Check Point започна 2019 г. доста бързо, като направи няколко съобщения наведнъж. Невъзможно е да се говори за всичко в една статия, така че нека започнем с най-важното - . Maestro е нова мащабируема платформа, която ви позволява да увеличите „мощността“ на шлюза за сигурност до „неприлични“ числа и почти линейно. Това се постига естествено чрез балансиране на натоварването между отделните шлюзове, които работят в клъстер като едно цяло. Някой може да каже - "Беше! Вече има 44000 XNUMX блейд платформи/64000". Маестрото обаче е съвсем друга работа. В тази статия ще се опитам накратко да обясня какво представлява, как работи и как тази технология ще помогне спестете от защита на периметъра на мрежата.
Беше - стана
Най-лесният начин да разберете е как новата мащабируема платформа се различава от добрата стара 44000/64000 е, вижте снимката по-долу:
Разликата е очевидна.
Наследена платформа Check Point 44000/64000
Както може да се види от снимката по-горе, първият вариант е фиксирана платформа (шаси), в която могат да бъдат вмъкнати ограничен брой специални „блейд модули“ (Check Point SGM). Всичко това е свързано с Модул за превключване на сигурността (SSM), който балансира трафика между шлюзовете. Картината по-долу показва по-подробно компонентите на тази платформа:
Това е отлична платформа, ако знаете точно от каква производителност се нуждаете сега и колко може да нарасне. Въпреки това, поради фиксирания форм фактор (12 или 6 блейд устройства), вие сте ограничени в по-нататъшната мащабируемост. В допълнение, вие сте принудени да използвате изключително SGM ножове, без възможност за свързване на конвенционални uplines, които имат много по-широка гама от модели. С появата Maestro Hyperscale Network Security ситуацията се променя драматично.
Нова платформа за мрежова сигурност Check Point Maestro Hyperscale
Check Point Maestro беше представен за първи път на 22 януари на конференцията CPX в Банкок. Основните характеристики могат да се видят на снимката по-долу:
Както можете да видите, основното предимство на Check Point Maestro е възможността за използване на обикновени шлюзове (уреди) за балансиране. Тези. Вече не се ограничаваме до SGM остриета. Можете да разпределите натоварването между всякакви устройства, започвайки от модел 5600 (SMB модели и шаси 44000/64000 не се поддържат). Снимката по-горе показва основните показатели, които могат да бъдат постигнати при използване на новата платформа. Можем да комбинираме в един изчислителен ресурс до 31! шлюз. Сега вашата защитна стена може да изглежда така:
Maestro Hyperscale Orchestrator
Сигурен съм, че много хора вече са попитали: „Какъв оркестратор е това?„Е, запознай се с мен. Maestro Hyperscale Orchestrator — това нещо е отговорно за балансирането на натоварването. Операционната система, инсталирана на това устройство, е Gaia R80.20 SP. В момента има два модела оркестратори - MHO-140 и MHO-170. Характеристики на снимката по-долу:
На пръв поглед може да изглежда, че това е обикновен ключ. Всъщност това е „превключвател + балансьор + система за управление на ресурсите“. Всичко в една кутия.
Шлюзовете са свързани с тези оркестратори. Ако балансьорите са устойчиви на грешки, тогава всеки шлюз е свързан към всеки оркестратор. За свързване може да се използва „оптика“ (sfp+ / qsfp+ / qsfp28+) или DAC кабел (Direct Attach Copper). В този случай естествено трябва да има връзка за синхронизация между оркестраторите:
На снимката по-долу можете да видите как са разпределени портовете на тези оркестратори:
Групи за сигурност
За да може товарът да бъде разпределен между шлюзовете, тези шлюзове трябва да бъдат в една и съща група за сигурност. Група за сигурност това е логическа група от устройства, която функционира като активен/активен клъстер. Тази група функционира независимо от други групи за сигурност. От гледна точка на сървъра за управление, групата за сигурност изглежда като едно устройство с един IP адрес.
Ако е необходимо, можем да преместим един или повече шлюза в отделна група за сигурност и да използваме тази група за други цели, като отделна защитна стена от гледна точка на управление. Пример за използване е показан на снимката по-долу:
Важно ограничение, само идентични шлюзове (модел) могат да се използват в една група за сигурност. Тези. ако искате линейно да увеличите капацитета на вашия шлюз за сигурност (който е клъстер от няколко устройства), тогава трябва да добавите абсолютно същите шлюзове. Това ограничение трябва да изчезне в следващите версии на софтуера.
Във видеото по-долу можете да видите процеса на създаване на група за сигурност. Процедурата е интуитивна.
Отново, ако сравните компонентите на Maestro с платформата на шасито, ще получите нещо като следната картина:
Какви са предимствата на новата платформа?
Всъщност има много предимства, както от техническа, така и от икономическа гледна точка. Ще опиша накратко най-важните:
- Ние сме практически неограничени в мащабирането. До 31 шлюза в рамките на една група за сигурност.
- Можем да добавим шлюзове, ако е необходимо. Минималният комплект за покупка е един оркестратор + два шлюза. Няма нужда да се определят модели „за растеж“.
- Още един плюс следва от предходната точка. Вече не е необходимо да променяме шлюзове, които вече не могат да се справят с натоварването. Преди това този проблем беше решен чрез процедурата за обмен - те предадоха стар хардуер и получиха нов с отстъпка. При такава схема финансовите „загуби“ са неизбежни. Новата процедура за мащабиране елиминира този фактор. Не е нужно да предавате нищо, можете просто да продължите да увеличавате производителността с помощта на допълнителен хардуер.
- Възможността за комбиниране на съществуващи ресурси за разпределяне на товара. Например, можете да „плъзнете“ всичките си клъстери върху платформата Maestro и да съберете няколко групи за сигурност, в зависимост от натоварването.
Maestro Hyperscale Network Security пакети
В момента има няколко опции за закупуване на така наречените пакети с платформата Maestro. Решение, базирано на шлюзове 23800, 6800 и 6500:
В този случай можете да избирате от два стандартни типа оборудване:
- Един оркестратор и два шлюза;
- Един оркестратор и три шлюза.
можете да видите прогнозните цени. Естествено, можете допълнително да добавите друг оркестратор и толкова шлюзове, колкото искате. Може да бъде поискана допълнителна информация относно спецификациите .
устройства 6500 и 6800 Това са най-новите модели, които също бяха представени по-рано тази година. Но ние ще говорим за тях по-подробно в следващата статия.
Кога мога да го купя?
Тук няма ясен отговор. Към момента няма уведомление за внос на тези разтвори у нас. Веднага щом стане налична информация за времето, незабавно ще направим съобщение на нашите публични страници (, , ). Освен това в близко бъдеще е планиран уебинар, посветен на решението Check Point Maestro, където ще бъдат обсъдени всички технически характеристики. И разбира се можете да задавате въпроси. Останете на линия!
Заключение
Определено нова платформа е отлично допълнение към хардуерните решения на Check Point. Всъщност този продукт отваря нов сегмент, за който не всеки доставчик на информационна сигурност има подобно решение. Нещо повече, днес Check Point Maestro практически няма алтернативи, когато става въпрос за предоставяне на такава безпрецедентна „сила за сигурност“. Въпреки това Maestro Hyperscale Network Security ще представлява интерес не само за собствениците на центрове за данни, но и за обикновените компании. Тези, които притежават или планират да закупят устройства, започващи с модела 5600, вече могат да разгледат по-отблизо Maestro.В някои случаи използването на Maestro Hyperscale Network Security може да бъде много изгодно решение, както от икономическа, така и от техническа гледна точка.
PS Тази статия е изготвена с участието на Анатолий Масовер — експерт по мащабируема платформа, софтуерни технологии на Check Point.
Източник: www.habr.com