Check Point zahájil rok 2019 poměrně rychle tím, že učinil několik oznámení najednou. Není možné mluvit o všem v jednom článku, takže začněme tím nejdůležitějším - . Maestro je nová škálovatelná platforma, která umožňuje zvýšit „výkon“ bezpečnostní brány na „neslušná“ čísla a téměř lineárně. Toho je přirozeně dosaženo vyrovnáváním zátěže mezi jednotlivými bránami, které fungují v clusteru jako jeden celek. Někdo by mohl říct -"Byl! Existuje již 44000 XNUMX platforem blade/64000". Maestro je však úplně jiná věc. V tomto článku se stručně pokusím vysvětlit, co to je, jak to funguje a jak tato technologie pomůže ušetřit na ochraně perimetru sítě.
Bylo - Stalo se
Nejjednodušší způsob, jak pochopit, jak se nová škálovatelná platforma liší od staré dobré 44000/64000, podívejte se na obrázek níže:
Rozdíl je zřejmý.
Starší platforma Check Point 44000/64000
Jak je patrné z obrázku výše, první možností je pevná platforma (šasi), do které lze vložit omezený počet speciálních „lopatkových modulů“ (Check Point SGM). S tím vším souvisí Modul bezpečnostního spínače (SSM), který vyrovnává provoz mezi bránami. Níže uvedený obrázek ukazuje komponenty této platformy podrobněji:
Toto je vynikající platforma, pokud přesně víte, jaký výkon nyní potřebujete a jak moc může růst. Vzhledem k pevnému tvarovému faktoru (12 nebo 6 čepelí) jste však omezeni v další škálovatelnosti. Navíc jste nuceni používat výhradně čepele SGM, bez možnosti připojení konvenčních upline, které mají mnohem širší škálu modelů. S příchodem Zabezpečení sítě Maestro Hyperscale situace se dramaticky mění.
Nová platforma pro bezpečnost sítě Check Point Maestro Hyperscale
Check Point Maestro byl poprvé představen 22. ledna na konferenci CPX v Bangkoku. Hlavní vlastnosti jsou vidět na obrázku níže:
Jak vidíte, hlavní výhodou Check Point Maestro je možnost využívat běžné brány (spotřebiče) pro balancování. Tito. Již se neomezujeme pouze na čepele SGM. Zátěž můžete rozložit mezi libovolná zařízení počínaje modelem 5600 (modely SMB a šasi 44000/64000 nejsou podporovány). Výše uvedený obrázek ukazuje hlavní ukazatele, kterých lze při používání nové platformy dosáhnout. Můžeme spojit do jednoho výpočetního zdroje až 31! brána. Nyní může váš firewall vypadat takto:
Maestro Hyperscale Orchestrator
Jsem si jistý, že se už mnoho lidí ptalo: „Co je to za Orchestrator?"No, seznamte se." Maestro Hyperscale Orchestrator — je to tato věc, která je zodpovědná za vyrovnávání zátěže. Operační systém nainstalovaný na tomto zařízení je Gaia R80.20 SP. V současné době existují dva modely orchestrů - MHO-140 и MHO-170. Vlastnosti na obrázku níže:
Na první pohled se může zdát, že se jedná o obyčejný vypínač. Ve skutečnosti je to „spínač + vyvažovač + systém správy zdrojů“. Vše v jedné krabici.
K těmto Orchestratorům jsou připojeny brány. Pokud jsou balancery odolné proti chybám, pak je každá brána připojena ke každému orchestrátoru. Pro připojení lze použít „optiku“ (sfp+ / qsfp+ / qsfp28+) nebo kabel DAC (Direct Attach Copper). V tomto případě musí přirozeně existovat synchronizační spojení mezi orchestrátory:
Na obrázku níže můžete vidět, jak jsou distribuovány porty těchto orchestrátorů:
Skupiny zabezpečení
Aby byla zátěž distribuována mezi brány, musí být tyto brány ve stejné skupině zabezpečení. Skupina zabezpečení je to logická skupina zařízení, která funguje jako aktivní/aktivní cluster. Tato skupina funguje nezávisle na ostatních skupinách zabezpečení. Z pohledu management serveru vypadá Security Group jako jedno zařízení s jednou IP adresou.
V případě potřeby můžeme přesunout jednu nebo více bran do samostatné skupiny zabezpečení a použít tuto skupinu pro jiné účely, jako je samostatný firewall z pohledu správy. Příklad použití je na obrázku níže:
Důležité omezení, lze v jedné skupině zabezpečení používat pouze identické brány (model). Tito. pokud chcete lineárně zvyšovat kapacitu vaší bezpečnostní brány (což je shluk několika zařízení), musíte přidat přesně stejné brány. Toto omezení by mělo zmizet v příštích verzích softwaru.
Ve videu níže můžete vidět proces vytvoření skupiny zabezpečení. Postup je intuitivní.
Opět, pokud porovnáte komponenty Maestro s podvozkovou platformou, dostanete něco jako následující obrázek:
Jaké jsou výhody nové platformy?
Výhod, jak z technického, tak ekonomického hlediska, je skutečně mnoho. Stručně popíšu ty nejdůležitější:
- Ve škálování jsme prakticky neomezení. Až 31 bran v rámci jedné skupiny zabezpečení.
- Podle potřeby můžeme přidat brány. Minimální sada pro zakoupení je jeden orchestrátor + dvě brány. Není třeba stanovovat modely „růstu“.
- Další plus plyne z předchozího bodu. Již nemusíme měnit brány, které již nezvládají zátěž. Dříve se tento problém řešil protiúčtem - starý hardware odevzdali a nový dostali se slevou. S takovým schématem jsou finanční „ztráty“ nevyhnutelné. Nový postup škálování tento faktor eliminuje. Nemusíte nic předávat, můžete jen pokračovat ve zvyšování produktivity pomocí dalšího hardwaru.
- Schopnost kombinovat existující zdroje pro rozložení zátěže. Můžete například „přetáhnout“ všechny své clustery na platformu Maestro a sestavit několik skupin zabezpečení v závislosti na zatížení.
Balíčky Maestro Hyperscale Network Security
V současné době existuje několik možností nákupu tzv. bundlů s platformou Maestro. Řešení založené na branách 23800, 6800 a 6500:
V tomto případě si můžete vybrat ze dvou standardních typů vybavení:
- Jeden orchestrátor a dvě brány;
- Jeden orchestrátor a tři brány.
můžete vidět odhadované ceny. Samozřejmě můžete dodatečně přidat další orchestrátor a tolik bran, kolik chcete. Můžete si vyžádat další informace o specifikacích .
Zařízení 6500 и 6800 Jedná se o nejnovější modely, které byly také představeny začátkem tohoto roku. O nich si ale povíme podrobněji v příštím článku.
Kdy si ho mohu koupit?
Zde neexistuje jednoznačná odpověď. V tuto chvíli není žádné upozornění na dovoz těchto řešení do naší země. Jakmile budou k dispozici informace o načasování, okamžitě o tom informujeme na našich veřejných stránkách (, , ). Kromě toho se v blízké budoucnosti plánuje webinář věnovaný řešení Check Point Maestro, kde se budou probírat všechny technické vlastnosti. A samozřejmě můžete klást otázky. Zůstaňte naladěni!
Závěr
Určitě nová platforma je vynikajícím doplňkem hardwarových řešení Check Point. Tento produkt ve skutečnosti otevírá nový segment, pro který ne každý dodavatel informační bezpečnosti má podobné řešení. Navíc dnes Check Point Maestro nemá prakticky žádné alternativy, pokud jde o poskytování takové bezprecedentní „bezpečnostní síly“. Maestro Hyperscale Network Security však bude zajímat nejen majitele datových center, ale i běžné firmy. Maestro si již mohou blíže prohlédnout ti, kteří vlastní nebo plánují nákup zařízení počínaje modelem 5600. V některých případech může být využití Maestro Hyperscale Network Security velmi výnosným řešením, a to jak z ekonomického, tak technického hlediska.
PS Tento článek byl připraven za účasti Anatoly Masover — Scalable Platform Expert, Check Point Software Technologies.
Zdroj: www.habr.com