2. Check Point Maestro の一般的な使用例

最近、Check Point は新しいスケーラブルなプラットフォームを発表しました。 マエストロ。 についてはすでに記事全体を公開しています それは何ですか、そしてそれはどのように機能しますか。 つまり、複数のデバイスを組み合わせてデバイス間の負荷を分散することで、セキュリティ ゲートウェイのパフォーマンスをほぼ直線的に向上させることができます。 驚くべきことに、このスケーラブルなプラットフォームは大規模なデータセンターまたは巨大なネットワークにのみ適しているという誤解がまだあります。 これは絶対に真実ではありません。

Check Point Maestro は、中規模企業を含む複数のカテゴリーのユーザー向けに一度に開発されました (これについては後で説明します)。 この短い一連の記事で私は次のことを考えてみたいと思います 中規模組織 (500 ユーザーから) における Check Point Maestro の技術的および経済的利点と、このオプションが従来のクラスターよりも優れている理由.

Check Point Maestro の対象ユーザー

まず、Check Point Maestro が対象として設計されたユーザー層を見てみましょう。 それらは 4 つだけです。

1. シャーシ機能が不足していた企業。 Check Point Maestro は、Check Point の最初のスケーラブルなプラットフォームではありません。 以前は 64000 や 44000 などのモデルがあったことはすでに書きました。それらは素晴らしいパフォーマンスを持っていましたが、それでも十分ではない企業がありました。 Maestro はこの欠点を解消します。なぜなら... 最大 31 台のデバイスを 23900 つの高性能クラスターに組み立てることができます。 同時に、トップエンド デバイス (26000、XNUMX) からクラスターを組み立てることができるため、膨大なスループットを実現できます。

実際、セキュリティ ゲートウェイの分野では、現時点でそのような機能を実装しているのは Check Point だけです。

2. ハードウェアを選択できるようにしたい企業。 古いスケーラブルなプラットフォームの欠点の 5600 つは、厳密に定義された「ブレード モジュール」（Check Point SGM）を使用する必要があることです。 新しい Check Point Maestro プラットフォームでは、膨大な数のさまざまなデバイスを使用できます。 ミドルセグメント（5800、5900、6500、6800、15000）とハイエンドセグメント（23000シリーズ、26000シリーズ、XNUMXシリーズ）の両方のモデルをお選びいただけます。 さらに、タスクに応じてそれらを組み合わせることができます。

これは、リソースを最適に使用するという観点から非常に便利です。 適切なモデルを選択することで、必要なパフォーマンスだけを購入できます。

3. シャーシは多すぎるが、それでも拡張性が必要な企業。 古いスケーラブルなプラットフォーム (64000、44000) のもう XNUMX つの「欠点」は、(経済的な観点から) 参入しきい値が高いことでした。 長い間、スケーラブルなプラットフォームは「十分な」IT 予算を持つ大企業のみが利用できました。 Check Point Maestro の登場により、すべてが変わりました。 最小バンドル (オーケストレーター + XNUMX つのゲートウェイ) のコストは、従来のアクティブ/スタンバイ クラスターと同等 (場合によっては低め) です。 それらの。 エントリーの敷居が大幅に下がりました。 ソリューションを選択する際、企業は、その後のニーズの増加に備えて過剰な費用を支払うことなく、すぐにスケーラブルなアーキテクチャを構築できます。 Check Point Maestro の導入から XNUMX 年後、ユーザーは増えていますか? 既存のゲートウェイを置き換えることなく、XNUMX つまたは XNUMX つのゲートウェイを追加するだけです。 トポロジを変更する必要さえありません。 新しいゲートウェイをオーケストレーターに接続し、数回クリックするだけで設定を適用するだけです。

4. 既存機器を有効活用したい企業。 下取りの手続きについてはご存知の方も多いと思います。 既存のデバイスのパフォーマンスが十分ではなくなり、現在のニーズを満たすためにハードウェアを更新する必要がある場合。 かなり高額な手続き。 さらに、顧客がさまざまなタスクのために複数の Check Point クラスタを持っているという状況もよくあります。 たとえば、境界保護用のクラスター、リモート アクセス (RA VPN) 用のクラスター、VSX 用のクラスターなどです。 さらに、あるクラスターには十分なリソースがない場合でも、別のクラスターには十分なリソースがある場合があります。 Check Maestro は、リソース間の負荷を動的に分散することで、これらのリソースの使用を最適化する優れた機会です。

それらの。 次のようなメリットが得られます。

• 既存のハードウェアを「捨てる」必要はありません。 追加のゲートウェイを XNUMX つまたは XNUMX つ購入することもできます。または...
• リソースをより最適に使用するために、他の既存のゲートウェイ間で動的負荷分散を構成します。 境界ゲートウェイの負荷が急激に増加すると、オーケストレーターはリモート アクセス ゲートウェイの「退屈」なリソースを使用できるようになり、その逆も同様です。 これは、季節的 (または一時的な) 負荷のピークを平滑化するのに役立ちます。

おそらくおわかりかと思いますが、最後の XNUMX つのセグメントは特に中規模企業に関連しており、現在ではスケーラブルなセキュリティ プラットフォームを使用する余裕もあります。 しかし、次のような当然の疑問が生じるかもしれません。Check Point Maestro が通常のクラスターよりも優れているのはなぜですか?「私たちはこの質問に答えていきたいと思います。

クラシック クラスター vs チェック ポイント マエストロ

従来の Check Point クラスタについて言えば、高可用性 (つまり、アクティブ/スタンバイ) と負荷共有 (つまり、アクティブ/アクティブ) の XNUMX つの動作モードがサポートされています。 仕事の意味やメリット・デメリットなどを簡単に解説します。

高可用性 (アクティブ/スタンバイ)

名前が示すように、この動作モードでは、XNUMX つのノードがすべてのトラフィックをそれ自体を通過させ、XNUMX 番目のノードはスタンバイ モードになり、アクティブ ノードで問題が発生し始めた場合にトラフィックを受け取ります。
長所：

• 最も安定したモード。
• トラフィック処理を高速化するために独自の SecureXL メカニズムがサポートされています。
• アクティブなノードに障害が発生した場合、XNUMX 番目のノードはすべてのトラフィックを「ダイジェスト」できることが保証されます (まったく同じであるため)。

短所：
実際、マイナス点は XNUMX つだけです。XNUMX つのノードが完全にアイドル状態です。 このため、私たちはトラフィックを単独で処理できるように、より強力なハードウェアを購入する必要があります。

もちろん、HA モードは負荷共有よりも信頼性が高くなりますが、リソースの最適化にはまだ改善の余地があります。

負荷分散 (アクティブ/アクティブ)

このモードでは、クラスター内のすべてのノードがトラフィックを処理します。 最大 8 台のデバイスをこのようなクラスターに結合できます (4 台以上)。 お勧めしません).
長所：

• ノード間で負荷を分散できるため、それほど強力ではないデバイスが必要になります。
• スムーズなスケーリングの可能性 (クラスターに最大 8 つのノードを追加)。

短所：

• 奇妙なことに、長所はすぐに短所に変わります。 会社にノードが 40 つしかない場合でも、負荷共有モードを使用することを好みます。 お金を節約したいので、彼らはそれぞれ 50 ～ XNUMX% の負荷がかかるデバイスを購入します。 そしてすべてがうまくいっているようです。 しかし、XNUMX つのノードに障害が発生すると、負荷全体が残りの XNUMX つに転送され、対処できなくなるという状況が発生します。 結果として、このような方式にはフォールトトレランス自体がありません。
  
• これに、負荷分散に関する一連の制限が追加されます (sk101539）。 そして最も重要な制限は、トラフィック処理を大幅に高速化するメカニズムである SecureXL がサポートされていないことです。
• クラスターに新しいノードを追加することによるスケーリングに関しては、残念ながら負荷共有は理想とは程遠いです。 4 つを超えるデバイスがクラスターに追加されると、パフォーマンスが開始されます。 劇的に落ちる.

最初の XNUMX つの欠点を考慮すると、XNUMX つのノードを使用するときにフォールト トレランスを実装するには、危機的な状況でトラフィックを「消化」できるように、より生産性の高いハードウェアを購入する必要もあります。 その結果、経済的な利益は得られませんが、多額の利益が得られます。 制限。 さらに、バージョン R80.20 以降では、負荷共有モードがサポートされないことに注意してください。 これにより、ユーザーが必要なアップデートを行うことが制限されます。 新しいリリースで負荷共有がサポートされるかどうかはまだ不明です。

代替としての Check Point Maestro

クラスターの観点から見ると、Check Point Maestro は高可用性モードと負荷共有モードの主な利点を活用しました。

• オーケストレーターに接続されたゲートウェイは SecureXL を使用でき、最大のトラフィック処理速度が保証されます。 負荷分散に固有の他の制限はありません。
• トラフィックは、XNUMX つのセキュリティ グループ (複数の物理ゲートウェイで構成される論理ゲートウェイ) 内のゲートウェイ間で分散されます。 このおかげで、高可用性モードのようにアイドル状態のゲートウェイがなくなるため、生産性の低いデバイスをインストールすることができます。 同時に、負荷共有モードのような深刻な損失を発生させることなく、電力をほぼ直線的に増加させることができます (詳細は後述)。

これはすべて素晴らしいことですが、具体的な例を XNUMX つ見てみましょう。

例№1

X 社がネットワーク境界にゲートウェイのクラスターをインストールするつもりだとします。 彼らはすでに、負荷共有のすべての制限 (これは彼らにとって受け入れがたいものです) を熟知しており、専ら高可用性モードを検討しています。 サイジング後、6800 ゲートウェイが適切であることがわかりました。(少なくともある程度のパフォーマンスを確保するために) 50% を超える負荷を掛けるべきではありません。 これはクラスターになるため、スタンバイ モードで単に空気を「吸う」だけの XNUMX つ目のデバイスを購入する必要があります。 とても高価な燻製器です。
しかし、代替手段があります。 オーケストレーターと 6500 つの 6500 ゲートウェイからバンドルを取得すると、トラフィックは 6800 つのデバイスすべてに分散されます。 XNUMX つのモデルの仕様を見ると、XNUMX つの XNUMX ゲートウェイが XNUMX つの XNUMX ゲートウェイよりも強力であることがわかります。

したがって、Check Point Maestro を選択すると、X 社は次のような利点を得ます。

• 同社はすぐにスケーラブルなプラットフォームを構築しました。 その後のパフォーマンスの向上は、単純に 6500 個のハードウェアを追加するだけで済みます。
• このソリューションは依然としてフォールトトレラントです。 XNUMX つのノードに障害が発生しても、残りの XNUMX つのノードが負荷に対処できます。
• 同様に重要かつ驚くべき利点は、価格が安いことです。 残念ながら価格を公表することはできませんが、ご興味がございましたら、 計算についてはお問い合わせください

例№2

Y 社がすでに 6500 モデルの HA クラスターを持っているとします。アクティブ ノードの負荷は 85% であり、ピーク負荷時には生産的なトラフィックの損失が発生します。 この問題の論理的な解決策は、ハードウェアを更新することだと思われます。 次のモデルは6800です。 同社は、下取りプログラムを通じてゲートウェイを返却し、新しい (より高価な) デバイスを XNUMX 台購入する必要があります。
しかし、別の選択肢もあります。 オーケストレーターとまったく同じノード (6500) を購入します。 85 つのデバイスからなるクラスターを組み立て、この 30% の負荷を 45 つのゲートウェイに「分散」します。 その結果、パフォーマンスに大きなマージンが得られます (6500 台のデバイスの負荷は平均 6800% のみになります)。 6500 つのノードのうち XNUMX つが停止した場合でも、残りの XNUMX つは依然として平均負荷 XNUMX% のトラフィックに対処します。 さらに、ピーク負荷の場合、XNUMX つのアクティブ XNUMX ゲートウェイのクラスターは、HA クラスター (つまり、アクティブ/スタンバイ) に配置された XNUMX つの XNUMX ゲートウェイよりも強力になります。 さらに、XNUMX ～ XNUMX 年後に Y 社のニーズが再び増加した場合、XNUMX ノードを XNUMX ～ XNUMX 台追加するだけで済み、経済的メリットは明らかだと思います。

まとめ

はい、Check Point Maestro は SMB 向けのソリューションではありません。 しかし、中堅企業であっても、すでにこのプラットフォームについて検討し、少なくとも経済効率の計算を試みることができます。 スケーラブルなプラットフォームが従来のクラスターよりも収益性が高いことに驚くでしょう。 同時に、経済的なメリットだけでなく、技術的なメリットもあります。 ただし、それらについては次の記事で説明し、技術的なトリックに加えて、いくつかの典型的なケース (トポロジ、シナリオ) を示します。

公開ページを購読することもできます (Telegram, Facebook, VK, TSソリューションブログ) では、Check Point およびその他のセキュリティ製品に関する新しい資料の出現を追跡できます。

出所： habr.com