Recentelijk presenteerde Check Point een nieuw schaalbaar platform . We hebben er al een heel artikel over gepubliceerd . Kortom, u kunt de prestaties van de beveiligingsgateway vrijwel lineair verhogen door meerdere apparaten te combineren en de belasting daartussen te verdelen. Verrassend genoeg bestaat er nog steeds de mythe dat dit schaalbare platform alleen geschikt is voor grote datacenters of gigantische netwerken. Dit is absoluut niet waar.
Check Point Maestro is ontwikkeld voor verschillende categorieën gebruikers tegelijk (we zullen ze later bekijken), inclusief middelgrote bedrijven. In deze korte serie artikelen zal ik proberen te reflecteren technische en economische voordelen van Check Point Maestro voor middelgrote organisaties (vanaf 500 gebruikers) en waarom deze optie wellicht beter is dan een klassiek cluster.
Doelgroep van Check Point Maestro
Laten we eerst eens kijken naar de gebruikerssegmenten waarvoor Check Point Maestro is ontworpen. Er zijn er maar 4:
1. Bedrijven die geen chassismogelijkheden hadden. Check Point Maestro is niet het eerste schaalbare platform van Check Point. We hebben al geschreven dat er eerder modellen waren als 64000 en 44000. Hoewel ze GEWELDIGE prestaties leverden, waren er nog steeds bedrijven waarvoor dit NIET GENOEG was. Maestro elimineert dit nadeel, omdat... Hiermee kunt u maximaal 31 apparaten samenbrengen in één krachtig cluster. Tegelijkertijd kunt u een cluster samenstellen uit topapparaten (23900, 26000), waardoor een enorme doorvoer wordt bereikt.
Op het gebied van beveiligingsgateways is Check Point momenteel de enige die een dergelijke mogelijkheid implementeert.
2. Bedrijven die zelf hun hardware willen kunnen kiezen. Een van de nadelen van oudere schaalbare platforms is de noodzaak om strikt gedefinieerde ‘blademodules’ (Check Point SGM) te gebruiken. Met het nieuwe Check Point Maestro-platform kunt u een groot aantal verschillende apparaten gebruiken. Je kunt kiezen uit zowel modellen uit het middensegment (5600, 5800, 5900, 6500, 6800) als uit het High End segment (15000 serie, 23000 serie, 26000 serie). Bovendien kun je ze combineren, afhankelijk van de taken.
Dit is erg handig vanuit het oogpunt van optimaal gebruik van hulpbronnen. Door het juiste model te kiezen, kunt u alleen de prestaties aanschaffen die u nodig heeft.
3. Bedrijven waarvoor het chassis te veel is, maar schaalbaarheid nog steeds nodig is. Een ander ‘nadeel’ van de oude schaalbare platforms (64000, 44000) was de hoge instapdrempel (economisch gezien). Schaalbare platforms waren lange tijd alleen beschikbaar voor grote bedrijven met ‘goede’ IT-budgetten. Met de komst van Check Point Maestro is alles veranderd. De kosten van de minimale bundel (orkestrator + twee gateways) zijn vergelijkbaar (en soms lager) met een klassiek actief/stand-by cluster. Die. de instapdrempel is aanzienlijk gedaald. Bij het kiezen van een oplossing kan een bedrijf onmiddellijk een schaalbare architectuur neerleggen, zonder te veel te betalen voor een mogelijke daaropvolgende toename van de behoeften. Zijn er meer gebruikers een jaar na de introductie van Check Point Maestro? U voegt eenvoudig één of twee gateways toe, zonder vervanging van bestaande gateways. U hoeft de topologie niet eens te wijzigen. Sluit eenvoudigweg nieuwe gateways aan op de Orchestrator en pas er met slechts een paar klikken instellingen op toe.
4. Bedrijven die optimaal gebruik willen maken van bestaande apparaten. Ik denk dat veel mensen bekend zijn met de inruilprocedure. Wanneer de prestaties van bestaande apparaten niet langer voldoende zijn en de hardware moet worden bijgewerkt om aan de huidige behoeften te voldoen. Een vrij dure procedure. Bovendien komt het vaak voor dat een klant meerdere Check Point-clusters heeft voor verschillende taken. Bijvoorbeeld een cluster voor perimeterbeveiliging, een cluster voor externe toegang (RA VPN), een cluster voor VSX, enz. Bovendien beschikt het ene cluster mogelijk niet over voldoende hulpbronnen, terwijl het andere cluster er juist een overvloed aan heeft. Check Maestro is een uitstekende mogelijkheid om het gebruik van deze bronnen te optimaliseren door de belasting er dynamisch over te verdelen.
Die. je krijgt de volgende voordelen:
- Het is niet nodig om bestaande hardware “weg te gooien”. U kunt één of twee extra gateways kopen, of...
- Configureer dynamische taakverdeling tussen andere bestaande gateways voor een optimaal gebruik van bronnen. Als de belasting van de perimetergateway sterk toeneemt, kan de orkestrator de “verveelde” bronnen van de RAS-gateways gebruiken en omgekeerd. Dit helpt seizoensgebonden (of tijdelijke) belastingspieken af te vlakken.
Zoals u waarschijnlijk begrijpt, hebben de laatste twee segmenten specifiek betrekking op middelgrote bedrijven, die het zich nu ook kunnen veroorloven schaalbare beveiligingsplatforms te gebruiken. Er kan echter een redelijke vraag rijzen: “Waarom is Check Point Maestro beter dan een regulier cluster?“Wij zullen proberen deze vraag te beantwoorden.
Klassiek cluster versus Check Point Maestro
Als we het hebben over het klassieke Check Point-cluster, worden twee bedrijfsmodi ondersteund: Hoge beschikbaarheid (dat wil zeggen Actief/Stand-by) en Load Sharing (dat wil zeggen Actief/Actief). We zullen kort hun betekenis van werk beschrijven, evenals hun voor- en nadelen.
Hoge beschikbaarheid (actief/stand-by)
Zoals de naam al doet vermoeden, stuurt één knooppunt in deze bedrijfsmodus al het verkeer door zichzelf, terwijl het tweede knooppunt in de standby-modus staat en verkeer oppikt als het actieve knooppunt problemen begint te ondervinden.
Voors:
- De meest stabiele modus;
- Het eigen SecureXL-mechanisme wordt ondersteund om de verkeersverwerking te versnellen;
- Als het actieve knooppunt uitvalt, kan het tweede gegarandeerd al het verkeer ‘verteren’ (omdat het precies hetzelfde is).
Tegens:
In feite is er maar één minpunt: één knooppunt is volledig inactief. Hierdoor zijn we op onze beurt gedwongen om krachtigere hardware te kopen, zodat deze het verkeer alleen kan afhandelen.
Natuurlijk is de HA-modus betrouwbaarder dan Load Sharing, maar de optimalisatie van hulpbronnen laat veel te wensen over.
Belastingverdeling (actief/actief)
In deze modus verwerken alle knooppunten in het cluster verkeer. Je kunt maximaal 8 apparaten combineren in zo’n cluster (meer dan 4 ).
Voors:
- Je kunt de belasting verdelen over knooppunten, waarvoor minder krachtige apparaten nodig zijn;
- Mogelijkheid tot soepele schaalvergroting (tot 8 knooppunten toevoegen aan het cluster).
Tegens:
- Vreemd genoeg veranderen de voordelen onmiddellijk in nadelen. Ze gebruiken graag de Load Sharing-modus, zelfs als het bedrijf maar twee knooppunten heeft. Omdat ze geld willen besparen, kopen ze apparaten, die allemaal voor 40-50% zijn geladen. En alles lijkt in orde te zijn. Maar als één knooppunt uitvalt, krijgen we een situatie waarin de volledige belasting wordt overgedragen naar de resterende, die het eenvoudigweg niet aankan. Als gevolg hiervan is er in een dergelijk schema als zodanig geen sprake van fouttolerantie.
- Voeg hieraan een aantal Load Sharing-beperkingen toe (). En de belangrijkste beperking is dat SecureXL niet wordt ondersteund, een mechanisme dat de verkeersverwerking aanzienlijk versnelt;
- Wat het schalen betreft door nieuwe knooppunten aan het cluster toe te voegen, is Load Sharing hier helaas verre van ideaal. Als er meer dan vier apparaten aan het cluster worden toegevoegd, beginnen de prestaties .
Gezien de eerste twee nadelen zijn we, om fouttolerantie te implementeren bij het gebruik van twee knooppunten, ook gedwongen om productievere hardware aan te schaffen, zodat deze het verkeer in een kritieke situatie kan ‘verteren’. Daardoor hebben we geen enkel economisch voordeel, maar krijgen we wel een groot bedrag . Bovendien is het vermeldenswaard dat vanaf versie R80.20 de Load Sharing-modus niet wordt ondersteund. Dit beperkt gebruikers van vereiste updates. Het is nog niet bekend of Load Sharing in nieuwere releases wordt ondersteund.
Check Point Maestro als alternatief
Vanuit clusteroogpunt heeft Check Point Maestro gebruik gemaakt van de belangrijkste voordelen van de modi Hoge beschikbaarheid en Loadsharing:
- Gateways die op de Orchestrator zijn aangesloten, kunnen gebruik maken van SecureXL, wat zorgt voor maximale verkeersverwerkingssnelheid. Er zijn geen andere beperkingen die inherent zijn aan Load Sharing;
- Het verkeer wordt verdeeld tussen gateways in één beveiligingsgroep (een logische gateway die uit meerdere fysieke gateways bestaat). Hierdoor kunnen we minder productieve apparaten installeren, omdat we niet langer inactieve gateways hebben, zoals in de High Availability-modus. Tegelijkertijd kan het vermogen vrijwel lineair worden vergroot, zonder zulke ernstige verliezen als in de Load Sharing-modus (meer details later).
Dit is allemaal geweldig, maar laten we eens kijken naar twee specifieke voorbeelden.
Voorbeeld 1
Stel dat bedrijf X van plan is een cluster van gateways aan de netwerkperimeter te installeren. Ze zijn al bekend met alle beperkingen van Load Sharing (die voor hen onaanvaardbaar zijn) en overwegen uitsluitend de High Availability-modus. Na het dimensioneren blijkt dat de 6800-gateway daarvoor geschikt is, die niet met meer dan 50% belast mag worden (om tenminste enige prestatiereserve te hebben). Omdat dit een cluster zal zijn, moet je een tweede apparaat kopen, dat in de standby-modus eenvoudigweg lucht "rookt". Het is een heel dure rokerij.
Maar er is een alternatief. Neem een bundel van de Orchestrator en drie 6500-gateways. In dit geval wordt het verkeer verdeeld over alle drie de apparaten. Als je naar de specificaties van de twee modellen kijkt, zie je dat drie 6500-gateways krachtiger zijn dan één 6800.
Wanneer u voor Check Point Maestro kiest, krijgt bedrijf X dus de volgende voordelen:
- Het bedrijf zet meteen een schaalbaar platform neer. Een daaropvolgende prestatieverbetering komt neer op het simpelweg toevoegen van nog eens 6500 stuks hardware. Wat is er eenvoudiger?
- De oplossing is nog steeds fouttolerant, omdat Als één knooppunt uitvalt, kunnen de overige twee de belasting aan.
- Een even belangrijk en verrassend voordeel is dat het goedkoper is! Helaas kan ik geen prijzen openbaar maken, maar als je geïnteresseerd bent, kan dat wel
Voorbeeld 2
Stel dat bedrijf Y al een HA-cluster heeft van 6500 modellen. Het actieve knooppunt wordt op 85% geladen, wat tijdens piekbelasting leidt tot verliezen in productief verkeer. De logische oplossing voor het probleem lijkt het updaten van de hardware. Het volgende model is 6800. Dat wil zeggen. het bedrijf moet de gateways retourneren via het Trade-In-programma en twee nieuwe (duurdere) apparaten aanschaffen.
Maar er is een alternatieve optie. Koop een Orchestrator en nog een exact hetzelfde knooppunt (6500). Stel een cluster van drie apparaten samen en ‘verdeel’ deze 85% van de belasting over drie gateways. Het resultaat is dat u een enorme prestatiemarge krijgt (drie apparaten worden gemiddeld slechts 30% geladen). Zelfs als een van de drie knooppunten uitvalt, kunnen de overige twee nog steeds verkeer verwerken met een gemiddelde belasting van 45%. Bovendien zal voor piekbelastingen een cluster van drie actieve 6500-gateways krachtiger zijn dan één 6800-gateway, die zich in de HA-cluster bevindt (d.w.z. actief/stand-by). Bovendien, als de behoeften van bedrijf Y over een jaar of twee weer toenemen, hoeven ze alleen maar nog een of twee knooppunten van 6500 toe te voegen. Ik denk dat het economische voordeel hier duidelijk is.
Conclusie
Ja, Check Point Maestro is geen oplossing voor het MKB. Maar zelfs een middelgroot bedrijf kan al over dit platform nadenken en op zijn minst proberen de economische efficiëntie te berekenen. Het zal je verbazen dat schaalbare platforms winstgevender kunnen zijn dan een klassiek cluster. Tegelijkertijd zijn er niet alleen economische, maar ook technische voordelen. We zullen er echter over praten in het volgende artikel, waar ik, naast technische trucs, zal proberen verschillende typische gevallen (topologie, scenario's) te laten zien.
U kunt zich ook abonneren op onze openbare pagina's (, , , ), waar u de opkomst van nieuwe materialen over Check Point en andere beveiligingsproducten kunt volgen.
Bron: www.habr.com