Ponència Checkpoint 21/22 – Nova era de seguretat per al centre de processament de dades híbrid
En primer lloc, va començar fent una reflexió introductòria a tall de debat sobre quins eren els principals motius que impulsaven als clients més importants del mercat actual a traslladar el seu CPD al cloud. Idees com la viabilitat o l’estalvi d’infraestructura van fer acte de presencia per part dels alumnes, però el entorn principal pel qual l’expert creu que s’hauria de fer-ne ús es en models de negoci estacionaris ja que s’adapta al que un necessita en tot moment (doblar potència un cert període de temps, activar i desactivar un servei durant uns minuts, etc.). Pel que sembla, molts clients es plantegen el canvi al núvol amb el propòsit d’estalviar costos lo qual es completament erroni, doncs la quantitat de material on-premise que es rebutja pot arribar a ser considerable.
En Raúl va procedir la seva ponència amb un idea principal ben definida: “cloudificar els CPDs on-premise”. Els clients actualment busquen solucions que durin el màxim possible adaptant-se als diferents canvis que puguin esdevenir realitzant únicament un sol esforç econòmic. Una primera característica que s’ha de garantir sempre per aconseguir-ho es la seguretat màxima, doncs s’han donat casos de clients que comencen a retirar funcions de seguretat dels seus firewalls a causa de que aquests han arribat al seu límit en quant a rendiment, acció la qual compromet totalment la seguretat de l’entorn. En segon lloc, una altre capacitat imprescindible es la hiperescalabilitat que permet créixer sota demanda, assegurant que la solució a oferir podrà adaptar-se per assolir, per exemple, des d’increments de tràfic en moments puntuals fins a nous protocols de comunicació que requereixin més cicles de CPU. En tercer lloc, ha de garantir la màxima eficiència a l’hora de muntar arquitectures de classes en les que s’aprofiti la màxima quantitat de material possible pel qual s’ha pagat a diferencia d’altres propostes existents actualment tals com les configuracions actiu-actiu o actiu-passiu. En definitiva, el que s’ha de procurar sempre es que el client no pensi que s’ha equivocat comprant la nostre solució assegurant la linealitat de la mateixa en els costos dels increments de capacitat.
Així doncs, la solució que Checkpoint ofereix al mercat des de fa uns dos o tres anys no es altre que un dispositiu anomenat Quantum Maestro Orchestrator MHO-175 la funcionalitat del qual es molt semblant, en termes generals, a la d’un switch convencional. Aquest es l’encarregat de ser el gestor d’una arquitectura de comunicacions de firewall en la qual, en comptes de tenir dispositius un al costat de l’altre on un està actiu i l’altre en standby, es poden arribar a tenir fins a cinquanta-dos equips operant al mateix temps en funció de la demanda del client. Dins de cada dispositiu hi ha l’opció de crear instàncies virtuals (datacenter, web, email, etc.) en funció del servei per al que es vulgui destinar. La principal avantatge d’això es que les condicions de Maestro són molt potents ja que el client únicament s’ha de preocupar d’inserir tot el múscul que necessiti en funció de la capacitat requerida arribant a suportar enllaços de comunicacions de l’ordre de terabits. Cal recalcar que s’aprofita tota la capacitat dels dispositius que s’insereixen oferint una escalabilitat totalment lineal a l’escenari. Pel que fa a la connectivitat, Maestro, habitualment presentant redundància per a evitar punts de fallada, es connecta directament a la xarxa mentre que les connexions amb els firewalls són cables directes amb òptiques ja soldades. Una avantatge molt important que ofereix es que es compatible tant amb els dispositius Checkpoint més nous que acaben de sortir al mercat com amb els més antics que existeixen (sempre i quan tinguin algun enllaç almenys de 10 gigabits), fet que permet reaprofitar en gran mesura el hardware ja obtingut pel client. En canvi, un dels principals inconvenients es que únicament es compatible amb Checkpoint, esdevenint una complicació considerable en cas de que el CPD del client estigui format per dispositius firewall de diferents fabricants.
La conferència va acabar explorant amb una mica més de detall alguns casos reals d’escenaris on Maestro està actualment implementat i funcionant, sent capaç d’adaptar-se a les diferents necessitats de negoci que el client pugui presentar ja sigui des de formacions de security groups fins a gestió d’autoscaling a través de llindars de rendiment. Finalment, només queda agrair-li per part dels alumnes a en Raúl pel temps emprat en nosaltres ja que els continguts exposats ens resultaran de gran utilitat de cara a l’entrega esmentada a realitzar al final de curs.