Maraming organisasyon ang gumagamit ng mga serbisyo sa cloud o naglilipat ng kagamitan
Data center. Ano ang makatuwirang umalis sa silid ng server at ano ang pinakamahusay na paraan upang ayusin ang proteksyon ng perimeter ng network ng opisina sa ganoong sitwasyon?
Noong unang panahon lahat ay nasa server
Sa simula ng pag-unlad ng Runet, nalutas ng karamihan sa mga kumpanya ang isyu ng imprastraktura ng IT ayon sa humigit-kumulang sa parehong pamamaraan: naglaan sila ng isang silid kung saan nag-install sila ng air conditioning at kung saan halos lahat ng kagamitan sa network at server ay puro.
Ang system administrator ay nag-set up ng isa o higit pang mga server sa FreeBSD, Linux, o OpenSolaris, atbp. At pagkatapos ay sa "host" na ito ay inilunsad niya ang mga kinakailangang serbisyo: mula sa isang web server, corporate mail, hanggang sa isang file hosting service.
Kapag ang isang kumpanya ay lumago at umunlad, hindi maiiwasang nahaharap ito sa isang sitwasyon kung saan ang silid ng server ay hindi na nakakatugon sa mga kinakailangan. Kung mayroon kang pera, maaari kang bumuo ng iyong sariling data center. Maaaring mas kumikita ang pagrenta ng mga rack mula sa mga commercial data center. De-kalidad na supply ng kuryente batay sa DRUPS, isang pang-industriyang air conditioning system, isang buong kawani ng mga dalubhasang espesyalista - ang mga bagay na ito ay halos hindi magagamit sa kaso ng isang silid ng server ng opisina.
Kasunod ng malaking negosyo, sa isipan ng pamamahala ng katamtaman at maliliit na kumpanya ay may unti-unting paglipat mula sa sikolohiya ng "Dala ko ang lahat ng mayroon ako" at "ang aking tahanan ang aking kuta" upang "ibigay ito sa iba at hindi magdusa.β
Para sa maliliit na negosyo, ang mga cloud provider ay naging isang "outsourced" na opsyon. Kung dati para sa isang kumpanya ng 40 katao na mayroong sariling mail server ay isang bagay na ipinagkakaloob, ngayon ang serbisyo mula sa parehong Google ay nanalo sa panig nito ang lahat ng mga dati ay hindi maisip na nagtatrabaho nang wala ang kanilang sariling Sendmail o Postfix.
Ang mga virtual system ay nagbigay ng malaking tulong sa naturang "relokasyon". Kung bago ang kanilang hitsura ay kinakailangan upang dalhin ang buong pisikal na server, o i-configure ang lahat sa bagong hardware, ngayon ay sapat na upang ilipat ang imahe ng virtual machine.
Ano ang mananatili sa maliit na silid na iyon na may air conditioning?
Una sa lahat, ito ay kagamitan sa network. Parehong aktibo at pasibo. Kadalasan, sa likod ng malakas na pangalan na "server" naiintindihan nila ang isang cross-connection sa mga labi ng kagamitan sa network. At para sa mga ganitong kaso, ang isang espesyal na silid na may isang malakas na air conditioning system, power supply, at iba pa ay hindi kinakailangan.
Ang pangalawang pangkat ng kagamitan na mahirap pa ring alisin sa silid ng server ay mga gateway
seguridad.
Ngunit ano ang mga gateway na ito? Tulad ng nabanggit sa itaas, kung sa nakalipas na nakaraan ang system administrator ay may isa o ilang mga server sa kanyang pagtatapon kung saan maaari niyang i-deploy ang anumang naisin ng kanyang puso, ngayon ay maaaring wala na ang gayong karangyaan.
Ngunit ang pangangailangang protektahan laban sa mga panlabas na banta ay hindi nawala. Maaari mong, siyempre, ilipat ang lahat ng mga serbisyo at kinakailangang kagamitan nang buo sa data center at humimok ng trapiko mula sa naturang gateway patungo sa cross-connection ng opisina sa pamamagitan ng isang secure na channel, halimbawa, sa pamamagitan ng VPN.
Ang scheme na ito ay mukhang kaakit-akit sa unang sulyap, kung hindi para sa tumaas na pagkarga sa mga umiiral na channel. Kung ayaw mong magbayad para sa mas makapal na channel, hindi ito ang eksaktong kailangan mo.
Ang isa pang pagpipilian ay ang pagbili ng isang dalubhasang aparato para sa proteksyon ng trapiko, ang arkitektura kung saan, dahil sa makitid na pokus nito, ay nagbibigay-daan sa iyo na gawin nang walang malakas na enerhiya-intensive at init-generating na mga bahagi.
Hindi na kailangan ng zoo
Sa kawalan ng isang klasikong silid ng server, mas mahusay na makakuha ng ilang mga serbisyo "sa isang kahon" nang sabay-sabay kaysa lumikha ng isang "zoo" sa isang maliit na silid, o kahit na sa loob ng isang maliit na cross-over cabinet. Kasabay nito, ang solusyon ay dapat na mura, napatunayan at may normal na suporta sa Russian.
Tandaan. Pinag-uusapan natin ngayon ang tungkol sa napakaliit, katamtaman at malalaking opisina. Hindi pa namin isinasaalang-alang ang malalaking kumpanya na nagtatayo ng sarili nilang mga data center - sa isang artikulo "imposibleng maunawaan ang kalawakan."
At para sa bawat kaso, mayroon nang solusyon si Zyxel, sa loob ng parehong linya ng produkto. Sa madaling salita, hindi mo kakailanganin ang isang "zoo".
ZyWALL ATP Security Gateways
Napag-usapan namin dati ang tungkol sa mga prinsipyo ng pagpapatakbo ng mga naturang device gamit ang halimbawa Ang kanilang pangunahing tampok ay ang kumbinasyon ng isang firewall sa serbisyo ng seguridad ng Zyxel Cloud. Salamat sa pamamahaging ito ng mga responsibilidad, nalulutas ng ZyWALL ATP ang isang medyo malawak na hanay ng mga isyu sa proteksyon ng perimeter nang hindi nangangailangan ng karagdagang mga mapagkukunan ng hardware.
Ang listahan ng mga function ng proteksyon ay napakayaman (tingnan ang Talahanayan 1), kabilang ang mga tool sa analytics ng SecuReporter at Sandboxing - isang "sandbox" para sa paunang pagsusuri ng na-download na nilalaman.
Ito ay nagkakahalaga ng pagbibigay-diin muli na sa kasong ito ay naglilipat lang kami ng mga serbisyo mula sa lokal na opisina patungo sa cloud. Ginagawa ni Zyxel Cloud ang lahat para sa amin sa anonymous mode. Bilang karagdagan sa kaginhawahan, nagbibigay ang diskarteng ito ng epektibong proteksyon laban sa mga zero-day na banta sa pamamagitan ng machine learning at pagpapalitan ng impormasyon sa pagitan ng mga ATP gateway sa buong mundo. Isang buong neural network ang binuo para sa proteksyon.
: βKapag may natukoy na hindi kilalang file, mabilis na sinusuri ng Cloud Query (sa loob ng ilang segundo) ang hash code nito laban sa cloud database at tinutukoy kung ito ay mapanganib o hindi. Ang serbisyong ito ay nangangailangan ng isang minimum na mga mapagkukunan ng network upang gumana, at samakatuwid ay hindi binabawasan ang pagganap ng device. Ang pagiging epektibo ng proteksyon sa pagbabanta ay sinisiguro sa pamamagitan ng paggamit ng patuloy na na-update na cloud database na naglalaman ng data sa bilyun-bilyong pagbabanta. Pinapabilis din ng Cloud Query ang katalinuhan ng mga umuusbong na kakayahan sa pagtuklas ng pagbabanta ng Zyxel Security Cloud, na nagpapahusay sa proteksyon ng malware ng bawat firewall ng ATP."
Talahanayan 1. Mga teknikal na katangian ng linya ng ZyWALL ATP.
remarks:
(1) Ang aktwal na pagganap ay lubos na nakadepende sa mga kundisyon ng network at mga aktibong aplikasyon.
(2) Ang maximum throughput ay batay sa RFC 2544 (1,518-byte na UDP packet).
(3) Ang sinusukat na throughput ng VPN ay batay sa RFC 2544 (1,424-byte na UDP packet).
(4) Ginagamit ng mga sukatan ng throughput ng AV at IDP ang pamantayan ng industriya ng pagsubok sa pagganap ng HTTP (1,460-byte na HTTP packet). Ang pagsubok ay isinagawa sa multi-threaded mode.
(5) Kapag sinusukat ang maximum na posibleng bilang ng mga session, ginamit ang mga tool sa pamantayan ng industriya - IXIA IxLoad testing tool.
(6) Ang mga resulta ng pagsubok sa bilis ng 1Gbps WAN ay isinagawa sa ilalim ng mga tunay na kondisyon at maaaring bahagyang mag-iba depende sa kalidad ng link.
(7): Pagkatapos mag-expire ang Gold Pack, 2 AP lang ang susuportahan.
(8): Maaari mong paganahin o palawakin ang functionality sa pamamagitan ng pagbili ng mga karagdagang lisensya para sa mga serbisyo ng Zyxel.
Bigyang-pansin ang suportadong hanay ng mga serbisyo ng VPN. Halos lahat ng kailangan para sa pakikipag-ugnayan sa punong-tanggapan o opisina ng bahay ay nasa "isang bote," kaya ligtas naming mairerekomenda ang device na ito bilang panghuling node ng komunikasyon para sa isang sangay at upang suportahan ang malayong trabaho ng mga empleyado.
Mga solusyon para sa maliliit na opisina
Ang mga maliliit na tanggapan ay maaaring nahahati sa dalawang grupo: mga independiyenteng negosyo at mga sangay ng malalaking kumpanya.
Ang mga independyente ay mga bagong isinilang na negosyo at yaong nakatakdang manatiling maliit. Halimbawa, ang mga bureaus ng disenyo, mga studio ng arkitektura, mga tanggapan ng editoryal ng maliit na media, at iba pa. Ang mga nasabing unit ng negosyo ay kadalasang gumagamit ng mga serbisyo sa cloud, kahit man lang sa pagbabahagi ng mail at file.
Mga sangay ng mas malalaking organisasyon - ang pangunahing bagay para sa kanila ay magkaroon ng isang matatag na koneksyon sa sentral na tanggapan. Ang lahat ng iba pa ay nasa "Center".
Kadalasan ang gayong "mga sanggol" ay nangangailangan ng isang simpleng interface para sa kontrol. Ang isang network administrator mula sa punong-tanggapan ay madalas na walang pagkakataon na mabilis na magmadali sa malalayong lupain upang malutas ang isang problema sa isang bagong sangay. Ang mga lokal na maliliit na kumpanya ay walang ganitong pagkakataon. Kailangan nating gamitin ang mga serbisyo ng isang βdarating
admin." Para sa mga ganitong kaso, kinakailangan na kontrolin ayon sa prinsipyong "mas simple, mas maaasahan."
Para sa maliliit na opisina, makatuwirang gamitin ang mga modelong ZyWALL ATP100 at ZyWALL ATP200.
Gateway ng network lumitaw kamakailan, ngunit nakapasok na .
Ang pangunahing pagkakaiba mula sa nakatatandang kapatid nito () - na ito ay dinisenyo para sa isang mas maliit na load, at walang mga mount para sa isang 19-inch rack. Inirerekomenda para sa mga opisina sa bahay, maliliit na kumpanya, sangay at iba pa.
Larawan 1. ZyWALL ATP100.
Mga tampok ng disenyo: Ang ATP100 at ATP200 ay mga modelong walang fan. Bakit ito mabuti: una, walang ingay, at pangalawa, hindi na kailangang baguhin ang fan. Sa isang sitwasyon na may "papasok na admin", ito ay isang medyo mahalagang tagapagpahiwatig.
Larawan 2. ZyWALL ATP200.
Sinusuportahan ng modelong ATP200 ang dalawang WAN port at maaaring kumonekta sa dalawang independiyenteng linya, halimbawa, mula sa iba't ibang provider.
Tulad ng nabanggit sa itaas, para sa isang maliit na opisina, ang pinakamahalagang bagay pagkatapos ng isang matatag na supply ng kuryente ay isang matatag na koneksyon. Sa kasamaang palad, ang mga lokal na tagapagkaloob ay hindi palaging magagarantiya na walang mga aksidente. Kailangan nating maghanap ng mga backup na opsyon.
MAHALAGA! Bilang karagdagan sa mga nakalaang WAN port, ang mga modelo ng ATP ay may mga USB port kung saan maaari mong ikonekta ang mga USB modem at gamitin ang mga ito bilang isang WAN. Available ang feature na ito sa lahat ng ATP.
Kung may SFP port ang device, maaari rin itong gamitin bilang WAN. Available ang feature na ito para sa lahat ng ATP.
Narito ang isang life hack mula kay Zyxel.
Mga katamtamang kumpanya
Para sa mga katamtamang laki ng kumpanya, ang Zyxel ay may sarili nitong magandang hardware -
Ito ay isang susunod na henerasyong gateway na may advanced na proteksyon laban sa mga umuusbong na banta.
Kabilang sa mga kagiliw-giliw na tampok:
Nagbibigay-daan ang 7 configurable port sa flexible na configuration, halimbawa, 2 WAN, 2 DMZ at 3 LAN port habang kumokonekta sa 3 magkahiwalay na VLAN para sa panloob na paggamit. Mayroon ding 1 SFP port.
Larawan 3. ZyWALL ATP500.
Posibleng gumana sa Device HA Pro high availability cluster mode mula sa dalawang ZyWALL ATP500. Kung ang isa ay hindi gumagana, ang pangalawa ay magbibigay pa rin ng komunikasyon.
Gamit ang mga function ng ATP500 nang buo, maaari kang maging flexible,
lubos na maaasahan, ligtas na komunikasyon sa labas ng mundo o isang hiwalay na node, halimbawa,
punong-tanggapan.
Mas malalaking opisina
Para sa kanila, inirerekomenda ang pinakamalakas na bersyon ng linyang ito - ATP800.
Ang modelong ito ay may isang disenteng bilang ng mga port: 12 RJ-45 at 2 SFP, lahat ng mga ito ay maaaring i-configure sa WAN, LAN o DNZ mode, na nagpapahintulot sa iyo na gumamit ng ilang mga WLAN, ayusin ang ilang mga DMZ at mayroon pa ring pagkakataon na kumonekta sa isang panlabas na network para sa kumplikadong panloob na imprastraktura. Angkop para sa medyo malalaking opisina na may binuo na network at mataas na mga kinakailangan para sa seguridad at kontrol sa pag-access.
Larawan 4. ZyWALL ATP800.
Dapat ding tandaan na ang modelong ito ay inirerekomenda para sa pagbili na may posibilidad na "lumago." Kung plano mong palaguin ang iyong kumpanya, halimbawa, bumuo ng isang lokal na hanay ng mga tindahan, pagkatapos ay makatuwiran na agad na bumili ng isang mas malakas na modelo upang hindi gumastos ng pera nang dalawang beses.
Tulad ng nakikita mo, kahit na sa ilalim ng pinaka-spartan na mga kondisyon posible na magbigay ng isang mahusay na antas ng proteksyon, fault tolerance at flexibility sa operasyon.
Teknikal na suporta, payo, talakayan, balita, promosyon at anunsyo - makipag-ugnayan sa amin sa Telegram!
Kapaki-pakinabang na mga link
Pinagmulan: www.habr.com