2. Typische Anwendungsfälle für Check Point Maestro

In jüngerer Zeit hat Check Point die neue skalierbare Maestro- Plattform eingeführt. Wir haben bereits einen ganzen Artikel darüber veröffentlicht, was es ist und wie es funktioniert . Kurz gesagt: Sie können die Leistung des Sicherheitsgateways nahezu linear steigern, indem Sie mehrere Geräte kombinieren und die Last zwischen ihnen ausgleichen. Überraschenderweise gibt es immer noch den Mythos, dass diese skalierbare Plattform nur für große Rechenzentren oder für riesige Netzwerke geeignet ist. Das ist völlig falsch.

Check Point Maestro wurde für mehrere Benutzerkategorien gleichzeitig entwickelt (wir werden sie etwas später betrachten), darunter auch mittelständische Unternehmen. In dieser kurzen Artikelserie werde ich versuchen, die technischen und wirtschaftlichen Vorteile von Check Point Maestro für mittelständische Unternehmen (ab 500 Benutzern) zu reflektieren und zu erläutern, warum diese Option möglicherweise besser ist als der klassische Cluster .

Zielgruppe Check Point Maestro

Schauen wir uns zunächst die Benutzersegmente an, für die Check Point Maestro entwickelt wurde. Es gibt 4 von ihnen:

1. Unternehmen, denen Chassis-Fähigkeiten fehlten . Check Point Maestro ist nicht die erste skalierbare Check Point-Plattform. Wir haben bereits geschrieben, dass es zuvor Modelle wie 64000 und 44000 gab. Obwohl sie eine GROSSE Leistung hatten, hatten sie immer noch Unternehmen, die KLEIN waren. Maestro beseitigt diesen Nachteil als Mit dieser Option können Sie bis zum 31. Gerät in einem Hochleistungscluster sammeln. Gleichzeitig können Sie einen Cluster aus Top-End-Geräten (23900, 26000) zusammenstellen und so eine enorme Bandbreite erzielen.



Im Bereich der Sicherheitsgateways ist Check Point der einzige, der diese Funktion implementiert.

2. Unternehmen, die Hardware auswählen möchten . Einer der Nachteile älterer skalierbarer Plattformen ist die Notwendigkeit, streng definierte „Blade-Module“ (Check Point SGM) zu verwenden. Mit der neuen Check Point Maestro-Plattform können Sie eine Vielzahl unterschiedlicher Geräte verwenden. Sie können beide Modelle aus dem mittleren Segment (5600, 5800, 5900, 6500, 6800) und aus dem High-End-Segment (Serie 15000, Serie 23000, Serie 26000) auswählen. Darüber hinaus können Sie sie je nach Aufgabe kombinieren.



Dies ist unter dem Gesichtspunkt einer optimalen Ressourcennutzung sehr praktisch. Sie können nur die Leistung kaufen, die Sie benötigen, indem Sie das richtige Modell auswählen.

3. Unternehmen, für die das Chassis zu viel ist, für die jedoch noch Skalierbarkeit erforderlich ist . Ein weiterer „Nachteil“ der alten skalierbaren Plattformen (64000, 44000) war eine hohe Einstiegsschwelle (aus wirtschaftlicher Sicht). Skalierbare Plattformen waren lange Zeit nur für große Unternehmen mit „guten“ IT-Budgets verfügbar. Mit dem Aufkommen von Check Point Maestro hat sich alles geändert. Die Kosten für das Mindestpaket (Orchestrator + zwei Gateways) sind vergleichbar (und manchmal niedriger) mit denen des klassischen Aktiv / Standby-Clusters. Das heißt, Die Eintrittsschwelle ist deutlich gesunken. Bei der Auswahl einer Lösung kann ein Unternehmen sofort eine skalierbare Architektur festlegen, ohne zu viel für eine mögliche spätere Erhöhung des Bedarfs zu zahlen. Gibt es ein Jahr nach der Einführung von Check Point Maestro weitere Benutzer? Fügen Sie einfach ein oder zwei Gateways hinzu, ohne dass Ersatz vorhanden ist. Sie müssen nicht einmal die Topologie ändern. Verbinden Sie einfach die neuen Gateways mit dem Orchester und wenden Sie die Einstellungen mit nur wenigen Klicks an.



4. Unternehmen, die vorhandene Geräte optimal nutzen möchten . Ich denke, viele kennen das Trade-In-Verfahren. Wenn die Leistung vorhandener Geräte nicht mehr ausreicht und die aktuellen Anforderungen erfüllt werden, müssen Sie die Hardware aktualisieren. Ziemlich teures Verfahren. Außerdem gibt es häufig Situationen, in denen ein Kunde mehrere Check Point-Cluster für verschiedene Aufgaben hat. Zum Beispiel ein Cluster für den Perimeterschutz, ein Cluster für den Remotezugriff (RA VPN), ein Cluster für VSX usw. Darüber hinaus verfügt ein Cluster möglicherweise nicht über genügend Ressourcen, während der andere über ausreichend Ressourcen verfügt. Check Maestro ist eine großartige Gelegenheit, die Nutzung dieser Ressourcen zu optimieren, indem die Last dynamisch auf sie verteilt wird.



Das heißt, Sie erhalten folgende Vorteile:

• Das vorhandene Eisen muss nicht „weggeworfen“ werden. Sie können ein oder zwei Gateways kaufen oder ...
• Richten Sie einen dynamischen Lastausgleich zwischen anderen vorhandenen Gateways ein, um die Ressourcen optimal zu nutzen. Wenn die Belastung des Perimeter-Gateways stark zunimmt, kann der Orchestrator die „gelangweilten“ Ressourcen der RAS-Gateways verwenden und umgekehrt. Dies hilft, saisonale (oder vorübergehende) Lastspitzen auszugleichen.

Wie Sie wahrscheinlich verstanden haben, handelt es sich bei den letzten beiden Segmenten nur um das mittelständische Unternehmen, das sich jetzt auch die Verwendung skalierbarer Sicherheitsplattformen leisten kann. Es kann sich jedoch eine vernünftige Frage stellen: „ Warum ist Check Point Maestro besser als ein herkömmlicher Cluster? Wir werden versuchen, diese Frage zu beantworten.

Klassischer Cluster gegen Check Point Maestro

Wenn wir über den klassischen Check Point-Cluster sprechen, werden zwei Betriebsmodi unterstützt: Hochverfügbarkeit (d. H. Aktiv / Standby) und Lastverteilung (d. H. Aktiv / Aktiv). Wir beschreiben kurz ihre Bedeutung der Arbeit sowie ihre Vor- und Nachteile.

Hochverfügbarkeit (Aktiv / Standby)

Wie der Name schon sagt, leitet in diesem Betriebsmodus ein Knoten den gesamten Datenverkehr durch sich selbst und der zweite im Standby-Modus und nimmt Datenverkehr auf, wenn beim aktiven Knoten Probleme auftreten.
Vorteile:

• Der stabilste Modus;
• Der proprietäre SecureXL-Mechanismus wird unterstützt, um die Verkehrsverarbeitung zu beschleunigen.
• Bei einem Ausfall des aktiven Knotens kann der zweite Knoten garantiert den gesamten Datenverkehr „verdauen“ (da er genau gleich ist).

Nachteile:
Tatsächlich ist nur ein Minus - ein Knoten vollständig inaktiv. Aus diesem Grund sind wir gezwungen, leistungsstärkere Hardware zu kaufen, damit diese den Datenverkehr alleine bewältigen kann.



Natürlich ist der HA-Modus zuverlässiger als die Lastverteilung, aber die Ressourcenoptimierung lässt zu wünschen übrig.

Lastverteilung (Aktiv / Aktiv)

In diesem Modus verarbeiten alle Knoten im Cluster den Datenverkehr. Sie können bis zu 8 Geräte in einem solchen Cluster kombinieren (mehr als 4 werden nicht empfohlen ).
Vorteile:

• Sie können die Last auf die Knoten verteilen, wodurch weniger effiziente Geräte erforderlich sind.
• Möglichkeit einer reibungslosen Skalierung (Hinzufügen von bis zu 8 Knoten zu einem Cluster).

Nachteile:

• Seltsamerweise, aber die Vorteile fallen sofort in die Nachteile. Sie verwenden den Load-Sharing-Modus auch dann, wenn das Unternehmen nur zwei Knoten hat. Um Geld zu sparen, werden Geräte gekauft, die jeweils zu 40-50% ausgelastet sind. Und alles scheint in Ordnung zu sein. Wenn jedoch ein Knoten fällt, entsteht eine Situation, in der die gesamte Last auf den verbleibenden Knoten übergeht, der einfach nicht bewältigt werden kann. Infolgedessen fehlt die Fehlertoleranz in einem solchen Schema als solches.
  
• Fügen Sie dem eine Reihe von Lastverteilungsbeschränkungen hinzu ( sk101539 ). Die wichtigste Einschränkung besteht darin, dass SecureXL nicht unterstützt wird. Dieser Mechanismus beschleunigt die Verkehrsverarbeitung erheblich.
• Was die Skalierung durch Hinzufügen neuer Knoten zum Cluster betrifft, ist die Lastverteilung hier leider alles andere als ideal. Wenn dem Cluster mehr als 4 Geräte hinzugefügt werden , sinkt die Leistung dramatisch .

Angesichts der ersten beiden Minuspunkte müssen wir zur Implementierung der Fehlertoleranz bei Verwendung von zwei Knoten auch effizientere Hardware kaufen, damit der Datenverkehr in einer kritischen Situation „verdaut“ werden kann. Infolgedessen haben wir keine wirtschaftlichen Vorteile, aber wir erhalten eine große Anzahl von Einschränkungen . Darüber hinaus ist zu beachten, dass ab Version R80.20 der Load-Sharing-Modus nicht unterstützt wird. Dies beschränkt die Benutzer auf die erforderlichen Aktualisierungen. Ob Load Sharing in neueren Versionen unterstützt wird, ist noch nicht bekannt.

Check Point Maestro als Alternative

Aus Clustersicht nutzte Check Point Maestro die Hauptvorteile der Modi Hochverfügbarkeit und Lastverteilung:

• Mit dem Orchestrator verbundene Gateways können SecureXL verwenden, wodurch eine maximale Geschwindigkeit der Verkehrsverarbeitung gewährleistet wird. Es gibt keine weiteren Einschränkungen für die Lastverteilung.
• Der Datenverkehr wird auf Gateways in einer Sicherheitsgruppe verteilt (ein logisches Gateway, das aus mehreren physischen Gateways besteht). Dank dessen können weniger effiziente Geräte gebaut werden, da wir keine inaktiven Gateways mehr haben, wie im Hochverfügbarkeitsmodus. Gleichzeitig können Sie die Leistung nahezu linear erhöhen, ohne so schwerwiegende Verluste wie im Load-Sharing-Modus (dazu später mehr).

Das alles ist großartig, aber schauen wir uns zwei konkrete Beispiele an.

Beispiel Nr. 1

Lassen Sie Unternehmen X beabsichtigen, einen Gateway-Cluster am Umfang des Netzwerks zu installieren. Sie haben sich bereits mit allen Einschränkungen der Lastverteilung vertraut gemacht (die für sie nicht akzeptabel sind) und erwägen ausschließlich den Hochverfügbarkeitsmodus. Nach der Dimensionierung stellt sich heraus, dass das 6800-Gateway für sie geeignet ist, das nicht zu mehr als 50% ausgelastet sein sollte (damit zumindest ein gewisser Leistungsspielraum besteht). Da es sich um einen Cluster handelt, müssen Sie ein zweites Gerät kaufen, das sich im Standby-Modus befindet und nur die Luft „raucht“. Eine sehr teure "Räucherei" kommt heraus.
Es gibt aber eine Alternative. Nehmen Sie das Bundle aus dem Orchester und drei Gateways 6500. In diesem Fall wird der Datenverkehr auf alle drei Geräte verteilt. Wenn Sie sich die Eigenschaften der beiden Modelle ansehen, werden Sie feststellen, dass drei 6500-Gateways leistungsstärker sind als ein 6800.



Somit erhält Unternehmen X bei Auswahl von Check Point Maestro die folgenden Vorteile:

• Das Unternehmen legt sofort eine skalierbare Plattform fest. Die anschließende Produktivitätssteigerung wird durch das einfache Hinzufügen eines weiteren „Hardware-Teils“ 6500 reduziert. Was könnte einfacher sein?
• Die Lösung ist weiterhin fehlertolerant Wenn ein Knoten ausfällt, können die verbleibenden zwei die Last bewältigen.
• Ein ebenso wichtiger wie überraschender Vorteil ist billiger! Leider kann ich keine Preise im öffentlichen Bereich veröffentlichen, aber bei Interesse können Sie uns für Berechnungen kontaktieren

Beispiel Nr. 2

Angenommen, Unternehmen Y verfügt bereits über einen HA-Cluster mit 6500 Modellen. Der aktive Knoten ist zu 85% ausgelastet, was bei Spitzenlasten zu Verlusten im produktiven Verkehr führt. Eine logische Lösung für das Problem ist die Aktualisierung des Bügeleisens. Das nächste Modell ist 6800. Das heißt. Das Unternehmen muss die Gateways im Rahmen des Trade-In-Programms passieren und zwei neue (teurere) Geräte kaufen.
Es gibt aber eine Alternative. Kauf eines Orchesters und eines weiteren genau gleichen Knotens (6500). Zusammenstellung eines Clusters von drei Geräten und „Verschmieren“ dieser 85% der Last bereits an drei Gateways. Als Ergebnis erhalten Sie eine enorme Leistungsspanne (im Durchschnitt werden drei Geräte mit nur 30% geladen). Selbst wenn einer der drei Knoten „stirbt“, werden die verbleibenden zwei Knoten den Verkehr mit einer durchschnittlichen Last von 45% bewältigen. Darüber hinaus ist bei Spitzenlasten ein Cluster aus drei aktiven 6500-Gateways leistungsfähiger als ein 6800-Gateway, das sich im HA-Cluster befindet (d. H. Aktiv / Standby). Wenn das Unternehmen Y in ein oder zwei Jahren erneut wachsen muss, müssen sie lediglich ein / zwei Knoten 6500 hinzufügen. Ich denke, der wirtschaftliche Nutzen liegt auf der Hand.

Fazit

Ja, Check Point Maestro ist keine Lösung für KMU. Aber auch mittelständische Unternehmen können bereits über diese Plattform nachdenken und zumindest versuchen, die Wirtschaftlichkeit zu berechnen. Sie werden überrascht sein, wenn Sie feststellen, dass skalierbare Plattformen rentabler sein können als ein klassischer Cluster. Gleichzeitig ergeben sich nicht nur wirtschaftliche, sondern auch technische Vorteile. Wir werden jedoch bereits im nächsten Artikel darüber sprechen, wo ich zusätzlich zu den technischen „Chips“ versuchen werde, einige typische Fälle (Topologie, Szenarien) aufzuzeigen.

Sie können auch unsere Öffentlichkeit ( Telegramm , Facebook , VK , TS Solution Blog ) abonnieren, in der Sie die Entstehung neuer Materialien auf Check Point und anderen Sicherheitsprodukten überwachen können.