Check Point hà iniziatu 2019 abbastanza rapidamente facendu parechji annunzii à una volta. Hè impussibile di parlà di tuttu in un articulu, allora cuminciamu cù u più impurtante - . Maestro hè una nova piattaforma scalable chì permette di aumentà u "putere" di a porta di sicurità à numeri "indecent" è quasi linearly. Questu hè ottenutu naturalmente equilibrendu a carica trà e porte individuali chì operanu in un cluster cum'è una sola entità. Qualchissia puderia dì - "Era! Ci sò digià 44000 piattaforme di lame/64000". Tuttavia, Maestro hè una materia completamente differente. In questu articulu, pruvaraghju brevemente à spiegà ciò chì hè, cumu si travaglia è cumu sta tecnulugia aiuterà risparmià a prutezzione di u perimetru di a rete.
Era - Hè diventatu
A manera più faciule di capiscenu hè cumu a nova piattaforma scalabile difiere da u bonu vechju 44000/64000 hè fighjate à a stampa sottu:
A diferenza hè evidenti.
Legacy Check Point 44000 piattaforma/64000
Comu pò esse vistu da a stampa sopra, a prima opzione hè una piattaforma fissa (chassis), in quale un numaru limitatu di "moduli di lame" speciali ponu esse inseriti (Check Point SGM). Tuttu chistu hè cunnessu Modulu di Switch di Sicurezza (SSM), chì equilibra u trafficu trà e porte. A stampa sottu mostra i cumpunenti di sta piattaforma in più detail:
Questa hè una piattaforma eccellente se sapete esattamente quale prestazioni avete bisognu avà è quantu pò cresce. Tuttavia, per via di u fattore di forma fissa (12 o 6 lame), vi sò limitati in più scalabilità. In più, vi sò furzati à aduprà esclusivamente lame SGM, senza a capacità di cunnette uplines cunvinziunali, chì hannu una gamma assai più larga di mudelli. Cù l'avventu Maestro Hyperscale Network Security a situazione cambia dramaticamente.
Novu Check Point Maestro Hyperscale Network Security Platform
Check Point Maestro hè statu introduttu per a prima volta u 22 di ghjennaghju à a cunferenza CPX in Bangkok. E caratteristiche principali ponu esse vistu in a stampa sottu:
Comu pudete vede, u vantaghju principale di Check Point Maestro hè a capacità di utilizà gateways regularmente (apparecchi) per equilibriu. Quelli. Ùn simu più limitati à e lame SGM. Pudete distribuisce a carica trà qualsiasi dispositi chì partenu da u mudellu 5600 (modelli SMB è Chassis 44000)./64000 ùn sò micca supportati). A stampa sopra mostra l'indicatori principali chì ponu esse ottenuti quandu si usa a nova piattaforma. Pudemu cunghjuntà in una risorsa informatica finu à 31! gateway. Avà u vostru firewall puderia vede cusì:
Maestro Hyperscale Orchestrator
Sò sicuru chì parechje persone anu digià dumandatu: "Chì tipu d'Orchestrator hè questu?"Bè, scuntrami. Maestro Hyperscale Orchestrator - hè questu cosa chì hè rispunsevuli di equilibriu di carica. U sistema upirativu stallatu nant'à stu dispusitivu hè Gaia R80.20 SP. Ci sò attualmente dui mudelli di orchestratori - MHO-140 и MHO-170. Funzioni in a stampa sottu:
À u primu sguardu, pò pare chì questu hè un cambiamentu ordinariu. In fatti, hè "switch + balancer + sistema di gestione di risorse". Tuttu in una scatula.
I Gateways sò cunnessi à questi Orchestratori. Se i equilibratori sò tolleranti à i difetti, ogni gateway hè cunnessu à ogni orchestratore. Per a cunnessione, "ottica" (sfp+ / qsfp+ / qsfp28+) o cable DAC (Direct Attach Copper) pò esse usatu. In questu casu, deve esse naturalmente un ligame di sincronizazione trà l'orchestratori:
In a stampa sottu pudete vede cumu i porti di questi orchestratori sò distribuiti:
Gruppi di Sicurezza
Per chì a carica sia distribuita trà e gateway, queste gateway deve esse in u stessu Gruppu di Sicurezza. Gruppu di Sicurezza hè un gruppu logicu di dispusitivi chì funziona cum'è un cluster attivu / attivu. Stu gruppu funziona indipindente da altri Gruppi di Sicurezza. Da u puntu di vista di u servitore di gestione, u Gruppu di Sicurezza s'assumiglia à un dispositivu cù un indirizzu IP.
Se necessariu, pudemu spustà una o più porte in un Gruppu di Sicurezza separatu è aduprà stu gruppu per altri scopi, cum'è un firewall separatu da un puntu di vista di gestione. Un esempiu di usu hè mostratu in a stampa sottu:
Limitazione impurtante, solu gateway idèntiche (mudellu) ponu esse aduprate in un Gruppu di Sicurezza. Quelli. se vulete cresce linearmente a capacità di a vostra porta di sicurità (chì hè un cluster di parechji dispositi), allora deve aghjunghje esattamente i stessi gateway. Questa limitazione deve sparisce in e prossime versioni di software.
In u video sottu pudete vede u prucessu di creà un Gruppu di Sicurezza. A prucedura hè intuitiva.
In novu, se paragunate i cumpunenti Maestro cù a piattaforma di chassis, avete qualcosa cum'è a seguente stampa:
Chì sò i benefici di a nova piattaforma?
Ci hè veramente assai vantaghji, sia da un puntu di vista tecnicu è ecunomicu. Descriveraghju brevemente i più impurtanti:
- Semu praticamenti illimitati in scala. Finu à 31 gateway in un Gruppu di Sicurezza.
- Pudemu aghjunghje gateway quantu bisognu. U minimu stabilitu per a compra hè un orchestratore + dui gateway. Ùn ci hè bisognu di stabilisce mudelli "per a crescita".
- Un altru plus seguita da u puntu precedente. Ùn avemu più bisognu di cambià e porte chì ùn ponu più affruntà a carica. Nanzu, stu prublema hè stata risolta utilizendu a prucedura di scambiu - anu datu u vechju hardware è ricivutu novi cù un scontu. Cù un tali schema, i "perdite" finanziarii sò inevitabbili. A nova prucedura di scala elimina stu fattore. Ùn avete bisognu di trasmette nunda, pudete solu cuntinuà à aumentà a produtividade cù l'aiutu di hardware supplementu.
- A capacità di cumminà risorse esistenti per distribuisce a carica. Per esempiu, pudete "trascinà" tutti i vostri clusters nantu à a piattaforma Maestro è assemblà parechji Gruppi di Sicurezza, secondu a carica.
Maestro Hyperscale Network Security bundles
Attualmente, ci sò parechje opzioni per cumprà i cosiddetti bundle cù a piattaforma Maestro. Soluzione basata nantu à i gateway 23800, 6800 è 6500:
In questu casu, pudete sceglie trà dui tipi di equipamentu standard:
- Un orchestratore è dui gateway;
- Un orchestratore è trè gateway.
pudete vede i prezzi stimati. Naturalmente, pudete ancu aghjunghje un altru orchestratore è tanti gateway chì vulete. Ulteriori informazioni nantu à e specificazioni ponu esse dumandate .
U dispositivu 6500 и 6800 Quessi sò l'ultimi mudelli chì anu ancu introduttu prima di questu annu. Ma avemu da parlà di elli in più detail in u prossimu articulu.
Quandu possu cumprà?
Ùn ci hè micca una risposta chjara quì. À u mumentu, ùn ci hè micca notificazione per l'impurtazione di sti suluzioni in u nostru paese. Appena l'infurmazioni nantu à u timing diventanu dispunibili, faremu immediatamente un annunziu in e nostre pagine pubbliche (, , ). Inoltre, un webinar dedicatu à a suluzione Check Point Maestro hè prevista in un futuru vicinu, induve tutte e caratteristiche tecniche seranu discutute. È, sicuru, pudete dumandà dumande. Stà à sente !
cunchiusioni
Di sicuru, una nova piattaforma hè un eccellente aghjuntu à e soluzioni hardware di Check Point. In fattu, stu pruduttu apre un novu segmentu, per quale micca tutti i venditori di sicurezza di l'infurmazioni ùn anu una suluzione simili. Inoltre, oghje Check Point Maestro ùn hà praticamente micca alternative quandu si tratta di furnisce un "putere di sicurità" senza precedente. Tuttavia, Maestro Hyperscale Network Security serà di interessu micca solu per i pruprietarii di u centru di dati, ma ancu per l'imprese ordinarie. Quelli chì pussede o prughjettanu di cumprà i dispositi chì cumincianu cù u mudellu 5600 ponu digià un ochju più vicinu à Maestro.In certi casi, l'usu di Maestro Hyperscale Network Security pò esse una suluzione assai prufittuosa, sia da un puntu di vista ecunomicu sia tecnicu.
PS Stu articulu hè statu preparatu cù a participazione di Anatoly Masover - Espertu di piattaforma scalabile, Check Point Software Technologies.
Source: www.habr.com