Check Point je 2019. započeo prilično brzo sa nekoliko najava odjednom. Nemoguće je o svemu pričati u jednom članku, pa krenimo od najvažnije stvari - . Maestro je nova skalabilna platforma koja vam omogućava da povećate “snagu” sigurnosnog gatewaya na “nepristojne” brojeve i gotovo linearno. Ovo se prirodno postiže balansiranjem opterećenja između pojedinačnih pristupnika koji rade u klasteru kao jedan entitet. Neko bi mogao reći - "Bio! Već postoji 44000 blade platformi/64000". Međutim, Maestro je sasvim druga stvar. U ovom članku ću ukratko pokušati objasniti što je to, kako funkcionira i kako će ova tehnologija pomoći uštedite na zaštiti perimetra mreže.
Bio - postao
Najlakši način da shvatite je po čemu se nova skalabilna platforma razlikuje od dobre stare 44000/64000 je pogledajte sliku ispod:
Razlika je očigledna.
Naslijeđena platforma Check Point 44000/64000
Kao što se može vidjeti sa gornje slike, prva opcija je fiksna platforma (šasija), u koju se može umetnuti ograničen broj specijalnih "blade modula" (Check Point SGM). Sve je ovo povezano Modul sigurnosnih prekidača (SSM), koji balansira promet između gateway-a. Slika ispod prikazuje detaljnije komponente ove platforme:
Ovo je odlična platforma ako tačno znate koje performanse vam sada trebaju i koliko mogu rasti. Međutim, zbog fiksnog faktora oblika (12 ili 6 blejdova), ograničeni ste u daljoj skalabilnosti. Osim toga, prisiljeni ste koristiti isključivo SGM lopatice, bez mogućnosti povezivanja konvencionalnih upline-a, koji imaju mnogo širi raspon modela. Sa dolaskom Maestro Hyperscale Network Security situacija se dramatično menja.
Nova Check Point Maestro Hyperscale mrežna sigurnosna platforma
Check Point Maestro je prvi put predstavljen 22. januara na CPX konferenciji u Bangkoku. Glavne karakteristike možete vidjeti na slici ispod:
Kao što vidite, glavna prednost Check Point Maestra je mogućnost korištenja redovnih gateway-a (uređaja) za balansiranje. One. Više nismo ograničeni na SGM oštrice. Možete raspodijeliti opterećenje između bilo kojeg uređaja počevši od modela 5600 (SMB modeli i Chassis 44000/64000 nisu podržani). Slika iznad prikazuje glavne pokazatelje koji se mogu postići korištenjem nove platforme. Možemo kombinovati u jedan računarski resurs do 31! gateway. Sada vaš firewall može izgledati ovako:
Maestro Hyperscale Orchestrator
Siguran sam da su se mnogi već pitali: “Kakav je ovo Orkestrator?“Pa, upoznajte me. Maestro Hyperscale Orchestrator — to je ta stvar koja je odgovorna za balansiranje opterećenja. Operativni sistem instaliran na ovom uređaju je Gaia R80.20 SP. Trenutno postoje dva modela orkestratora - MHO-140 и MHO-170. Karakteristike na slici ispod:
Na prvi pogled može izgledati da je ovo običan prekidač. U stvari, to je „prekidač + balansir + sistem upravljanja resursima“. Sve u jednoj kutiji.
Gateway-i su povezani sa ovim orkestratorima. Ako su balanseri otporni na greške, tada je svaki gateway povezan sa svakim orkestratorom. Za povezivanje se može koristiti "optika" (sfp+ / qsfp+ / qsfp28+) ili DAC kabl (Direct Attach Copper). U ovom slučaju, prirodno mora postojati veza za sinhronizaciju između orkestratora:
Na slici ispod možete vidjeti kako su portovi ovih orkestratora raspoređeni:
Sigurnosne grupe
Da bi opterećenje bilo raspoređeno između gateway-a, ovi gateway-i moraju biti u istoj sigurnosnoj grupi. Security Group to je logička grupa uređaja koja funkcionira kao aktivni/aktivni klaster. Ova grupa funkcioniše nezavisno od drugih bezbednosnih grupa. Sa stanovišta servera za upravljanje, Sigurnosna grupa izgleda kao jedan uređaj sa jednom IP adresom.
Ako je potrebno, možemo premjestiti jedan ili više gateway-a u zasebnu sigurnosnu grupu i koristiti ovu grupu u druge svrhe, poput zasebnog firewall-a sa stanovišta upravljanja. Primjer upotrebe je prikazan na slici ispod:
Važno ograničenje, samo identični pristupnici (model) se mogu koristiti u jednoj sigurnosnoj grupi. One. ako želite linearno povećati kapacitet vašeg sigurnosnog gateway-a (koji je klaster od nekoliko uređaja), tada morate dodati potpuno iste gatewaye. Ovo ograničenje bi trebalo nestati u narednim izdanjima softvera.
U videu ispod možete vidjeti proces kreiranja sigurnosne grupe. Procedura je intuitivna.
Opet, ako uporedite Maestro komponente sa platformom šasije, dobićete nešto poput sledeće slike:
Koje su prednosti nove platforme?
U stvari, ima mnogo prednosti, kako sa tehničke tako i sa ekonomske tačke gledišta. Ukratko ću opisati najvažnije:
- Praktično smo neograničeni u skaliranju. Do 31 gateway unutar jedne sigurnosne grupe.
- Možemo dodati gateway po potrebi. Minimalni set za kupovinu je jedan orkestrator + dva gatewaya. Nema potrebe postavljati modele „za rast“.
- Još jedan plus slijedi iz prethodne tačke. Više ne moramo mijenjati gatewaye koji više ne mogu da se nose sa opterećenjem. Ranije se ovaj problem rješavao postupkom trgovine - predali su stari hardver i dobili novi uz popust. Uz takvu šemu, finansijski „gubici“ su neizbježni. Nova procedura skaliranja eliminira ovaj faktor. Ne morate ništa predati, možete samo nastaviti povećavati produktivnost uz pomoć dodatnog hardvera.
- Sposobnost kombiniranja postojećih resursa za raspodjelu opterećenja. Na primjer, možete "prevući" sve svoje klastere na Maestro platformu i sastaviti nekoliko sigurnosnih grupa, ovisno o opterećenju.
Maestro Hyperscale Network Security paketi
Trenutno postoji nekoliko opcija za kupovinu takozvanih paketa sa Maestro platformom. Rješenje bazirano na gateway-ima 23800, 6800 i 6500:
U ovom slučaju možete birati između dvije standardne vrste opreme:
- Jedan orkestrator i dva prolaza;
- Jedan orkestrator i tri prolaza.
možete pogledati procijenjene cijene. Naravno, možete dodatno dodati još jednog orkestratora i koliko god želite pristupnika. Dodatne informacije o specifikacijama mogu se zatražiti .
Uređaji 6500 и 6800 Ovo su najnoviji modeli koji su također predstavljeni ranije ove godine. Ali o njima ćemo detaljnije govoriti u sljedećem članku.
Kada ga mogu kupiti?
Ovdje nema jasnog odgovora. Trenutno nema obaveštenja o uvozu ovih rešenja u našu zemlju. Čim informacije o terminu postanu dostupne, odmah ćemo se oglasiti na našim javnim stranicama (, , ). Osim toga, u bliskoj budućnosti planiran je i webinar posvećen rješenju Check Point Maestro na kojem će se raspravljati o svim tehničkim karakteristikama. I naravno možete postavljati pitanja. Stay tuned!
zaključak
Definitivno nova platforma je odličan dodatak Check Point hardverskim rješenjima. Zapravo, ovaj proizvod otvara novi segment za koji nema svaki proizvođač informacione sigurnosti slično rješenje. Štaviše, danas Check Point Maestro praktično nema alternativu kada je u pitanju pružanje takve neviđene „sigurnosne moći“. Međutim, Maestro Hyperscale Network Security će biti od interesa ne samo za vlasnike data centara, već i za obične kompanije. Oni koji posjeduju ili planiraju kupovinu uređaja počevši od modela 5600, već sada mogu izbliza pogledati Maestro.U nekim slučajevima korištenje Maestro Hyperscale Network Security može biti vrlo isplativo rješenje, kako sa ekonomskog tako i sa tehničkog stanovišta.
PS Ovaj članak je pripremljen uz učešće Anatoly Masover — Scalable Platform Expert, Check Point Software Technologies.
izvor: www.habr.com