Check Point zahájil rok 2019 poměrně rychle tím, že učinil několik oznámení najednou. Není možné mluvit o všem v jednom článku, takže začněme tím nejdůležitějším -
Bylo - Stalo se
Nejjednodušší způsob, jak pochopit, jak se nová škálovatelná platforma liší od staré dobré 44000/64000, podívejte se na obrázek níže:
Rozdíl je zřejmý.
Starší platforma Check Point 44000/64000
Jak je patrné z obrázku výše, první možností je pevná platforma (šasi), do které lze vložit omezený počet speciálních „lopatkových modulů“ (Check Point SGM). S tím vším souvisí Modul bezpečnostního spínače (SSM), který vyrovnává provoz mezi bránami. Níže uvedený obrázek ukazuje komponenty této platformy podrobněji:
Toto je vynikající platforma, pokud přesně víte, jaký výkon nyní potřebujete a jak moc může růst. Vzhledem k pevnému tvarovému faktoru (12 nebo 6 čepelí) jste však omezeni v další škálovatelnosti. Navíc jste nuceni používat výhradně čepele SGM, bez možnosti připojení konvenčních upline, které mají mnohem širší škálu modelů. S příchodem Zabezpečení sítě Maestro Hyperscale situace se dramaticky mění.
Nová platforma pro bezpečnost sítě Check Point Maestro Hyperscale
Check Point Maestro byl poprvé představen 22. ledna na konferenci CPX v Bangkoku. Hlavní vlastnosti jsou vidět na obrázku níže:
Jak vidíte, hlavní výhodou Check Point Maestro je možnost využívat běžné brány (spotřebiče) pro balancování. Tito. Již se neomezujeme pouze na čepele SGM. Zátěž můžete rozložit mezi libovolná zařízení počínaje modelem 5600 (modely SMB a šasi 44000/64000 nejsou podporovány). Výše uvedený obrázek ukazuje hlavní ukazatele, kterých lze při používání nové platformy dosáhnout. Můžeme spojit do jednoho výpočetního zdroje až 31! brána. Nyní může váš firewall vypadat takto:
Maestro Hyperscale Orchestrator
Jsem si jistý, že se už mnoho lidí ptalo: „Co je to za Orchestrator?"No, seznamte se." Maestro Hyperscale Orchestrator — je to tato věc, která je zodpovědná za vyrovnávání zátěže. Operační systém nainstalovaný na tomto zařízení je Gaia R80.20 SP. V současné době existují dva modely orchestrů - MHO-140 и MHO-170. Vlastnosti na obrázku níže:
Na první pohled se může zdát, že se jedná o obyčejný vypínač. Ve skutečnosti je to „spínač + vyvažovač + systém správy zdrojů“. Vše v jedné krabici.
K těmto Orchestratorům jsou připojeny brány. Pokud jsou balancery odolné proti chybám, pak je každá brána připojena ke každému orchestrátoru. Pro připojení lze použít „optiku“ (sfp+ / qsfp+ / qsfp28+) nebo kabel DAC (Direct Attach Copper). V tomto případě musí přirozeně existovat synchronizační spojení mezi orchestrátory:
Na obrázku níže můžete vidět, jak jsou distribuovány porty těchto orchestrátorů:
Skupiny zabezpečení
Aby byla zátěž distribuována mezi brány, musí být tyto brány ve stejné skupině zabezpečení. Skupina zabezpečení je to logická skupina zařízení, která funguje jako aktivní/aktivní cluster. Tato skupina funguje nezávisle na ostatních skupinách zabezpečení. Z pohledu management serveru vypadá Security Group jako jedno zařízení s jednou IP adresou.
V případě potřeby můžeme přesunout jednu nebo více bran do samostatné skupiny zabezpečení a použít tuto skupinu pro jiné účely, jako je samostatný firewall z pohledu správy. Příklad použití je na obrázku níže:
Důležité omezení, lze v jedné skupině zabezpečení používat pouze identické brány (model). Tito. pokud chcete lineárně zvyšovat kapacitu vaší bezpečnostní brány (což je shluk několika zařízení), musíte přidat přesně stejné brány. Toto omezení by mělo zmizet v příštích verzích softwaru.
Ve videu níže můžete vidět proces vytvoření skupiny zabezpečení. Postup je intuitivní.
Opět, pokud porovnáte komponenty Maestro s podvozkovou platformou, dostanete něco jako následující obrázek:
Jaké jsou výhody nové platformy?
Výhod, jak z technického, tak ekonomického hlediska, je skutečně mnoho. Stručně popíšu ty nejdůležitější:
- Ve škálování jsme prakticky neomezení. Až 31 bran v rámci jedné skupiny zabezpečení.
- Podle potřeby můžeme přidat brány. Minimální sada pro zakoupení je jeden orchestrátor + dvě brány. Není třeba stanovovat modely „růstu“.
- Další plus plyne z předchozího bodu. Již nemusíme měnit brány, které již nezvládají zátěž. Dříve se tento problém řešil protiúčtem - starý hardware odevzdali a nový dostali se slevou. S takovým schématem jsou finanční „ztráty“ nevyhnutelné. Nový postup škálování tento faktor eliminuje. Nemusíte nic předávat, můžete jen pokračovat ve zvyšování produktivity pomocí dalšího hardwaru.
- Schopnost kombinovat existující zdroje pro rozložení zátěže. Můžete například „přetáhnout“ všechny své clustery na platformu Maestro a sestavit několik skupin zabezpečení v závislosti na zatížení.
Balíčky Maestro Hyperscale Network Security
V současné době existuje několik možností nákupu tzv. bundlů s platformou Maestro. Řešení založené na branách 23800, 6800 a 6500:
V tomto případě si můžete vybrat ze dvou standardních typů vybavení:
- Jeden orchestrátor a dvě brány;
- Jeden orchestrátor a tři brány.
Zařízení 6500 и 6800 Jedná se o nejnovější modely, které byly také představeny začátkem tohoto roku. O nich si ale povíme podrobněji v příštím článku.
Kdy si ho mohu koupit?
Zde neexistuje jednoznačná odpověď. V tuto chvíli není žádné upozornění na dovoz těchto řešení do naší země. Jakmile budou k dispozici informace o načasování, okamžitě o tom informujeme na našich veřejných stránkách (
Závěr
Určitě nová platforma
PS Tento článek byl připraven za účasti Anatoly Masover — Scalable Platform Expert, Check Point Software Technologies.
Zdroj: www.habr.com