2. Typische Anwendungsfälle für Check Point Maestro

Zuletzt stellte Check Point eine neue skalierbare Plattform vor Maestro. Wir haben bereits einen ganzen Artikel darüber veröffentlicht Was ist das und wie funktioniert es?. Kurz gesagt: Sie können die Leistung des Sicherheitsgateways nahezu linear steigern, indem Sie mehrere Geräte kombinieren und die Last zwischen ihnen verteilen. Erstaunlicherweise gibt es immer noch den Mythos, dass diese skalierbare Plattform nur für große Rechenzentren oder riesige Netzwerke geeignet sei. Das ist absolut nicht wahr.

Check Point Maestro wurde für mehrere Benutzerkategorien gleichzeitig entwickelt (wir werden sie etwas später betrachten), darunter auch mittelständische Unternehmen. In dieser kurzen Artikelserie werde ich versuchen, darüber nachzudenken technische und wirtschaftliche Vorteile von Check Point Maestro für mittelständische Organisationen (ab 500 Benutzern) und warum diese Option möglicherweise besser ist als ein klassischer Cluster.

Zielgruppe von Check Point Maestro

Schauen wir uns zunächst die Benutzersegmente an, für die Check Point Maestro entwickelt wurde. Es gibt nur 4 davon:

1. Unternehmen, denen es an Chassis-Fähigkeiten mangelte. Check Point Maestro ist nicht die erste skalierbare Plattform von Check Point. Wir haben bereits geschrieben, dass es früher Modelle wie 64000 und 44000 gab. Obwohl sie eine tolle Leistung hatten, gab es immer noch Unternehmen, für die diese nicht ausreichte. Maestro beseitigt diesen Nachteil, denn... ermöglicht die Zusammenstellung von bis zu 31 Geräten zu einem Hochleistungscluster. Gleichzeitig können Sie einen Cluster aus Top-End-Geräten (23900, 26000) zusammenstellen und so einen enormen Durchsatz erzielen.

Tatsächlich ist Check Point im Bereich der Sicherheits-Gateways derzeit der einzige, der eine solche Fähigkeit implementiert.

2. Unternehmen, die ihre Hardware frei wählen möchten. Einer der Nachteile älterer skalierbarer Plattformen ist die Notwendigkeit, streng definierte „Blade-Module“ (Check Point SGM) zu verwenden. Die neue Check Point Maestro-Plattform ermöglicht Ihnen die Nutzung einer Vielzahl unterschiedlicher Geräte. Zur Auswahl stehen sowohl Modelle aus dem mittleren Segment (5600, 5800, 5900, 6500, 6800) als auch aus dem High-End-Segment (15000er-Serie, 23000er-Serie, 26000er-Serie). Darüber hinaus können Sie sie je nach Aufgabenstellung kombinieren.

Dies ist im Hinblick auf eine optimale Ressourcennutzung sehr praktisch. Durch die Auswahl des richtigen Modells können Sie nur die Leistung erwerben, die Sie benötigen.

3. Unternehmen, denen das Chassis zu viel ist, Skalierbarkeit aber dennoch erforderlich ist. Ein weiterer „Nachteil“ der alten skalierbaren Plattformen (64000, 44000) war die hohe Einstiegshürde (aus wirtschaftlicher Sicht). Skalierbare Plattformen standen lange Zeit nur großen Unternehmen mit „guten“ IT-Budgets zur Verfügung. Mit der Einführung von Check Point Maestro hat sich alles verändert. Die Kosten für das Mindestpaket (Orchestrator + zwei Gateways) sind vergleichbar (und manchmal niedriger) mit einem klassischen Aktiv/Standby-Cluster. Diese. Die Eintrittsschwelle ist deutlich gesunken. Bei der Auswahl einer Lösung kann ein Unternehmen sofort eine skalierbare Architektur festlegen, ohne für einen möglichen späteren Anstieg der Anforderungen zu viel bezahlen zu müssen. Gibt es ein Jahr nach der Einführung von Check Point Maestro mehr Benutzer? Sie fügen einfach ein oder zwei Gateways hinzu, ohne die vorhandenen zu ersetzen. Sie müssen nicht einmal die Topologie ändern. Verbinden Sie einfach neue Gateways mit dem Orchestrator und nehmen Sie mit nur wenigen Klicks Einstellungen auf sie vor.

4. Unternehmen, die vorhandene Geräte optimal nutzen möchten. Ich denke, dass viele Leute mit dem Trade-In-Verfahren vertraut sind. Wenn die Leistung bestehender Geräte nicht mehr ausreicht und die Hardware aktualisiert werden muss, um den aktuellen Anforderungen gerecht zu werden. Ziemlich teures Verfahren. Außerdem kommt es häufig vor, dass ein Kunde mehrere Check Point-Cluster für unterschiedliche Aufgaben hat. Zum Beispiel ein Cluster für Perimeterschutz, ein Cluster für Fernzugriff (RA VPN), ein Cluster für VSX usw. Darüber hinaus verfügt ein Cluster möglicherweise nicht über genügend Ressourcen, während ein anderer über reichlich Ressourcen verfügt. Check Maestro ist eine hervorragende Möglichkeit, die Nutzung dieser Ressourcen durch dynamische Lastverteilung zwischen ihnen zu optimieren.

Diese. Sie erhalten folgende Vorteile:

• Es besteht keine Notwendigkeit, vorhandene Hardware „wegzuwerfen“. Sie können ein oder zwei zusätzliche Gateways kaufen, oder...
• Konfigurieren Sie den dynamischen Lastausgleich zwischen anderen vorhandenen Gateways für eine optimalere Ressourcennutzung. Wenn die Belastung des Perimeter-Gateways stark ansteigt, kann der Orchestrator die „gelangweilten“ Ressourcen der Remote Access Gateways nutzen und umgekehrt. Dies trägt dazu bei, saisonale (oder vorübergehende) Lastspitzen auszugleichen.

Wie Sie wahrscheinlich verstehen, beziehen sich die letzten beiden Segmente speziell auf mittelständische Unternehmen, die sich mittlerweile auch den Einsatz skalierbarer Sicherheitsplattformen leisten können. Es kann sich jedoch eine berechtigte Frage stellen: „Warum ist Check Point Maestro besser als ein normaler Cluster?„Wir werden versuchen, diese Frage zu beantworten.

Klassischer Cluster vs. Check Point Maestro

Wenn wir über den klassischen Check Point-Cluster sprechen, werden zwei Betriebsmodi unterstützt: Hochverfügbarkeit (d. h. Aktiv/Standby) und Lastverteilung (d. h. Aktiv/Aktiv). Wir werden kurz ihre Bedeutung der Arbeit sowie ihre Vor- und Nachteile beschreiben.

Hohe Verfügbarkeit (Aktiv/Standby)

Wie der Name schon sagt, leitet in diesem Betriebsmodus ein Knoten den gesamten Datenverkehr durch sich selbst, während sich der zweite Knoten im Standby-Modus befindet und Datenverkehr aufnimmt, wenn beim aktiven Knoten Probleme auftreten.
Profis:

• Der stabilste Modus;
• Der proprietäre SecureXL-Mechanismus wird unterstützt, um die Datenverkehrsverarbeitung zu beschleunigen;
• Wenn der aktive Knoten ausfällt, ist der zweite Knoten garantiert in der Lage, den gesamten Datenverkehr zu „verdauen“ (da es genau derselbe ist).

Nachteile:
Tatsächlich gibt es nur ein Minus: Ein Knoten ist völlig im Leerlauf. Dadurch sind wir wiederum gezwungen, leistungsstärkere Hardware zu kaufen, damit diese den Datenverkehr alleine bewältigen kann.

Natürlich ist der HA-Modus zuverlässiger als Load Sharing, aber die Ressourcenoptimierung lässt zu wünschen übrig.

Lastverteilung (Aktiv/Aktiv)

In diesem Modus verarbeiten alle Knoten im Cluster den Datenverkehr. Sie können bis zu 8 Geräte zu einem solchen Cluster zusammenfassen (mehr als 4). nicht empfohlen).
Profis:

• Sie können die Last zwischen Knoten verteilen, was weniger leistungsstarke Geräte erfordert;
• Möglichkeit einer reibungslosen Skalierung (Hinzufügen von bis zu 8 Knoten zum Cluster).

Nachteile:

• Seltsamerweise verwandeln sich die Vorteile sofort in Nachteile. Sie nutzen gerne den Load-Sharing-Modus, auch wenn das Unternehmen nur zwei Knoten hat. Um Geld zu sparen, kaufen sie Geräte, die jeweils zu 40-50 % geladen sind. Und alles scheint in Ordnung zu sein. Wenn jedoch ein Knoten ausfällt, kommt es zu einer Situation, in der die gesamte Last auf den verbleibenden Knoten übertragen wird, der einfach nicht mehr zurechtkommt. Infolgedessen gibt es in einem solchen Schema keine Fehlertoleranz als solche.
  
• Hinzu kommen eine Reihe von Load-Sharing-Einschränkungen (sk101539). Und die wichtigste Einschränkung besteht darin, dass SecureXL nicht unterstützt wird, ein Mechanismus, der die Datenverkehrsverarbeitung erheblich beschleunigt;
• Was die Skalierung durch das Hinzufügen neuer Knoten zum Cluster betrifft, ist Load Sharing hier leider alles andere als ideal. Wenn dem Cluster mehr als 4 Geräte hinzugefügt werden, beginnt die Leistung dramatisch sinken.

In Anbetracht der ersten beiden Nachteile sind wir zur Implementierung der Fehlertoleranz bei der Verwendung von zwei Knoten auch gezwungen, produktivere Hardware zu kaufen, damit diese den Datenverkehr in einer kritischen Situation „verdauen“ kann. Dadurch haben wir zwar keinen wirtschaftlichen Nutzen, bekommen aber einen großen Betrag Beschränkungen. Darüber hinaus ist zu beachten, dass der Load-Sharing-Modus ab Version R80.20 nicht mehr unterstützt wird. Dadurch werden Benutzer von erforderlichen Updates ausgeschlossen. Es ist noch nicht bekannt, ob Load Sharing in neueren Releases unterstützt wird.

Check Point Maestro als Alternative

Aus Cluster-Sicht nutzte Check Point Maestro die Hauptvorteile der Modi Hochverfügbarkeit und Lastverteilung:

• Mit dem Orchestrator verbundene Gateways können SecureXL verwenden, was eine maximale Geschwindigkeit der Datenverkehrsverarbeitung gewährleistet. Beim Load Sharing gibt es keine weiteren Einschränkungen;
• Der Datenverkehr wird zwischen Gateways in einer Sicherheitsgruppe (einem logischen Gateway, das aus mehreren physischen Gateways besteht) verteilt. Dadurch können wir weniger produktive Geräte installieren, da wir keine ungenutzten Gateways mehr haben, wie im Hochverfügbarkeitsmodus. Gleichzeitig kann die Leistung nahezu linear gesteigert werden, ohne so gravierende Verluste wie im Load-Sharing-Modus (mehr Details später).

Das ist alles großartig, aber schauen wir uns zwei konkrete Beispiele an.

Beispiel №1

Angenommen, Unternehmen X beabsichtigt, einen Cluster von Gateways am Netzwerkrand zu installieren. Sie haben sich bereits mit allen für sie inakzeptablen Einschränkungen des Load Sharing vertraut gemacht und ziehen ausschließlich den Hochverfügbarkeitsmodus in Betracht. Nach der Dimensionierung stellt sich heraus, dass für sie das 6800-Gateway geeignet ist, das nicht zu mehr als 50 % belastet werden sollte (um zumindest eine gewisse Leistungsreserve zu haben). Da es sich um einen Cluster handelt, müssen Sie ein zweites Gerät kaufen, das im Standby-Modus einfach Luft „raucht“. Es ist eine sehr teure Räucherei.
Aber es gibt eine Alternative. Nehmen Sie ein Bundle aus dem Orchestrator und drei 6500-Gateways. In diesem Fall wird der Datenverkehr auf alle drei Geräte verteilt. Wenn Sie sich die technischen Daten der beiden Modelle ansehen, werden Sie feststellen, dass drei 6500-Gateways leistungsstärker sind als ein 6800.

Somit erhält Unternehmen X bei der Wahl von Check Point Maestro folgende Vorteile:

• Das Unternehmen stellt umgehend eine skalierbare Plattform bereit. Eine spätere Leistungssteigerung läuft darauf hinaus, einfach eine weitere 6500-Hardware hinzuzufügen. Was könnte einfacher sein?
• Die Lösung ist immer noch fehlertolerant, weil Fällt ein Knoten aus, können die verbleibenden beiden die Last bewältigen.
• Ein ebenso wichtiger und überraschender Vorteil ist, dass es günstiger ist! Leider kann ich die Preise nicht öffentlich veröffentlichen, aber wenn Sie Interesse haben, können Sie dies tun Kontaktieren Sie uns für Berechnungen

Beispiel №2

Angenommen, Unternehmen Y verfügt bereits über einen HA-Cluster mit 6500 Modellen. Der aktive Knoten ist zu 85 % ausgelastet, was bei Spitzenlasten zu Verlusten im produktiven Datenverkehr führt. Die logische Lösung des Problems scheint ein Update der Hardware zu sein. Das nächste Modell ist 6800. Das heißt. Das Unternehmen muss die Gateways über das Trade-In-Programm zurückgeben und zwei neue (teurere) Geräte kaufen.
Aber es gibt eine alternative Möglichkeit. Kaufen Sie einen Orchestrator und einen weiteren genau gleichen Knoten (6500). Stellen Sie einen Cluster aus drei Geräten zusammen und „verteilen“ Sie diese 85 % der Last auf drei Gateways. Dadurch erhalten Sie einen enormen Leistungsspielraum (drei Geräte werden im Durchschnitt nur zu 30 % ausgelastet). Selbst wenn einer der drei Knoten ausfällt, können die verbleibenden zwei den Verkehr noch mit einer durchschnittlichen Auslastung von 45 % bewältigen. Darüber hinaus ist ein Cluster aus drei aktiven 6500-Gateways bei Spitzenlasten leistungsfähiger als ein 6800-Gateway, das sich im HA-Cluster befindet (d. h. aktiv/Standby). Wenn außerdem der Bedarf von Unternehmen Y in ein oder zwei Jahren wieder steigt, muss es nur noch einen oder zwei weitere 6500-Knoten hinzufügen. Ich denke, der wirtschaftliche Vorteil liegt hier auf der Hand.

Fazit

Ja, Check Point Maestro ist keine Lösung für KMU. Aber auch ein mittelständisches Unternehmen kann bereits über diese Plattform nachdenken und zumindest versuchen, die Wirtschaftlichkeit zu berechnen. Sie werden überrascht sein, dass skalierbare Plattformen profitabler sein können als ein klassischer Cluster. Gleichzeitig ergeben sich nicht nur wirtschaftliche, sondern auch technische Vorteile. Wir werden jedoch im nächsten Artikel darüber sprechen, wo ich neben technischen Tricks auch versuchen werde, einige typische Fälle (Topologie, Szenarien) aufzuzeigen.

Sie können auch unsere öffentlichen Seiten abonnieren (Telegram, Facebook, VK, TS-Lösungsblog), wo Sie die Entstehung neuer Materialien zu Check Point und anderen Sicherheitsprodukten verfolgen können.

Source: habr.com