Senast presenterade Check Point en ny skalbar plattform . Vi har redan publicerat en hel artikel om . Kort sagt låter det dig nästan linjärt öka prestandan för säkerhetsgatewayen genom att kombinera flera enheter och balansera belastningen mellan dem. Överraskande nog finns det fortfarande en myt att denna skalbara plattform bara är lämplig för stora datacenter eller jättenätverk. Detta är absolut inte sant.
Check Point Maestro utvecklades för flera kategorier av användare samtidigt (vi kommer att titta på dem lite senare), inklusive medelstora företag. I denna korta artikelserie ska jag försöka reflektera tekniska och ekonomiska fördelar med Check Point Maestro för medelstora organisationer (från 500 användare) och varför detta alternativ kan vara bättre än ett klassiskt kluster.
Check Point Maestro målgrupp
Låt oss först titta på användarsegmenten som Check Point Maestro designades för. Det finns bara 4 av dem:
1. Företag som saknade chassikapacitet. Check Point Maestro är inte Check Points första skalbara plattform. Vi har redan skrivit att det tidigare fanns sådana modeller som 64000 och 44000. Även om de hade BRA prestanda, fanns det fortfarande företag som detta INTE räckte till. Maestro eliminerar denna nackdel, eftersom... låter dig sätta ihop upp till 31 enheter i ett högpresterande kluster. Samtidigt kan du sätta ihop ett kluster från toppenheter (23900, 26000), och därigenom uppnå kolossal genomströmning.
Faktum är att inom området för säkerhetsgateways är Check Point för närvarande den enda som implementerar en sådan förmåga.
2. Företag som vill kunna välja sin hårdvara. En av nackdelarna med äldre skalbara plattformar är behovet av att använda strikt definierade "bladmoduler" (Check Point SGM). Den nya Check Point Maestro-plattformen låter dig använda ett stort antal olika enheter. Du kan välja båda modellerna från mellansegmentet (5600, 5800, 5900, 6500, 6800) och från High End-segmentet (15000-serien, 23000-serien, 26000-serien). Dessutom kan du kombinera dem, beroende på uppgifterna.
Detta är mycket bekvämt med tanke på optimal användning av resurser. Du kan bara köpa den prestanda du behöver genom att välja rätt modell.
3. Företag för vilka chassit är för mycket, men det behövs fortfarande skalbarhet. En annan "nackdel" med de gamla skalbara plattformarna (64000, 44000) var den höga tröskeln för inträde (ur ekonomisk synvinkel). Under lång tid var skalbara plattformar endast tillgängliga för stora företag med "bra" IT-budgetar. Med tillkomsten av Check Point Maestro har allt förändrats. Kostnaden för minimipaketet (orkestrator + två gateways) är jämförbar (och ibland lägre) med ett klassiskt aktivt/standby-kluster. De där. tröskeln för inträde har sjunkit avsevärt. Vid val av lösning kan ett företag omedelbart lägga ner en skalbar arkitektur, utan att betala för mycket för en eventuell efterföljande behovsökning. Finns det fler användare ett år efter introduktionen av Check Point Maestro? Du lägger bara till en eller två gateways, utan att ersätta befintliga. Du behöver inte ens ändra topologin. Anslut helt enkelt nya gateways till orkestratorn och tillämpa inställningar på dem med bara ett par klick.
4. Företag som vill utnyttja befintliga enheter optimalt. Jag tror att många känner till inbytesförfarandet. När prestandan för befintliga enheter inte längre är tillräcklig och hårdvaran behöver uppdateras för att möta nuvarande behov. En ganska dyr procedur. Dessutom finns det ganska ofta en situation när en kund har flera Check Point-kluster för olika uppgifter. Till exempel ett kluster för perimeterskydd, ett kluster för fjärråtkomst (RA VPN), ett kluster för VSX, etc. Dessutom kanske ett kluster inte har tillräckligt med resurser, medan ett annat har ett överflöd av dem. Check Maestro är ett utmärkt tillfälle att optimera användningen av dessa resurser genom att dynamiskt fördela belastningen mellan dem.
De där. du får följande förmåner:
- Det finns inget behov av att "slänga" befintlig hårdvara. Du kan köpa en eller två extra gateways, eller...
- Konfigurera dynamisk lastbalansering mellan andra befintliga gateways för mer optimal användning av resurser. Om belastningen på perimetergatewayen ökar kraftigt, kommer orkestratorn att kunna använda de "uttråkade" resurserna för fjärråtkomstgateways och vice versa. Detta hjälper till att jämna ut säsongsbetonade (eller tillfälliga) belastningstoppar.
Som du säkert förstår relaterar de två sista segmenten specifikt till medelstora företag, som nu också har råd att använda skalbara säkerhetsplattformar. Men en rimlig fråga kan uppstå: "Varför är Check Point Maestro bättre än ett vanligt kluster?"Vi ska försöka svara på den här frågan.
Klassiskt kluster vs Check Point Maestro
Om vi pratar om det klassiska Check Point-klustret, stöds två driftslägen: Hög tillgänglighet (dvs. Aktiv/Standby) och Lastdelning (dvs. Aktiv/Aktiv). Vi kommer kortfattat att beskriva deras innebörd av arbetet, såväl som deras för- och nackdelar.
Hög tillgänglighet (aktiv/standby)
Som namnet antyder, i detta driftläge passerar en nod all trafik genom sig själv, och den andra är i standby-läge och tar upp trafik om den aktiva noden börjar uppleva några problem.
Fördelar:
- Det mest stabila läget;
- Den egenutvecklade SecureXL-mekanismen stöds för att påskynda trafikhanteringen;
- Om den aktiva noden misslyckas kommer den andra garanterat att kunna "smälta" all trafik (eftersom den är exakt likadan).
Nackdelar:
Faktum är att det bara finns ett minus - en nod är helt inaktiv. På grund av detta tvingas vi i sin tur köpa mer kraftfull hårdvara så att den kan hantera trafiken ensam.
Naturligtvis är HA-läget mer tillförlitligt än Load Sharing, men resursoptimering lämnar mycket övrigt att önska.
Lastdelning (aktiv/aktiv)
I detta läge bearbetar alla noder i klustret trafik. Du kan kombinera upp till 8 enheter i ett sådant kluster (mer än 4 ).
Fördelar:
- Du kan fördela belastningen mellan noder, vilket kräver mindre kraftfulla enheter;
- Möjlighet till smidig skalning (lägger till upp till 8 noder till klustret).
Nackdelar:
- Konstigt nog förvandlas fördelarna omedelbart till nackdelar. De gillar att använda lastdelningsläget även när företaget bara har två noder. För att spara pengar köper de enheter, som var och en är laddad med 40-50%. Och allt verkar vara bra. Men om en nod misslyckas får vi en situation där hela belastningen överförs till den återstående, som helt enkelt inte klarar av. Som ett resultat finns det ingen feltolerans som sådan i ett sådant system.
- Lägg till detta ett gäng lastdelningsbegränsningar (). Och den viktigaste begränsningen är att SecureXL inte stöds, en mekanism som avsevärt påskyndar trafikhanteringen;
- När det gäller skalning genom att lägga till nya noder i klustret är tyvärr Load Sharing långt ifrån idealiskt här. Om fler än 4 enheter läggs till i klustret, startar prestandan .
Med tanke på de två första nackdelarna, för att implementera feltolerans vid användning av två noder, är vi också tvungna att köpa mer produktiv hårdvara så att den kan "smälta" trafik i en kritisk situation. Det gör att vi inte har någon ekonomisk nytta, men vi får en stor summa . Dessutom är det värt att notera att från och med version R80.20 stöds inte laddningsdelningsläget. Detta begränsar användare från nödvändiga uppdateringar. Det är ännu inte känt om Load Sharing kommer att stödjas i nyare versioner.
Check Point Maestro som ett alternativ
Ur klustersynpunkt tog Check Point Maestro de viktigaste fördelarna med lägena High Availability och Load Sharing:
- Gateways anslutna till orkestratorn kan använda SecureXL, vilket säkerställer maximal trafikbearbetningshastighet. Det finns inga andra restriktioner i lastdelning;
- Trafiken fördelas mellan gateways i en säkerhetsgrupp (en logisk gateway som består av flera fysiska). Tack vare detta kan vi installera mindre produktiva enheter, eftersom vi inte längre har lediga gateways, som i High Availability-läget. Samtidigt kan effekten ökas nästan linjärt, utan så allvarliga förluster som i Load Sharing-läge (mer detaljer senare).
Det här är bra, men låt oss titta på två specifika exempel.
Exempel # 1
Låt företag X ha för avsikt att installera ett kluster av gateways på nätverkets omkrets. De har redan blivit bekanta med alla restriktioner för belastningsdelning (som är oacceptabla för dem) och överväger uteslutande High Availability-läget. Efter dimensionering visar det sig att 6800-gatewayen är lämplig för dem, som inte bör belastas med mer än 50% (för att åtminstone ha en viss prestandareserv). Eftersom detta kommer att vara ett kluster måste du köpa en andra enhet, som helt enkelt kommer att "röka" luft i standby-läge. Det är ett väldigt dyrt rökeri.
Men det finns ett alternativ. Ta ett paket från orkestratorn och tre 6500-gateways. I det här fallet kommer trafiken att fördelas mellan alla tre enheterna. Om du tittar på specifikationerna för de två modellerna kommer du att se att tre 6500-gateways är kraftfullare än en 6800.
När företaget X väljer Check Point Maestro får därför följande fördelar:
- Företaget lägger omedelbart ner en skalbar plattform. En efterföljande ökning av prestanda kommer att betyda att bara lägga till ytterligare 6500 hårdvara. Vad kan vara enklare?
- Lösningen är fortfarande feltålig, eftersom Om en nod misslyckas kommer de återstående två att klara av belastningen.
- En lika viktig och överraskande fördel är att det är billigare! Tyvärr kan jag inte publicera priser offentligt, men om du är intresserad kan du
Exempel # 2
Låt företag Y redan ha ett HA-kluster på 6500 modeller. Den aktiva noden belastas med 85 %, vilket vid toppbelastningar leder till förluster i produktiv trafik. Den logiska lösningen på problemet verkar vara att uppdatera hårdvaran. Nästa modell är 6800. Det vill säga. företaget kommer att behöva lämna tillbaka gateways genom Trade-In-programmet och köpa två nya (dyrare) enheter.
Men det finns ett alternativ. Köp en orkestrator och en annan exakt samma nod (6500). Sätt ihop ett kluster med tre enheter och "sprid" dessa 85 % av belastningen över tre gateways. Som ett resultat kommer du att få en enorm prestandamarginal (tre enheter kommer att laddas med endast 30 % i genomsnitt). Även om en av de tre noderna dör kommer de återstående två fortfarande att klara trafik med en genomsnittlig belastning på 45 %. För toppbelastningar kommer dessutom ett kluster med tre aktiva 6500-gateways att vara kraftfullare än en 6800-gateway, som är placerad i HA-klustret (dvs. aktiv/standby). Dessutom, om företag Y:s behov ökar om ett eller två år igen, behöver de bara lägga till ytterligare en eller två noder på 6500. Jag tror att den ekonomiska fördelen här är uppenbar.
Slutsats
Ja, Check Point Maestro är ingen lösning för SMB. Men även ett medelstort företag kan redan tänka på den här plattformen och åtminstone försöka beräkna den ekonomiska effektiviteten. Du kommer att bli förvånad över att upptäcka att skalbara plattformar kan vara mer lönsamma än ett klassiskt kluster. Samtidigt finns det fördelar inte bara ekonomiska utan också tekniska. Vi kommer dock att prata om dem i nästa artikel, där jag, förutom tekniska knep, kommer att försöka visa flera typiska fall (topologi, scenarier).
Du kan också prenumerera på våra offentliga sidor (, , , ), där du kan följa uppkomsten av nytt material på Check Point och andra säkerhetsprodukter.
Källa: will.com