Mais recentemente, a Check Point apresentou uma nova plataforma escalável . Já publicamos um artigo completo sobre . Resumindo, permite aumentar quase linearmente o desempenho do gateway de segurança combinando vários dispositivos e equilibrando a carga entre eles. Surpreendentemente, ainda existe o mito de que esta plataforma escalável só é adequada para grandes data centers ou redes gigantes. Isto não é absolutamente verdade.
O Check Point Maestro foi desenvolvido para diversas categorias de usuários ao mesmo tempo (veremos elas um pouco mais tarde), incluindo empresas de médio porte. Nesta curta série de artigos tentarei refletir vantagens técnicas e económicas do Check Point Maestro para organizações de média dimensão (a partir de 500 utilizadores) e porque é que esta opção pode ser melhor que um cluster clássico.
Público-alvo Check Point Maestro
Primeiro, vamos dar uma olhada nos segmentos de usuários para os quais o Check Point Maestro foi projetado. Existem apenas 4 deles:
1. Empresas que não tinham capacidade de chassi. Check Point Maestro não é a primeira plataforma escalável da Check Point. Já escrevemos que anteriormente existiam modelos como 64000 e 44000. Embora tivessem ÓTIMO desempenho, ainda havia empresas para as quais isso NÃO ERA SUFICIENTE. Maestro elimina esta desvantagem, porque... permite montar até 31 dispositivos em um cluster de alto desempenho. Ao mesmo tempo, você pode montar um cluster a partir de dispositivos de ponta (23900, 26000), obtendo assim um rendimento colossal.
Na verdade, no campo dos gateways de segurança, a Check Point é atualmente a única que implementa tal capacidade.
2. Empresas que desejam poder escolher seu hardware. Uma das desvantagens das plataformas escaláveis mais antigas é a necessidade de usar “módulos blade” estritamente definidos (Check Point SGM). A nova plataforma Check Point Maestro permite utilizar um grande número de dispositivos diferentes. Você pode escolher ambos os modelos do segmento intermediário (5600, 5800, 5900, 6500, 6800) e do segmento High End (série 15000, série 23000, série 26000). Além disso, você pode combiná-los, dependendo das tarefas.
Isto é muito conveniente do ponto de vista do uso ideal de recursos. Você pode adquirir apenas o desempenho necessário escolhendo o modelo certo.
3. Empresas para as quais o chassi é demais, mas a escalabilidade ainda é necessária. Outra “desvantagem” das antigas plataformas escaláveis (64000, 44000) era o elevado limiar de entrada (do ponto de vista económico). Durante muito tempo, as plataformas escaláveis só estavam disponíveis para grandes empresas com “bons” orçamentos de TI. Com o advento do Check Point Maestro, tudo mudou. O custo do pacote mínimo (orquestrador + dois gateways) é comparável (e às vezes menor) com um cluster clássico ativo/em espera. Aqueles. o limite de entrada caiu significativamente. Ao escolher uma solução, uma empresa pode estabelecer imediatamente uma arquitetura escalável, sem pagar a mais por um possível aumento posterior de necessidades. Há mais usuários um ano após a introdução do Check Point Maestro? Basta adicionar um ou dois gateways, sem qualquer substituição dos existentes. Você nem precisa alterar a topologia. Basta conectar novos gateways ao orquestrador e aplicar configurações a eles com apenas alguns cliques.
4. Empresas que desejam aproveitar ao máximo os dispositivos existentes. Acho que muitas pessoas estão familiarizadas com o procedimento Trade-In. Quando o desempenho dos dispositivos existentes não é mais suficiente e o hardware precisa ser atualizado para atender às necessidades atuais. Um procedimento bastante caro. Além disso, muitas vezes há uma situação em que um cliente possui vários clusters Check Point para diferentes tarefas. Por exemplo, um cluster para proteção de perímetro, um cluster para acesso remoto (RA VPN), um cluster para VSX, etc. Além disso, um cluster pode não ter recursos suficientes, enquanto outro os possui em abundância. Check Maestro é uma excelente oportunidade para otimizar o uso desses recursos distribuindo dinamicamente a carga entre eles.
Aqueles. você obtém os seguintes benefícios:
- Não há necessidade de “jogar fora” o hardware existente. Você pode comprar um ou dois gateways adicionais ou...
- Configure o balanceamento de carga dinâmico entre outros gateways existentes para um uso mais otimizado dos recursos. Se a carga no gateway de perímetro aumentar acentuadamente, o orquestrador poderá usar os recursos “entediados” dos gateways de acesso remoto e vice-versa. Isto ajuda a suavizar picos de carga sazonais (ou temporários).
Como você provavelmente entende, os dois últimos segmentos referem-se especificamente a empresas de médio porte, que agora também podem se dar ao luxo de usar plataformas de segurança escaláveis. No entanto, uma questão razoável pode surgir: “Por que o Check Point Maestro é melhor que um cluster normal?“Vamos tentar responder a esta pergunta.
Cluster clássico vs Check Point Maestro
Se falarmos sobre o cluster clássico do Check Point, então dois modos operacionais são suportados: Alta Disponibilidade (ou seja, Ativo/Em Espera) e Compartilhamento de Carga (ou seja, Ativo/Ativo). Descreveremos brevemente o significado do trabalho, bem como seus prós e contras.
Alta disponibilidade (ativo/em espera)
Como o nome sugere, neste modo de operação, um nó passa todo o tráfego por si mesmo, e o segundo fica em modo de espera e capta tráfego se o nó ativo começar a apresentar algum problema.
Prós:
- O modo mais estável;
- O mecanismo proprietário SecureXL é suportado para acelerar o processamento do tráfego;
- Se o nó ativo falhar, é garantido que o segundo será capaz de “digerir” todo o tráfego (porque é exatamente o mesmo).
Contras:
Na verdade, há apenas um ponto negativo - um nó está completamente ocioso. Por sua vez, por causa disso, somos obrigados a comprar hardware mais potente para que ele possa lidar sozinho com o tráfego.
É claro que o modo HA é mais confiável que o Load Sharing, mas a otimização de recursos deixa muito a desejar.
Compartilhamento de carga (ativo/ativo)
Nesse modo, todos os nós do cluster processam o tráfego. Você pode combinar até 8 dispositivos em tal cluster (mais de 4 ).
Prós:
- Você pode distribuir a carga entre nós, o que requer dispositivos menos potentes;
- Possibilidade de escalonamento suave (adicionando até 8 nós ao cluster).
Contras:
- Curiosamente, os prós imediatamente se transformam em contras. Eles gostam de usar o modo Load Sharing mesmo quando a empresa possui apenas dois nós. Querendo economizar dinheiro, eles compram dispositivos, cada um carregado de 40 a 50%. E tudo parece estar bem. Mas se um nó falhar, teremos uma situação em que toda a carga será transferida para o nó restante, que simplesmente não consegue lidar. Como resultado, não há tolerância a falhas em tal esquema.
- Adicione a isso um monte de restrições de compartilhamento de carga (). E a limitação mais importante é que não há suporte para SecureXL, um mecanismo que acelera significativamente o processamento do tráfego;
- Quanto ao dimensionamento adicionando novos nós ao cluster, infelizmente o Load Sharing está longe de ser ideal aqui. Se mais de quatro dispositivos forem adicionados ao cluster, o desempenho será iniciado .
Considerando as duas primeiras desvantagens, para implementar a tolerância a falhas ao utilizar dois nós, também somos obrigados a adquirir hardware mais produtivo para que possa “digerir” o tráfego numa situação crítica. Como resultado, não temos nenhum benefício económico, mas obtemos uma grande quantidade . Além disso, é importante notar que a partir da versão R80.20, o modo Load Sharing não é suportado. Isso limita os usuários das atualizações necessárias. Ainda não se sabe se o Load Sharing será suportado em versões mais recentes.
Check Point Maestro como alternativa
Do ponto de vista do cluster, o Check Point Maestro aproveitou as principais vantagens dos modos High Availability e Load Sharing:
- Os gateways conectados ao orquestrador podem usar SecureXL, o que garante velocidade máxima de processamento de tráfego. Não existem outras restrições inerentes ao Load Sharing;
- O tráfego é distribuído entre gateways em um grupo de segurança (um gateway lógico composto por vários gateways físicos). Graças a isso, podemos instalar dispositivos menos produtivos, pois não temos mais gateways ociosos, como no modo Alta Disponibilidade. Ao mesmo tempo, a potência pode ser aumentada quase linearmente, sem perdas tão graves como no modo Load Sharing (mais detalhes posteriormente).
Tudo isso é ótimo, mas vejamos dois exemplos específicos.
Exemplo №1
Deixe a empresa X pretender instalar um cluster de gateways no perímetro da rede. Eles já se familiarizaram com todas as restrições do Load Sharing (que são inaceitáveis para eles) e estão considerando exclusivamente o modo Alta Disponibilidade. Após o dimensionamento, verifica-se que o gateway 6800 é adequado para eles, que não deve ser carregado em mais de 50% (para ter pelo menos alguma reserva de desempenho). Como se trata de um cluster, você precisa comprar um segundo dispositivo, que simplesmente “fumará” o ar no modo de espera. É um fumeiro muito caro.
Mas há uma alternativa. Pegue um pacote do orquestrador e três gateways 6500. Nesse caso, o tráfego será distribuído entre os três dispositivos. Se você observar as especificações dos dois modelos, verá que três gateways 6500 são mais poderosos que um 6800.
Assim, ao escolher o Check Point Maestro, a empresa X recebe as seguintes vantagens:
- A empresa estabelece imediatamente uma plataforma escalável. Um aumento subsequente no desempenho se resumirá à simples adição de outra peça de hardware 6500. O que poderia ser mais simples?
- A solução ainda é tolerante a falhas, porque Se um nó falhar, os dois restantes serão capazes de suportar a carga.
- Uma vantagem igualmente importante e surpreendente é que é mais barato! Infelizmente, não posso publicar preços publicamente, mas se estiver interessado, você pode
Exemplo №2
Deixe a empresa Y já ter um cluster HA de modelos 6500. O nó ativo está carregado a 85%, o que durante picos de carga leva a perdas no tráfego produtivo. A solução lógica para o problema parece ser a atualização do hardware. O próximo modelo é 6800. Isso é. a empresa precisará devolver os gateways por meio do programa Trade-In e adquirir dois dispositivos novos (mais caros).
Mas existe uma opção alternativa. Compre um orquestrador e outro nó exatamente igual (6500). Monte um cluster de três dispositivos e “distribua” esses 85% da carga por três gateways. Como resultado, você obterá uma enorme margem de desempenho (três dispositivos carregarão apenas 30% em média). Mesmo que um dos três nós morra, os dois restantes ainda conseguirão lidar com o tráfego com uma carga média de 45%. Além disso, para cargas de pico, um cluster de três gateways 6500 ativos será mais poderoso do que um gateway 6800, que está localizado no cluster HA (ou seja, ativo/em espera). Além disso, se dentro de um ou dois anos as necessidades da empresa Y aumentarem novamente, tudo o que ela precisará fazer é adicionar mais um ou dois nós de 6500. Acho que o benefício econômico aqui é óbvio.
Conclusão
Sim, o Check Point Maestro não é uma solução para pequenas e médias empresas. Mas mesmo uma média empresa já pode pensar nesta plataforma e pelo menos tentar calcular a eficiência económica. Você ficará surpreso ao descobrir que plataformas escalonáveis podem ser mais lucrativas do que um cluster clássico. Ao mesmo tempo, existem vantagens não só económicas, mas também técnicas. Porém, falaremos sobre eles no próximo artigo, onde, além de truques técnicos, tentarei mostrar vários casos típicos (topologia, cenários).
Você também pode assinar nossas páginas públicas (, , , ), onde você pode acompanhar o surgimento de novos materiais sobre Check Point e outros produtos de segurança.
Fonte: habr.com