Zënter kuerzem huet Check Point eng nei skalierbar Plattform presentéiert . Mir hu schonn e ganzen Artikel iwwer publizéiert . Kuerz gesot, et erlaabt Iech d'Performance vun der Sécherheetspaart bal linear ze erhéijen andeems Dir verschidde Geräter kombinéiert an d'Laascht tëscht hinnen ausbalancéiert. Iwwerraschend gëtt et nach ëmmer e Mythos datt dës skalierbar Plattform nëmme fir grouss Datenzenteren oder rieseg Netzwierker gëeegent ass. Dëst ass absolut net wouer.
Check Point Maestro gouf fir verschidde Kategorien vu Benotzer gläichzäiteg entwéckelt (mir kucken se e bësse méi spéit), och mëttelgrouss Betriber. An dëser kuerzer Serie vun Artikelen probéieren ech ze reflektéieren technesch a wirtschaftlech Virdeeler vum Check Point Maestro fir mëttelgrouss Organisatiounen (vu 500 Benotzer) a firwat dës Optioun besser ass wéi e klassesche Cluster.
Check Point Maestro Zilpublikum
Als éischt kucke mer d'Benotzer Segmenter fir déi Check Point Maestro entworf gouf. Et sinn nëmmen 4 vun hinnen:
1. Firmen déi Chassis Kënnen gefeelt. Check Point Maestro ass net dem Check Point seng éischt skalierbar Plattform. Mir hu scho geschriwwen, datt et virdrun esou Modeller wéi 64000 an 44000. Obwuel si GREAT Leeschtung haten, goufen et nach Firmen fir déi dëst NET GENEG war. Maestro eliminéiert dësen Nodeel, well ... erlaabt Iech bis zu 31 Apparater an engem High-Performance Cluster ze sammelen. Zur selwechter Zäit kënnt Dir e Stärekoup aus Top-Geräter (23900, 26000) zesummestellen, an doduerch kolossalen Duerchgang erreechen.
Tatsächlech, am Beräich vu Sécherheetspaarten, ass Check Point de Moment deen eenzegen deen esou eng Fäegkeet implementéiert.
2. Firmen déi wëllen hir Hardware wielen kënnen. Ee vun den Nodeeler vun eelere skalierbare Plattformen ass d'Notzung fir strikt definéiert "Blademoduler" (Check Point SGM) ze benotzen. Déi nei Check Point Maestro Plattform erlaabt Iech eng grouss Zuel vu verschiddenen Apparater ze benotzen. Dir kënnt béid Modeller aus dem Mëttelsegment (5600, 5800, 5900, 6500, 6800) an aus dem High End Segment (15000 Serie, 23000 Serie, 26000 Serie) wielen. Ausserdeem kënnt Dir se kombinéieren, ofhängeg vun den Aufgaben.
Dëst ass ganz bequem aus der Siicht vun der optimaler Notzung vun de Ressourcen. Dir kënnt nëmmen d'Performance kafen, déi Dir braucht, andeems Dir de richtege Modell auswielt.
3. Firmen fir déi de Chassis zevill ass, awer Skalierbarkeet ass nach ëmmer gebraucht. En aneren "Nodeel" vun den alen skalierbare Plattformen (64000, 44000) war déi héich Entréesschwell (aus wirtschaftlecher Siicht). Fir eng laang Zäit waren skalierbar Plattformen nëmme verfügbar fir grouss Geschäfter mat "gudden" IT Budgeten. Mam Advent vum Check Point Maestro huet sech alles geännert. D'Käschte vum Mindestbündel (Orchestrator + zwee Paarte) si vergläichbar (an heiansdo méi niddereg) mat engem klassesche aktive / Standby-Cluster. Déi. den Entréesschwell ass däitlech erofgaang. Wann Dir eng Léisung wielt, kann eng Firma direkt eng skalierbar Architektur leeën, ouni ze iwwerbezuelen fir eng méiglech spéider Erhéijung vun de Bedierfnesser. Ginn et méi Benotzer e Joer no der Aféierung vum Check Point Maestro? Dir füügt just een oder zwee Gateways un, ouni Ersatz vun existente. Dir musst net mol d'Topologie änneren. Einfach nei Paarte mam Orchestrator verbannen an Astellunge fir se an nëmmen e puer Klicks applizéieren.
4. Firmen déi bestinn Apparater optimal notzen wëllen. Ech mengen, vill Leit kennen d'Trade-In Prozedur. Wann d'Performance vun existente Geräter net méi genuch ass an d'Hardware muss aktualiséiert ginn fir aktuell Bedierfnesser z'erreechen. Ganz deier Prozedur. Plus, zimlech dacks gëtt et eng Situatioun wann e Client e puer Check Point Cluster fir verschidden Aufgaben huet. Zum Beispill, e Cluster fir Perimeterschutz, e Cluster fir Fernzougang (RA VPN), e Cluster fir VSX, etc. Ausserdeem kann ee Stärekoup net genuch Ressourcen hunn, während en aneren en Iwwerfloss dovun huet. Check Maestro ass eng exzellent Geleeënheet fir d'Benotzung vun dëse Ressourcen ze optimiséieren andeems d'Laascht tëscht hinnen dynamesch verdeelt gëtt.
Déi. Dir kritt déi folgend Virdeeler:
- Et gëtt kee Besoin fir existent Hardware ze "geheien". Dir kënnt een oder zwee zousätzlech Paarte kafen, oder ...
- Konfiguréiert dynamesch Laaschtbalancéierung tëscht anere existente Paarte fir méi optimal Notzung vu Ressourcen. Wann d'Laascht op der Perimeter Gateway staark eropgeet, da wäert den Orchester fäeg sinn déi "langweileg" Ressourcen vun den Fernzougang Gateways ze benotzen a vice versa. Dëst hëlleft saisonal (oder temporär) Belaaschtungspeaks ze glat.
Wéi Dir wahrscheinlech versteet, bezéien déi lescht zwee Segmenter speziell op mëttelgrouss Geschäfter, déi elo och d'Benotzung vu skalierbare Sécherheetsplattforme leeschte kënnen. Wéi och ëmmer, eng raisonnabel Fro kann opstoen: "Firwat ass Check Point Maestro besser wéi e normale Cluster?"Mir probéieren dës Fro ze beäntweren.
Klassesch Stärekoup vs Check Point Maestro
Wa mir iwwer de klassesche Check Point Stärekoup schwätzen, da ginn zwee Operatiounsmodi ënnerstëtzt: Héich Disponibilitéit (dh Aktiv / Standby) a Load Sharing (dh Aktiv / Aktiv). Mir wäerte kuerz hir Bedeitung vun der Aarbecht beschreiwen, wéi och hir Virdeeler an Nodeeler.
Héich Disponibilitéit (Aktiv / Standby)
Wéi den Numm et scho seet, passéiert an dësem Operatiounsmodus een Node all Traffic duerch sech selwer, an deen zweeten ass am Standby-Modus a hëlt de Verkéier op wann den aktive Node ufänkt Problemer ze erliewen.
Pros:
- De stäerkste stabil Modus;
- De propriétaire SecureXL Mechanismus gëtt ënnerstëtzt fir d'Veraarbechtung vum Traffic ze beschleunegen;
- Wann den aktive Node feelt, ass deen zweete garantéiert datt de ganze Traffic "verdauen" kann (well et genau d'selwecht ass).
Muecht:
Tatsächlech gëtt et nëmmen ee Minus - een Node ass komplett Idle. Dofir si mir gezwongen méi mächteg Hardware ze kafen, sou datt et de Traffic eleng kann handhaben.
Natierlech ass HA Modus méi zouverlässeg wéi Load Sharing, awer Ressourceoptimiséierung léisst vill ze wënschen.
Lueden Deele (Aktiv / Aktiv)
An dësem Modus, all Wirbelen am Cluster Prozess Verkéier. Dir kënnt bis zu 8 Apparater an esou engem Cluster kombinéieren (méi wéi 4 ).
Pros:
- Dir kënnt d'Laascht tëscht Noden verdeelen, wat manner mächteg Apparater erfuerdert;
- Méiglechkeet vu glatem Skaléieren (bis zu 8 Wirbelen an de Stärekoup bäidroen).
Muecht:
- Komesch genuch, ginn d'Virdeeler direkt an Nodeeler. Si benotze gär de Load Sharing Modus och wann d'Firma nëmmen zwee Wirbelen huet. Wëlle Sue spueren, kafen se Apparater, déi jidderee mat 40-50% gelueden ass. An alles schéngt gutt ze sinn. Awer wann een Node feelt, kréie mir eng Situatioun, wou d'ganz Laascht op de verbleiwen transferéiert gëtt, deen einfach net eens kann. Als Resultat gëtt et keng Feeler Toleranz als solch an esou engem Schema.
- Füügt dozou eng Rëtsch Last Sharing Restriktiounen (). An déi wichtegst Begrenzung ass datt SecureXL net ënnerstëtzt gëtt, e Mechanismus deen d'Veraarbechtung vum Traffic wesentlech beschleunegt;
- Wat d'Skaléierung ugeet andeems nei Wirbelen an de Stärekoup bäigefüügt sinn, ass d'Load Sharing leider hei wäit vun ideal. Wann méi wéi 4 Apparater an de Cluster bäigefüügt ginn, da fänkt d'Leeschtung un .
Wann Dir déi éischt zwee Nodeeler berücksichtegt, fir Feeler Toleranz ze realiséieren wann Dir zwee Wirbelen benotzt, si mir och gezwongen méi produktiv Hardware ze kafen fir datt et de Traffic an enger kritescher Situatioun "verdauen" kann. Als Resultat hu mir keng wirtschaftlech Virdeel, mä mir kréien eng grouss Zomm . Ausserdeem ass et derwäert ze bemierken datt ab Versioun R80.20, Load Sharing Modus net ënnerstëtzt gëtt. Dëst limitéiert d'Benotzer vun erfuerderlechen Updates. Et ass nach net bekannt ob Load Sharing an méi nei Verëffentlechungen ënnerstëtzt gëtt.
Check Point Maestro als Alternativ
Aus enger Cluster Siicht huet Check Point Maestro d'Haaptvirdeeler vun High Disponibilitéit a Load Sharing Modi geholl:
- Gateways, déi mam Orchester verbonne sinn, kënne SecureXL benotzen, wat maximal Trafficveraarbechtungsgeschwindegkeet garantéiert. Et gi keng aner Restriktiounen inherent am Load Sharing;
- Den Traffic gëtt tëscht Paarte an enger Sécherheetsgrupp verdeelt (eng logesch Paart besteet aus e puer kierperlechen). Dank dësem kënne mir manner produktiv Geräter installéieren, well mir keng Idle Gateways méi hunn, wéi am High Availability Modus. Zur selwechter Zäit kann d'Kraaft bal linear erhéicht ginn, ouni sou sérieux Verloschter wéi am Load Sharing Modus (méi Detailer méi spéit).
Dëst ass alles super, awer loosst eis zwee spezifesch Beispiller kucken.
Beispill # 1
Loosst d'Firma X wëlles e Cluster vu Paarte um Netzperimeter z'installéieren. Si hu scho mat all Restriktiounen vum Load Sharing vertraut (déi fir si inakzeptabel sinn) a berücksichtegen exklusiv den High Availability Modus. No der Gréisst, stellt sech eraus datt de 6800 Gateway fir si gëeegent ass, déi net méi wéi 50% gelueden soll ginn (fir op d'mannst e puer Leeschtungsreserven ze hunn). Well dëst e Stärekoup ass, musst Dir en zweeten Apparat kafen, deen einfach Loft am Standby-Modus "fëmmt". Et ass e ganz deier Smokehouse.
Mä et gëtt eng Alternativ. Huelt e Bündel vum Orchester an dräi 6500 Gateways.An dësem Fall gëtt de Verkéier tëscht allen dräi Apparater verdeelt. Wann Dir d'Spezifikatioune vun den zwee Modeller kuckt, gesitt Dir datt dräi 6500 Paarte méi mächteg sinn wéi een 6800.
Also, wann Dir Check Point Maestro wielt, kritt d'Firma X déi folgend Virdeeler:
- D'Firma leet direkt eng skalierbar Plattform. Eng uschléissend Erhéijung vun der Produktivitéit wäert erofgoen op einfach nach 6500 Stéck Hardware.Wat kéint méi einfach sinn?
- D'Léisung ass nach ëmmer Feeler-tolerant, well Wann een Node feelt, kënnen déi aner zwee mat der Laascht eens ginn.
- E gläich wichtegen an iwwerraschende Virdeel ass datt et méi bëlleg ass! Leider kann ech net Präisser ëffentlech Post, mee wann Dir interesséiert, Dir kënnt
Beispill # 2
Loosst d'Firma Y schonn en HA-Cluster vun 6500 Modeller hunn.Den aktiven Node gëtt op 85% gelueden, wat während Spëtzlaascht zu Verloschter am produktive Verkéier féiert. Déi logesch Léisung fir de Problem schéngt d'Hardware ze aktualiséieren. Den nächste Modell ass 6800. Dat ass. d'Firma muss d'Paarten duerch den Trade-In Programm zréckginn an zwee nei (méi deier) Apparater kafen.
Awer et gëtt eng alternativ Optioun. Kaaft en Orchester an en aneren genau deeselwechten Node (6500). Sammelt e Stärekoup vun dräi Apparater a "verbreet" dës 85% vun der Laascht iwwer dräi Paarte. Als Resultat kritt Dir eng rieseg Leeschtungsmarge (dräi Apparater ginn am Duerchschnëtt mat nëmmen 30% gelueden). Och wann ee vun den dräi Wirbelen stierft, wäerten déi aner zwee nach ëmmer mam Traffic mat enger duerchschnëttlecher Belaaschtung vu 45% këmmeren. Ausserdeem, fir Spëtzlaascht, wäert e Stärekoup vun dräi aktive 6500 Paarte méi staark sinn wéi een 6800 Paart, deen am HA Stärekoup läit (dh aktiv / Standby). Ausserdeem, wann an engem Joer oder zwee Firma Y d'Bedierfnesser erëm eropgoen, da brauche se nëmmen een oder zwee méi 6500 Noden ze addéieren. Ech mengen de wirtschaftleche Virdeel hei ass evident.
Konklusioun
Jo, Check Point Maestro ass keng Léisung fir SMB. Awer och e mëttelgrousse Geschäft kann iwwer dës Plattform denken an op d'mannst probéieren d'wirtschaftlech Effizienz ze berechnen. Dir wäert iwwerrascht sinn ze fannen datt skalierbar Plattforme méi rentabel kënne sinn wéi e klassesche Cluster. Zur selwechter Zäit sinn et Virdeeler net nëmme wirtschaftlech, awer och technesch. Wéi och ëmmer, mir wäerte se am nächsten Artikel schwätzen, wou ech nieft techneschen Tricken probéieren e puer typesch Fäll ze weisen (Topologie, Szenarie).
Dir kënnt och op eis ëffentlech Säiten abonnéieren (, , , ), wou Dir d'Entstoe vun neie Materialien op Check Point an aner Sécherheetsprodukter verfollege kënnt.
Source: will.com