🤸🏼 🧚🏿 🖕🏿 ¿Qué quedará en la sala del servidor? 👏🏽 🚄 🛌🏾

Muchas organizaciones usan servicios en la nube o mueven equipos a
Centro de datos. ¿Qué tiene sentido dejar en la sala de servidores y cuál es la mejor manera de organizar la protección del perímetro de la red de la oficina en esta situación?

Érase una vez que todo estaba en el servidor

Al comienzo del desarrollo del Runet, la mayoría de las empresas resolvieron el problema de la infraestructura de TI de la misma manera: se destacaba una sala donde colocaban el aire acondicionado y donde se concentraba casi todo el equipo de red y servidor.

El administrador del sistema configuró uno o varios servidores en FreeBSD, Linux u OpenSolaris, etc. Y luego, en esta "granja", lanzó los servicios necesarios: desde un servidor web, correo corporativo hasta el intercambio de archivos.

Cuando una empresa crece y se desarrolla, inevitablemente se encontrará con una situación en la que el servidor ya no cumple con los requisitos. Si tiene dinero, puede construir su propio centro de datos. Puede ser más rentable alquilar bastidores en centros de datos comerciales. Fuente de alimentación de alta calidad basada en DRUPS, un sistema de aire acondicionado industrial, un equipo completo de especialistas altamente especializados: estas cosas apenas están disponibles en el caso de un servidor de oficina.

Después del gran negocio, en la mente de la gerencia de las empresas medianas y pequeñas, hay una transición gradual de la psicología de "Llevo todo conmigo" y "mi casa es mi castillo" para "dar a un lado y no ser atormentado".

Para las pequeñas empresas, esta opción "al margen" eran proveedores en la nube. Si anteriormente era para una compañía de 40 personas, tener su propio servidor de correo era algo normal, hoy un servicio del mismo Google está atrayendo a todos aquellos que anteriormente no podían imaginar trabajar sin su propio Sendmail o Postfix a su lado.

Los sistemas virtuales proporcionaron una gran ayuda en tal "reubicación". Si antes de su aparición era necesario transportar todo el servidor físico o configurar todo en un nuevo hardware, ahora es suficiente para transferir la imagen de la máquina virtual.

¿Qué quedará en esa habitación muy pequeña con aire acondicionado?

Esto es principalmente equipo de red. Tanto activo como pasivo. A menudo, detrás del gran nombre "servidor", entienden la cruz con los restos de equipos de red. Y para tales casos, no se requiere una habitación especial con un potente sistema de aire acondicionado, fuente de alimentación, etc.

El segundo grupo de equipos que aún es difícil de eliminar del servidor son las puertas de enlace.
seguridad

Pero, ¿qué son estas puertas de enlace? Como se mencionó anteriormente, si en el pasado reciente el administrador del sistema tenía uno o varios servidores donde era posible desplegar lo que el alma quería, entonces ahora puede que no haya tal lujo.

Pero la necesidad de protección contra amenazas externas no ha desaparecido. Por supuesto, puede transferir todos los servicios y equipos necesarios por completo al centro de datos y dirigir el tráfico desde una puerta de enlace a la oficina a través de un canal seguro, por ejemplo, a través de VPN.
Tal esquema a primera vista parece atractivo, si no fuera por un aumento de la carga en los canales existentes. Si no desea pagar por un canal más grueso, esto no es exactamente lo que necesita.

Otra opción es comprar un dispositivo especializado para proteger el tráfico, cuya arquitectura, debido a su enfoque limitado, le permite prescindir de potentes componentes que consumen energía y generan calor.

"Zoo" no es necesario

En ausencia de una sala de servidores clásica, es mucho mejor obtener varios servicios "en una caja" a la vez que plantar un "zoológico" en una habitación pequeña, o incluso dentro de un pequeño armario cruzado. Al mismo tiempo, la solución no debe ser costosa, probada y tener soporte normal en ruso.

Nota Ahora estamos hablando de oficinas muy pequeñas, medianas y grandes. Las grandes compañías que están construyendo sus propios centros de datos aún no se consideran: en un artículo "es imposible aceptar la inmensidad".

Y para cada caso, Zyxel ya tiene una solución, dentro del marco de una línea de productos. En una palabra, no se necesita un "zoológico".

Puertas de enlace de seguridad ZyWALL ATP

Anteriormente hablamos sobre los principios de operación de tales dispositivos usando el ZyWALL ATP200 como ejemplo, su característica principal es la combinación de un firewall con el servicio de seguridad en la nube Zyxel Cloud. Gracias a esta distribución de responsabilidades, los ATP ZyWALL resuelven una gama bastante amplia de problemas de seguridad perimetral sin requerir recursos de hardware adicionales.

La lista de funciones de protección es bastante rica (consulte la tabla 1), incluidas las herramientas de análisis de SecuReporter y Sandboxing, un entorno limitado para el análisis preliminar del contenido descargado.

Una vez más, vale la pena enfatizar: en este caso, simplemente transferimos servicios desde la oficina local a la nube. Zyxel Cloud hace todo lo demás por nosotros en modo anónimo. Además de la comodidad, este enfoque proporciona una protección efectiva contra las amenazas de día cero gracias al aprendizaje automático y al intercambio de información entre las puertas de enlace ATP de todo el mundo. Se ha construido una red neuronal completa para la protección.

Cita : "Si se encuentra un archivo desconocido, Cloud Query rápidamente (en un par de segundos) verifica su código hash en la base de datos en la nube y determina si es peligroso o no. Este servicio requiere un mínimo de recursos de red y, por lo tanto, no reduce el rendimiento del dispositivo La eficacia de la protección contra amenazas se garantiza mediante el uso de una base de datos en la nube constantemente actualizada que contiene datos sobre miles de millones de amenazas. La consulta en la nube también acelera el trabajo de las funciones inteligentes de detección de nuevas amenazas Zyxel Security Cloud, que Mejora la protección contra malware en cada firewall ATP ".

Tabla 1. Especificaciones técnicas de la línea ZyWALL ATP .

Notas:

(1) El rendimiento real depende mucho del estado de la red y de las aplicaciones activas.

(2) El rendimiento máximo se basa en RFC 2544 (paquetes UDP de 1.518 bytes).

(3) El rendimiento medido de VPN se basa en RFC 2544 (paquetes UDP de 1,424 bytes).

(4) Las métricas de ancho de banda AV e IDP utilizan la prueba de rendimiento HTTP estándar de la industria (paquetes HTTP de 1,460 bytes). La prueba se realizó en modo multiproceso.

(5) Al medir el número máximo posible de sesiones, se utilizó la instrumentación estándar de la industria, la herramienta de prueba IXIA IxLoad.

(6) Los resultados de la prueba de la velocidad de conexión con WAN de 1 Gbps se llevaron a cabo en condiciones reales y pueden tener ligeras diferencias según la calidad del canal.

(7): Después de que expire el Gold Pack, solo se admitirán 2 AP.

(8): puede habilitar o ampliar la funcionalidad comprando licencias adicionales para los servicios de Zyxel.

Presta atención al conjunto compatible de servicios VPN. Casi todo lo necesario para la comunicación con la sede u oficina en el hogar ya está "en una botella", por lo que puede recomendar este dispositivo de manera segura como un centro de comunicación final para la sucursal y para apoyar el trabajo remoto de los empleados.

Soluciones de oficina pequeña

Las oficinas pequeñas se pueden dividir en dos grupos: empresas independientes y sucursales de grandes empresas.

Independiente: se trata de empresas recién nacidas e incluso aquellas destinadas a permanecer pequeñas. Por ejemplo, oficinas de diseño, estudios de arquitectura, oficinas editoriales de pequeños medios de comunicación, etc. Dichas unidades de negocio a menudo usan servicios en la nube, al menos correo y archivos compartidos.

Sucursales de organizaciones más grandes: lo principal para ellas es tener una conexión estable con la oficina central. Todo lo demás está en el "Centro".

A menudo, estos "niños" necesitan una interfaz simple para la administración. Un administrador de red en la sede a menudo no tiene la capacidad de desplazarse rápidamente a tierras distantes para resolver el problema de una nueva sucursal. Las pequeñas empresas locales no tienen esa oportunidad en absoluto. Tengo que recurrir a los servicios de "venir
admin ". Para tales casos, la administración es necesaria según el principio de "cuanto más simple, más confiable".

Para oficinas pequeñas, tiene sentido usar los modelos ZyWALL ATP100 y ZyWALL ATP200.

El portal de red ATP100 apareció hace relativamente poco tiempo, pero ya se puso a la venta .

La principal diferencia con el hermano mayor ( ATP200 ) es que está diseñado para una carga menor y no tiene un soporte para un bastidor de 19 pulgadas. Recomendado para oficinas en el hogar, pequeñas empresas, sucursales, etc.

Figura 1. ZyWALL ATP100.

De las características de diseño: ATP100 y ATP200 son modelos sin ventilador. Lo que es bueno: en primer lugar, no hay ruido, y en segundo lugar, no hay necesidad de cambiar el ventilador. En una situación con el "administrador que viene", es un indicador bastante importante.

Figura 2. ZyWALL ATP200.

El modelo ATP200 admite dos puertos WAN y puede conectarse a dos líneas independientes, por ejemplo, de diferentes proveedores.

Como se mencionó anteriormente, para una oficina pequeña, lo más importante después de un suministro estable de electricidad es una conexión estable. Desafortunadamente, los proveedores locales no siempre pueden garantizar la ausencia de accidentes. Tengo que buscar opciones de respaldo.

¡IMPORTANTE! Además de los puertos WAN especiales, los modelos ATP tienen puertos USB, a los que puede conectar módems USB y usarlos como WAN. Esta característica está disponible para todos los ATP.

Si el dispositivo tiene un puerto SFP, también se puede usar como WAN. Esta característica está disponible para todos los ATP.

Aquí hay un truco de vida de Zyxel.

Empresas medianas

Para las empresas medianas, Zyxel tiene su propio buen hardware : ZyWALL ATP500

Esta es la puerta de enlace de próxima generación con protección mejorada contra amenazas en evolución.

De las características interesantes:

7 puertos configurables permiten una configuración flexible, por ejemplo, 2 puertos WAN, 2 DMZ y 3 LAN cuando se conectan 3 VLAN separadas para uso interno. También hay 1 puerto SFP.

Figura 3. ZyWALL ATP500.

Es posible trabajar en modo de clúster de alta disponibilidad Device HA Pro desde dos ZyWALL ATP500. Si uno no funciona, el segundo seguirá proporcionando comunicación.

Usando las funciones del ATP500 para el "programa completo" puede ser flexible,
comunicación altamente confiable y segura con el mundo exterior o un solo nodo, por ejemplo,
sede central

Oficinas más grandes

Para ellos, se recomienda la versión más potente de esta línea: ATP800.

Este modelo tiene un número decente de puertos: 12 RJ-45 y 2 SFP, todos ellos pueden configurarse en modo WAN, LAN o DNZ, lo que le permite usar múltiples WLAN, organizar múltiples DMZ y aún habrá la oportunidad de acceder a una red externa para una infraestructura interna compleja. Adecuado para grandes oficinas con una red desarrollada y altos requisitos de seguridad y control de acceso.

Figura 4. ZyWALL ATP800.

También vale la pena señalar que este modelo se recomienda para la compra con una tendencia de crecimiento. Si planea hacer crecer una empresa, por ejemplo, desarrollando una cadena local de tiendas, tiene sentido adquirir de inmediato un modelo más poderoso para no gastar dinero dos veces.

Como puede ver, incluso en las condiciones más espartanas, es posible proporcionar un buen nivel de protección, tolerancia a fallas y flexibilidad durante la operación.

Soporte técnico, consejos, debates, noticias, promociones y anuncios. ¡ Únase a nosotros en Telegram!

¿Qué quedará en la sala del servidor?