⛸️ ⏺️ 🌛 Que restera-t-il dans la salle des serveurs? 🐈 🧖 🍈

De nombreuses organisations utilisent des services cloud ou déplacent des équipements vers
Centre de données. Qu'est-ce qui a du sens à laisser dans la salle des serveurs et comment organiser au mieux la protection du périmètre du réseau de bureaux dans cette situation?

Il était une fois tout sur le serveur

Au début du développement du Runet, la plupart des entreprises ont résolu le problème de l'infrastructure informatique à peu près de la même manière: une pièce se démarquait où ils mettaient le climatiseur et où presque tout le réseau et l'équipement du serveur étaient concentrés.

L'administrateur système a installé un ou plusieurs serveurs sur FreeBSD, Linux ou OpenSolaris, etc. Et puis sur cette "ferme" il a lancé les services nécessaires: depuis un serveur web, du courrier d'entreprise jusqu'au partage de fichiers.

Lorsqu'une entreprise grandit et se développe, elle rencontre inévitablement une situation où le serveur ne répond plus aux exigences. Si vous avez de l'argent, vous pouvez construire votre propre centre de données. Il peut être plus rentable de louer des racks dans des centres de données commerciaux. Alimentation de haute qualité basée sur DRUPS, un système de climatisation industriel, une équipe complète de spécialistes hautement spécialisés - ces choses sont difficilement disponibles dans le cas d'un serveur de bureau.

A la suite de la grande entreprise, dans l'esprit de la direction des petites et moyennes entreprises, il y a une transition progressive de la psychologie du «je porte tout avec moi» et «ma maison est mon château» pour «donner de côté et ne pas être tourmenté».

Pour les petites entreprises, cette option «de côté» était des fournisseurs de cloud. Si auparavant pour une entreprise de 40 personnes, avoir son propre serveur de messagerie était une évidence, aujourd'hui un service du même Google tire tous ceux qui auparavant ne pouvaient pas imaginer travailler sans leur propre Sendmail ou Postfix à leurs côtés.

Une grande aide dans une telle "relocalisation" a été fournie par les systèmes virtuels. Si avant leur apparition, il était nécessaire de transporter l'intégralité du serveur physique ou de tout configurer sur un nouveau matériel, il suffit maintenant de transférer l'image de la machine virtuelle.

Que restera-t-il dans cette toute petite pièce climatisée?

Il s'agit principalement d'équipements de réseau. Actif et passif. Souvent, derrière le grand nom "serveur", ils comprennent la croix avec les restes de l'équipement réseau. Et dans de tels cas, une pièce spéciale avec un puissant système de climatisation, une alimentation électrique, etc. n'est pas nécessaire.

Le deuxième groupe d'équipements qui est encore difficile à retirer du serveur est celui des passerelles
la sécurité.

Mais quelles sont ces passerelles? Comme mentionné ci-dessus, si dans un passé récent, l'administrateur système avait un ou plusieurs serveurs où il était possible de déployer ce que l'âme voulait, alors maintenant il n'y a peut-être pas un tel luxe.

Mais le besoin de protection contre les menaces extérieures n'a pas disparu. Vous pouvez, bien sûr, transférer entièrement tous les services et équipements nécessaires vers le centre de données et générer du trafic d'une telle passerelle vers le bureau via un canal sécurisé, par exemple via VPN.
Un tel schéma à première vue semble attrayant, sinon pour une augmentation de la charge sur les canaux existants. S'il n'y a aucun désir de payer pour un canal plus épais, ce n'est pas tout à fait ce dont vous avez besoin.

Une autre option consiste à acheter un dispositif spécialisé pour protéger le trafic, dont l'architecture, en raison de sa focalisation étroite, vous permet de vous passer de puissants composants énergivores et générateurs de chaleur.

"Zoo" n'est pas nécessaire

En l'absence d'une salle de serveurs classique, il est préférable d'obtenir plusieurs services «dans une seule boîte» à la fois que de planter un «zoo» dans une petite salle, ou même dans une petite armoire croisée. Dans le même temps, la solution ne doit pas être coûteuse, testée et avoir un support normal en russe.

Remarque Nous parlons maintenant de très petits, moyens et grands bureaux. Les grandes entreprises qui construisent leurs propres centres de données ne sont pas encore prises en compte - dans un article «il est impossible d'embrasser l'immensité».

Et pour chaque cas, Zyxel a déjà une solution, alors que dans le cadre d'une ligne de produits. En un mot, un «zoo» n'est pas nécessaire.

Passerelles de sécurité ZyWALL ATP

Nous avons évoqué précédemment les principes de fonctionnement de tels appareils en utilisant le ZyWALL ATP200 à titre d'exemple, dont la principale caractéristique est la combinaison d'un pare-feu avec le service de sécurité cloud Zyxel Cloud. Grâce à cette répartition des responsabilités, les ATP ZyWALL résolvent un éventail assez large de problèmes de sécurité de périmètre sans nécessiter de ressources matérielles supplémentaires.

La liste des fonctions de protection est assez riche (voir tableau 1), y compris les outils d'analyse SecuReporter et Sandboxing, un bac à sable pour l'analyse préliminaire du contenu téléchargé.

Encore une fois, il convient de le souligner - dans ce cas, nous transférons simplement les services du bureau local vers le cloud. Tout le reste est fait pour nous par Zyxel Cloud en mode anonyme. En plus de la commodité, cette approche offre une protection efficace contre les menaces zero-day grâce à l'apprentissage automatique et à l'échange d'informations entre les passerelles ATP du monde entier. Tout un réseau de neurones a été construit pour la protection.

Citation : "Si un fichier inconnu est trouvé, Cloud Query vérifie rapidement (en quelques secondes) son code de hachage sur la base de données cloud et détermine s'il est dangereux ou non. Ce service nécessite un minimum de ressources réseau, et donc il ne réduit pas les performances de l'appareil L'efficacité de la protection contre les menaces est assurée par l'utilisation d'une base de données cloud constamment mise à jour contenant des données sur des milliards de menaces.La requête cloud accélère également le travail des fonctions intelligentes de détection de nouvelles menaces Zyxel Security Cloud, qui Améliore la protection contre les logiciels malveillants sur chaque pare-feu ATP. "

Tableau 1. Spécifications techniques de la ligne ZyWALL ATP .

Remarques:

(1) Les performances réelles dépendent fortement de l'état du réseau et des applications actives.

(2) Le débit maximal est basé sur RFC 2544 (paquets UDP de 1 518 octets).

(3) Le débit VPN mesuré est basé sur RFC 2544 (paquets UDP de 1 424 octets).

(4) Les métriques de bande passante AV et IDP utilisent le test de performance HTTP standard de l'industrie (paquets HTTP de 1 460 octets). Les tests ont été effectués en mode multithread.

(5) Lors de la mesure du nombre maximum de sessions, l'instrumentation standard de l'industrie, l'outil de test IXIA IxLoad, a été utilisée.

(6) Les résultats des tests de la vitesse de connexion avec le WAN 1 Gbit / s ont été effectués en conditions réelles et peuvent présenter de légères différences en fonction de la qualité du canal.

(7): Après l'expiration du Gold Pack, seuls 2 points d'accès seront pris en charge.

(8): Vous pouvez activer ou étendre la fonctionnalité en achetant des licences supplémentaires pour les services Zyxel.

Faites attention à l'ensemble des services VPN pris en charge. Presque tout ce qui est nécessaire pour la communication avec le siège social ou le bureau à domicile est déjà «dans une bouteille», vous pouvez donc recommander cet appareil en toute sécurité à la fois comme centre de communication final pour la succursale et pour prendre en charge le travail à distance des employés.

Solutions pour petits bureaux

Les petits bureaux peuvent être divisés en deux groupes: les entreprises indépendantes et les succursales de grandes entreprises.

Indépendant - ce sont des entreprises nouvellement créées et même celles qui sont destinées à rester petites. Par exemple, les bureaux de conception, les studios d'architecture, les bureaux de rédaction de petits médias, etc. Ces unités commerciales utilisent souvent des services cloud, au moins le partage de courrier et de fichiers.

Succursales de grandes organisations - l'essentiel pour elles est d'avoir une connexion stable avec le bureau central. Tout le reste est dans le "Centre".

Souvent, ces "enfants" ont besoin d'une interface simple pour la gestion. Un administrateur de réseau au siège n'a souvent pas la possibilité de se précipiter rapidement vers des pays lointains pour résoudre le problème d'une nouvelle succursale. Les petites entreprises locales n'ont pas du tout cette possibilité. Je dois recourir aux services de "venir
admin. " Pour de tels cas, la gestion est nécessaire selon le principe «le plus simple - le plus fiable».

Pour les petits bureaux, il est logique d'utiliser les modèles ZyWALL ATP100 et ZyWALL ATP200.

La passerelle réseau ATP100 est apparue relativement récemment, mais est déjà en vente .

La principale différence avec le frère aîné ( ATP200 ) est qu'il est conçu pour moins de charge et n'a pas de support pour un rack de 19 pouces. Recommandé pour les bureaux à domicile, les petites entreprises, les succursales, etc.

Figure 1. ZyWALL ATP100.

Des caractéristiques de conception: ATP100 et ATP200 sont des modèles sans ventilateur. Ce qui est bien: d'une part, il n'y a pas de bruit, et d'autre part, il n'est pas nécessaire de changer le ventilateur. Dans une situation avec le "futur administrateur", c'est un indicateur assez important.

Figure 2. ZyWALL ATP200.

Le modèle ATP200 prend en charge deux ports WAN et peut se connecter à deux lignes indépendantes, par exemple, de fournisseurs différents.

Comme mentionné ci-dessus, pour un petit bureau, la chose la plus importante après une alimentation électrique stable est une connexion stable. Malheureusement, les prestataires locaux ne peuvent pas toujours garantir l'absence d'accidents. Je dois chercher des options de sauvegarde.

IMPORTANT! En plus des ports WAN spéciaux, les modèles ATP ont des ports USB, auxquels vous pouvez connecter des modems USB et les utiliser comme WAN. Cette fonctionnalité est disponible pour tous les ATP.

Si l'appareil dispose d'un port SFP, il peut également être utilisé comme WAN. Cette fonctionnalité est disponible pour tous les ATP.

Voici un hack de vie de Zyxel.

Entreprises moyennes

Pour les moyennes entreprises, Zyxel a son propre bon matériel - ZyWALL ATP500

Il s'agit de la passerelle de nouvelle génération avec une protection renforcée contre les menaces en évolution.

Des caractéristiques intéressantes:

7 ports configurables permettent une configuration flexible, par exemple, 2 ports WAN, 2 DMZ et 3 ports LAN lors de la connexion de 3 VLAN séparés pour un usage interne. Il y a également 1 port SFP.

Figure 3. ZyWALL ATP500.

Il est possible de travailler en mode cluster haute disponibilité Device HA Pro à partir de deux ZyWALL ATP500. Si l'un est inopérant, le second fournira toujours la communication.

En utilisant les fonctions de l'ATP500 pour le "programme complet", vous pouvez devenir flexible,
communication hautement fiable et sécurisée avec le monde extérieur ou un seul nœud, par exemple,
siège.

Grands bureaux

Pour eux, la version la plus puissante de cette ligne est recommandée - ATP800.

Ce modèle a un nombre décent de ports: 12 RJ-45 et 2 SFP, tous peuvent être configurés en mode WAN, LAN ou DNZ, ce qui vous permet d'utiliser plusieurs WLAN, d'organiser plusieurs DMZ et il y aura toujours la possibilité d'accéder à un réseau externe pour une infrastructure interne complexe. Convient aux grands bureaux avec un réseau développé et des exigences élevées en matière de sécurité et de contrôle d'accès.

Figure 4. ZyWALL ATP800.

Il convient également de noter que ce modèle est recommandé à l'achat avec une tendance à la croissance. Si vous envisagez de développer une entreprise, par exemple en développant une chaîne de magasins locale, il est logique d'acquérir immédiatement un modèle plus puissant afin de ne pas dépenser deux fois de l'argent.

Comme vous pouvez le voir, même dans les conditions les plus spartiates, il est possible de fournir un bon niveau de protection, une tolérance aux pannes et une flexibilité pendant le fonctionnement.

Support technique, conseils, discussions, actualités, promotions et annonces - Rejoignez- nous sur Telegram!

Que restera-t-il dans la salle des serveurs?