Geekly articles weekly

O que permanecerá na sala do servidor?


Muitas organizações usam serviços em nuvem ou movem equipamentos para
Data center. O que faz sentido deixar na sala do servidor e qual a melhor forma de organizar a proteção do perímetro da rede do escritório nessa situação?


Era uma vez tudo estava no servidor


No início do desenvolvimento do Runet, a maioria das empresas resolveu o problema da infraestrutura de TI aproximadamente da mesma maneira: destacava-se uma sala onde eles instalavam o ar condicionado e onde quase todo o equipamento de rede e servidor estava concentrado.


O administrador do sistema configurou um ou vários servidores no FreeBSD, Linux ou OpenSolaris, etc. E então, nesse "farm", ele lançou os serviços necessários: de um servidor da Web, correio corporativo até compartilhamento de arquivos.


Quando uma empresa cresce e se desenvolve, inevitavelmente encontrará uma situação em que o servidor não atende mais aos requisitos. Se você tiver dinheiro, poderá criar seu próprio data center. Pode ser mais rentável alugar racks em data centers comerciais. Fonte de alimentação de alta qualidade baseada em DRUPS, um sistema industrial de ar condicionado, uma equipe completa de especialistas altamente especializados - essas coisas dificilmente estão disponíveis no caso de um servidor de escritório.


Na sequência dos grandes negócios, na mente da administração de empresas de médio e pequeno porte, há uma transição gradual da psicologia de "carrego tudo comigo" e "minha casa é meu castelo" para "dar para o lado e não ser atormentado".


Para pequenas empresas, essa opção "ao lado" eram provedores de nuvem. Se anteriormente, para uma empresa de 40 pessoas, era natural ter um servidor de e-mail, hoje um serviço do mesmo Google está puxando todos aqueles que antes não imaginavam trabalhar sem o Sendmail ou Postfix para o lado deles.


Uma grande ajuda em tal "realocação" foi fornecida por sistemas virtuais. Se antes da aparência deles era necessário transportar todo o servidor físico ou configurar tudo em um novo hardware, agora basta transferir a imagem da máquina virtual.


O que restará naquela pequena sala com ar condicionado?


Este é principalmente equipamento de rede. Ativo e passivo. Muitas vezes, por trás do grande nome "servidor", eles entendem a cruz com os remanescentes dos equipamentos de rede. E, nesses casos, não é necessária uma sala especial com um poderoso sistema de ar condicionado, fonte de alimentação etc.


O segundo grupo de equipamentos que ainda é difícil de remover do servidor são gateways
segurança


Mas o que são esses gateways? Como mencionado acima, se no passado recente o administrador do sistema tinha um ou vários servidores onde era possível implantar o que a alma queria, então agora pode não haver tanto luxo.


Mas a necessidade de proteção contra ameaças externas não desapareceu. Obviamente, você pode transferir todos os serviços e equipamentos necessários inteiramente para o data center e direcionar o tráfego desse gateway para o escritório através de um canal seguro, por exemplo, via VPN.
Esse esquema à primeira vista parece atraente, se não for para um aumento na carga nos canais existentes. Se não houver desejo de pagar por um canal mais espesso, isso não é exatamente o que você precisa.


Outra opção é comprar um dispositivo especializado para proteger o tráfego, cuja arquitetura, devido ao seu foco restrito, permite que você opte por componentes poderosos que consomem energia e geram calor.


"Zoo" não é necessário


Na ausência de uma sala de servidores clássica, é muito melhor obter vários serviços "em uma caixa" de uma só vez do que plantar um "zoológico" em uma pequena sala ou mesmo em um pequeno gabinete de passagem. Ao mesmo tempo, a solução não deve ser cara, testada e ter suporte normal em russo.


Nota Agora estamos falando de escritórios muito pequenos, médios e grandes. As grandes empresas que estão construindo seus próprios data centers ainda não são consideradas - em um artigo "é impossível abraçar a imensidão".


E para todos os casos, a Zyxel já tem uma solução, enquanto dentro da estrutura de uma linha de produtos. Em uma palavra, um "zoológico" não é necessário.


Gateways de segurança ZyWALL ATP


Anteriormente, falamos sobre os princípios de operação desses dispositivos usando o ZyWALL ATP200 como exemplo, cuja principal característica é a combinação de um firewall com o serviço de segurança em nuvem Zyxel Cloud. Graças a essa distribuição de responsabilidades, os ATPs do ZyWALL resolvem uma gama bastante ampla de problemas de segurança de perímetro sem exigir recursos adicionais de hardware.


A lista de funções de proteção é bastante rica (consulte a tabela 1), incluindo as ferramentas de análise do SecuReporter e o Sandboxing, um sandbox para análise preliminar do conteúdo baixado.


Mais uma vez, vale a pena enfatizar - nesse caso, simplesmente transferimos serviços do escritório local para a nuvem. Tudo o mais é feito por nós pelo Zyxel Cloud no modo anônimo. Além da conveniência, essa abordagem fornece proteção eficaz contra ameaças de dia zero, graças ao aprendizado de máquina e à troca de informações entre os gateways ATP em todo o mundo. Uma rede neural inteira foi construída para proteção.


Citação : "Se um arquivo desconhecido for encontrado, o Cloud Query rapidamente (em alguns segundos) verifica seu código de hash no banco de dados em nuvem e determina se é perigoso ou não. Este serviço requer um mínimo de recursos de rede e, portanto, não reduz o desempenho do dispositivo. A eficiência da proteção contra ameaças é garantida pelo uso de um banco de dados em nuvem constantemente atualizado, contendo dados sobre bilhões de ameaças.A consulta na nuvem também acelera o trabalho de funções inteligentes de detecção de novas ameaças, o Zyxel Security Cloud, que Aprimora a proteção contra malware em todos os firewalls ATP ".



Tabela 1. Especificações técnicas da linha ZyWALL ATP .


Notas:


(1) O desempenho real depende muito do status da rede e dos aplicativos ativos.


(2) O rendimento máximo é baseado no RFC 2544 (pacotes UDP de 1.518 bytes).


(3) A taxa de transferência da VPN medida é baseada na RFC 2544 (pacotes UDP de 1.424 bytes).


(4) As métricas de largura de banda AV e IDP usam o teste de desempenho HTTP padrão do setor (pacotes HTTP de 1.460 bytes). O teste foi realizado no modo multithread.


(5) Ao medir o número máximo possível de sessões, foi utilizada a instrumentação padrão do setor, a ferramenta de teste IXIA IxLoad.


(6) Os resultados dos testes da velocidade de conexão com 1 Gbps WAN foram realizados em condições reais e podem apresentar pequenas diferenças dependendo da qualidade do canal.


(7): Depois que o Gold Pack expirar, apenas 2 APs serão suportados.


(8): você pode ativar ou expandir a funcionalidade adquirindo licenças adicionais para os serviços Zyxel.


Preste atenção ao conjunto de serviços VPN suportados. Quase tudo o que é necessário para a comunicação com a sede ou o escritório em casa já está "em uma garrafa", para que você possa recomendar com segurança este dispositivo como um centro de comunicação final para a filial e para apoiar o trabalho remoto dos funcionários.


Soluções para pequenos escritórios


Pequenos escritórios podem ser divididos em dois grupos: empresas independentes e filiais de grandes empresas.


Independente - essas são empresas recém-nascidas e até aquelas destinadas a permanecer pequenas. Por exemplo, agências de design, estúdios de arquitetura, escritórios editoriais de pequenos meios de comunicação e assim por diante. Essas unidades de negócios geralmente usam serviços em nuvem, pelo menos, compartilhamento de correio e arquivos.


Filiais de organizações maiores - o principal para elas é ter uma conexão estável com o escritório central. Tudo o resto está no "Centro".


Freqüentemente, essas "crianças" precisam de uma interface simples de gerenciamento. Um administrador de rede na sede geralmente não tem a capacidade de correr rapidamente para terras distantes para resolver o problema de uma nova filial. As pequenas empresas locais não têm essa oportunidade. Eu tenho que recorrer aos serviços de "vir
admin. " Para tais casos, a administração é necessária com base no princípio de "o mais simples - o mais confiável".


Para escritórios pequenos, faz sentido usar os modelos ZyWALL ATP100 e ZyWALL ATP200.


O gateway de rede ATP100 apareceu relativamente recentemente, mas já foi colocado à venda .


A principal diferença do irmão mais velho ( ATP200 ) é que ele foi projetado para menos carga e não possui suporte para rack de 19 polegadas. Recomendado para escritórios domésticos, pequenas empresas, filiais e assim por diante.



Figura 1. ZyWALL ATP100.


Dos recursos de design: ATP100 e ATP200 são modelos sem ventilador. O que é bom: primeiro, não há ruído e, segundo, não é necessário trocar o ventilador. Em uma situação com o "administrador que vem", é um indicador bastante importante.



Figura 2. ZyWALL ATP200.


O modelo ATP200 suporta duas portas WAN e pode conectar-se a duas linhas independentes, por exemplo, de diferentes fornecedores.


Como mencionado acima, para um pequeno escritório, a coisa mais importante após um fornecimento estável de eletricidade é uma conexão estável. Infelizmente, os fornecedores locais nem sempre podem garantir a ausência de acidentes. Eu tenho que procurar opções de backup.


IMPORTANTE! Além das portas WAN especiais, os modelos ATP possuem portas USB, nas quais você pode conectar modems USB e usar como WAN. Esse recurso está disponível para todos os ATPs.


Se o dispositivo tiver uma porta SFP, também poderá ser usado como uma WAN. Este recurso está disponível para todos os ATP.


Aqui está um truque da Zyxel.


Médias empresas


Para empresas de médio porte, a Zyxel possui seu próprio hardware - ZyWALL ATP500


Este é o gateway de última geração com proteção aprimorada contra ameaças em evolução.


Entre os recursos interessantes:


7 portas configuráveis ​​permitem uma configuração flexível, por exemplo, 2 portas WAN, 2 DMZ e 3 LAN ao conectar 3 VLANs separadas para uso interno. Há também uma porta SFP.



Figura 3. ZyWALL ATP500.


É possível trabalhar no dispositivo HA Pro no modo de cluster de alta disponibilidade a partir de dois ZyWALL ATP500. Se um estiver inoperante, o segundo ainda fornecerá comunicação.


Usando as funções do ATP500 para o "programa completo", você pode obter flexibilidade,
comunicação altamente confiável e segura com o mundo externo ou com um único nó, por exemplo,
sede.


Escritórios maiores


Para eles, a versão mais poderosa desta linha é recomendada - ATP800.


Este modelo possui um número decente de portas: 12 RJ-45 e 2 SFP, todas elas podem ser configuradas no modo WAN, LAN ou DNZ, o que permite usar várias WLANs, organizar várias DMZs e ainda haverá a oportunidade de acessar uma rede externa para infraestrutura interna complexa. Adequado para grandes escritórios com uma rede desenvolvida e altos requisitos de segurança e controle de acesso.



Figura 4. ZyWALL ATP800.


Também é importante notar que este modelo é recomendado para compras com tendência de crescimento. Se você planeja desenvolver uma empresa, por exemplo, desenvolvendo uma cadeia de lojas local, faz sentido adquirir imediatamente um modelo mais poderoso para não gastar dinheiro duas vezes.



Como você pode ver, mesmo nas condições mais espartanas, é possível fornecer um bom nível de proteção, tolerância a falhas e flexibilidade durante a operação.



Suporte técnico, dicas, discussões, notícias, promoções e anúncios - Junte - se a nós no Telegram!


Links úteis


  1. Colocation: como, por que e por que


  2. Tome seu café da manhã, compartilhe seu trabalho com a "nuvem"


  3. Página Gateway de segurança do ZyWALL ATP100


  4. Página Gateway de segurança do ZyWALL ATP200


  5. Página Gateway de segurança do ZyWALL ATP500


  6. Página Gateway de segurança do ZyWALL ATP800


  7. Nosso serviço é perigoso e difícil, ou o Zyxel ATP500


Source: https://habr.com/ru/post/pt477492/

More articles:


All Articles