Багато організацій використовують хмарні сервіси або переміщують обладнання
ЦОД. Що має сенс залишити в серверній та як краще організувати захист периметра офісної мережі в такій ситуації?
Колись все було на сервері
На початку розвитку Рунету більшість компаній питання з ІТ-інфраструктурою вирішувало приблизно за однією схемою: виділялося приміщення, куди ставили кондиціонер і де зосереджувалося майже все мережне та серверне обладнання.
Системний адміністратор налаштовував один або кілька серверів на FreeBSD, Linux або OpenSolaris і т. д. А потім на цьому «господарстві» запускав необхідні сервіси: від web-сервера, корпоративної пошти аж до файлообмінника.
Коли компанія росте і розвивається, то неминуче стикається із ситуацією, коли серверна вже не відповідає вимогам. Якщо є гроші, можна збудувати власний ЦОД. Можливо вигідніше орендувати стійки у комерційних ЦОД. Якісне електроживлення на основі DRUPS, промислова система кондиціювання, повний штат вузько-спеціалізованих фахівців – ці речі навряд чи доступні у випадку з офісною серверною.
Слідом за великим бізнесом, у свідомості керівництва середніх і невеликих компаній поступово відбувається перехід від психології «все моє ношу з собою» та «мій дім — моя фортеця» до «віддати набік і не мучитися».
Для малого бізнесу таким варіантом "на бік" з'явилися хмарні провайдери. Якщо раніше для компанії в 40 осіб наявність власного поштового сервера було чимось зрозумілим, то сьогодні сервіс від того ж Google перетягує на свій бік всіх тих, хто раніше не думав роботу без свого Sendmail або Postfix.
Велику допомогу у подібному переселенні надали віртуальні системи. Якщо до появи потрібно було перевозити фізичний сервер цілком, чи все налаштовувати на новому «залізі», тепер достатньо перенести образ віртуальної машини.
Що ж залишиться в тій маленькій кімнатці з кондиціонером?
Насамперед це мережне обладнання. Як активний, так і пасивний. Найчастіше за гучною назвою "серверна" розуміють кросову із залишками мережевого обладнання. І для таких випадків не потрібно спеціального приміщення з потужною системою кондиціювання, електроживлення тощо.
Друга група обладнання, яку поки що складно прибрати з серверної — це шлюзи
безпеки.
Але які це шлюзи? Як було сказано вище, якщо в недалекому минулому у розпорядженні сисадміна було один або кілька серверів, де можна було розгорнути що душа забажає, то зараз такої розкоші може не бути.
Але необхідність захисту від зовнішніх загроз нікуди не поділася. Можна, звичайно, перенести всі сервіси та необхідне обладнання повністю в ЦОД і ганяти трафік від такого шлюзу до офісної кросової захищеним каналом, наприклад, VPN.
Така схема з першого погляду виглядає привабливо, якби підвищення навантаження на існуючі канали. Якщо немає бажання платити за більш «товстий» канал, це не зовсім те, що потрібно.
Інший варіант — придбати спеціалізований пристрій для захисту трафіку, архітектура якого через вузьку спрямованість дозволяє обійтися без потужних енергоємних і компонентів, що виділяють тепло.
«Зоопарк» не знадобиться
За відсутності класичної серверної краще отримати відразу кілька сервісів «в-одній-коробці», ніж розводити «зоопарк» в невеликому приміщенні, а то й зовсім у межах маленької кросової шафи. При цьому рішення має бути не дорогим, перевіреним та мати нормальну підтримку російською мовою.
Примітка. Ми зараз говоримо про зовсім невеликі, середні та більші офіси. Великі компанії, які будують власні ЦОД, поки не розглядаємо — в одній статті «неможливо осягнути неосяжне».
І на кожен випадок Zyxel вже має рішення, при цьому в рамках однієї продуктової лінійки. Словом, "зоопарк" не знадобиться.
Шлюзи безпеки ZyWALL ATP
Раніше ми вже розповідали про принципи роботи таких пристроїв на прикладі Їхня головна особливість полягає в поєднанні міжмережевого екрану з хмарним сервісом безпеки Zyxel Cloud. Завдяки такому розподілу обов'язків ZyWALL ATP вирішують досить широкий спектр питань захисту периметра, не вимагаючи додаткових апаратних ресурсів.
Список функцій захисту досить багатий (див. таблицю 1), включаючи SecuReporter інструменти аналітики та Sandboxing — «пісочницю» для попереднього аналізу контенту, що скачується.
Ще раз варто наголосити — в даному випадку ми просто переносимо сервіси з локального офісу в хмару. Решта за нас робить Zyxel Cloud в анонімному режимі. Крім зручності такий підхід забезпечує ефективний захист від загроз нульового дня завдяки машинному навчанню та обміну інформацією між шлюзами АТП всього світу. Для захисту побудовано цілу нейромережу.
: «При виявленні невідомого файлу Cloud Query швидко (протягом кількох секунд) перевіряє його хеш-код по хмарній базі даних та визначає, є він небезпечним чи ні. Для роботи даного сервісу потрібно мінімум мережевих ресурсів, і тому він не знижує продуктивність пристрою. Ефективність захисту від загроз забезпечує використання постійно оновлюваної хмарної бази даних, яка містить дані про мільярди загроз. Також хмарний запит прискорює роботу інтелектуальних функцій виявлення нових загроз Zyxel Security Cloud, що посилює захист від шкідливого коду кожного міжмережевого екрану ATP.»
Таблиця 1. Технічні характеристики лінійки ZyWALL ATP.
Примітки:
(1) Реальна продуктивність дуже залежить від стану мережі та активних програм.
(2) Максимальна пропускна здатність ґрунтується на RFC 2544 (1,518-byte UDP packets).
(3) Виміряна пропускна здатність VPN ґрунтується на RFC 2544 (1,424-byte UDP packets).
(4) AV та IDP метрики пропускної спроможності використовують індустріальний стандартний HTTP тест продуктивності (1,460-byte HTTP packets). Тестування виконувалося багатопоточному режимі.
(5) При вимірі максимально можливої кількості сесій використано промисловий стандартний інструментарій – IXIA IxLoad testing tool.
(6) Результати тесту швидкості з'єднання з 1Gbps WAN проводилися в реальних умовах і можуть мати невеликі розбіжності в залежності від якості каналу.
(7): Після закінчення терміну дії Gold Pack підтримуватиметься лише 2 AP.
(8): Увімкнути або розширити функціональні можливості можна, придбавши додаткові ліцензії на послуги Zyxel.
Зверніть увагу на підтримуваний набір сервісів VPN. Практично все необхідне для зв'язку зі штаб-квартирою або домашнім офісом вже є «в одному флаконі», тому можна сміливо рекомендувати цей пристрій як кінцевий вузол зв'язку для філії, і для підтримки віддаленої роботи співробітників.
Рішення для малих офісів
Малі офіси можна умовно поділити на дві групи: самостійні підприємства та філії великих компаній.
Самостійні — це підприємства, що нещодавно народилися, і ще ті, яким судилося залишатися малими. Наприклад, дизайнерські бюро, архітектурні студії, редакції невеликих ЗМІ тощо. Такі бізнес-одиниці часто користуються хмарними послугами як мінімум поштою та файлообмінником.
Філії великих організацій — для них головне мати стійкий зв'язок із центральним офісом. Решта знаходиться в «Центрі».
Часто такі «малюки» потребують простого інтерфейсу для керування. У мережевого адміністратора зі штаб-квартири часто немає можливості швиденько кинутися в далекі краї, щоб вирішити проблему нова філія. Місцеві маленькі компанії такої можливості не мають взагалі. Доводиться вдатися до послуг «прихожого
адміну». Для таких випадків необхідне управління за принципом «чим простіше – тим надійнішим».
Для малих офісів можна використовувати моделі ZyWALL ATP100 і ZyWALL ATP200.
Мережевий шлюз з'явився відносно недавно, але вже надійшов у .
Головна відмінність від старшого побратима () - те, що він розрахований на менше навантаження, і не має кріплення для стійки 19 дюймів. Рекомендується для домашніх офісів, малих компаній, філій тощо.
Рисунок 1. ZyWALL ATP100.
З конструктивних особливостей: ATP100 та ATP200 – це безвентиляторні моделі. Чим це добре: по-перше, немає шуму, по-друге, немає потреби міняти вентилятор. У ситуації з «приходящим адміном» це досить важливий показник.
Рисунок 2. ZyWALL ATP200.
Модель ATP200 підтримує два порти WAN і може підключатися до двох незалежних ліній, наприклад, різних провайдерів.
Як було зазначено вище, для малого офісу найголовніше після стабільної подачі електрики — це стійкий зв'язок. На жаль, місцеві провайдери не завжди можуть гарантувати відсутність аварії. Доводиться шукати запасні варіанти.
ВАЖЛИВО! Крім спеціальних портів WAN у моделях ATP є USB-порти, до яких можна підключити USB-модеми та використовувати як WAN. Ця можливість доступна для всіх ATP.
Якщо пристрій має порт SFP, це також можна використовувати як WAN. Ця особливість доступна всім ATP.
Ось такий лайфхак від компанії Zyxel.
Середні компанії
Для середніх компаній у Zyxel своя непогана «залізка»
Це шлюз нового покоління з розширеним захистом від загроз, що еволюціонують.
З цікавих особливостей:
7 конфігурованих портів дозволяють виконувати гнучку настройку, наприклад, 2 WAN, 2 DMZ і 3 LAN порту при підключенні 3 окремих VLAN для внутрішнього використання. Також є 1 порт SFP.
Рисунок 3. ZyWALL ATP500.
Є можливість роботи в режимі кластера високої доступності Device HA Pro із двох ZyWALL ATP500. Якщо один у неробочому стані, другий все одно забезпечить зв'язок.
Використовуючи функції ATP500 за «повною програмою» можна отримати гнучку,
високонадійний, безпечний зв'язок із зовнішнім світом або окремим вузлом, наприклад,
штаб-квартирою.
Більші офіси
Для них рекомендується найпотужніший варіант даної лінійки – ATP800.
Ця модель має пристойну кількість портів: 12 RJ-45 і 2 SFP, всі вони можуть налаштовуватися в режим WAN, LAN або DNZ, що дозволяє використовувати кілька WLAN, організувати кілька DMZ і залишиться можливість зробити вихід у зовнішню мережу для складної внутрішньої інфраструктури. Підходить для досить великих офісів з розвиненою мережею та високими вимогами до безпеки та розмежування доступу.
Рисунок 4. ZyWALL ATP800.
Варто також відзначити, що ця модель рекомендується придбання з тенденцією «на виріст». Якщо планується зростання компанії, наприклад, розвиток місцевої мережі магазинів, то є сенс одразу набувати модель потужнішої, щоб двічі не витрачати гроші.
Як бачимо, навіть за самих спартанських умов можна забезпечити хороший рівень захисту, стійкості до відмов і гнучкості при роботі.
Технічна підтримка, поради, обговорення, новини, акції та анонси до нас у Telegram!
Корисні посилання
Джерело: habr.com