Nedavno je Check Point predstavio novu skalabilnu platformu . Već smo objavili cijeli članak o . Ukratko, omogućava vam da skoro linearno povećate performanse sigurnosnog gatewaya kombinovanjem više uređaja i balansiranjem opterećenja između njih. Iznenađujuće, još uvijek postoji mit da je ova skalabilna platforma prikladna samo za velike podatkovne centre ili gigantske mreže. Ovo apsolutno nije istina.
Check Point Maestro je razvijen za nekoliko kategorija korisnika odjednom (mi ćemo ih pogledati malo kasnije), uključujući i srednja poduzeća. U ovoj kratkoj seriji članaka pokušat ću se osvrnuti tehničke i ekonomske prednosti Check Point Maestra za organizacije srednje veličine (od 500 korisnika) i zašto ova opcija može biti bolja od klasičnog klastera.
Check Point Maestro ciljna publika
Prvo, pogledajmo segmente korisnika za koje je dizajniran Check Point Maestro. Ima ih samo 4:
1. Kompanije kojima su nedostajale mogućnosti šasije. Check Point Maestro nije prva Check Pointova skalabilna platforma. Već smo pisali da su ranije postojali modeli kao što su 64000 i 44000. Iako su imali ODLIČNE performanse, ipak je bilo kompanija kojima to NIJE DOVOLJNO. Maestro otklanja ovaj nedostatak, jer... omogućava vam da sastavite do 31 uređaja u jedan klaster visokih performansi. U isto vrijeme, možete sastaviti klaster od vrhunskih uređaja (23900, 26000), čime ćete postići kolosalan protok.
Zapravo, u oblasti sigurnosnih gateway-a, Check Point je trenutno jedini koji implementira takvu mogućnost.
2. Kompanije koje žele da imaju mogućnost da biraju svoj hardver. Jedan od nedostataka starijih skalabilnih platformi je potreba da se koriste strogo definisani „blade moduli“ (Check Point SGM). Nova Check Point Maestro platforma vam omogućava korištenje velikog broja različitih uređaja. Možete odabrati oba modela iz srednjeg segmenta (5600, 5800, 5900, 6500, 6800) i iz High End segmenta (serija 15000, serija 23000, serija 26000). Štoviše, možete ih kombinirati, ovisno o zadacima.
Ovo je veoma zgodno sa stanovišta optimalnog korišćenja resursa. Odabirom pravog modela možete kupiti samo one performanse koje su vam potrebne.
3. Kompanije za koje je šasija previše, ali je i dalje potrebna skalabilnost. Još jedan „nedostatak“ starih skalabilnih platformi (64000, 44000) bio je visok ulazni prag (sa ekonomske tačke gledišta). Dugo vremena, skalabilne platforme su bile dostupne samo velikim preduzećima sa „dobrim“ IT budžetima. Dolaskom Check Point Maestra sve se promijenilo. Cijena minimalnog paketa (orkestrator + dva gatewaya) je uporediva (i ponekad niža) sa klasičnim aktivnim/pripravnim klasterom. One. ulazni prag je značajno pao. Prilikom odabira rješenja, kompanija može odmah postaviti skalabilnu arhitekturu, bez preplate za eventualno naknadno povećanje potreba. Ima li više korisnika godinu dana nakon uvođenja Check Point Maestra? Vi samo dodate jedan ili dva gatewaya, bez zamjene postojećih. Ne morate čak ni mijenjati topologiju. Jednostavno povežite nove gatewaye na orkestrator i primijenite postavke na njih u samo nekoliko klikova.
4. Kompanije koje žele da optimalno iskoriste postojeće uređaje. Mislim da su mnogi ljudi upoznati sa procedurom Trade-In-a. Kada performanse postojećih uređaja više nisu dovoljne i hardver je potrebno ažurirati kako bi zadovoljio trenutne potrebe. Prilično skupa procedura. Osim toga, često postoji situacija kada korisnik ima nekoliko Check Point klastera za različite zadatke. Na primjer, klaster za zaštitu perimetra, klaster za daljinski pristup (RA VPN), klaster za VSX, itd. Štaviše, jedan klaster možda nema dovoljno resursa, dok ih drugi ima u izobilju. Check Maestro je odlična prilika za optimizaciju korištenja ovih resursa dinamičkom raspodjelom opterećenja između njih.
One. dobijate sljedeće pogodnosti:
- Nema potrebe za "bacivanjem" postojećeg hardvera. Možete kupiti jedan ili dva dodatna gateway-a, ili...
- Konfigurirajte dinamičko balansiranje opterećenja između ostalih postojećih pristupnika za optimalniju upotrebu resursa. Ako se opterećenje perimetarskog gateway-a naglo poveća, tada će orkestrator moći koristiti „dosadne“ resurse gateway-a za daljinski pristup i obrnuto. Ovo pomaže u ublažavanju sezonskih (ili privremenih) vršnih opterećenja.
Kao što vjerovatno razumijete, posljednja dva segmenta se posebno odnose na srednja preduzeća, koja sada također mogu priuštiti korištenje skalabilnih sigurnosnih platformi. Međutim, može se postaviti razumno pitanje: “Zašto je Check Point Maestro bolji od običnog klastera?“Pokušaćemo da odgovorimo na ovo pitanje.
Classic cluster vs Check Point Maestro
Ako govorimo o klasičnom Check Point klasteru, onda su podržana dva načina rada: visoka dostupnost (tj. Active/Standby) i dijeljenje opterećenja (tj. Active/Active). Ukratko ćemo opisati njihov smisao rada, kao i njihove prednosti i nedostatke.
Visoka dostupnost (aktivan/standby)
Kao što naziv govori, u ovom načinu rada jedan čvor propušta sav promet kroz sebe, a drugi je u standby modu i preuzima promet ako aktivni čvor počne imati problema.
Pros:
- Najstabilniji način rada;
- Podržan je vlasnički SecureXL mehanizam za ubrzanje obrade saobraćaja;
- Ako aktivni čvor pokvari, drugi je zagarantovano u stanju da "svari" sav promet (jer je potpuno isti).
Cons:
U stvari, postoji samo jedan minus - jedan čvor je potpuno neaktivan. Zauzvrat, zbog toga smo primorani da kupujemo moćniji hardver kako bi mogao sam da se nosi sa saobraćajem.
Naravno, HA način rada je pouzdaniji od Load Sharing, ali optimizacija resursa ostavlja mnogo da se poželi.
Dijeljenje opterećenja (aktivno/aktivno)
U ovom načinu rada svi čvorovi u klasteru obrađuju promet. Možete kombinirati do 8 uređaja u takav klaster (više od 4 ).
Pros:
- Možete raspodijeliti opterećenje između čvorova, što zahtijeva manje moćne uređaje;
- Mogućnost glatkog skaliranja (dodavanje do 8 čvorova u klaster).
Cons:
- Začudo, prednosti se odmah pretvaraju u mane. Oni vole da koriste režim dijeljenja opterećenja čak i kada kompanija ima samo dva čvora. U želji da uštede, kupuju uređaje od kojih je svaki napunjen 40-50%. I izgleda da je sve u redu. Ali ako jedan čvor pokvari, dolazimo do situacije u kojoj se cjelokupno opterećenje prenosi na preostali, koji jednostavno ne može podnijeti. Kao rezultat toga, u takvoj shemi ne postoji tolerancija na greške kao takva.
- Dodajte ovome gomilu ograničenja dijeljenja opterećenja (). A najvažnije ograničenje je da SecureXL nije podržan, mehanizam koji značajno ubrzava obradu saobraćaja;
- Što se tiče skaliranja dodavanjem novih čvorova u klaster, nažalost dijeljenje opterećenja ovdje je daleko od idealnog. Ako se u klaster doda više od 4 uređaja, počinje izvedba .
Uzimajući u obzir prva dva nedostatka, kako bismo implementirali toleranciju grešaka pri korištenju dva čvora, primorani smo i nabavku produktivnijeg hardvera kako bi mogao „svariti“ promet u kritičnoj situaciji. Kao rezultat toga, nemamo nikakvu ekonomsku korist, ali dobijamo veliki iznos . Štoviše, vrijedi napomenuti da počevši od verzije R80.20, režim dijeljenja opterećenja nije podržan. Ovo ograničava korisnike u potrebnim ažuriranjima. Još nije poznato da li će dijeljenje opterećenja biti podržano u novijim izdanjima.
Check Point Maestro kao alternativa
Sa klasterske tačke gledišta, Check Point Maestro je preuzeo glavne prednosti režima visoke dostupnosti i dijeljenja opterećenja:
- Gatewayi povezani sa orkestratorom mogu koristiti SecureXL, koji osigurava maksimalnu brzinu obrade prometa. Nema drugih ograničenja svojstvenih dijeljenju opterećenja;
- Saobraćaj se distribuira između gateway-a u jednoj sigurnosnoj grupi (logički gateway koji se sastoji od nekoliko fizičkih). Zahvaljujući tome možemo instalirati manje produktivne uređaje, jer više nemamo neaktivne gatewaye, kao u načinu visoke dostupnosti. U isto vrijeme, snaga se može povećati gotovo linearno, bez tako ozbiljnih gubitaka kao u režimu dijeljenja opterećenja (više detalja kasnije).
Sve je ovo sjajno, ali pogledajmo dva konkretna primjera.
Primjer br. 1
Neka kompanija X namjerava instalirati klaster gateway-a na perimetru mreže. Već su se upoznali sa svim ograničenjima dijeljenja opterećenja (koja su im neprihvatljiva) i razmatraju isključivo način visoke dostupnosti. Nakon dimenzioniranja, ispostavilo se da je za njih prikladan 6800 gateway, koji ne bi trebao biti opterećen više od 50% (kako bi imali barem neku rezervu performansi). Budući da će ovo biti klaster, potrebno je kupiti drugi uređaj koji će jednostavno "pušiti" zrak u stanju pripravnosti. To je veoma skupa pušnica.
Ali postoji alternativa. Uzmite paket od orkestratora i tri gatewaya 6500. U tom slučaju promet će biti raspoređen između sva tri uređaja. Ako pogledate specifikacije dva modela, vidjet ćete da su tri 6500 gatewaya moćnija od jednog 6800.
Dakle, pri odabiru Check Point Maestra, kompanija X dobija sljedeće prednosti:
- Kompanija odmah postavlja skalabilnu platformu. Naknadno povećanje performansi će se svesti na jednostavno dodavanje još 6500 komada hardvera. Šta može biti jednostavnije?
- Rješenje je i dalje otporno na greške, jer Ako jedan čvor pokvari, preostala dva će se moći nositi s opterećenjem.
- Jednako važna i iznenađujuća prednost je to što je jeftinije! Nažalost, ne mogu javno objaviti cijene, ali ako ste zainteresirani, možete
Primjer br. 2
Neka kompanija Y već ima HA klaster od 6500 modela. Aktivni čvor je opterećen na 85%, što za vrijeme vršnog opterećenja dovodi do gubitaka u produktivnom prometu. Čini se da je logično rješenje problema ažuriranje hardvera. Sljedeći model je 6800. To jest. kompanija će morati da vrati gatewaye kroz Trade-In program i nabavi dva nova (skuplja) uređaja.
Ali postoji alternativna opcija. Kupite orkestrator i još jedan potpuno isti čvor (6500). Sastavite klaster od tri uređaja i „proširite“ ovih 85% opterećenja na tri gateway-a. Kao rezultat toga, dobićete ogromnu marginu performansi (tri uređaja će biti učitana sa samo 30% u prosjeku). Čak i ako jedan od tri čvora umre, preostala dva će se i dalje nositi s prometom s prosječnim opterećenjem od 45%. Štaviše, za vršna opterećenja, klaster od tri aktivna 6500 gateway-a će biti moćniji od jednog 6800 gateway-a koji se nalazi u HA klasteru (tj. aktivan/standby). Osim toga, ako se za godinu ili dvije potrebe kompanije Y ponovo povećaju, sve što će trebati učiniti je dodati još jedan ili dva čvora od 6500. Mislim da je ekonomska korist ovdje očigledna.
zaključak
Da, Check Point Maestro nije rješenje za mala i srednja preduzeća. Ali čak i srednji biznis već može razmišljati o ovoj platformi i barem pokušati izračunati ekonomsku efikasnost. Iznenadit ćete se kada otkrijete da skalabilne platforme mogu biti profitabilnije od klasičnog klastera. Istovremeno, postoje prednosti ne samo ekonomske, već i tehničke. Međutim, o njima ćemo govoriti u sljedećem članku, gdje ću, pored tehničkih trikova, pokušati prikazati nekoliko tipičnih slučajeva (topologija, scenariji).
Također se možete pretplatiti na naše javne stranice (, , , ), gdje možete pratiti pojavu novih materijala o Check Pointu i drugim sigurnosnim proizvodima.
izvor: www.habr.com