Check Point nedávno představil novou škálovatelnou platformu . O tom jsme již publikovali celý článek . Zkrátka umožňuje téměř lineárně zvyšovat výkon bezpečnostní brány kombinací více zařízení a vyrovnáváním zátěže mezi nimi. Překvapivě stále přetrvává mýtus, že tato škálovatelná platforma je vhodná pouze pro velká datová centra nebo obří sítě. To absolutně není pravda.
Check Point Maestro byl vyvinut pro několik kategorií uživatelů najednou (podíváme se na ně později), včetně středně velkých podniků. V této krátké sérii článků se pokusím zamyslet technické a ekonomické výhody Check Point Maestro pro středně velké organizace (od 500 uživatelů) a proč může být tato varianta lepší než klasický cluster.
Cílová skupina Check Point Maestro
Nejprve se podívejme na uživatelské segmenty, pro které byl Check Point Maestro navržen. Jsou pouze 4 z nich:
1. Společnosti, kterým chyběly možnosti podvozku. Check Point Maestro není první škálovatelnou platformou Check Point. Již jsme psali, že dříve existovaly takové modely jako 64000 a 44000. Měly sice VELKÝ výkon, ale stále byly firmy, kterým to NESTAČILO. Maestro tuto nevýhodu odstraňuje, protože... umožňuje sestavit až 31 zařízení do jednoho vysoce výkonného clusteru. Současně můžete sestavit cluster ze špičkových zařízení (23900, 26000), čímž dosáhnete kolosální propustnosti.
V oblasti bezpečnostních bran je Check Point v současnosti jediný, který takovou schopnost implementuje.
2. Společnosti, které chtějí mít možnost vybrat si svůj hardware. Jednou z nevýhod starších škálovatelných platforem je nutnost používat přesně definované „blade moduly“ (Check Point SGM). Nová platforma Check Point Maestro umožňuje používat obrovské množství různých zařízení. Vybrat si můžete jak modely ze středního segmentu (5600, 5800, 5900, 6500, 6800), tak ze segmentu High End (řada 15000, řada 23000, řada 26000). Navíc je můžete kombinovat v závislosti na úkolech.
To je velmi výhodné z hlediska optimálního využití zdrojů. Výběrem správného modelu si můžete zakoupit pouze výkon, který potřebujete.
3. Společnosti, pro které je šasi příliš, ale škálovatelnost je stále potřeba. Další „nevýhodou“ starých škálovatelných platforem (64000, 44000) byl vysoký vstupní práh (z ekonomického hlediska). Po dlouhou dobu byly škálovatelné platformy dostupné pouze velkým podnikům s „dobrými“ rozpočty na IT. S příchodem Check Point Maestro se vše změnilo. Náklady na minimální balíček (orchestrátor + dvě brány) jsou srovnatelné (a někdy i nižší) s klasickým aktivním/pohotovostním clusterem. Tito. vstupní práh výrazně klesl. Při volbě řešení může společnost okamžitě stanovit škálovatelnou architekturu, aniž by přeplatila případné následné zvýšení potřeb. Přibývá uživatelů rok po implementaci Check Point Maestro? Stačí přidat jednu nebo dvě brány, aniž byste museli nahrazovat ty stávající. Nemusíte ani měnit topologii. Jednoduše připojte nové brány k orchestrátoru a pomocí několika kliknutí na ně použijte nastavení.
4. Společnosti, které chtějí optimálně využívat stávající zařízení. Myslím, že mnoho lidí zná proceduru Trade-In. Když výkon stávajících zařízení již nestačí a je potřeba aktualizovat hardware tak, aby odpovídal aktuálním potřebám. Docela drahá procedura. Navíc poměrně často nastává situace, kdy má zákazník několik clusterů Check Point pro různé úkoly. Například cluster pro ochranu perimetru, cluster pro vzdálený přístup (RA VPN), cluster pro VSX atd. Navíc jeden cluster nemusí mít dostatek zdrojů, zatímco jiný jich má nadbytek. Check Maestro je vynikající příležitostí k optimalizaci využití těchto zdrojů dynamickým rozložením zátěže mezi ně.
Tito. získáte následující výhody:
- Není třeba „vyhazovat“ stávající hardware. Můžete si dokoupit jednu nebo dvě další brány, nebo...
- Nakonfigurujte dynamické vyrovnávání zátěže mezi ostatními existujícími bránami pro optimálnější využití zdrojů. Pokud se zatížení obvodové brány prudce zvýší, bude orchestrátor moci využívat „znuděné“ zdroje bran vzdáleného přístupu a naopak. To pomáhá vyrovnat sezónní (nebo dočasné) špičky zatížení.
Jak jistě chápete, poslední dva segmenty se týkají konkrétně středně velkých podniků, které si nyní mohou dovolit používat škálovatelné bezpečnostní platformy. Může však vyvstat rozumná otázka: „Proč je Check Point Maestro lepší než běžný cluster?“ Pokusíme se na tuto otázku odpovědět.
Klasický cluster vs Check Point Maestro
Pokud se budeme bavit o klasickém clusteru Check Point, pak jsou podporovány dva provozní režimy: Vysoká dostupnost (tj. Aktivní/Pohotovostní) a Sdílení zátěže (tj. Aktivní/Aktivní). Stručně popíšeme jejich smysl práce a také jejich klady a zápory.
Vysoká dostupnost (aktivní/pohotovostní režim)
Jak název napovídá, v tomto provozním režimu jeden uzel prochází veškerý provoz přes sebe a druhý je v pohotovostním režimu a zachycuje provoz, pokud aktivní uzel začne mít nějaké problémy.
výhody:
- Nejstabilnější režim;
- Pro urychlení zpracování provozu je podporován proprietární mechanismus SecureXL;
- Pokud aktivní uzel selže, druhý je zaručeně schopen „strávit“ veškerý provoz (protože je úplně stejný).
nevýhody:
Ve skutečnosti existuje pouze jedno mínus - jeden uzel je zcela nečinný. Na oplátku jsme kvůli tomu nuceni kupovat výkonnější hardware, aby provoz zvládl sám.
Režim HA je samozřejmě spolehlivější než sdílení zátěže, ale optimalizace zdrojů ponechává mnoho přání.
Sdílení zátěže (aktivní/aktivní)
V tomto režimu všechny uzly v clusteru zpracovávají provoz. Do takového clusteru můžete spojit až 8 zařízení (více než 4 ).
výhody:
- Zátěž můžete rozložit mezi uzly, což vyžaduje méně výkonná zařízení;
- Možnost hladkého škálování (přidání až 8 uzlů do clusteru).
nevýhody:
- Kupodivu se klady okamžitě mění v zápory. Rádi používají režim sdílení zátěže, i když má společnost pouze dva uzly. Chtějí ušetřit peníze, kupují zařízení, z nichž každé je zatíženo 40-50%. A vše se zdá být v pořádku. Pokud ale jeden uzel selže, dostaneme se do situace, kdy se celá zátěž přenese na ten zbývající, který to prostě nezvládne. Výsledkem je, že v takovém schématu neexistuje žádná tolerance chyb jako taková.
- Přidejte k tomu spoustu omezení sdílení zátěže (). A nejdůležitějším omezením je, že není podporováno SecureXL, což je mechanismus, který výrazně zrychluje zpracování provozu;
- Pokud jde o škálování přidáváním nových uzlů do clusteru, bohužel zde není sdílení zátěže zdaleka ideální. Pokud jsou do clusteru přidána více než 4 zařízení, spustí se výkon .
Vzhledem k prvním dvěma nevýhodám, abychom implementovali odolnost proti chybám při použití dvou uzlů, jsme také nuceni nakupovat produktivnější hardware, aby dokázal „strávit“ provoz v kritické situaci. Ve výsledku nemáme žádný ekonomický přínos, ale dostáváme velké množství . Kromě toho stojí za zmínku, že od verze R80.20 není podporován režim sdílení zátěže. To omezuje uživatele v požadovaných aktualizacích. Zatím není známo, zda bude sdílení zátěže podporováno v novějších verzích.
Check Point Maestro jako alternativa
Z hlediska klastru využil Check Point Maestro hlavní výhody režimů High Availability a Load Sharing:
- Brány připojené k orchestrátoru mohou používat SecureXL, který zajišťuje maximální rychlost zpracování provozu. Neexistují žádná další omezení spojená se sdílením zátěže;
- Provoz je distribuován mezi brány v jedné bezpečnostní skupině (logická brána skládající se z několika fyzických). Díky tomu můžeme instalovat méně produktivní zařízení, protože už nemáme nečinné brány, jako v režimu High Availability. Výkon lze přitom zvyšovat téměř lineárně, bez tak vážných ztrát jako v režimu sdílení zátěže (podrobněji později).
To vše je skvělé, ale podívejme se na dva konkrétní příklady.
Příklad č. 1
Nechte společnost X v úmyslu nainstalovat shluk bran na perimetr sítě. Již se seznámili se všemi omezeními sdílení zátěže (která jsou pro ně nepřijatelná) a zvažují výhradně režim High Availability. Po dimenzování se ukazuje, že je pro ně vhodná brána 6800, která by neměla být zatěžována více než na 50% (aby měla alespoň nějakou výkonnostní rezervu). Vzhledem k tomu, že se bude jednat o cluster, musíte si koupit druhé zařízení, které bude v pohotovostním režimu jednoduše „kouřit“. Je to velmi drahá udírna.
Ale existuje alternativa. Vezměte si balíček z orchestrátoru a tři brány 6500. V tomto případě bude provoz rozdělen mezi všechna tři zařízení. Pokud se podíváte na specifikace obou modelů, uvidíte, že tři brány 6500 jsou výkonnější než jedna 6800.
Při výběru Check Point Maestro tedy společnost X získává následující výhody:
- Společnost okamžitě stanoví škálovatelnou platformu. Následné zvýšení výkonu se sníží pouhým přidáním dalších 6500 kusů hardwaru. Co by mohlo být jednodušší?
- Řešení je stále odolné vůči chybám, protože Pokud jeden uzel selže, zbývající dva zvládnou zátěž.
- Neméně důležitou a překvapivou výhodou je, že je levnější! Ceny bohužel nemohu zveřejnit, ale pokud máte zájem, můžete
Příklad č. 2
Nechť má společnost Y již HA cluster 6500 modelů. Aktivní uzel je zatížen na 85 %, což při špičkovém zatížení vede ke ztrátám v produktivním provozu. Logickým řešením problému se zdá být aktualizace hardwaru. Další model je 6800. Tedy. společnost bude muset vrátit brány prostřednictvím programu Trade-In a zakoupit dvě nová (dražší) zařízení.
Ale existuje alternativní možnost. Kupte si orchestrátor a další úplně stejný uzel (6500). Sestavte cluster tří zařízení a „rozložte“ těchto 85 % zátěže mezi tři brány. V důsledku toho získáte obrovskou výkonnostní rezervu (tři zařízení budou v průměru zatížena pouze 30 %). I když jeden ze tří uzlů zemře, zbývající dva si stále poradí s provozem s průměrným zatížením 45 %. Navíc pro špičkové zatížení bude cluster tří aktivních bran 6500 výkonnější než jedna brána 6800, která se nachází v clusteru HA (tj. aktivní/pohotovostní). Kromě toho, pokud za rok nebo dva potřeby společnosti Y znovu vzrostou, pak vše, co bude muset udělat, je přidat jeden nebo dva další uzly 6500. Myslím, že ekonomický přínos je zde zřejmý.
Závěr
Ano, Check Point Maestro není řešením pro SMB. Ale i středně velký podnik už může o této platformě přemýšlet a alespoň zkusit spočítat ekonomickou efektivitu. Budete překvapeni, když zjistíte, že škálovatelné platformy mohou být ziskovější než klasický cluster. Přitom existují výhody nejen ekonomické, ale i technické. O nich si však povíme až v příštím článku, kde se kromě technických triků pokusím ukázat i několik typických případů (topologie, scénáře).
Můžete se také přihlásit k odběru našich veřejných stránek (, , , ), kde můžete sledovat vznik nových materiálů o Check Point a dalších bezpečnostních produktech.
Zdroj: www.habr.com