Senest presenterte Check Point en ny skalerbar plattform . Vi har allerede publisert en hel artikkel om . Kort sagt lar det deg nesten lineært øke ytelsen til sikkerhetsporten ved å kombinere flere enheter og balansere belastningen mellom dem. Overraskende nok er det fortsatt en myte om at denne skalerbare plattformen kun er egnet for store datasentre eller gigantiske nettverk. Dette er absolutt ikke sant.
Check Point Maestro ble utviklet for flere kategorier brukere samtidig (vi skal se på dem litt senere), inkludert mellomstore bedrifter. I denne korte artikkelserien skal jeg prøve å reflektere tekniske og økonomiske fordeler med Check Point Maestro for mellomstore organisasjoner (fra 500 brukere) og hvorfor dette alternativet kan være bedre enn en klassisk klynge.
Check Point Maestro-målgruppe
La oss først se på brukersegmentene som Check Point Maestro ble designet for. Det er bare 4 av dem:
1. Selskaper som manglet chassisegenskaper. Check Point Maestro er ikke Check Points første skalerbare plattform. Vi har allerede skrevet at det tidligere fantes modeller som 64000 og 44000. Selv om de hadde STOR ytelse, var det fortsatt selskaper som dette IKKE var NOK for. Maestro eliminerer denne ulempen, fordi... lar deg sette sammen opptil 31 enheter i én høyytelsesklynge. Samtidig kan du sette sammen en klynge fra toppenheter (23900, 26000), og dermed oppnå kolossal gjennomstrømning.
Faktisk, innen sikkerhetsporter, er Check Point for øyeblikket den eneste som implementerer en slik evne.
2. Bedrifter som ønsker å kunne velge maskinvare. En av ulempene med eldre skalerbare plattformer er behovet for å bruke strengt definerte "bladmoduler" (Check Point SGM). Den nye Check Point Maestro-plattformen lar deg bruke et stort antall forskjellige enheter. Du kan velge begge modellene fra mellomsegmentet (5600, 5800, 5900, 6500, 6800) og fra High End-segmentet (15000-serien, 23000-serien, 26000-serien). Dessuten kan du kombinere dem, avhengig av oppgavene.
Dette er veldig praktisk med tanke på optimal ressursbruk. Du kan kun kjøpe ytelsen du trenger ved å velge riktig modell.
3. Selskaper der chassiset er for mye, men skalerbarhet er fortsatt nødvendig. En annen "ulempe" med de gamle skalerbare plattformene (64000, 44000) var den høye inngangsterskelen (fra et økonomisk synspunkt). I lang tid var skalerbare plattformer kun tilgjengelige for store bedrifter med «gode» IT-budsjetter. Med ankomsten av Check Point Maestro har alt endret seg. Kostnaden for minimumspakken (orkestrator + to gatewayer) er sammenlignbare (og noen ganger lavere) med en klassisk aktiv/standby-klynge. De. inngangsterskelen har sunket betydelig. Ved valg av løsning kan en bedrift umiddelbart legge en skalerbar arkitektur, uten å betale for mye for en eventuell påfølgende behovsøkning. Er det flere brukere et år etter implementering av Check Point Maestro? Du legger bare til en eller to gatewayer, uten å erstatte eksisterende. Du trenger ikke engang å endre topologien. Bare koble nye gatewayer til orkestratoren og bruk innstillinger på dem med bare et par klikk.
4. Bedrifter som ønsker å utnytte eksisterende enheter optimalt. Jeg tror mange er kjent med innbytteprosedyren. Når ytelsen til eksisterende enheter ikke lenger er tilstrekkelig og maskinvaren må oppdateres for å møte dagens behov. En ganske dyr prosedyre. I tillegg er det ganske ofte en situasjon når en kunde har flere Check Point-klynger for forskjellige oppgaver. For eksempel en klynge for perimeterbeskyttelse, en klynge for ekstern tilgang (RA VPN), en klynge for VSX, etc. Dessuten kan en klynge ikke ha nok ressurser, mens en annen har en overflod av dem. Check Maestro er en utmerket mulighet til å optimalisere bruken av disse ressursene ved å dynamisk fordele belastningen mellom dem.
De. du får følgende fordeler:
- Det er ikke nødvendig å "kaste" eksisterende maskinvare. Du kan kjøpe en eller to ekstra gatewayer, eller...
- Konfigurer dynamisk lastbalansering mellom andre eksisterende gatewayer for mer optimal bruk av ressursene. Hvis belastningen på perimetergatewayen øker kraftig, vil orkestratoren kunne bruke de "kjedelige" ressursene til fjerntilgangsportene og omvendt. Dette bidrar til å jevne ut sesongmessige (eller midlertidige) lasttopper.
Som du sikkert forstår, forholder de to siste segmentene seg spesifikt til mellomstore bedrifter, som nå også har råd til å bruke skalerbare sikkerhetsplattformer. Imidlertid kan et rimelig spørsmål oppstå: "Hvorfor er Check Point Maestro bedre enn en vanlig klynge?"Vi vil prøve å svare på dette spørsmålet.
Klassisk klynge vs Check Point Maestro
Hvis vi snakker om den klassiske Check Point-klyngen, støttes to driftsmoduser: Høy tilgjengelighet (dvs. aktiv/standby) og belastningsdeling (dvs. aktiv/aktiv). Vi vil kort beskrive betydningen av arbeidet, samt deres fordeler og ulemper.
Høy tilgjengelighet (aktiv/standby)
Som navnet antyder, i denne driftsmodusen, passerer den ene noden all trafikk gjennom seg selv, og den andre er i standby-modus og plukker opp trafikk hvis den aktive noden begynner å oppleve problemer.
Pros:
- Den mest stabile modusen;
- Den proprietære SecureXL-mekanismen støttes for å øke hastigheten på trafikkbehandlingen;
- Hvis den aktive noden svikter, er den andre garantert i stand til å "fordøye" all trafikken (fordi den er nøyaktig den samme).
Cons:
Faktisk er det bare ett minus - en node er helt inaktiv. På sin side, på grunn av dette, er vi tvunget til å kjøpe kraftigere maskinvare slik at den kan håndtere trafikken alene.
Selvfølgelig er HA-modus mer pålitelig enn Load Sharing, men ressursoptimalisering etterlater mye å være ønsket.
Lastdeling (aktiv/aktiv)
I denne modusen behandler alle noder i klyngen trafikk. Du kan kombinere opptil 8 enheter i en slik klynge (mer enn 4 ).
Pros:
- Du kan fordele belastningen mellom noder, noe som krever mindre kraftige enheter;
- Mulighet for jevn skalering (legger til opptil 8 noder til klyngen).
Cons:
- Merkelig nok blir fordelene umiddelbart til ulemper. De liker å bruke Load Sharing-modus selv når selskapet bare har to noder. For å spare penger kjøper de enheter, som hver er lastet med 40-50%. Og alt ser ut til å være bra. Men hvis en node svikter, får vi en situasjon der hele lasten overføres til den gjenværende, som rett og slett ikke kan klare seg. Som et resultat er det ingen feiltoleranse som sådan i en slik ordning.
- Legg til dette en haug med begrensninger for belastningsdeling (). Og den viktigste begrensningen er at SecureXL ikke støttes, en mekanisme som øker trafikkbehandlingen betydelig;
- Når det gjelder skalering ved å legge til nye noder til klyngen, er dessverre belastningsdeling langt fra ideell her. Hvis mer enn 4 enheter legges til klyngen, starter ytelsen .
Med tanke på de to første ulempene, for å implementere feiltoleranse ved bruk av to noder, er vi også tvunget til å kjøpe mer produktiv maskinvare slik at den kan "fordøye" trafikk i en kritisk situasjon. Som et resultat har vi ingen økonomisk fordel, men vi får et stort beløp . Dessuten er det verdt å merke seg at fra og med versjon R80.20 støttes ikke lastdelingsmodus. Dette begrenser brukere fra nødvendige oppdateringer. Det er ennå ikke kjent om Load Sharing vil bli støttet i nyere utgivelser.
Check Point Maestro som et alternativ
Fra et klyngesynspunkt tok Check Point Maestro hovedfordelene med høy tilgjengelighet og lastdelingsmodus:
- Gatewayer koblet til orkestratoren kan bruke SecureXL, som sikrer maksimal trafikkbehandlingshastighet. Det er ingen andre begrensninger i lastdeling;
- Trafikk fordeles mellom gatewayer i én sikkerhetsgruppe (en logisk gateway som består av flere fysiske). Takket være dette kan vi installere mindre produktive enheter, fordi vi ikke lenger har inaktive gatewayer, som i High Availability-modus. Samtidig kan kraften økes nesten lineært, uten så alvorlige tap som i Load Sharing-modus (mer detaljer senere).
Alt dette er flott, men la oss se på to spesifikke eksempler.
Eksempel №1
La selskapet X har til hensikt å installere en klynge med gatewayer på nettverksperimeteren. De har allerede blitt kjent med alle begrensningene for belastningsdeling (som er uakseptable for dem) og vurderer utelukkende High Availability-modusen. Etter dimensjonering viser det seg at 6800-gatewayen er egnet for dem, som ikke bør belastes med mer enn 50% (for å ha minst en viss ytelsesreserve). Siden dette vil være en klynge, må du kjøpe en annen enhet, som ganske enkelt vil "røyke" luft i standby-modus. Det er et veldig dyrt røykeri.
Men det finnes et alternativ. Ta en bunt fra orkestratoren og tre 6500-gatewayer. I dette tilfellet vil trafikken fordeles mellom alle tre enhetene. Hvis du ser på spesifikasjonene til de to modellene, vil du se at tre 6500-gatewayer er kraftigere enn en 6800.
Når du velger Check Point Maestro, får selskap X derfor følgende fordeler:
- Selskapet legger umiddelbart ned en skalerbar plattform. En påfølgende økning i ytelse vil komme ned til å legge til ytterligere 6500 maskinvare. Hva kan være enklere?
- Løsningen er fortsatt feiltolerant, pga Hvis en node svikter, vil de resterende to kunne takle belastningen.
- En like viktig og overraskende fordel er at det er billigere! Dessverre kan jeg ikke legge ut priser offentlig, men hvis du er interessert, kan du
Eksempel №2
La selskap Y allerede ha en HA-klynge på 6500 modeller. Den aktive noden belastes med 85 %, noe som ved toppbelastning fører til tap i produktiv trafikk. Den logiske løsningen på problemet ser ut til å være å oppdatere maskinvaren. Neste modell er 6800. Altså. selskapet må returnere gatewayene gjennom Trade-In-programmet og kjøpe to nye (dyrere) enheter.
Men det finnes et alternativ. Kjøp en orkestrator og en annen nøyaktig samme node (6500). Sett sammen en klynge med tre enheter og "spred" disse 85 % av belastningen over tre gatewayer. Som et resultat vil du få en enorm ytelsesmargin (tre enheter vil bli lastet med bare 30 % i gjennomsnitt). Selv om en av de tre nodene dør, vil de resterende to fortsatt takle trafikk med en gjennomsnittlig belastning på 45 %. For toppbelastninger vil dessuten en klynge med tre aktive 6500-gatewayer være kraftigere enn en 6800-gateway, som er plassert i HA-klyngen (dvs. aktiv/standby). I tillegg, hvis behovene til selskap Y øker igjen om et år eller to, er alt de trenger å gjøre å legge til en eller to flere noder på 6500. Jeg tror den økonomiske fordelen her er åpenbar.
Konklusjon
Ja, Check Point Maestro er ikke en løsning for SMB. Men selv en mellomstor bedrift kan allerede tenke på denne plattformen og i det minste prøve å beregne den økonomiske effektiviteten. Du vil bli overrasket over å finne at skalerbare plattformer kan være mer lønnsomme enn en klassisk klynge. Samtidig er det fordeler, ikke bare økonomiske, men også tekniske. Vi vil imidlertid snakke om dem i neste artikkel, hvor jeg i tillegg til tekniske triks vil prøve å vise flere typiske tilfeller (topologi, scenarier).
Du kan også abonnere på våre offentlige sider (, , , ), hvor du kan følge fremveksten av nytt materiale på Check Point og andre sikkerhetsprodukter.
Kilde: www.habr.com