
Das Unternehmen Check Point hat 2019 mit mehreren AnkĂŒndigungen an Schwung gewonnen. Alles in einem Artikel zu erzĂ€hlen, ist nicht möglich, daher beginnen wir mit dem Wichtigsten â . Maestro ist eine neue skalierbare Plattform, die es ermöglicht, die "Leistung" des Sicherheitsgateways auf "unverhĂ€ltnismĂ€Ăige" Zahlen zu steigern, und das nahezu linear. Dies wird natĂŒrlich durch die Lastverteilung zwischen einzelnen Gateways erreicht, die in einem Cluster wie eine Einheit arbeiten. Jemand könnte sagen â âGab's! Die Blade-Plattformen 44000/64000 sind bereits verfĂŒgbar.Aber Maestro ist etwas ganz anderes. In diesem Artikel werde ich kurz erklĂ€ren, was es ist, wie es funktioniert und wie diese Technologie helfen kann, die Netzwerksicherheitskosten zu senken..
FrĂŒher â Heute
Am einfachsten zu verstehen, inwiefern sich die neue skalierbare Plattform von den alten 44000/64000 unterscheidet, ist ein Blick auf das Bild unten:

Der Unterschied ist offensichtlich.
Die alte Check Point Plattform 44000/64000
Wie aus dem obigen Bild zu erkennen ist, handelt es sich beim ersten Modell um eine feste Plattform (Chassis), in die eine begrenzte Anzahl spezieller "Modul-Klingen" eingesetzt werden kann (Check Point SGM). All dies wird an Security Switch Module (SSM) angeschlossen, das den Datenverkehr zwischen den Gateways balanciert. Im folgenden Bild sind die Komponenten dieser Plattform detaillierter dargestellt:

Dies ist eine hervorragende Plattform, wenn Sie genau wissen, welche Leistung Sie derzeit benötigen und in welchem Umfang diese steigen kann. Aufgrund des festen Formfaktors (12 oder 6 Klingen) sind Sie jedoch in der weiteren Skalierung eingeschrĂ€nkt. Zudem sind Sie gezwungen, ausschlieĂlich SGM-Klingen zu verwenden, ohne die Möglichkeit, herkömmliche Appliances anzuschlieĂen, die ein wesentlich breiteres Modellportfolio bieten. Mit der EinfĂŒhrung von Maestro Hyperscale Network Security Ă€ndert sich die Situation grundlegend.
Die neue Plattform Check Point Maestro Hyperscale Network Security
wurde erstmals am 22. Januar auf der CPX-Konferenz in Bangkok vorgestellt. Die Hauptmerkmale sind im folgenden Bild zu sehen:

Wie bereits erwĂ€hnt, ist der Hauptvorteil von Check Point Maestro die Möglichkeit, normale Gateways (Appliances) fĂŒr das Load Balancing zu verwenden. Das bedeutet, dass wir nicht mehr auf die SGM-Blades beschrĂ€nkt sind. Die Last kann zwischen beliebigen GerĂ€ten verteilt werden, beginnend mit dem Modell 5600 (SMB-Modelle und Chassis 44000/64000 werden nicht unterstĂŒtzt). Auf dem obigen Bild sind die wichtigsten Kennzahlen dargestellt, die mit der neuen Plattform erreicht werden können. Wir können Ressourcen zu einem einzigen Rechenressourc bĂŒndeln. bis zu 31! Gateways. So könnte Ihre âFirewallâ jetzt aussehen:

Maestro Hyperscale Orchestrator
Ich bin sicher, viele von Ihnen haben sich bereits die Frage gestellt: âWas ist dieser Orchestrator?â Nun, lernen Sie ihn kennen. Maestro Hyperscale Orchestrator â dieses GerĂ€t ist verantwortlich fĂŒr das Load Balancing. Auf diesem GerĂ€t lĂ€uft das Betriebssystem Gaia R80.20 SP. Derzeit gibt es zwei Modelle von Orchestratoren â MHO-140 und MHO-170. Die Spezifikationen sind im Bild unten:

Auf den ersten Blick mag es wie ein normaler Switch erscheinen. In Wirklichkeit handelt es sich jedoch um einen âSwitch + Load Balancer + Ressourcenverwaltungssystemâ. Alles in einer Box.
Zu diesen Orchestratoren werden Gateways verbunden. Falls die Lastverteiler in einer ausfallsicheren AusfĂŒhrung vorhanden sind, wird jedes Gateway mit jedem Orchestrator verbunden. FĂŒr die Verbindung kann âOptikâ (SFP+ / QSFP+ / QSFP28+) oder ein DAC-Kabel (Direct Attach Copper) verwendet werden. Dabei muss zwischen den Orchestratoren selbstverstĂ€ndlich ein Synchronisierungslink vorhanden sein:

Im Bild unten kann man sehen, wie die Ports dieser Orchestratoren verteilt sind:

Sicherheitsgruppen
Damit die Last zwischen den Gateways verteilt werden kann, mĂŒssen diese Gateways in derselben Sicherheitsgruppe sein. Sicherheitsgruppe Dies ist eine logische Gruppe von GerĂ€ten, die als aktives/aktives Cluster funktioniert. Diese Gruppe arbeitet unabhĂ€ngig von anderen Sicherheitsgruppen. Aus Sicht des Management-Servers wirkt die Sicherheitsgruppe wie ein einzelnes GerĂ€t mit einer IP-Adresse.
Bei Bedarf können wir eines oder mehrere Gateways in eine separate Sicherheitsgruppe bringen und diese Gruppe fĂŒr andere Zwecke nutzen, Ă€hnlich wie eine separate Firewall aus Management-Perspektive. Ein Beispiel fĂŒr die Nutzung ist im Bild unten dargestellt:

Wichtige EinschrĂ€nkung, in einer Security Group können ausschlieĂlich identische Gateways (Modelle) verwendet werden. Das bedeutet, wenn Sie die Leistung Ihres Sicherheitsgateways (das ein Cluster aus mehreren GerĂ€ten ist) linear steigern möchten, mĂŒssen Sie exakt dieselben Gateways hinzufĂŒgen. In den kommenden Software-Versionen sollte dieses EinschrĂ€nkung verschwinden.
Im folgenden Video kann der Prozess der Erstellung einer Security Group gesehen werden. Das Verfahren ist intuitiv verstÀndlich.

Vergleicht man die Komponenten von Maestro mit der Chassis-Plattform, ergibt sich etwa folgendes Bild 'frĂŒher-spĂ€ter':

Was sind die Vorteile der neuen Plattform?
Es gibt in der Tat viele Vorteile, sowohl aus technischer Sicht als auch aus wirtschaftlicher Sicht. Hier sind die wichtigsten Punkte kurz zusammengefasst:
- Wir sind im Grunde genommen nicht in der Skalierung eingeschrÀnkt. Bis zu 31 Gateways innerhalb einer Security Group.
- Wir können Gateways nach Bedarf hinzufĂŒgen. Das minimale Set bei der Anschaffung besteht aus einem Orchestrator + zwei Gateways. Es ist nicht notwendig, Modelle 'fĂŒr die Zukunft' einzuplanen.
- Aus dem vorherigen Punkt ergibt sich ein weiterer Vorteil. Wir mĂŒssen die Gateways, die der Last nicht mehr gewachsen sind, nicht mehr wechseln. FrĂŒher wurde dieses Problem durch ein Trade-in-Verfahren gelöst â man gab die alte Hardware ab und erhielt neue mit einem Rabatt. Bei dieser Vorgehensweise sind finanzielle âVerlusteâ unvermeidlich. Das neue Verfahren mit der Skalierung beseitigt diesen Faktor. Es ist nichts abzugeben, man kann einfach die Leistung mit zusĂ€tzlicher Hardware weiter steigern.
- Die Möglichkeit, bereits vorhandene Ressourcen fĂŒr die Lastverteilung zu kombinieren. Beispielsweise können alle eigenen Cluster auf die Maestro-Plattform âgezogenâ und mehrere Security Groups gebildet werden, je nach Last.
Bundles der Maestro Hyperscale Network Security
Derzeit gibt es mehrere Optionen zur Anschaffung der sogenannten Bundles mit der Maestro-Plattform. Lösungen basierend auf den Gateways 23800, 6800 und 6500:

Dabei kann man aus zwei Standard-Konfigurationen wÀhlen:
- Ein Orchestrator und zwei Gateways;
- Ein Orchestrator und drei Gateways.
Die ungefĂ€hren Preise können eingesehen werden. NatĂŒrlich kann zusĂ€tzlich ein weiterer Orchestrator und beliebig viele Gateways eingeplant werden. Weitere Informationen zu den Spezifikationen können angefragt werden. .
GerÀte 6500 und 6800 Das sind die neuesten Modelle, die ebenfalls zu Beginn dieses Jahres vorgestellt wurden. Detailliertere Informationen dazu erhalten Sie in unserem nÀchsten Artikel.
Wann kann man kaufen?
Darauf gibt es keine eindeutige Antwort. Derzeit gibt es keine Benachrichtigung ĂŒber die Einfuhr dieser Lösungen in unser Land. Sobald Informationen zu den Fristen vorliegen, werden wir umgehend eine AnkĂŒndigung in unseren Publikationen machen (, , ). AuĂerdem ist in naher Zukunft ein Webinar zum Check Point Maestro geplant, in dem alle technischen Besonderheiten behandelt werden. SelbstverstĂ€ndlich können auch Fragen gestellt werden. Halten Sie sich auf dem Laufenden!
Fazit
Die neue Plattform ist zweifellos ist eine hervorragende ErgĂ€nzung zu den Hardwarelösungen von Check Point. Dieses Produkt eröffnet im Wesentlichen ein neues Segment, fĂŒr das nicht jeder Cybersecurity-Anbieter eine Ă€hnliche Lösung hat. DarĂŒber hinaus gibt es derzeit praktisch keine Alternativen zu Check Point Maestro, wenn es um die Bereitstellung solcher beispiellosen âSicherheitsleistungenâ geht. Maestro Hyperscale Network Security wird jedoch nicht nur fĂŒr Rechenzentrumsbetreiber von Interesse sein, sondern auch fĂŒr gewöhnliche Unternehmen. Bereits jetzt sollten sich diejenigen, die GerĂ€te ab Modell 5600 besitzen oder erwerben möchten, mit Maestro auseinandersetzen. In einigen FĂ€llen kann der Einsatz von Maestro Hyperscale Network Security sowohl aus wirtschaftlicher als auch aus technischer Sicht eine Ă€uĂerst lohnenswerte Lösung sein.
P.S. Der Artikel wurde mit UnterstĂŒtzung von Anatoly Masovera â Experte fĂŒr skalierbare Plattformen, Check Point Software Technologies.
Quelle: habr.com
