Centralny firewall - prosta i skuteczna ochrona oddziałów w oparciu o rozwiązania Sophos
Grudzień 8, 2020, 15:23
Wiele przedsiębiorstw działa w oparciu o model centrali, która zarządza – zazwyczaj mniejszymi – oddziałami. Przykładów jest wiele, np. firmy posiadające sieci aptek, małych sklepów stacjonarnych, niewielkich terenowych biur obsługi klienta – i tak dalej, i tak dalej. Centrala zwykle jest wielkopowierzchniowym budynkiem, mieszczącym w swym obrębie zarząd, różnorakie departamenty takie jak księgowość, dział handlowy, sekretariat, dział celny, etc. W zamyśle, stanowi ona dużą strukturę, będącą metaforycznym pniem ogromnego drzewa, którego gałęziami są właśnie oddziały terenowe. Posiada w swym obrębie dziesiątki, jeśli nie setki użytkowników, komputerów i innych urządzeń sieciowych, często także serwerownie, centra danych… Dlatego właśnie ochronę sieci LAN na styku z Internetem zazwyczaj sprawuje tam zaawansowane urządzenie bezpieczeństwa, takie jak na przykład firewall klasy next generation, który chroni (a przynajmniej powinien) styk sieci lokalnej z Internetem oraz komunikację w zakresie poszczególnych podsieci wewnętrznych. Ze względu na stopień zaawansowania ochrony sieciowej, tego typu urządzenia są bardzo drogie w zakupie i problematyczne w implementacji a dedykowane im producenckie wsparcia oraz subskrypcje generują regularne koszty. Nie jest to zwykle problemem, gdyż ich zakup ma ochronić dziesiątki lub setki osób, komputerów i serwerów… Koszt per użytkownik/urządzenie staje się całkowicie akceptowalny, stąd łatwo dostrzec ich obecność w centralach tak zorganizowanych przedsiębiorstw.
Sprawy jednak mają się zupełnie inaczej w przypadku mniejszych oddziałów. Weźmy jako przykład wspomnianą sieć aptek: centrala dużej, znanej sieci z pewnością posiada dużą ilość zasobów ludzkich, sprzętowych oraz sieciowych, wymaga zazwyczaj zatem drogich, ale też wydajnych i skutecznych urządzeń. Każda z aptek natomiast liczy sobie personel w postaci powiedzmy 2-4 osób, w dodatku pracujących na zmiany. Sprzęt komputerowy obecny w oddziale ogranicza się do stacji roboczej w biurze oraz dwóch stanowisk obsługi klienta przy ladzie. Czasami jest tam także obecny niewielki serwer, obsługujący system sprzedaży, jednakże częściej bardziej ekonomicznie uzasadniona jest migracja tego typu serwerów do centrali.
Pracownicy centrali korzystają zapewne z poczty, zasobów serwerów plików, systemów sprzedażowych, CRM-ów… podobnie, jak prawdopodobnie pracownicy oddziałów. Z tym samym prawdopodobieństwem stwierdzić można, że są to dokładnie te same systemy, tylko dla osób z centrali są one osiągalne z sieci lokalnej, natomiast dla osób z poszczególnych aptek dostępne są one za pomocą różnych technik dostępu zdalnego (VPN, etc.). Różnice polegają na tym, że komputery i zasoby użytkowników centrali zwykle są chronione i kontrolowane przy pomocy urządzenia security, np. firewalla next generation, podczas gdy komputery będące w oddziałach nie są wyposażone w tak zaawansowane mechanizmy ochrony. Częstym widokiem w takiej aptece będzie zatem niedrogi router, którego zadaniem będzie udostępnienie połączenia z centralą za pomocą np. protokołu IPsec oraz zapewnienie łączności z Internetem komputerom w aptece. Nie jest to urządzenie bezpieczeństwa, nie może zatem realizować aktywnej ochrony stacji roboczych na styku z Internetem tak, jak robi to firewall w centrali. Komputery te mogą zatem komunikować się z całym światem w sposób niemal nieograniczony, często padając ofiarą ataków ze strony sieci botnetowych czy malware. Pobierając na siebie zagrożenie, z łatwością mogą rozpropagować je dalej – na pozostałe komputery w sieci oraz na serwery, do których dostęp przecież mają za pośrednictwem dostępów zdalnych…
Wielu administratorów zmaga się z dylematami ekonomicznymi, wynikającymi z problematyką obsługi tego typu oddziałów. Firewalle next generation, nawet w postaci najsłabszych modeli, zwykle może i bywają niedrogie w zakupie, jednakże odnawianie subskrypcji stanowi stały, stosunkowo wysoki koszt, zwłaszcza przy dużej ilości tego typu oddziałów (100 aptek = 100 firewalli = 100 subskrypcji do regularnego odnawiania). Ich wdrożenie to czyjś czas: trzeba skonfigurować parametry łącza Internetowego, tunele, sieć lokalną w takim oddziale, co regularnie angażuje osobę lub grupę osób. Połączenie ich z centralą wymaga drogiego w zakupie łącza ze stałym adresem IP – tutaj podobnie, skala czyni potężne, miesięczne zobowiązanie, które można wykorzystać dużo efektywniej, korzystając z innowacyjnych rozwiązań.
Mając na myśli innowację, chciałbym zwrócić Państwa uwagę na produkty firmy Sophos, a konkretnie dedykowane przedsiębiorstwom z oddziałami urządzenia klasy RED, czyli Remote Ethernet Device, które wydaje się być remedium na wszystkie bolączki tradycyjnego modelu łączenia oddziałów z centralą. RED to urządzenie, które implementuje się w oddziale, by zapewnić bezpośrednią komunikację z głównym firewallem Sophos w centrali, by zapewnić z nim łączność i korzystać z udostępnianych za jego pośrednictwem zasobów sieciowych oraz z jego aktywnej ochrony. Użytkownicy w oddziale zyskują taki sam model pracy, jak użytkownicy w centrali, ponieważ urządzenie Sophos RED stanowi w wielkim skrócie przedłużenie sieci lokalnej centrali do oddziału.
Najważniejszymi atutami tego rozwiązania są:
- Cena. Sophos RED w podstawowej wersji, pozwalającej na zabezpieczenie pracy nawet kilkunastu osób/komputerów jest porównywalny z zakupem dobrej klasy routera – i to wszystko, nie ma żadnych dodatkowych kosztów. Aktywna ochrona opiera się o zasoby oraz licencje firewalla w centrali.
- Łatwość wdrożenia. Urządzenia te do minimum angażują osobę wyznaczoną do uruchomienia jej w oddziale. Wstępnie skonfigurowane w centrali urządzenie można wysłać kurierem do oddziału z prostą instrukcją, który przewód sieciowy podłączyć do gniazda WAN i który do gniazda LAN. Po podłączeniu do zasilania, Sophos RED automatycznie nawiąże połączenie, zapewniając użytkownikom chroniony dostęp do Internetu oraz zasobów centrali. Ma to także znaczenie w chwili, gdy dany oddział często migruje terenowo – adresacja łącza Internetowego nie ma żadnego znaczenia, ten sam RED zapewni połączenie z centralą na takich samych zasadach.
- Niskie koszty operacyjne. Sophos RED można podłączyć do dowolnego łącza Internetowego (NAT, zmienny adres IP – nie mają tu znaczenia), którego abonament jest znacznie tańszy, niż łącza ze stałym publicznym adresem. W przypadku awarii łącza podstawowego, jakiekolwiek inne połączenie z Internetem przywróci łączność z centralą.
- Transparentność działania. Dla użytkownika końcowego w oddziale nie ma żadnych niejasności w działaniu sieci. Nie zmusza się go do wykonywania jakichś nietypowych kroków celem uzyskania połączenia.
- Opcjonalna możliwość współpracy z access pointami. Urządzenia RED można łączyć z dedykowanymi, nowoczesnymi i wydajnymi urządzeniami access point marki Sophos, propagującymi centralnie zarządzane sieci WiFi.
- Obsługa WAN failover – Sophos RED zapewnia obsługę dwóch łącz WAN celem zapewnienia wysokiej dostępności.
Nawiązanie do modelu drzewa z gałęziami z początku tego artykułu nie jest przypadkowe, ponieważ Sophos określa w takim modelu wdrożenia oddziały terminem „branches”. Jest to rozwiązane sprawdzone przez nas na przestrzeni wielu wdrożeń. Administratorzy działający w oparciu o firewalle next generation marki Sophos oraz urządzenia RED bardzo chętnie rozbudowują łączność z oddziałami tym niezwykle prostym w implementacji i skutecznie działającym modułem.
KG