Più recentemente, Check Point ha presentato una nuova piattaforma scalabile . Abbiamo già pubblicato un intero articolo a riguardo . In breve, consente di aumentare in modo quasi lineare le prestazioni del gateway di sicurezza combinando più dispositivi e bilanciando il carico tra di loro. Sorprendentemente, esiste ancora il mito secondo cui questa piattaforma scalabile è adatta solo per grandi data center o reti giganti. Questo non è assolutamente vero.
Check Point Maestro è stato sviluppato per diverse categorie di utenti contemporaneamente (le vedremo tra poco), comprese le aziende di medie dimensioni. In questa breve serie di articoli cercherò di riflettere vantaggi tecnici ed economici di Check Point Maestro per organizzazioni di medie dimensioni (da 500 utenti) e perché questa opzione può essere migliore di un classico cluster.
Destinatari di Check Point Maestro
Innanzitutto, diamo un'occhiata ai segmenti di utenti per cui è stato progettato Check Point Maestro. Ce ne sono solo 4:
1. Aziende prive di capacità di telaio. Check Point Maestro non è la prima piattaforma scalabile di Check Point. Abbiamo già scritto che in precedenza esistevano modelli come 64000 e 44000. Sebbene avessero prestazioni OTTIME, c'erano ancora aziende per le quali questo NON BASTAva. Maestro elimina questo inconveniente, perché... consente di assemblare fino a 31 dispositivi in un unico cluster ad alte prestazioni. Allo stesso tempo, puoi assemblare un cluster da dispositivi di fascia alta (23900, 26000), ottenendo così un throughput colossale.
Infatti, nel campo dei gateway di sicurezza, Check Point è attualmente l'unico che implementa tale funzionalità.
2. Aziende che vogliono poter scegliere il proprio hardware. Uno degli svantaggi delle vecchie piattaforme scalabili è la necessità di utilizzare “moduli blade” rigorosamente definiti (Check Point SGM). La nuova piattaforma Check Point Maestro ti consente di utilizzare un numero enorme di dispositivi diversi. Puoi scegliere entrambi i modelli dal segmento medio (5600, 5800, 5900, 6500, 6800) e dal segmento High End (serie 15000, serie 23000, serie 26000). Inoltre, puoi combinarli, a seconda delle attività.
Questo è molto conveniente dal punto di vista dell'uso ottimale delle risorse. Puoi acquistare solo le prestazioni di cui hai bisogno scegliendo il modello giusto.
3. Aziende per le quali il telaio è eccessivo, ma è ancora necessaria la scalabilità. Un altro “svantaggio” delle vecchie piattaforme scalabili (64000, 44000) era l’elevata soglia di ingresso (dal punto di vista economico). Per molto tempo, le piattaforme scalabili sono state disponibili solo per le grandi aziende con budget IT “buoni”. Con l'avvento di Check Point Maestro tutto è cambiato. Il costo del bundle minimo (orchestratore + due gateway) è paragonabile (e talvolta inferiore) a quello di un classico cluster attivo/standby. Quelli. la soglia di ingresso è scesa notevolmente. Quando si sceglie una soluzione, un'azienda può immediatamente predisporre un'architettura scalabile, senza pagare in eccesso per un possibile successivo aumento delle esigenze. Ci sono più utenti ad un anno dall'introduzione di Check Point Maestro? Basta aggiungere uno o due gateway, senza alcuna sostituzione di quelli esistenti. Non è nemmeno necessario modificare la topologia. Connetti semplicemente i nuovi gateway all'orchestrator e applica loro le impostazioni in un paio di clic.
4. Aziende che vogliono sfruttare in modo ottimale i dispositivi esistenti. Penso che molte persone abbiano familiarità con la procedura di permuta. Quando le prestazioni dei dispositivi esistenti non sono più sufficienti e l'hardware deve essere aggiornato per soddisfare le esigenze attuali. Una procedura piuttosto costosa. Inoltre, molto spesso si verifica una situazione in cui un cliente dispone di diversi cluster Check Point per attività diverse. Ad esempio, un cluster per la protezione perimetrale, un cluster per l'accesso remoto (RA VPN), un cluster per VSX e così via. Inoltre, un cluster potrebbe non avere risorse sufficienti, mentre un altro ne ha in abbondanza. Check Maestro è un'ottima opportunità per ottimizzare l'uso di queste risorse distribuendo dinamicamente il carico tra di loro.
Quelli. ottieni i seguenti vantaggi:
- Non è necessario “buttare via” l’hardware esistente. Puoi acquistare uno o due gateway aggiuntivi oppure...
- Configura il bilanciamento dinamico del carico tra altri gateway esistenti per un utilizzo più ottimale delle risorse. Se il carico sul gateway perimetrale aumenta notevolmente, l'orchestratore sarà in grado di utilizzare le risorse "annoiate" dei gateway di accesso remoto e viceversa. Ciò aiuta a livellare i picchi di carico stagionali (o temporanei).
Come probabilmente avrete capito, gli ultimi due segmenti riguardano specificamente le aziende di medie dimensioni, che ora possono permettersi anche di utilizzare piattaforme di sicurezza scalabili. Tuttavia, potrebbe sorgere una domanda ragionevole: “Perché Check Point Maestro è migliore di un normale cluster?“Cercheremo di rispondere a questa domanda.
Cluster classico vs Check Point Maestro
Se parliamo del classico cluster Check Point, allora sono supportate due modalità operative: High Availability (ovvero Active/Standby) e Load Sharing (ovvero Active/Active). Descriveremo brevemente il loro significato di lavoro, nonché i loro pro e contro.
Alta disponibilità (attivo/standby)
Come suggerisce il nome, in questa modalità operativa, un nodo fa passare tutto il traffico attraverso se stesso, mentre il secondo è in modalità standby e raccoglie il traffico se il nodo attivo inizia a riscontrare problemi.
pro:
- La modalità più stabile;
- È supportato il meccanismo proprietario SecureXL per accelerare l'elaborazione del traffico;
- Se il nodo attivo fallisce, è garantito che il secondo sarà in grado di “digerire” tutto il traffico (perché è esattamente lo stesso).
contro:
In effetti, c'è solo un aspetto negativo: un nodo è completamente inattivo. A nostra volta, per questo motivo, siamo costretti ad acquistare hardware più potente in modo che possa gestire da solo il traffico.
Naturalmente, la modalità HA è più affidabile della condivisione del carico, ma l'ottimizzazione delle risorse lascia molto a desiderare.
Condivisione del carico (attiva/attiva)
In questa modalità, tutti i nodi del cluster elaborano il traffico. Puoi combinare fino a 8 dispositivi in un cluster di questo tipo (più di 4 ).
pro:
- È possibile distribuire il carico tra i nodi, il che richiede dispositivi meno potenti;
- Possibilità di scalabilità uniforme (aggiungendo fino a 8 nodi al cluster).
contro:
- Stranamente, i pro si trasformano immediatamente in contro. A loro piace utilizzare la modalità di condivisione del carico anche quando l'azienda ha solo due nodi. Volendo risparmiare, acquistano dispositivi, ciascuno dei quali viene caricato al 40-50%. E tutto sembra andare bene. Ma se un nodo fallisce, otteniamo una situazione in cui l'intero carico viene trasferito al restante, che semplicemente non può farcela. Di conseguenza, in un tale schema non esiste alcuna tolleranza agli errori in quanto tale.
- A questo si aggiungono una serie di restrizioni sulla condivisione del carico (). E la limitazione più importante è che SecureXL non è supportato, un meccanismo che accelera notevolmente l'elaborazione del traffico;
- Per quanto riguarda il ridimensionamento aggiungendo nuovi nodi al cluster, sfortunatamente la condivisione del carico in questo caso è tutt'altro che ideale. Se vengono aggiunti più di 4 dispositivi al cluster, le prestazioni iniziano .
Considerando i primi due svantaggi, per implementare la tolleranza agli errori quando si utilizzano due nodi, siamo anche costretti ad acquistare hardware più produttivo in modo che possa “digerire” il traffico in una situazione critica. Di conseguenza, non abbiamo alcun vantaggio economico, ma otteniamo una grande somma . Inoltre è da notare che a partire dalla versione R80.20 la modalità Load Sharing non è supportata. Ciò limita gli utenti dagli aggiornamenti richiesti. Non è ancora noto se la condivisione del carico sarà supportata nelle versioni più recenti.
In alternativa Check Point Maestro
In ottica cluster Check Point Maestro ha sfruttato i principali vantaggi delle modalità High Availability e Load Sharing:
- I gateway collegati all'orchestratore possono utilizzare SecureXL, che garantisce la massima velocità di elaborazione del traffico. Non ci sono altre restrizioni inerenti alla condivisione del carico;
- Il traffico viene distribuito tra i gateway in un gruppo di sicurezza (un gateway logico costituito da diversi gateway fisici). Grazie a questo possiamo installare dispositivi meno produttivi, perché non abbiamo più gateway inattivi, come nella modalità Alta Disponibilità. Allo stesso tempo, la potenza può essere aumentata in modo quasi lineare, senza perdite così gravi come nella modalità Load Sharing (maggiori dettagli più avanti).
Tutto questo è fantastico, ma diamo un'occhiata a due esempi specifici.
Esempio #1
Supponiamo che l'azienda X intenda installare un cluster di gateway sul perimetro della rete. Hanno già acquisito familiarità con tutte le restrizioni del Load Sharing (che per loro sono inaccettabili) e stanno considerando esclusivamente la modalità High Availability. Dopo il dimensionamento risulta che per loro è adatto il gateway 6800, che non dovrebbe essere caricato più del 50% (per avere almeno una certa riserva di prestazioni). Poiché si tratterà di un cluster, è necessario acquistare un secondo dispositivo, che semplicemente “fumerà” aria in modalità standby. È un affumicatoio molto costoso.
Ma c'è un'alternativa. Prendi un bundle dall'orchestrator e tre gateway 6500. In questo caso, il traffico verrà distribuito tra tutti e tre i dispositivi. Se guardi le specifiche dei due modelli, vedrai che tre gateway 6500 sono più potenti di un 6800.
Pertanto, scegliendo Check Point Maestro, l'azienda X riceve i seguenti vantaggi:
- L'azienda stabilisce immediatamente una piattaforma scalabile. Un successivo aumento delle prestazioni si ridurrà semplicemente all'aggiunta di un altro componente hardware 6500. Cosa potrebbe essere più semplice?
- La soluzione è ancora tollerante agli errori, perché Se un nodo fallisce, i restanti due saranno in grado di far fronte al carico.
- Un vantaggio altrettanto importante e sorprendente è che è più economico! Sfortunatamente non posso pubblicare i prezzi pubblicamente, ma se sei interessato puoi farlo
Esempio #2
Supponiamo che l'azienda Y disponga già di un cluster HA di 6500 modelli. Il nodo attivo viene caricato all'85%, il che durante i picchi di carico porta a perdite di traffico produttivo. La soluzione logica al problema sembra essere l'aggiornamento dell'hardware. Il modello successivo è il 6800. Cioè. l'azienda dovrà restituire i gateway tramite il programma Trade-In e acquistare due nuovi dispositivi (più costosi).
Ma c'è un'opzione alternativa. Acquista un orchestratore e un altro esattamente lo stesso nodo (6500). Assembla un cluster di tre dispositivi e "distribuisci" questo 85% del carico su tre gateway. Di conseguenza, otterrai un enorme margine di prestazioni (tre dispositivi verranno caricati in media solo al 30%). Anche se uno dei tre nodi muore, i restanti due continueranno a far fronte al traffico con un carico medio del 45%. Inoltre, per i carichi di punta, un cluster di tre gateway 6500 attivi sarà più potente di un gateway 6800, che si trova nel cluster HA (ovvero attivo/standby). Inoltre, se tra un anno o due le esigenze dell'azienda Y aumenteranno nuovamente, tutto ciò che dovrà fare sarà aggiungere uno o due nodi in più da 6500. Penso che il vantaggio economico qui sia evidente.
conclusione
Sì, Check Point Maestro non è una soluzione per le PMI. Ma anche un’azienda di medie dimensioni può già pensare a questa piattaforma e provare almeno a calcolarne l’efficienza economica. Sarai sorpreso di scoprire che le piattaforme scalabili possono essere più redditizie di un cluster classico. Allo stesso tempo, ci sono vantaggi non solo economici, ma anche tecnici. Ne parleremo però nel prossimo articolo, dove, oltre agli accorgimenti tecnici, cercherò di mostrare alcuni casi tipici (topologia, scenari).
Puoi anche iscriverti alle nostre pagine pubbliche (, , , ), in cui è possibile seguire l'emergere di nuovi materiali su Check Point e altri prodotti di sicurezza.
Fonte: habr.com