Més recentment, Check Point va presentar una nova plataforma escalable . Ja hem publicat un article sencer sobre . En resum, permet augmentar gairebé linealment el rendiment de la passarel·la de seguretat combinant diversos dispositius i equilibrant la càrrega entre ells. Sorprenentment, encara hi ha un mite que aquesta plataforma escalable només és adequada per a grans centres de dades o xarxes gegants. Això no és absolutament cert.
Check Point Maestro es va desenvolupar per a diverses categories d'usuaris alhora (els veurem una mica més endavant), incloses les empreses mitjanes. En aquesta breu sèrie d'articles intentaré reflexionar avantatges tècnics i econòmics de Check Point Maestro per a organitzacions mitjanes (a partir de 500 usuaris) i per què aquesta opció pot ser millor que un clúster clàssic.
Públic objectiu de Check Point Maestro
Primer, mirem els segments d'usuaris per als quals va ser dissenyat Check Point Maestro. Només n'hi ha 4:
1. Empreses que no tenien capacitats de xassís. Check Point Maestro no és la primera plataforma escalable de Check Point. Ja hem escrit que anteriorment hi havia models com el 64000 i el 44000. Tot i que tenien un gran rendiment, encara hi havia empreses per a les quals això NO n'era suficient. Maestro elimina aquest inconvenient, perquè... us permet reunir fins a 31 dispositius en un clúster d'alt rendiment. Al mateix temps, podeu muntar un clúster des de dispositius de gamma alta (23900, 26000), aconseguint així un rendiment colossal.
De fet, en l'àmbit de les passarel·les de seguretat, Check Point és actualment l'únic que implementa aquesta capacitat.
2. Empreses que volen poder escollir el seu maquinari. Un dels desavantatges de les plataformes escalables més antigues és la necessitat d'utilitzar "mòduls blade" estrictament definits (Check Point SGM). La nova plataforma Check Point Maestro us permet utilitzar un gran nombre de dispositius diferents. Podeu triar els dos models del segment mitjà (5600, 5800, 5900, 6500, 6800) i del segment High End (sèrie 15000, sèrie 23000, sèrie 26000). A més, pots combinar-los, depenent de les tasques.
Això és molt convenient des del punt de vista de l'ús òptim dels recursos. Podeu comprar només el rendiment que necessiteu escollint el model adequat.
3. Empreses per a les quals el xassís és massa, però encara es necessita escalabilitat. Un altre “inconvenient” de les antigues plataformes escalables (64000, 44000) era el llindar d'entrada elevat (des del punt de vista econòmic). Durant molt de temps, les plataformes escalables només estaven disponibles per a grans empreses amb "bons" pressupostos informàtics. Amb l'arribada de Check Point Maestro, tot ha canviat. El cost del paquet mínim (orquestrador + dues passarel·les) és comparable (i de vegades més baix) amb un clúster actiu/en espera clàssic. Aquells. el llindar d'entrada ha baixat significativament. En triar una solució, una empresa pot establir immediatament una arquitectura escalable, sense pagar en excés per un possible augment posterior de les necessitats. Hi ha més usuaris un any després de la introducció de Check Point Maestro? Només heu d'afegir una o dues passarel·les, sense cap substitució de les existents. Ni tan sols cal canviar la topologia. Simplement connecteu noves passarel·les a l'orquestrador i apliqueu-hi la configuració amb només un parell de clics.
4. Empreses que volen fer un ús òptim dels dispositius existents. Crec que molta gent està familiaritzada amb el procediment d'intercanvi. Quan el rendiment dels dispositius existents ja no és suficient i cal actualitzar el maquinari per satisfer les necessitats actuals. Un procediment força car. A més, sovint hi ha una situació en què un client té diversos clústers de Check Point per a diferents tasques. Per exemple, un clúster per a protecció perimetral, un clúster per a accés remot (RA VPN), un clúster per a VSX, etc. A més, és possible que un clúster no tingui prou recursos, mentre que un altre en tingui abundància. Check Maestro és una excel·lent oportunitat per optimitzar l'ús d'aquests recursos distribuint dinàmicament la càrrega entre ells.
Aquells. obteniu els següents avantatges:
- No cal "llençar" el maquinari existent. Podeu comprar una o dues passarel·les addicionals, o...
- Configureu l'equilibri de càrrega dinàmica entre altres passarel·les existents per a un ús més òptim dels recursos. Si la càrrega a la passarel·la perimetral augmenta bruscament, l'orquestrador podrà utilitzar els recursos "avorrits" de les passarel·les d'accés remot i viceversa. Això ajuda a suavitzar els pics de càrrega estacionals (o temporals).
Com probablement entengueu, els dos últims segments es relacionen específicament amb empreses mitjanes, que ara també poden permetre el luxe d'utilitzar plataformes de seguretat escalables. Tanmateix, pot sorgir una pregunta raonable: "Per què Check Point Maestro és millor que un clúster normal?"Intentarem respondre aquesta pregunta.
Clúster clàssic vs Check Point Maestro
Si parlem del clàssic clúster Check Point, s'admeten dos modes de funcionament: alta disponibilitat (és a dir, actiu/en espera) i compartició de càrrega (és a dir, actiu/actiu). Descriurem breument el seu significat del treball, així com els seus pros i contres.
Alta disponibilitat (actiu/en espera)
Com el seu nom indica, en aquest mode de funcionament, un node passa tot el trànsit per si mateix, i el segon està en mode d'espera i recull trànsit si el node actiu comença a experimentar algun problema.
Pros:
- El mode més estable;
- El mecanisme propietari SecureXL és compatible per accelerar el processament del trànsit;
- Si falla el node actiu, es garanteix que el segon podrà "digerir" tot el trànsit (perquè és exactament el mateix).
Contres:
De fet, només hi ha un negatiu: un node està completament inactiu. Al seu torn, per això, ens veiem obligats a comprar un maquinari més potent perquè pugui gestionar el trànsit sol.
Per descomptat, el mode HA és més fiable que la compartició de càrrega, però l'optimització dels recursos deixa molt a desitjar.
Compartició de càrrega (actiu/actiu)
En aquest mode, tots els nodes del clúster processen el trànsit. Podeu combinar fins a 8 dispositius en aquest clúster (més de 4 ).
Pros:
- Podeu distribuir la càrrega entre nodes, la qual cosa requereix dispositius menys potents;
- Possibilitat d'escalat suau (afegir fins a 8 nodes al clúster).
Contres:
- Curiosament, els avantatges es converteixen immediatament en inconvenients. Els agrada utilitzar el mode de compartició de càrrega fins i tot quan l'empresa només té dos nodes. Volent estalviar diners, compren dispositius, cadascun dels quals es carrega al 40-50%. I sembla que tot va bé. Però si un node falla, tenim una situació en què tota la càrrega es transfereix a la resta, que simplement no pot fer front. Com a resultat, no hi ha tolerància a errors com a tal en aquest esquema.
- Afegiu-hi un munt de restriccions de compartició de càrrega (). I la limitació més important és que SecureXL no és compatible, un mecanisme que accelera significativament el processament del trànsit;
- Pel que fa a l'escala mitjançant l'addició de nous nodes al clúster, malauradament, la compartició de càrrega no és ideal aquí. Si s'afegeixen més de 4 dispositius al clúster, el rendiment comença .
Tenint en compte els dos primers inconvenients, per tal d'implementar la tolerància a fallades en utilitzar dos nodes, també ens veiem obligats a comprar un maquinari més productiu perquè pugui "digerir" el trànsit en una situació crítica. Com a resultat, no tenim cap benefici econòmic, però obtenim una gran quantitat . A més, val la pena assenyalar que a partir de la versió R80.20, el mode de compartició de càrrega no és compatible. Això limita els usuaris de les actualitzacions necessàries. Encara no se sap si la compartició de càrrega serà compatible amb les versions més recents.
Check Point Maestro com a alternativa
Des del punt de vista del clúster, Check Point Maestro va aprofitar els principals avantatges dels modes d'alta disponibilitat i de compartició de càrrega:
- Les passarel·les connectades a l'orquestrador poden utilitzar SecureXL, que garanteix la màxima velocitat de processament del trànsit. No hi ha altres restriccions inherents a la compartició de càrrega;
- El trànsit es distribueix entre passarel·les en un grup de seguretat (una passarel·la lògica que consta de diverses físiques). Gràcies a això, podem instal·lar dispositius menys productius, perquè ja no disposem de passarel·les inactius, com en el mode Alta Disponibilitat. Al mateix temps, la potència es pot augmentar gairebé linealment, sense pèrdues tan greus com en el mode de compartició de càrrega (més detalls més endavant).
Tot això és fantàstic, però mirem dos exemples concrets.
Exemple 1
Que l'empresa X tingui la intenció d'instal·lar un clúster de passarel·les al perímetre de la xarxa. Ja s'han familiaritzat amb totes les restriccions de la compartició de càrrega (que són inacceptables per a ells) i estan considerant exclusivament el mode d'alta disponibilitat. Després de dimensionar, resulta que la passarel·la 6800 és adequada per a ells, que no s'ha de carregar en més del 50% (per tal de tenir almenys una mica de reserva de rendiment). Com que aquest serà un clúster, heu de comprar un segon dispositiu, que simplement "fumarà" l'aire en mode d'espera. És un fumador molt car.
Però hi ha una alternativa. Agafeu un paquet de l'orquestrador i tres passarel·les 6500. En aquest cas, el trànsit es distribuirà entre els tres dispositius. Si observeu les especificacions dels dos models, veureu que tres passarel·les 6500 són més potents que una 6800.
Així, en triar Check Point Maestro, l'empresa X rep els següents avantatges:
- L'empresa estableix immediatament una plataforma escalable. Un augment posterior del rendiment es reduirà simplement a afegir una altra peça de maquinari de 6500. Què podria ser més senzill?
- La solució encara és tolerant a errors, perquè Si un node falla, els dos restants podran fer front a la càrrega.
- Un avantatge igualment important i sorprenent és que és més barat! Malauradament, no puc publicar preus públicament, però si esteu interessats, podeu fer-ho
Exemple 2
Deixeu que l'empresa Y ja tingui un clúster HA de models 6500. El node actiu es carrega al 85%, cosa que durant les càrregues màximes comporta pèrdues de trànsit productiu. La solució lògica al problema sembla ser actualitzar el maquinari. El següent model és el 6800. És a dir. l'empresa haurà de tornar les passarel·les mitjançant el programa Trade-In i comprar dos dispositius nous (més cars).
Però hi ha una opció alternativa. Compra un orquestrator i un altre exactament del mateix node (6500). Munta un clúster de tres dispositius i "reparteix" aquest 85% de la càrrega a través de tres passarel·les. Com a resultat, obtindreu un gran marge de rendiment (tres dispositius es carregaran amb només un 30% de mitjana). Fins i tot si un dels tres nodes mor, els dos restants encara faran front al trànsit amb una càrrega mitjana del 45%. A més, per a les càrregues màximes, un clúster de tres passarel·les 6500 actives serà més potent que una passarel·la 6800, que es troba al clúster HA (és a dir, actiu/en espera). A més, si en un any o dos les necessitats de l'empresa Y tornen a augmentar, només caldrà afegir un o dos nodes més de 6500. Crec que el benefici econòmic aquí és evident.
Conclusió
Sí, Check Point Maestro no és una solució per a pimes. Però fins i tot una empresa mitjana ja pot pensar en aquesta plataforma i almenys intentar calcular l'eficiència econòmica. Us sorprendrà trobar que les plataformes escalables poden ser més rendibles que un clúster clàssic. Al mateix temps, hi ha avantatges no només econòmics, sinó també tècnics. Tanmateix, en parlarem en el proper article, on, a més de trucs tècnics, intentaré mostrar diversos casos típics (topologia, escenaris).
També us podeu subscriure a les nostres pàgines públiques (, , , ), on podreu seguir l'aparició de nous materials a Check Point i altres productes de seguretat.
Font: www.habr.com