Mais recentemente, a Check Point introduziu a nova plataforma escalável
Maestro . Já publicamos um artigo inteiro sobre
o que é e como funciona . Em resumo - permite aumentar quase linearmente o desempenho do Security Gateway combinando vários dispositivos e equilibrando a carga entre eles. Surpreendentemente, ainda existe o mito de que essa plataforma escalável é adequada apenas para grandes data centers ou para redes gigantes. Isso está completamente errado.
O Check Point Maestro foi desenvolvido para várias categorias de usuários de uma só vez (vamos considerá-los um pouco mais tarde), entre os quais também existem empresas de médio porte. Nesta curta série de artigos, tentarei refletir as
vantagens técnicas e econômicas do Check Point Maestro para organizações de médio porte (de 500 usuários) e por que essa opção pode ser melhor que o cluster clássico .
Maestro do ponto de verificação do público-alvo
Antes de tudo, vejamos os segmentos de usuários para os quais o Check Point Maestro foi desenvolvido. Existem 4 deles:
1. Empresas que careciam de recursos de chassi . O Check Point Maestro não é a primeira plataforma escalável do Check Point. Já escrevemos que anteriormente existiam modelos como 64000 e 44000. Embora eles tivessem um ótimo desempenho, eles ainda tinham empresas que eram POUCO. O Maestro elimina essa desvantagem, pois permite coletar até o 31º dispositivo em um cluster de alto desempenho. Ao mesmo tempo, você pode montar um cluster a partir de dispositivos de última geração (23900, 26000), obtendo uma enorme largura de banda.
De fato, no campo dos gateways de segurança, o Check Point é o único que implementa esse recurso.
2. Empresas que desejam poder escolher hardware . Uma das desvantagens das plataformas escalonáveis mais antigas é a necessidade de usar "módulos blade" estritamente definidos (Check Point SGM). A nova plataforma Check Point Maestro permite que você use um grande número de dispositivos diferentes. Você pode escolher os dois modelos no segmento intermediário (5600, 5800, 5900, 6500, 6800) e no segmento High-end (séries 15000, 23000, 26000). Além disso, você pode combiná-los, dependendo das tarefas.
Isso é muito conveniente do ponto de vista do uso ideal dos recursos. Você pode comprar apenas o desempenho que precisa, escolhendo o modelo certo.
3. Empresas para as quais o chassi é demais, mas a escalabilidade ainda é necessária . Outra “desvantagem” das antigas plataformas escalonáveis (64000, 44000) foi um alto limite de entrada (do ponto de vista econômico). Por um longo tempo, plataformas escaláveis estavam disponíveis apenas para grandes empresas com orçamentos de TI "bons". Com o advento do Check Point Maestro, tudo mudou. O custo do pacote mínimo (orquestrador + dois gateways) é comparável (e às vezes menor) ao cluster ativo / em espera clássico. I.e. o limite de entrada diminuiu significativamente. Ao escolher uma solução, uma empresa pode estabelecer imediatamente uma arquitetura escalável, sem pagar a mais por um possível aumento subsequente nas necessidades. Há mais usuários um ano após a introdução do Check Point Maestro? Basta adicionar um ou dois gateways, sem substituições existentes. Você nem precisa alterar a topologia. Basta conectar os novos gateways à orquestra e aplicar as configurações a eles em apenas alguns cliques.
4. Empresas que desejam otimizar o uso de dispositivos existentes . Acho que muitos estão familiarizados com o procedimento de troca. Quando o desempenho dos dispositivos existentes não for mais suficiente e para atender às necessidades atuais, você precisará atualizar o hardware. Procedimento bastante caro. Além disso, muitas vezes há uma situação em que um cliente possui vários clusters de Check Point para tarefas diferentes. Por exemplo, um cluster para proteção de perímetro, um cluster para acesso remoto (RA VPN), um cluster para VSX etc. Além disso, um cluster pode não ter recursos suficientes, enquanto o outro os possui em abundância. O Check Maestro é uma ótima oportunidade para otimizar o uso desses recursos, distribuindo dinamicamente a carga entre eles.
I.e. Você obtém os seguintes benefícios:
- Não há necessidade de "descartar" o ferro existente. Você pode comprar um ou dois gateways ou ...
- Configure o balanceamento de carga dinâmico entre outros gateways existentes, para um uso mais otimizado dos recursos. Se a carga no gateway de perímetro aumentar bastante, o orquestrador poderá usar os recursos “entediados” dos gateways de acesso remoto e vice-versa. Isso ajuda a suavizar os picos de carga sazonais (ou temporários).
Como você provavelmente entendeu, os dois últimos segmentos são voltados para empresas de médio porte, que agora também podem pagar o uso de plataformas de segurança escaláveis. No entanto, uma pergunta razoável pode surgir: “
Por que o Check Point Maestro é melhor que um cluster convencional? Vamos tentar responder a esta pergunta.
Classic Cluster vs Check Point Maestro
Se falamos do cluster clássico do Check Point, há suporte para dois modos de operação: alta disponibilidade (ou seja, ativo / em espera) e compartilhamento de carga (ou seja, ativo / ativo). Descrevemos brevemente seu significado de trabalho, bem como seus prós e contras.
Alta disponibilidade (ativo / em espera)
Como o nome indica, nesse modo de operação, um nó passa todo o tráfego por si mesmo e o segundo no modo de espera e captura o tráfego se o nó ativo começar a ter algum problema.
Prós:
- O modo mais estável;
- O mecanismo SecureXL proprietário é suportado para acelerar o processamento do tráfego;
- Em caso de falha do nó ativo, é garantido que o segundo seja capaz de "digerir" todo o tráfego (porque é exatamente o mesmo).
Contras:
De fato, apenas um sinal de menos - um nó está completamente ocioso. Por sua vez, por isso, somos obrigados a comprar hardware mais poderoso para que ele possa lidar apenas com o tráfego.
Obviamente, o modo HA é mais confiável que o compartilhamento de carga, mas a otimização de recursos deixa muito a desejar.
Compartilhamento de carga (ativo / ativo)
Nesse modo, todos os nós no cluster processam o tráfego. Você pode combinar até 8 dispositivos em um cluster desse tipo (mais de 4
não são
recomendados ).
Prós:
- Você pode distribuir a carga entre os nós, devido à qual dispositivos menos eficientes são necessários;
- Possibilidade de escala suave (adicionando até 8 nós a um cluster).
Contras:
- Curiosamente, mas os profissionais caem imediatamente nos contras. Eles gostam de usar o modo de compartilhamento de carga, mesmo quando a empresa possui apenas dois nós. Desejando economizar dinheiro, os dispositivos são comprados, cada um deles carregado de 40 a 50%. E tudo parece estar bem. Mas se um nó cair, temos uma situação em que toda a carga vai para o restante, que simplesmente não consegue lidar. Como resultado, a tolerância a falhas nesse esquema está ausente.
- Acrescente a isso várias restrições de compartilhamento de carga ( sk101539 ). E a limitação mais importante é que o SecureXL não é suportado, um mecanismo que acelera significativamente o processamento do tráfego;
- Quanto ao dimensionamento adicionando novos nós ao cluster, infelizmente o compartilhamento de carga está longe de ser o ideal aqui. Se mais de 4 dispositivos forem adicionados ao cluster, o desempenho começará a cair drasticamente .
Considerando os dois primeiros desvios, para implementar a tolerância a falhas ao usar dois nós, também somos obrigados a comprar hardware mais eficiente para que ele possa "digerir" o tráfego em uma situação crítica. Como resultado, não temos benefícios econômicos, mas temos um grande número de
restrições . Além disso, vale ressaltar que, a partir da versão R80.20, o modo de compartilhamento de carga não é suportado. Isso restringe os usuários às atualizações necessárias. Ainda não se sabe se o compartilhamento de carga será suportado em versões mais recentes.
Check Point Maestro como alternativa
Do ponto de vista do cluster, o Check Point Maestro aproveitou as principais vantagens dos modos de alta disponibilidade e compartilhamento de carga:
- Os gateways conectados ao orquestrador podem usar o SecureXL, o que garante a velocidade máxima do processamento do tráfego. Não há outras restrições inerentes ao compartilhamento de carga;
- O tráfego é distribuído entre gateways em um grupo de segurança (um gateway lógico que consiste em vários físicos). Graças a isso, dispositivos menos eficientes podem ser criados, porque não temos mais gateways ociosos, como no modo de alta disponibilidade. Ao mesmo tempo, você pode aumentar a potência quase linearmente, sem perdas sérias, como no modo de compartilhamento de carga (mais sobre isso mais tarde).
Tudo isso é ótimo, mas vamos olhar para dois exemplos específicos.
Exemplo No. 1
Deixe a empresa X pretender instalar um cluster de gateway no perímetro da rede. Eles já se familiarizaram com todas as limitações do compartilhamento de carga (que são inaceitáveis para eles) e estão considerando exclusivamente o modo de alta disponibilidade. Após o dimensionamento, verifica-se que o gateway 6800 é adequado para eles, que não deve ser carregado em mais de 50% (para que haja pelo menos alguma margem no desempenho). Como será um cluster, você precisará comprar um segundo dispositivo, que estará no modo de espera apenas "fumando" o ar. Um "fumeiro" muito caro sai.
Mas existe uma alternativa. Pegue o pacote da orquestra e três gateways 6500. Nesse caso, o tráfego será distribuído entre os três dispositivos. Se você observar as características dos dois modelos, verá que três gateways 6500 são mais poderosos que um 6800.
Assim, a empresa X, ao escolher o Check Point Maestro, recebe os seguintes benefícios:
- A empresa cria imediatamente uma plataforma escalável. O aumento subsequente da produtividade será reduzido à simples adição de outro "pedaço de hardware" 6500. O que poderia ser mais simples?
- A solução ainda é tolerante a falhas, pois se um nó falhar, os dois restantes poderão lidar com a carga.
- Uma vantagem igualmente importante e surpreendente é mais barata! Infelizmente, não posso postar preços em domínio público, mas se estiver interessado, entre em contato para fazer cálculos
Exemplo No. 2
Suponha que a empresa Y já tenha um cluster de HA de 6500 modelos. O nó ativo é carregado em 85%, o que em cargas de pico leva a perdas no tráfego produtivo. Uma solução lógica para o problema está atualizando o ferro. O próximo modelo é 6800. Ou seja, a empresa precisará passar pelos gateways no programa Trade-In e adquirir dois novos dispositivos (mais caros).
Mas existe uma alternativa. Para comprar uma orquestra e mais um exatamente o mesmo nó (6500). Montar um cluster de três dispositivos e "manchar" esses 85% da carga já em três gateways. Como resultado, você obterá uma enorme margem de desempenho (em média, três dispositivos serão carregados com apenas 30%). Mesmo que um dos três nós "morra", os dois restantes ainda lidarão com o tráfego com uma carga média de 45%. Além disso, para cargas de pico, um cluster de três gateways 6500 ativos será mais poderoso que um gateway 6800, localizado no cluster HA (ou seja, ativo / em espera). Além disso, se em um ano ou dois a empresa Y precisar aumentar novamente, tudo o que eles precisam fazer é adicionar mais um / dois nós de 6500. Acho que o benefício econômico aqui é óbvio.
Conclusão
Sim, o Check Point Maestro não é uma solução para SMB. Mas mesmo as empresas de médio porte já podem pensar nessa plataforma e pelo menos tentar calcular a eficiência econômica. Você ficará surpreso ao descobrir que plataformas escaláveis podem ser mais lucrativas que um cluster clássico. Além disso, existem vantagens não apenas econômicas, mas também técnicas. No entanto, falaremos sobre eles já no próximo artigo, onde, além dos "chips" técnicos, tentarei mostrar alguns casos típicos (topologia, cenários).
Você também pode se inscrever em nossos públicos (
Telegram ,
Facebook ,
VK ,
TS Solution Blog ), onde é possível monitorar o surgimento de novos materiais no Check Point e outros produtos de segurança.