I cluster di firewall ad alta disponibilità (HA) sono progettati per ridurre al minimo i tempi di inattività dei sistemi critici attraverso l'uso di sistemi ridondanti. I firewall HA possono massimizzare la disponibilità dei servizi critici utilizzando varie modalità di clustering, come attivo/attivo vs. attivo/passivo. Nella modalità Attiva/Attiva più firewall condividono attivamente il carico nel cluster, mentre nella modalità Attiva/Passiva un firewall è uno standby che diventa attivo quando il firewall primario si guasta. In questo articolo discutiamo di cosa sia un firewall HA, dei vantaggi e degli svantaggi delle diverse modalità di clustering e di come i moderni Hyperscale Network Security le tecnologie consentono un'elasticità e una scalabilità simili a quelle del cloud per le reti on-premise che richiedono sistemi resilienti.
L'obiettivo di un firewall HA deployment è quello di eliminare i singoli punti di guasto all'interno dell'infrastruttura di rete di un'organizzazione. Invece di utilizzare un singolo Firewall per proteggere la rete, due o più firewall vengono distribuiti in un gruppo come cluster.
Questi firewall si sincronizzano tra loro utilizzando una connessione heartbeat, che informa un firewall se l'altro è inattivo. Se ciò si verifica, il firewall ridondante è in grado di fare il failover delle connessioni esistenti senza soluzione di continuità, fornendo una protezione continua senza interruzioni.
I firewall HA possono essere implementati utilizzando diversi configurazioni dei nodi di clustering. Alcune delle configurazioni più comuni includono:
Il bilanciamento del carico implica che tutti i nodi del sistema siano sempre attivi. Alcune configurazioni di nodi HA eseguono il bilanciamento del carico, come ad esempio le configurazioni attivo/attivo. Tuttavia, alcune configurazioni di nodi, come quella attiva/passiva, non sono generalmente bilanciate. In qualsiasi momento, almeno un nodo del sistema non è attivo, o perché è un nodo di backup o perché un nodo si è guastato e un altro nodo ha assunto il suo ruolo.
In alcuni casi, un'organizzazione può implementare configurazioni N+1 e simili utilizzando il bilanciamento del carico. I nodi ridondanti che di solito sarebbero offline rimangono attivi e il carico di traffico viene bilanciato su di loro fino a quando un nodo primario non va offline. In questo caso, il nodo "di riserva" assume i suoi compiti.
La maggior parte dei fornitori di firewall offre soluzioni di clustering in cui i firewall comunicano insieme per formare il cluster. Un'altra opzione è quella di distribuire più firewall "incastrati" tra i Server Load Balancer, chiamati anche Application Delivery Controller (ADC). In questa architettura, il traffico di rete viene bilanciato sul gruppo di firewall, fornendo un'infrastruttura di sicurezza più scalabile e altamente disponibile.
I Server Load Balancer dirigono il traffico in modo equo tra i firewall membri del cluster. In generale, il bilanciamento del carico offre numerosi vantaggi, tra cui:
Spesso, il supporto per le configurazioni di nodi attivi/passivi è integrato in una soluzione firewall. Tuttavia, per implementare le configurazioni che dipendono dal bilanciamento del carico, è necessario distribuire un ADC davanti e dietro il cluster di firewall. Tuttavia, questo può creare ulteriori gestione del firewall sfide, come il routing asimmetrico, la gestione del traffico criptato e la scalabilità della soluzione al crescere delle dimensioni del cluster. Un'altra sfida è la gestione di più prodotti, ossia l'ADC e i firewall.
Check Point offre diverse soluzioni per i clienti che desiderano implementare un firewall HA. Se un'organizzazione desidera implementare un semplice cluster di firewall HA con un massimo di 5 nodi, può farlo utilizzando la funzionalità HA e di condivisione del carico integrata. descritto nella documentazione del firewall di Check Point.
Check Point Quantum Maestro è un'altra opzione di firewall ad alta disponibilità che rappresenta una soluzione di bilanciamento del carico scalabile che non richiede server load balancer di terze parti. Con Maestro, più Firewall di Nuova Generazione possono agire come un sistema unico e unificato. La soluzione Maestro entry level comprende un Orchestrator hyperscale più due o tre firewall, mentre altri firewall possono essere aggiunti in base alle necessità per scalare senza problemi il flusso di sicurezza.
Uno o più orchestratori Maestro Hyperscale distribuiscono equamente il traffico di rete interno ed esterno su più firewall gestiti come un unico gruppo con un set di funzioni e criteri di sicurezza comuni, chiamato anche Gruppo di sicurezza.
La tecnologia di clustering Maestro HyperSync offre una ridondanza completa all'interno di un sistema. Allo stesso tempo, il traffico viene bilanciato tra tutti i membri logici del Gruppo di Sicurezza, assicurando il pieno utilizzo di tutte le risorse hardware. All'interno di un Gruppo di sicurezza, ogni connessione è sincronizzata con due membri del Gruppo di sicurezza, uno attivo e uno di backup, assicurando che non vi sia un singolo punto di guasto. I vantaggi di Maestro includono:
Per saperne di più sulle soluzioni firewall Check Point HA, PROGRAMMA UNA DEMO oppure legga il nostro Whitepaper.