Достижения в технологии защиты привели к развитию настраиваемых устройств, которые могут обслуживать как конвергентные аппаратно-программные решения – со множеством функций обеспечения безопасности, такие как межсетевой экран, VPN или IPS, так и специализированные устройства, например, только межсетевой экран. Существуют как случаи, когда объединение нескольких функций защиты и VPN в одном устройстве лучше удовлетворяет требованиям, так и случаи, когда выделенные для выполнения определенных функций устройства являются предпочтительнее.


Следующие шаги

Узнать больше о аппаратно-программных решениях адаптивной защиты Cisco ASA серии 5500.


Прочесть полную версию этого официального технического описания.

При выборе важно понять действующие все плюсы и минусы развертывания одного многофункционального аппаратно-программного решения по обеспечению безопасности вместо нескольких специализированных.


Рассмотрение инфраструктуры IT

На выбор решения платформы обеспечения безопасности и VPN влияют размер, операционная модель и сегментация сети. Большой размер, большие объемы трафика и сложность сетей предприятий часто являются причиной развертывания устройств узкой функциональности.


Инфраструктура защиты и VPN, построенная на применении устройств, выполняющих ограниченное число (или даже одну) функций, обладает следующими преимуществами:


  • Позволяет осуществлять развертывание устройств по мере необходимости
  • Позволяет производить тщательную настройку конфигурации и увеличить сегментацию сети
  • Упрощает выбор версии ПО и циклов обновления
  • Разрешает разделение ответственности за безопасность сети между различными подразделениями IT

Типичными примерами функционального разделения, требующего применения специализированных средств защиты и устройств VPN, являются:


  • Развертывание специализированных устройств VPN удаленного доступа
  • Развертывание специализированных устройств IPS для проверки системы безопасности и соответствия нормативным документам или для координации с организационными функциями IT
  • Быстрые, специфические для центра обработки данных, развертывания, направленные на обеспечение безопасности Web-серверов и серверов приложений
  • Межсетевые экраны на границе сети для контроля трафика и управления доступом

В сетях меньших масштабов и небольших организациях наблюдается обратная тенденция. Небольшие сети, например, малого бизнеса и удаленных офисов, с нераспространенными структурами IT, стремятся объединить как можно больше функций защиты и VPN в как можно меньшем количестве устройств. Наличие небольшого числа устройств понижает сложность сети, а также уменьшает потребность в знаниях, которыми должен обладать персонал IT для управления сетью с большим количеством уникальных устройств.


Рассмотрение вопросов стоимости платформы

В большинстве случаев стоимость конвергентного устройства равна или чуть меньше стоимости похожего, но ограниченного функционально устройства. Поэтому выбор должен быть сделан на основании сравнения характеристик устройств, а также архитектуры системы безопасности и функциональной модели организации.


Например, можно развернуть аппаратно-программное решение Cisco ASA серии 5500 для комплексного предотвращения угроз в головной организации, используя реализованные в нем технологии контроля доступа, контроля приложений и защиты от червей, вирусов и вредоносного ПО. Также, можно установить его как специализированное устройство удаленного доступа, использующее возможности использования VPN на базе протокола IPSec и протокола SSL.


При развертывании для управления межведомственным доступом, решение обеспечивает защиту от червей, вирусов и вредоносного ПО, которые могут быть нечаянно занесены в сеть собственными пользователями. В среде малого бизнеса или филиала оно работает как устройство «все-в-одном», предлагающее универсальные услуги предотвращения угроз и VPN, соответствуя в то же время ресурсам и функциональной модели такого развертывания.


Рассмотрение вопросов стоимости эксплуатации

Конвергентные аппаратно-программные решения имеют неоспоримое преимущество в стоимости эксплуатации защиты и VPN. Так как можно установить устройство, например, Cisco ASA серии 5500 в различных средах с разными требованиями к функциональности, то можно уменьшить число развертываемых платформ, которыми нужно управлять. В то же время, можно предложить для всех подразделений единую в эксплуатации и управлении среду, которая упрощает настройку, мониторинг, поиск и исправление неисправностей, а также обучение персонала службы безопасности.


В современных сетях используются оба типа развертывания систем безопасности и VPN – с конвергентными и специализированными функциями. Принятие решения зависит, в первую очередь от:

  • размера сети
  • окончательной архитектура сети
  • размещение внутри сети
  • модель поддержки IT

Выбирайте устройство, обладающее высокой гибкостью, которое можно применить для обоих типов развертывания системы безопасности и VPN - с конвергентными и специализированными функциями. Выбор единого типа устройства для сред с различными типами развертывания, упрощает архитектуру сети, снижая, таким образом, затраты на развертывание и эксплуатацию.