Najnovšie Check Point predstavil novú škálovateľnú platformu . O tom sme už publikovali celý článok . Skrátka umožňuje takmer lineárne zvyšovať výkon bezpečnostnej brány kombináciou viacerých zariadení a vyrovnávaním záťaže medzi nimi. Prekvapivo stále existuje mýtus, že táto škálovateľná platforma je vhodná len pre veľké dátové centrá alebo obrie siete. Toto absolútne nie je pravda.
Check Point Maestro bol vyvinutý pre niekoľko kategórií používateľov naraz (pozrieme sa na nich trochu neskôr), vrátane stredne veľkých podnikov. V tejto krátkej sérii článkov sa pokúsim zamyslieť technické a ekonomické výhody Check Point Maestro pre stredne veľké organizácie (od 500 používateľov) a prečo môže byť táto možnosť lepšia ako klasický cluster.
Cieľová skupina Check Point Maestro
Najprv sa pozrime na užívateľské segmenty, pre ktoré bol Check Point Maestro navrhnutý. Sú len 4 z nich:
1. Spoločnosti, ktorým chýbali možnosti podvozku. Check Point Maestro nie je prvou škálovateľnou platformou Check Point. Už sme písali, že predtým boli také modely ako 64000 a 44000. Mali síce VEĽKÝ výkon, no stále sa našli firmy, ktorým to NESTAČILO. Maestro túto nevýhodu odstraňuje, pretože... umožňuje zostaviť až 31 zariadení do jedného vysoko výkonného klastra. Súčasne môžete zostaviť klaster zo špičkových zariadení (23900, 26000), čím dosiahnete kolosálnu priepustnosť.
V skutočnosti je v oblasti bezpečnostných brán Check Point v súčasnosti jediný, ktorý implementuje takúto schopnosť.
2. Spoločnosti, ktoré chcú mať možnosť vybrať si svoj hardvér. Jednou z nevýhod starších škálovateľných platforiem je potreba používať striktne definované „blade moduly“ (Check Point SGM). Nová platforma Check Point Maestro umožňuje využívať obrovské množstvo rôznych zariadení. Vybrať si môžete oba modely zo stredného segmentu (5600, 5800, 5900, 6500, 6800) a zo segmentu High End (séria 15000, séria 23000, séria 26000). Navyše ich môžete kombinovať v závislosti od úloh.
To je veľmi výhodné z hľadiska optimálneho využitia zdrojov. Výberom správneho modelu si môžete zakúpiť iba výkon, ktorý potrebujete.
3. Spoločnosti, pre ktoré je šasi príliš veľa, ale škálovateľnosť je stále potrebná. Ďalšou „nevýhodou“ starých škálovateľných platforiem (64000, 44000) bol vysoký vstupný prah (z ekonomického hľadiska). Po dlhú dobu boli škálovateľné platformy dostupné len pre veľké podniky s „dobrými“ rozpočtami na IT. S príchodom Check Point Maestro sa všetko zmenilo. Náklady na minimálny balík (orchestrátor + dve brány) sú porovnateľné (a niekedy nižšie) s klasickým aktívnym/pohotovostným clusterom. Tie. vstupná hranica výrazne klesla. Pri výbere riešenia si firma môže okamžite stanoviť škálovateľnú architektúru bez toho, aby preplatila prípadné následné zvýšenie potrieb. Je rok po predstavení Check Point Maestro viac používateľov? Stačí pridať jednu alebo dve brány bez akejkoľvek výmeny existujúcich. Nemusíte ani meniť topológiu. Jednoducho pripojte nové brány k orchestrátoru a aplikujte na ne nastavenia niekoľkými kliknutiami.
4. Spoločnosti, ktoré chcú optimálne využívať existujúce zariadenia. Myslím, že veľa ľudí pozná postup Trade-In. Keď už výkon existujúcich zariadení nestačí a hardvér je potrebné aktualizovať, aby vyhovoval aktuálnym potrebám. Dosť drahý postup. Navyše pomerne často nastáva situácia, keď má zákazník niekoľko klastrov Check Point pre rôzne úlohy. Napríklad klaster pre ochranu perimetra, klaster pre vzdialený prístup (RA VPN), klaster pre VSX atď. Navyše jeden klaster nemusí mať dostatok zdrojov, zatiaľ čo iný ich má nadbytok. Check Maestro je vynikajúcou príležitosťou na optimalizáciu využitia týchto zdrojov dynamickým rozložením záťaže medzi ne.
Tie. získate nasledujúce výhody:
- Nie je potrebné „vyhadzovať“ existujúci hardvér. Môžete si dokúpiť jednu alebo dve ďalšie brány, alebo...
- Nakonfigurujte dynamické vyvažovanie záťaže medzi inými existujúcimi bránami pre optimálnejšie využitie zdrojov. Ak sa zaťaženie obvodovej brány prudko zvýši, orchestrátor bude môcť využívať „nudné“ zdroje brán vzdialeného prístupu a naopak. Pomáha to vyhladiť sezónne (alebo dočasné) špičky zaťaženia.
Ako iste chápete, posledné dva segmenty sa týkajú špecificky stredne veľkých podnikov, ktoré si teraz môžu dovoliť používať škálovateľné bezpečnostné platformy. Môže však vzniknúť rozumná otázka: „Prečo je Check Point Maestro lepší ako bežný klaster?"Pokúsime sa odpovedať na túto otázku.
Klasický klaster vs Check Point Maestro
Ak hovoríme o klasickom klastri Check Point, tak sú podporované dva prevádzkové režimy: Vysoká dostupnosť (t.j. Active/Standby) a Load Sharing (t.j. Active/Active). Stručne popíšeme ich zmysel práce, ako aj ich klady a zápory.
Vysoká dostupnosť (aktívny/pohotovostný režim)
Ako už názov napovedá, v tomto prevádzkovom režime jeden uzol prechádza cez seba celú premávku a druhý je v pohotovostnom režime a zachytáva prevádzku, ak aktívny uzol začne mať nejaké problémy.
Pros:
- Najstabilnejší režim;
- Proprietárny mechanizmus SecureXL je podporovaný na urýchlenie spracovania prevádzky;
- Ak aktívny uzol zlyhá, druhý je zaručene schopný „stráviť“ všetku premávku (pretože je úplne rovnaký).
Nevýhody:
V skutočnosti existuje len jedno mínus - jeden uzol je úplne nečinný. Na druhej strane sme kvôli tomu nútení kupovať výkonnejší hardvér, aby to zvládal sám.
Samozrejme, režim HA je spoľahlivejší ako zdieľanie záťaže, ale optimalizácia zdrojov ponecháva veľa požiadaviek.
Zdieľanie záťaže (aktívne/aktívne)
V tomto režime všetky uzly v klastri spracovávajú prevádzku. Do takéhoto klastra môžete spojiť až 8 zariadení (viac ako 4 ).
Pros:
- Záťaž môžete rozdeliť medzi uzly, čo si vyžaduje menej výkonné zariadenia;
- Možnosť plynulého škálovania (pridanie až 8 uzlov do klastra).
Nevýhody:
- Napodiv, plusy sa okamžite zmenia na mínusy. Radi používajú režim zdieľania záťaže, aj keď má spoločnosť iba dva uzly. Aby ušetrili peniaze, kupujú zariadenia, z ktorých každé je zaťažené na 40-50%. A všetko sa zdá byť v poriadku. Ale ak jeden uzol zlyhá, dostaneme situáciu, kedy sa celá záťaž prenesie na ten zostávajúci, ktorý to jednoducho nezvládne. Výsledkom je, že v takejto schéme neexistuje žiadna tolerancia chýb ako taká.
- Pridajte k tomu množstvo obmedzení zdieľania záťaže (). A najdôležitejším obmedzením je, že SecureXL nie je podporovaný, čo je mechanizmus, ktorý výrazne urýchľuje spracovanie prevádzky;
- Čo sa týka škálovania pridávaním nových uzlov do klastra, bohužiaľ zdieľanie záťaže tu nie je ani zďaleka ideálne. Ak sú do klastra pridané viac ako 4 zariadenia, výkon sa spustí .
Vzhľadom na prvé dve nevýhody, v záujme implementácie odolnosti voči chybám pri použití dvoch uzlov, sme nútení nakupovať aj produktívnejší hardvér, aby dokázal „stráviť“ prevádzku v kritickej situácii. V dôsledku toho nemáme žiadny ekonomický prínos, ale dostávame veľké množstvo . Okrem toho stojí za zmienku, že od verzie R80.20 nie je podporovaný režim zdieľania záťaže. To obmedzuje používateľov v požadovaných aktualizáciách. Zatiaľ nie je známe, či bude zdieľanie záťaže podporované v novších vydaniach.
Check Point Maestro ako alternatíva
Z pohľadu klastra Check Point Maestro využil hlavné výhody režimov High Availability a Load Sharing:
- Brány pripojené k orchestrátoru môžu využívať SecureXL, ktorý zaisťuje maximálnu rýchlosť spracovania prevádzky. Zdieľanie zaťaženia nemá žiadne ďalšie obmedzenia;
- Prevádzka je rozdelená medzi brány v jednej bezpečnostnej skupine (logická brána pozostávajúca z niekoľkých fyzických). Vďaka tomu môžeme inštalovať menej produktívne zariadenia, pretože už nemáme nečinné brány, ako v režime High Availability. Výkon možno zároveň zvyšovať takmer lineárne, bez takých vážnych strát ako v režime zdieľania záťaže (podrobnejšie neskôr).
To všetko je skvelé, ale pozrime sa na dva konkrétne príklady.
Príklad č. 1
Nechajte spoločnosť X v úmysle nainštalovať zhluk brán na obvode siete. Už sa oboznámili so všetkými obmedzeniami zdieľania záťaže (ktoré sú pre nich neprijateľné) a zvažujú výlučne režim vysokej dostupnosti. Po dimenzovaní sa ukazuje, že je pre nich vhodná brána 6800, ktorá by nemala byť zaťažená na viac ako 50% (aby mala aspoň nejakú výkonovú rezervu). Keďže pôjde o klaster, musíte si kúpiť druhé zariadenie, ktoré bude v pohotovostnom režime jednoducho „fajčiť“ vzduch. Je to veľmi drahá udiareň.
Existuje však alternatíva. Vezmite si balík z orchestrátora a tri brány 6500. V tomto prípade bude prevádzka rozdelená medzi všetky tri zariadenia. Ak sa pozriete na špecifikácie týchto dvoch modelov, uvidíte, že tri brány 6500 sú výkonnejšie ako jedna brána 6800.
Pri výbere Check Point Maestro teda spoločnosť X získa nasledujúce výhody:
- Spoločnosť okamžite zavádza škálovateľnú platformu. Následné zvýšenie výkonu sa zníži jednoduchým pridaním ďalších 6500 XNUMX kusov hardvéru. Čo môže byť jednoduchšie?
- Riešenie je stále odolné voči chybám, pretože Ak jeden uzol zlyhá, zostávajúce dva sa dokážu vyrovnať so záťažou.
- Nemenej dôležitou a prekvapivou výhodou je, že je to lacnejšie! Bohužiaľ, nemôžem zverejniť ceny, ale ak máte záujem, môžete
Príklad č. 2
Nech už má spoločnosť Y klaster HA modelov 6500. Aktívny uzol je zaťažený na 85 %, čo pri špičkovom zaťažení vedie k stratám v produktívnej prevádzke. Zdá sa, že logickým riešením problému je aktualizácia hardvéru. Ďalší model je 6800. To znamená. spoločnosť bude musieť vrátiť brány prostredníctvom programu Trade-In a zakúpiť dve nové (drahšie) zariadenia.
Existuje však alternatívna možnosť. Kúpte si orchestrátor a ďalší presne ten istý uzol (6500). Zostavte skupinu troch zariadení a „rozložte“ týchto 85 % záťaže medzi tri brány. V dôsledku toho získate obrovskú výkonnostnú rezervu (tri zariadenia budú zaťažené v priemere len na 30 %). Aj keď jeden z troch uzlov odumrie, zvyšné dva budú stále zvládať premávku s priemerným zaťažením 45 %. Navyše pri špičkovom zaťažení bude klaster troch aktívnych brán 6500 výkonnejší ako jedna brána 6800, ktorá sa nachádza v klastri HA (t. j. aktívna/pohotovostná). Okrem toho, ak o rok alebo dva opäť vzrastú potreby spoločnosti Y, potom stačí pridať jeden alebo dva ďalšie uzly 6500. Myslím si, že ekonomický prínos je tu zrejmý.
Záver
Áno, Check Point Maestro nie je riešením pre SMB. Ale aj stredne veľký podnik už môže o tejto platforme popremýšľať a aspoň skúsiť vypočítať ekonomickú efektivitu. Budete prekvapení, keď zistíte, že škálovateľné platformy môžu byť ziskovejšie ako klasický klaster. Zároveň existujú výhody nielen ekonomické, ale aj technické. O nich si však povieme až v ďalšom článku, kde sa okrem technických trikov pokúsim ukázať aj niekoľko typických prípadov (topológie, scenárov).
Môžete sa tiež prihlásiť na odber našich verejných stránok (, , , ), kde môžete sledovať vznik nových materiálov o Check Point a iných bezpečnostných produktoch.
Zdroj: hab.com