Ostatnio firma Check Point zaprezentowała nową skalowalną platformę . Opublikowaliśmy już cały artykuł na temat . Krótko mówiąc, pozwala niemal liniowo zwiększyć wydajność bramy bezpieczeństwa poprzez połączenie wielu urządzeń i równoważenie obciążenia między nimi. Co zaskakujące, nadal istnieje mit, że ta skalowalna platforma nadaje się tylko do dużych centrów danych lub gigantycznych sieci. To absolutnie nie jest prawdą.
Check Point Maestro został opracowany dla kilku kategorii użytkowników jednocześnie (przyjrzymy się im nieco później), w tym dla średnich przedsiębiorstw. W tym krótkim cyklu artykułów postaram się dokonać refleksji techniczne i ekonomiczne zalety Check Point Maestro dla średnich organizacji (od 500 użytkowników) i dlaczego ta opcja może być lepsza niż klasyczny klaster.
Grupa docelowa Check Point Maestro
Na początek przyjrzyjmy się segmentom użytkowników, dla których stworzono Check Point Maestro. Jest ich tylko 4:
1. Firmy, którym brakowało możliwości podwozia. Check Point Maestro nie jest pierwszą skalowalną platformą firmy Check Point. Pisaliśmy już, że wcześniej istniały takie modele jak 64000 i 44000. Mimo, że miały ŚWIETNE osiągi, wciąż były firmy, dla których to było ZA MAŁO. Maestro eliminuje tę wadę, ponieważ... pozwala na zmontowanie aż 31 urządzeń w jeden wysokowydajny klaster. Jednocześnie możesz złożyć klaster z urządzeń z najwyższej półki (23900, 26000), osiągając w ten sposób kolosalną przepustowość.
Tak naprawdę w dziedzinie bram bezpieczeństwa firma Check Point jest obecnie jedyną firmą, która wdraża taką możliwość.
2. Firmy, które chcą mieć możliwość wyboru swojego sprzętu. Jedną z wad starszych platform skalowalnych jest konieczność stosowania ściśle określonych „modułów typu blade” (Check Point SGM). Nowa platforma Check Point Maestro pozwala na korzystanie z ogromnej liczby różnych urządzeń. Do wyboru są zarówno modele z segmentu średniego (5600, 5800, 5900, 6500, 6800), jak i z segmentu High End (seria 15000, seria 23000, seria 26000). Co więcej, możesz je łączyć, w zależności od zadań.
Jest to bardzo wygodne z punktu widzenia optymalnego wykorzystania zasobów. Wybierając odpowiedni model, możesz kupić tylko taką wydajność, jakiej potrzebujesz.
3. Firmy, dla których obudowa jest za duża, ale nadal potrzebna jest skalowalność. Kolejną „wadą” starych platform skalowalnych (64000, 44000) był wysoki próg wejścia (z ekonomicznego punktu widzenia). Przez długi czas skalowalne platformy były dostępne tylko dla dużych firm, dysponujących „dobrymi” budżetami IT. Wraz z pojawieniem się Check Point Maestro wszystko się zmieniło. Koszt pakietu minimalnego (orkiestrator + dwie bramy) jest porównywalny (a czasem niższy) z klasycznym klastrem aktywnym/gotowym. Te. próg wejścia znacznie się obniżył. Wybierając rozwiązanie, firma może od razu ustalić skalowalną architekturę, nie przepłacając za ewentualny późniejszy wzrost potrzeb. Czy rok po wprowadzeniu Check Point Maestro jest więcej użytkowników? Wystarczy dodać jedną lub dwie bramy, bez konieczności wymiany istniejących. Nie musisz nawet zmieniać topologii. Po prostu podłącz nowe bramy do orkiestratora i zastosuj do nich ustawienia za pomocą kilku kliknięć.
4. Firmy chcące optymalnie wykorzystać istniejące urządzenia. Myślę, że wiele osób zna procedurę Trade-In. Gdy wydajność istniejących urządzeń nie jest już wystarczająca i sprzęt wymaga aktualizacji, aby odpowiadał bieżącym potrzebom. Dość kosztowny zabieg. Poza tym dość często zdarza się, że klient posiada kilka klastrów Check Point do różnych zadań. Na przykład klaster do ochrony obwodowej, klaster do dostępu zdalnego (RA VPN), klaster do VSX itp. Co więcej, jeden klaster może nie mieć wystarczających zasobów, podczas gdy inny ma ich mnóstwo. Check Maestro to doskonała okazja do optymalizacji wykorzystania tych zasobów poprzez dynamiczne rozkładanie obciążenia pomiędzy nimi.
Te. zyskujesz następujące korzyści:
- Nie ma potrzeby „wyrzucania” istniejącego sprzętu. Można dokupić jedną lub dwie dodatkowe bramki, lub...
- Skonfiguruj dynamiczne równoważenie obciążenia pomiędzy innymi istniejącymi bramami, aby uzyskać bardziej optymalne wykorzystanie zasobów. Jeśli obciążenie bramy obwodowej gwałtownie wzrośnie, koordynator będzie mógł wykorzystać „znudzone” zasoby bram dostępu zdalnego i odwrotnie. Pomaga to złagodzić sezonowe (lub tymczasowe) szczyty obciążenia.
Jak zapewne rozumiesz, dwa ostatnie segmenty dotyczą konkretnie średnich przedsiębiorstw, które teraz mogą sobie pozwolić także na korzystanie ze skalowalnych platform bezpieczeństwa. Może jednak pojawić się uzasadnione pytanie: „Dlaczego Check Point Maestro jest lepszy od zwykłego klastra?„Spróbujemy odpowiedzieć na to pytanie.
Klasyczny klaster kontra Check Point Maestro
Jeśli mówimy o klasycznym klastrze Check Point, to obsługiwane są dwa tryby pracy: High Availability (czyli Active/Standby) i Load Sharing (czyli Active/Active). Opiszemy pokrótce sens ich pracy, a także ich zalety i wady.
Wysoka dostępność (aktywność/gotowość)
Jak sama nazwa wskazuje, w tym trybie pracy jeden węzeł przepuszcza cały ruch przez siebie, a drugi znajduje się w trybie gotowości i przejmuje ruch, jeśli aktywny węzeł zacznie doświadczać jakichkolwiek problemów.
Plusy:
- Najbardziej stabilny tryb;
- Obsługiwany jest autorski mechanizm SecureXL w celu przyspieszenia przetwarzania ruchu;
- Jeśli aktywny węzeł ulegnie awarii, drugi z pewnością będzie w stanie „przetrawić” cały ruch (ponieważ jest dokładnie taki sam).
Wady:
W rzeczywistości jest tylko jeden minus - jeden węzeł jest całkowicie bezczynny. Z kolei z tego powodu jesteśmy zmuszeni kupić mocniejszy sprzęt, aby sam poradził sobie z ruchem.
Oczywiście tryb HA jest bardziej niezawodny niż Load Sharing, ale optymalizacja zasobów pozostawia wiele do życzenia.
Współdzielenie obciążenia (aktywny/aktywny)
W tym trybie wszystkie węzły w klastrze przetwarzają ruch. W taki klaster możesz połączyć maksymalnie 8 urządzeń (więcej niż 4 ).
Plusy:
- Możesz rozłożyć obciążenie pomiędzy węzłami, co wymaga mniej wydajnych urządzeń;
- Możliwość płynnego skalowania (dodawanie do klastra do 8 węzłów).
Wady:
- Co dziwne, zalety natychmiast zamieniają się w wady. Lubią korzystać z trybu Load Sharing nawet wtedy, gdy firma ma tylko dwa węzły. Chcąc zaoszczędzić pieniądze, kupują urządzenia, z których każde jest obciążone na poziomie 40-50%. I wszystko wydaje się być w porządku. Jeśli jednak jeden węzeł ulegnie awarii, mamy do czynienia z sytuacją, w której całe obciążenie zostaje przeniesione na drugi, który po prostu nie jest w stanie sobie z tym poradzić. W rezultacie w takim schemacie nie ma odporności na błędy jako takiej.
- Dodaj do tego kilka ograniczeń współdzielenia obciążenia (). A najważniejszym ograniczeniem jest to, że nie jest obsługiwany SecureXL, mechanizm znacznie przyspieszający przetwarzanie ruchu;
- Jeśli chodzi o skalowanie poprzez dodawanie nowych węzłów do klastra, to niestety Load Sharing jest tutaj daleki od ideału. Jeśli do klastra zostaną dodane więcej niż 4 urządzenia, wydajność zostanie uruchomiona .
Biorąc pod uwagę dwie pierwsze wady, aby wdrożyć odporność na awarie przy wykorzystaniu dwóch węzłów, jesteśmy również zmuszeni zakupić bardziej wydajny sprzęt, aby mógł „przetrawić” ruch w krytycznej sytuacji. W rezultacie nie mamy żadnych korzyści ekonomicznych, ale otrzymujemy dużą kwotę . Ponadto warto zaznaczyć, że począwszy od wersji R80.20 nie jest obsługiwany tryb Load Sharing. Ogranicza to użytkownikom dostęp do wymaganych aktualizacji. Nie wiadomo jeszcze, czy w nowszych wersjach będzie obsługiwana funkcja Load Sharing.
Check Point Maestro jako alternatywa
Z punktu widzenia klastra Check Point Maestro wykorzystał główne zalety trybów wysokiej dostępności i podziału obciążenia:
- Bramy podłączone do orkiestratora mogą korzystać z SecureXL, co zapewnia maksymalną prędkość przetwarzania ruchu. Nie ma innych ograniczeń właściwych dla podziału obciążenia;
- Ruch jest rozdzielany pomiędzy bramkami w jednej Grupie Bezpieczeństwa (bramka logiczna składająca się z kilku bramek fizycznych). Dzięki temu możemy instalować mniej produktywne urządzenia, bo nie mamy już bezczynnych bramek, jak w trybie Wysokiej Dostępności. Jednocześnie moc można zwiększać niemal liniowo, bez tak poważnych strat jak w trybie Load Sharing (więcej szczegółów później).
Wszystko świetnie, ale spójrzmy na dwa konkretne przykłady.
Przykład 1
Niech firma X zamierza zainstalować klaster bramek na obwodzie sieci. Zaznajomili się już ze wszystkimi ograniczeniami Load Sharingu (które są dla nich nie do przyjęcia) i rozważają wyłącznie tryb High Availability. Po doborze okazuje się, że odpowiednia jest dla nich bramka 6800, której nie należy obciążać więcej niż w 50% (aby mieć choć trochę rezerwy wydajności). Ponieważ będzie to klaster, musisz kupić drugie urządzenie, które po prostu „dymi” powietrze w trybie gotowości. To bardzo droga wędzarnia.
Ale istnieje alternatywa. Weź pakiet od orkiestratora i trzech bramek 6500. W tym przypadku ruch zostanie rozdzielony pomiędzy wszystkie trzy urządzenia. Jeśli spojrzysz na specyfikacje obu modeli, zobaczysz, że trzy bramki 6500 są potężniejsze niż jedna 6800.
Zatem wybierając Check Point Maestro firma X otrzymuje następujące korzyści:
- Firma natychmiast tworzy skalowalną platformę. Późniejszy wzrost wydajności sprowadza się do prostego dodania kolejnego sprzętu 6500. Co może być prostszego?
- Rozwiązanie jest nadal odporne na błędy, ponieważ Jeśli jeden węzeł ulegnie awarii, pozostałe dwa będą w stanie poradzić sobie z obciążeniem.
- Równie ważną i zaskakującą zaletą jest to, że jest taniej! Niestety nie mogę publikować cen publicznie, ale jeśli jesteś zainteresowany, możesz to zrobić
Przykład 2
Niech firma Y posiada już klaster HA modeli 6500. Aktywny węzeł jest obciążony w 85%, co w okresach szczytowych obciążeń prowadzi do strat w ruchu produktywnym. Logicznym rozwiązaniem problemu wydaje się aktualizacja sprzętu. Następny model to 6800. Czyli. firma będzie musiała zwrócić bramy w ramach programu Trade-In i zakupić dwa nowe (droższe) urządzenia.
Ale istnieje alternatywna opcja. Kup orkiestratora i jeszcze jeden dokładnie ten sam węzeł (6500). Złóż klaster trzech urządzeń i „rozłóż” te 85% obciążenia na trzech bramach. W rezultacie otrzymasz ogromny margines wydajności (trzy urządzenia będą ładowane średnio tylko w 30%). Nawet jeśli umrze jeden z trzech węzłów, pozostałe dwa nadal poradzą sobie z ruchem przy średnim obciążeniu na poziomie 45%. Co więcej, w przypadku obciążeń szczytowych klaster trzech aktywnych bramek 6500 będzie miał większą moc niż jedna bramka 6800, która znajduje się w klastrze HA (tj. aktywna/gotowa). Ponadto, jeśli za rok lub dwa potrzeby firmy Y ponownie wzrosną, wystarczy, że doda jeszcze jeden lub dwa węzły 6500. Myślę, że korzyść ekonomiczna jest tutaj oczywista.
wniosek
Tak, Check Point Maestro nie jest rozwiązaniem dla małych i średnich firm. Ale nawet średniej wielkości firma może już pomyśleć o tej platformie i przynajmniej spróbować obliczyć efektywność ekonomiczną. Będziesz zaskoczony, gdy odkryjesz, że skalowalne platformy mogą być bardziej opłacalne niż klasyczny klaster. Jednocześnie istnieją zalety nie tylko ekonomiczne, ale także techniczne. Omówimy je jednak w kolejnym artykule, gdzie oprócz trików technicznych postaram się pokazać kilka typowych przypadków (topologia, scenariusze).
Możesz także subskrybować nasze strony publiczne (, , , ), gdzie można śledzić pojawienie się nowych materiałów na temat Check Point i innych produktów związanych z bezpieczeństwem.
Źródło: www.habr.com