2. Tipični slučajevi korištenja za Check Point Maestro

Nedavno je Check Point predstavio novu skalabilnu platformu Maestro. Već smo objavili cijeli članak o što je to i kako radi. Ukratko, omogućuje vam gotovo linearno povećanje performansi sigurnosnog pristupnika kombiniranjem više uređaja i balansiranjem opterećenja između njih. Iznenađujuće, još uvijek postoji mit da je ova skalabilna platforma prikladna samo za velike podatkovne centre ili divovske mreže. To apsolutno nije točno.

Check Point Maestro je razvijen za nekoliko kategorija korisnika odjednom (pogledat ćemo ih malo kasnije), uključujući i srednje tvrtke. U ovom kratkom nizu članaka pokušat ću razmisliti tehničke i ekonomske prednosti Check Point Maestra za organizacije srednje veličine (od 500 korisnika) i zašto bi ova opcija mogla biti bolja od klasičnog klastera.

Check Point Maestro ciljna publika

Prvo, pogledajmo segmente korisnika za koje je dizajniran Check Point Maestro. Ima ih samo 4:

1. Tvrtke koje nisu imale mogućnosti šasije. Check Point Maestro nije Check Pointova prva skalabilna platforma. Već smo pisali da su ranije postojali modeli kao što su 64000 i 44000. Iako su imali ODLIČNE performanse, još uvijek je bilo tvrtki kojima to NIJE bilo DOVOLJNO. Maestro otklanja ovaj nedostatak, jer... omogućuje sastavljanje do 31 uređaja u jedan klaster visokih performansi. U isto vrijeme, možete sastaviti klaster od vrhunskih uređaja (23900, 26000), čime se postiže kolosalan protok.

Zapravo, u području sigurnosnih pristupnika, Check Point je trenutno jedini koji implementira takvu mogućnost.

2. Tvrtke koje žele imati mogućnost izbora hardvera. Jedan od nedostataka starijih skalabilnih platformi je potreba za korištenjem strogo definiranih “blade modula” (Check Point SGM). Nova platforma Check Point Maestro omogućuje korištenje ogromnog broja različitih uređaja. Možete birati i modele iz srednjeg segmenta (5600, 5800, 5900, 6500, 6800) i iz High End segmenta (15000 serija, 23000 serija, 26000 serija). Štoviše, možete ih kombinirati, ovisno o zadacima.

To je vrlo zgodno sa stajališta optimalne upotrebe resursa. Možete kupiti samo onu izvedbu koju trebate odabirom pravog modela.

3. Tvrtke za koje je šasija previše, ali je skalabilnost ipak potrebna. Još jedan "nedostatak" starih skalabilnih platformi (64000, 44000) bio je visok ulazni prag (s ekonomskog gledišta). Dugo su vremena skalabilne platforme bile dostupne samo velikim tvrtkama s "dobrim" IT proračunom. Dolaskom Check Point Maestra sve se promijenilo. Trošak minimalnog paketa (orkestrator + dva pristupnika) usporediv je (a ponekad i niži) s klasičnim aktivnim/pripravnim klasterom. Oni. ulazni prag znatno je pao. Prilikom odabira rješenja tvrtka može odmah postaviti skalabilnu arhitekturu, bez preplaćivanja za eventualno naknadno povećanje potreba. Ima li više korisnika godinu dana nakon implementacije Check Point Maestra? Samo dodajete jedan ili dva pristupnika, bez ikakve zamjene postojećih. Ne morate čak ni mijenjati topologiju. Jednostavno povežite nove pristupnike s orkestratorom i primijenite postavke na njih u samo nekoliko klikova.

4. Tvrtke koje žele optimalno iskoristiti postojeće uređaje. Mislim da su mnogi ljudi upoznati s Trade-In procedurom. Kada performanse postojećih uređaja više nisu dovoljne i potrebno je ažurirati hardver kako bi zadovoljio trenutne potrebe. Prilično skup postupak. Osim toga, prilično često postoji situacija kada kupac ima nekoliko Check Point klastera za različite zadatke. Na primjer, klaster za zaštitu perimetra, klaster za daljinski pristup (RA VPN), klaster za VSX itd. Štoviše, jedan klaster možda nema dovoljno resursa, dok ih drugi ima u izobilju. Check Maestro izvrsna je prilika za optimizaciju korištenja ovih resursa dinamičkom raspodjelom opterećenja između njih.

Oni. dobivate sljedeće pogodnosti:

• Nema potrebe "baciti" postojeći hardver. Možete kupiti jedan ili dva dodatna pristupnika ili...
• Konfigurirajte dinamičko balansiranje opterećenja između drugih postojećih pristupnika za optimalnije korištenje resursa. Ako se opterećenje perimetarskog pristupnika naglo poveća, tada će orkestrator moći koristiti "dosadne" resurse pristupnika udaljenog pristupa i obrnuto. To pomaže u ublažavanju sezonskih (ili privremenih) vršnih opterećenja.

Kao što vjerojatno razumijete, posljednja dva segmenta odnose se upravo na srednje velika poduzeća, koja si sada također mogu priuštiti korištenje skalabilnih sigurnosnih platformi. Međutim, može se postaviti razumno pitanje: "Zašto je Check Point Maestro bolji od običnog klastera?“Pokušat ćemo odgovoriti na ovo pitanje.

Klasični klaster protiv Check Point Maestra

Ako govorimo o klasičnom Check Point klasteru, tada su podržana dva načina rada: High Availability (tj. Active/Standby) i Load Sharing (tj. Active/Active). Ukratko ćemo opisati njihov smisao rada, kao i njihove prednosti i mane.

Visoka dostupnost (aktivan/pripravnost)

Kao što naziv sugerira, u ovom načinu rada jedan čvor propušta sav promet kroz sebe, a drugi je u stanju pripravnosti i preuzima promet ako aktivni čvor počne imati problema.
Pros:

• Najstabilniji način rada;
• Podržan je vlasnički SecureXL mehanizam za ubrzavanje obrade prometa;
• Ako aktivni čvor zakaže, drugi će sigurno moći “probaviti” sav promet (jer je potpuno isti).

Cons:
Zapravo, postoji samo jedan minus - jedan čvor potpuno miruje. S druge strane, zbog toga smo prisiljeni kupiti snažniji hardver kako bi mogao sam podnijeti promet.

Naravno, HA način je pouzdaniji od dijeljenja opterećenja, ali optimizacija resursa ostavlja mnogo toga za poželjeti.

Podjela opterećenja (aktivno/aktivno)

U ovom načinu rada svi čvorovi u klasteru obrađuju promet. Možete kombinirati do 8 uređaja u takav klaster (više od 4 Ne preporučuje).
Pros:

• Možete raspodijeliti opterećenje između čvorova, što zahtijeva manje snažne uređaje;
• Mogućnost glatkog skaliranja (dodavanje do 8 čvorova u klaster).

Cons:

• Začudo, prednosti se odmah pretvaraju u nedostatke. Vole koristiti način dijeljenja opterećenja čak i kada tvrtka ima samo dva čvora. Želeći uštedjeti novac, kupuju uređaje od kojih je svaki opterećen na 40-50%. I čini se da je sve u redu. Ali ako jedan čvor zakaže, dolazimo do situacije u kojoj se cjelokupno opterećenje prenosi na preostali, koji se jednostavno ne može nositi. Kao rezultat toga, u takvoj shemi ne postoji tolerancija greške kao takva.
  
• Ovome dodajte hrpu ograničenja dijeljenja opterećenja (sk101539). A najvažnije ograničenje je da nije podržan SecureXL, mehanizam koji značajno ubrzava obradu prometa;
• Što se tiče skaliranja dodavanjem novih čvorova u klaster, nažalost, Load Sharing je ovdje daleko od idealnog. Ako se u klaster doda više od 4 uređaja, tada počinje izvedba dramatično pasti.

Uzimajući u obzir prva dva nedostatka, kako bismo implementirali toleranciju na greške pri korištenju dva čvora, također smo prisiljeni kupiti produktivniji hardver kako bi mogao "probaviti" promet u kritičnoj situaciji. Kao rezultat toga, nemamo nikakvu ekonomsku korist, ali dobivamo veliki iznos ograničenja. Štoviše, vrijedi napomenuti da počevši od verzije R80.20, način dijeljenja opterećenja nije podržan. Ovo ograničava korisnike u potrebnim ažuriranjima. Još nije poznato hoće li dijeljenje opterećenja biti podržano u novijim izdanjima.

Check Point Maestro kao alternativa

Sa stajališta klastera, Check Point Maestro je iskoristio glavne prednosti načina visoke dostupnosti i dijeljenja opterećenja:

• Gatewayi povezani s orkestratorom mogu koristiti SecureXL, koji osigurava maksimalnu brzinu obrade prometa. Ne postoje druga ograničenja svojstvena dijeljenju opterećenja;
• Promet se distribuira između pristupnika u jednoj Sigurnosnoj grupi (logički pristupnik koji se sastoji od nekoliko fizičkih). Zahvaljujući tome, možemo instalirati manje produktivne uređaje, jer više nemamo neaktivne gatewaye, kao u High Availability modu. U isto vrijeme, snaga se može povećati gotovo linearno, bez tako ozbiljnih gubitaka kao u načinu dijeljenja opterećenja (više detalja kasnije).

Sve je to super, ali pogledajmo dva konkretna primjera.

Primjer №1

Neka tvrtka X namjerava instalirati klaster pristupnika na perimetru mreže. Već su se upoznali sa svim ograničenjima Load Sharinga (koja su im neprihvatljiva) i razmišljaju isključivo o High Availability modu. Nakon dimenzioniranja, pokazalo se da im odgovara 6800 gateway, koji ne bi trebao biti opterećen više od 50% (kako bi imali barem rezervu performansi). Budući da će ovo biti klaster, morate kupiti drugi uređaj koji će jednostavno "pušiti" zrak u stanju pripravnosti. To je vrlo skupa pušnica.
Ali postoji alternativa. Uzmite paket od orkestratora i tri pristupnika 6500. U ovom slučaju, promet će se distribuirati između sva tri uređaja. Ako pogledate specifikacije dvaju modela, vidjet ćete da su tri 6500 gatewaya snažnija od jednog 6800.

Stoga, pri odabiru Check Point Maestro, tvrtka X dobiva sljedeće prednosti:

• Tvrtka odmah postavlja skalabilnu platformu. Naknadno povećanje performansi svesti će se na jednostavno dodavanje još 6500 komada hardvera. Što bi moglo biti jednostavnije?
• Rješenje je još uvijek otporno na pogreške, jer Ako jedan čvor ne uspije, preostala dva će se moći nositi s opterećenjem.
• Jednako važna i iznenađujuća prednost je to što je jeftiniji! Nažalost, ne mogu javno objaviti cijene, ali ako ste zainteresirani, možete kontaktirajte nas za izračune

Primjer №2

Neka tvrtka Y već ima HA klaster od 6500 modela.Aktivni čvor je opterećen na 85%, što tijekom vršnih opterećenja dovodi do gubitaka u produktivnom prometu. Čini se da je logično rješenje problema ažuriranje hardvera. Sljedeći model je 6800. tj. tvrtka će morati vratiti pristupnike kroz Trade-In program i kupiti dva nova (skuplja) uređaja.
Ali postoji alternativna opcija. Kupite orkestrator i još jedan potpuno isti čvor (6500). Sastavite klaster od tri uređaja i "rasporedite" ovih 85% opterećenja na tri pristupnika. Kao rezultat toga, dobit ćete ogromnu marginu performansi (tri uređaja će biti učitana sa samo 30% u prosjeku). Čak i ako jedan od tri čvora umre, preostala dva će se i dalje nositi s prometom s prosječnim opterećenjem od 45%. Štoviše, za vršna opterećenja, klaster od tri aktivna 6500 pristupnika bit će moćniji od jednog 6800 pristupnika, koji se nalazi u HA klasteru (tj. aktivan/pripravan). Osim toga, ako se za godinu ili dvije potrebe tvrtke Y ponovno povećaju, tada će sve što trebaju učiniti je dodati još jedan ili dva čvora 6500. Mislim da je ekonomska korist ovdje očita.

Zaključak

Da, Check Point Maestro nije rješenje za SMB. Ali čak i srednje velika tvrtka već može razmišljati o ovoj platformi i barem pokušati izračunati ekonomsku učinkovitost. Iznenadit ćete se kada otkrijete da skalabilne platforme mogu biti isplativije od klasičnog klastera. Istodobno, postoje prednosti ne samo ekonomske, već i tehničke. No, o njima ćemo u sljedećem članku, gdje ću uz tehničke trikove pokušati prikazati nekoliko tipičnih slučajeva (topologija, scenariji).

Također se možete pretplatiti na naše javne stranice (Telegram, Facebook, VK, Blog o TS rješenjima), gdje možete pratiti pojavu novih materijala o Check Pointu i drugim sigurnosnim proizvodima.

Izvor: www.habr.com