Непосредственно конфигурирование сервера и размещенных на нем приложений далеко не исчерпывает спектр работ, которые необходимо выполнить для создания завершенного и стабильного IT-пространства бизнеса. Разделим настройку сетевых доступов на два условных уровня: подключение клиентских станций к серверам (по локальной сетям внутри офиса или по VPN) и сетевые отношения используемых серверов между собой и с Интернет. Здесь речь о последнем.
Элементы корпоративной сети
В общем случае в логике сетевого пространства фирмы можно выделить следующие уровни:
- Интернет-провайдер – выход во внешний мир через маршрутизатор, подключенный непосредственно к Интернет. Если в компании используются виртуальные серверы VPS/VDS, то таких выходов может быть несколько (по количеству мест размещения арендованных мощностей).
- Корпоративный доступ и Демилитаризованная зона (DMZ/ДМЗ). Это пространство для внутренних пользователей сети. Его периметр и места выхода во внешнюю сеть должны быть тщательно защищены. Пользователи могут получить доступ к корпоративной почте и используемым в бизнесе внешним сервисам, но быть ограничены в доступе к определенным сайтам и приложениям мгновенных сообщений.
- Удаленный доступ (VPN) – защищенные специальными протоколами каналы входа во внутреннее корпоративное пространство из внешней сети. Активно применяется для дистанционной работы сотрудников с ресурсами и приложениями корпоративных серверов.
- Защита WEB-доступа – пограничные с Интернет-провайдерами участки корпоративной сети. В этой зоне располагаются сервисы защиты от червей, вирусов, защиты от DoS-трафика и направленных атак.
- Зона резервного копирования. Максимально надежным резервированием данных являться копирование информации на серверы, вынесенные полностью за периметр и места размещения основных рабочих серверов и корпоративного пространства. Это могут быть как online-сервисы типа Dropbox, так и собственные серверы.
В связи с тем, что многие компании в повседневной работе активно используют различные внешние сервисы (сохраняя при этом и использование собственных клиент-серверных приложений), конкретная топология сети и наличие тех или иных доступов на каждом ее участке, будут во многом уникальны. Мы подготовим и будем поддерживать в актуальном состоянии общую схему построения сети в вашей фирме.
Защита от внешних неприятностей
По статистике, среди компаний, которые подвергаются внешним атакам, только 11% относятся к малому и среднему бизнесу (в основном - это сети корпораций и госучреждений). Вместе с тем, пренебрегать такой опасностью не стоит и основные меры предосторожности необходимо соблюсти (тем более, что они доступны).
Профилактика защиты IT-пространства компании от DoS-атак будет включать в себя следующие меры:
- Серверы, которые имеют выход во внешнюю сеть, будут подготовлены к удаленной аварийной перезагрузке. По возможности, они должны быть снабжены резервным сетевым интерфейсом, через который по SSH-соединению можно быстро получить доступ к серверу.
- Программное обеспечение, которое установлено на сервере, должно постоянно поддерживаться в актуальном состоянии. В частности, это касается приложений и элементов операционных систем, отвечающих за безопасность.
- Сетевые сервисы должны быть защищены брандмауэром.
Многие базовые средства сетевой защиты встроены в стандартные сборки операционных систем. Кроме их настройки, в зависимости от специфики вашего бизнеса и степени требований к безопасности данных (которая определяется, прежде всего, степенью потенциального интереса к вашей компании со стороны квалифицированных хакеров), на отдельных участках маршрутизации мы можем установить дополнительные межсетевые экраны.
Основной задачей коммутаторов, оснащенных технологией межсетевого экрана, является защита сегментов сети и отдельных хостов от несанкционированного доступа. Такой доступ, как правило, может быть получен за счет уязвимых мест в протоколах сетевой модели или в программном обеспечении, установленном на компьютерах сети и серверах. Межсетевые экраны пропускают или запрещают трафик, сравнивая его характеристики с заданными шаблонами. В отличие от персональных брэндмауров, они работают на целый сегмент сети (а не только на отдельный сервер или клиентскую станцию).
Постоянный контроль
В процессе сопровождения вашей сети, мы выведем для постоянного мониторинга ключевые параметры контроля (например, используемые компанией полосы каналов трафика, количества подключений и запросов к тому или иному серверу, и другие). В зависимости от меняющегося характера запросов к серверам, распределения нагрузок на базы данных и файловые хранилища, а также с учетом развития бизнес-приложений компании, в процессе сопровождения нам предстоит постоянно совершенствовать конфигурацию сетевых настроек, перманентно повышая общий уровень безопасности ваших операций.
