Máis recentemente, Check Point presentou unha nova plataforma escalable . Xa publicamos todo un artigo sobre . En resumo, permítelle aumentar case linealmente o rendemento da pasarela de seguridade combinando varios dispositivos e equilibrando a carga entre eles. Sorprendentemente, aínda existe un mito de que esta plataforma escalable só é apta para grandes centros de datos ou redes xigantes. Isto non é absolutamente certo.
Check Point Maestro foi desenvolvido para varias categorías de usuarios á vez (verémolos un pouco máis adiante), incluídas as empresas medianas. Nesta pequena serie de artigos tentarei reflexionar vantaxes técnicas e económicas de Check Point Maestro para organizacións medianas (a partir de 500 usuarios) e por que esta opción pode ser mellor que un clúster clásico.
Público obxectivo de Check Point Maestro
En primeiro lugar, vexamos os segmentos de usuarios para os que foi deseñado Check Point Maestro. Só hai 4 deles:
1. Empresas que carecían de capacidades de chasis. Check Point Maestro non é a primeira plataforma escalable de Check Point. Xa escribimos que antes existían modelos como o 64000 e o 44000. Aínda que tiñan un gran rendemento, aínda había empresas para as que non era suficiente. Mestre elimina este inconveniente, porque... permítelle montar ata 31 dispositivos nun clúster de alto rendemento. Ao mesmo tempo, podes montar un clúster desde os principais dispositivos (23900, 26000), logrando así un rendemento colosal.
De feito, no ámbito das pasarelas de seguridade, Check Point é actualmente o único que implementa tal capacidade.
2. Empresas que queiran poder elixir o seu hardware. Unha das desvantaxes das plataformas escalables máis antigas é a necesidade de utilizar "módulos blade" estritamente definidos (Check Point SGM). A nova plataforma Check Point Maestro permítelle utilizar un gran número de dispositivos diferentes. Podes escoller os dous modelos do segmento medio (5600, 5800, 5900, 6500, 6800) e do segmento High End (serie 15000, serie 23000, serie 26000). Ademais, pode combinalos, dependendo das tarefas.
Isto é moi conveniente desde o punto de vista do uso óptimo dos recursos. Podes mercar só o rendemento que necesitas escollendo o modelo correcto.
3. Empresas para as que o chasis é demasiado, pero aínda se precisa escalabilidade. Outra "desvantaxe" das antigas plataformas escalables (64000, 44000) foi o alto limiar de entrada (desde o punto de vista económico). Durante moito tempo, as plataformas escalables só estiveron dispoñibles para as grandes empresas con "bos" orzamentos de TI. Coa chegada de Check Point Maestro, todo cambiou. O custo do paquete mínimo (orquestrador + dúas pasarelas) é comparable (e ás veces máis baixo) cun clúster activo/en espera clásico. Eses. o limiar de entrada baixou significativamente. Ao elixir unha solución, unha empresa pode establecer de inmediato unha arquitectura escalable, sen pagar en exceso por un posible aumento posterior das necesidades. Hai máis usuarios un ano despois da introdución de Check Point Maestro? Só ten que engadir unha ou dúas pasarelas, sen substituír as existentes. Nin sequera tes que cambiar a topoloxía. Simplemente conecte novas pasarelas ao orquestrator e aplíquelles a configuración en só un par de clics.
4. Empresas que queiran facer un uso óptimo dos dispositivos existentes. Creo que moitas persoas están familiarizadas co procedemento de intercambio. Cando o rendemento dos dispositivos existentes xa non é suficiente e hai que actualizar o hardware para satisfacer as necesidades actuais. Un procedemento bastante caro. Ademais, moitas veces hai unha situación na que un cliente ten varios clústeres de Check Point para diferentes tarefas. Por exemplo, un clúster para protección perimetral, un clúster para acceso remoto (RA VPN), un clúster para VSX, etc. Ademais, un clúster pode non ter recursos suficientes, mentres que outro ten unha abundancia deles. Check Maestro é unha excelente oportunidade para optimizar o uso destes recursos distribuíndo dinámicamente a carga entre eles.
Eses. obtén os seguintes beneficios:
- Non é necesario "tirar" o hardware existente. Podes mercar unha ou dúas pasarelas adicionais ou...
- Configure o equilibrio de carga dinámico entre outras pasarelas existentes para un uso máis óptimo dos recursos. Se a carga na pasarela perimetral aumenta drasticamente, o orquestrador poderá utilizar os recursos "aburridos" das pasarelas de acceso remoto e viceversa. Isto axuda a suavizar os picos de carga estacionais (ou temporais).
Como probablemente entenderás, os dous últimos segmentos están relacionados especificamente con medianas empresas, que agora tamén poden permitirse o uso de plataformas de seguridade escalables. Non obstante, pode xurdir unha pregunta razoable: "Por que Check Point Maestro é mellor que un clúster normal?"Imos tentar responder a esta pregunta.
Clúster clásico vs Check Point Maestro
Se falamos do clásico clúster Check Point, admitiranse dous modos operativos: alta dispoñibilidade (é dicir, activo/en espera) e compartición de carga (é dicir, activo/activo). Describiremos brevemente o seu significado do traballo, así como os seus pros e contras.
Alta dispoñibilidade (activo/en espera)
Como o nome indica, neste modo operativo, un nodo pasa todo o tráfico por si mesmo e o segundo está en modo de espera e recolle o tráfico se o nodo activo comeza a experimentar algún problema.
Pros:
- O modo máis estable;
- O mecanismo propietario SecureXL é compatible para acelerar o procesamento do tráfico;
- Se o nodo activo falla, o segundo está garantido para poder "dixerir" todo o tráfico (porque é exactamente o mesmo).
Contras:
De feito, só hai un negativo: un nodo está completamente inactivo. Pola súa banda, por iso, vémonos obrigados a comprar hardware máis potente para que poida xestionar o tráfico só.
Por suposto, o modo HA é máis fiable que a compartición de carga, pero a optimización de recursos deixa moito que desexar.
Compartir carga (activo/activo)
Neste modo, todos os nodos do clúster procesan o tráfico. Podes combinar ata 8 dispositivos nun clúster deste tipo (máis de 4 ).
Pros:
- Pode distribuír a carga entre nós, o que require dispositivos menos potentes;
- Posibilidade de escalado suave (engadindo ata 8 nodos ao clúster).
Contras:
- Curiosamente, os pros convértense inmediatamente en contras. Gústalles usar o modo Compartir carga mesmo cando a empresa só ten dous nodos. Querendo aforrar diñeiro, compran dispositivos, cada un dos cales se carga nun 40-50%. E todo parece estar ben. Pero se falla un nodo, obtemos unha situación na que toda a carga transfírese ao restante, que simplemente non pode soportar. Como resultado, non hai tolerancia a fallos como tal nun esquema deste tipo.
- Engade a isto unha morea de restricións para compartir carga (). E a limitación máis importante é que SecureXL non é compatible, un mecanismo que acelera significativamente o procesamento do tráfico;
- En canto ao escalado engadindo novos nodos ao clúster, desafortunadamente, a compartición de carga está lonxe de ser ideal aquí. Se se engaden máis de 4 dispositivos ao clúster, comeza o rendemento .
Tendo en conta as dúas primeiras desvantaxes, para implementar a tolerancia a fallos ao usar dous nodos, tamén nos vemos obrigados a comprar hardware máis produtivo para que poida "dixerir" o tráfico nunha situación crítica. Como resultado, non temos ningún beneficio económico, pero obtemos unha gran cantidade . Ademais, paga a pena notar que a partir da versión R80.20, o modo de compartir carga non é compatible. Isto limita aos usuarios as actualizacións necesarias. Aínda non se sabe se o uso compartido de carga será compatible nas versións máis recentes.
Check Point Maestro como alternativa
Desde o punto de vista do clúster, Check Point Maestro aproveitou as principais vantaxes dos modos de alta dispoñibilidade e compartición de carga:
- As pasarelas conectadas ao orquestrator poden usar SecureXL, que garante a máxima velocidade de procesamento do tráfico. Non hai outras restricións inherentes á compartición de carga;
- O tráfico distribúese entre pasarelas nun grupo de seguridade (unha pasarela lóxica formada por varias físicas). Grazas a isto, podemos instalar dispositivos menos produtivos, porque xa non temos pasarelas inactivas, como no modo Alta dispoñibilidade. Ao mesmo tempo, pódese aumentar a potencia de forma case lineal, sen perdas tan graves como no modo Load Sharing (máis detalles un pouco máis adiante).
Todo isto é xenial, pero vexamos dous exemplos específicos.
Exemplo # 1
Que a empresa X teña a intención de instalar un clúster de pasarelas no perímetro da rede. Xa se familiarizaron con todas as restricións da compartición de carga (que son inaceptables para eles) e están considerando exclusivamente o modo de alta dispoñibilidade. Despois do dimensionado, resulta que a pasarela 6800 é adecuada para eles, que non se debe cargar máis do 50% (para ter polo menos algunha reserva de rendemento). Dado que este será un clúster, cómpre mercar un segundo dispositivo, que simplemente "fumará" o aire no modo de espera. É un afumeiro moi caro.
Pero hai unha alternativa. Colle un paquete do orquestrator e tres pasarelas 6500. Neste caso, o tráfico distribuirase entre os tres dispositivos. Se observas as especificacións dos dous modelos, verás que tres pasarelas 6500 son máis potentes que unha 6800.
Así, ao elixir Check Point Maestro, a empresa X recibe as seguintes vantaxes:
- A compañía establece inmediatamente unha plataforma escalable. Un aumento posterior no rendemento reducirase simplemente a engadir outra peza de hardware 6500. Que podería ser máis sinxelo?
- A solución aínda é tolerante a fallas, porque Se un nodo falla, os dous restantes poderán facer fronte á carga.
- Unha vantaxe igualmente importante e sorprendente é que é máis barato! Desafortunadamente, non podo publicar prezos publicamente, pero se estás interesado, podes
Exemplo # 2
Deixe que a empresa Y xa teña un clúster HA de modelos 6500. O nodo activo cárgase nun 85%, o que durante as cargas máximas leva a perdas no tráfico produtivo. A solución lóxica ao problema parece ser a actualización do hardware. O seguinte modelo é 6800. É dicir. a empresa terá que devolver as pasarelas a través do programa Trade-In e mercar dous dispositivos novos (máis caros).
Pero hai unha opción alternativa. Compre un orquestrator e outro exactamente o mesmo nodo (6500). Reúne un clúster de tres dispositivos e "reparte" este 85 % da carga en tres pasarelas. Como resultado, obterás unha enorme marxe de rendemento (tres dispositivos cargaranse só nun 30% de media). Aínda que un dos tres nodos morra, os dous restantes seguirán afrontando o tráfico cunha carga media do 45%. Ademais, para os picos de carga, un clúster de tres pasarelas 6500 activas será máis potente que unha pasarela 6800, que está situada no clúster HA (é dicir, activo/en espera). Ademais, se nun ano ou dous as necesidades da empresa Y volven aumentar, entón todo o que terán que facer é engadir un ou dous nodos máis 6500. Creo que o beneficio económico aquí é obvio.
Conclusión
Si, Check Point Maestro non é unha solución para SMB. Pero incluso unha mediana empresa xa pode pensar nesta plataforma e polo menos tentar calcular a eficiencia económica. Sorprenderase ao descubrir que as plataformas escalables poden ser máis rendibles que un clúster clásico. Ao mesmo tempo, hai vantaxes non só económicas, senón tamén técnicas. Non obstante, falaremos deles no seguinte artigo, onde, ademais de trucos técnicos, tentarei mostrar varios casos típicos (topoloxía, escenarios).
Tamén podes subscribirte ás nosas páxinas públicas (, , , ), onde podes seguir a aparición de novos materiais en Check Point e outros produtos de seguridade.
Fonte: www.habr.com