Большинство организаций хотят предоставлять лучший сервис для клиентов и пользователей.
Это дает предприятиям конкурентное преимущество и часто является отличительной чертой при выборе поставщика.
В нашем постоянно подключенном цифровом мире обслуживание зависит от доступности организации, времени отклика, отказоустойчивости и других характеристик, которые поддерживают или препятствуют потребностям клиентов.
Облако теперь является синонимом того, чтобы сделать ваш бизнес всегда доступным и обслуживаемым. Однако многие организации, размещающие приложения и рабочие нагрузки в облаке, обнаруживают, что их защита и поддержание их «всегда включенными» — это сложно и требует много времени.
Ниже приведены некоторые рекомендации по обеспечению доступности и безопасности в облаке.
Важность зон доступности
Доступность является основой для любого критически важного приложения и краеугольным камнем для обслуживания клиентов. Вот почему AWS рекомендует клиентам развертывать приложения как минимум в двух зонах доступности (AZ), когда это возможно.
AWS Well-Architected Framework объясняет, что организации могут достичь 99,99% времени безотказной работы , используя эти кросс-зоны доступности как минимум с двумя зонами доступности.
Это означает менее 53 минут простоя в год и представляет собой уровень обслуживания, который приносит пользу клиентам, пользователям и вашему бизнесу.
Однако обеспечить безопасность в этих зонах доступности в AWS непросто, поскольку AWS ограничивает подсети одной зоной доступности, кластеры сетевой безопасности высокой доступности нельзя использовать в развертываниях в нескольких зонах доступности.
Это ограничение означает, что многие облачные шлюзы безопасности могут защищать только пользователей в одной и той же подсети.
Для каждой подсети требуются отдельные экземпляры облачной безопасности, что потребует покупки, настройки, управления и обслуживания нескольких образов облачной безопасности для вашей организации.
Результат?
Одна из возможностей — это сложный, ресурсоемкий и сложный подход к защите облачных активов.
Другой возможностью является реализация нескольких служб, которые не поддерживают друг друга в случае сбоя.
Ни один из вариантов не идеален.
Безопасность, поддерживающая архитектуру в разных зонах доступности
Чтобы устранить это ограничение и предложить надежную и согласованную безопасность AWS, Check Point с гордостью сообщает, что CloudGuard Network Security теперь поддерживает кластеры в разных зонах доступности. В результате организациям стало намного проще развертывать средства безопасности в зонах доступности в средах AWS, предоставляя высокодоступные функции брандмауэра и шлюза безопасности с меньшим количеством ручной настройки и меньшей сложностью. Это новая эталонная архитектура для клиентов Check Point на AWS, обеспечивающая повышенную устойчивость безопасности для облачных развертываний в регионах AWS с использованием ведущего в отрасли расширенного предотвращения угроз CloudGuard.
Эта возможность поддерживает перемещение трафика AWS:
- Север/Юг: вход и выход из Интернета, облачные ресурсы, локальные центры обработки данных, корпоративная интрасеть и т. д.
- Восток/Запад: боковое движение внутри AWS
- Через межсайтовые VPN
Поддержка кластеров в разных зонах доступности включена в недавно выпущенную версию программного обеспечения CloudGuard R81.20 . Теперь клиенты могут с комфортом развертывать передовые разработки приложений без необходимости ставить под угрозу безопасность или создавать сложные архитектуры безопасности для сценариев аварийного переключения. Эта функциональность упрощает настройку и помогает решить текущую задачу управления облачной безопасностью, сохраняя все как можно проще, чтобы добавление дополнительных ресурсов, пользователей, зон, маршрутов и приложений не перегружало ваши ценные операционные ресурсы.
Новая функция кластеризации в разных зонах доступности поддерживает все функции безопасности Check Point CloudGuard, включая:
- IPS
- Управление приложениями
- Осознание личности
- URL-фильтрация
- Антибот
- Антивирус
- Осведомленность о содержании
- Предотвращение нулевого дня пескоструйной обработкой
- Эмуляция угроз
- Извлечение угроз
- Сеть-сеть VPN
- VPN с удаленным доступом
Применение этой новой функции интуитивно просто. Выбор «Geo Mode» позволяет нашему кластеру распределять синхронизирующий трафик по отдельным подсетям и автоматически настраивает выбор VPN-канала для пересечения зоны доступности. Это означает, что вам не нужно указывать каждый путь к данным и настраивать все доступные маршруты для всех сценариев. Эта возможность обеспечивается «эластичным виртуальным IP-адресом», который назначается и совместно используется вашими кластерами, и этот адрес-псевдоним работает с вашей общедоступной или частной IP-адресацией, поэтому трафик всегда будет направляться на активный интерфейс. В случае аварийного переключения адрес-псевдоним может автоматически переключаться с одного интерфейса кластера на другой, чтобы вы всегда направляли трафик на активный интерфейс и оставались защищенными.
Эталонные архитектуры
(1) Кластер в разных зонах доступности без AWS Transit Gateway
Эта схема эталонной архитектуры включает в себя:
- Security VPC с элементами CloudGuard Cross-AZ Cluster, развернутыми в разных зонах доступности
- Синхронизация между членами кластера в разных зонах доступности
- Общедоступные таблицы маршрутизации, связанные с общедоступными подсетями
- Частная таблица маршрутизации, связанная с частными подсетями, с маршрутом по умолчанию к частному интерфейсу активного члена (eth1).
- Интеграция входящей маршрутизации:
- Таблица маршрутизации IGW, связанная с IGW, с маршрутами из подсетей для защиты открытого интерфейса активного члена (eth0)
(2) Межзональный кластер с AWS Transit Gateway
Эта схема эталонной архитектуры включает в себя:
- Таблица маршрутизации TGW, относящаяся к подсетям TGW с маршрутом по умолчанию к открытому интерфейсу активного члена (eth0)
- Вложение VPC для Security VPC в AWS TGW, вложения с подсетями TGW
- Лучевые (потребительские) VPC, подключенные к AWS TGW
Преимущества для клиентов
Основным преимуществом является снижение сложности, повышение эффективности работы, а также экономия времени и средств. Новая функциональность поддерживает архитектуру «активный/резервный» с повышенной доступностью в разных зонах доступности, была тщательно протестирована Check Point и первыми пользователями и подтвердила соответствие строгим требованиям Check Point к стабильности.
Эту новую функциональность можно использовать для терминации VPN с большей производительностью и без ограничений, присущих облачной инфраструктуре.
Кроме того, это же решение можно использовать для проверки состояния всех потоков трафика.
Что говорят клиенты
«Verisk уже несколько лет внедряет облачные технологии в сложный глобальный бизнес», — сказала Софи Тву, директор по сетевому инжинирингу в Verisk. «Одна из бизнес-стратегий заключается в переходе от локального VPN к облаку. Использование кластеризации в разных зонах доступности R81.20 позволило нам реализовать отказоустойчивое кластерное развертывание в AWS без каких-либо сложностей или необходимости изменять нашу схему общедоступных IP-адресов. Решение является масштабируемым и очень простым в управлении. Это сэкономило нам время и деньги, и мы видим появление других новых решений и будущих приложений, работающих с Check Point».
Клиенты CloudGuard Network Security, использующие предыдущие версии программного обеспечения и желающие воспользоваться преимуществами этой новой возможности, могут обновить свое программное обеспечение до версии R81.20. Ваши инженеры по безопасности Check Point и торговые партнеры могут помочь вам добавить эту новую возможность в вашу облачную среду безопасности и извлечь выгоду из ее упрощения, а также экономии времени и средств.
Что дальше?
Если вы уже являетесь клиентом, ознакомьтесь с Руководством по администрированию кластера CloudGuard for AWS в разных зонах доступности .