ล่าสุด Check Point นำเสนอแพลตฟอร์มใหม่ที่ปรับขนาดได้ . เราได้เผยแพร่บทความทั้งหมดเกี่ยวกับแล้ว . กล่าวโดยย่อคือ ช่วยให้คุณสามารถเพิ่มประสิทธิภาพของเกตเวย์ความปลอดภัยได้เกือบเป็นเส้นตรงโดยการรวมอุปกรณ์หลายตัวเข้าด้วยกันและสร้างสมดุลโหลดระหว่างอุปกรณ์เหล่านั้น น่าประหลาดใจที่ยังคงมีความเชื่อผิดๆ ว่าแพลตฟอร์มที่ปรับขนาดได้นี้เหมาะสำหรับศูนย์ข้อมูลขนาดใหญ่หรือเครือข่ายขนาดใหญ่เท่านั้น นี่ไม่เป็นความจริงอย่างแน่นอน
Check Point Maestro ได้รับการพัฒนาสำหรับผู้ใช้หลายประเภทในคราวเดียว (เราจะดูพวกเขาในภายหลัง) รวมถึงธุรกิจขนาดกลางด้วย ในบทความชุดสั้นนี้ ฉันจะพยายามไตร่ตรอง ข้อได้เปรียบทางเทคนิคและเศรษฐกิจของ Check Point Maestro สำหรับองค์กรขนาดกลาง (จากผู้ใช้ 500 ราย) และเหตุใดตัวเลือกนี้อาจดีกว่าคลัสเตอร์แบบคลาสสิก.
Check Point Maestro กลุ่มเป้าหมาย
อันดับแรก มาดูกลุ่มผู้ใช้ที่ Check Point Maestro ได้รับการออกแบบมาเพื่อ มีเพียง 4 คนเท่านั้น:
1. บริษัทที่ขาดความสามารถของแชสซี. Check Point Maestro ไม่ใช่แพลตฟอร์มแรกที่ปรับขนาดได้ของ Check Point เราได้เขียนไปแล้วว่าก่อนหน้านี้มีรุ่นเช่น 64000 และ 44000 แม้ว่าจะมีประสิทธิภาพที่ยอดเยี่ยม แต่ก็ยังมีบริษัทหลายแห่งที่ยังไม่เพียงพอ Maestro ขจัดข้อเสียเปรียบนี้ เพราะ... ช่วยให้คุณสามารถประกอบอุปกรณ์ได้มากถึง 31 เครื่องเป็นคลัสเตอร์ประสิทธิภาพสูงเดียว ในเวลาเดียวกัน คุณสามารถประกอบคลัสเตอร์จากอุปกรณ์ระดับบนสุด (23900, 26000) ซึ่งทำให้ได้รับปริมาณงานมหาศาล
ในความเป็นจริง ในด้านเกตเวย์การรักษาความปลอดภัย ปัจจุบัน Check Point เป็นเพียงคนเดียวที่ใช้ความสามารถดังกล่าว
2. บริษัทที่ต้องการเลือกฮาร์ดแวร์ได้. ข้อเสียประการหนึ่งของแพลตฟอร์มที่ปรับขนาดได้รุ่นเก่าคือความต้องการใช้ “โมดูลเบลด” ที่กำหนดไว้อย่างเคร่งครัด (Check Point SGM) แพลตฟอร์ม Check Point Maestro ใหม่ช่วยให้คุณใช้อุปกรณ์ต่างๆ จำนวนมากได้ คุณสามารถเลือกทั้งสองรุ่นได้จากกลุ่มระดับกลาง (5600, 5800, 5900, 6500, 6800) และจากกลุ่มระดับไฮเอนด์ (ซีรีส์ 15000, ซีรีส์ 23000, ซีรีส์ 26000) ยิ่งกว่านั้นคุณสามารถรวมพวกมันเข้าด้วยกันได้ขึ้นอยู่กับงาน
สะดวกมากในแง่ของการใช้ทรัพยากรให้เกิดประโยชน์สูงสุด คุณสามารถซื้อเฉพาะประสิทธิภาพที่คุณต้องการได้โดยเลือกรุ่นที่เหมาะสม
3. บริษัทที่มีแชสซีมากเกินไป แต่ยังจำเป็นต้องมีความสามารถในการขยายขนาด. “ข้อเสีย” อีกประการหนึ่งของแพลตฟอร์มแบบเก่าที่ปรับขนาดได้ (64000, 44000) ก็คือเกณฑ์การเข้าที่สูง (จากมุมมองทางเศรษฐกิจ) เป็นเวลานานมาแล้วที่แพลตฟอร์มที่ปรับขนาดได้มีให้เฉพาะกับธุรกิจขนาดใหญ่ที่มีงบประมาณด้านไอที "ดี" เท่านั้น ด้วยการถือกำเนิดของ Check Point Maestro ทุกอย่างก็เปลี่ยนไป ค่าใช้จ่ายของบันเดิลขั้นต่ำ (ออเคสตรา + เกตเวย์สองรายการ) เทียบเคียงได้ (และบางครั้งก็ต่ำกว่า) กับคลัสเตอร์แอคทีฟ/สแตนบายแบบคลาสสิก เหล่านั้น. เกณฑ์การเข้าร่วมลดลงอย่างมาก เมื่อเลือกโซลูชัน บริษัทสามารถวางสถาปัตยกรรมที่ปรับขนาดได้ทันที โดยไม่ต้องจ่ายเงินมากเกินไปสำหรับความต้องการที่เพิ่มขึ้นในภายหลัง มีผู้ใช้เพิ่มขึ้นอีกหนึ่งปีหลังจากการเปิดตัว Check Point Maestro หรือไม่ คุณเพียงแค่เพิ่มหนึ่งหรือสองเกตเวย์ โดยไม่ต้องแทนที่เกตเวย์ที่มีอยู่ คุณไม่จำเป็นต้องเปลี่ยนโทโพโลยีด้วยซ้ำ เพียงเชื่อมต่อเกตเวย์ใหม่เข้ากับออเคสตราเตอร์ และใช้การตั้งค่ากับเกตเวย์เหล่านั้นด้วยการคลิกเพียงไม่กี่ครั้ง
4. บริษัทที่ต้องการใช้อุปกรณ์ที่มีอยู่ให้เกิดประโยชน์สูงสุด. ฉันคิดว่าหลายๆ คนคงคุ้นเคยกับขั้นตอนการแลกซื้อเครื่องใหม่ เมื่อประสิทธิภาพของอุปกรณ์ที่มีอยู่ไม่เพียงพออีกต่อไป และจำเป็นต้องอัปเดตฮาร์ดแวร์ให้ตรงตามความต้องการในปัจจุบัน ขั้นตอนค่อนข้างแพง นอกจากนี้ บ่อยครั้งที่มีสถานการณ์ที่ลูกค้ามีคลัสเตอร์ Check Point หลายกลุ่มสำหรับงานที่แตกต่างกัน ตัวอย่างเช่น คลัสเตอร์สำหรับการป้องกันปริมณฑล คลัสเตอร์สำหรับการเข้าถึงระยะไกล (RA VPN) คลัสเตอร์สำหรับ VSX เป็นต้น ยิ่งไปกว่านั้น คลัสเตอร์หนึ่งอาจมีทรัพยากรไม่เพียงพอ ในขณะที่อีกคลัสเตอร์หนึ่งอาจมีทรัพยากรมากมาย Check Maestro เป็นโอกาสที่ยอดเยี่ยมในการเพิ่มประสิทธิภาพการใช้ทรัพยากรเหล่านี้โดยการกระจายโหลดแบบไดนามิกระหว่างกัน
เหล่านั้น. คุณจะได้รับสิทธิประโยชน์ดังต่อไปนี้:
- ไม่จำเป็นต้อง "ทิ้ง" ฮาร์ดแวร์ที่มีอยู่ คุณสามารถซื้อเกตเวย์เพิ่มเติมหนึ่งหรือสองเกตเวย์ หรือ...
- กำหนดค่าการปรับสมดุลโหลดแบบไดนามิกระหว่างเกตเวย์อื่นๆ ที่มีอยู่เพื่อการใช้ทรัพยากรอย่างเหมาะสมที่สุด หากโหลดบนเกตเวย์ปริมณฑลเพิ่มขึ้นอย่างรวดเร็ว ผู้จัดทำจะสามารถใช้ทรัพยากรที่ "น่าเบื่อ" ของเกตเวย์การเข้าถึงระยะไกลและในทางกลับกัน ซึ่งจะช่วยให้ยอดโหลดตามฤดูกาล (หรือชั่วคราว) ราบรื่นขึ้น
ดังที่คุณอาจเข้าใจแล้ว สองส่วนสุดท้ายเกี่ยวข้องกับธุรกิจขนาดกลางโดยเฉพาะ ซึ่งขณะนี้สามารถใช้แพลตฟอร์มความปลอดภัยที่ปรับขนาดได้ อย่างไรก็ตาม อาจมีคำถามที่สมเหตุสมผลเกิดขึ้น: “เหตุใด Check Point Maestro จึงดีกว่าคลัสเตอร์ทั่วไป“เราจะพยายามตอบคำถามนี้
คลัสเตอร์คลาสสิกเทียบกับ Check Point Maestro
หากเราพูดถึงคลัสเตอร์ Check Point แบบคลาสสิก โหมดการทำงานสองโหมดได้รับการรองรับ: ความพร้อมใช้งานสูง (เช่น ใช้งานอยู่/สแตนด์บาย) และการแบ่งปันโหลด (เช่น ใช้งานอยู่/ใช้งานอยู่) เราจะอธิบายความหมายของงานโดยย่อ รวมถึงข้อดีและข้อเสีย
ความพร้อมใช้งานสูง (ใช้งานอยู่/สแตนด์บาย)
ตามชื่อที่แนะนำ ในโหมดการทำงานนี้ โหนดหนึ่งจะส่งผ่านการรับส่งข้อมูลทั้งหมดผ่านตัวมันเอง และโหนดที่สองจะอยู่ในโหมดสแตนด์บายและรับการรับส่งข้อมูลหากโหนดที่ใช้งานอยู่เริ่มประสบปัญหาใด ๆ
จุดเด่น:
- โหมดที่เสถียรที่สุด
- รองรับกลไก SecureXL ที่เป็นกรรมสิทธิ์เพื่อเพิ่มความเร็วในการประมวลผลการรับส่งข้อมูล
- หากโหนดที่ใช้งานอยู่ล้มเหลว โหนดที่สองจะรับประกันว่าจะสามารถ "แยกแยะ" การรับส่งข้อมูลทั้งหมดได้ (เพราะมันเหมือนกันทุกประการ)
จุดด้อย:
ในความเป็นจริงมีเพียงหนึ่งลบ - หนึ่งโหนดไม่ได้ใช้งานโดยสมบูรณ์ ในทางกลับกัน ด้วยเหตุนี้ เราจึงถูกบังคับให้ซื้อฮาร์ดแวร์ที่มีประสิทธิภาพมากขึ้นเพื่อให้สามารถจัดการการรับส่งข้อมูลเพียงอย่างเดียวได้
แน่นอนว่าโหมด HA มีความน่าเชื่อถือมากกว่าการแชร์โหลด แต่การเพิ่มประสิทธิภาพทรัพยากรยังเป็นที่ต้องการอยู่มาก
การแชร์โหลด (ใช้งานอยู่/ใช้งานอยู่)
ในโหมดนี้ โหนดทั้งหมดในการรับส่งข้อมูลกระบวนการคลัสเตอร์ คุณสามารถรวมอุปกรณ์ได้สูงสุด 8 เครื่องในคลัสเตอร์ดังกล่าว (มากกว่า 4 เครื่อง) ).
จุดเด่น:
- คุณสามารถกระจายโหลดระหว่างโหนดได้ ซึ่งต้องใช้อุปกรณ์ที่มีประสิทธิภาพน้อยกว่า
- ความเป็นไปได้ของการปรับขนาดที่ราบรื่น (เพิ่มได้สูงสุด 8 โหนดในคลัสเตอร์)
จุดด้อย:
- น่าแปลกที่ข้อดีกลายเป็นข้อเสียทันที พวกเขาชอบใช้โหมด Load Sharing แม้ว่าบริษัทจะมีโหนดเพียงสองโหนดก็ตาม อยากประหยัดเงินก็ซื้อเครื่องโดยโหลดเครื่องละ 40-50% และทุกอย่างดูเหมือนจะเรียบร้อยดี แต่หากโหนดหนึ่งล้มเหลว เราจะได้รับสถานการณ์ที่โหลดทั้งหมดถูกถ่ายโอนไปยังโหนดที่เหลือ ซึ่งไม่สามารถรับมือได้ เป็นผลให้ไม่มีความทนทานต่อข้อผิดพลาดเช่นนี้ในโครงการดังกล่าว
- เพิ่มข้อ จำกัด การแชร์โหลดจำนวนหนึ่ง (). และข้อจำกัดที่สำคัญที่สุดคือไม่รองรับ SecureXL ซึ่งเป็นกลไกที่เร่งการประมวลผลการรับส่งข้อมูลได้อย่างมาก
- สำหรับการปรับขนาดโดยการเพิ่มโหนดใหม่ให้กับคลัสเตอร์ น่าเสียดายที่การแชร์โหลดยังห่างไกลจากอุดมคติที่นี่ หากมีการเพิ่มอุปกรณ์มากกว่า 4 เครื่องในคลัสเตอร์ ประสิทธิภาพจะเริ่มต้นขึ้น .
เมื่อพิจารณาถึงข้อเสียสองข้อแรก เพื่อที่จะนำความทนทานต่อข้อผิดพลาดมาใช้เมื่อใช้สองโหนด เรายังถูกบังคับให้ซื้อฮาร์ดแวร์ที่มีประสิทธิภาพมากขึ้นเพื่อให้สามารถ "ย่อย" ปริมาณการรับส่งข้อมูลในสถานการณ์วิกฤติได้ เป็นผลให้เราไม่ได้รับประโยชน์ทางเศรษฐกิจใด ๆ แต่เราได้รับเงินจำนวนมาก . ยิ่งไปกว่านั้น เป็นที่น่าสังเกตว่าตั้งแต่เวอร์ชัน R80.20 ไม่รองรับโหมดการแชร์โหลด สิ่งนี้จะจำกัดผู้ใช้จากการอัปเดตที่จำเป็น ยังไม่ทราบว่าจะรองรับ Load Sharing ในรีลีสใหม่หรือไม่
ตรวจสอบ Point Maestro เป็นทางเลือก
จากมุมมองของคลัสเตอร์ Check Point Maestro ใช้ประโยชน์จากโหมด High Availability และ Load Sharing:
- เกตเวย์ที่เชื่อมต่อกับออเคสตราเตอร์สามารถใช้ SecureXL ซึ่งช่วยให้มั่นใจถึงความเร็วการประมวลผลการรับส่งข้อมูลสูงสุด ไม่มีข้อจำกัดอื่นใดในการแบ่งปันโหลด
- การรับส่งข้อมูลจะถูกกระจายระหว่างเกตเวย์ในกลุ่มความปลอดภัยกลุ่มเดียว (เกตเวย์แบบลอจิคัลประกอบด้วยเกตเวย์ทางกายภาพหลายตัว) ด้วยเหตุนี้ เราจึงสามารถติดตั้งอุปกรณ์ที่มีประสิทธิภาพน้อยลงได้ เนื่องจากเราไม่มีเกตเวย์ที่ไม่ได้ใช้งานอีกต่อไป ดังเช่นในโหมดความพร้อมใช้งานสูง ในเวลาเดียวกัน สามารถเพิ่มกำลังได้เกือบเป็นเส้นตรง โดยไม่มีการสูญเสียร้ายแรงเช่นในโหมดแบ่งปันโหลด (รายละเอียดเพิ่มเติมในภายหลัง)
ทั้งหมดนี้ยอดเยี่ยมมาก แต่ลองดูสองตัวอย่างที่เฉพาะเจาะจงกัน
ตัวอย่าง # 1
ให้บริษัท X ตั้งใจที่จะติดตั้งคลัสเตอร์เกตเวย์บนขอบเขตเครือข่าย พวกเขาคุ้นเคยกับข้อจำกัดทั้งหมดของการแบ่งปันโหลดแล้ว (ซึ่งพวกเขายอมรับไม่ได้) และกำลังพิจารณาโหมดความพร้อมใช้งานสูงโดยเฉพาะ หลังจากปรับขนาดแล้ว ปรากฎว่าเกตเวย์ 6800 นั้นเหมาะสำหรับพวกเขา ซึ่งไม่ควรโหลดเกิน 50% (เพื่อให้มีการสำรองประสิทธิภาพเป็นอย่างน้อย) เนื่องจากนี่จะเป็นคลัสเตอร์ คุณต้องซื้ออุปกรณ์ตัวที่สองซึ่งจะ "ควัน" อากาศในโหมดสแตนด์บาย เป็นโรงโม่ที่มีราคาแพงมาก
แต่มีทางเลือกอื่น รับชุดรวมจาก Orchestrator และเกตเวย์ 6500 สามตัว ในกรณีนี้ การรับส่งข้อมูลจะถูกกระจายระหว่างอุปกรณ์ทั้งสามเครื่อง หากดูสเปกของทั้งสองรุ่นจะพบว่าเกตเวย์ 6500 สามตัวมีประสิทธิภาพมากกว่าเกตเวย์ 6800 ตัวเดียว
ดังนั้นเมื่อเลือก Check Point Maestro บริษัท X จะได้รับข้อดีดังต่อไปนี้:
- บริษัทจะวางแพลตฟอร์มที่ปรับขนาดได้ทันที ประสิทธิภาพที่เพิ่มขึ้นตามมาจะลดลงเหลือเพียงการเพิ่มฮาร์ดแวร์อีก 6500 ชิ้น อะไรจะง่ายกว่านี้?
- วิธีแก้ปัญหายังคงทนทานต่อข้อผิดพลาดเพราะว่า หากโหนดหนึ่งล้มเหลว อีกสองโหนดที่เหลือจะสามารถรับมือกับโหลดได้
- ข้อได้เปรียบที่สำคัญและน่าประหลาดใจไม่แพ้กันคือราคาถูกกว่า! ขออภัย ฉันไม่สามารถโพสต์ราคาแบบสาธารณะได้ แต่ถ้าคุณสนใจ คุณก็โพสต์ราคาได้
ตัวอย่าง # 2
ให้บริษัท Y มีคลัสเตอร์ HA ที่เป็นรุ่น 6500 อยู่แล้ว โหนดที่ใช้งานอยู่จะถูกโหลดที่ 85% ซึ่งในระหว่างที่มีการใช้งานสูงสุดจะทำให้เกิดการสูญเสียการรับส่งข้อมูลที่มีประสิทธิผล ดูเหมือนว่าวิธีแก้ปัญหาเชิงตรรกะคือการอัปเดตฮาร์ดแวร์ รุ่นต่อไปคือ 6800 นั่นก็คือ บริษัทจะต้องคืนเกตเวย์ผ่านโปรแกรม Trade-In และซื้ออุปกรณ์ใหม่สองเครื่อง (แพงกว่า)
แต่มีทางเลือกอื่น ซื้อ orchestrator และโหนดอื่นที่เหมือนกันทุกประการ (6500) ประกอบคลัสเตอร์ของอุปกรณ์สามตัวและ “กระจาย” 85% ของโหลดนี้ไปยังเกตเวย์สามตัว เป็นผลให้คุณจะได้รับประสิทธิภาพการทำงานมหาศาล (อุปกรณ์สามเครื่องจะถูกโหลดโดยเฉลี่ยเพียง 30% เท่านั้น) แม้ว่าหนึ่งในสามโหนดจะตาย แต่อีกสองโหนดที่เหลือจะยังคงรับมือกับการรับส่งข้อมูลโดยมีโหลดเฉลี่ย 45% นอกจากนี้ สำหรับการรับส่งข้อมูลสูงสุด คลัสเตอร์ของเกตเวย์ 6500 ที่ใช้งานอยู่สามตัวจะมีประสิทธิภาพมากกว่าเกตเวย์ 6800 ตัวเดียวซึ่งตั้งอยู่ในคลัสเตอร์ HA (เช่น ใช้งานอยู่/สแตนด์บาย) นอกจากนี้ หากภายในหนึ่งหรือสองปี ความต้องการของบริษัท Y เพิ่มขึ้นอีกครั้ง สิ่งที่พวกเขาต้องทำคือเพิ่มโหนดอีก 6500 โหนดหนึ่งหรือสองโหนด ฉันคิดว่าผลประโยชน์ทางเศรษฐกิจที่นี่ชัดเจน
ข้อสรุป
ใช่ Check Point Maestro ไม่ใช่วิธีแก้ปัญหาสำหรับ SMB แต่แม้แต่ธุรกิจขนาดกลางก็สามารถคิดถึงแพลตฟอร์มนี้ได้แล้ว และอย่างน้อยก็พยายามคำนวณประสิทธิภาพทางเศรษฐกิจ คุณจะแปลกใจที่พบว่าแพลตฟอร์มที่ปรับขนาดได้สามารถทำกำไรได้มากกว่าคลัสเตอร์แบบคลาสสิก ในเวลาเดียวกัน มีข้อดีไม่เพียงแต่ด้านเศรษฐกิจเท่านั้น แต่ยังรวมถึงด้านเทคนิคด้วย อย่างไรก็ตาม เราจะพูดถึงสิ่งเหล่านี้ในบทความถัดไป โดยที่นอกเหนือจากเทคนิคทางเทคนิคแล้ว ฉันจะพยายามแสดงกรณีทั่วไปหลายกรณี (โทโพโลยี สถานการณ์)
คุณยังสามารถสมัครรับข้อมูลหน้าสาธารณะของเรา (, , , ) ซึ่งคุณสามารถติดตามการเกิดขึ้นของวัสดุใหม่ๆ บน Check Point และผลิตภัณฑ์รักษาความปลอดภัยอื่นๆ
ที่มา: will.com