Legutóbb a Check Point mutatott be egy új, méretezhető platformot . Már egy teljes cikket publikáltunk róla . Röviden: lehetővé teszi a biztonsági átjáró teljesítményének szinte lineáris növelését több eszköz kombinálásával és a köztük lévő terhelés kiegyenlítésével. Meglepő módon még mindig él az a mítosz, hogy ez a méretezhető platform csak nagy adatközpontok vagy óriási hálózatok számára alkalmas. Ez abszolút nem igaz.
A Check Point Maestro-t egyszerre több felhasználói kategória számára fejlesztették ki (kicsit később megnézzük őket), beleértve a közepes méretű vállalkozásokat is. Ebben a rövid cikksorozatban megpróbálok reflektálni a Check Point Maestro műszaki és gazdasági előnyei a közepes méretű szervezetek számára (500 felhasználótól), és miért lehet jobb ez a lehetőség egy klasszikus klaszternél.
Check Point Maestro célközönsége
Először is nézzük meg azokat a felhasználói szegmenseket, amelyekre a Check Point Maestro készült. Csak 4 van belőlük:
1. Vállalatok, amelyek nem rendelkeztek alváz-képességekkel. A Check Point Maestro nem a Check Point első méretezhető platformja. Korábban már írtunk róla, hogy voltak olyan modellek, mint a 64000 és a 44000. Bár remek teljesítményt nyújtottak, még mindig voltak cégek, amelyeknek ez NEM volt ELÉG. A Maestro kiküszöböli ezt a hátrányt, mert... lehetővé teszi akár 31 eszköz összeállítását egy nagy teljesítményű klaszterbe. Ugyanakkor a legjobb eszközökből (23900, 26000) összeállíthat egy klasztert, ezáltal óriási átviteli teljesítményt érhet el.
Valójában a biztonsági átjárók területén jelenleg a Check Point az egyetlen, amely ilyen képességet valósít meg.
2. Vállalatok, amelyek meg akarják választani a hardverüket. A régebbi skálázható platformok egyik hátránya, hogy szigorúan meghatározott „blade modulokat” (Check Point SGM) kell használni. Az új Check Point Maestro platform számos különféle eszköz használatát teszi lehetővé. Mindkét modellt választhatja a középső szegmensből (5600, 5800, 5900, 6500, 6800) és a High End szegmensből (15000-es sorozat, 23000-es sorozat, 26000-es sorozat). Ezenkívül a feladatoktól függően kombinálhatja őket.
Ez nagyon kényelmes az erőforrások optimális felhasználása szempontjából. A megfelelő modell kiválasztásával csak a szükséges teljesítményt vásárolhatja meg.
3. Vállalatok, amelyeknek túl sok a váz, de a méretezhetőség még mindig szükséges. A régi skálázható platformok (64000, 44000) másik „hátránya” a magas belépési küszöb volt (gazdasági szempontból). A méretezhető platformok sokáig csak a „jó” informatikai költségvetéssel rendelkező nagyvállalatok számára voltak elérhetőek. A Check Point Maestro megjelenésével minden megváltozott. A minimális csomag (hangszerelő + két átjáró) költsége összehasonlítható (és néha alacsonyabb) egy klasszikus aktív/készenléti fürttel. Azok. a belépési küszöb jelentősen csökkent. A megoldás kiválasztásakor a vállalat azonnal lefektetheti a méretezhető architektúrát, anélkül, hogy túlfizetne egy esetleges későbbi igénynövekedésért. Több felhasználó van egy évvel a Check Point Maestro bevezetése után? Csak egy vagy két átjárót kell hozzáadnia a meglévők cseréje nélkül. Még a topológiát sem kell megváltoztatni. Egyszerűen csatlakoztassa az új átjárókat az orchestratorhoz, és néhány kattintással alkalmazza a beállításokat.
4. A meglévő eszközöket optimálisan kihasználni kívánó cégek. Azt hiszem, sokan ismerik a Trade-In eljárást. Amikor a meglévő eszközök teljesítménye már nem elegendő, és a hardvert frissíteni kell az aktuális igényeknek megfelelően. Elég drága eljárás. Ráadásul gyakran előfordul olyan helyzet, amikor egy ügyfélnek több Check Point-fürtje van különböző feladatokhoz. Például egy fürt a kerület védelmére, egy fürt a távoli eléréshez (RA VPN), egy fürt a VSX-hez stb. Sőt, előfordulhat, hogy az egyik klaszternek nincs elég erőforrása, míg egy másikban bőven van belőlük. A Check Maestro kiváló lehetőség ezen erőforrások felhasználásának optimalizálására a terhelés dinamikus elosztásával közöttük.
Azok. a következő előnyöket élvezheti:
- Nem kell „eldobni” a meglévő hardvert. Vásárolhat egy vagy két további átjárót, vagy...
- Konfigurálja a dinamikus terheléselosztást más meglévő átjárók között az erőforrások optimálisabb felhasználása érdekében. Ha a kerületi átjáró terhelése meredeken növekszik, akkor a hangszerelő képes lesz használni a távelérési átjárók „megunt” erőforrásait, és fordítva. Ez segít kisimítani a szezonális (vagy átmeneti) terhelési csúcsokat.
Amint azt valószínűleg Ön is tudja, az utolsó két szegmens kifejezetten a közepes méretű vállalkozásokra vonatkozik, amelyek most már szintén megengedhetik maguknak a méretezhető biztonsági platformok használatát. Felmerülhet azonban egy ésszerű kérdés: „Miért jobb a Check Point Maestro, mint egy hagyományos fürt?„Megpróbálunk válaszolni erre a kérdésre.
Klasszikus klaszter vs Check Point Maestro
Ha a klasszikus Check Point klaszterről beszélünk, akkor két üzemmód támogatott: Magas rendelkezésre állás (azaz Aktív/Készenléti állapot) és Terhelésmegosztás (azaz Aktív/Aktív). Röviden ismertetjük a munka jelentését, valamint előnyeiket és hátrányaikat.
Magas rendelkezésre állás (aktív/készenléti)
Ahogy a neve is sugallja, ebben az üzemmódban az egyik csomópont az összes forgalmat átengedi magán, a második pedig készenléti üzemmódban van, és felveszi a forgalmat, ha az aktív csomópont bármilyen problémát tapasztal.
Előnyök:
- A legstabilabb mód;
- A szabadalmaztatott SecureXL mechanizmus támogatja a forgalomfeldolgozás felgyorsítását;
- Ha az aktív csomópont meghibásodik, akkor a második garantáltan képes az összes forgalmat „emészteni” (mert pontosan ugyanaz).
Hátrányok:
Valójában csak egy mínusz van - egy csomópont teljesen tétlen. Emiatt viszont kénytelenek vagyunk erősebb hardvert vásárolni, hogy egyedül tudja kezelni a forgalmat.
Természetesen a HA mód megbízhatóbb, mint a terhelésmegosztás, de az erőforrás-optimalizálás sok kívánnivalót hagy maga után.
Terhelésmegosztás (aktív/aktív)
Ebben a módban a fürt összes csomópontja feldolgozza a forgalmat. Legfeljebb 8 eszközt kombinálhat egy ilyen klaszterbe (több mint 4 ).
Előnyök:
- A terhelést eloszthatja a csomópontok között, ami kevésbé erős eszközöket igényel;
- Sima skálázás lehetősége (akár 8 csomópont hozzáadása a fürthöz).
Hátrányok:
- Furcsa módon az előnyök azonnal hátrányokká változnak. Szeretik a Load Sharing módot használni akkor is, ha a vállalatnak csak két csomópontja van. Pénzt spórolni akarnak olyan eszközöket vásárolni, amelyek mindegyike 40-50%-kal van terhelve. És úgy tűnik, minden rendben van. De ha az egyik csomópont meghibásodik, olyan helyzetet kapunk, amikor a teljes terhelés átkerül a másikra, amely egyszerűen nem tud megbirkózni. Ennek eredményeként egy ilyen rendszerben nincs hibatűrés.
- Adjunk hozzá ehhez egy csomó terhelésmegosztási korlátozást (). A legfontosabb korlátozás pedig az, hogy a SecureXL nem támogatott, ez a mechanizmus jelentősen felgyorsítja a forgalom feldolgozását;
- Ami a skálázást illeti új csomópontok hozzáadásával a fürthöz, sajnos a terhelésmegosztás itt messze nem ideális. Ha 4-nél több eszközt ad hozzá a fürthöz, a teljesítmény elindul .
Az első két hátrányt figyelembe véve, a hibatűrés megvalósítása érdekében két csomópont használatakor is kénytelenek vagyunk termelékenyebb hardvert vásárolni, hogy kritikus helyzetben „emészthesse” a forgalmat. Ebből kifolyólag nincs gazdasági hasznunk, viszont nagy összeghez jutunk . Ezenkívül érdemes megjegyezni, hogy az R80.20 verziótól kezdve a terhelésmegosztási mód nem támogatott. Ez korlátozza a felhasználókat a szükséges frissítések lehetőségében. Egyelőre nem tudni, hogy a Load Sharing támogatott lesz-e az újabb kiadásokban.
Check Point Maestro alternatívaként
A fürt szempontjából a Check Point Maestro kihasználta a magas rendelkezésre állás és a terhelésmegosztási módok fő előnyeit:
- Az orchestratorhoz csatlakoztatott átjárók használhatják a SecureXL-t, amely biztosítja a maximális forgalomfeldolgozási sebességet. Nincsenek más korlátozások a terhelésmegosztásban;
- A forgalom egy biztonsági csoport átjárói között oszlik meg (egy logikai átjáró, amely több fizikai átjáróból áll). Ennek köszönhetően kevésbé produktív eszközöket telepíthetünk, mert már nincsenek tétlen átjáróink, mint a High Availability módban. Ugyanakkor a teljesítmény szinte lineárisan növelhető, olyan komoly veszteségek nélkül, mint a Load Sharing módban (további részletek később).
Ez mind nagyszerű, de nézzünk két konkrét példát.
Példa: 1
Hagyja, hogy az X vállalat átjárók fürtjét telepítse a hálózat peremére. Már megismerkedtek a Load Sharing összes korlátozásával (amely számukra elfogadhatatlan), és kizárólag a High Availability módot fontolgatják. Méretezés után kiderül, hogy a 6800-as gateway megfelel nekik, amit nem szabad 50%-nál jobban terhelni (hogy legyen legalább némi teljesítménytartalék). Mivel ez egy klaszter lesz, vásárolnia kell egy második eszközt, amely készenléti módban egyszerűen „füstöli” a levegőt. Ez egy nagyon drága füstölő.
De van alternatíva. Vegyünk egy csomagot az orchestratorból és három 6500-as átjáróból, ebben az esetben a forgalom mindhárom eszköz között megoszlik. Ha megnézi a két modell specifikációit, látni fogja, hogy három 6500-as átjáró erősebb, mint egy 6800-as.
Így a Check Point Maestro kiválasztásakor az X vállalat a következő előnyöket élvezi:
- A cég azonnal lefekteti a méretezhető platformot. A későbbi teljesítménynövekedés csak további 6500 hardver hozzáadásával jár. Mi lehetne egyszerűbb?
- A megoldás továbbra is hibatűrő, mert Ha egy csomópont meghibásodik, a fennmaradó kettő képes megbirkózni a terheléssel.
- Ugyanilyen fontos és meglepő előny, hogy olcsóbb! Sajnos árakat nem tudok nyilvánosan közzétenni, de ha érdekel, megteheti
Példa: 2
Legyen Y cégnek már egy 6500 modellből álló HA klasztere, az aktív csomópont 85%-on van terhelve, ami csúcsterheléskor a produktív forgalom elvesztéséhez vezet. Úgy tűnik, a probléma logikus megoldása a hardver frissítése. A következő modell a 6800. Azaz. a cégnek vissza kell adnia az átjárókat a Trade-In programon keresztül, és két új (drágább) eszközt kell vásárolnia.
De van egy alternatív lehetőség. Vegyél egy hangszerelőt és egy másik, pontosan ugyanilyen csomópontot (6500). Állítson össze egy három eszközből álló klasztert, és ossza szét a terhelés 85%-át három átjárón. Ennek eredményeként hatalmas teljesítménykülönbséget kap (három eszköz átlagosan csak 30%-kal lesz terhelve). Még ha a három csomópont közül az egyik meg is hal, a maradék kettő továbbra is megbirkózik a forgalommal 45%-os átlagos terhelés mellett. Sőt, csúcsterhelések esetén a három aktív 6500-as átjáróból álló fürt erősebb lesz, mint egy 6800-as átjáró, amely a HA-fürtben található (azaz aktív/készenléti). Ráadásul ha egy-két év múlva ismét megnő az Y cég igényei, akkor már csak egy-két 6500 csomópontot kell hozzáadniuk.. Szerintem itt nyilvánvaló a gazdasági haszon.
Következtetés
Igen, a Check Point Maestro nem megoldás kis- és középvállalkozások számára. De egy középvállalkozás is gondolkodhat már ezen a platformon, és legalább megpróbálhatja kiszámítani a gazdasági hatékonyságot. Meg fog lepődni, amikor azt tapasztalja, hogy a méretezhető platformok jövedelmezőbbek lehetnek, mint egy klasszikus klaszter. Ugyanakkor nemcsak gazdasági, hanem műszaki előnyei is vannak. Ezekről azonban a következő cikkben lesz szó, ahol a technikai trükkök mellett több tipikus esetet (topológia, forgatókönyvek) is megpróbálok bemutatni.
Nyilvános oldalainkra is feliratkozhat (, , , ), ahol nyomon követheti az új anyagok megjelenését a Check Pointon és más biztonsági termékeken.
Forrás: will.com