Más recientemente, Check Point presentó una nueva plataforma escalable . Ya hemos publicado un artículo completo sobre . En resumen, le permite aumentar casi linealmente el rendimiento del gateway de seguridad combinando múltiples dispositivos y equilibrando la carga entre ellos. Sorprendentemente, todavía existe el mito de que esta plataforma escalable sólo es adecuada para grandes centros de datos o redes gigantes. Esto es absolutamente falso.
Check Point Maestro fue desarrollado para varias categorías de usuarios a la vez (las veremos un poco más adelante), incluidas las medianas empresas. En esta breve serie de artículos intentaré reflejar Ventajas técnicas y económicas de Check Point Maestro para organizaciones medianas (a partir de 500 usuarios) y por qué esta opción puede ser mejor que un cluster clásico.
Público objetivo de Check Point Maestro
Primero, veamos los segmentos de usuarios para los que se diseñó Check Point Maestro. Sólo hay 4 de ellos:
1. Empresas que carecían de capacidades de chasis. Check Point Maestro no es la primera plataforma escalable de Check Point. Ya hemos escrito que anteriormente existían modelos como 64000 y 44000. Aunque tenían un GRAN rendimiento, todavía había empresas para las que esto NO era SUFICIENTE. Maestro elimina este inconveniente, porque... le permite ensamblar hasta 31 dispositivos en un clúster de alto rendimiento. Al mismo tiempo, puede ensamblar un clúster a partir de dispositivos de gama alta (23900, 26000), logrando así un rendimiento colosal.
De hecho, en el campo de los gateways de seguridad, Check Point es actualmente el único que implementa dicha capacidad.
2. Empresas que quieren poder elegir su hardware. Una de las desventajas de las plataformas escalables más antiguas es la necesidad de utilizar “módulos blade” estrictamente definidos (Check Point SGM). La nueva plataforma Check Point Maestro le permite utilizar una gran cantidad de dispositivos diferentes. Podrás elegir tanto modelos del segmento medio (5600, 5800, 5900, 6500, 6800) como del segmento High End (serie 15000, serie 23000, serie 26000). Además, puedes combinarlos, según las tareas.
Esto es muy conveniente desde el punto de vista del uso óptimo de los recursos. Puede adquirir sólo el rendimiento que necesita eligiendo el modelo correcto.
3. Empresas para las que el chasis es demasiado, pero aún se necesita escalabilidad. Otra “desventaja” de las antiguas plataformas escalables (64000, 44000) era el alto umbral de entrada (desde un punto de vista económico). Durante mucho tiempo, las plataformas escalables sólo estuvieron disponibles para grandes empresas con “buenos” presupuestos de TI. Con la llegada de Check Point Maestro, todo ha cambiado. El costo del paquete mínimo (orquestador + dos gateways) es comparable (y a veces menor) al de un clúster activo/en espera clásico. Aquellos. el umbral de entrada ha disminuido significativamente. Al elegir una solución, una empresa puede establecer inmediatamente una arquitectura escalable, sin pagar de más por un posible aumento posterior de las necesidades. ¿Hay más usuarios un año después de la introducción de Check Point Maestro? Simplemente agrega una o dos puertas de enlace, sin reemplazar las existentes. Ni siquiera tienes que cambiar la topología. Simplemente conecte nuevas puertas de enlace al orquestador y aplíqueles configuraciones con solo un par de clics.
4. Empresas que quieren hacer un uso óptimo de los dispositivos existentes. Creo que mucha gente está familiarizada con el procedimiento de intercambio. Cuando el rendimiento de los dispositivos existentes ya no es suficiente y es necesario actualizar el hardware para satisfacer las necesidades actuales. Un procedimiento bastante caro. Además, muy a menudo ocurre una situación en la que un cliente tiene varios grupos de Check Point para diferentes tareas. Por ejemplo, un clúster para protección perimetral, un clúster para acceso remoto (RA VPN), un clúster para VSX, etc. Además, es posible que un grupo no tenga suficientes recursos, mientras que otro los tenga en abundancia. Check Maestro es una excelente oportunidad para optimizar el uso de estos recursos distribuyendo dinámicamente la carga entre ellos.
Aquellos. obtienes los siguientes beneficios:
- No es necesario "deshacerse" del hardware existente. Puedes comprar una o dos puertas de enlace adicionales, o...
- Configure el equilibrio de carga dinámico entre otras puertas de enlace existentes para un uso más óptimo de los recursos. Si la carga en la puerta de enlace perimetral aumenta considerablemente, entonces el orquestador podrá utilizar los recursos "aburridos" de las puertas de enlace de acceso remoto y viceversa. Esto ayuda a suavizar los picos de carga estacionales (o temporales).
Como probablemente comprenderá, los dos últimos segmentos se refieren específicamente a las medianas empresas, que ahora también pueden permitirse el lujo de utilizar plataformas de seguridad escalables. Sin embargo, puede surgir una pregunta razonable: “¿Por qué Check Point Maestro es mejor que un clúster normal?“Intentaremos responder a esta pregunta.
Clúster clásico y Check Point Maestro
Si hablamos del clúster clásico de Check Point, entonces se admiten dos modos de funcionamiento: alta disponibilidad (es decir, activo/en espera) y carga compartida (es decir, activo/activo). Describiremos brevemente su significado de trabajo, así como sus pros y contras.
Alta disponibilidad (activa/en espera)
Como sugiere el nombre, en este modo de funcionamiento, un nodo pasa todo el tráfico a través de sí mismo y el segundo está en modo de espera y capta el tráfico si el nodo activo comienza a experimentar algún problema.
Pros:
- El modo más estable;
- Se admite el mecanismo patentado SecureXL para acelerar el procesamiento del tráfico;
- Si el nodo activo falla, se garantiza que el segundo podrá “digerir” todo el tráfico (porque es exactamente el mismo).
Contras:
De hecho, solo hay un inconveniente: un nodo está completamente inactivo. A su vez, debido a esto, nos vemos obligados a comprar hardware más potente para que pueda manejar el tráfico por sí solo.
Por supuesto, el modo HA es más confiable que Load Sharing, pero la optimización de recursos deja mucho que desear.
Carga compartida (activa/activa)
En este modo, todos los nodos del clúster procesan el tráfico. Puede combinar hasta 8 dispositivos en un grupo de este tipo (más de 4 ).
Pros:
- Puede distribuir la carga entre nodos, lo que requiere dispositivos menos potentes;
- Posibilidad de escalado fluido (agregando hasta 8 nodos al cluster).
Contras:
- Por extraño que parezca, los pros se convierten inmediatamente en contras. Les gusta usar el modo Load Sharing incluso cuando la empresa tiene solo dos nodos. Queriendo ahorrar dinero, compran dispositivos, cada uno de los cuales está cargado al 40-50%. Y todo parece estar bien. Pero si un nodo falla, llegamos a una situación en la que toda la carga se transfiere al resto, que simplemente no puede hacer frente. Como resultado, no existe tolerancia a fallos como tal en dicho esquema.
- Agregue a esto un montón de restricciones de carga compartida (). Y la limitación más importante es que no se admite SecureXL, un mecanismo que acelera significativamente el procesamiento del tráfico;
- En cuanto a escalar agregando nuevos nodos al clúster, desafortunadamente la carga compartida está lejos de ser ideal aquí. Si se agregan más de 4 dispositivos al clúster, comienza el rendimiento .
Teniendo en cuenta las dos primeras desventajas, para implementar la tolerancia a fallos cuando se utilizan dos nodos, también nos vemos obligados a comprar hardware más productivo para que pueda "digerir" el tráfico en una situación crítica. Como resultado, no tenemos ningún beneficio económico, pero obtenemos una gran cantidad . Además, vale la pena señalar que a partir de la versión R80.20, el modo de carga compartida no es compatible. Esto limita a los usuarios de las actualizaciones requeridas. Aún no se sabe si la carga compartida será compatible con las versiones más recientes.
Check Point Maestro como alternativa
Desde el punto de vista del cluster, Check Point Maestro aprovechó las principales ventajas de los modos de alta disponibilidad y carga compartida:
- Las puertas de enlace conectadas al orquestador pueden utilizar SecureXL, que garantiza la máxima velocidad de procesamiento del tráfico. No existen otras restricciones inherentes a la carga compartida;
- El tráfico se distribuye entre puertas de enlace de un grupo de seguridad (una puerta de enlace lógica que consta de varias puertas físicas). Gracias a esto podemos instalar dispositivos menos productivos, porque ya no tenemos gateways inactivos, como en el modo Alta Disponibilidad. Al mismo tiempo, la potencia se puede aumentar casi de forma lineal, sin pérdidas tan graves como en el modo Load Sharing (más detalles más adelante).
Todo esto es genial, pero veamos dos ejemplos específicos.
Ejemplo №1
Dejemos que la empresa X tenga la intención de instalar un grupo de puertas de enlace en el perímetro de la red. Ya se han familiarizado con todas las restricciones de la carga compartida (que les resultan inaceptables) y están considerando exclusivamente el modo de alta disponibilidad. Después del dimensionamiento, resulta que les conviene la puerta de enlace 6800, que no debe cargarse más del 50% (para tener al menos algo de reserva de rendimiento). Dado que será un grupo, deberá comprar un segundo dispositivo, que simplemente "fumará" aire en modo de espera. Es un ahumadero muy caro.
Pero hay una alternativa. Tome un paquete del orquestador y tres puertas de enlace 6500. En este caso, el tráfico se distribuirá entre los tres dispositivos. Si observa las especificaciones de los dos modelos, verá que tres puertas de enlace 6500 son más potentes que una 6800.
Así, al elegir Check Point Maestro, la empresa X recibe las siguientes ventajas:
- La empresa establece inmediatamente una plataforma escalable. Un aumento posterior en el rendimiento se reducirá simplemente a agregar otra pieza de hardware de 6500. ¿Qué podría ser más simple?
- La solución sigue siendo tolerante a fallos, porque Si un nodo falla, los dos restantes podrán hacer frente a la carga.
- ¡Una ventaja igualmente importante y sorprendente es que es más barato! Desafortunadamente, no puedo publicar los precios públicamente, pero si estás interesado, puedes hacerlo.
Ejemplo №2
Dejemos que la empresa Y ya tenga un clúster HA de modelos 6500. El nodo activo está cargado al 85%, lo que durante las cargas máximas provoca pérdidas en el tráfico productivo. La solución lógica al problema parece ser actualizar el hardware. El siguiente modelo es el 6800. Eso es. la empresa deberá devolver las puertas de enlace a través del programa Trade-In y comprar dos dispositivos nuevos (más caros).
Pero existe una opción alternativa. Compra un orquestador y otro nodo exactamente igual (6500). Reúna un grupo de tres dispositivos y “distribuya” este 85% de la carga entre tres puertas de enlace. Como resultado, obtendrá un enorme margen de rendimiento (tres dispositivos se cargarán a sólo el 30% en promedio). Incluso si uno de los tres nodos muere, los dos restantes seguirán soportando el tráfico con una carga media del 45%. Además, para cargas máximas, un clúster de tres puertas de enlace 6500 activas será más potente que una puerta de enlace 6800, que se encuentra en el clúster HA (es decir, activo/en espera). Además, si en uno o dos años las necesidades de la empresa Y vuelven a aumentar, entonces todo lo que tendrán que hacer es agregar uno o dos nodos más de 6500. Creo que el beneficio económico aquí es obvio.
Conclusión
Sí, Check Point Maestro no es una solución para PYMES. Pero incluso una empresa mediana ya puede pensar en esta plataforma y al menos intentar calcular la eficiencia económica. Le sorprenderá descubrir que las plataformas escalables pueden ser más rentables que un clúster clásico. Al mismo tiempo, existen ventajas no sólo económicas, sino también técnicas. Sin embargo, hablaremos de ellos en el próximo artículo, donde, además de trucos técnicos, intentaré mostrar varios casos típicos (topología, escenarios).
También puedes suscribirte a nuestras páginas públicas (, , , ), donde podrá seguir la aparición de nuevos materiales sobre Check Point y otros productos de seguridad.
Fuente: habr.com