Mnoge organizacije uporabljajo storitve v oblaku ali selijo opremo
Podatkovno središče. Kaj je smiselno pustiti v strežniški sobi in kako je v takšni situaciji najbolje organizirati zaščito perimetra pisarniškega omrežja?
Nekoč je bilo vse na strežniku
Na začetku razvoja Runeta je večina podjetij rešila vprašanje IT infrastrukture po približno enaki shemi: dodelili so prostor, kjer so namestili klimatsko napravo in kjer je bila skoncentrirana skoraj vsa omrežna in strežniška oprema.
Sistemski skrbnik je postavil enega ali več strežnikov na FreeBSD, Linux ali OpenSolaris itd. In potem je na tem "gostitelju" zagnal potrebne storitve: od spletnega strežnika, službene pošte do storitve gostovanja datotek.
Ko podjetje raste in se razvija, se neizogibno sooči s situacijo, ko strežniška soba ne izpolnjuje več zahtev. Če imate denar, lahko zgradite svoj podatkovni center. Morda bi bilo bolj donosno najeti stojala v komercialnih podatkovnih centrih. Kakovostno napajanje na osnovi DRUPS, industrijski klimatski sistem, polno osebje visoko specializiranih strokovnjakov - te stvari so komaj na voljo v primeru pisarniške strežniške sobe.
Po velikem poslu v glavah vodstva srednjih in malih podjetij postopoma prihaja do prehoda od psihologije »vse, kar imam, nosim s seboj« in »moj dom je moja trdnjava« v »podari drugemu in ne trpeti."
Za mala podjetja so ponudniki v oblaku postali taka "zunanja" možnost. Če je bilo prej za podjetje 40 ljudi lasten poštni strežnik nekaj samoumevnega, danes storitev istega Googla na svojo stran pridobiva vse tiste, ki si prej niso predstavljali dela brez lastnega Sendmaila ali Postfixa.
V veliko pomoč pri taki »preselitvi« so bili virtualni sistemi. Če je bilo pred njihovim pojavom treba prenesti celoten fizični strežnik ali vse konfigurirati na novi strojni opremi, je zdaj dovolj, da prenesete sliko virtualnega stroja.
Kaj bo ostalo v tisti sobici s klimo?
Najprej je to omrežna oprema. Tako aktivni kot pasivni. Pogosto za glasnim imenom "strežnik" razumejo navzkrižno povezavo z ostanki omrežne opreme. In za takšne primere ni potrebna posebna soba z močnim klimatskim sistemom, napajanjem itd.
Druga skupina opreme, ki jo je še težko odstraniti iz strežniške sobe, so prehodi
varnost.
Toda kaj so ti prehodi? Kot že omenjeno, če je imel sistemski skrbnik v nedavni preteklosti na voljo enega ali več strežnikov, kjer je lahko namestil, kar mu je srce poželelo, zdaj takšnega razkošja morda ne bo več.
Toda potreba po zaščiti pred zunanjimi grožnjami ni izginila. Seveda pa lahko vse storitve in potrebno opremo v celoti prenesete v podatkovni center in vodite promet od takšnega prehoda do navzkrižne povezave pisarne po varnem kanalu, na primer prek VPN.
Ta shema je na prvi pogled videti privlačna, če ne zaradi povečane obremenitve obstoječih kanalov. Če ne želite plačati za debelejši kanal, to ni ravno tisto, kar potrebujete.
Druga možnost je nakup specializirane naprave za zaščito prometa, katere arhitektura zaradi svoje ozke usmerjenosti omogoča brez močnih energetsko intenzivnih in toplotnih komponent.
Ni potrebe po živalskem vrtu
V odsotnosti klasične strežniške sobe je veliko bolje dobiti več storitev “v eni škatli” naenkrat, kot pa ustvariti “živalski vrt” v majhni sobici ali celo v majhni križni omarici. Hkrati bi morala biti rešitev poceni, preverjena in imeti normalno podporo v ruskem jeziku.
Opomba. Zdaj govorimo o zelo majhnih, srednjih in večjih pisarnah. Še ne razmišljamo o velikih podjetjih, ki gradijo lastne podatkovne centre - v enem članku "je nemogoče dojeti neizmernost."
In za vsak primer ima Zyxel že rešitev znotraj iste linije izdelkov. Skratka, ne boste potrebovali "živalskega vrta".
Varnostni prehodi ZyWALL ATP
Na primeru smo že govorili o načelih delovanja takšnih naprav Njihova glavna značilnost je kombinacija požarnega zidu z varnostno storitvijo Zyxel Cloud. Zahvaljujoč tej porazdelitvi odgovornosti, ZyWALL ATP rešuje precej širok spekter težav z zaščito perimetra brez potrebe po dodatnih strojnih virih.
Seznam zaščitnih funkcij je precej bogat (glej tabelo 1), vključno z orodji za analizo SecuReporter in Sandboxing - "peskovnikom" za predhodno analizo prenesene vsebine.
Še enkrat velja poudariti, da gre v tem primeru zgolj za prenos storitev iz lokalne pisarne v oblak. Zyxel Cloud naredi vse ostalo namesto nas v anonimnem načinu. Poleg priročnosti ta pristop zagotavlja učinkovito zaščito pred grožnjami ničelnega dne s pomočjo strojnega učenja in izmenjave informacij med prehodi ATP po vsem svetu. Za zaščito je bila zgrajena celotna nevronska mreža.
: »Ko je zaznana neznana datoteka, Cloud Query hitro (v nekaj sekundah) preveri njeno zgoščeno kodo glede na bazo podatkov v oblaku in ugotovi, ali je nevarna ali ne. Ta storitev za delovanje zahteva najmanj omrežnih virov in zato ne zmanjša zmogljivosti naprave. Učinkovitost zaščite pred grožnjami je zagotovljena z uporabo nenehno posodobljene baze podatkov v oblaku, ki vsebuje podatke o milijardah groženj. Cloud Query prav tako pospeši inteligenco nastajajočih zmožnosti zaznavanja groženj Zyxel Security Cloud in izboljša zaščito pred zlonamerno programsko opremo vsakega požarnega zidu ATP.«
Tabela 1. Tehnične značilnosti linije ZyWALL ATP.
Opombe:
(1) Dejanska zmogljivost je močno odvisna od omrežnih pogojev in aktivnih aplikacij.
(2) Največja prepustnost temelji na RFC 2544 (1,518-bajtni paketi UDP).
(3) Izmerjena prepustnost VPN temelji na RFC 2544 (1,424-bajtni paketi UDP).
(4) Meritve prepustnosti AV in IDP uporabljajo industrijski standardni test zmogljivosti HTTP (1,460-bajtni paketi HTTP). Testiranje je bilo izvedeno v večnitnem načinu.
(5) Pri merjenju največjega možnega števila sej so bila uporabljena industrijska standardna orodja - orodje za testiranje IXIA IxLoad.
(6) Rezultati preskusa hitrosti WAN 1 Gbps so bili izvedeni v dejanskih pogojih in se lahko nekoliko razlikujejo glede na kakovost povezave.
(7): Po izteku Zlatega paketa bosta podprti samo 2 AP.
(8): Funkcionalnost lahko omogočite ali razširite z nakupom dodatnih licenc za storitve Zyxel.
Bodite pozorni na podprt nabor storitev VPN. Skoraj vse, kar je potrebno za komunikacijo s sedežem ali domačo pisarno, je že »v eni steklenici«, zato lahko mirno priporočamo to napravo kot končno komunikacijsko vozlišče za podružnico in kot podporo za delo zaposlenih na daljavo.
Rešitve za majhne pisarne
Majhne pisarne lahko razdelimo v dve skupini: samostojna podjetja in podružnice velikih podjetij.
Neodvisna so novonastala podjetja in tista, ki jim je usojeno, da ostanejo majhna. Na primer projektantski biroji, arhitekturni studii, uredništva malih medijev ipd. Takšne poslovne enote pogosto uporabljajo storitve v oblaku, vsaj pošto in izmenjavo datotek.
Podružnice večjih organizacij - glavna stvar zanje je stabilna povezava s centralo. Vse ostalo je v "Centru".
Pogosto takšni "dojenčki" potrebujejo preprost vmesnik za nadzor. Skrbnik omrežja s sedeža pogosto nima možnosti, da bi hitro odhitel v daljne dežele, da bi rešil težavo v novi podružnici. Domača mala podjetja te možnosti sploh nimajo. Zateči se moramo k storitvam »prihoda
skrbnik." Za takšne primere je potrebno krmiljenje po načelu »preprostejše, bolj zanesljivo«.
Za majhne pisarne je smiselna uporaba modelov ZyWALL ATP100 in ZyWALL ATP200.
Omrežni prehod pojavil relativno nedavno, vendar je že vstopil .
Glavna razlika od starejšega brata () - da je zasnovan za manjšo obremenitev in nima nosilcev za 19-palčni regal. Priporočljivo za domače pisarne, mala podjetja, podružnice itd.
Slika 1. ZyWALL ATP100.
Značilnosti oblikovanja: ATP100 in ATP200 sta modela brez ventilatorja. Zakaj je to dobro: prvič, ni hrupa, in drugič, ni treba menjati ventilatorja. V situaciji z "dohodnim skrbnikom" je to precej pomemben indikator.
Slika 2. ZyWALL ATP200.
Model ATP200 podpira dva vrata WAN in se lahko poveže na dve neodvisni liniji, na primer različnih ponudnikov.
Kot že omenjeno, je za majhno pisarno po stabilni oskrbi z električno energijo najpomembnejša stabilna povezava. Na žalost lokalni ponudniki ne morejo vedno zagotoviti, da ne bo nesreč. Iskati moramo rezervne možnosti.
POMEMBNO! Poleg namenskih WAN vrat imajo modeli ATP USB vrata, na katera lahko priključite USB modeme in jih uporabljate kot WAN. Ta funkcija je na voljo vsem ATP.
Če ima naprava vrata SFP, se ta lahko uporabljajo tudi kot WAN. Ta funkcija je na voljo za vse ATP.
Tukaj je življenjski trik podjetja Zyxel.
Srednja podjetja
Za srednje velika podjetja ima Zyxel svojo dobro strojno opremo -
Je prehod naslednje generacije z napredno zaščito pred razvijajočimi se grožnjami.
Med zanimivimi lastnostmi:
7 nastavljivih vrat omogoča prilagodljivo konfiguracijo, na primer 2 WAN, 2 DMZ in 3 LAN vrata ob povezovanju 3 ločenih VLAN za interno uporabo. Na voljo je tudi 1 SFP port.
Slika 3. ZyWALL ATP500.
Iz dveh ZyWALL ATP500 je mogoče delovati v načinu visoke razpoložljivosti gruče Device HA Pro. Če eden ne deluje, bo drugi še vedno zagotavljal komunikacijo.
Z uporabo funkcij ATP500 v celoti lahko postanete prilagodljivi,
zelo zanesljiva, varna komunikacija z zunanjim svetom ali ločenim vozliščem, na primer,
sedež.
Večje pisarne
Za njih je priporočljiva najmočnejša različica te linije - ATP800.
Ta model ima dostojno število vrat: 12 RJ-45 in 2 SFP, vse jih je mogoče konfigurirati v načinu WAN, LAN ali DNZ, kar vam omogoča uporabo več WLAN-ov, organiziranje več DMZ-jev in še vedno možnost povezave z zunanje omrežje za kompleksno notranjo infrastrukturo. Primerno za dokaj velike pisarne z razvitim omrežjem in visokimi zahtevami glede varnosti in nadzora dostopa.
Slika 4. ZyWALL ATP800.
Prav tako je treba omeniti, da je ta model priporočljiv za nakup s težnjo k "rasti". Če nameravate povečati svoje podjetje, na primer razviti lokalno verigo trgovin, potem je smiselno takoj kupiti močnejši model, da ne boste dvakrat porabili denarja.
Kot lahko vidite, je tudi v najbolj špartanskih pogojih mogoče zagotoviti dobro raven zaščite, odpornosti na napake in prilagodljivost delovanja.
Tehnična podpora, svetovanje, razprave, novice, promocije in obvestila - kontaktirajte nas na Telegram!
Uporabne povezave
Vir: www.habr.com