Senest præsenterede Check Point en ny skalerbar platform . Vi har allerede udgivet en hel artikel om . Kort sagt giver det dig mulighed for næsten lineært at øge sikkerhedsgatewayens ydeevne ved at kombinere flere enheder og afbalancere belastningen mellem dem. Overraskende nok er der stadig en myte om, at denne skalerbare platform kun er egnet til store datacentre eller gigantiske netværk. Dette er absolut ikke sandt.
Check Point Maestro blev udviklet til flere kategorier af brugere på én gang (vi vil se på dem lidt senere), herunder mellemstore virksomheder. I denne korte serie af artikler vil jeg forsøge at reflektere tekniske og økonomiske fordele ved Check Point Maestro for mellemstore organisationer (fra 500 brugere), og hvorfor denne mulighed kan være bedre end en klassisk klynge.
Check Point Maestros målgruppe
Lad os først se på de brugersegmenter, som Check Point Maestro er designet til. Der er kun 4 af dem:
1. Virksomheder, der manglede chassisfunktioner. Check Point Maestro er ikke Check Points første skalerbare platform. Vi har allerede skrevet, at der tidligere var sådanne modeller som 64000 og 44000. Selvom de havde FANTASTISK ydeevne, var der stadig virksomheder, som dette IKKE var NOG for. Maestro eliminerer denne ulempe, fordi... giver dig mulighed for at samle op til 31 enheder i en højtydende klynge. Samtidig kan du samle en klynge fra top-end enheder (23900, 26000), og derved opnå kolossal gennemstrømning.
Faktisk, inden for sikkerhedsgateways, er Check Point i øjeblikket den eneste, der implementerer en sådan kapacitet.
2. Virksomheder, der ønsker at kunne vælge deres hardware. En af ulemperne ved ældre skalerbare platforme er behovet for at bruge strengt definerede "blade-moduler" (Check Point SGM). Den nye Check Point Maestro-platform giver dig mulighed for at bruge et stort antal forskellige enheder. Du kan vælge begge modeller fra mellemsegmentet (5600, 5800, 5900, 6500, 6800) og fra High End-segmentet (15000-serien, 23000-serien, 26000-serien). Desuden kan du kombinere dem afhængigt af opgaverne.
Dette er meget praktisk ud fra et synspunkt om optimal udnyttelse af ressourcer. Du kan kun købe den ydeevne, du har brug for, ved at vælge den rigtige model.
3. Virksomheder, hvor chassiset er for meget, men der stadig er brug for skalerbarhed. En anden "ulempe" ved de gamle skalerbare platforme (64000, 44000) var den høje adgangstærskel (fra et økonomisk synspunkt). I lang tid var skalerbare platforme kun tilgængelige for store virksomheder med "gode" it-budgetter. Med fremkomsten af Check Point Maestro har alt ændret sig. Prisen for minimumspakken (orkestrator + to gateways) er sammenlignelig (og nogle gange lavere) med en klassisk aktiv/standby-klynge. De der. adgangstærsklen er faldet markant. Ved valg af løsning kan en virksomhed straks lægge en skalerbar arkitektur, uden at betale for meget for en eventuel efterfølgende behovsstigning. Er der flere brugere et år efter introduktionen af Check Point Maestro? Du tilføjer blot en eller to gateways uden at erstatte eksisterende. Du behøver ikke engang at ændre topologien. Du skal blot tilslutte nye gateways til orkestratoren og anvende indstillinger på dem med blot et par klik.
4. Virksomheder, der ønsker at udnytte eksisterende enheder optimalt. Jeg tror, at mange mennesker er bekendt med indbytteproceduren. Når ydeevnen af eksisterende enheder ikke længere er tilstrækkelig, og hardwaren skal opdateres for at opfylde de aktuelle behov. En ret dyr procedure. Derudover er der ofte en situation, hvor en kunde har flere Check Point-klynger til forskellige opgaver. For eksempel en klynge til perimeterbeskyttelse, en klynge til fjernadgang (RA VPN), en klynge til VSX osv. Desuden har en klynge muligvis ikke nok ressourcer, mens en anden har en overflod af dem. Check Maestro er en glimrende mulighed for at optimere brugen af disse ressourcer ved dynamisk at fordele belastningen mellem dem.
De der. får du følgende fordele:
- Der er ingen grund til at "smide" eksisterende hardware væk. Du kan købe en eller to ekstra gateways, eller...
- Konfigurer dynamisk belastningsbalancering mellem andre eksisterende gateways for mere optimal brug af ressourcer. Hvis belastningen på perimetergatewayen stiger kraftigt, vil orkestratoren være i stand til at bruge de "kedede" ressourcer fra fjernadgangsgateways og omvendt. Dette hjælper med at udjævne sæsonbestemte (eller midlertidige) belastningstoppe.
Som du sikkert forstår, relaterer de sidste to segmenter sig specifikt til mellemstore virksomheder, som nu også har råd til at bruge skalerbare sikkerhedsplatforme. Der kan dog opstå et rimeligt spørgsmål: "Hvorfor er Check Point Maestro bedre end en almindelig klynge?"Vi vil forsøge at besvare dette spørgsmål.
Klassisk klynge vs Check Point Maestro
Hvis vi taler om den klassiske Check Point-klynge, så understøttes to driftstilstande: High Availability (dvs. Aktiv/Standby) og Load Sharing (dvs. Aktiv/Aktiv). Vi vil kort beskrive deres betydning af arbejdet, samt deres fordele og ulemper.
Høj tilgængelighed (aktiv/standby)
Som navnet antyder, i denne driftstilstand passerer den ene node al trafik igennem sig selv, og den anden er i standbytilstand og opfanger trafik, hvis den aktive node begynder at opleve problemer.
Teknikere:
- Den mest stabile tilstand;
- Den proprietære SecureXL-mekanisme understøttes for at fremskynde trafikbehandlingen;
- Hvis den aktive node fejler, er den anden garanteret i stand til at "fordøje" al trafikken (fordi den er nøjagtig den samme).
Ulemper:
Faktisk er der kun et minus - en knude er fuldstændig inaktiv. Til gengæld er vi på grund af dette tvunget til at købe mere kraftfuld hardware, så den kan håndtere trafikken alene.
Selvfølgelig er HA-tilstand mere pålidelig end Load Sharing, men ressourceoptimering lader meget tilbage at ønske.
Indlæsningsdeling (aktiv/aktiv)
I denne tilstand behandler alle noder i klyngen trafik. Du kan kombinere op til 8 enheder i en sådan klynge (mere end 4 ).
Teknikere:
- Du kan fordele belastningen mellem noder, hvilket kræver mindre kraftfulde enheder;
- Mulighed for jævn skalering (tilføj op til 8 noder til klyngen).
Ulemper:
- Mærkeligt nok bliver fordelene straks til ulemper. De kan lide at bruge Load Sharing-tilstand, selv når virksomheden kun har to noder. For at spare penge køber de enheder, som hver især er belastet med 40-50%. Og alt ser ud til at være i orden. Men hvis en knude svigter, får vi en situation, hvor hele belastningen overføres til den resterende, som simpelthen ikke kan klare det. Som følge heraf er der ingen fejltolerance som sådan i en sådan ordning.
- Tilføj hertil en masse belastningsdelingsbegrænsninger (). Og den vigtigste begrænsning er, at SecureXL ikke understøttes, en mekanisme, der markant fremskynder trafikbehandlingen;
- Hvad angår skalering ved at tilføje nye noder til klyngen, er Load Sharing desværre langt fra ideel her. Hvis der føjes mere end 4 enheder til klyngen, starter ydeevnen .
I betragtning af de to første ulemper, for at implementere fejltolerance ved brug af to noder, er vi også tvunget til at købe mere produktiv hardware, så den kan "fordøje" trafik i en kritisk situation. Derfor har vi ingen økonomisk fordel, men vi får et stort beløb . Desuden er det værd at bemærke, at fra og med version R80.20, er Load Sharing-tilstand ikke understøttet. Dette begrænser brugerne fra nødvendige opdateringer. Det vides endnu ikke, om Load Sharing vil blive understøttet i nyere udgivelser.
Check Point Maestro som et alternativ
Fra et klyngesynspunkt tog Check Point Maestro de vigtigste fordele ved høj tilgængelighed og belastningsdeling:
- Gateways forbundet til orkestratoren kan bruge SecureXL, som sikrer maksimal trafikbehandlingshastighed. Der er ingen andre begrænsninger iboende i Load Sharing;
- Trafikken fordeles mellem gateways i én sikkerhedsgruppe (en logisk gateway bestående af flere fysiske). Takket være dette kan vi installere mindre produktive enheder, fordi vi ikke længere har ledige gateways, som i tilstanden High Availability. Samtidig kan strømmen øges næsten lineært, uden så alvorlige tab som i Load Sharing-tilstand (flere detaljer senere).
Det hele er fantastisk, men lad os se på to specifikke eksempler.
Eksempel # 1
Lad firma X have til hensigt at installere en klynge af gateways på netværkets perimeter. De er allerede blevet fortrolige med alle begrænsningerne for belastningsdeling (som er uacceptable for dem) og overvejer udelukkende tilstanden High Availability. Efter dimensionering viser det sig, at 6800-gatewayen er egnet til dem, som ikke bør belastes med mere end 50% (for i det mindste at have en vis ydeevnereserve). Da dette vil være en klynge, skal du købe en anden enhed, som simpelthen vil "ryge" luft i standbytilstand. Det er et meget dyrt røgeri.
Men der er et alternativ. Tag et bundt fra orkestratoren og tre 6500-gateways. I dette tilfælde vil trafikken blive fordelt mellem alle tre enheder. Hvis du ser på specifikationerne for de to modeller, vil du se, at tre 6500-gateways er mere kraftfulde end en 6800.
Når du vælger Check Point Maestro, får firma X således følgende fordele:
- Virksomheden lægger straks en skalerbar platform. En efterfølgende stigning i ydeevnen vil komme ned til blot at tilføje yderligere 6500 stykker hardware. Hvad kunne være enklere?
- Løsningen er stadig fejltolerant, pga Hvis en node fejler, vil de resterende to være i stand til at klare belastningen.
- En lige så vigtig og overraskende fordel er, at det er billigere! Jeg kan desværre ikke offentliggøre priser, men hvis du er interesseret, kan du det
Eksempel # 2
Lad virksomhed Y allerede have en HA-klynge på 6500 modeller Den aktive node belastes med 85%, hvilket under spidsbelastninger fører til tab i produktiv trafik. Den logiske løsning på problemet ser ud til at være opdatering af hardwaren. Næste model er 6800. Altså. virksomheden bliver nødt til at returnere gateways gennem Trade-In-programmet og købe to nye (dyrere) enheder.
Men der er en alternativ mulighed. Køb en orkestrator og en anden nøjagtig samme node (6500). Saml en klynge af tre enheder og "spred" disse 85 % af belastningen over tre gateways. Som et resultat vil du få en enorm ydeevnemargin (tre enheder vil blive indlæst med kun 30 % i gennemsnit). Selvom en af de tre knudepunkter dør, vil de resterende to stadig klare trafikken med en gennemsnitlig belastning på 45 %. For spidsbelastninger vil en klynge med tre aktive 6500-gateways desuden være mere kraftfulde end en 6800-gateway, som er placeret i HA-klyngen (dvs. aktiv/standby). Derudover, hvis virksomheden Y's behov stiger igen om et år eller to, skal de kun tilføje en eller to yderligere 6500 noder. Jeg tror, at den økonomiske fordel her er indlysende.
Konklusion
Ja, Check Point Maestro er ikke en løsning til SMB. Men selv en mellemstor virksomhed kan allerede tænke over denne platform og i det mindste prøve at beregne den økonomiske effektivitet. Du vil blive overrasket over at opdage, at skalerbare platforme kan være mere rentable end en klassisk klynge. Samtidig er der fordele, ikke kun økonomiske, men også tekniske. Vi vil dog tale om dem i den næste artikel, hvor jeg ud over tekniske tricks vil forsøge at vise flere typiske tilfælde (topologi, scenarier).
Du kan også abonnere på vores offentlige sider (, , , ), hvor du kan følge fremkomsten af nye materialer på Check Point og andre sikkerhedsprodukter.
Kilde: www.habr.com