في الآونة الأخيرة ، قدمت Check Point منصة
Maestro الجديدة القابلة للتطوير. لقد نشرنا بالفعل مقالًا كاملاً حول
ماهية هذا المحتوى وكيف يعمل . باختصار - يسمح لك بزيادة أداء بوابة الأمن بشكل خطي تقريبًا عن طريق الجمع بين العديد من الأجهزة وموازنة الحمل بينهما. والمثير للدهشة أنه لا تزال هناك خرافة مفادها أن هذه المنصة القابلة للتطوير مناسبة فقط لمراكز البيانات الكبيرة أو للشبكات العملاقة. هذا خطأ تماما.
تم تطوير Check Point Maestro لعدة فئات من المستخدمين في وقت واحد (سننظر فيها لاحقًا) ، ومن بينها أيضًا أعمال متوسطة الحجم. في هذه السلسلة القصيرة من المقالات ، سأحاول أن أعكس
المزايا التقنية والاقتصادية لـ Check Point Maestro للمؤسسات متوسطة الحجم (من 500 مستخدم) ولماذا قد يكون هذا الخيار أفضل من المجموعة الكلاسيكية .
الجمهور المستهدف نقطة تفتيش مايسترو
بادئ ذي بدء ، دعونا نلقي نظرة على شرائح المستخدم التي تم تطوير Check Point Maestro. هناك 4 منهم:
1. الشركات التي تفتقر إلى قدرات الهيكل . Check Point Maestro ليست أول منصة Check Point قابلة للتحجيم. لقد كتبنا بالفعل أنه في السابق كانت هناك طرز مثل 64000 و 44000. على الرغم من أن لديهم أداء رائعًا ، إلا أنهم ما زالوا لديهم شركات صغيرة. المايسترو يلغي هذا العيب ، كما يسمح لك بتجميع ما يصل إلى الجهاز 31 في مجموعة واحدة عالية الأداء. في الوقت نفسه ، يمكنك تجميع مجموعة من الأجهزة الراقية (23900 ، 26000) ، وبالتالي تحقيق عرض النطاق الترددي الهائل.
في الواقع ، في مجال بوابات الأمن ، Check Point هي الوحيدة التي تنفذ هذه الميزة.
2. الشركات التي تريد أن تكون قادرة على اختيار الأجهزة . أحد عيوب الأنظمة الأقدم القابلة للتطوير هي الحاجة إلى استخدام "وحدات الشفرة" المعرفة بدقة (Check Point SGM). تتيح لك منصة Check Point Maestro الجديدة استخدام عدد كبير من الأجهزة المختلفة. يمكنك اختيار كلا الطرازين من القطاع الأوسط (5600 ، 5800 ، 5900 ، 6500 ، 6800) ، ومن الفئة الراقية (15000 series ، 23000 series ، 26000 series). علاوة على ذلك ، يمكنك الجمع بينهما ، وهذا يتوقف على المهام.
هذا مريح للغاية من وجهة نظر الاستخدام الأمثل للموارد. يمكنك شراء فقط الأداء الذي تحتاجه ، عن طريق اختيار النموذج المناسب.
3. الشركات التي يكون هيكلها أكثر من اللازم ، ولكن لا تزال هناك حاجة إلى قابلية التوسع . كان هناك "عيب" آخر في المنصات القديمة القابلة للتطوير (64000 ، 44000) وهو عتبة الدخول العالية (من وجهة نظر اقتصادية). لفترة طويلة ، كانت المنصات القابلة للتطوير متاحة فقط للشركات الكبيرة ذات الميزانيات "الجيدة" لتكنولوجيا المعلومات. مع ظهور Check Point Maestro ، تغير كل شيء. تكلفة الحد الأدنى من الحزمة (أوركسترا + بوابتين) قابلة للمقارنة (وأحيانًا أقل) للمجموعة الكلاسيكية النشطة / الاحتياطية. أي انخفض عتبة الدخول بشكل ملحوظ. عند اختيار الحل ، يمكن للشركة أن تضع على الفور بنية قابلة للتطوير ، بينما لا تدفع مبالغ زائدة عن الزيادة المحتملة المحتملة في الاحتياجات. هل هناك المزيد من المستخدمين بعد سنة واحدة من تقديم Check Point Maestro؟ فقط أضف بوابة أو اثنتين ، دون أي بدائل موجودة. لست مضطرًا حتى لتغيير الهيكل. ما عليك سوى توصيل البوابات الجديدة بالأوركسترا وتطبيق الإعدادات عليها ببضع نقرات.
4. الشركات التي ترغب في استخدام الأجهزة الحالية على النحو الأمثل . أعتقد أن الكثير منهم معتادون على إجراء Trade-In. عندما لا يكون أداء الأجهزة الحالية كافياً ولتلبية الاحتياجات الحالية ، فأنت بحاجة إلى تحديث الجهاز. إجراء مكلفة للغاية. بالإضافة إلى ذلك ، غالبًا ما يكون هناك موقف عندما يكون لدى العميل العديد من مجموعات Check Point للقيام بمهام مختلفة. على سبيل المثال ، مجموعة لحماية المحيط ، مجموعة للوصول البعيد (RA VPN) ، مجموعة لنظام VSX ، إلخ. علاوة على ذلك ، قد لا يكون لدى مجموعة واحدة موارد كافية ، في حين أن المجموعة الأخرى لديها بوفرة. تعد Check Maestro فرصة رائعة لتحسين استخدام هذه الموارد عن طريق توزيع العبء بينها بشكل حيوي.
أي تحصل على الفوائد التالية:
- ليست هناك حاجة إلى "تجاهل" الحديد الموجود. يمكنك شراء بوابة واحدة أو اثنتين ، أو ...
- قم بإعداد موازنة تحميل ديناميكية بين العبّارات الموجودة الأخرى ، من أجل الاستخدام الأمثل للموارد. إذا زاد التحميل على بوابة المحيط بشكل حاد ، فيمكن للمنسق استخدام الموارد "المملّة" لبوابات الوصول عن بعد والعكس. هذا يساعد على تهدئة قمم الحمل الموسمية (أو المؤقتة).
كما تعلمون ، فإن الجزءين الأخيرين يتعلقان فقط بالأعمال التجارية المتوسطة الحجم ، والتي يمكنها الآن أيضًا استخدام منصات الأمان القابلة للتطوير. ومع ذلك ، قد يطرح سؤال معقول: "
لماذا تشيك بوينت مايسترو أفضل من الكتلة التقليدية؟ سنحاول الإجابة على هذا السؤال.
كلاسيك كلاستر vs تشيك بوينت مايسترو
إذا تحدثنا عن مجموعة Check Point الكلاسيكية ، فسيتم دعم وضعي التشغيل: التوفر العالي (أي نشط / الاستعداد) ومشاركة التحميل (أي نشط / نشط). نحن تصف بإيجاز معناها في العمل ، وكذلك إيجابياتهم وسلبياتهم.
عالية التوفر (نشط / الاستعداد)
كما يوحي الاسم ، في هذا الوضع من العملية ، تمر عقدة واحدة من كل حركة المرور من خلال نفسها ، والثانية في وضع الاستعداد وتلتقط حركة المرور إذا بدأت العقدة النشطة في مواجهة أي مشاكل.
الايجابيات:
- وضع الأكثر استقرارا.
- ويدعم آلية SecureXL الملكية لتسريع معالجة حركة المرور.
- في حالة فشل العقدة النشطة ، فإن الثانية تكون مضمونة لتكون قادرة على "هضم" كل حركة المرور (لأنه هو نفسه بالضبط).
سلبيات:
في الواقع ، ناقص واحد فقط - عقدة واحدة هي الخمول تماما. بدوره ، بسبب هذا ، نحن مضطرون إلى شراء أجهزة أكثر قوة حتى تتمكن من التعامل مع حركة المرور وحدها.
بالطبع ، يكون وضع HA أكثر موثوقية من "مشاركة التحميل" ، لكن تحسين الموارد يترك الكثير مما هو مرغوب فيه.
مشاركة التحميل (نشط / نشط)
في هذا الوضع ، تقوم كافة العقد في الكتلة بمعالجة حركة المرور. يمكنك دمج ما يصل إلى 8 أجهزة في مثل هذه الكتلة (
لا ينصح بأكثر من 4 أجهزة).
الايجابيات:
- يمكنك توزيع الحمل بين العقد ، نظرًا لوجود أجهزة أقل كفاءة ؛
- إمكانية التحجيم السلس (إضافة ما يصل إلى 8 عقد إلى كتلة).
سلبيات:
- الغريب ، ولكن الايجابيات تقع على الفور في سلبيات. يرغبون في استخدام وضع Load Sharing حتى عندما يكون لدى الشركة عقدتان فقط. الرغبة في توفير المال ، يتم شراء الأجهزة ، كل منها يتم تحميله بنسبة 40-50 ٪. ويبدو أن كل شيء على ما يرام. لكن إذا سقطت إحدى العقدين ، فسنحصل على موقف ينتقل فيه الحمل بالكامل إلى الباقي ، والذي ببساطة لا يمكن التعامل معه. نتيجة لذلك ، يكون التسامح مع الخطأ في مثل هذا المخطط غائباً على هذا النحو.
- أضف إلى ذلك مجموعة من قيود مشاركة التحميل ( sk101539 ). والقيد الأكثر أهمية هو أن SecureXL غير مدعوم ، وهي آلية تسرع معالجة حركة المرور بشكل كبير ؛
- بالنسبة للتحجيم من خلال إضافة عقد جديدة إلى المجموعة ، للأسف ، تعتبر ميزة "مشاركة التحميل" بعيدة عن المثالية هنا. إذا تمت إضافة أكثر من 4 أجهزة إلى المجموعة ، فسيبدأ الأداء في الانخفاض بشكل كبير .
النظر في أول اثنين من السلبيات ، لتنفيذ التسامح مع الخطأ عند استخدام العقدتين ، ونحن مضطرون أيضا إلى شراء أجهزة أكثر كفاءة بحيث يمكن "هضم" حركة المرور في موقف حرج. نتيجة لذلك ، ليس لدينا أي فوائد اقتصادية ، ولكن لدينا عددًا كبيرًا من
القيود . علاوة على ذلك ، تجدر الإشارة إلى أنه ، بدءًا من الإصدار R80.20 ، وضع تحميل المشاركة غير مدعوم. هذا يقيد المستخدمين على التحديثات الضرورية. ما إذا كان سيتم دعم "مشاركة التحميل" في الإصدارات الأحدث ما زال غير معروف.
تحقق نقطة مايسترو كبديل
من وجهة نظر نظام المجموعة ، استحوذ Check Point Maestro على المزايا الرئيسية لأوضاع التوفر العالي ومشاركة التحميل:
- يمكن للبوابات المتصلة بالمنسق استخدام SecureXL ، مما يضمن أقصى سرعة لمعالجة حركة المرور. لا توجد قيود أخرى ملازمة لمشاركة التحميل ؛
- يتم توزيع حركة المرور بين العبّارات في مجموعة أمان واحدة (بوابة منطقية تتألف من عدة بوابات مادية). بفضل هذا ، يمكن بناء أجهزة أقل كفاءة ، لأنه لم يعد لدينا بوابات خاملة ، كما في وضع التوافر العالي. في الوقت نفسه ، يمكنك زيادة الطاقة بشكل خطي تقريبًا ، دون حدوث خسائر جسيمة كما هو الحال في وضع "مشاركة التحميل" (المزيد حول ذلك لاحقًا).
كل هذا رائع ، لكن دعونا ننظر إلى مثالين محددين.
مثال رقم 1
دع الشركة X تنوي تثبيت مجموعة عبّارات على محيط الشبكة. لقد تعرفوا بالفعل على جميع القيود المفروضة على "مشاركة التحميل" (وهي غير مقبولة بالنسبة لهم) ويفكرون في وضع "التوفر العالي" على وجه الحصر. بعد التحجيم ، اتضح أن بوابة 6800 مناسبة لهم ، ولا ينبغي تحميلها بأكثر من 50٪ (بحيث يكون هناك بعض الهامش على الأقل في الأداء). نظرًا لأنه سيكون كتلة ، فأنت بحاجة إلى شراء جهاز ثانٍ ، سيكون في وضع الاستعداد "يدخن" الهواء فقط. غالي جدا "الدخان" يخرج.
ولكن هناك بديل. أخذ الحزمة من الأوركسترا والبوابات الثلاث 6500. في هذه الحالة ، سيتم توزيع حركة المرور بين الأجهزة الثلاثة. إذا نظرت إلى خصائص النموذجين ، سترى أن ثلاثة بوابات 6500 أقوى من 6800 بوابة.
وبالتالي ، فإن الشركة X ، عند اختيار Check Point Maestro ، تتلقى المزايا التالية:
- تضع الشركة على الفور منصة قابلة للتطوير. سيتم تقليل الزيادة اللاحقة في الإنتاجية إلى إضافة بسيطة لـ "قطعة من الأجهزة" 6500. ماذا يمكن أن يكون أكثر بساطة؟
- الحل لا يزال خطأ التسامح ، كما في حالة فشل عقدة واحدة ، سيتمكن الاثنان المتبقيان من مواجهة الحمل.
- ميزة على نفس القدر من الأهمية والمدهشة أرخص! لسوء الحظ ، لا يمكنني نشر الأسعار في المجال العام ، لكن إذا كنت مهتمًا ، يمكنك الاتصال بنا لإجراء العمليات الحسابية
مثال رقم 2
لنفترض أن الشركة Y لديها بالفعل مجموعة HA مكونة من 6500. العقدة النشطة محملة بنسبة 85٪ ، مما يؤدي في أوقات الذروة إلى خسائر في حركة الإنتاج الإنتاجية. الحل المنطقي للمشكلة هو تحديث الحديد. النموذج التالي هو 6800. ستحتاج الشركة إلى تمرير العبّارات ضمن برنامج Trade-In وشراء جهازين (أغلى) الجديدان.
ولكن هناك بديل. لشراء أوركسترا وواحدة أخرى بالضبط نفس العقدة (6500). لتجميع مجموعة من ثلاثة أجهزة و "تشويه" هذه 85 ٪ من الحمل بالفعل في ثلاث بوابات. نتيجة لذلك ، ستحصل على هامش كبير في الأداء (في المتوسط ، سيتم تحميل ثلاثة أجهزة بنسبة 30٪ فقط). حتى إذا ماتت إحدى العقد الثلاث ، فسيظل الاثنان المتبقيان يتعاملان مع حركة المرور بمعدل تحميل يبلغ 45٪. علاوة على ذلك ، بالنسبة لأحمال الذروة ، ستكون المجموعة المكونة من ثلاث بوابات نشطة تبلغ 6500 أكثر قوة من بوابة 6800 واحدة ، والتي توجد في مجموعة HA (أي نشطة / الاستعداد). بالإضافة إلى ذلك ، إذا كانت الشركة Y تحتاج إلى زيادة مرة أخرى بعد عام أو عامين ، فكل ما يتعين عليهم فعله هو إضافة عقد / عمودين أخريين تبلغ 6500. وأعتقد أن الفائدة الاقتصادية هنا واضحة.
استنتاج
نعم ، Check Point Maestro ليس حلاً للشركات الصغيرة والمتوسطة. ولكن حتى الشركات المتوسطة الحجم يمكنها بالفعل التفكير في هذا النظام الأساسي وعلى الأقل محاولة حساب الكفاءة الاقتصادية. ستندهش عندما تكتشف أن الأنظمة الأساسية القابلة للتطوير يمكن أن تكون أكثر ربحية من المجموعة الكلاسيكية. في الوقت نفسه ، هناك مزايا ليس فقط الاقتصادية ، ولكن أيضا التقنية. ومع ذلك ، سنتحدث عنهم في المقال التالي ، حيث سأحاول بالإضافة إلى "الرقائق" التقنية إظهار بعض الحالات النموذجية (الهيكل ، السيناريوهات).
يمكنك أيضًا الاشتراك في جمهورنا (
Telegram و
Facebook و
VK و
TS Solution Blog ) ، حيث يمكنك مراقبة ظهور مواد جديدة على Check Point وغيرها من منتجات الأمان.