Geekly articles weekly

2. Casos de uso típicos para Check Point Maestro



Más recientemente, Check Point presentó la nueva plataforma escalable Maestro . Ya hemos publicado un artículo completo sobre qué es y cómo funciona . En resumen: le permite aumentar casi linealmente el rendimiento de Security Gateway combinando varios dispositivos y equilibrando la carga entre ellos. Sorprendentemente, todavía existe el mito de que esta plataforma escalable es adecuada solo para grandes centros de datos o para redes gigantes. Esto está completamente mal.

Check Point Maestro fue desarrollado para varias categorías de usuarios a la vez (los consideraremos un poco más adelante), entre los cuales también hay empresas medianas. En esta breve serie de artículos, trataré de reflejar las ventajas técnicas y económicas de Check Point Maestro para organizaciones medianas (de 500 usuarios) y por qué esta opción puede ser mejor que el clúster clásico .

Público objetivo Punto de control Maestro


En primer lugar, veamos los segmentos de usuarios para los que se desarrolló Check Point Maestro. Hay 4 de ellos:

1. Empresas que carecían de capacidades de chasis . Check Point Maestro no es la primera plataforma escalable de Check Point. Ya escribimos que anteriormente había modelos como 64000 y 44000. Aunque tenían un GRAN rendimiento, todavía tenían compañías que eran PEQUEÑAS. Maestro elimina este inconveniente, ya que le permite recopilar hasta el dispositivo 31 en un clúster de alto rendimiento. Al mismo tiempo, puede ensamblar un clúster a partir de dispositivos de gama alta (23900, 26000), logrando así un gran ancho de banda.

imagen

De hecho, en el campo de las puertas de enlace de seguridad, Check Point es el único que implementa esta función.

2. Empresas que desean poder elegir hardware . Uno de los inconvenientes de las plataformas escalables más antiguas es la necesidad de utilizar "módulos blade" estrictamente definidos (Check Point SGM). La nueva plataforma Check Point Maestro le permite utilizar una gran cantidad de dispositivos diferentes. Puede elegir ambos modelos del segmento medio (5600, 5800, 5900, 6500, 6800) y del segmento de gama alta (serie 15000, serie 23000, serie 26000). Además, puedes combinarlos, dependiendo de las tareas.



Esto es muy conveniente desde el punto de vista del uso óptimo de los recursos. Puede comprar solo el rendimiento que necesita, eligiendo el modelo correcto.

3. Empresas para quienes el chasis es demasiado, pero aún se necesita escalabilidad . Otro "inconveniente" de las viejas plataformas escalables (64000, 44000) fue un umbral de entrada alto (desde un punto de vista económico). Durante mucho tiempo, las plataformas escalables estuvieron disponibles solo para grandes empresas con presupuestos de TI "buenos". Con la llegada de Check Point Maestro, todo ha cambiado. El costo del paquete mínimo (orquestador + dos puertas de enlace) es comparable (y a veces menor) al clásico clúster activo / en espera. Es decir El umbral de entrada ha disminuido significativamente. Al elegir una solución, una empresa puede establecer de inmediato una arquitectura escalable, sin pagar de más por un posible aumento posterior de las necesidades. ¿Hay más usuarios un año después de la introducción de Check Point Maestro? Simplemente agregue una o dos puertas de enlace, sin ningún reemplazo existente. Ni siquiera tiene que cambiar la topología. Simplemente conecte las nuevas puertas de enlace a la orquesta y aplique la configuración en solo un par de clics.



4. Empresas que desean utilizar de manera óptima los dispositivos existentes . Creo que muchos están familiarizados con el procedimiento de intercambio. Cuando el rendimiento de los dispositivos existentes ya no es suficiente y para satisfacer las necesidades actuales, debe actualizar el hardware. Procedimiento bastante costoso. Además, a menudo hay una situación en la que un cliente tiene varios grupos de Check Point para diferentes tareas. Por ejemplo, un clúster para protección perimetral, un clúster para acceso remoto (RA VPN), un clúster para VSX, etc. Además, un grupo puede no tener suficientes recursos, mientras que el otro los tiene en abundancia. Check Maestro es una gran oportunidad para optimizar el uso de estos recursos distribuyendo dinámicamente la carga entre ellos.

imagen

Es decir Obtiene los siguientes beneficios:

  • No hay necesidad de "descartar" el hierro existente. Puedes comprar una o dos puertas de enlace, o ...
  • Configure el equilibrio de carga dinámico entre otras puertas de enlace existentes, para un uso más óptimo de los recursos. Si la carga en la puerta de enlace perimetral aumenta bruscamente, entonces el orquestador puede usar los recursos "aburridos" de las puertas de enlace de acceso remoto y viceversa. Esto ayuda a suavizar los picos de carga estacionales (o temporales).

Como probablemente haya entendido, los dos últimos segmentos son solo para empresas medianas, que ahora también pueden permitirse el uso de plataformas de seguridad escalables. Sin embargo, puede surgir una pregunta razonable: “ ¿Por qué es Check Point Maestro mejor que un clúster convencional? Intentaremos responder a esta pregunta.

Cluster Clásico vs Check Point Maestro


Si hablamos del clúster Check Point clásico, se admiten dos modos de funcionamiento: alta disponibilidad (es decir, activo / en espera) y uso compartido de carga (es decir, activo / activo). Describimos brevemente su significado de trabajo, así como sus pros y sus contras.

Alta disponibilidad (activa / en espera)


Como su nombre lo indica, en este modo de operación, un nodo pasa todo el tráfico a través de sí mismo, y el segundo en modo de espera y recoge el tráfico si el nodo activo comienza a experimentar algún problema.
Pros:

  • El modo más estable;
  • El mecanismo patentado SecureXL es compatible para acelerar el procesamiento del tráfico;
  • En caso de falla del nodo activo, se garantiza que el segundo pueda "digerir" todo el tráfico (porque es exactamente el mismo).

Contras:
De hecho, solo uno menos: un nodo está completamente inactivo. A su vez, debido a esto, nos vemos obligados a comprar hardware más potente para que pueda hacer frente solo al tráfico.



Por supuesto, el modo HA es más confiable que Load Sharing, pero la optimización de recursos deja mucho que desear.

Carga compartida (activa / activa)


En este modo, todos los nodos del clúster procesan el tráfico. Puede combinar hasta 8 dispositivos en dicho grupo ( no se recomiendan más de 4).
Pros:
  • Puede distribuir la carga entre los nodos, debido a que se requieren dispositivos menos eficientes;
  • Posibilidad de escalado suave (agregando hasta 8 nodos a un clúster).

Contras:

  • Curiosamente, pero los profesionales inmediatamente caen en las desventajas. Les gusta usar el modo de carga compartida incluso cuando la empresa tiene solo dos nodos. Queriendo ahorrar dinero, se compran dispositivos, cada uno de los cuales se carga al 40-50%. Y todo parece estar bien. Pero si un nodo cae, tenemos una situación en la que toda la carga va al resto, que simplemente no puede hacer frente. Como resultado, la tolerancia a fallas en dicho esquema está ausente como tal.
  • Agregue a eso un montón de restricciones de carga compartida ( sk101539 ). Y la limitación más importante es que SecureXL no es compatible, un mecanismo que acelera significativamente el procesamiento del tráfico;
  • En cuanto a la escala agregando nuevos nodos al clúster, desafortunadamente Load Sharing está lejos de ser ideal aquí. Si se agregan más de 4 dispositivos al clúster, el rendimiento comienza a disminuir drásticamente .

Teniendo en cuenta los dos primeros inconvenientes, para implementar la tolerancia a fallas cuando se usan dos nodos, también nos vemos obligados a comprar hardware más eficiente para que pueda "digerir" el tráfico en una situación crítica. Como resultado, no tenemos ningún beneficio económico, pero tenemos una gran cantidad de restricciones . Además, vale la pena señalar que, a partir de la versión R80.20, el modo Load Sharing no es compatible. Esto restringe a los usuarios a las actualizaciones necesarias. Aún no se sabe si Load Sharing será compatible con las versiones más recientes.

Check Point Maestro como alternativa


Desde el punto de vista del clúster, Check Point Maestro aprovechó las principales ventajas de los modos Alta disponibilidad y Uso compartido de carga:

  • Las puertas de enlace conectadas al orquestador pueden usar SecureXL, lo que garantiza la máxima velocidad de procesamiento del tráfico. No hay otras restricciones inherentes a la carga compartida;
  • El tráfico se distribuye entre las puertas de enlace en un grupo de seguridad (una puerta de enlace lógica que consta de varias unidades físicas). Gracias a esto, se pueden construir dispositivos menos eficientes, porque ya no tenemos puertas de enlace inactivas, como en el modo de alta disponibilidad. Al mismo tiempo, puede aumentar la potencia casi linealmente, sin pérdidas tan graves como en el modo de compartir carga (más sobre eso más adelante).

Todo esto es genial, pero veamos dos ejemplos específicos.

Ejemplo no 1


Deje que la compañía X tenga la intención de instalar un clúster de puerta de enlace en el perímetro de la red. Ya se han familiarizado con todas las limitaciones de Load Sharing (que son inaceptables para ellos) y consideran exclusivamente el modo de alta disponibilidad. Después del dimensionamiento, resulta que la puerta de enlace 6800 es adecuada para ellos, que no debe cargarse en más del 50% (para que haya al menos un margen en el rendimiento). Dado que será un clúster, debe comprar un segundo dispositivo, que estará en modo de espera simplemente "fumando" el aire. Sale un "ahumadero" muy caro.
Pero hay una alternativa. Tome el paquete de la orquesta y las tres puertas de enlace 6500. En este caso, el tráfico se distribuirá entre los tres dispositivos. Si observa las características de los dos modelos, verá que tres puertas de enlace 6500 son más potentes que una 6800.



Por lo tanto, la empresa X, al elegir Check Point Maestro, recibe los siguientes beneficios:

  • La compañía establece de inmediato una plataforma escalable. El aumento posterior de la productividad se reducirá a la simple adición de otra "pieza de hardware" 6500. ¿Qué podría ser más simple?
  • La solución sigue siendo tolerante a fallas, ya que Si un nodo falla, los dos restantes podrán hacer frente a la carga.
  • ¡Una ventaja igualmente importante y sorprendente es más barata! Desafortunadamente, no puedo publicar precios en el dominio público, pero si está interesado, puede contactarnos para hacer cálculos.

Ejemplo no 2


Supongamos que la empresa Y ya tiene un clúster HA de modelos 6500. El nodo activo tiene una carga del 85%, lo que en las cargas máximas genera pérdidas en el tráfico productivo. Una solución lógica al problema es actualizar la plancha. El siguiente modelo es 6800. I.e. la compañía necesitará pasar las puertas de enlace bajo el programa Trade-In y comprar dos dispositivos nuevos (más caros).
Pero hay una alternativa. Para comprar una orquesta y una más exactamente el mismo nodo (6500). Para ensamblar un grupo de tres dispositivos y "untar" estos 85% de la carga ya en tres puertas de enlace. Como resultado, obtendrá un gran margen de rendimiento (en promedio, se cargarán tres dispositivos con solo el 30%). Incluso si uno de los tres nodos "muere", los dos restantes seguirán lidiando con el tráfico con una carga promedio del 45%. Además, para cargas máximas, un grupo de tres puertas de enlace 6500 activas será más poderoso que una puerta de enlace 6800, que se encuentra en el grupo HA (es decir, activo / en espera). Además, si en un año o dos la empresa Y nuevamente necesita aumentar, todo lo que tienen que hacer es agregar uno / dos nodos 6500. Creo que el beneficio económico aquí es obvio.

Conclusión


Sí, Check Point Maestro no es una solución para SMB. Pero incluso las empresas medianas ya pueden pensar en esta plataforma y al menos intentar calcular la eficiencia económica. Se sorprenderá cuando descubra que las plataformas escalables pueden ser más rentables que un clúster clásico. Al mismo tiempo, hay ventajas no solo económicas, sino también técnicas. Sin embargo, ya hablaremos de ellos en el próximo artículo, donde además de los "chips" técnicos intentaré mostrar algunos casos típicos (topología, escenarios).

También puede suscribirse a nuestros públicos ( Telegram , Facebook , VK , Blog de soluciones de TS ), donde puede monitorear la aparición de nuevos materiales en Check Point y otros productos de seguridad.

Source: https://habr.com/ru/post/468789/

More articles:


All Articles