Cel mai recent, Check Point a prezentat o nouă platformă scalabilă . Am publicat deja un articol întreg despre . Pe scurt, vă permite să creșteți aproape liniar performanța gateway-ului de securitate combinând mai multe dispozitive și echilibrând sarcina dintre ele. În mod surprinzător, există încă un mit conform căruia această platformă scalabilă este potrivită doar pentru centrele de date mari sau rețelele gigantice. Acest lucru nu este absolut adevărat.
Check Point Maestro a fost dezvoltat pentru mai multe categorii de utilizatori simultan (le vom analiza puțin mai târziu), inclusiv pentru întreprinderile mijlocii. În această scurtă serie de articole voi încerca să reflectez avantajele tehnice și economice ale Check Point Maestro pentru organizațiile mijlocii (de la 500 de utilizatori) și de ce această opțiune poate fi mai bună decât un cluster clasic.
Publicul țintă al Check Point Maestro
În primul rând, să ne uităm la segmentele de utilizatori pentru care a fost conceput Check Point Maestro. Sunt doar 4 dintre ele:
1. Companii care nu aveau capabilități de șasiu. Check Point Maestro nu este prima platformă scalabilă a Check Point. Am scris deja că anterior existau astfel de modele precum 64000 și 44000. Deși aveau performanțe MARE, au existat totuși companii pentru care acest lucru NU A fost SUFICIENT. Maestro elimină acest dezavantaj, deoarece... vă permite să asamblați până la 31 de dispozitive într-un singur cluster de înaltă performanță. În același timp, puteți asambla un cluster de la dispozitive de top (23900, 26000), obținând astfel un randament colosal.
De altfel, în domeniul gateway-urilor de securitate, Check Point este în prezent singurul care implementează o astfel de capacitate.
2. Companii care doresc să își poată alege hardware-ul. Unul dintre dezavantajele platformelor scalabile mai vechi este necesitatea de a folosi „module blade” strict definite (Check Point SGM). Noua platformă Check Point Maestro vă permite să utilizați un număr mare de dispozitive diferite. Poti alege ambele modele din segmentul de mijloc (5600, 5800, 5900, 6500, 6800) cat si din segmentul High End (seria 15000, seria 23000, seria 26000). Mai mult, le poți combina, în funcție de sarcini.
Acest lucru este foarte convenabil din punctul de vedere al utilizării optime a resurselor. Puteți achiziționa doar performanța de care aveți nevoie, alegând modelul potrivit.
3. Companii pentru care șasiul este prea mult, dar mai este nevoie de scalabilitate. Un alt „dezavantaj” al vechilor platforme scalabile (64000, 44000) a fost pragul mare de intrare (din punct de vedere economic). Multă vreme, platformele scalabile au fost disponibile doar pentru companiile mari cu bugete IT „bune”. Odată cu apariția Check Point Maestro, totul s-a schimbat. Costul pachetului minim (orchestrator + două gateway-uri) este comparabil (și uneori mai mic) cu un cluster clasic activ/standby. Acestea. pragul de intrare a scăzut semnificativ. Atunci când alege o soluție, o companie poate stabili imediat o arhitectură scalabilă, fără a plăti în exces pentru o eventuală creștere ulterioară a nevoilor. Există mai mulți utilizatori la un an de la introducerea Check Point Maestro? Doar adăugați una sau două porți, fără a le înlocui pe cele existente. Nici măcar nu trebuie să schimbați topologia. Pur și simplu conectați noile gateway-uri la orchestrator și aplicați-le setările în doar câteva clicuri.
4. Companii care doresc să folosească în mod optim dispozitivele existente. Cred că mulți oameni sunt familiarizați cu procedura de schimb. Când performanța dispozitivelor existente nu mai este suficientă și hardware-ul trebuie actualizat pentru a răspunde nevoilor actuale. O procedură destul de costisitoare. În plus, destul de des există o situație în care un client are mai multe clustere Check Point pentru sarcini diferite. De exemplu, un cluster pentru protecția perimetrului, un cluster pentru acces la distanță (RA VPN), un cluster pentru VSX etc. Mai mult, un cluster poate să nu aibă suficiente resurse, în timp ce altul are o abundență. Check Maestro este o oportunitate excelentă de a optimiza utilizarea acestor resurse prin distribuirea dinamică a sarcinii între ele.
Acestea. beneficiați de următoarele beneficii:
- Nu este nevoie să „arunci” hardware-ul existent. Puteți cumpăra unul sau două gateway-uri suplimentare sau...
- Configurați echilibrarea dinamică a sarcinii între alte gateway-uri existente pentru o utilizare mai optimă a resurselor. Dacă sarcina pe gateway-ul perimetral crește brusc, atunci orchestratorul va putea folosi resursele „plictisite” ale gateway-urilor de acces la distanță și invers. Acest lucru ajută la netezirea vârfurilor de încărcare sezoniere (sau temporare).
După cum probabil înțelegeți, ultimele două segmente se referă în mod specific la întreprinderile mijlocii, care își permit acum și să folosească platforme de securitate scalabile. Cu toate acestea, poate apărea o întrebare rezonabilă: „De ce este Check Point Maestro mai bun decât un cluster obișnuit?„Vom încerca să răspundem la această întrebare.
Cluster clasic vs Check Point Maestro
Dacă vorbim despre clusterul clasic Check Point, atunci sunt acceptate două moduri de operare: High Availability (adică Active/Standby) și Load Sharing (adică Active/Active). Vom descrie pe scurt semnificația muncii lor, precum și argumentele pro și contra.
Disponibilitate ridicată (activ/în așteptare)
După cum sugerează și numele, în acest mod de operare, un nod trece tot traficul prin el însuși, iar al doilea este în modul de așteptare și preia trafic dacă nodul activ începe să întâmpine probleme.
Pro-uri:
- Cel mai stabil mod;
- Mecanismul proprietar SecureXL este acceptat pentru a accelera procesarea traficului;
- Dacă nodul activ eșuează, cel de-al doilea este garantat că va putea „digera” tot traficul (pentru că este exact la fel).
Contra:
De fapt, există doar un minus - un nod este complet inactiv. La rândul nostru, din această cauză, suntem nevoiți să cumpărăm hardware mai puternic, astfel încât acesta să poată gestiona singur traficul.
Desigur, modul HA este mai fiabil decât Load Sharing, dar optimizarea resurselor lasă mult de dorit.
Partajarea încărcării (activ/activ)
În acest mod, toate nodurile din cluster procesează traficul. Puteți combina până la 8 dispozitive într-un astfel de cluster (mai mult de 4 ).
Pro-uri:
- Puteți distribui sarcina între noduri, ceea ce necesită dispozitive mai puțin puternice;
- Posibilitatea de scalare lină (adăugând până la 8 noduri la cluster).
Contra:
- Destul de ciudat, avantajele se transformă imediat în contra. Le place să folosească modul Load Sharing chiar și atunci când compania are doar două noduri. Dorind să economisească bani, cumpără dispozitive, fiecare dintre ele încărcate la 40-50%. Și totul pare să fie bine. Dar dacă un nod eșuează, obținem o situație în care întreaga sarcină este transferată la cel rămas, care pur și simplu nu poate face față. Ca urmare, nu există toleranță la erori ca atare într-o astfel de schemă.
- Adăugați la aceasta o grămadă de restricții de partajare a încărcării (). Și cea mai importantă limitare este că SecureXL nu este acceptat, un mecanism care accelerează semnificativ procesarea traficului;
- În ceea ce privește scalarea prin adăugarea de noi noduri la cluster, din păcate, Load Sharing este departe de a fi ideală aici. Dacă la cluster sunt adăugate mai mult de 4 dispozitive, atunci performanța începe .
Având în vedere primele două dezavantaje, pentru a implementa toleranța la erori atunci când folosim două noduri, suntem, de asemenea, obligați să achiziționăm hardware mai productiv, astfel încât să poată „digera” traficul într-o situație critică. Drept urmare, nu avem niciun beneficiu economic, dar primim o sumă mare . Mai mult, este de remarcat faptul că, începând cu versiunea R80.20, modul Load Sharing nu este acceptat. Acest lucru limitează utilizatorii de la actualizările necesare. Nu se știe încă dacă Load Sharing va fi acceptată în versiunile mai noi.
Check Point Maestro ca alternativă
Din punct de vedere al cluster-ului, Check Point Maestro a beneficiat de principalele avantaje ale modurilor de High Availability și Load Sharing:
- Gateway-urile conectate la orchestrator pot folosi SecureXL, care asigură viteza maximă de procesare a traficului. Nu există alte restricții inerente în Load Sharing;
- Traficul este distribuit între gateway-uri într-un grup de securitate (un gateway logic format din mai multe gateway-uri fizice). Datorită acestui lucru, putem instala dispozitive mai puțin productive, deoarece nu mai avem gateway-uri inactive, ca în modul High Availability. În același timp, puterea poate fi crescută aproape liniar, fără pierderi atât de grave ca în modul Load Sharing (mai multe detalii mai târziu).
Toate acestea sunt grozave, dar să ne uităm la două exemple specifice.
Exemplul №1
Lăsați compania X să intenționeze să instaleze un grup de gateway-uri pe perimetrul rețelei. S-au familiarizat deja cu toate restricțiile Load Sharing (care sunt inacceptabile pentru ei) și iau în considerare exclusiv modul High Availability. După dimensionare, rezultă că le este potrivită gateway-ul 6800, care nu trebuie încărcat cu mai mult de 50% (pentru a avea măcar o oarecare rezervă de performanță). Deoarece acesta va fi un cluster, trebuie să cumpărați un al doilea dispozitiv, care pur și simplu va „fuma” aer în modul de așteptare. Este o afumătoare foarte scumpă.
Dar există o alternativă. Luați un pachet de la orchestrator și trei gateway-uri 6500. În acest caz, traficul va fi distribuit între toate cele trei dispozitive. Dacă te uiți la specificațiile celor două modele, vei vedea că trei gateway-uri 6500 sunt mai puternice decât unul 6800.
Astfel, la alegerea Check Point Maestro, compania X primește următoarele avantaje:
- Compania stabilește imediat o platformă scalabilă. O creștere ulterioară a performanței se va reduce pur și simplu la adăugarea unei alte piese hardware de 6500. Ce ar putea fi mai simplu?
- Soluția este încă tolerantă la erori, pentru că Dacă un nod eșuează, restul de două vor putea face față sarcinii.
- Un avantaj la fel de important și surprinzător este că este mai ieftin! Din păcate, nu pot publica prețurile în mod public, dar dacă ești interesat, poți
Exemplul №2
Lăsați compania Y să aibă deja un cluster HA de modele 6500. Nodul activ este încărcat la 85%, ceea ce în timpul sarcinilor de vârf duce la pierderi în trafic productiv. Soluția logică a problemei pare să fie actualizarea hardware-ului. Următorul model este 6800. Adică. compania va trebui să returneze gateway-urile prin programul Trade-In și să achiziționeze două dispozitive noi (mai scumpe).
Dar există o variantă alternativă. Cumpărați un orchestrator și altul exact același nod (6500). Asamblați un grup de trei dispozitive și „împrăștiați” acest 85% din sarcină pe trei gateway-uri. Drept urmare, veți obține o marjă de performanță uriașă (trei dispozitive vor fi încărcate la doar 30% în medie). Chiar dacă unul dintre cele trei noduri moare, celelalte două vor face față în continuare traficului cu o încărcare medie de 45%. Mai mult, pentru sarcini de vârf, un cluster de trei gateway-uri active 6500 va fi mai puternic decât un gateway 6800, care este situat în clusterul HA (adică activ/standby). În plus, dacă într-un an sau doi nevoile companiei Y cresc din nou, atunci tot ce va trebui să facă este să adauge încă unul sau două noduri de 6500. Cred că beneficiul economic aici este evident.
Concluzie
Da, Check Point Maestro nu este o soluție pentru IMM-uri. Dar chiar și o afacere mijlocie se poate gândi deja la această platformă și măcar să încerce să calculeze eficiența economică. Vei fi surprins să descoperi că platformele scalabile pot fi mai profitabile decât un cluster clasic. În același timp, există avantaje nu numai economice, ci și tehnice. Despre ele vom vorbi însă în articolul următor, unde, pe lângă trucuri tehnice, voi încerca să arăt mai multe cazuri tipice (topologie, scenarii).
De asemenea, vă puteți abona la paginile noastre publice (, , , ), unde puteți urmări apariția de noi materiale pe Check Point și alte produse de securitate.
Sursa: www.habr.com