Viimeksi Check Point esitteli uuden skaalautuvan alustan . Olemme jo julkaisseet koko artikkelin aiheesta . Lyhyesti sanottuna sen avulla voit lisätä turvayhdyskäytävän suorituskykyä lähes lineaarisesti yhdistämällä useita laitteita ja tasapainottamalla niiden välistä kuormitusta. Yllättäen on edelleen olemassa myytti, että tämä skaalautuva alusta sopii vain suuriin tietokeskuksiin tai jättiläisverkkoihin. Tämä ei todellakaan ole totta.
Check Point Maestro kehitettiin useille käyttäjäryhmille kerralla (tarkastelemme niitä hieman myöhemmin), mukaan lukien keskisuuret yritykset. Tässä lyhyessä artikkelisarjassa yritän pohtia Check Point Maestron tekniset ja taloudelliset edut keskikokoisille organisaatioille (alkaen 500 käyttäjästä) ja miksi tämä vaihtoehto voi olla parempi kuin klassinen klusteri.
Check Point Maestro -kohderyhmä
Katsotaanpa ensin käyttäjäsegmenttejä, joille Check Point Maestro on suunniteltu. Niitä on vain 4:
1. Yritykset, joilta puuttui alustaominaisuudet. Check Point Maestro ei ole Check Pointin ensimmäinen skaalautuva alusta. Olemme jo kirjoittaneet, että aiemmin oli sellaisia malleja kuin 64000 ja 44000. Vaikka niillä oli LOISTAVA suorituskyky, oli silti yrityksiä, joille tämä ei riittänyt. Maestro poistaa tämän epäkohdan, koska... voit koota jopa 31 laitetta yhdeksi tehokkaaksi klusteriksi. Samalla voit koota klusterin huippuluokan laitteista (23900, 26000), jolloin saavutetaan valtava suorituskyky.
Itse asiassa turvayhdyskäytävien alalla Check Point on tällä hetkellä ainoa, joka toteuttaa tällaisen ominaisuuden.
2. Yritykset, jotka haluavat voida valita laitteistonsa. Yksi vanhempien skaalautuvien alustojen haitoista on tarve käyttää tiukasti määriteltyjä "blade-moduuleja" (Check Point SGM). Uuden Check Point Maestro -alustan avulla voit käyttää valtavasti erilaisia laitteita. Voit valita molemmat mallit keskisegmentistä (5600, 5800, 5900, 6500, 6800) ja huippuluokan segmentistä (15000-sarja, 23000-sarja, 26000-sarja). Lisäksi voit yhdistää niitä tehtävistä riippuen.
Tämä on erittäin kätevää resurssien optimaalisen käytön kannalta. Voit ostaa vain tarvitsemasi suorituskyvyn valitsemalla oikean mallin.
3. Yritykset, joille runkoa on liikaa, mutta skaalautuvuutta silti tarvitaan. Toinen vanhojen skaalautuvien alustojen (64000, 44000) "haitta" oli korkea pääsykynnys (taloudellisesta näkökulmasta). Skaalautuvat alustat olivat pitkään saatavilla vain suurille yrityksille, joilla oli "hyvä" IT-budjetti. Check Point Maestron myötä kaikki on muuttunut. Vähimmäispaketin (orkesteri + kaksi yhdyskäytävää) hinta on vertailukelpoinen (ja joskus alhaisempi) klassisen aktiivisen/valmiustilan klusterin kanssa. Nuo. pääsykynnys on laskenut merkittävästi. Ratkaisua valitessaan yritys voi luoda heti skaalautuvan arkkitehtuurin ilman, että se joutuu maksamaan liikaa tarpeiden mahdollisesta myöhemmästä kasvusta. Onko käyttäjiä enemmän vuoden kuluttua Check Point Maestron käyttöönotosta? Lisäät vain yhden tai kaksi yhdyskäytävää korvaamatta olemassa olevia. Sinun ei tarvitse edes muuttaa topologiaa. Yhdistä uudet yhdyskäytävät orkesteriin ja ota asetukset käyttöön vain muutamalla napsautuksella.
4. Yritykset, jotka haluavat hyödyntää olemassa olevia laitteita optimaalisesti. Uskon, että monet ihmiset tuntevat Trade-In-menettelyn. Kun olemassa olevien laitteiden suorituskyky ei enää riitä ja laitteistot on päivitettävä vastaamaan nykyisiä tarpeita. Melko kallis toimenpide. Lisäksi melko usein tulee tilanne, jossa asiakkaalla on useita Check Point -klustereita eri tehtäviin. Esimerkiksi klusteri kehäsuojausta varten, klusteri etäkäyttöä varten (RA VPN), klusteri VSX:lle jne. Lisäksi yhdellä klusterilla ei välttämättä ole tarpeeksi resursseja, kun taas toisessa niitä on runsaasti. Check Maestro on erinomainen tilaisuus optimoida näiden resurssien käyttöä jakamalla kuorma dynaamisesti niiden välillä.
Nuo. saat seuraavat edut:
- Olemassa olevaa laitteistoa ei tarvitse "heittää pois". Voit ostaa yhden tai kaksi lisäyhdyskäytävää tai...
- Määritä dynaaminen kuormituksen tasapainotus muiden olemassa olevien yhdyskäytävien välillä optimaalisen resurssien käytön varmistamiseksi. Jos kehäyhdyskäytävän kuormitus kasvaa jyrkästi, orkestraattori pystyy käyttämään etäkäyttöyhdyskäytävien "tylsää" resursseja ja päinvastoin. Tämä auttaa tasoittamaan kausiluonteisia (tai tilapäisiä) kuormituspiikkejä.
Kuten luultavasti ymmärrät, kaksi viimeistä segmenttiä liittyvät nimenomaan keskisuuriin yrityksiin, joilla on nyt myös varaa käyttää skaalautuvia tietoturvaalustoja. Voi kuitenkin herätä järkevä kysymys: "Miksi Check Point Maestro on parempi kuin tavallinen klusteri?"Yritetään vastata tähän kysymykseen.
Klassinen klusteri vs Check Point Maestro
Jos puhumme klassisesta Check Point -klusterista, tuetaan kahta toimintatilaa: korkea käytettävyys (eli aktiivinen/valmiustila) ja kuormanjako (eli aktiivinen/aktiivinen). Kuvaamme lyhyesti heidän työn merkityksensä sekä niiden edut ja haitat.
Korkea käytettävyys (aktiivinen/valmiustila)
Kuten nimestä voi päätellä, tässä toimintatilassa yksi solmu ohjaa kaiken liikenteen itsensä läpi ja toinen on valmiustilassa ja poimii liikenteen, jos aktiivisessa solmussa alkaa ilmetä ongelmia.
Plussat:
- Vakain tila;
- SecureXL-mekanismia tuetaan nopeuttamaan liikenteen käsittelyä;
- Jos aktiivinen solmu epäonnistuu, toinen pystyy taatusti "sulattamaan" kaiken liikenteen (koska se on täsmälleen sama).
Miinukset:
Itse asiassa on vain yksi miinus - yksi solmu on täysin käyttämättömänä. Tästä johtuen meidän on puolestaan ostettava tehokkaampia laitteita, jotta se voi hoitaa liikenteen yksin.
Tietenkin HA-tila on luotettavampi kuin Load Sharing, mutta resurssien optimointi jättää paljon toivomisen varaa.
Kuorman jakaminen (aktiivinen/aktiivinen)
Tässä tilassa kaikki klusterin solmut käsittelevät liikennettä. Voit yhdistää enintään 8 laitetta tällaiseksi klusteriksi (yli 4 ).
Plussat:
- Voit jakaa kuorman solmujen välillä, mikä vaatii vähemmän tehokkaita laitteita;
- Mahdollisuus tasaiseen skaalaukseen (jopa 8 solmun lisääminen klusteriin).
Miinukset:
- Kummallista kyllä, plussat muuttuvat heti haitoksi. He haluavat käyttää Load Sharing -tilaa, vaikka yrityksellä olisi vain kaksi solmua. Haluavat säästää rahaa, he ostavat laitteita, joista jokainen on ladattu 40-50%. Ja kaikki näyttää olevan hyvin. Mutta jos yksi solmu epäonnistuu, saamme tilanteen, jossa koko kuorma siirretään jäljellä olevalle, joka ei yksinkertaisesti kestä. Tämän seurauksena tällaisessa järjestelmässä ei ole vikasietoisuutta sellaisenaan.
- Lisää tähän joukko kuormanjakorajoituksia (). Ja tärkein rajoitus on, että SecureXL:ää ei tueta, mekanismi, joka nopeuttaa merkittävästi liikenteen käsittelyä;
- Mitä tulee skaalaukseen lisäämällä uusia solmuja klusteriin, valitettavasti kuormanjako ei ole kaukana ihanteellisesta. Jos klusteriin lisätään enemmän kuin 4 laitetta, suorituskyky alkaa .
Kun otetaan huomioon kaksi ensimmäistä haittapuolta, vikasietoisuuden toteuttamiseksi kahta solmua käytettäessä joudumme ostamaan myös tuottavampia laitteita, jotta ne voivat "sulattaa" liikennettä kriittisessä tilanteessa. Tämän seurauksena meillä ei ole taloudellista hyötyä, mutta saamme suuren summan . Lisäksi on syytä huomata, että versiosta R80.20 alkaen Load Sharing -tilaa ei tueta. Tämä rajoittaa käyttäjiä tarvitsemasta päivityksiä. Ei ole vielä tiedossa, tuetaanko Load Sharingia uudemmissa julkaisuissa.
Vaihtoehtona Check Point Maestro
Klusterin näkökulmasta Check Point Maestro käytti High Availability- ja Load Sharing -tilojen tärkeimmät edut:
- Orkesteriin yhdistetyt yhdyskäytävät voivat käyttää SecureXL:ää, joka varmistaa liikenteen suurimman nopeuden. Kuormanjakoon ei liity muita rajoituksia;
- Liikenne jaetaan yhden suojausryhmän yhdyskäytävien kesken (looginen yhdyskäytävä, joka koostuu useasta fyysisestä yhdyskäytävästä). Tämän ansiosta voimme asentaa vähemmän tuottavia laitteita, koska meillä ei ole enää käyttämättömiä yhdyskäytäviä, kuten High Availability -tilassa. Samaan aikaan tehoa voidaan lisätä lähes lineaarisesti ilman niin vakavia menetyksiä kuin Load Sharing -tilassa (lisätietoja myöhemmin).
Tämä kaikki on hienoa, mutta katsotaanpa kahta konkreettista esimerkkiä.
Esimerkki # 1
Anna yrityksen X asentaa yhdyskäytäväklusterin verkon kehälle. He ovat jo tutustuneet kaikkiin Load Sharingin rajoituksiin (jotka eivät ole heille hyväksyttäviä) ja harkitsevat yksinomaan High Availability -tilaa. Mitoituksen jälkeen käy ilmi, että heille sopii 6800-yhdyskäytävä, jota ei saa kuormittaa yli 50% (jotta olisi ainakin jonkin verran suorituskykyreserviä). Koska tämä on klusteri, sinun on ostettava toinen laite, joka yksinkertaisesti "savuttaa" ilmaa valmiustilassa. Se on erittäin kallis savuhuone.
Mutta vaihtoehto on olemassa. Ota nippu orkestraattorista ja kolme 6500 yhdyskäytävää.Tässä tapauksessa liikenne jaetaan kaikkien kolmen laitteen kesken. Jos katsot kahden mallin teknisiä tietoja, huomaat, että kolme 6500-yhdyskäytävää ovat tehokkaampia kuin yksi 6800.
Siten valitessaan Check Point Maestron yritys X saa seuraavat edut:
- Yritys luo välittömästi skaalautuvan alustan. Myöhempi suorituskyvyn lisäys tulee yksinkertaisesti lisäämään 6500 laitteistoa. Mikä voisi olla yksinkertaisempaa?
- Ratkaisu on edelleen vikasietoinen, koska Jos yksi solmu epäonnistuu, loput kaksi pystyvät selviytymään kuormasta.
- Yhtä tärkeä ja yllättävä etu on, että se on halvempi! Valitettavasti en voi julkaista hintoja julkisesti, mutta jos olet kiinnostunut, voit
Esimerkki # 2
Olkoon yrityksellä Y jo mallin HA-klusteri 6500. Aktiivinen solmu on kuormitettu 85 %:lla, mikä kuormitushuippujen aikana johtaa menetykseen tuottavassa liikenteessä. Looginen ratkaisu ongelmaan näyttää olevan laitteiston päivittäminen. Seuraava malli on 6800. Eli. yrityksen on palautettava yhdyskäytävät Trade-In-ohjelman kautta ja ostettava kaksi uutta (kallimpaa) laitetta.
Mutta vaihtoehtoinen vaihtoehto on olemassa. Osta orkesteri ja toinen täsmälleen sama solmu (6500). Kokoa kolmen laitteen klusteri ja "hajaa" tämä 85 % kuormasta kolmeen yhdyskäytävään. Tämän seurauksena saat valtavan suorituskykymarginaalin (kolme laitetta ladataan keskimäärin vain 30 prosentilla). Vaikka yksi kolmesta solmusta kuolee, loput kaksi selviävät silti liikenteestä 45 %:n keskimääräisellä kuormituksella. Lisäksi huippukuormituksilla kolmen aktiivisen 6500-yhdyskäytävän klusteri on tehokkaampi kuin yksi 6800-yhdyskäytävä, joka sijaitsee HA-klusterissa (eli aktiivinen/valmiustila). Lisäksi, jos vuoden tai kahden kuluttua yrityksen Y tarpeet taas kasvavat, heidän tarvitsee vain lisätä yksi tai kaksi solmua lisää 6500. Mielestäni taloudellinen hyöty tässä on ilmeinen.
Johtopäätös
Kyllä, Check Point Maestro ei ole ratkaisu pk-yrityksille. Mutta jopa keskikokoinen yritys voi jo ajatella tätä alustaa ja ainakin yrittää laskea taloudellista tehokkuutta. Yllätyt huomatessasi, että skaalautuvat alustat voivat olla kannattavampia kuin klassinen klusteri. Samaan aikaan etuja on paitsi taloudellisia, myös teknisiä. Puhumme niistä kuitenkin seuraavassa artikkelissa, jossa yritän teknisten temppujen lisäksi näyttää useita tyypillisiä tapauksia (topologia, skenaariot).
Voit myös tilata julkiset sivumme (, , , ), jossa voit seurata Check Pointin ja muiden tietoturvatuotteiden uusien materiaalien syntymistä.
Lähde: will.com