Check Point va començar el 2019 amb força rapidesa fent diversos anuncis alhora. És impossible parlar de tot en un article, així que comencem amb el més important: . Maestro és una nova plataforma escalable que permet augmentar el "poder" de la passarel·la de seguretat a números "indecents" i gairebé linealment. Això s'aconsegueix de manera natural equilibrant la càrrega entre passarel·les individuals que operen en un clúster com una única entitat. Algú podria dir-"Va ser! Ja hi ha 44000 plataformes de fulles/64000". Tanmateix, Mestre és una qüestió completament diferent. En aquest article, intentaré explicar breument què és, com funciona i com m'ajudarà aquesta tecnologia estalviar en la protecció del perímetre de la xarxa.
Era - S'ha convertit
La manera més fàcil d'entendre és com es diferencia la nova plataforma escalable de la bona vella 44000/64000 és mira la imatge següent:
La diferència és evident.
Plataforma de Check Point 44000 heretada/64000
Com es pot veure a la imatge de dalt, la primera opció és una plataforma fixa (xassís), a la qual es pot inserir un nombre limitat de "mòduls blade" especials (Check Point SGM). Tot això està connectat Mòdul de commutació de seguretat (SSM), que equilibra el trànsit entre passarel·les. La imatge següent mostra els components d'aquesta plataforma amb més detall:
Aquesta és una excel·lent plataforma si sabeu exactament quin rendiment necessiteu ara i quant pot créixer. Tanmateix, a causa del factor de forma fix (12 o 6 fulles), teniu una escalabilitat addicional limitada. A més, estàs obligat a utilitzar exclusivament fulles SGM, sense la possibilitat de connectar línies amunt convencionals, que tenen una gamma de models molt més àmplia. Amb l'adveniment Maestro Hyperscale Network Security la situació està canviant dràsticament.
Nova plataforma de seguretat de xarxa d'hiperescala Check Point Maestro
Check Point Maestro es va presentar per primera vegada el 22 de gener a la conferència CPX a Bangkok. Les principals característiques es poden veure a la imatge següent:
Com podeu veure, el principal avantatge de Check Point Maestro és la possibilitat d'utilitzar passarel·les (aparells) habituals per a l'equilibri. Aquells. Ja no ens limitem a les fulles SGM. Podeu distribuir la càrrega entre qualsevol dispositiu a partir del model 5600 (models SMB i xassís 44000)./64000 no són compatibles). La imatge de dalt mostra els principals indicadors que es poden aconseguir quan s'utilitza la nova plataforma. Podem combinar-los en un sol recurs informàtic fins a 31! passarel·la. Ara el vostre tallafoc podria semblar així:
Mestre Hyperscale Orchestrator
Estic segur que molta gent ja s'ha preguntat: "Quin tipus d'orquestrador és aquest?"Bé, coneixeu-me. Mestre Hyperscale Orchestrator — És això el responsable de l'equilibri de càrrega. El sistema operatiu instal·lat en aquest dispositiu és Gaia R80.20 SP. Actualment hi ha dos models d'orquestradors: MHO-140 и MHO-170. Característiques de la imatge següent:
A primera vista pot semblar que es tracta d'un interruptor normal. De fet, és "commutador + equilibrador + sistema de gestió de recursos". Tot en una caixa.
Les passarel·les estan connectades a aquests orquestradors. Si els equilibradors són tolerants a errors, llavors cada passarel·la està connectada a cada orquestrador. Per a la connexió, es pot utilitzar "òptica" (sfp+ / qsfp+ / qsfp28+) o cable DAC (Core de connexió directa). En aquest cas, naturalment hi ha d'haver un vincle de sincronització entre els orquestradors:
A la imatge següent podeu veure com es distribueixen els ports d'aquests orquestradors:
Grups de seguretat
Perquè la càrrega es distribueixi entre passarel·les, aquestes han d'estar al mateix grup de seguretat. Grup de seguretat és un grup lògic de dispositius que funciona com a clúster actiu/actiu. Aquest grup funciona independentment d'altres grups de seguretat. Des del punt de vista del servidor de gestió, el grup de seguretat sembla un dispositiu amb una adreça IP.
Si cal, podem moure una o més passarel·les a un grup de seguretat independent i utilitzar aquest grup per a altres finalitats, com ara un tallafoc independent des del punt de vista de la gestió. Un exemple d'ús es mostra a la imatge següent:
Limitació important, només es poden utilitzar passarel·les (model) idèntiques en un grup de seguretat. Aquells. si voleu augmentar linealment la capacitat de la vostra passarel·la de seguretat (que és un clúster de diversos dispositius), heu d'afegir exactament les mateixes passarel·les. Aquesta limitació hauria de desaparèixer en les properes versions de programari.
Al vídeo següent podeu veure el procés de creació d'un grup de seguretat. El procediment és intuïtiu.
De nou, si compareu els components Maestro amb la plataforma del xassís, obtindreu alguna cosa com la següent imatge:
Quins avantatges té la nova plataforma?
De fet, hi ha molts avantatges, tant des del punt de vista tècnic com econòmic. Descriuré breument els més importants:
- Som pràcticament il·limitats en escala. Fins a 31 passarel·les dins d'un grup de seguretat.
- Podem afegir passarel·les segons sigui necessari. El conjunt mínim per comprar és un orquestrador + dues passarel·les. No cal establir models "per al creixement".
- Un altre avantatge se segueix del punt anterior. Ja no necessitem canviar les passarel·les que ja no poden fer front a la càrrega. Anteriorment, aquest problema es va resoldre mitjançant el procediment d'intercanvi: van lliurar el maquinari antic i en van rebre un de nou amb un descompte. Amb aquest esquema, les "pèrdues" financeres són inevitables. El nou procediment d'escala elimina aquest factor. No cal que cediu res, només podeu continuar augmentant la productivitat amb l'ajuda de maquinari addicional.
- La capacitat de combinar els recursos existents per distribuir la càrrega. Per exemple, podeu "arrossegar" tots els vostres clústers a la plataforma Maestro i muntar diversos grups de seguretat, depenent de la càrrega.
Paquets Maestro Hyperscale Network Security
Actualment, hi ha diverses opcions per comprar els anomenats paquets amb la plataforma Maestro. Solució basada en passarel·les 23800, 6800 i 6500:
En aquest cas, podeu triar entre dos tipus d'equip estàndard:
- Un orquestrador i dues passarel·les;
- Un orquestrador i tres passarel·les.
podeu veure els preus estimats. Naturalment, també podeu afegir un altre orquestrador i tantes passarel·les com vulgueu. Es pot demanar informació addicional sobre les especificacions .
Dispositius 6500 и 6800 Aquests són els últims models que també es van presentar a principis d'any. Però en parlarem amb més detall al proper article.
Quan el puc comprar?
Aquí no hi ha una resposta clara. De moment, no hi ha cap notificació per a la importació d'aquestes solucions al nostre país. Tan bon punt estigui disponible informació sobre l'horari, immediatament farem un anunci a les nostres pàgines públiques (, , ). A més, en un futur proper està previst un seminari web dedicat a la solució Check Point Maestro, on es parlaran de totes les característiques tècniques. I, per descomptat, pots fer preguntes. Estigueu atents!
Conclusió
Sens dubte, una nova plataforma és una excel·lent incorporació a les solucions de maquinari Check Point. De fet, aquest producte obre un nou segment, per al qual no tots els proveïdors de seguretat de la informació tenen una solució similar. A més, avui Check Point Maestro pràcticament no té alternatives a l'hora de proporcionar un "poder de seguretat" tan inèdit. Tanmateix, Maestro Hyperscale Network Security serà d'interès no només per als propietaris de centres de dades, sinó també per a les empreses normals. Aquells que tinguin o tinguin previst adquirir dispositius que comencin pel model 5600 ja poden fer una ullada a Maestro de prop, en alguns casos, utilitzar Maestro Hyperscale Network Security pot ser una solució molt rendible, tant des del punt de vista econòmic com tècnic.
PD Aquest article ha estat elaborat amb la participació de Anatoly Masover — Expert en plataformes escalables, Check Point Software Technologies.
Font: www.habr.com