Czym jest Check Point Maestro? Czyżby Check Point zaczął tworzyć muzykę?
2022-10-12
Autor: Marcin Cyngler
Niniejszy artykuł ma na celu przedstawienie Wam ogólnego zarysu czym jest Maestro. Bez zagłębiania się w mocno techniczne aspekty, postaram się przybliżyć to rozwiązanie i pokazać dlaczego jest takie wyjątkowe.
Dlaczego wszyscy lubimy urządzenia połączone w klaster?
Z kilku powodów, z których chyba najważniejszym jest ten, że takie połączenie zapewnia niezawodność i dostępność. Innym powodem może być większa wydajność wielu urządzeń, które pracują jako jeden organizm. Klasycznym przykładem klastra jest High Availability (HA). Najczęściej mamy tutaj do czynienia z dwoma urządzeniami, które pracują jako Active/Standby, a zatem realnie cały ruch sieciowy i wszystkie operacje związane z zapewnieniem bezpieczeństwa wykonuje jedno urządzenie, a drugie jest gotowe na to aby przejąć od niego te zadania na wypadek awarii.
Check Point oczywiście również oferuje tego typu rodzaj klastra, tyle że nie ogranicza się do dwóch urządzeń - tych urządzeń może być nawet pięć. Poza klasycznym HA, Check Point oferuje również inne modele klastra, między innymi Load Sharing, który możemy również nazwać klastrem Active/Active. W tym modelu połączone ze sobą urządzenia są aktywne, a zatem każde z nich uczestniczy w obsłudze ruchu sieciowego oraz zapewnieniu bezpieczeństwa sieciowego.
Gdyby jedno z urządzeń uległo awarii, oczywiście pozostałe urządzenia, niejako w zastępstwie, przejęłyby jego sesje/połączenia/itp.
Typowy klaster (3) składający się z dwóch urządzeń
Jak to działa?
Za wszystko odpowiada proces synchronizacji, który nieustannie bez żadnej zbędnej zwłoki działa pomiędzy wszystkimi urządzeniami połączonymi w klaster. Jego zadaniem jest to, aby każde z urządzeń w tym samym czasie wiedziało o wszystkich połączeniach jakie są realizowane w ramach klastra.
W teorii brzmi to znakomicie, a jak to wygląda w praktyce?
Otóż ten proces, w celu realizacji swojego zadania, musi wykorzystać pewne zasoby urządzeń pracujących w klastrze. Zatem urządzenia poza normalnymi czynnościami związanymi z przekazywaniem połączeń sieciowych, zapewnieniem ochrony i generalnie tym czego od nich oczekuje ich administrator, muszą również wykonywać tę synchronizację. Tego typu operacja może skonsumować nawet do 30% zasobów takiego urządzenia. Weźmy na ten przykład cztery urządzenia połączone w klaster. Umówmy się, że każde z nich pracując niezależnie miałoby wydajność 100%. Jeżeli połączymy je w klaster, to sumaryczna wydajność takiego klastra będzie wynosiła nie 400% lecz 280% (400% - 4*30%).
Jaki stąd wniosek?
Klaster to znakomite rozwiązanie, które jednak nie jest pozbawione pewnych wad...
A gdyby tak mieć klaster, który pozbawiony jest tych wad?
A gdyby tak można było podłączyć jeszcze więcej urządzeń w klaster?
A gdyby tak sumaryczna wydajność była zauważalnie wyższa?
A gdyby tak można było podłączyć jeszcze więcej urządzeń w klaster?
A gdyby tak sumaryczna wydajność była zauważalnie wyższa?
Firma Check Point już dawno dostrzegła ten problem i już w 2011 roku wprowadziła na rynek rozwiązanie o nazwie Scalable Platform. Jest to dedykowana platforma, do której można podłączyć nawet do 12 specjalnych urządzeń nazywanych Security Blades. Rozwiązanie iście rewolucyjne, jak na tamte czasy, pomimo niezaprzeczalnej wyższości nad klasycznym klastrem, również miało pewne ograniczenia, ot choćby maksymalna liczba urządzeń (12), konieczność stosowania dedykowanych urządzeń, cena... Dlatego też w 2019 roku premierę miał sukcesor tego rozwiązania o nazwie Maestro.
Modele Check Point Maestro
Czym jest Maestro, skąd taka nazwa?
Maestro można sobie wyobrazić jako zarządcę, dyrygenta zespołu, kapitana statku, itp. Inaczej mówiąc tego, który ma największą wiedzę o celu i tego który wie jak taki cel zrealizować. Tego typu rozwiązanie nazywamy orkiestratorem, stąd analogia w nazwie tego rozwiązania nie powinna już budzić żadnych wątpliwości. Maestro możemy też określić jako wielce zaawansowany switch, ponieważ już na pierwszy rzut oka wygląda właśnie jak switch.
Na początku dostępne były dwa modele:
- MHO-140, składający się z 48 portów 10Gb/s oraz 8 portów 100 Gb/s,
- MHO-170, składający się z 32 portów 100Gb/s,
W kwietniu 2021 dołączył do nich model MHO-175, który konstrukcyjnie nawiązuje do modelu MHO-170 i jest jego naturalnym sukcesorem. MHO-140 jest w stanie obsłużyć do 1,28Tb/s, a MHO-170 oraz MHO-175 nawet do 3,2Tb/s.
Przy czym warto również zauważyć, że przekazywanie ruchu sieciowego z portu do portu trwa jedynie 300/400 nanosekund! Mało tego, jeden port 100Gb/s można zamienić na cztery porty po 10Gb/s każdy za pomocą specjalnego kabla (break-out cable). W przypadku modeli MHO-140, MHO-170 można takich kabli podłączyć odpowiednio 4 lub 16. W przypadku modelu MHO-175 aż 32 co realnie da 32*4=128 portów po 10Gb/s każdy!
Kabel break-out
Dzięki Maestro udało się w znacznym stopniu wyeliminować ułomności klasycznego klastra.
Co byście powiedzieli na klaster składający się z kilkudziesięciu urządzeń?
Z Maestro jest to możliwe. Do jednego Maestro można nawet podłączyć do 52 urządzeń! Następnie można je zgrupować w tzw. Security Group, które można nazwać niezależnymi klastrami. Na chwilę obecną może ich być 8 lecz wartość ta niedługo powinna wzrosnąć. Do każdej z tych grup można podłączyć aż do 31 urządzeń!
Jakie to może mieć zastosowanie?
Przy tak dużej liczbie urządzeń zastosowań można znaleźć naprawdę wiele, np.:
- jeżeli jesteśmy firmą outsourcingową, świadczącą usługi wielu firmom, to na jednym Maestro możemy stworzyć kilka niezależnych klastrów - jeden per firma,
- jeżeli nasza firma ma kilka oddziałów/departamentów/itp. to za pomocą Maestro możemy je od siebie odseparować i zapewnić niezależne środowiska,
- jeżeli jesteśmy firmą, której biznes polega na handlu w sklepie stacjonarnym oraz sklepie Internetowym - również tutaj Maestro będzie znakomitym wyborem.
Wszystkie urządzenia podłączone do Maestro wchodzące w skład takiej Security Groupy są urządzeniami Active, a zatem uczestniczą w ruchu sieciowym i zapewnieniu bezpieczeństwa.
Zatem co takiego odróżnia Maestro od klasycznego klastra Active/Active?
Przede wszystkim wspomniany już wcześniej proces synchronizacji. W przeciwieństwie do klasycznego klastra, tutaj ten proces jest zdecydowanie szybszy. Spadek wydajności pojedynczego urządzenia wchodzącego w skład Security Groupy to zaledwie 1%.
Jak to możliwe?
Otóż Check Point zastosował zaawansowany algorytm, który zapewnia nie tylko gwarancję niezawodności, skalowalność, rozkładanie ruchu sieciowego równomiernie na urządzenia, ale również zdecydowanie zmniejszył narzut na ruch synchronizacyjny. Ten ruch nie musi się już odbywać na zasadzie każdy z każdym, a mimo to zapewnione jest to, że na wypadek awarii dowolnego z urządzeń, cały jego ruch zostanie obsłużony przez inne. To rozwiązanie Check Point nazwał HyperSync. Pamiętacie poprzedni przykład czterech urządzeń tworzących klaster i ich sumaryczną wydajność na poziomie 280%? W Maestro sumaryczna wydajność tych urządzeń wynosi zatem 384% (400% - 0,04*400%). Jest to zatem zdecydowany wzrost.
Porównanie Maestro do typowego klastra
Maestro jest bardzo dynamicznie rozwijającym się produktem i z każdą aktualizacją oprogramowania dodawane są nowe funkcjonalności oraz rozwijane te już istniejące. Podczas debiutu tego rozwiązania w jednej Security Groupie można było mieć urządzenia składające się jedynie z tych samych modeli - obecnie to ograniczenie przeszło do historii i można łączyć ze sobą różne modele.
No dobrze, ale o jakich urządzeniach tutaj mówimy?
To jest w Maestro najlepsze - nie ma potrzeby stosowania żadnych specjalnie dedykowanych urządzeń! Do Maestro można podłączyć obecnie wykorzystywane urządzenia. Jedynym wymogiem jest to aby takie urządzenie miało 10Gb/s interfejsy sieciowe. Zatem jeżeli obecnie korzystamy z urządzeń Check Point Quantum np. z serii 5000 albo 6000, 7000, 12000, itd. nic nie stoi na przeszkodzie aby połączyć je w klaster przy pomocy Maestro.
Różne modele Security Gateway w tej samej Security Groupie
A wiecie co w tym wszystkim jest najlepsze?
Wyobraźmy sobie, że obecnie macie urządzenia z serii 6000, które prędzej czy później zostaną wycofane ze wsparcia i zastąpione nowymi modelami. No i co wtedy? Otóż można je zastępować nowymi modelami krok po kroku. Na przykład w jednym roku budżetowym zakupić dwa nowe modele, w kolejnym roku kolejne dwa, itd. Nowe urządzenia po zakupie można dodać do klastra urządzeń 6000, a później stare po prostu z tego klastra odłączyć (albo pozostawić - wybór należy do Was). W ten sposób cały czas mamy zapewnioną ciągłość pracy firmy i aktualną linię wspieranych przez producenta modeli.
Pamiętacie tę firmę, która ma sklep stacjonarny i Internetowy?
Domyślacie się zapewne jak dla takiej firmy wygląda okres Świąt Bożego Narodzenia. Wtedy oczywiście pojawia się większe zainteresowanie klientów, w szczególności tych Internetowych.
Jak Maestro może takiej firmie pomóc?
Wyobraźmy sobie, że po rozeznaniu własnych potrzeb w zakresie zapewnienia bezpieczeństwa zarówno sklepowi stacjonarnemu, jak i temu Internetowemu firma zdecydowała się zakupić Maestro oraz 6 urządzeń Quantum 6200. Trzy urządzenia zostały połączone w jedną Security Groupę chroniąc sklep stacjonarny, a pozostała trójka utworzyła drugą Security Groupę chroniąc sklep Internetowy. No i mamy grudzień. Sklep stacjonarny bez problemu "daje radę", a tymczasem sklep Internetowy przeżywa wzmożony ruch klientów i witryna sklepu działa gorzej z minuty na minutę. Wspaniałe w Maestro jest to, że w takiej sytuacji administrator może przenieść jedno z urządzeń z Security Groupy sklepu stacjonarnego, do tej Security Groupy sklepu Internetowego, zapewniając tym samym wzrost wydajności temu drugiemu.
A gdyby tak wszystko to działo się bezobsługowo?
A gdyby tak urządzenie samo odłączyło się z jednej Security Groupy i przeniosło do drugiej, wtedy gdy będzie taka potrzeba?
W Maestro jest to możliwe i nazywa się AutoScaling. Jeżeli jednak nie będzie takiej możliwości aby jedno z urządzeń przenieść tymczasowo do Security Groupy, ponieważ obciążenie obu sklepów jest na takim poziomie, że nie wchodzi w grę przeniesienie urządzenia, to co wtedy? Wtedy wystarczy dokupić kolejne urządzenie i po jego podłączeniu do Maestro, w ciągu dosłownie kilku minut można je dodać do takiej Security Groupy zwiększając jej wydajność.
Dodanie dodatkowego urządzenia do Security Groupy w przypadku zbyt dużego obciążenia - AutoScaling
Odłączenie nadmiarowego urządzenia od Security Groupy - AutoScaling
No dobrze, a jeżeli mamy kilka oddziałów?
No i oczywiście chcemy się zabezpieczyć na wypadek katastrofy jednego z tych oddziałów? Czy w tym Maestro również może pomóc? Oczywiście, że tak! Mamy tutaj do dyspozycji tzw. Dual Site, który polega na tym, że w jednej lokalizacji mamy jedno Maestro, a w drugiej drugie. Oba są ze sobą połączone. Urządzenia podłączone do poszczególnych Maestro mogą tworzyć Security Groupy składające się jedynie z urządzeń w danym oddziale, ale również mogą tworzyć Security Groupy, do których podłączone są urządzenia z obu oddziałów, można powiedzieć, że to taka Security Groupa rozszerzona geograficznie.
Co to nam daje?
Otóż każde z połączeń jest replikowane również do drugiego Maestro, stąd jeżeli wystąpi katastrofa w jednym z oddziałów i taki oddział zostanie zupełnie odcięty od świata, to urządzenia w drugim oddziale przejmą te połączenia zapewniając nam ciągłość pracy.
Schemat konfiguracji Dual-Site
Podsumowując: Maestro to nowy wymiar klastrowania urządzeń. Dzięki niemu możemy zapomnieć o ograniczeniach jakie mają klasyczne klastry. Jeżeli Twoja firma będzie się rozwijać/rosnąć, Maestro będzie się mogło rozwijać/rosnąć wraz z nią - dodanie kolejnych urządzeń do klastra jest tak proste jak 2+2=4.
Galeria
