في الآونة الأخيرة، قدمت Check Point منصة جديدة قابلة للتطوير . لقد نشرنا بالفعل مقالًا كاملاً عنه . باختصار، يسمح لك بزيادة أداء بوابة الأمان بشكل خطي تقريبًا من خلال الجمع بين أجهزة متعددة وموازنة الحمل بينها. والمثير للدهشة أنه لا تزال هناك أسطورة مفادها أن هذه المنصة القابلة للتطوير مناسبة فقط لمراكز البيانات الكبيرة أو الشبكات العملاقة. هذا ليس صحيحا على الاطلاق.
تم تطوير Check Point Maestro لعدة فئات من المستخدمين في وقت واحد (سننظر إليهم بعد ذلك بقليل)، بما في ذلك الشركات المتوسطة الحجم. في هذه السلسلة القصيرة من المقالات سأحاول التفكير المزايا التقنية والاقتصادية لـ Check Point Maestro للمؤسسات متوسطة الحجم (من 500 مستخدم) ولماذا قد يكون هذا الخيار أفضل من المجموعة الكلاسيكية.
تحقق نقطة مايسترو الجمهور المستهدف
أولاً، دعونا نلقي نظرة على شرائح المستخدمين التي تم تصميم Check Point Maestro من أجلها. لا يوجد سوى 4 منهم:
1. الشركات التي تفتقر إلى إمكانيات الهيكل. Check Point Maestro ليس أول منصة قابلة للتطوير لـ Check Point. لقد كتبنا بالفعل أنه في السابق كانت هناك نماذج مثل 64000 و44000. على الرغم من أنها كانت تتمتع بأداء رائع، إلا أنه لا تزال هناك شركات لم يكن هذا كافيًا لها. مايسترو يزيل هذا العيب، لأن... يسمح لك بتجميع ما يصل إلى 31 جهازًا في مجموعة واحدة عالية الأداء. في الوقت نفسه، من الممكن تجميع مجموعة من الأجهزة العليا (23900، 26000)، وبالتالي تحقيق إنتاجية هائلة.
في الواقع، في مجال بوابات الأمان، تعد Check Point حاليًا الشركة الوحيدة التي تطبق مثل هذه الإمكانية.
2. الشركات التي تريد أن تكون قادرة على اختيار أجهزتها. أحد عيوب الأنظمة الأساسية القديمة القابلة للتطوير هو الحاجة إلى استخدام "وحدات الشفرات" المحددة بدقة (Check Point SGM). تتيح لك منصة Check Point Maestro الجديدة استخدام عدد كبير من الأجهزة المختلفة. يمكنك اختيار كلا الطرازين من الفئة المتوسطة (5600، 5800، 5900، 6500، 6800) ومن الفئة الراقية (سلسلة 15000، سلسلة 23000، سلسلة 26000). علاوة على ذلك، يمكنك الجمع بينهما حسب المهام.
هذا مناسب جدًا من وجهة نظر الاستخدام الأمثل للموارد. يمكنك شراء الأداء الذي تحتاجه فقط عن طريق اختيار الطراز المناسب.
3. الشركات التي يكون هيكلها أكثر من اللازم، ولكن لا تزال هناك حاجة إلى قابلية التوسع. "العيب" الآخر للمنصات القديمة القابلة للتطوير (64000، 44000) هو عتبة الدخول العالية (من وجهة نظر اقتصادية). لفترة طويلة، كانت المنصات القابلة للتطوير متاحة فقط للشركات الكبيرة ذات الميزانيات "الجيدة" لتكنولوجيا المعلومات. مع ظهور Check Point Maestro، تغير كل شيء. تكلفة الحد الأدنى من الحزمة (المنسق + بوابتين) قابلة للمقارنة (وأحيانًا أقل) مع المجموعة النشطة/الاستعدادية الكلاسيكية. أولئك. انخفضت عتبة الدخول بشكل ملحوظ. عند اختيار حل ما، يمكن للشركة أن تضع على الفور بنية قابلة للتطوير، دون دفع مبالغ زائدة مقابل زيادة لاحقة محتملة في الاحتياجات. هل زاد عدد المستخدمين بعد مرور عام على تقديم Check Point Maestro؟ ما عليك سوى إضافة بوابة واحدة أو اثنتين، دون أي استبدال للبوابات الموجودة. ليس عليك حتى تغيير الطوبولوجيا. ما عليك سوى توصيل البوابات الجديدة بالمنسق وتطبيق الإعدادات عليها ببضع نقرات فقط.
4. الشركات التي ترغب في تحقيق الاستخدام الأمثل للأجهزة الموجودة. أعتقد أن الكثير من الناس على دراية بإجراءات المقايضة. عندما لا يعد أداء الأجهزة الموجودة كافيًا وتحتاج الأجهزة إلى التحديث لتلبية الاحتياجات الحالية. إجراء مكلف للغاية. بالإضافة إلى ذلك، غالبًا ما يكون هناك موقف عندما يكون لدى العميل العديد من مجموعات Check Point لمهام مختلفة. على سبيل المثال، مجموعة لحماية المحيط، ومجموعة للوصول عن بعد (RA VPN)، ومجموعة VSX، وما إلى ذلك. علاوة على ذلك، قد لا تمتلك مجموعة واحدة ما يكفي من الموارد، في حين أن مجموعة أخرى لديها وفرة منها. يعد Check Maestro فرصة ممتازة لتحسين استخدام هذه الموارد من خلال توزيع الحمل بينها ديناميكيًا.
أولئك. تحصل على الفوائد التالية:
- ليست هناك حاجة "للتخلص" من الأجهزة الموجودة. يمكنك شراء بوابة أو بوابتين إضافيتين، أو...
- قم بتكوين موازنة التحميل الديناميكي بين البوابات الموجودة الأخرى من أجل الاستخدام الأمثل للموارد. إذا زاد الحمل على البوابة المحيطة بشكل حاد، فسيكون المنسق قادرًا على استخدام الموارد "المملة" لبوابات الوصول عن بعد والعكس صحيح. وهذا يساعد على تخفيف فترات الذروة الموسمية (أو المؤقتة) للأحمال.
كما تعلم على الأرجح، يتعلق القطاعان الأخيران على وجه التحديد بالشركات متوسطة الحجم، والتي يمكنها الآن أيضًا استخدام منصات أمنية قابلة للتطوير. ومع ذلك، قد يطرح سؤال معقول: "لماذا تعتبر Check Point Maestro أفضل من المجموعة العادية؟"سنحاول الإجابة على هذا السؤال.
المجموعة الكلاسيكية مقابل Check Point Maestro
إذا تحدثنا عن مجموعة Check Point الكلاسيكية، فسيتم دعم وضعين للتشغيل: التوفر العالي (أي نشط/استعداد) ومشاركة التحميل (أي نشط/نشط). سنصف بإيجاز معنى عملهم، بالإضافة إلى إيجابياتهم وسلبياتهم.
التوفر العالي (نشط/استعداد)
كما يوحي الاسم، في وضع التشغيل هذا، تقوم عقدة واحدة بتمرير كل حركة المرور من خلال نفسها، وتكون العقدة الثانية في وضع الاستعداد وتلتقط حركة المرور إذا بدأت العقدة النشطة في مواجهة أي مشاكل.
الايجابيات:
- الوضع الأكثر استقرارا.
- يتم دعم آلية SecureXL الخاصة لتسريع معالجة حركة المرور؛
- إذا فشلت العقدة النشطة، فسيتم ضمان قدرة العقدة الثانية على "هضم" كل حركة المرور (لأنها هي نفسها تمامًا).
سلبيات:
في الواقع، هناك ناقص واحد فقط - عقدة واحدة خاملة تمامًا. ولهذا السبب، نحن مجبرون على شراء أجهزة أكثر قوة حتى تتمكن من التعامل مع حركة المرور بمفردها.
بالطبع، يعد وضع HA أكثر موثوقية من مشاركة التحميل، ولكن تحسين الموارد يترك الكثير مما هو مرغوب فيه.
مشاركة التحميل (نشط/نشط)
في هذا الوضع، كافة العقد في حركة مرور عملية الكتلة. يمكنك دمج ما يصل إلى 8 أجهزة في هذه المجموعة (أكثر من 4 ).
الايجابيات:
- يمكنك توزيع الحمل بين العقد، الأمر الذي يتطلب أجهزة أقل قوة؛
- إمكانية التوسع السلس (إضافة ما يصل إلى 8 عقد إلى المجموعة).
سلبيات:
- ومن الغريب أن الإيجابيات تتحول على الفور إلى سلبيات. إنهم يحبون استخدام وضع مشاركة التحميل حتى عندما يكون لدى الشركة عقدتان فقط. الرغبة في توفير المال، يشترون الأجهزة، يتم تحميل كل منها بنسبة 40-50٪. ويبدو أن كل شيء على ما يرام. ولكن إذا فشلت عقدة واحدة، فسنحصل على موقف يتم فيه نقل الحمل بأكمله إلى العقدة المتبقية، والتي لا يمكنها التعامل ببساطة. ونتيجة لذلك، لا يوجد أي تسامح مع الخطأ في مثل هذا المخطط.
- أضف إلى ذلك مجموعة من قيود مشاركة التحميل (). والقيد الأكثر أهمية هو أن SecureXL غير مدعوم، وهي آلية تعمل على تسريع معالجة حركة المرور بشكل كبير؛
- أما بالنسبة للتوسع عن طريق إضافة عقد جديدة إلى المجموعة، فللأسف مشاركة التحميل ليست مثالية هنا. إذا تمت إضافة أكثر من 4 أجهزة إلى المجموعة، فسيبدأ الأداء .
بالنظر إلى العيوب الأولين، من أجل تنفيذ التسامح مع الخطأ عند استخدام عقدتين، فإننا مضطرون أيضًا إلى شراء أجهزة أكثر إنتاجية حتى تتمكن من "استيعاب" حركة المرور في المواقف الحرجة. ونتيجة لذلك، ليس لدينا أي فائدة اقتصادية، ولكننا نحصل على مبلغ كبير . علاوة على ذلك، تجدر الإشارة إلى أنه بدءًا من الإصدار R80.20، فإن وضع مشاركة التحميل غير مدعوم. وهذا يحد من حصول المستخدمين على التحديثات المطلوبة. ليس من المعروف بعد ما إذا كان سيتم دعم مشاركة التحميل في الإصدارات الأحدث.
تحقق بوينت مايسترو كبديل
من وجهة نظر المجموعة، استفاد Check Point Maestro من المزايا الرئيسية للتوافر العالي وأوضاع مشاركة التحميل:
- يمكن للبوابات المتصلة بالمنسق استخدام SecureXL، مما يضمن أقصى سرعة لمعالجة حركة المرور. لا توجد قيود أخرى متأصلة في مشاركة التحميل؛
- يتم توزيع حركة المرور بين البوابات في مجموعة أمان واحدة (بوابة منطقية تتكون من عدة بوابات مادية). بفضل هذا، يمكننا تثبيت أجهزة أقل إنتاجية، لأنه لم يعد لدينا بوابات خاملة، كما هو الحال في وضع التوفر العالي. في الوقت نفسه، يمكن زيادة الطاقة بشكل خطي تقريبًا، دون حدوث خسائر خطيرة كما هو الحال في وضع "مشاركة التحميل" (مزيد من التفاصيل لاحقًا).
كل هذا رائع، ولكن دعونا نلقي نظرة على مثالين محددين.
مثال 1
دع الشركة X تنوي تثبيت مجموعة من البوابات على محيط الشبكة. لقد أصبحوا بالفعل على دراية بجميع القيود المفروضة على مشاركة التحميل (والتي هي غير مقبولة بالنسبة لهم) ويفكرون في وضع التوفر العالي حصريًا. بعد التحجيم، اتضح أن البوابة 6800 مناسبة لهم، والتي لا ينبغي تحميلها بأكثر من 50٪ (من أجل الحصول على بعض احتياطي الأداء على الأقل). نظرا لأن هذه ستكون مجموعة، فأنت بحاجة إلى شراء جهاز ثان، والذي سيقوم ببساطة "بتدخين" الهواء في وضع الاستعداد. إنه بيت دخان باهظ الثمن.
ولكن هناك بديل. خذ حزمة من المنسق وثلاث بوابات 6500. في هذه الحالة، سيتم توزيع حركة المرور بين جميع الأجهزة الثلاثة. إذا نظرت إلى مواصفات الطرازين، سترى أن ثلاث بوابات 6500 أقوى من بوابة 6800 واحدة.
وبالتالي، عند اختيار Check Point Maestro، تحصل الشركة X على المزايا التالية:
- تضع الشركة على الفور منصة قابلة للتطوير. إن الزيادة اللاحقة في الأداء ستؤدي ببساطة إلى إضافة 6500 قطعة أخرى من الأجهزة. ما الذي يمكن أن يكون أكثر بساطة؟
- الحل لا يزال متسامحا مع الخطأ، لأنه إذا فشلت عقدة واحدة، فستتمكن العقدتان المتبقيتان من التعامل مع الحمل.
- والميزة الأخرى التي لا تقل أهمية والمدهشة هي أنها أرخص! لسوء الحظ، لا يمكنني نشر الأسعار علنًا، ولكن إذا كنت مهتمًا، فيمكنك ذلك
مثال 2
دع الشركة Y لديها بالفعل مجموعة HA مكونة من 6500 نموذجًا، حيث يتم تحميل العقدة النشطة بنسبة 85%، مما يؤدي أثناء الأحمال القصوى إلى خسائر في حركة المرور الإنتاجية. يبدو أن الحل المنطقي للمشكلة هو تحديث الأجهزة. النموذج التالي هو 6800. هذا هو. ستحتاج الشركة إلى إعادة البوابات من خلال برنامج Trade-In وشراء جهازين جديدين (أكثر تكلفة).
ولكن هناك خيار بديل. شراء منسق وآخر بالضبط نفس العقدة (6500). قم بتجميع مجموعة من ثلاثة أجهزة و"وزع" 85% من الحمل عبر ثلاث بوابات. ونتيجة لذلك، سوف تحصل على هامش أداء ضخم (سيتم تحميل ثلاثة أجهزة بمعدل 30% فقط في المتوسط). حتى لو ماتت إحدى العقد الثلاث، ستظل العقدتان المتبقيتان قادرين على التعامل مع حركة المرور بمتوسط حمل يبلغ 45%. علاوة على ذلك، بالنسبة للأحمال القصوى، ستكون مجموعة مكونة من ثلاث بوابات 6500 نشطة أقوى من بوابة 6800 واحدة، الموجودة في مجموعة HA (أي نشطة/احتياطية). بالإضافة إلى ذلك، إذا زادت احتياجات الشركة Y مرة أخرى خلال عام أو عامين، فكل ما يتعين عليهم القيام به هو إضافة عقدة أو عقدتين إضافيتين يبلغ عددها 6500. أعتقد أن الفائدة الاقتصادية هنا واضحة.
اختتام
نعم، لا يعد Check Point Maestro حلاً للشركات الصغيرة والمتوسطة. ولكن حتى الشركات المتوسطة الحجم يمكنها بالفعل التفكير في هذه المنصة ومحاولة حساب الكفاءة الاقتصادية على الأقل. سوف تتفاجأ عندما تجد أن المنصات القابلة للتطوير يمكن أن تكون أكثر ربحية من المجموعة الكلاسيكية. في الوقت نفسه، هناك مزايا ليس فقط اقتصادية، ولكن أيضا تقنية. ومع ذلك، سنتحدث عنها في المقالة التالية، حيث، بالإضافة إلى الحيل الفنية، سأحاول إظهار العديد من الحالات النموذجية (الطوبولوجيا والسيناريوهات).
يمكنك أيضًا الاشتراك في جمهورنا (, , , ) ، حيث يمكنك متابعة ظهور مواد جديدة على Check Point ومنتجات الأمان الأخرى.
المصدر: www.habr.com