Check Point startede 2019 ret hurtigt med flere meddelelser på én gang. Det er umuligt at tale om alt i én artikel, så lad os starte med det vigtigste - . Maestro er en ny skalerbar platform, der giver dig mulighed for at øge "kraften" af sikkerhedsgatewayen til "uanstændige" tal og næsten lineært. Dette opnås naturligt ved at balancere belastningen mellem individuelle gateways, der fungerer i en klynge som en enkelt enhed. Nogen vil måske sige -"var! Der er allerede 44000 blade platforme/64000". Maestro er dog en helt anden sag. I denne artikel vil jeg kort forsøge at forklare, hvad det er, hvordan det virker, og hvordan denne teknologi vil hjælpe spar på netværkets perimeterbeskyttelse.
Var - Er blevet
Den nemmeste måde at forstå er, hvordan den nye skalerbare platform adskiller sig fra den gode gamle 44000/64000 er se på billedet nedenfor:
Forskellen er åbenlys.
Legacy Check Point 44000 platform/64000
Som det kan ses af billedet ovenfor, er den første mulighed en fast platform (chassis), hvori et begrænset antal specielle "blade-moduler" kan indsættes (Check Point SGM). Alt dette er forbundet med Sikkerhedsafbrydermodul (SSM), som balancerer trafik mellem gateways. Billedet nedenfor viser komponenterne i denne platform mere detaljeret:
Dette er en fremragende platform, hvis du ved præcis, hvilken ydeevne du har brug for nu, og hvor meget den kan vokse. Men på grund af den faste formfaktor (12 eller 6 blade), er du begrænset i yderligere skalerbarhed. Derudover er du tvunget til udelukkende at bruge SGM-blade, uden mulighed for at forbinde konventionelle uplines, som har et meget bredere udvalg af modeller. Med adventen Maestro Hyperscale Network Security situationen ændrer sig dramatisk.
Ny Check Point Maestro Hyperscale Network Security Platform
Check Point Maestro blev første gang introduceret den 22. januar på CPX-konferencen i Bangkok. De vigtigste egenskaber kan ses på billedet nedenfor:
Som du kan se, er den største fordel ved Check Point Maestro muligheden for at bruge almindelige gateways (apparater) til balancering. De der. Vi er ikke længere begrænset til SGM-blade. Du kan fordele belastningen mellem alle enheder fra 5600-modellen (SMB-modeller og chassis 44000)/64000 understøttes ikke). Billedet ovenfor viser de vigtigste indikatorer, der kan opnås ved brug af den nye platform. Vi kan kombinere til én computerressource op til 31! gateway. Nu kan din firewall se sådan ud:
Maestro Hyperscale Orchestrator
Jeg er sikker på, at mange mennesker allerede har spurgt: "Hvad er det for en Orchestrator?"Nå, mød mig. Maestro Hyperscale Orchestrator — det er denne ting, der er ansvarlig for belastningsbalancering. Operativsystemet installeret på denne enhed er Gaia R80.20 SP. Der er i øjeblikket to modeller af Orchestrators - MHO-140 и MHO-170. Funktioner på billedet nedenfor:
Ved første øjekast kan det se ud til, at dette er en almindelig kontakt. Faktisk er det "switch + balancer + ressourcestyringssystem." Alt i én kasse.
Gateways er forbundet til disse orkestre. Hvis balancerne er fejltolerante, er hver gateway forbundet til hver orkestrator. Til tilslutning kan "optik" (sfp+ / qsfp+ / qsfp28+) eller DAC-kabel (Direct Attach Copper) bruges. I dette tilfælde skal der naturligvis være en synkroniseringsforbindelse mellem orkestratorerne:
På billedet nedenfor kan du se, hvordan disse orkestratorers havne er fordelt:
Sikkerhedsgrupper
For at belastningen kan fordeles mellem gateways, skal disse gateways være i samme sikkerhedsgruppe. Sikkerhedsgruppe det er en logisk gruppe af enheder, der fungerer som en aktiv/aktiv klynge. Denne gruppe fungerer uafhængigt af andre sikkerhedsgrupper. Fra administrationsserverens synspunkt ser sikkerhedsgruppen ud som én enhed med én IP-adresse.
Om nødvendigt kan vi flytte en eller flere gateways ind i en separat sikkerhedsgruppe og bruge denne gruppe til andre formål, som en separat firewall fra et ledelsessynspunkt. Et eksempel på brug er vist på billedet nedenfor:
Vigtig begrænsning, kun identiske gateways (model) kan bruges i én sikkerhedsgruppe. De der. hvis du vil lineært øge kapaciteten af din sikkerhedsgateway (som er en klynge af flere enheder), så skal du tilføje nøjagtig de samme gateways. Denne begrænsning bør forsvinde i de næste softwareudgivelser.
I videoen nedenfor kan du se processen med at oprette en sikkerhedsgruppe. Fremgangsmåden er intuitiv.
Igen, hvis du sammenligner Maestro-komponenterne med chassisplatformen, får du noget som det følgende billede:
Hvad er fordelene ved den nye platform?
Der er faktisk mange fordele, både fra et teknisk og økonomisk synspunkt. Jeg vil kort beskrive de vigtigste:
- Vi er praktisk talt ubegrænsede i skalering. Op til 31 gateways inden for en sikkerhedsgruppe.
- Vi kan tilføje gateways efter behov. Minimumssættet til køb er en orkestrator + to gateways. Der er ingen grund til at opstille modeller "for vækst".
- Et andet plus følger af det foregående punkt. Vi behøver ikke længere at ændre gateways, der ikke længere kan klare belastningen. Tidligere blev dette problem løst ved hjælp af indbytteproceduren - de afleverede gammelt hardware og modtog nyt med rabat. Med en sådan ordning er økonomiske "tab" uundgåelige. Den nye skaleringsprocedure eliminerer denne faktor. Du behøver ikke aflevere noget, du kan bare fortsætte med at øge produktiviteten ved hjælp af ekstra hardware.
- Evnen til at kombinere eksisterende ressourcer for at fordele belastningen. For eksempel kan du "trække" alle dine klynger ind på Maestro-platformen og samle flere sikkerhedsgrupper, afhængigt af belastningen.
Maestro Hyperscale Network Security bundter
I øjeblikket er der flere muligheder for at købe såkaldte bundles med Maestro-platformen. Løsning baseret på gateways 23800, 6800 og 6500:
I dette tilfælde kan du vælge mellem to standardtyper af udstyr:
- En orkestrator og to gateways;
- En orkestrator og tre gateways.
du kan se de anslåede priser. Du kan naturligvis tilføje en anden orkestrator og så mange gateways, som du vil. Yderligere oplysninger om specifikationer kan rekvireres .
enheder 6500 и 6800 Det er de seneste modeller, der også blev introduceret tidligere i år. Men vi vil tale om dem mere detaljeret i den næste artikel.
Hvornår kan jeg købe det?
Der er ikke noget klart svar her. I øjeblikket er der ingen anmeldelse for import af disse løsninger til vores land. Så snart information om tidspunktet bliver tilgængelig, vil vi straks offentliggøre en meddelelse på vores offentlige sider (, , ). Derudover er der planlagt et webinar dedikeret til Check Point Maestro-løsningen i den nærmeste fremtid, hvor alle tekniske funktioner vil blive diskuteret. Og du kan selvfølgelig stille spørgsmål. Bliv hængende!
Konklusion
Helt klart en ny platform er en fremragende tilføjelse til Check Points hardwareløsninger. Faktisk åbner dette produkt et nyt segment, som ikke alle leverandører af informationssikkerhed har en lignende løsning til. Desuden har Check Point Maestro i dag stort set ingen alternativer, når det kommer til at levere en så hidtil uset "sikkerhedskraft". Maestro Hyperscale Network Security vil dog være interessant ikke kun for datacenterejere, men også for almindelige virksomheder. Dem, der ejer eller planlægger at købe enheder, der starter med 5600-modellen, kan allerede nu se nærmere på Maestro. I nogle tilfælde kan det være en meget rentabel løsning at bruge Maestro Hyperscale Network Security, både fra et økonomisk og teknisk synspunkt.
PS Denne artikel er udarbejdet med deltagelse af Anatoly Masover — Skalerbar platformekspert, Check Point Software Technologies.
Kilde: www.habr.com