrazniť, že v tomto prípade jednoducho presúvame služby z lokálnej kancelárie do cloudu. Zyxel Cloud robí všetko ostatné za nás v anonymnom režime. Okrem pohodlia tento prístup poskytuje účinnú ochranu pred hrozbami zero-day prostredníctvom strojového učenia a výmeny informácií medzi bránami ATP po celom svete. Na ochranu bola vybudovaná celá neurónová sieť.
: „Keď sa zistí neznámy súbor, Cloud Query rýchlo (v priebehu niekoľkých sekúnd) skontroluje svoj hash kód oproti cloudovej databáze a určí, či je nebezpečný alebo nie. Táto služba vyžaduje na svoju prevádzku minimum sieťových zdrojov, a preto neznižuje výkon zariadenia. Efektívnosť ochrany pred hrozbami je zabezpečená využívaním neustále aktualizovanej cloudovej databázy obsahujúcej údaje o miliardách hrozieb. Cloud Query tiež zrýchľuje inteligenciu nových schopností detekcie hrozieb Zyxel Security Cloud, čím zvyšuje ochranu proti malvéru každého firewallu ATP.“
Tabuľka 1. Technické charakteristiky radu ZyWALL ATP.
Poznámky:
(1) Skutočný výkon veľmi závisí od podmienok siete a aktívnych aplikácií.
(2) Maximálna priepustnosť je založená na RFC 2544 (1,518 XNUMX-bajtové UDP pakety).
(3) Nameraná priepustnosť VPN je založená na RFC 2544 (1,424 XNUMX-bajtové UDP pakety).
(4) Metriky priepustnosti AV a IDP používajú test výkonnosti protokolu HTTP (1,460 XNUMX-bajtové pakety HTTP). Testovanie prebiehalo vo viacvláknovom režime.
(5) Pri meraní maximálneho možného počtu relácií boli použité priemyselné štandardné nástroje - testovací nástroj IXIA IxLoad.
(6) Výsledky testu rýchlosti 1Gbps WAN boli vykonané v reálnych podmienkach a môžu sa mierne líšiť v závislosti od kvality spojenia.
(7): Po skončení platnosti zlatého balíka budú podporované iba 2 prístupové body.
(8): Funkciu môžete povoliť alebo rozšíriť zakúpením ďalších licencií na služby Zyxel.
Venujte pozornosť podporovanej sade služieb VPN. Takmer všetko potrebné pre komunikáciu s centrálou či domácou kanceláriou je už „v jednej fľaši“, takže toto zariadenie môžeme pokojne odporučiť ako koncový komunikačný uzol pre pobočku, tak aj na podporu práce zamestnancov na diaľku.
Riešenia pre malé kancelárie
Malé kancelárie možno rozdeliť do dvoch skupín: nezávislé podniky a pobočky veľkých spoločností.
Nezávislé sú novovzniknuté podniky a tie, ktoré sú predurčené zostať malými. Napríklad dizajnérske kancelárie, architektonické štúdiá, redakcie malých médií a pod. Takéto obchodné jednotky často využívajú cloudové služby, aspoň zdieľanie pošty a súborov.
Pobočky väčších organizácií – pre nich je hlavné stabilné spojenie s centrálou. Všetko ostatné je v „Centre“.
Takéto „deti“ často potrebujú jednoduché rozhranie na ovládanie. Správca siete z centrály často nemá možnosť rýchlo sa ponáhľať do vzdialených krajín riešiť problém v novej pobočke. Miestne malé firmy túto možnosť vôbec nemajú. Musíme sa uchýliť k službám „príchodu
admin." V takýchto prípadoch je potrebné riadiť podľa zásady „čím jednoduchšie, tým spoľahlivejšie“.
Pre malé kancelárie má zmysel používať modely ZyWALL ATP100 a ZyWALL ATP200.
Sieťová brána sa objavil relatívne nedávno, ale už vstúpil .
Hlavný rozdiel od jeho staršieho brata () - že je určený pre menšiu záťaž a nemá úchyty pre 19-palcový stojan. Odporúča sa pre domáce kancelárie, malé firmy, pobočky a podobne.
Obrázok 1. ZyWALL ATP100.
Dizajnové prvky: ATP100 a ATP200 sú modely bez ventilátora. Prečo je to dobré: po prvé, nie je hluk a po druhé, nie je potrebné meniť ventilátor. V situácii s „prichádzajúcim správcom“ je to pomerne dôležitý ukazovateľ.
Obrázok 2. ZyWALL ATP200.
Model ATP200 podporuje dva WAN porty a môže sa pripojiť k dvom nezávislým linkám, napríklad od rôznych poskytovateľov.
Ako už bolo spomenuté vyššie, pre malú kanceláriu je po stabilnej dodávke elektriny najdôležitejšie stabilné pripojenie. Bohužiaľ, miestni poskytovatelia nemôžu vždy zaručiť, že nedôjde k žiadnym nehodám. Musíme hľadať možnosti zálohovania.
DÔLEŽITÉ! Okrem vyhradených portov WAN majú modely ATP porty USB, ku ktorým môžete pripojiť modemy USB a použiť ich ako WAN. Táto funkcia je dostupná pre všetkých ATP.
Ak má zariadenie port SFP, možno ho použiť aj ako WAN. Táto funkcia je dostupná pre všetkých ATP.
Tu je life hack od Zyxel.
Stredné spoločnosti
Pre stredne veľké spoločnosti má Zyxel svoj vlastný dobrý hardvér -
Ide o bránu novej generácie s pokročilou ochranou proti vyvíjajúcim sa hrozbám.
Medzi zaujímavé funkcie:
7 konfigurovateľných portov umožňuje flexibilnú konfiguráciu, napríklad 2 WAN, 2 DMZ a 3 LAN porty pri pripojení 3 samostatných VLAN pre interné použitie. K dispozícii je tiež 1 SFP port.
Obrázok 3. ZyWALL ATP500.
Je možné pracovať v režime klastra vysokej dostupnosti zariadenia HA Pro z dvoch ZyWALL ATP500. Ak je jeden nefunkčný, druhý bude stále zabezpečovať komunikáciu.
Plným využitím funkcií ATP500 môžete získať flexibilné,
vysoko spoľahlivá a bezpečná komunikácia s vonkajším svetom alebo samostatným uzlom, napr.
ústredie.
Väčšie kancelárie
Pre nich sa odporúča najvýkonnejšia verzia tejto rady - ATP800.
Tento model má slušný počet portov: 12 RJ-45 a 2 SFP, všetky je možné konfigurovať v režime WAN, LAN alebo DNZ, čo umožňuje využívať viacero WLAN, organizovať viacero DMZ a stále mať možnosť pripojiť sa k externá sieť pre komplexnú vnútornú infraštruktúru. Vhodné pre pomerne veľké kancelárie s rozvinutou sieťou a vysokými požiadavkami na bezpečnosť a kontrolu prístupu.
Obrázok 4. ZyWALL ATP800.
Za zmienku tiež stojí, že tento model sa odporúča kúpiť s tendenciou „rásť“. Ak plánujete rozšíriť svoju spoločnosť, napríklad vybudovať miestny reťazec obchodov, potom má zmysel okamžite si kúpiť výkonnejší model, aby ste peniaze neutrácali dvakrát.
Ako vidíte, aj v tých najsparťanejších podmienkach je možné poskytnúť dobrú úroveň ochrany, odolnosť voči poruchám a flexibilitu prevádzky.
Technická podpora, poradenstvo, diskusie, novinky, akcie a oznámenia - kontaktujte nás na telegrame!
Užitočné odkazy
Zdroj: hab.com