Plus récemment, Check Point a présenté une nouvelle plateforme évolutive . Nous avons déjà publié un article complet sur . En bref, cela vous permet d'augmenter de manière presque linéaire les performances de la passerelle de sécurité en combinant plusieurs appareils et en équilibrant la charge entre eux. Étonnamment, il existe encore un mythe selon lequel cette plate-forme évolutive ne convient qu'aux grands centres de données ou aux réseaux géants. Ce n'est absolument pas vrai!
Check Point Maestro a été développé pour plusieurs catégories d'utilisateurs à la fois (nous les examinerons un peu plus tard), dont les entreprises de taille moyenne. Dans cette courte série d'articles, je vais essayer de réfléchir avantages techniques et économiques de Check Point Maestro pour les organisations de taille moyenne (à partir de 500 utilisateurs) et pourquoi cette option peut être meilleure qu'un cluster classique.
Public cible de Check Point Maestro
Tout d'abord, examinons les segments d'utilisateurs pour lesquels Check Point Maestro a été conçu. Il n'y en a que 4 :
1. Entreprises qui manquaient de capacités de châssis. Check Point Maestro n'est pas la première plateforme évolutive de Check Point. Nous avons déjà écrit qu'il existait auparavant des modèles tels que 64000 et 44000. Bien qu'ils aient de GRANDES performances, il y avait encore des entreprises pour lesquelles cela n'était PAS ASSEZ. Maestro élimine cet inconvénient, car... vous permet d'assembler jusqu'à 31 appareils dans un cluster hautes performances. Dans le même temps, vous pouvez assembler un cluster à partir d'appareils haut de gamme (23900, 26000), obtenant ainsi un débit colossal.
En fait, dans le domaine des passerelles de sécurité, Check Point est actuellement le seul à mettre en œuvre une telle capacité.
2. Les entreprises qui souhaitent pouvoir choisir leur matériel. L'un des inconvénients des anciennes plates-formes évolutives est la nécessité d'utiliser des « modules lames » strictement définis (Check Point SGM). La nouvelle plateforme Check Point Maestro vous permet d'utiliser un grand nombre d'appareils différents. Vous pouvez choisir les deux modèles du segment intermédiaire (5600, 5800, 5900, 6500, 6800) et du segment haut de gamme (série 15000, série 23000, série 26000). De plus, vous pouvez les combiner en fonction des tâches.
Ceci est très pratique du point de vue de l’utilisation optimale des ressources. Vous pouvez acheter uniquement les performances dont vous avez besoin en choisissant le bon modèle.
3. Entreprises pour lesquelles le châssis est trop lourd, mais l'évolutivité est encore nécessaire. Un autre « inconvénient » des anciennes plateformes évolutives (64000 44000, XNUMX XNUMX) était le seuil d'entrée élevé (d'un point de vue économique). Pendant longtemps, les plates-formes évolutives n’étaient disponibles que pour les grandes entreprises disposant de « bons » budgets informatiques. Avec l’avènement de Check Point Maestro, tout a changé. Le coût du bundle minimum (orchestrateur + deux passerelles) est comparable (et parfois inférieur) à celui d'un cluster actif/veille classique. Ceux. le seuil d’entrée a considérablement baissé. Lors du choix d'une solution, une entreprise peut immédiatement définir une architecture évolutive, sans payer trop cher pour une éventuelle augmentation ultérieure des besoins. Y a-t-il plus d'utilisateurs un an après l'introduction de Check Point Maestro ? Il vous suffit d'ajouter une ou deux passerelles, sans aucun remplacement de celles existantes. Vous n'avez même pas besoin de changer la topologie. Connectez simplement de nouvelles passerelles à l'orchestrateur et appliquez-leur des paramètres en quelques clics seulement.
4. Entreprises qui souhaitent utiliser de manière optimale les appareils existants. Je pense que beaucoup de gens connaissent la procédure d'échange. Lorsque les performances des appareils existants ne sont plus suffisantes et que le matériel doit être mis à jour pour répondre aux besoins actuels. Une procédure assez coûteuse. De plus, il arrive souvent qu'un client dispose de plusieurs clusters Check Point pour différentes tâches. Par exemple, un cluster pour la protection périmétrique, un cluster pour l'accès à distance (RA VPN), un cluster pour VSX, etc. De plus, un cluster peut ne pas disposer de suffisamment de ressources, tandis qu’un autre en dispose en abondance. Check Maestro est une excellente opportunité d'optimiser l'utilisation de ces ressources en répartissant dynamiquement la charge entre elles.
Ceux. vous bénéficiez des avantages suivants :
- Il n’est pas nécessaire de « jeter » le matériel existant. Vous pouvez acheter une ou deux passerelles supplémentaires, ou...
- Configurez l'équilibrage de charge dynamique entre d'autres passerelles existantes pour une utilisation plus optimale des ressources. Si la charge sur la passerelle de périmètre augmente fortement, alors l'orchestrateur pourra utiliser les ressources « ennuyées » des passerelles d'accès à distance et vice versa. Cela permet de lisser les pics de charge saisonniers (ou temporaires).
Comme vous l’avez probablement compris, les deux derniers segments concernent spécifiquement les entreprises de taille moyenne, qui peuvent désormais également se permettre d’utiliser des plateformes de sécurité évolutives. Cependant, une question raisonnable peut se poser : «Pourquoi Check Point Maestro est-il meilleur qu'un cluster classique ?« Nous allons essayer de répondre à cette question.
Cluster classique et Check Point Maestro
Si nous parlons du cluster Check Point classique, alors deux modes de fonctionnement sont pris en charge : haute disponibilité (c'est-à-dire actif/veille) et partage de charge (c'est-à-dire actif/actif). Nous décrirons brièvement leur signification du travail, ainsi que leurs avantages et inconvénients.
Haute disponibilité (actif/veille)
Comme son nom l'indique, dans ce mode de fonctionnement, un nœud fait passer tout le trafic par lui-même, et le second est en mode veille et récupère le trafic si le nœud actif commence à rencontrer des problèmes.
Avantages:
- Le mode le plus stable ;
- Le mécanisme propriétaire SecureXL est pris en charge pour accélérer le traitement du trafic ;
- Si le nœud actif tombe en panne, le second est assuré de pouvoir « digérer » tout le trafic (car c'est exactement le même).
Inconvénients:
En fait, il n'y a qu'un seul inconvénient : un nœud est complètement inactif. À notre tour, pour cette raison, nous sommes obligés d’acheter du matériel plus puissant afin qu’il puisse gérer seul le trafic.
Bien entendu, le mode HA est plus fiable que le partage de charge, mais l'optimisation des ressources laisse beaucoup à désirer.
Partage de charge (actif/actif)
Dans ce mode, tous les nœuds du cluster traitent le trafic. Vous pouvez combiner jusqu'à 8 appareils dans un tel cluster (plus de 4 ).
Avantages:
- Vous pouvez répartir la charge entre les nœuds, ce qui nécessite des appareils moins puissants ;
- Possibilité de mise à l'échelle en douceur (ajout de jusqu'à 8 nœuds au cluster).
Inconvénients:
- Curieusement, les avantages se transforment immédiatement en inconvénients. Ils aiment utiliser le mode de partage de charge même lorsque l'entreprise ne dispose que de deux nœuds. Voulant économiser de l'argent, ils achètent des appareils dont chacun est chargé à 40-50 %. Et tout semble aller bien. Mais si un nœud tombe en panne, nous obtenons une situation dans laquelle toute la charge est transférée au reste, qui ne peut tout simplement pas faire face. En conséquence, il n’y a pas de tolérance aux pannes en tant que telle dans un tel système.
- Ajoutez à cela un tas de restrictions de partage de charge (). Et la limitation la plus importante est que SecureXL n'est pas pris en charge, un mécanisme qui accélère considérablement le traitement du trafic ;
- Quant à la mise à l'échelle en ajoutant de nouveaux nœuds au cluster, malheureusement, le partage de charge est loin d'être idéal ici. Si plus de 4 appareils sont ajoutés au cluster, les performances démarrent .
Compte tenu des deux premiers inconvénients, afin de mettre en œuvre la tolérance aux pannes lors de l'utilisation de deux nœuds, nous sommes également obligés d'acheter du matériel plus productif afin qu'il puisse « digérer » le trafic dans une situation critique. En conséquence, nous n’avons aucun avantage économique, mais nous obtenons une somme importante . De plus, il convient de noter qu'à partir de la version R80.20, le mode Load Sharing n'est plus pris en charge. Cela limite les utilisateurs des mises à jour requises. On ne sait pas encore si le partage de charge sera pris en charge dans les versions plus récentes.
Vérifiez Point Maestro comme alternative
Du point de vue du cluster, Check Point Maestro a profité des principaux avantages des modes Haute Disponibilité et Partage de Charge :
- Les passerelles connectées à l'orchestrateur peuvent utiliser SecureXL, qui garantit une vitesse de traitement du trafic maximale. Il n'y a aucune autre restriction inhérente au partage de charge ;
- Le trafic est réparti entre les passerelles d'un groupe de sécurité (une passerelle logique composée de plusieurs passerelles physiques). Grâce à cela, nous pouvons installer des appareils moins productifs, car nous n'avons plus de passerelles inactives, comme en mode Haute Disponibilité. Dans le même temps, la puissance peut être augmentée presque linéairement, sans pertes aussi graves qu'en mode Load Sharing (plus de détails plus tard).
Tout cela est génial, mais regardons deux exemples spécifiques.
Exemple №1
Supposons que l'entreprise X ait l'intention d'installer un cluster de passerelles sur le périmètre du réseau. Ils connaissent déjà toutes les restrictions du Load Sharing (qui leur sont inacceptables) et envisagent exclusivement le mode Haute Disponibilité. Après dimensionnement, il s'avère que la passerelle 6800 leur convient, qu'il ne faut pas charger à plus de 50% (afin d'avoir au moins une certaine réserve de performances). Puisqu'il s'agira d'un cluster, vous devrez acheter un deuxième appareil, qui « fumera » simplement l'air en mode veille. C'est un fumoir très cher.
Mais il y a une alternative. Prenez un bundle de l'orchestrateur et de trois passerelles 6500. Dans ce cas, le trafic sera réparti entre les trois appareils. Si vous regardez les spécifications des deux modèles, vous verrez que trois passerelles 6500 sont plus puissantes qu'une seule 6800.
Ainsi, en choisissant Check Point Maestro, l'entreprise X bénéficie des avantages suivants :
- L'entreprise propose immédiatement une plateforme évolutive. Une augmentation ultérieure des performances se résumera simplement à l'ajout d'un autre élément matériel de 6500 XNUMX. Quoi de plus simple ?
- La solution reste tolérante aux pannes, car Si un nœud tombe en panne, les deux autres seront en mesure de faire face à la charge.
- Un avantage tout aussi important et surprenant est que c’est moins cher ! Malheureusement, je ne peux pas publier les prix publiquement, mais si vous êtes intéressé, vous pouvez
Exemple №2
Supposons que l'entreprise Y dispose déjà d'un cluster HA de modèles 6500 85. Le nœud actif est chargé à 6800 %, ce qui, lors des pics de charge, entraîne des pertes de trafic productif. La solution logique au problème semble être la mise à jour du matériel. Le prochain modèle est le XNUMX. Autrement dit. l'entreprise devra restituer les passerelles via le programme d'échange et acheter deux nouveaux appareils (plus chers).
Mais il existe une alternative. Achetez un orchestrateur et un autre exactement le même nœud (6500). Assemblez un cluster de trois appareils et « répartissez » ces 85 % de la charge sur trois passerelles. De ce fait, vous obtiendrez une énorme marge de performances (trois appareils seront chargés à seulement 30% en moyenne). Même si l'un des trois nœuds meurt, les deux autres nœuds continueront à gérer le trafic avec une charge moyenne de 45 %. De plus, pour les charges de pointe, un cluster de trois passerelles 6500 actives sera plus puissant qu'une passerelle 6800 située dans le cluster HA (c'est-à-dire active/veille). De plus, si dans un an ou deux les besoins de l'entreprise Y augmentent à nouveau, il lui suffira d'ajouter un ou deux nœuds 6500 XNUMX supplémentaires. Je pense que l'avantage économique ici est évident.
Conclusion
Oui, Check Point Maestro n’est pas une solution pour les PME. Mais même une entreprise de taille moyenne peut déjà réfléchir à cette plateforme et essayer au moins d’en calculer l’efficacité économique. Vous serez surpris de constater que les plateformes évolutives peuvent être plus rentables qu’un cluster classique. Dans le même temps, cela présente des avantages non seulement économiques, mais aussi techniques. Cependant, nous en reparlerons dans le prochain article, où, en plus d'astuces techniques, j'essaierai de montrer plusieurs cas typiques (topologie, scénarios).
Vous pouvez également vous abonner à nos pages publiques (, , , ), où vous pourrez suivre l'émergence de nouveaux supports sur Check Point et d'autres produits de sécurité.
Source: habr.com