Viimati esitles Check Point uut skaleeritavat platvormi . Oleme selle kohta juba avaldanud terve artikli . Lühidalt, see võimaldab teil peaaegu lineaarselt suurendada turvalüüsi jõudlust, kombineerides mitut seadet ja tasakaalustades nende vahelist koormust. Üllataval kombel on endiselt levinud müüt, et see skaleeritav platvorm sobib ainult suurtele andmekeskustele või hiiglaslikele võrkudele. See pole absoluutselt tõsi.
Check Point Maestro töötati välja korraga mitme kasutajakategooria jaoks (vaatame neid veidi hiljem), sealhulgas keskmise suurusega ettevõtetele. Selles lühikeses artiklite sarjas püüan seda kajastada Check Point Maestro tehnilised ja majanduslikud eelised keskmise suurusega organisatsioonidele (alates 500 kasutajast) ja miks see valik võib olla parem kui klassikaline klaster.
Check Point Maestro sihtrühm
Kõigepealt vaatame kasutajasegmente, mille jaoks Check Point Maestro oli mõeldud. Neid on ainult 4:
1. Ettevõtted, millel puudusid šassii võimalused. Check Point Maestro ei ole Check Pointi esimene skaleeritav platvorm. Oleme juba kirjutanud, et varem olid sellised mudelid nagu 64000 ja 44000. Kuigi nende jõudlus oli SUUREPÄRANE, leidus siiski ettevõtteid, kellele sellest EI PIISAS. Maestro kõrvaldab selle puuduse, kuna... võimaldab koondada kuni 31 seadet üheks suure jõudlusega klastriks. Samal ajal saate tippseadmetest (23900, 26000) kokku panna klastri, saavutades seeläbi kolossaalse läbilaskevõime.
Tegelikult on turvaväravate valdkonnas Check Point hetkel ainus, mis sellist võimalust rakendab.
2. Ettevõtted, kes soovivad oma riistvara valida. Vanemate skaleeritavate platvormide üks puudusi on vajadus kasutada rangelt määratletud teramooduleid (Check Point SGM). Uus Check Point Maestro platvorm võimaldab kasutada tohutul hulgal erinevaid seadmeid. Saate valida mõlemad mudelid keskmisest segmendist (5600, 5800, 5900, 6500, 6800) ja High End segmendist (15000 seeria, 23000 seeria, 26000 seeria). Lisaks saate neid olenevalt ülesannetest kombineerida.
See on ressursside optimaalse kasutamise seisukohast väga mugav. Õige mudeli valimisel saate osta ainult vajaliku jõudluse.
3. Ettevõtted, mille jaoks šassii on liiga palju, kuid skaleeritavus on siiski vajalik. Vanade skaleeritavate platvormide (64000, 44000) teine "miinus" oli kõrge sisenemislävi (majanduslikust aspektist). Pikka aega olid skaleeritavad platvormid saadaval ainult suurtele ettevõtetele, kellel oli "hea" IT-eelarve. Check Point Maestro tulekuga on kõik muutunud. Minimaalse komplekti (orkestri + kaks lüüsi) maksumus on võrreldav (ja mõnikord madalam) klassikalise aktiivse/ooterežiimi klastriga. Need. sisenemislävi on oluliselt langenud. Ettevõte saab lahendust valides koheselt paika panna skaleeritava arhitektuuri, maksmata üle võimaliku hilisema vajaduse suurenemise eest. Kas aasta pärast Check Point Maestro kasutuselevõttu on kasutajaid rohkem? Lisate lihtsalt ühe või kaks lüüsi, ilma olemasolevaid asendamata. Sa ei pea isegi topoloogiat muutma. Lihtsalt ühendage uued lüüsid orkestraatoriga ja rakendage neile sätted vaid paari klõpsuga.
4. Ettevõtted, kes soovivad olemasolevaid seadmeid optimaalselt ära kasutada. Arvan, et paljud inimesed on Trade-In protseduuriga tuttavad. Kui olemasolevate seadmete jõudlus ei ole enam piisav ja riistvara tuleb praeguste vajaduste rahuldamiseks värskendada. Päris kallis protseduur. Lisaks tuleb üsna sageli ette olukordi, kus kliendil on erinevate ülesannete jaoks mitu Check Pointi klastrit. Näiteks klaster perimeetri kaitseks, klaster kaugjuurdepääsuks (RA VPN), klaster VSX-i jaoks jne. Veelgi enam, ühel klastril ei pruugi olla piisavalt ressursse, samas kui teises on neid küllaga. Check Maestro on suurepärane võimalus optimeerida nende ressursside kasutamist, jaotades koormuse nende vahel dünaamiliselt.
Need. saate järgmised eelised:
- Olemasolevat riistvara pole vaja "ära visata". Saate osta ühe või kaks lisalüüsi või...
- Ressursside optimaalsemaks kasutamiseks konfigureerige dünaamiline koormuse tasakaalustamine teiste olemasolevate lüüside vahel. Kui perimeetri lüüsi koormus järsult suureneb, saab orkestraator kasutada kaugjuurdepääsu lüüside "tüütud" ressursse ja vastupidi. See aitab tasandada hooajalisi (või ajutisi) koormuse tippe.
Nagu ilmselt mõistate, on kaks viimast segmenti seotud just keskmise suurusega ettevõtetega, kes saavad nüüd lubada ka skaleeritavate turbeplatvormide kasutamist. Siiski võib tekkida mõistlik küsimus: "Miks on Check Point Maestro parem kui tavaline klaster?"Püüame sellele küsimusele vastata.
Klassikaline klaster vs Check Point Maestro
Kui rääkida klassikalisest Check Pointi klastrist, siis toetatakse kahte töörežiimi: High Availability (st Active/Standby) ja Load Sharing (st Active/Active). Kirjeldame lühidalt nende töö tähendust ning plusse ja miinuseid.
Kõrge saadavus (aktiivne/ooterežiim)
Nagu nimigi ütleb, juhib selles töörežiimis üks sõlm kogu liikluse ise läbi ja teine on ooterežiimis ja kogub liiklust, kui aktiivses sõlmes hakkab probleeme ilmnema.
plussid:
- Kõige stabiilsem režiim;
- Liikluse töötlemise kiirendamiseks toetatakse patenteeritud SecureXL mehhanismi;
- Kui aktiivne sõlm ebaõnnestub, suudab teine kindlasti kogu liikluse "seedida" (sest see on täpselt sama).
miinuseid:
Tegelikult on ainult üks miinus - üks sõlm on täiesti jõude. Omakorda oleme seetõttu sunnitud ostma võimsama riistvara, et see üksi liiklusega hakkama saaks.
Muidugi on HA-režiim töökindlam kui koormuse jagamine, kuid ressursside optimeerimine jätab soovida.
Koormuse jagamine (aktiivne/aktiivne)
Selles režiimis töötlevad liiklust kõik klastri sõlmed. Sellisesse klastrisse saate ühendada kuni 8 seadet (rohkem kui 4 ).
plussid:
- Saate jaotada koormuse sõlmede vahel, mis nõuab vähem võimsaid seadmeid;
- Sujuva skaleerimise võimalus (kuni 8 sõlme lisamine klastrisse).
miinuseid:
- Kummalisel kombel muutuvad plussid kohe miinusteks. Neile meeldib kasutada koormuse jagamise režiimi isegi siis, kui ettevõttel on ainult kaks sõlme. Soovides raha säästa, ostavad nad seadmeid, millest igaüks on koormatud 40-50%. Ja tundub, et kõik on korras. Aga kui üks sõlm ebaõnnestub, tekib olukord, kus kogu koormus kandub üle ülejäänud, mis lihtsalt ei tule toime. Sellest tulenevalt puudub sellises skeemis tõrketaluvus kui selline.
- Lisage sellele hulk koormuse jagamise piiranguid (). Ja kõige olulisem piirang on see, et SecureXL-i ei toetata, mehhanismi, mis kiirendab oluliselt liikluse töötlemist;
- Mis puudutab skaleerimist uute sõlmede lisamisega klastrisse, siis kahjuks pole koormuse jagamine siin kaugeltki ideaalne. Kui klastrisse lisatakse rohkem kui 4 seadet, käivitub jõudlus .
Arvestades kahte esimest miinust, oleme kahe sõlme kasutamisel tõrketaluvuse rakendamiseks sunnitud ostma ka tootlikuma riistvara, et see saaks kriitilises olukorras liiklust “seedida”. Sellest tulenevalt ei ole meil mingit majanduslikku kasu, vaid saame suure summa . Lisaks väärib märkimist, et alates versioonist R80.20 ei toetata koormuse jagamise režiimi. See piirab kasutajate juurdepääsu nõutavatele värskendustele. Pole veel teada, kas uuemates väljaannetes koormuse jagamist toetatakse.
Alternatiivina Check Point Maestro
Klastrite seisukohast kasutas Check Point Maestro kõrge kättesaadavuse ja koormuse jagamise režiimide peamised eelised:
- Orchestratoriga ühendatud lüüsid saavad kasutada SecureXL-i, mis tagab maksimaalse liikluse töötlemise kiiruse. Koormuse jagamisel pole muid piiranguid;
- Liiklus jaotatakse ühe turvagrupi lüüside vahel (loogiline lüüs, mis koosneb mitmest füüsilisest). Tänu sellele saame installida vähem tootlikke seadmeid, kuna meil pole enam tühikäigulüüsi, nagu High Availability režiimis. Samal ajal saab võimsust suurendada peaaegu lineaarselt, ilma selliste tõsiste kadudeta nagu Load Sharing režiimis (täpsemalt hiljem).
See kõik on suurepärane, kuid vaatame kahte konkreetset näidet.
Näide №1
Las ettevõte X kavatseb paigaldada võrgu perimeetrile lüüside klastri. Nad on juba tutvunud kõigi koormuse jagamise piirangutega (mis on neile vastuvõetamatud) ja kaaluvad ainult kõrge saadavuse režiimi. Peale suuruse määramist selgub, et neile sobib 6800 gateway, mis ei tohiks olla üle 50% koormatud (et oleks vähemalt mingi jõudlusreserv). Kuna tegemist on kobaraga, peate ostma teise seadme, mis ooterežiimis lihtsalt "suitsetab" õhku. See on väga kallis suitsuahi.
Kuid on olemas alternatiiv. Võtke orkestri komplekt ja kolm lüüsi 6500. Sel juhul jaotatakse liiklus kõigi kolme seadme vahel. Kui vaatate kahe mudeli tehnilisi andmeid, näete, et kolm 6500 lüüsi on võimsamad kui üks 6800.
Seega saab ettevõte X Check Point Maestro valimisel järgmised eelised:
- Ettevõte paneb kohe paika skaleeritava platvormi. Edasine jõudluse kasv taandub lihtsalt veel 6500 riistvara lisamisega. Mis saaks olla lihtsam?
- Lahendus on endiselt tõrketaluv, sest Kui üks sõlm ebaõnnestub, saavad ülejäänud kaks koormusega toime tulla.
- Sama oluline ja üllatav eelis on see, et see on odavam! Kahjuks ei saa ma hindu avalikult postitada, kuid kui olete huvitatud, saate
Näide №2
Olgu ettevõttel Y juba 6500 mudelist koosnev HA klaster.Aktiivne sõlm on koormatud 85%, mis tippkoormuse ajal toob kaasa kaotusi tootlikus liikluses. Probleemi loogiline lahendus näib olevat riistvara värskendamine. Järgmine mudel on 6800. St. ettevõte peab Trade-In programmi kaudu lüüsid tagastama ja ostma kaks uut (kallimat) seadet.
Kuid on ka alternatiivne variant. Osta orkestraator ja teine täpselt samasugune sõlm (6500). Pange kokku kolmest seadmest koosnev klaster ja "jagage" see 85% koormusest kolme lüüsi vahel. Selle tulemusel saate tohutu jõudlusvaru (kolme seadet laaditakse keskmiselt vaid 30%). Isegi kui üks kolmest sõlmest välja sureb, saavad ülejäänud kaks ikkagi liiklusega hakkama keskmise koormusega 45%. Veelgi enam, tippkoormuse korral on kolmest aktiivsest 6500 lüüsist koosnev klaster võimsam kui üks 6800 lüüs, mis asub HA klastris (st aktiivne/ooterežiim). Lisaks, kui aasta-kahe pärast ettevõtte Y vajadused uuesti suurenevad, pole neil vaja teha muud, kui lisada üks või kaks sõlme veel 6500. Ma arvan, et majanduslik kasu on siin ilmne.
Järeldus
Jah, Check Point Maestro ei ole lahendus VKEdele. Kuid isegi keskmise suurusega ettevõte võib juba selle platvormi peale mõelda ja proovida vähemalt majanduslikku efektiivsust arvutada. Olete üllatunud, kui avastate, et skaleeritavad platvormid võivad olla kasumlikumad kui klassikaline klaster. Samal ajal on eelised mitte ainult majanduslikud, vaid ka tehnilised. Nendest räägime aga järgmises artiklis, kus lisaks tehnilistele nippidele püüan näidata mitmeid tüüpilisi juhtumeid (topoloogia, stsenaariumid).
Samuti saate tellida meie avalikke lehti (, , , ), kus saate jälgida Check Pointi ja teiste turvatoodete uute materjalide ilmumist.
Allikas: www.habr.com