Многие организация используют облачные сервисы или перемещают оборудование в
ЦОД. Что имеет смысл оставить в серверной и как лучше организовать защиту периметра офисной сети в такой ситуации?


Когда-то всё было на сервере


В начале развития Рунета большинство компаний вопрос с ИТ-инфраструктурой решало примерно по одной схеме: выделялось помещение, куда ставили кондиционер и где сосредотачивалось почти всё сетевое и серверное оборудование.


Системный администратор настраивал один или несколько серверов на FreeBSD, Linux, или OpenSolaris и т. д. А потом на этом «хозяйстве» запускал необходимые сервисы: от web-сервера, корпоративной почты вплоть до файлообменника.


Когда компания растёт и развивается, то неминуемо сталкивается с ситуацией, когда серверная уже не соответствует требованиям. Если есть деньги, можно построить собственный ЦОД. Может быть выгоднее арендовать стойки в коммерческих ЦОД. Качественное электропитание на основе DRUPS, промышленная система кондиционирования, полный штат узко-специализированных специалистов — эти вещи вряд ли доступны в случае с офисной серверной.


Вслед за крупным бизнесом, в сознании руководства средних и небольших компаний постепенно происходит переход от психологии «всё моё ношу с собой» и «мой дом — моя крепость» к «отдать на сторону и не мучиться».


Для малого бизнеса таким вариантом «на сторону» явились облачные провайдеры. Если ранее для компании в 40 человек наличие собственного почтового сервера было чем-то само-собой разумеющимся, то сегодня сервис от того же Google перетягивает на свою сторону всех тех, кто раньше не мыслил работу без собственного Sendmail или Postfix.


Большую помощь в подобном «переселении» оказали виртуальные системы. Если до их появления нужно было перевозить физический сервер целиком, или всё настраивать на новом «железе», то теперь достаточно перенести образ виртуальной машины.


Что же останется в той самой маленькой комнатке с кондиционером?


В первую очередь это сетевое оборудование. Как активное, так и пассивное. Зачастую за громким названием «серверная» понимают кроссовую с остатками сетевого оборудования. И для таких случаев не требуется специального помещения с мощной системой кондиционирования, электропитания и так далее.


Вторая группа оборудования, которую пока сложно убрать из серверной — это шлюзы
безопасности.


Но какие это шлюзы? Как было сказано выше, если в недалёком прошлом в распоряжении сисадмина имелось один или несколько серверов, где можно было развернуть что душа пожелает, то сейчас такой роскоши может не быть.


Но необходимость защиты от внешних угроз никуда не делась. Можно, конечно, перенести все сервисы и необходимое оборудование целиком в ЦОД и гонять трафик от такого шлюза к офисной кроссовой по защищённому каналу, например, по VPN.
Такая схема с первого взгляда выглядит привлекательно, если бы не повышение нагрузки на существующие каналы. Если нет желания платить за более «толстый» канал, это не совсем то что нужно.


Другой вариант — приобрести специализированное устройство для защиты трафика, архитектура которого в силу узкой направленности позволяет обойтись без мощных энергоёмких и тепловыделяющих компонентов.


«Зоопарк» не понадобится


При отсутствии классической серверной гораздо лучше получить сразу несколько сервисов «в-одной-коробке», чем разводить «зоопарк» в небольшом помещении, а то и вовсе в пределах маленького кроссового шкафа. При этом решение должно быть не дорогим, проверенным и иметь нормальную поддержку на русском языке.


Примечание. Мы сейчас говорим о совсем небольших, средних и более крупных офисах. Большие компании, которые строят свои собственные ЦОД, пока не рассматриваем — в одной статье «невозможно объять необъятное».


И на каждый случай у Zyxel уже есть решение, при этом в рамках одной продуктовой линейки. Словом, «зоопарк» не понадобится.


Шлюзы безопасности ZyWALL ATP


Ранее мы уже рассказывали о принципах работы таких устройств на примере ZyWALL ATP200, Их главная особенность заключается в сочетании межсетевого экрана с облачным сервисом безопасности Zyxel Cloud. Благодаря такому распределению обязанностей ZyWALL ATP решают довольно широкий спектр вопросов по защите периметра, не требуя дополнительных аппаратных ресурсов.


Список функций защиты довольно богат (см. таблицу 1), включая SecuReporter инструменты аналитики и Sandboxing — «песочницу» для предварительного анализа скачиваемого контента.


Ещё раз стоит подчеркнуть — в данном случае мы просто переносим сервисы из локального офиса в облако. Всё остальное за нас делает Zyxel Cloud в анонимном режиме. Помимо удобства, такой подход обеспечивает эффективную защиту от угроз нулевого дня благодаря машинному обучению и обмену информацией между шлюзами АТП всего мира. Для защиты построена целая нейросеть.


Цитата: "При обнаружении неизвестного файла Cloud Query быстро (в течение пары секунд) проверяет его хеш-код по облачной базе данных и определяет, является он опасным или нет. Для работы данного сервиса требуется минимум сетевых ресурсов, и поэтому он не снижает производительность устройства. Эффективность защиты от угроз обеспечивает использование постоянно обновляемой облачной базы данных, в которой содержатся данные о миллиардах угроз. Облачный запрос также ускоряет работу интеллектуальных функций обнаружения новых угроз Zyxel Security Cloud, что усиливает защиту от вредоносного кода каждого межсетевого экрана ATP."



Таблица 1. Технические характеристики линейки ZyWALL ATP.


Примечания:


(1) Реальная производительность очень сильно зависит от состояния сети и активных приложений.


(2) Максимальная пропускная способность основывается на RFC 2544 (1,518-byte UDP packets).


(3) Измеренная пропускная способность VPN основывается на RFC 2544 (1,424-byte UDP packets).


(4) AV и IDP метрики пропускной способности используют индустриальный стандартный HTTP тест производительности (1,460-byte HTTP packets). Тестирование выполнялось в многопоточном режиме.


(5) При измерении максимально возможного количества сессий использован промышленный стандартный инструментарий — IXIA IxLoad testing tool.


(6) Результаты теста скорости соединения с 1Gbps WAN проводились в реальных условиях и могут иметь небольшие расхождения в зависимости от качества канала.


(7): После истечения срока действия Gold Pack будут поддерживаться только 2 AP.


(8): Включить или расширить функциональные возможности можно, приобретя дополнительные лицензии на сервисы Zyxel.


Обратите внимание на поддерживаемый набор VPN сервисов. Практически всё необходимое для связи со штаб-квартирой или домашним офисом уже есть «в одном флаконе», поэтому можно смело рекомендовать данное устройство и как конечный узел связи для филиала, и для поддержки удалённой работы сотрудников.


Решения для малых офисов


Малые офисы можно условно разделить на две группы: самостоятельные предприятия и филиалы крупных компаний.


Самостоятельные — это недавно родившиеся предприятия и ещё те, которым суждено оставаться малыми. Например, дизайнерские бюро, архитектурные студии, редакции небольших СМИ и так далее. Такие бизнес-единицы часто пользуются облачными услугами, как минимум почтой и файлообменником.


Филиалы более крупных организаций — для них главное иметь устойчивую связь с центральным офисом. Всё остальное находится в «Центре».


Часто такие «малыши» нуждаются в простом интерфейсе для управления. У сетевого администратора из штаб-квартиры часто нет возможности быстренько метнуться в дальние края, чтобы решить проблему новый филиал. У местных маленьких компаний такой возможности нет вообще. Приходится прибегнуть к услугам «приходящего
админа». Для таких случаев необходимо управление по принципу «чем проще— тем надежней».


Для малых офисов имеет смысл использовать модели ZyWALL ATP100 и ZyWALL ATP200.


Сетевой шлюз ATP100 появился относительно недавно, но уже поступил в продажу.


Главное отличие от более старшего собрата (ATP200) — то что он рассчитан на меньшую нагрузку, и не имеет крепления для стойки 19 дюймов. Рекомендуется для домашних офисов, малых компаний, филиалов и так далее.



Рисунок 1. ZyWALL ATP100.


Из конструктивных особенностей: ATP100 и ATP200 — это безвентиляторные модели. Чем это хорошо: во-первых, нет шума, во-вторых, нет необходимости менять вентилятор. В ситуации с «приходящим админом» это достаточно важный показатель.



Рисунок 2. ZyWALL ATP200.


Модель ATP200 поддерживает два порта WAN и может подключаться к двум независимым линиям, например, от разных провайдеров.


Как было сказано выше, для малого офиса самое главное после стабильной подачи электричества — это устойчивая связь. К сожалению, местные провайдеры не всегда могут гарантировать отсутствие аварий. Приходится искать запасные варианты.


ВАЖНО! Помимо специальных портов WAN в моделях ATP есть USB-порты, к которым можно подключить USB-модемы и использовать как WAN. Эта возможность доступно для всех ATP.


Если устройство имеет порт SFP, это тоже можно использовать как WAN. Эта особенность доступна для всех ATP.


Вот такой лайфхак от компании Zyxel.


Средние компании


Для средних компаний у Zyxel своя неплохая «железка» — ZyWALL ATP500


Это шлюз нового поколения с расширенной защитой от эволюционирующих угроз.


Из интересных особенностей:


7 конфигурируемых портов позволяют выполнять гибкую настройку, например, 2 WAN, 2 DMZ и 3 LAN порта при подключении 3 отдельных VLAN для внутреннего использования. Также имеется 1 порт SFP.



Рисунок 3. ZyWALL ATP500.


Есть возможность работы в режиме кластера высокой доступности Device HA Pro из двух ZyWALL ATP500. Если один — в нерабочем состоянии, второй всё равно обеспечит связь.


Используя функции ATP500 по «полной программе» можно получить гибкую,
высоконадежную, безопасную связь с внешним миром или отдельным узлом, например,
штаб-квартирой.


Более крупные офисы


Для них рекомендуется самый мощный вариант данной линейки — ATP800.


Данная модель имеет приличное количество портов: 12 RJ-45 и 2 SFP, все они могут настраиваться в режим WAN, LAN или DNZ, что позволяет использовать несколько WLAN, организовать несколько DMZ и ещё останется возможность сделать выход во внешнюю сеть для сложной внутренней инфраструктуры. Подходит для достаточно крупных офисов с развитой сетью и высокими требованиями к безопасности и разграничению доступа.



Рисунок 4. ZyWALL ATP800.


Стоит также отметить, что эта модель рекомендуется к приобретению с тенденцией «на вырост». Если планируется рост компании, например, развитие местной сети магазинов, то имеет смысл сразу приобретать модель помощнее, чтобы дважды не тратить деньги.




Как видим, даже при самых спартанских условиях можно обеспечить хороший уровень защиты, отказоустойчивости и гибкости при работе.




Техническая поддержка, советы, обсуждения, новости, акции и анонсы — Присоединяйтесь к нам в Telegram!


Полезные ссылки


  1. Колокейшн: как, зачем и почему


  2. Завтрак съешь сам, работой поделись с «облаком»


  3. Страница межсетевого шлюза безопасности ZyWALL ATP100


  4. Страница межсетевого шлюза безопасности ZyWALL ATP200


  5. Страница межсетевого шлюза безопасности ZyWALL ATP500


  6. Страница межсетевого шлюза безопасности ZyWALL ATP800


  7. Наша служба и опасна, и трудна, или Zyxel ATP500


Комментарии (15)


  1. Lopar
    26.11.2019 14:44

    Надежды (не знаю как назвать иначе) на то, что все типы организаций (кроме тех которым нужны мощности ЦОДов) целиком уже либо полностью уехали в облака, либо являются такими ретроградами, что их вместе с их устаревшим подходом вскоре вытеснят те, кто полностью уехал в облака — несколько преждевременны.

    Для таких случаев необходимо управление по принципу «чем проще — тем надежней».
    У всех хардварных файрволлов одна болезнь: они говорят, мол, посмотрите как просто, приходящий админ сможет нажать одну-две кнопки и всё идеально работает. И все забывают указать, что стоимость работы сервисов внутри железки —это обычно ежемесячная или ежегодичная оплата просто за то, чтобы внутри включенной железки что-то работало. А «приходящий админ», это обычно очень сертифицированный дорогостоящий узкоспециалист. Потому что самостоятельная смена настроек неспециалистом — утеря гарантии.

    p.s. Я о том, что эти железки важны и нужны. Но продавать их под лозунгом «надёжность — может заменить собой всё, и простота — даже ребёнок справится» — не надо так! Вас потом топ-менеджмент на презентациях слушает и устраивает айтишникам набросы говна на вентилятор, где «нам сказали, что это просто и вообще серебрянная пуля для всех бед, если вы считаете иначе, значит вы говняные спецы, мы всё равно это купим, но можем заодно задуматься о вашей профпригодности».


    1. Zyxel_Russia Автор
      27.11.2019 09:55

      У всех хардварных файрволлов одна болезнь: они говорят, мол, посмотрите как просто, приходящий админ сможет нажать одну-две кнопки и всё идеально работает. И все забывают указать, что стоимость работы сервисов внутри железки —это обычно ежемесячная или ежегодичная оплата просто за то, чтобы внутри включенной железки что-то работало.

      А знаете что, приходите к нам на вебинар по шлюзам 28 ноября в 15.00. Сможете сами задать вопросы про стоимость лицензий и убедиться что очень многое есть «в базе» и система лицензирования от производителя к производителю очень различается.

      А «приходящий админ», это обычно очень сертифицированный дорогостоящий узкоспециалист. Потому что самостоятельная смена настроек неспециалистом — утеря гарантии.

      В чем проблема — держите штатного админа. Но кругом бегом это дороже получиться, особенно для малого бизнеса. Да и не нужен малому бизнесу (а порой и среднему) штатный админ, просто задач столько не бывает.


      1. Lopar
        27.11.2019 10:43

        убедиться что очень многое есть «в базе»

        Нам уже по такому принципу продали решение от Fortigate. Менеджерам. В обход ИТ-отдела. Пользуясь терминами, что ИТ-отдел не важен — всё ведь просто-просто. Вот, срочно осваиваем.

        В чем проблема — держите штатного админа.
        Давайте, расскажите мне, что я не нужен как рабочая единица. ;) Кроме шуток. Обычно расходы бизнеса получаются толще. Кроме случаев с ДС1 и ДС2, где зарплаты штатных админов действительно толще, чем абонплата за внешние решения.


        1. Zyxel_Russia Автор
          27.11.2019 10:59

          Нам уже по такому принципу продали решение от Fortigate. Менеджерам. В обход ИТ-отдела. Пользуясь терминами, что ИТ-отдел не важен — всё ведь просто-просто. Вот, срочно осваиваем.

          Ну а Zyxel то тут причем? Приходите на вебинар завтра, послушайте, сравните, задайте вопросы. Если окажется что у нас все не лучше — смело пишите об этом тут, ну а если поменяете свое мнение, то действуйте уже на свое усмотрение.


          1. Lopar
            27.11.2019 11:07

            Ну а Zyxel то тут причем?
            Я говорил про общий принцип.
            Приходите на вебинар завтра
            Серия статей на Хабре была бы интереснее. Или рассылка. Или повторный вебинар в другое время? График слишком плотный в ближайшее время.


            1. Zyxel_Russia Автор
              27.11.2019 11:24

              Серия статей на Хабре была бы интереснее. Или рассылка. Или повторный вебинар в другое время? График слишком плотный в ближайшее время.

              Вебинар будет записываться. У вас будет возможность посмотреть потом в удобное время. Запись выложу сюда для вас лично и в телеге вот тут — t.me/zyxelru.


  1. roscomtheend
    27.11.2019 09:00

    В облака будут уезжать, поддаваясь хайпу, всё больше и больше, пока не случится роскомнадзор, облако не ляжет (или не потеряет данные, для гарантии — с бекапами, а локально их не делают — маркетолухи убедили что тамошние администраторы надёжны, ничего не забывают и не путают). Учитывая что это преподносится как экономия, то руководство будет стремиться выбрать вариант подешевле, заодно вместо админа наняв какоготокея.
    Это как каршеринг с такси — когда ездишь мало, требований не много, а невыезд не критичен — можно и на них положиться и даже сэкономить, как варианты разнообразнее — проигрышь по деньгам и времени.
    И с почтой такое уже было — сначала "облака, белокрылые лошадки", а потом сами ратовавшие боятся что-то отправить, там ведь кейджиби и цру следит. Но в почте хоть антиспам настроен на внешних серверах лучше.


    1. Zyxel_Russia Автор
      27.11.2019 10:01

      В облака будут уезжать, поддаваясь хайпу

      В облака будут уходить те, кому обслуживать собственную инфраструктуру дороже, да и смысла не имеет. Это малый и средний бизнес. Люди просто садятся, считают и понимают что так экономически выгоднее. Понимаю, что админ в этом случае страдает, а вернее думает что страдает.


    1. Mur81
      27.11.2019 11:51

      Почему "пока не"? Это всё уже случалось.


    1. Sheti
      27.11.2019 12:22

      А что такого, кстати, малый и средний бизнес может увезти в облако? Файлопомойку? Не увезёт, слишком каналы узкие. Удаленный рабочий стол? Сомневаюсь. Опять же каналы да и лицензия будет кусаться. 1С ну только если её.


      1. Afistotel
        28.11.2019 22:41

        Мое мнение, что можно увезти в облака: Резервный сервер IPsec, DNS, Терминальный сервер, почтовый сервер, Backup, файловый сервер можно(на пример перенести на sharepoint и взаимодействовать с другими компаниями), ВКС и этот список можно продолжать.

        Тут каждый решает, что проще отдать в облако. Администрировать все равно придется


  1. Danger4661
    27.11.2019 09:30

    Я сразу признаюсь, что статью не дочитал, но всё равно оставлю коммент.
    ZyWALL является не сильно примечательным роутером, за свои деньги ничего фантастического он в себе не несёт. Можно покупать любой вариант по предпочтению админа, благо альтернатив для такого бюджета много, если нужна производительность можно и циску и не циску купить, а по функционалу любой микротик перекрывает.
    Я надеюсь не найдётся никого кто заявит, что нуждается в облачном функционале от зюкселя…
    А вот чтоб скачать свежую прошивку для такого устройства я ну никак не испытываю желания проходить регистрацию с подтверждением личности и указанием идентификаторов своей организации(мне сходить их в бухгалтерии попросить?), так что по моим меркам это явный недостаток.
    Ну и самый главный момент в том, что если у вас действительно «компания» — то там по любому есть персональные данные к которым нужны ФСТЭК для файервола и ФСБ для VPN, чего в нём нету. А если у вас мелочь которой не надо сертификации, то и ZyWALL вам не понадобится, можно будет домашний роутер за 1.5к взять.

    Конечно не хочу просто засерать устройство, фактически оно довольно неплохое, по управлению, поведению, логике и впечатлению оно лучше всяких Континентов и VipNet. Но рекомендовать к покупке по сравнению с другими вариантами я не могу.


    1. Zyxel_Russia Автор
      27.11.2019 10:10

      ZyWALL является не сильно примечательным роутером, за свои деньги ничего фантастического он в себе не несёт.

      И вас приглашаю на наш вебинар 28 ноября в 15.00. Как раз по шлюзам. Узнаете много нового и интересного. Особенно про новинки =)

      Можно покупать любой вариант по предпочтению админа, благо альтернатив для такого бюджета много, если нужна производительность можно и циску и не циску купить, а по функционалу любой микротик перекрывает.

      Циску за такой бюджет не возьмете (ну если только бушную на свой страх и риск), и никакой микротик ничего не перекрывает, обновите свои знания на том же вебинаре.

      Ну и самый главный момент в том, что если у вас действительно «компания» — то там по любому есть персональные данные к которым нужны ФСТЭК для файервола и ФСБ для VPN, чего в нём нету. А если у вас мелочь которой не надо сертификации, то и ZyWALL вам не понадобится, можно будет домашний роутер за 1.5к взять.

      Мы делаем школы, гостиницы, торговые сети, склады, офисы. Недавно вон на рыболовецкие суда северные поставили железа. Они плавают, рыбу ловят и с центром связь держат. Полно проектов разных.


  1. noZero
    27.11.2019 10:51

    На рынке слишком много «более более» приемлимых и привычных альтернатив, не буду их перечислять и так все знают этих производителей. Поэтому не вижу смысла в “продвиге” этого товара, если кто-то всю жизнь любил использовать ZyXEL, то лично для меня есть более приемлимые альтернативы.
    А в облака нужно уезжать только не со стран СНГ, там нет ничего постоянного, а жаль.


    1. Afistotel
      28.11.2019 22:43

      В России есть облака и от крупных игроков, на пример операторов большой тройки. Некоторые сервисы удобно держать там.