Baru-baru ini, Check Point menghadirkan platform baru yang dapat diskalakan . Kami telah menerbitkan seluruh artikel tentang . Singkatnya, ini memungkinkan Anda meningkatkan kinerja gateway keamanan hampir secara linier dengan menggabungkan beberapa perangkat dan menyeimbangkan beban di antara perangkat tersebut. Anehnya, masih ada mitos bahwa platform scalable ini hanya cocok untuk pusat data besar atau jaringan raksasa. Ini sama sekali tidak benar.
Check Point Maestro dikembangkan untuk beberapa kategori pengguna sekaligus (kita akan melihatnya nanti), termasuk bisnis menengah. Dalam rangkaian artikel singkat ini saya akan mencoba merefleksikannya keuntungan teknis dan ekonomi dari Check Point Maestro untuk organisasi skala menengah (dari 500 pengguna) dan mengapa opsi ini mungkin lebih baik daripada cluster klasik.
Periksa audiens target Point Maestro
Pertama, mari kita lihat segmen pengguna yang dirancang untuk Check Point Maestro. Hanya ada 4 di antaranya:
1. Perusahaan yang kekurangan kemampuan sasis. Check Point Maestro bukanlah platform scalable pertama dari Check Point. Kami telah menulis bahwa sebelumnya ada model seperti 64000 dan 44000. Meskipun kinerjanya HEBAT, masih ada perusahaan yang TIDAK CUKUP. Maestro menghilangkan kelemahan ini, karena... memungkinkan Anda merakit hingga 31 perangkat menjadi satu cluster berperforma tinggi. Pada saat yang sama, Anda dapat merakit cluster dari perangkat kelas atas (23900, 26000), sehingga mencapai throughput yang sangat besar.
Faktanya, di bidang security gateway, Check Point saat ini menjadi satu-satunya yang mengimplementasikan kemampuan tersebut.
2. Perusahaan yang ingin dapat memilih perangkat kerasnya. Salah satu kelemahan platform scalable lama adalah kebutuhan untuk menggunakan “modul blade” yang didefinisikan secara ketat (Check Point SGM). Platform Check Point Maestro yang baru memungkinkan Anda menggunakan sejumlah besar perangkat berbeda. Anda dapat memilih kedua model dari segmen menengah (5600, 5800, 5900, 6500, 6800) dan dari segmen High End (seri 15000, seri 23000, seri 26000). Selain itu, Anda dapat menggabungkannya, tergantung tugasnya.
Hal ini sangat nyaman dalam hal penggunaan sumber daya yang optimal. Anda hanya dapat membeli performa yang Anda perlukan dengan memilih model yang tepat.
3. Perusahaan yang sasisnya terlalu banyak, namun skalabilitas tetap dibutuhkan. “Kerugian” lain dari platform lama yang dapat diskalakan (64000, 44000) adalah ambang masuk yang tinggi (dari sudut pandang ekonomi). Untuk waktu yang lama, platform yang dapat diskalakan hanya tersedia untuk bisnis besar dengan anggaran TI yang “baik”. Dengan munculnya Check Point Maestro, segalanya telah berubah. Biaya paket minimum (orchestrator + dua gateway) sebanding (dan terkadang lebih rendah) dengan cluster aktif/siaga klasik. Itu. ambang masuk telah turun secara signifikan. Saat memilih solusi, perusahaan dapat segera menetapkan arsitektur yang terukur, tanpa membayar lebih untuk kemungkinan peningkatan kebutuhan selanjutnya. Apakah ada lebih banyak pengguna setahun setelah diperkenalkannya Check Point Maestro? Anda cukup menambahkan satu atau dua gateway, tanpa ada penggantian yang sudah ada. Anda bahkan tidak perlu mengubah topologi. Cukup sambungkan gateway baru ke orkestrator dan terapkan pengaturannya hanya dalam beberapa klik.
4. Perusahaan yang ingin memanfaatkan perangkat yang ada secara optimal. Saya rasa banyak orang yang familiar dengan prosedur Trade-In. Ketika kinerja perangkat yang ada sudah tidak memadai lagi dan perangkat keras perlu diperbarui untuk memenuhi kebutuhan saat ini. Prosedur yang cukup mahal. Selain itu, sering kali ada situasi ketika pelanggan memiliki beberapa cluster Check Point untuk tugas yang berbeda. Misalnya cluster untuk proteksi perimeter, cluster untuk akses jarak jauh (RA VPN), cluster untuk VSX, dll. Selain itu, satu klaster mungkin tidak memiliki sumber daya yang cukup, sementara klaster lain memiliki sumber daya yang melimpah. Check Maestro adalah peluang bagus untuk mengoptimalkan penggunaan sumber daya ini dengan mendistribusikan beban secara dinamis di antara sumber daya tersebut.
Itu. Anda mendapatkan manfaat berikut:
- Tidak perlu “membuang” perangkat keras yang ada. Anda dapat membeli satu atau dua gateway tambahan, atau...
- Konfigurasikan penyeimbangan beban dinamis antara gateway lain yang ada untuk penggunaan sumber daya yang lebih optimal. Jika beban pada gateway perimeter meningkat tajam, maka orkestrator akan dapat menggunakan sumber daya yang “bosan” dari gateway akses jarak jauh dan sebaliknya. Hal ini membantu memperlancar puncak beban musiman (atau sementara).
Seperti yang mungkin Anda pahami, dua segmen terakhir berhubungan secara khusus dengan bisnis skala menengah, yang kini juga mampu menggunakan platform keamanan yang skalabel. Namun, pertanyaan yang masuk akal mungkin muncul: “Mengapa Check Point Maestro lebih baik daripada cluster biasa?“Kami akan mencoba menjawab pertanyaan ini.
Cluster klasik vs Check Point Maestro
Jika kita berbicara tentang cluster Check Point klasik, maka dua mode operasi didukung: Ketersediaan Tinggi (yaitu Aktif/Siaga) dan Berbagi Beban (yaitu Aktif/Aktif). Kami akan menjelaskan secara singkat arti pekerjaan, serta pro dan kontranya.
Ketersediaan Tinggi (Aktif/Siaga)
Seperti namanya, dalam mode operasi ini, satu node melewati semua lalu lintas melalui dirinya sendiri, dan node kedua dalam mode siaga dan mengambil lalu lintas jika node aktif mulai mengalami masalah.
Pro:
- Mode paling stabil;
- Mekanisme SecureXL yang dipatenkan didukung untuk mempercepat pemrosesan lalu lintas;
- Jika node aktif gagal, node kedua dijamin mampu “mencerna” semua trafik (karena sama persis).
Cons:
Faktanya, hanya ada satu kelemahan - satu node benar-benar menganggur. Oleh karena itu, kami terpaksa membeli perangkat keras yang lebih kuat agar dapat menangani lalu lintas saja.
Tentu saja, mode HA lebih dapat diandalkan daripada Berbagi Beban, namun optimalisasi sumber daya masih menyisakan banyak hal yang diinginkan.
Pembagian Beban (Aktif/Aktif)
Dalam mode ini, semua node dalam cluster memproses lalu lintas. Anda dapat menggabungkan hingga 8 perangkat ke dalam cluster tersebut (lebih dari 4 ).
Pro:
- Anda dapat mendistribusikan beban antar node, yang membutuhkan perangkat yang kurang bertenaga;
- Kemungkinan penskalaan yang mulus (menambahkan hingga 8 node ke cluster).
Cons:
- Anehnya, pro segera berubah menjadi kontra. Mereka suka menggunakan mode Load Sharing meskipun perusahaan hanya memiliki dua node. Ingin menghemat uang, mereka membeli perangkat, yang masing-masing memuat 40-50%. Dan semuanya tampak baik-baik saja. Tetapi jika satu node gagal, kita mendapatkan situasi di mana seluruh beban dipindahkan ke node lainnya, yang tidak dapat diatasi. Akibatnya, tidak ada toleransi kesalahan dalam skema seperti itu.
- Tambahkan ke ini banyak batasan Pembagian Beban (). Dan batasan yang paling penting adalah tidak didukungnya SecureXL, sebuah mekanisme yang secara signifikan mempercepat pemrosesan lalu lintas;
- Sedangkan untuk penskalaan dengan menambahkan node baru ke cluster, sayangnya Load Sharing jauh dari ideal di sini. Jika lebih dari 4 perangkat ditambahkan ke cluster, maka kinerja akan dimulai .
Mengingat dua kelemahan pertama, untuk menerapkan toleransi kesalahan saat menggunakan dua node, kami juga terpaksa membeli perangkat keras yang lebih produktif sehingga dapat “mencerna” lalu lintas dalam situasi kritis. Alhasil, kami tidak mendapat keuntungan ekonomi apa pun, tapi kami mendapat keuntungan yang besar . Selain itu, perlu dicatat bahwa mulai dari versi R80.20, mode Berbagi Beban tidak didukung. Ini membatasi pengguna dari pembaruan yang diperlukan. Belum diketahui apakah Load Sharing akan didukung pada rilis yang lebih baru.
Periksa Point Maestro sebagai alternatif
Dari sudut pandang klaster, Check Point Maestro memanfaatkan keunggulan utama mode Ketersediaan Tinggi dan Berbagi Beban:
- Gateway yang terhubung ke orkestrator dapat menggunakan SecureXL, yang menjamin kecepatan pemrosesan lalu lintas maksimum. Tidak ada batasan lain yang melekat pada Load Sharing;
- Lalu lintas didistribusikan antar gateway dalam satu Grup Keamanan (gateway logis yang terdiri dari beberapa gateway fisik). Berkat ini, kami dapat memasang perangkat yang kurang produktif, karena kami tidak lagi memiliki gateway yang menganggur, seperti dalam mode Ketersediaan Tinggi. Pada saat yang sama, daya dapat ditingkatkan hampir secara linier, tanpa kerugian serius seperti dalam mode Pembagian Beban (lebih jelasnya nanti).
Ini semua bagus, tapi mari kita lihat dua contoh spesifik.
Contoh 1
Biarkan perusahaan X bermaksud memasang sekelompok gateway pada perimeter jaringan. Mereka telah memahami semua batasan Pembagian Beban (yang tidak dapat mereka terima) dan mempertimbangkan mode Ketersediaan Tinggi secara eksklusif. Setelah diukur, ternyata gateway 6800 cocok untuk mereka, yang tidak boleh memuat lebih dari 50% (untuk memiliki setidaknya beberapa cadangan kinerja). Karena ini akan menjadi cluster, Anda perlu membeli perangkat kedua, yang hanya akan “menghisap” udara dalam mode standby. Ini rumah asap yang sangat mahal.
Tapi ada alternatif lain. Ambil satu bundel dari orkestrator dan tiga gateway 6500. Dalam hal ini, lalu lintas akan didistribusikan di antara ketiga perangkat. Jika Anda melihat spesifikasi kedua model tersebut, Anda akan melihat bahwa tiga gateway 6500 lebih bertenaga daripada satu gateway 6800.
Jadi, ketika memilih Check Point Maestro, perusahaan X mendapatkan keuntungan sebagai berikut:
- Perusahaan segera menetapkan platform yang dapat diskalakan. Peningkatan kinerja selanjutnya akan terjadi dengan menambahkan 6500 perangkat keras lagi. Apa yang lebih sederhana?
- Solusinya masih toleran terhadap kesalahan, karena Jika satu node gagal, dua node lainnya akan mampu mengatasi beban tersebut.
- Keuntungan yang sama pentingnya dan mengejutkan adalah biayanya lebih murah! Sayangnya, saya tidak bisa memposting harga secara publik, tapi jika Anda tertarik, Anda bisa
Contoh 2
Misalkan perusahaan Y sudah memiliki cluster HA yang terdiri dari 6500 model. Node aktif dimuat pada 85%, yang selama beban puncak menyebabkan hilangnya lalu lintas produktif. Solusi logis untuk masalah ini tampaknya adalah memperbarui perangkat keras. Model berikutnya adalah 6800. Yaitu. perusahaan perlu mengembalikan gateway melalui program Trade-In dan membeli dua perangkat baru (lebih mahal).
Tapi ada pilihan alternatif. Beli orkestrator dan node lain yang persis sama (6500). Kumpulkan cluster yang terdiri dari tiga perangkat dan “sebarkan” 85% beban ini ke tiga gateway. Hasilnya, Anda akan mendapatkan margin kinerja yang besar (rata-rata tiga perangkat akan dimuat hanya 30%). Sekalipun salah satu dari tiga node mati, dua node lainnya masih dapat menangani lalu lintas dengan beban rata-rata 45%. Selain itu, untuk beban puncak, cluster yang terdiri dari tiga gateway 6500 aktif akan lebih kuat daripada satu gateway 6800, yang terletak di cluster HA (yaitu aktif/siaga). Selain itu, jika dalam satu atau dua tahun kebutuhan perusahaan Y meningkat lagi, yang perlu mereka lakukan hanyalah menambah satu atau dua node lagi yang berjumlah 6500. Saya pikir manfaat ekonomi di sini sudah jelas.
Kesimpulan
Ya, Check Point Maestro bukanlah solusi untuk UKM. Tetapi bahkan bisnis menengah pun sudah dapat memikirkan platform ini dan setidaknya mencoba menghitung efisiensi ekonominya. Anda akan terkejut saat mengetahui bahwa platform yang dapat diskalakan bisa lebih menguntungkan dibandingkan cluster klasik. Pada saat yang sama, ada keuntungan tidak hanya secara ekonomi, tetapi juga teknis. Namun, kita akan membicarakannya di artikel berikutnya, di mana selain trik teknis, saya akan mencoba menunjukkan beberapa kasus umum (topologi, skenario).
Anda juga dapat berlangganan halaman publik kami (, , , ), dimana Anda dapat mengikuti kemunculan material baru di Check Point dan produk keamanan lainnya.
Sumber: www.habr.com