Кампанія Check Point даволі хутка пачатку 2019 год зрабіўшы адразу некалькі анонсаў. Распавесці пра ўсё ў адным артыкуле не атрымаецца, таму пачнем з самага галоўнага - . Maestro гэта новая якая маштабуецца платформа, якая дазваляе нарошчваць магутнасць шлюза бяспекі да непрыстойных лічбаў і практычна лінейна. Дасягаецца гэта натуральна за рахунак балансавання нагрузкі паміж асобнымі шлюзамі, якія працуюць у кластары, як адзіная сутнасць. Хтосьці можа сказаць - «Было! Ужо ёсць блейд-платформы 44000/64000“. Аднак Maestro гэта зусім іншая справа. У рамках гэтага артыкула я коратка пастараюся растлумачыць што гэта, як гэта працуе і як гэтая тэхналогія дапаможа зэканоміць на абароне перыметра сеткі.
Было - Стала
Прасцей за ўсё зразумець чым адрозніваецца новая якая маштабуецца платформа ад старых добрых 44000/64000 гэта зірнуць на малюнак ніжэй:
Розніца відавочная.
Старая платформа Check Point 44000/64000
Як відаць з карцінкі вышэй, першы варыянт уяўляе з сябе фіксаваную платформу (шасі), у якую можна ўстаўляць абмежаваную колькасць спецыяльных "модуляў-лёзаў" (Check Point SGM). Усё гэта падключаецца ў Security Switch Module (SSM), які і ажыццяўляе балансаванне трафіку паміж шлюзамі. На малюнку ніжэй больш падрабязна прадстаўлены складнікі гэтай платформы:
Гэта выдатная платформа ў тым выпадку, калі вы сапраўды ведаеце якая прадукцыйнасць вам патрэбна зараз і ў якіх межах яна можа вырасці. Аднак з-за фіксаванага формаў-фактару (12 ці 6 лёзаў) вы абмежаваныя ў далейшым маштабаванні. Да таго ж, вы змушаныя выкарыстоўваць выключна SGM ляза, без магчымасці падлучэння звычайных аплайнсаў у якіх значна шырэй мадэльны шэраг. Са з'яўленнем Maestro Hyperscale Network Security сітуацыя мяняецца кардынальна.
Новая платформа Check Point Maestro Hyperscale Network Security
Check Point Maestro быў упершыню прадстаўлены 22 студзеня на канферэнцыі CPX у Бангкоку. Галоўныя характарыстыкі можна ўбачыць на малюнку ніжэй:
Як можна заўважыць, галоўная перавага Check Point Maestro – магчымасць выкарыстоўваць для балансавання звычайныя шлюзы (appliance). Г.зн. мы больш не абмежаваныя SGM лёзамі. Размяркоўваць нагрузку можна паміж любымі прыладамі пачынальна з мадэлі 5600 (SMB мадэлі і Шасі 44000/64000 не падтрымліваюцца). На малюнку вышэй прыведзены асноўныя паказчыкі, якіх можна дасягнуць пры выкарыстанні новай платформы. Мы можам аб'яднаць у адзін вылічальны рэсурс да 31! шлюза. Цяпер ваш "фаервол" можа выглядаць наступным чынам:
Maestro Hyperscale Orchestrator
Упэўнены, у многіх ужо з'явілася пытанне: “Што гэта за Аркестратар?” Што ж, знаёмцеся. Maestro Hyperscale Orchestrator - менавіта гэтая штука адказвае за балансаванне нагрузкі. На дадзены девайс усталявана аперацыйная сістэма Gaia R80.20 SP. На дадзены момант ёсць дзве мадэлі Аркестратараў. МХО-140 и МХО-170. Характарыстыкі на малюнку ніжэй:
На першы погляд можа здацца, што гэта звычайны камутатар. На самой жа справе гэта "камутатар + балансавальнік + сістэма кіравання рэсурсамі". Усё ў адной скрынцы.
Да гэтых Аркестратараў падключаюцца шлюзы. У выпадку, калі балансавальнікі ў адмоваўстойлівым выкананні, то кожны шлюз падключаецца да кожнага аркестратара. Для падлучэння можа выкарыстоўвацца "оптыка" (sfp+ / qsfp+ / qsfp28+) альбо DAC кабель (Direct Attach Copper). Пры гэтым паміж аркестратарамі натуральна павінен быць лінк сінхранізацыі:
На малюнку ніжэй можна ўбачыць, як размяркоўваюцца парты гэтых аркестратараў:
групы бяспекі
Для таго, каб нагрузка магла размяркоўвацца паміж шлюзамі, гэтыя шлюзы павінны быць у адной Security Group. Група бяспекі гэта лагічная група прылад, якая функцыянуе як кластар active/active. Гэтая група функцыянуе незалежна ад іншых Security Group. З пункту гледжання сервера кіравання Security Group выглядае як адна прылада з адным ip-адрасам.
Пры неабходнасці мы можам вывесці адзін або некалькі шлюзаў у асобную Security Group і выкарыстоўваць гэтую групу для іншых мэт, як асобны фаервол з пункта гледжання менеджменту. Прыклад выкарыстання прыведзены на малюнку ніжэй:
Важнае абмежаванне, у адной Security Group могуць выкарыстоўвацца выключна аднолькавыя шлюзы (мадэль). Г.зн. калі вы жадаеце лінейна гадаваць магутнасць вашага шлюза бяспекі (які з'яўляецца кластарам з некалькіх прылад), тыя вы павінны дадаваць сапраўды такія ж шлюзы. У бліжэйшых рэлізах софту гэтае абмежаванне павінна знікнуць.
На відэа ніжэй можна ўбачыць працэс стварэння Security Group. Працэдура інтуітыўна зразумелая.
Ізноў жа, калі параўнаць кампаненты Maestro з шасійнай платформай, тое атрымаецца прыкладна наступная карцінка было-стала :
У чым выгада новай платформы?
Плюсаў насамрэч шмат, як з тэхнічнага пункту гледжання, так і з эканамічнага. Распішу сцісла самыя галоўныя:
- Мы практычна не абмежаваны ў маштабаванні. Да 31 шлюза ў рамках адной Security Group.
- Можам дадаваць шлюзы па меры неабходнасці. Мінімальны набор пры куплі - адзін аркестратар + два шлюзы. Не трэба закладваць мадэлі "на рост".
- З папярэдняга пункта выцякае яшчэ адзін плюс. Нам больш не трэба мяняць шлюзы, якія перасталі спраўляцца з нагрузкай. Раней гэтая праблема вырашалася з дапамогай працэдуры trade-in - здавалі старое "жалеза" і атрымлівалі новае са зніжкай. Пры такой схеме непазбежныя фінансавыя "страты". Новая працэдура з маштабаваннем ухіляе гэты фактар. Нічога здаваць не трэба, можна проста працягваць павялічваць прадукцыйнасць з дапамогай дадатковага "жалеза".
- Магчымасць аб'яднання ўжо існуючых рэсурсаў для размеркавання нагрузкі. Да прыкладу, можна "перацягнуць" усе свае кластары на платформу Maestro і сабраць некалькі Security Group, ужо ў залежнасці ад нагрузкі.
Бандлы Maestro Hyperscale Network Security
На бягучы момант ёсць некалькі варыянтаў набыцця так званых бандаў з платформай Maestro. Рашэнне на базе шлюзаў 23800, 6800 і 6500:
Пры гэтым можна абраць з двух стандартных тыпаў камплектацыі:
- Адзін аркестратар і два шлюзы;
- Адзін аркестратар і тры шлюзы.
можна паглядзець арыентыровачныя кошты. Натуральна дадаткова можна закласці яшчэ адзін аркестратар і колькі заўгодна шлюзаў. Дадатковую інфармацыю па спецыфікацыям можна запытаць .
прылады 6500 и 6800 гэта найноўшыя мадэлі, якія былі таксама прадстаўлены ў пачатку гэтага года. Але пра іх мы пагаворым больш падрабязна ўжо ў наступным артыкуле.
Калі можна купіць?
Тут няма адназначнага адказу. На гэты момант адсутнічае натыфікацыя на ўвоз гэтых рашэнняў да нас у краіну. Як толькі з'явіцца інфармацыя па тэрмінах мы адразу зробім анонс у нашых пабліках (, , ). Акрамя таго, хуткім часам плануецца вэбінар, прысвечаны рашэнню Check Point Maestro, дзе будуць разгледжаны ўсе тэхнічныя асаблівасці. І вядома ж можна будзе задаць пытанні, якія цікавяць. Сачыце за абнаўленнямі!
Заключэнне
Безумоўна, новая платформа з'яўляецца выдатным папаўненнем у апаратных рашэннях Check Point. Па сутнасці, дадзены прадукт адкрывае новы сегмент, для якога далёка не ў кожнага ИБ вендара ёсць падобнае рашэнне. Больш таго, на сённяшні дзень у Check Point Maestro практычна няма альтэрнатыў, калі гаворка ідзе аб забеспячэнні такой беспрэцэдэнтнай "security магутнасці". Аднак Maestro Hyperscale Network Security будзе цікавы не толькі для ўладальнікаў датацэнтраў, але і для звычайных кампаній. Прыглядацца да Maestro ужо можна тым, хто валодае ці збіраецца набываць прылады, пачынальна з мадэлі 5600. У некаторых выпадках выкарыстанне Maestro Hyperscale Network Security можа апынуцца вельмі выгодным рашэннем, як з эканамічнага, так і тэхнічнага пункта гледжання.
PS Артыкул падрыхтаваны пры ўдзеле Анатоля Масавера - Эксперта па маштабуюцца платформах, Check Point Software Technologies.
Крыніца: habr.com