Check Point yakın zamanda yeni bir ölçeklenebilir platform sundu . Bu konuyla ilgili bir makalenin tamamını zaten yayınladık. . Kısacası, birden fazla cihazı birleştirerek ve aralarındaki yükü dengeleyerek güvenlik ağ geçidinin performansını neredeyse doğrusal olarak artırmanıza olanak tanır. Şaşırtıcı bir şekilde, bu ölçeklenebilir platformun yalnızca büyük veri merkezleri veya dev ağlar için uygun olduğuna dair bir efsane hâlâ mevcut. Bu kesinlikle doğru değil.
Check Point Maestro, orta ölçekli işletmeler de dahil olmak üzere aynı anda birkaç kullanıcı kategorisi için geliştirildi (bunlara biraz sonra bakacağız). Bu kısa yazı dizisinde yansıtmaya çalışacağım Orta ölçekli kuruluşlar (500 kullanıcıdan itibaren) için Check Point Maestro'nun teknik ve ekonomik avantajları ve bu seçeneğin neden klasik bir kümeden daha iyi olabileceği.
Check Point Maestro'nun hedef kitlesi
Öncelikle Check Point Maestro'nun tasarlandığı kullanıcı segmentlerine bakalım. Bunlardan sadece 4 tanesi var:
1. Şasi yetenekleri olmayan şirketler. Check Point Maestro, Check Point'in ilk ölçeklenebilir platformu değildir. Daha önce 64000 ve 44000 gibi modellerin olduğunu zaten yazmıştık. Her ne kadar HARİKA performans gösterseler de bunun YETERLİ OLMADIĞI firmalar da vardı. Maestro bu dezavantajı ortadan kaldırıyor çünkü... 31 adede kadar cihazı tek bir yüksek performanslı kümede birleştirmenize olanak tanır. Aynı zamanda, üst düzey cihazlardan (23900, 26000) bir küme oluşturabilir ve böylece muazzam bir verim elde edebilirsiniz.
Aslında güvenlik ağ geçitleri alanında Check Point şu anda böyle bir yeteneği uygulayan tek şirkettir.
2. Donanımını kendi seçebilmek isteyen firmalar. Eski ölçeklenebilir platformların dezavantajlarından biri, kesin olarak tanımlanmış "blade modüllerinin" (Check Point SGM) kullanılması gerekliliğidir. Yeni Check Point Maestro platformu çok sayıda farklı cihazı kullanmanıza olanak tanır. Her iki modeli de orta segmentten (5600, 5800, 5900, 6500, 6800) ve High End segmentinden (15000 serisi, 23000 serisi, 26000 serisi) seçebilirsiniz. Üstelik görevlere bağlı olarak bunları birleştirebilirsiniz.
Bu, kaynakların optimum kullanımı açısından çok uygundur. Doğru modeli seçerek sadece ihtiyacınız olan performansı satın alabilirsiniz.
3. Kasanın çok fazla olduğu ancak ölçeklenebilirliğin hala gerekli olduğu şirketler. Eski ölçeklenebilir platformların (64000, 44000) bir diğer “dezavantajı” yüksek giriş eşiğiydi (ekonomik açıdan). Uzun bir süre boyunca ölçeklenebilir platformlar yalnızca "iyi" BT bütçesine sahip büyük işletmelerin kullanımına sunuldu. Check Point Maestro'nun gelişiyle her şey değişti. Minimum paketin maliyeti (orchestrator + iki ağ geçidi), klasik aktif/yedek kümeyle karşılaştırılabilir (ve bazen daha düşük). Onlar. giriş eşiği önemli ölçüde düştü. Bir şirket, bir çözüm seçerken, daha sonra ihtiyaçlarda meydana gelebilecek olası bir artış için fazla ödeme yapmadan, anında ölçeklenebilir bir mimari oluşturabilir. Check Point Maestro'nun kullanıma sunulmasından bir yıl sonra daha fazla kullanıcı var mı? Mevcut ağ geçitlerini değiştirmeden yalnızca bir veya iki ağ geçidi eklersiniz. Topolojiyi değiştirmenize bile gerek yok. Yeni ağ geçitlerini orkestratöre bağlamanız ve ayarları yalnızca birkaç tıklamayla bunlara uygulamanız yeterlidir.
4. Mevcut cihazlardan en iyi şekilde yararlanmak isteyen şirketler. Pek çok kişinin Takas prosedürüne aşina olduğunu düşünüyorum. Mevcut cihazların performansı artık yeterli olmadığında ve donanımın mevcut ihtiyaçları karşılayacak şekilde güncellenmesi gerektiğinde. Oldukça pahalı bir prosedür. Ayrıca, çoğu zaman bir müşterinin farklı görevler için birden fazla Kontrol Noktası kümesine sahip olduğu bir durum söz konusudur. Örneğin, çevre koruması için bir küme, uzaktan erişim için bir küme (RA VPN), VSX için bir küme vb. Üstelik bir küme yeterli kaynağa sahip olmayabilirken, diğer kümenin kaynakları bol olabilir. Check Maestro, yükü aralarında dinamik olarak dağıtarak bu kaynakların kullanımını optimize etmek için mükemmel bir fırsattır.
Onlar. aşağıdaki avantajlardan yararlanırsınız:
- Mevcut donanımı "atmaya" gerek yoktur. Bir veya iki ek ağ geçidi satın alabilirsiniz veya...
- Kaynakların daha iyi kullanılması için mevcut diğer ağ geçitleri arasında dinamik yük dengelemeyi yapılandırın. Çevre ağ geçidindeki yük keskin bir şekilde artarsa, orkestratör uzaktan erişim ağ geçitlerinin "sıkılmış" kaynaklarını kullanabilecektir ve bunun tersi de geçerlidir. Bu, mevsimsel (veya geçici) yük artışlarının düzeltilmesine yardımcı olur.
Muhtemelen anladığınız gibi, son iki segment özellikle artık ölçeklenebilir güvenlik platformlarını kullanmaya gücü yeten orta ölçekli işletmelerle ilgilidir. Ancak makul bir soru ortaya çıkabilir: "Check Point Maestro neden normal bir kümeden daha iyi?"Bu soruyu cevaplamaya çalışacağız.
Klasik küme ve Check Point Maestro
Klasik Check Point kümesinden bahsedecek olursak iki çalışma modu desteklenmektedir: Yüksek Erişilebilirlik (yani Aktif/Bekleme) ve Yük Paylaşımı (yani Aktif/Aktif). İşin anlamını, artılarını ve eksilerini kısaca anlatacağız.
Yüksek Kullanılabilirlik (Etkin/Beklemede)
Adından da anlaşılacağı gibi bu çalışma modunda bir düğüm tüm trafiği kendi üzerinden geçirir, ikincisi ise bekleme modunda olup aktif düğümün herhangi bir sorun yaşamaya başlaması durumunda trafiği alır.
Artıları:
- En kararlı mod;
- Tescilli SecureXL mekanizması, trafik işlemeyi hızlandırmak için desteklenir;
- Aktif düğümün başarısız olması durumunda, ikincisinin tüm trafiği "sindirebilmesi" garanti edilir (çünkü tamamen aynıdır).
Eksileri:
Aslında sadece bir eksi var - bir düğüm tamamen boşta. Bu nedenle trafiği tek başına idare edebilmesi için daha güçlü donanım satın almak zorunda kalıyoruz.
Elbette HA modu Yük Paylaşımından daha güvenilirdir, ancak kaynak optimizasyonu arzulanan çok şey bırakıyor.
Yük Paylaşımı (Aktif/Aktif)
Bu modda, kümedeki tüm düğümler trafiği işler. Böyle bir kümede en fazla 8 cihazı birleştirebilirsiniz (4'ten fazla) ).
Artıları:
- Yükü, daha az güçlü cihazlar gerektiren düğümler arasında dağıtabilirsiniz;
- Düzgün ölçeklendirme imkanı (kümeye 8 düğüme kadar ekleme).
Eksileri:
- İşin garibi, artılar hemen eksilere dönüşüyor. Şirketin yalnızca iki düğümü olsa bile Yük Paylaşımı modunu kullanmayı seviyorlar. Paradan tasarruf etmek isteyen her biri% 40-50 yüklü cihazlar satın alıyorlar. Ve her şey yolunda görünüyor. Ancak bir düğüm arızalanırsa, yükün tamamının başa çıkamayan kalan düğüme aktarıldığı bir durumla karşılaşırız. Sonuç olarak böyle bir düzende hata toleransı yoktur.
- Buna bir dizi Yük Paylaşımı kısıtlamasını ekleyin (). Ve en önemli sınırlama, trafik işlemeyi önemli ölçüde hızlandıran bir mekanizma olan SecureXL'in desteklenmemesidir;
- Kümeye yeni düğümler ekleyerek ölçeklendirmeye gelince, ne yazık ki Yük Paylaşımı burada ideal olmaktan uzaktır. Cluster'a 4'ten fazla cihaz eklenirse performans başlar .
İlk iki dezavantajı göz önüne aldığımızda, iki düğüm kullanırken hata toleransını uygulamak amacıyla, kritik bir durumda trafiği "sindirebilmek" için daha verimli donanım satın almak zorunda kalıyoruz. Sonuç olarak hiçbir ekonomik faydamız yok ama büyük bir miktar elde ediyoruz. . Ayrıca R80.20 sürümünden itibaren Yük Paylaşımı modunun desteklenmediğini de belirtmekte fayda var. Bu, kullanıcıların gerekli güncellemeleri almasını sınırlar. Yük Paylaşımının yeni sürümlerde desteklenip desteklenmeyeceği henüz bilinmiyor.
Alternatif olarak Point Maestro'yu kontrol edin
Küme açısından bakıldığında Check Point Maestro, Yüksek Kullanılabilirlik ve Yük Paylaşımı modlarının temel avantajlarından yararlandı:
- Orkestratöre bağlı ağ geçitleri, maksimum trafik işleme hızı sağlayan SecureXL'i kullanabilir. Yük Paylaşımının doğasında başka hiçbir kısıtlama yoktur;
- Trafik, bir Güvenlik Grubundaki (birkaç fiziksel ağ geçidinden oluşan mantıksal bir ağ geçidi) ağ geçitleri arasında dağıtılır. Bu sayede Yüksek Erişilebilirlik modunda olduğu gibi artık boş ağ geçitlerimiz olmadığından daha az verimli cihazlar kurabiliyoruz. Aynı zamanda, Yük Paylaşımı modunda olduğu gibi ciddi kayıplar olmadan güç neredeyse doğrusal olarak artırılabilir (daha fazla ayrıntı daha sonra).
Bunların hepsi harika, ancak iki spesifik örneğe bakalım.
Örnek 1 №
X şirketinin ağ çevresine bir ağ geçidi kümesi kurmayı düşünmesine izin verin. Yük Paylaşımının (onlar için kabul edilemez olan) tüm kısıtlamalarına zaten aşina oldular ve yalnızca Yüksek Kullanılabilirlik modunu düşünüyorlar. Boyutlandırmadan sonra,% 6800'den fazla yüklenmemesi gereken (en azından bir miktar performans rezervine sahip olmak için) 50 ağ geçidinin onlar için uygun olduğu ortaya çıktı. Bu bir küme olacağından, bekleme modunda basitçe havayı "dumanlayacak" ikinci bir cihaz satın almanız gerekir. Çok pahalı bir tütsü odası.
Ama bir alternatif var. Orchestrator'dan ve üç adet 6500 ağ geçidinden bir paket alın. Bu durumda trafik üç cihaz arasında dağıtılacaktır. İki modelin özelliklerine bakarsanız, üç adet 6500 ağ geçidinin bir adet 6800 ağ geçidinden daha güçlü olduğunu göreceksiniz.
Böylece, Check Point Maestro'yu seçerken X şirketi aşağıdaki avantajlardan yararlanır:
- Şirket hemen ölçeklenebilir bir platform oluşturuyor. Performansta daha sonraki bir artış, yalnızca 6500 parçalık bir donanımın daha eklenmesiyle elde edilecektir. Daha basit ne olabilir?
- Çözüm hala hataya dayanıklıdır, çünkü Bir düğüm arızalanırsa, kalan ikisi yükle başa çıkabilecektir.
- Aynı derecede önemli ve şaşırtıcı bir avantaj da daha ucuz olmasıdır! Maalesef fiyatları herkese açık olarak yayınlayamıyorum ancak ilgileniyorsanız
Örnek 2 №
Y şirketinin halihazırda 6500 modelden oluşan bir HA kümesine sahip olduğunu varsayalım. Aktif düğüm %85 oranında yüklenmiştir, bu da yoğun yükler sırasında üretken trafikte kayıplara yol açmaktadır. Sorunun mantıksal çözümü donanımın güncellenmesi gibi görünüyor. Bir sonraki model 6800. Yani. Şirketin ağ geçitlerini Takas programı aracılığıyla iade etmesi ve iki yeni (daha pahalı) cihaz satın alması gerekecektir.
Ancak alternatif bir seçenek var. Bir orkestratör ve tamamen aynı düğümden bir tane daha satın alın (6500). Üç cihazdan oluşan bir küme oluşturun ve yükün bu %85'ini üç ağ geçidine "yayın". Sonuç olarak, çok büyük bir performans marjı elde edeceksiniz (üç cihaz ortalama yalnızca %30 oranında yüklenecektir). Üç düğümden biri ölse bile geri kalan ikisi yine ortalama %45 yükle trafikle başa çıkacaktır. Ayrıca, yoğun yükler için, üç aktif 6500 ağ geçidinden oluşan bir küme, HA kümesinde (yani aktif/beklemede) bulunan bir 6800 ağ geçidinden daha güçlü olacaktır. Ayrıca bir veya iki yıl içinde Y şirketinin ihtiyaçları tekrar artarsa, o zaman tek yapmaları gereken tek şey bir veya iki tane daha 6500 düğüm eklemek olacaktır, buradaki ekonomik faydanın açık olduğunu düşünüyorum.
Sonuç
Evet, Check Point Maestro KOBİ'lere yönelik bir çözüm değildir. Ancak orta ölçekli bir işletme bile bu platformu zaten düşünebilir ve en azından ekonomik verimliliği hesaplamaya çalışabilir. Ölçeklenebilir platformların klasik bir kümeden daha karlı olabileceğini görünce şaşıracaksınız. Aynı zamanda sadece ekonomik değil teknik avantajlar da var. Ancak bir sonraki makalede bunlar hakkında konuşacağız ve burada teknik püf noktalarının yanı sıra birkaç tipik durumu (topoloji, senaryolar) göstermeye çalışacağım.
Ayrıca herkese açık sayfalarımıza da abone olabilirsiniz (, , , ), Check Point ve diğer güvenlik ürünlerindeki yeni materyallerin ortaya çıkışını takip edebileceğiniz yer.
Kaynak: habr.com