Pred kratkim je Check Point predstavil novo razširljivo platformo . Objavili smo že cel članek o . Skratka, omogoča skoraj linearno povečanje zmogljivosti varnostnega prehoda s kombiniranjem več naprav in uravnoteženjem obremenitve med njimi. Presenetljivo še vedno obstaja mit, da je ta razširljiva platforma primerna samo za velike podatkovne centre ali velikanska omrežja. To absolutno ni res.
Check Point Maestro je bil razvit za več kategorij uporabnikov hkrati (ogledali si jih bomo malo kasneje), vključno s srednje velikimi podjetji. V tem kratkem nizu člankov bom poskušal razmisliti tehnične in ekonomske prednosti Check Point Maestro za srednje velike organizacije (od 500 uporabnikov) in zakaj je ta možnost morda boljša od klasičnega grozda.
Ciljna publika Check Point Maestro
Najprej si poglejmo segmente uporabnikov, za katere je bil zasnovan Check Point Maestro. Samo 4 jih je:
1. Podjetja, ki niso imela zmogljivosti šasije. Check Point Maestro ni prva nadgradljiva platforma Check Pointa. Pisali smo že, da so prej obstajali modeli 64000 in 44000. Čeprav so imeli ODLIČNE zmogljivosti, so še vedno obstajala podjetja, ki jim to NI BILO ZADOVOLJ. Maestro to pomanjkljivost odpravi, saj... omogoča sestavljanje do 31 naprav v eno visoko zmogljivo gručo. Hkrati lahko sestavite gručo iz vrhunskih naprav (23900, 26000), s čimer dosežete ogromno prepustnost.
Pravzaprav je Check Point na področju varnostnih prehodov trenutno edini, ki izvaja takšno zmogljivost.
2. Podjetja, ki želijo imeti možnost izbire svoje strojne opreme. Ena od pomanjkljivosti starejših razširljivih platform je potreba po uporabi strogo definiranih "rezinskih modulov" (Check Point SGM). Nova platforma Check Point Maestro omogoča uporabo ogromnega števila različnih naprav. Izbirate lahko tako med modeli iz srednjega segmenta (5600, 5800, 5900, 6500, 6800) kot iz High End segmenta (serija 15000, serija 23000, serija 26000). Poleg tega jih lahko kombinirate, odvisno od nalog.
To je zelo priročno z vidika optimalne uporabe virov. Z izbiro pravega modela lahko kupite samo zmogljivost, ki jo potrebujete.
3. Podjetja, za katera je podvozje preveč, vendar je še vedno potrebna razširljivost. Druga »slabost« starih skalabilnih platform (64000, 44000) je bil visok vstopni prag (z ekonomskega vidika). Dolgo časa so bile razširljive platforme na voljo samo velikim podjetjem z "dobrimi" proračuni za IT. S prihodom Check Point Maestro se je vse spremenilo. Cena minimalnega paketa (orkestrator + dva prehoda) je primerljiva (in včasih nižja) s klasično aktivno/pripravljeno gručo. Tisti. vstopni prag se je močno znižal. Pri izbiri rešitve lahko podjetje takoj postavi razširljivo arhitekturo, ne da bi preplačalo morebitno kasnejše povečanje potreb. Ali je eno leto po predstavitvi Check Point Maestro več uporabnikov? Dodate le enega ali dva prehoda, brez zamenjave obstoječih. Sploh vam ni treba spreminjati topologije. Preprosto povežite nove prehode z orkestratorjem in uporabite nastavitve zanje v samo nekaj klikih.
4. Podjetja, ki želijo optimalno izkoristiti obstoječe naprave. Mislim, da veliko ljudi pozna postopek zamenjave. Ko zmogljivost obstoječih naprav ni več zadostna in je treba posodobiti strojno opremo, da ustreza trenutnim potrebam. Precej drag postopek. Poleg tega se pogosto zgodi, da ima stranka več grozdov Check Point za različne naloge. Na primer gruča za zaščito perimetra, gruča za oddaljeni dostop (RA VPN), gruča za VSX itd. Poleg tega en grozd morda nima dovolj virov, drugi pa jih ima v izobilju. Check Maestro je odlična priložnost za optimizacijo uporabe teh virov z dinamično porazdelitvijo obremenitve med njimi.
Tisti. pridobite naslednje ugodnosti:
- Obstoječe strojne opreme ni treba "zavreči". Kupite lahko enega ali dva dodatna prehoda ali...
- Konfigurirajte dinamično uravnoteženje obremenitve med drugimi obstoječimi prehodi za bolj optimalno uporabo virov. Če se obremenitev obodnega prehoda močno poveča, bo orkestrator lahko uporabil "zdolgočasene" vire prehodov za oddaljeni dostop in obratno. To pomaga ublažiti sezonske (ali začasne) konice obremenitve.
Kot verjetno razumete, se zadnja dva segmenta nanašata posebej na srednje velika podjetja, ki si sedaj lahko privoščijo tudi uporabo razširljivih varnostnih platform. Vendar se lahko pojavi razumno vprašanje: "Zakaj je Check Point Maestro boljši od navadne gruče?"Poskušali bomo odgovoriti na to vprašanje.
Klasična gruča proti Check Point Maestro
Če govorimo o klasični gruči Check Point, sta podprta dva načina delovanja: High Availability (tj. Active/Standby) in Load Sharing (tj. Active/Active). Na kratko bomo opisali njihov pomen dela ter njihove prednosti in slabosti.
Visoka razpoložljivost (aktivno/pripravljenost)
Kot že ime pove, v tem načinu delovanja eno vozlišče prepušča ves promet skozi sebe, drugo vozlišče pa je v stanju pripravljenosti in prevzame promet, če začne aktivno vozlišče imeti težave.
Profesionalci:
- Najbolj stabilen način;
- Podprt je lastniški mehanizem SecureXL za pospešitev obdelave prometa;
- Če aktivno vozlišče odpove, bo drugo garantirano sposobno "prebaviti" ves promet (ker je popolnoma enako).
Cons:
Pravzaprav obstaja samo en minus - eno vozlišče je popolnoma nedejavno. Po drugi strani pa smo zaradi tega prisiljeni kupiti zmogljivejšo strojno opremo, da lahko sama obvladuje promet.
Seveda je način HA bolj zanesljiv kot Load Sharing, vendar optimizacija virov pušča veliko želenega.
Razporeditev obremenitve (aktivno/aktivno)
V tem načinu vsa vozlišča v gruči obdelujejo promet. V tako gručo lahko združite do 8 naprav (več kot 4 ).
Profesionalci:
- Obremenitev lahko porazdelite med vozlišča, kar zahteva manj zmogljive naprave;
- Možnost gladkega skaliranja (dodajanje do 8 vozlišč v gručo).
Cons:
- Nenavadno je, da se prednosti takoj spremenijo v slabosti. Radi uporabljajo način delitve obremenitve, tudi če ima podjetje samo dve vozlišči. Ker želijo prihraniti denar, kupijo naprave, od katerih je vsaka obremenjena na 40-50%. In zdi se, da je vse v redu. Če pa eno vozlišče odpove, pride do situacije, ko se celotno breme prenese na preostalo, ki preprosto ne zmore. Posledično v taki shemi ni tolerance napak kot take.
- K temu dodajte še kup omejitev delitve obremenitve (). In najpomembnejša omejitev je, da ni podprt SecureXL, mehanizem, ki bistveno pospeši obdelavo prometa;
- Kar se tiče skaliranja z dodajanjem novih vozlišč v gručo, na žalost delitev obremenitve tukaj še zdaleč ni idealna. Če so v gručo dodane več kot 4 naprave, se delovanje začne .
Če upoštevamo prvi dve pomanjkljivosti, smo za implementacijo tolerance napak pri uporabi dveh vozlišč prisiljeni kupiti tudi bolj produktivno strojno opremo, da lahko "prebavi" promet v kritični situaciji. Posledično nimamo nobene ekonomske koristi, dobimo pa velik znesek . Poleg tega velja omeniti, da od različice R80.20 naprej način porazdelitve obremenitve ni podprt. To uporabnikom omejuje zahtevane posodobitve. Ni še znano, ali bo Load Sharing podprt v novejših izdajah.
Check Point Maestro kot alternativa
Z vidika grozda je Check Point Maestro izkoristil glavne prednosti načinov visoke razpoložljivosti in porazdelitve obremenitve:
- Prehodi, povezani z orkestratorjem, lahko uporabljajo SecureXL, ki zagotavlja največjo hitrost obdelave prometa. Za delitev obremenitve ni nobenih drugih omejitev;
- Promet se porazdeli med prehodi v eni varnostni skupini (logični prehod, sestavljen iz več fizičnih prehodov). Zahvaljujoč temu lahko namestimo manj produktivne naprave, ker nimamo več nedejavnih prehodov, kot v načinu visoke razpoložljivosti. Hkrati se lahko moč poveča skoraj linearno, brez tako resnih izgub kot v načinu porazdelitve obremenitve (več podrobnosti kasneje).
Vse to je super, a poglejmo dva konkretna primera.
Primer # 1
Naj podjetje X namerava namestiti gručo prehodov na obodu omrežja. Z vsemi omejitvami Load Sharinga (ki so zanje nesprejemljive) so se že seznanili in razmišljajo izključno o načinu High Availability. Po dimenzioniranju se izkaže, da je zanje primeren prehod 6800, ki naj ne bo obremenjen več kot 50% (da bi imeli vsaj nekaj zmogljivostne rezerve). Ker bo to grozd, morate kupiti drugo napravo, ki bo v stanju pripravljenosti preprosto "kadila" zrak. To je zelo draga kadilnica.
Vendar obstaja alternativa. Vzemite sveženj orkestratorja in tri prehode 6500. V tem primeru bo promet porazdeljen med vse tri naprave. Če pogledate specifikacije obeh modelov, boste videli, da so trije prehodi 6500 zmogljivejši od enega 6800.
Tako podjetje X ob izbiri Check Point Maestro prejme naslednje prednosti:
- Podjetje takoj postavi razširljivo platformo. Naknadno povečanje zmogljivosti se bo zmanjšalo na preprosto dodajanje dodatnih 6500 kosov strojne opreme. Kaj bi lahko bilo preprostejšega?
- Rešitev je še vedno odporna na napake, saj Če eno vozlišče odpove, bosta preostali dve kos obremenitvi.
- Enako pomembna in presenetljiva prednost je, da je cenejši! Cene žal ne morem javno objaviti, če pa vas zanima, lahko
Primer # 2
Naj ima podjetje Y že gručo HA s 6500 modeli. Aktivno vozlišče je obremenjeno pri 85 %, kar med največjimi obremenitvami povzroči izgube v produktivnem prometu. Zdi se, da je logična rešitev težave posodobitev strojne opreme. Naslednji model je 6800. To je. podjetje bo moralo vrniti prehode prek programa Trade-In in kupiti dve novi (dražji) napravi.
Vendar obstaja alternativna možnost. Kupite orkestrator in še eno popolnoma enako vozlišče (6500). Sestavite gručo treh naprav in teh 85 % obremenitve »razporedite« na tri prehode. Posledično boste dobili ogromno zmogljivost (tri naprave bodo v povprečju naložene le 30 %). Tudi če eno od treh vozlišč umre, bosta preostali dve še vedno kos prometu s povprečno obremenitvijo 45%. Poleg tega bo za konične obremenitve grozd treh aktivnih prehodov 6500 močnejši od enega prehoda 6800, ki se nahaja v gruči HA (tj. aktivni/pripravljeni). Poleg tega, če se čez leto ali dve potrebe podjetja Y spet povečajo, potem bodo morali samo dodati še eno ali dve vozlišči 6500. Mislim, da je gospodarska korist tukaj očitna.
Zaključek
Da, Check Point Maestro ni rešitev za SMB. Toda tudi srednje veliko podjetje lahko že razmišlja o tej platformi in vsaj poskusi izračunati ekonomsko učinkovitost. Presenečeni boste, ko boste ugotovili, da so razširljive platforme lahko bolj donosne od klasičnega grozda. Hkrati pa obstajajo prednosti ne samo ekonomske, ampak tudi tehnične. Vendar o njih bomo govorili v naslednjem članku, kjer bom poleg tehničnih trikov poskušal prikazati nekaj tipičnih primerov (topologija, scenariji).
Lahko se tudi naročite na naše javne strani (, , , ), kjer lahko spremljate nastanek novih gradiv o Check Pointu in drugih varnostnih izdelkih.
Vir: www.habr.com