Ultimamente, Check Point hà presentatu una nova piattaforma scalabile . Avemu digià publicatu un articulu sanu circa . In corta, vi permette di aumentà quasi linearmente a prestazione di a porta di sicurità cumminendu parechji dispositi è equilibrendu a carica trà elli. Sorprendentemente, ci hè sempre un mitu chì sta piattaforma scalabile hè adattata solu per i grandi centri di dati o rete giganti. Questu hè assolutamente micca veru.
Check Point Maestro hè statu sviluppatu per parechje categurie d'utilizatori à una volta (avemu un pocu dopu), cumprese l'imprese di medie dimensioni. In questa breve serie d'articuli pruvaraghju à riflette Vantaghji tecnichi è ecunomichi di Check Point Maestro per l'urganisazioni di medie dimensioni (da 500 utilizatori) è perchè sta opzione pò esse megliu cà un cluster classicu.
Audience target di Check Point Maestro
Prima, fighjemu i segmenti d'utilizatori chì u Check Point Maestro hè statu cuncepitu. Ci sò solu 4 di elli:
1. Cumpagnia chì mancava capacità di chassis. Check Point Maestro ùn hè micca a prima piattaforma scalabile di Check Point. Avemu digià scrittu chì prima ci era tali mudelli cum'è 64000 è 44000. Ancu s'ellu avianu GRANDE prestazione, ci era ancu cumpagnie per quale questu ùn era micca abbastanza. Maestro elimina stu inconveniente, perchè... permette di assemblà finu à 31 dispositi in un cluster high-performance. À u listessu tempu, pudete assemblà un cluster da i dispositi di punta (23900, 26000), ottenendu cusì un throughput colossale.
In fattu, in u campu di e porte di sicurezza, Check Point hè attualmente l'unicu chì implementa una tale capacità.
2. Cumpagnia chì volenu esse capace di sceglie u so hardware. Unu di i svantaghji di e piattaforme scalabili più vechje hè a necessità di utilizà "moduli blade" strettamente definiti (Check Point SGM). A nova piattaforma Check Point Maestro permette di utilizà un gran numaru di dispusitivi diffirenti. Pudete sceglie i dui mudelli da u segmentu mediu (5600, 5800, 5900, 6500, 6800) è da u segmentu High End (serie 15000, serie 23000, serie 26000). Inoltre, pudete cumminà elli, sicondu i travaglii.
Questu hè assai convenientu da u puntu di vista di l'usu ottimali di risorse. Pudete cumprà solu u rendiment chì avete bisognu scegliendu u mudellu ghjustu.
3. Cumpagnia per quale u chassis hè troppu, ma a scalabilità hè sempre necessariu. Un altru "disadvantage" di i vechji piattaforme scalabili (64000, 44000) era u limitu di ingressu altu (da un puntu di vista ecunomicu). Per un bellu pezzu, e plataformi scalabili eranu solu dispunibili per i grandi imprese cù "boni" budget IT. Cù l'avventu di Check Point Maestro, tuttu hè cambiatu. U costu di u bundle minimu (orchestrator + dui gateway) hè cumparabile (è qualchì volta più bassu) cù un cluster attivu / standby classicu. Quelli. a soglia di entrata hè calata significativamente. Quandu sceglite una suluzione, una sucità pò immediatamente stabilisce una architettura scalabile, senza overpaying per un eventuale sussegwente aumentu di i bisogni. Ci hè più utilizatori un annu dopu à l'intruduzioni di Check Point Maestro? Basta aghjunghje una o duie gateway, senza alcuna sustituzione di quelli esistenti. Ùn avete mancu bisognu di cambià a topologia. Basta cunnette novi gateway à l'orchestratore è applicà i paràmetri à elli in solu un paru di clicchi.
4. Cumpagnia chì vulete fà un usu ottimali di i dispositi esistenti. Pensu chì parechje persone sò familiarizati cù a prucedura di Trade-In. Quandu u rendiment di i dispositi esistenti ùn hè più abbastanza è u hardware deve esse aghjurnatu per risponde à i bisogni attuali. Una prucedura abbastanza caru. In più, abbastanza spessu ci hè una situazione quandu un cliente hà parechji clusters di Check Point per diverse attività. Per esempiu, un cluster per a prutezzione perimetrale, un cluster per l'accessu remoto (RA VPN), un cluster per VSX, etc. Inoltre, un cluster pò micca avè abbastanza risorse, mentre chì un altru hà una abbundanza di elli. Check Maestro hè una excelente opportunità per ottimisà l'usu di sti risorse distribuendu dinamicamente a carica trà elli.
Quelli. avete i seguenti benefici:
- Ùn ci hè bisognu di "scaccià" l'hardware esistenti. Pudete cumprà una o duie gateway supplementari, o ...
- Configurate l'equilibriu di carica dinamica trà l'altri gateway esistenti per un usu più ottimale di e risorse. Se a carica nantu à a porta di u perimetru aumenta drasticamente, l'orchestratore puderà utilizà e risorse "bored" di e porte d'accessu remotu è viceversa. Questu aiuta à liscia i picchi di carica staghjunali (o tempurane).
Cum'è prubabilmente capite, l'ultimi dui segmenti riguardanu specificamente l'imprese di medie dimensioni, chì ponu avà ancu permette di utilizà e plataforme di sicurezza scalabili. Tuttavia, una quistione raghjone pò esse: "Perchè Check Point Maestro hè megliu cà un cluster normale?"Avemu da pruvà à risponde à sta quistione.
Classic cluster vs Check Point Maestro
Se parlemu di u cluster Check Point classic, allora dui modi operativi sò supportati: High Availability (vale à dì Active/Standby) è Load Sharing (ie Active/Active). Descriveremu brevemente u so significatu di u travagliu, è ancu i so vantaghji è i contra.
Alta Disponibilità (Attiva / Standby)
Cum'è u nome suggerisce, in questu modu di uperazione, un node passa tuttu u trafficu per ellu stessu, è u sicondu hè in modu standby è piglia u trafficu se u node attivu cumencia à avè qualchì prublema.
Pros:
- U modu più stabile;
- U mekanismu propiu SecureXL hè supportatu per accelerà u processu di u trafficu;
- Se u node attivu falla, u sicondu hè garantitu per pudè "digerisce" tuttu u trafficu (perchè hè esattamente u listessu).
Cons:
In fatti, ci hè solu un minus - un node hè cumplettamente inattivu. À u turnu, per quessa, simu furzati à cumprà un hardware più putente per pudè trattà solu u trafficu.
Di sicuru, u modu HA hè più affidabile ch'è u Load Sharing, ma l'ottimisazione di risorse lascia assai per esse desideratu.
Condivisione di carica (attivu / attivu)
In questu modu, tutti i nodi in u cluster processanu u trafficu. Pudete cunghjuntà finu à 8 dispusitivi in un tali cluster (più di 4 ).
Pros:
- Pudete distribuisce a carica trà i nodi, chì esige dispusitivi menu putenti;
- Possibilità di scala liscia (aghjunghje sin'à 8 nodi à u cluster).
Cons:
- Curiosamente, i prufessi si trasformanu immediatamente in contra. Li piace à aduprà u modu Load Sharing ancu quandu a cumpagnia hà solu dui nodi. Vulendu risparmià soldi, cumprà i dispusitivi, ognunu di i quali hè carricu à 40-50%. È tuttu pare esse bè. Ma se un node falla, avemu una situazione induve tutta a carica hè trasferita à u restu, chì solu ùn pò micca affruntà. In u risultatu, ùn ci hè micca tolleranza di colpa cum'è tali in un tali schema.
- Aghjunghjite à questu una mansa di restrizioni di spartera di carica (). È a limitazione più impurtante hè chì SecureXL ùn hè micca supportatu, un mecanismu chì accelera significativamente u processu di trafficu;
- In quantu à a scala aghjunghjendu novi nodi à u cluster, sfurtunatamenti Load Sharing hè luntanu da l'ideale quì. Se più di 4 dispositi sò aghjuntu à u cluster, allora u rendiment principia .
In cunsiderà i primi dui svantaghji, per implementà a tolleranza di difetti quandu si usanu dui nodi, simu ancu custretti à cumprà hardware più pruduttivu per pudè "digerirà" u trafficu in una situazione critica. In u risultatu, ùn avemu micca un beneficiu ecunomicu, ma avemu una grande quantità . Inoltre, vale a pena nutà chì partendu da a versione R80.20, u modu Load Sharing ùn hè micca supportatu. Questu limita l'utilizatori da l'aghjurnamenti necessarii. Ùn hè ancu cunnisciutu se Load Sharing serà supportatu in e versioni più recenti.
Check Point Maestro cum'è alternativa
Da u puntu di vista di u cluster, Check Point Maestro hà pigliatu i vantaghji principali di i modi d'Alta Disponibilità è di Spartimentu di Carica:
- Gateways cunnessi à l'orchestratore ponu utilizà SecureXL, chì assicura a massima velocità di trasfurmazione di u trafficu. Ùn ci hè micca altre restrizioni inerenti in Load Sharing;
- U trafficu hè distribuitu trà e porte in un Gruppu di Sicurezza (una porta logica custituita da parechji fisici). Grazie à questu, pudemu installà i dispositi menu pruduttivi, perchè ùn avemu più gateway inattivu, cum'è in u modu High Availability. À u listessu tempu, u putere pò esse aumentatu quasi linearmente, senza pèrdite cusì gravi cum'è in modalità Load Sharing (più dettagli dopu).
Questu hè tuttu grande, ma fighjemu dui esempi specifichi.
Esempiu # 1
Chì a cumpagnia X hà intenzione di installà un cluster di gateway in u perimetru di a rete. Anu digià familiarizatu cù tutte e restrizioni di Load Sharing (chì sò inaccettabili per elli) è cunsidereghjanu solu u modalità High Availability. Dopu à sizing, risulta chì u gateway 6800 hè adattatu per elli, chì ùn deve esse carricu da più di 50% (per avè almenu una riserva di prestazione). Siccomu questu serà un cluster, avete bisognu di cumprà un secondu dispositivu, chì simpricimenti "fumerà" l'aria in modu standby. Hè un affumicatore assai caru.
Ma ci hè una alternativa. Pigliate un fasciu da l'orchestratore è trè gateway 6500. In questu casu, u trafficu serà distribuitu trà tutti i trè dispositi. Se fighjate à e specifiche di i dui mudelli, vi vede chì trè gateway 6500 sò più putenti chè unu 6800.
Cusì, quandu sceglie Check Point Maestro, a cumpagnia X riceve i seguenti vantaghji:
- A cumpagnia stabilisce immediatamente una piattaforma scalabile. Un incrementu sussegwente di u rendiment scenderà solu per aghjunghje un altru pezzu di hardware 6500. Chì puderia esse più simplice?
- A suluzione hè sempre fault-tolerant, perchè Se un node falla, i dui restanti puderanu affruntà a carica.
- Un vantaghju ugualmente impurtante è sorprendente hè chì hè più prezzu! Sfurtunatamente, ùn possu micca publicà i prezzi publicamente, ma se site interessatu, pudete
Esempiu # 2
Chì a cumpagnia Y hà digià un cluster HA di mudelli 6500. U node attivu hè carricu à 85%, chì durante i picchi di carichi porta à pèrdite in u trafficu produtivu. A suluzione logica à u prublema pare esse l'aghjurnamentu di u hardware. U prossimu mudellu hè 6800. Questu hè. a cumpagnia hà bisognu di rinvià i gateway attraversu u prugramma Trade-In è cumprà dui novi dispositi (più caru).
Ma ci hè una opzione alternativa. Cumprate un orchestratore è un altru esattamente u listessu node (6500). Assembla un cluster di trè dispusitivi è "sparge" questu 85% di a carica in trè gateway. In u risultatu, uttene un grande marghjenu di prestazione (trè dispusitivi seranu carricati à solu 30% in media). Ancu s'è unu di i trè nodi mori, i dui restanti anu sempre affruntà u trafficu cù una carica media di 45%. Inoltre, per i picchi di carichi, un cluster di trè gateway 6500 attivi serà più putente ch'è un gateway 6800, chì si trova in u cluster HA (vale à dì attivu / standby). Inoltre, se in un annu o dui i bisogni di l'imprese Y aumentanu di novu, allora tuttu ciò chì deve fà hè di aghjunghje unu o dui nodi più 6500. Pensu chì u benefiziu ecunomicu quì hè evidenti.
cunchiusioni
Iè, Check Point Maestro ùn hè micca una suluzione per SMB. Ma ancu una impresa mediana pò digià pensà à sta piattaforma è almenu pruvà à calculà l'efficienza ecunomica. Serete sorpresu di truvà chì e plataforme scalabili ponu esse più prufittuali cà un cluster classicu. À u listessu tempu, ci sò vantaghji micca solu ecunomichi, ma ancu tecnichi. In ogni casu, parlemu di elli in l'articulu dopu, induve, in più di i trucchi tecnichi, pruvaraghju à vede parechji casi tipici (topulugia, scenarii).
Pudete ancu abbonate à e nostre pagine pubbliche (, , , ), induve pudete seguità l'emergenza di novi materiali nantu à Check Point è altri prudutti di sicurità.
Source: www.habr.com