Hyperscale on-prem firewalls: cloudflexibiliteit in je datacenter

Check Point Maestro

IT-verantwoordelijken binnen scale-ups en groeibedrijven worden continu uitgedaagd door evoluerende hardware-eisen. Snel schalen is cruciaal om iedereen aan het werk te houden, maar cybersecurity mag niemand uit het oog verliezen. Check Point biedt met Maestro een flexibele on-premises oplossing om snel en efficiënt veilig te groeien.

In elk datacenter zit vandaag een firewall die de veiligheid van alle netwerkverkeer beheert. Dat principe werkt al jaren prima, maar vaak wordt zo’n opstelling gecombineerd met een active-passive-opstelling waarbij je ergens een kopie van de hardware klaar hebt staan in geval van problemen. Meer capaciteit nodig? Dan moet je de volledige firewall vervangen door een krachtiger model.

Check Point heeft daarom met Maestro een uniek schaalbaar platform dat flexibel kan worden ingezet binnen elke organisatie. “De technologie komt van onze oplossingen voor telecomproviders die al jarenlang onze hardware gebruiken”, zegt Kristof Lossie, Security Engineer Team Manager bij Check Point.

“Tot twee jaar geleden was die technologie niet betaalbaar behalve voor de allergrootste organisaties. Met Maestro lanceren we een modulaire oplossing die snel en flexibel schaalbaar is zoals de public cloud, maar dan on-premises.”

Efficiënt stapelen en uitbreiden

Wie vandaag als groeibedrijf snel netwerkcapaciteit en bijhorend extra veiligheid nodig heeft, kan vrij winkelen bij de grote public cloud-aanbieders of (lokale) MSP’s. Die laten je toe om snel te schakelen zonder dat een organisatie het risico loopt om stil te vallen. Er zijn echter heel wat organisaties die de switch naar de public cloud niet volledig kunnen maken, zoals ziekenhuizen of universiteiten.

“Hou ook rekening met de kost van cloudproviders, die swingen snel de pan uit wanneer je het overzicht niet behoudt”, benadrukt Lossie. “Capaciteit die structureel nodig is, heb je beter on-premises.”

Hou rekening met de kost van cloudproviders, die swingen snel de pan uit wanneer je het overzicht niet behoudt.

Kristof Lossie, Security Engineer Team Manager bij Check Point

Bij firewallfabrikanten heb je vandaag tal van oplossingen voor bedrijven klein en groot, maar zelden zijn ze flexibel en efficiënt binnen groeiende ondernemingen waar de situatie snel verandert. Met Maestro heeft Check Point de technologie van de telecomproviders uit het chassis gehaald en bestaat de set uit een intelligente orchestrator en gateways met diverse capaciteiten.

“In plaats van speciale modules in een speciaal chassis, hebben onze gateways het pizzadoos-formaat. Zo kan je efficiënt stapelen en uitbreiden, terwijl  de orchestrator het hart van de installatie blijft.” Volgens Lossie past Maestro heel goed in hyperconverged omgevingen waar de huidige complexiteit in datacenters wordt verminderd om de schaalbaarheid te vergroten.

Hoog rendement

Wanneer we Maestro van dichterbij bekijken, zien we dat Check Point sterk de nadruk legt op het rendement van de installatie. Elke gateway die je toevoegt aan de opstelling schaalt lineair en vraagt geen extra configuratie. Een geconfigureerde orchestrator kan je met maximaal 52 slots uitbreiden, goed voor maximaal 1,5 Tbps aan throughput. Extra capaciteit installeren door één of meerdere firewalls toe te voegen, duurt maar zes minuten voor die operationeel is.

Een extra troef om kosten te beperken is de efficiënte N+1-uitrol. Een standaard high-availabilty cluster werkt volgens het active-passive-principe waarbij er één werkt en de andere wacht tot er iets mis gaat. Met HyperSync, een techniek van Check Point die bij telecomproviders massaal worden gebruikt, is dat niet nodig.

lees ook

Check Point: ‘SASE is de toekomst’

Met HyperSync kan je binnen een systeem volledig redundant werken door vooraf te bepalen hoeveel systemen mogen uitvallen tot alles plat ligt. “Meestal nemen we één gateway, heel soms twee maar dat is uitzonderlijk”, zegt Lossie. Van zodra er één wegvalt, wordt de load direct opnieuw verdeeld over de andere gateways zodat alles operationeel blijft.  

Dat kan omdat elke connectie een primaire firewall krijgt toegewezen, en één back-up. Van zodra er iets mis is met de primaire firewall, wordt er naadloos gewisseld naar de back-up zonder dat iemand er iets van merkt volgens Check Point. “Slaat het noodlot toe en falen er tegelijk meerdere firewalls of wordt de throughput te hoog? Dan is bij ons de standaardinstelling dat het netwerkverkeer wordt stilgelegd. Een andere optie is om het verkeer door te laten gaan, onbeveiligd, maar dat raden we nooit aan. Je wil namelijk niet dat een DDOS-aanval alles satureert en de hacker vrij spel krijgt zonder langs de security te passeren.”

Flexibele clusters

Diezelfde technologie is ook beschikbaar wanneer je vanuit één opstelling meerdere clusters vormt. Zulke clusters vereisen overigens niet telkens een nieuwe orchestrator. Stel dat je een cluster vormt voor alle datacenterverkeer en één voor perimeterverkeer. Van zodra één cluster ineens veel meer load heeft, kan je binnen de overzichtelijke Maestro webinterface handig gateways slepen naar de andere groep. Zes minuten later is alles operationeel.

Check Point Maestro

“Onze R&D-afdeling speelt vandaag met het idee om die stap te automatiseren, maar het is niet zeker of die functie er ooit komt”, zegt Lossie. “Een IT-team weet vaak beter welke clusters belangrijker zijn en meer capaciteit nodig hebben. Ik verwacht niet dat organisaties die controle graag overgeven aan een AI-tool die dat automatisch beheert, maar zeg nooit nooit.”

Netwerk throughput heeft een veel lagere prijs per megabit vergeleken met security throughput. Organisaties moeten vandaag bij de aankoop van een traditionele firewall goed inschatten hoeveel marge ze bovenop de maximale capaciteit nemen. Teveel overprovisioneren betekent dat je veel meer betaalt voor je firewall dan echt nodig is. Wanneer je te weinig capaciteit koopt, loop je het risico dat je vervroegd opnieuw moet investeren in een nieuwe, krachtigere firewall. Hou rekening met een traditioneel active-passive-principe, en de rekening loopt op. Maestro is daarom een interessante propositie voor bedrijven waar die inschatting niet altijd makkelijk is: je koopt een basis die je vandaag nodig hebt en gaandeweg steek je telkens extra capaciteit bij wanneer het nodig is.

Kmo’s en groeibedrijven

Check Point richt zich met Maestro duidelijk op potentiële klanten met een on-premises datacenter die nood hebben aan schaalbaarheid op vlak van bandbreedte. Die moet namelijk worden beveiligd, wat flexibel kan met hun nieuwe oplossing. Ziekenhuizen, universiteiten, alle grote scholen die explosief meer bandbreedte verbruiken, moeten die ook beveiligen.

Organisaties die veel overnames doen, weten niet heel goed wat er nodig is in die groei. Dan is flexibiliteit cruciaal.

Kristof Lossie, Security Engineer Team Manager bij Check Point

Daarnaast richt het bedrijf zijn pijlen ook op scale-ups, kmo’s en groeibedrijven. “Organisaties die veel overnames doen, weten niet heel goed wat er nodig is in die groei”, benadrukt Lossie. “Dan is flexibiliteit cruciaal om juist af te wegen wat je nodig hebt, zonder dat je teveel investeert in zogenaamde extra overschot in de (verre) toekomst. Zoiets kost alleen maar geld zonder dat je het vandaag al nodig hebt.”

De overzichtelijke GUI zorgt ervoor dat IT-teams binnen organisaties handig met Maestro aan de slag kunnen. Wie dat liever uitbesteedt, kan opnieuw terecht bij partners.


Dit is een redactionele bijdrage in samenwerking met Tech Data en Check Point. Voor meer informatie rond de securityoplossingen van Check Point, kan je rechtstreeks met Tech Data contact opnemen via +32 2 583 83 08 of via tdas_security@techdata.be.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.